@aegis-scan/skills 0.5.0 → 0.5.2

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/tracking/google-analytics-consent.md

@@ -0,0 +1,129 @@
+---
+license: MIT (snippet) / Vendor-Doc separat
+provider: Google (Google LLC, USA)
+provider-AVV-status: GA4-DPA + EU-Server-Standort verfuegbar (Consent Mode v2)
+last-checked: 2026-05-02
+purpose: Google Analytics 4 mit Consent Mode v2 + EU-Standort + IP-Anonymisierung.
+---
+
+# Google Analytics 4 — TOMs + Consent Mode v2
+
+## 1. Default-Verhalten
+
+- Datenstandort: konfigurierbar (EU oder US-Server, Default haengt von GA-Property-Setup ab)
+- **Cookies**: `_ga`, `_ga_*`, `_gid` — Pflicht Consent
+- IP-Anonymisierung: in GA4 standardmaessig aktiv (von Google)
+- Consent Mode v2: ab Maerz 2024 EEA-Pflicht (EU + UK + CH)
+
+## 2. Compliance-Risiken
+
+| Risiko | Wirkung | Fix |
+|---|---|---|
+| Tracker laedt vor Consent | § 25 TDDDG-Verstoss + Massen-Abmahn-Welle | ConsentGate Pflicht |
+| US-Server-Standort | Schrems II / DPF-Risiko | Server-Side-Tagging mit EU-Endpoint |
+| GA-Cookies in Consent-Banner als „necessary" deklariert | Tatsachen-Verschleierung + UWG | Marketing-Kategorie |
+| Cross-Site-Tracking via _ga | Aufgewertete-Profile-Bildung | Server-Side-Tagging + sgtm.io |
+
+## 3. Code-Pattern (Next.js + Consent Mode v2)
+
+```tsx
+// File: src/components/analytics/GoogleAnalytics.tsx
+'use client';
+
+import Script from 'next/script';
+import { useConsent } from '@/lib/consent';
+
+const GA_MEASUREMENT_ID = process.env.NEXT_PUBLIC_GA_MEASUREMENT_ID;
+
+export default function GoogleAnalytics() {
+  const { consent } = useConsent();
+
+  if (!GA_MEASUREMENT_ID) return null;
+
+  return (
+    <>
+      <Script
+        strategy="afterInteractive"
+        src={`https://www.googletagmanager.com/gtag/js?id=${GA_MEASUREMENT_ID}`}
+      />
+      <Script id="ga-config" strategy="afterInteractive">
+        {`
+          window.dataLayer = window.dataLayer || [];
+          function gtag(){dataLayer.push(arguments);}
+          gtag('js', new Date());
+
+          // Consent Mode v2 — Pflicht-Default vor User-Choice
+          gtag('consent', 'default', {
+            'ad_storage': 'denied',
+            'analytics_storage': '${consent.analytics ? 'granted' : 'denied'}',
+            'ad_user_data': '${consent.marketing ? 'granted' : 'denied'}',
+            'ad_personalization': '${consent.marketing ? 'granted' : 'denied'}',
+            'wait_for_update': 500
+          });
+
+          gtag('config', '${GA_MEASUREMENT_ID}', {
+            anonymize_ip: true,
+            cookie_flags: 'SameSite=None;Secure'
+          });
+        `}
+      </Script>
+    </>
+  );
+}
+```
+
+## 4. Update bei Consent-Aenderung
+
+```tsx
+// In useConsent-Hook:
+useEffect(() => {
+  if (typeof window !== 'undefined' && (window as any).gtag) {
+    (window as any).gtag('consent', 'update', {
+      analytics_storage: consent.analytics ? 'granted' : 'denied',
+      ad_user_data: consent.marketing ? 'granted' : 'denied',
+      ad_personalization: consent.marketing ? 'granted' : 'denied',
+    });
+  }
+}, [consent]);
+```
+
+## 5. Server-Side-Tagging (besser, optional)
+
+EU-Endpoint via sgtm.io oder Self-Hosting:
+```ts
+// Frontend posted Events an EU-Endpoint
+fetch('https://gtm.example.com/g/collect', { /* ... */ });
+```
+
+## 6. AVV / DPA
+
+- **DPA-Link**: https://business.safety.google/adsprocessorterms/
+- **SCC-Modul**: Module 2 + 3
+- **DPF**: Google ist DPF-zertifiziert (Sep 2023)
+
+## 7. DSE-Wording-Vorlage
+
+> Wir nutzen Google Analytics 4 (Google LLC, 1600 Amphitheatre Pkwy, Mountain View, USA)
+> mit Consent Mode v2. Daten werden nur mit Ihrer ausdruecklichen Einwilligung erhoben
+> (Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG). IP-Anonymisierung ist aktiv.
+> EU-SCC Modul 2 + 3 abgeschlossen. Datenschutzhinweise von Google:
+> https://policies.google.com/privacy.
+
+## 8. Az.-Anker
+
+- EuGH C-673/17 Planet49 (Cookie-Einwilligung)
+- BGH I ZR 7/16 (DSGVO als UWG-Schutzgesetz)
+- LG Berlin 16 O 252/22 (Reject-All-Pflicht)
+- LG Duesseldorf 12 O 33/24 (TCF-Banner ohne lokale Wirksamkeit unzureichend)
+
+## 9. Verify
+
+```bash
+# 1. Pre-Consent-Loading-Pruefung
+curl -s https://example.com -H "Cookie: " | grep -ic "googletagmanager"
+# Erwartung: 0 Hits
+
+# 2. Mit gesetztem Consent-Cookie
+curl -s -b "cookie-consent=$(echo '{\"analytics\":true}' | base64)" https://example.com | grep -ic "googletagmanager"
+# Erwartung: 1+ Hits
+```

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/tracking/posthog-consent.md

@@ -0,0 +1,79 @@
+---
+license: MIT (snippet) / Vendor-Doc separat
+provider: PostHog (PostHog Inc., USA — EU-Cloud verfuegbar)
+provider-AVV-status: DPA verfuegbar + EU-Cloud-Region
+last-checked: 2026-05-02
+purpose: PostHog Consent + EU-Cloud-Region.
+---
+
+# PostHog — Consent + EU-Cloud
+
+## 1. Default-Verhalten
+
+- US-Cloud (default) ODER EU-Cloud (eu.posthog.com)
+- Cookies: `ph_*`, `ph_phc_*`
+- Self-Hosting moeglich (Open-Source)
+
+## 2. Compliance-Risiken
+
+| Risiko | Wirkung | Fix |
+|---|---|---|
+| Default US-Cloud | Drittland | EU-Cloud (eu.posthog.com) waehlen |
+| Auto-Capture aller Events | DSGVO-Datenminimierung | Selective Capture |
+| Pre-Consent-Loading | § 25 TDDDG | ConsentGate |
+
+## 3. Code-Pattern (Next.js)
+
+```tsx
+// File: src/components/analytics/PostHog.tsx
+'use client';
+
+import { useEffect } from 'react';
+import posthog from 'posthog-js';
+import { useConsent } from '@/lib/consent';
+
+const POSTHOG_KEY = process.env.NEXT_PUBLIC_POSTHOG_KEY;
+const POSTHOG_HOST = process.env.NEXT_PUBLIC_POSTHOG_HOST || 'https://eu.posthog.com';  // EU
+
+export default function PostHogProvider() {
+  const { hasConsented } = useConsent();
+
+  useEffect(() => {
+    if (!POSTHOG_KEY) return;
+    if (!hasConsented('analytics')) {
+      posthog.opt_out_capturing();
+      return;
+    }
+
+    posthog.init(POSTHOG_KEY, {
+      api_host: POSTHOG_HOST,
+      capture_pageview: true,
+      autocapture: false,  // Selective Capture (Datenminimierung)
+      disable_session_recording: true,  // Privacy-friendly default
+      mask_all_text: true,  // Mask Inputs by default
+      person_profiles: 'identified_only',  // Nur eingeloggte User profilieren
+    });
+    posthog.opt_in_capturing();
+  }, [hasConsented]);
+
+  return null;
+}
+```
+
+## 4. AVV / DPA
+
+- **DPA-Link**: https://posthog.com/dpa
+- **EU-Cloud**: eu.posthog.com (Frankfurt)
+
+## 5. DSE-Wording-Vorlage
+
+> Wir nutzen PostHog (PostHog Inc., 2261 Market St, San Francisco, USA — EU-Cloud Frankfurt)
+> als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Datenstandort: EU. EU-SCC Modul 2.
+> Datenschutzhinweise: https://posthog.com/privacy.
+
+## 6. Verify
+
+```bash
+# EU-Cloud-Pruefung
+curl -sI https://eu.posthog.com/decide | grep -i "X-Region"
+```

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/vue/cookie-banner-pattern.md

@@ -0,0 +1,208 @@
+---
+license: MIT (snippet)
+provider: Vue.js (Open-Source)
+last-checked: 2026-05-05
+purpose: Vue 3 Cookie-Banner Pattern mit Composition-API + useConsent Composable + Teleport.
+---
+
+# Vue — Cookie-Banner (Pattern)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `vue` in `package.json` Dependencies (Version >= 3.x)
+- `src/main.ts` mit `createApp(App).mount('#app')`
+- `<script setup>`-Komponenten in `src/**/*.vue`
+- Optional: `pinia` / `vuex` State-Management
+- Optional: `vue-router` mit Navigation-Guards
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- SPA-Default: Banner-State im Memory → reload zeigt Banner erneut
+- Tracker-SDKs in `main.ts` initialisiert vor Banner-Mount
+- Reactive State leakt zwischen Visitors (bei SSR)
+- `localStorage` Access vor Mount kann hydration-mismatch ausloesen (bei Nuxt)
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| Tracker in `main.ts` vor Consent | § 25 TDDDG | KRITISCH | Lazy-Init nach Consent-Event |
+| LocalStorage-Read in `setup()` SSR | DSGVO Art. 25 | HOCH | `onMounted` + `useStorage` (VueUse) |
+| Banner als Komponente ohne `<Teleport>` | A11y / DSGVO Klarheit | MITTEL | `<Teleport to="body">` fuer Modal-Style |
+| Drittland-Tracker via CDN | Art. 44 DSGVO | KRITISCH | EU-Provider + AVV |
+| Pre-Tick im Settings | EuGH C-673/17 | KRITISCH | Default `false` fuer Opt-In |
+
+## Code-Pattern (sanitized)
+
+```typescript
+// File: src/composables/useConsent.ts
+import { ref, computed, watch, readonly } from 'vue';
+
+export type Consent = {
+  necessary: true;
+  analytics: boolean;
+  marketing: boolean;
+  timestamp?: string;
+  version: '1.0';
+};
+
+const STORAGE_KEY = 'cookie-consent';
+
+const defaultConsent: Consent = {
+  necessary: true,
+  analytics: false,
+  marketing: false,
+  version: '1.0',
+};
+
+const consent = ref<Consent>({ ...defaultConsent });
+const hasDecided = ref(false);
+
+function loadFromStorage() {
+  if (typeof window === 'undefined') return;
+  const raw = localStorage.getItem(STORAGE_KEY);
+  if (!raw) return;
+  try {
+    consent.value = JSON.parse(raw);
+    hasDecided.value = true;
+  } catch {
+    /* ignore malformed */
+  }
+}
+
+function persist(next: Partial<Consent>) {
+  consent.value = { ...consent.value, ...next, timestamp: new Date().toISOString() };
+  localStorage.setItem(STORAGE_KEY, JSON.stringify(consent.value));
+  hasDecided.value = true;
+  fetch('/api/consent-log', {
+    method: 'POST',
+    headers: { 'Content-Type': 'application/json' },
+    body: JSON.stringify(consent.value),
+  });
+}
+
+function reset() {
+  localStorage.removeItem(STORAGE_KEY);
+  consent.value = { ...defaultConsent };
+  hasDecided.value = false;
+}
+
+export function useConsent() {
+  return {
+    consent: readonly(consent),
+    hasDecided: readonly(hasDecided),
+    loadFromStorage,
+    persist,
+    acceptAll: () => persist({ analytics: true, marketing: true }),
+    rejectAll: () => persist({ analytics: false, marketing: false }),
+    reset,
+  };
+}
+```
+
+```vue
+<!-- File: src/components/CookieBanner.vue -->
+<script setup lang="ts">
+import { onMounted, computed } from 'vue';
+import { useConsent } from '@/composables/useConsent';
+
+const { consent, hasDecided, loadFromStorage, acceptAll, rejectAll, persist } = useConsent();
+
+onMounted(() => {
+  loadFromStorage();
+});
+
+const visible = computed(() => !hasDecided.value);
+</script>
+
+<template>
+  <Teleport to="body">
+    <aside
+      v-if="visible"
+      role="dialog"
+      aria-label="Cookie-Einwilligung"
+      class="cookie-banner"
+    >
+      <p>
+        Wir nutzen Cookies fuer notwendige Funktionen.
+        Mit Ihrer Einwilligung zusaetzlich fuer Webanalyse.
+        Details:
+        <RouterLink to="/datenschutz">Datenschutzerklaerung</RouterLink>.
+      </p>
+      <div class="cookie-actions">
+        <!-- Buttons gleichwertig (OLG Koeln 6 U 80/23) -->
+        <button @click="rejectAll" class="btn-secondary">Nur Notwendige</button>
+        <button @click="acceptAll" class="btn-primary">Alle akzeptieren</button>
+      </div>
+    </aside>
+  </Teleport>
+</template>
+```
+
+```typescript
+// File: src/main.ts
+import { createApp } from 'vue';
+import { createPinia } from 'pinia';
+import App from './App.vue';
+import router from './router';
+
+const app = createApp(App);
+app.use(createPinia());
+app.use(router);
+
+// KEIN Tracker-Init hier — erst nach Consent-Event
+window.addEventListener('consent:granted', (event: any) => {
+  if (event.detail?.analytics) {
+    import('./trackers/analytics').then(m => m.init());
+  }
+});
+
+app.mount('#app');
+```
+
+## AVV / DPA
+
+- Hosting (Vite-Build static / Nuxt SSR auf Vercel/Netlify) — Art. 28 DSGVO
+- Optional Pinia-Persisted-Store-Provider (z.B. localStorage = kein AVV; backend-sync = AVV)
+- Tracker-Provider (Plausible EU / Matomo Cloud EU / self-hosted Umami) — AVV
+- Form-Backends (Formspree / FormBricks) — AVV bei Drittland: SCC + TIA
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Webanalyse (mit Einwilligung)
+
+Sofern Sie Ihre Einwilligung erteilen, verwenden wir <placeholder-analytics-provider>
+zur statistischen Auswertung der Webseiten-Nutzung. Verarbeitete Daten:
+- Anonymisierte Besuchsdauer
+- Referrer (ohne Query)
+- Geraet-Typ (Desktop/Mobile)
+
+**Anbieter:** <placeholder-analytics-provider>, Sitz <placeholder-eu-country>
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG
+**Speicherdauer:** <placeholder-days> Tage
+**Widerruf:** [Cookie-Einstellungen](#cookie-settings) im Footer
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. Banner visible bei Erstbesuch
+curl -sS https://<placeholder-domain>/ | grep -ic "cookie-banner\|cookie-einwilligung"
+
+# 2. Tracker-Bundle nicht im initial-load
+curl -sS https://<placeholder-domain>/ | grep -oE 'src="[^"]*\.js"' | grep -i "analytics\|tracker"
+# Erwartung: leer oder nur lazy-chunk-Hashes
+
+# 3. Playwright: Tracker-Request erst nach Accept
+npx playwright test e2e/consent.spec.ts
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `cookie-audit.ts`, `consent-flow-checker.ts`, `tracking-scan.ts`
+- Skill-Reference: `references/dsgvo.md` § 25 TDDDG, Art. 7 DSGVO
+- BGH-Rechtsprechung: `references/bgh-urteile.md` BGH I ZR 7/16
+- OLG-Rechtsprechung: OLG Koeln 6 U 80/23 (Button-Gleichwertigkeit)
+- Audit-Pattern: `references/audit-patterns.md` Phase 2 (Cookie-Audit)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/vue/dse-i18n-pattern.md

@@ -0,0 +1,204 @@
+---
+license: MIT (snippet)
+provider: Nuxt 3 + @nuxtjs/i18n (Open-Source)
+last-checked: 2026-05-05
+purpose: Nuxt-i18n DSE-Pattern fuer mehrsprachige Datenschutzerklaerung mit Locale-Routing.
+---
+
+# Nuxt-i18n — DSE-Pattern (mehrsprachig)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `@nuxtjs/i18n` in Dependencies
+- `nuxt.config.ts` mit `modules: ['@nuxtjs/i18n']`
+- `i18n/locales/*.json` oder `i18n/locales/*.ts` Locale-Files
+- `useI18n` / `$t` in Components
+- Routes wie `/de/datenschutz`, `/en/privacy`
+
+Pattern: DSE existiert in mehreren Sprachen — DE-Version ist rechtlich-verbindlich, EN-Version erklaerend. Locale-Detection bestimmt Default-View, Banner-Text und DSE-Inhalt.
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- Default-Locale-Detection via `Accept-Language`-Header → kann Drittland-IP triggern
+- Cookie `i18n_redirected` gesetzt ohne § 25 TDDDG-Check
+- DSE-Versionen koennen drift (DE updated, EN nicht)
+- Cookie-Banner-Text aus EN-Locale falls IP nicht-DE → User versteht Banner nicht
+- Fehlende `hreflang`-Tags → SEO + Transparenz
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| `i18n_redirected`-Cookie ohne Consent | § 25 TDDDG | HOCH | als notwendiger Cookie deklarieren oder als Session entfernen |
+| DSE-Versionen drift zwischen Sprachen | Art. 12 DSGVO Klarheit | KRITISCH | CI-Check `last-updated` synchron |
+| Banner-Text in falscher Sprache | EuGH C-673/17 (Klarheit) | HOCH | DE-Default fuer DE-Visitors via IP-Geolocation |
+| Locale-Detection mit IP-Geo | Art. 6 Abs. 1 DSGVO | MITTEL | nur Accept-Language, kein IP-Lookup |
+| Fehlende `hreflang`-Tags | SEO / DSGVO Transparenz | NIEDRIG | `<link hreflang="de">` setzen |
+
+## Code-Pattern (sanitized)
+
+```typescript
+// File: nuxt.config.ts
+export default defineNuxtConfig({
+  modules: ['@nuxtjs/i18n'],
+  i18n: {
+    defaultLocale: 'de',
+    locales: [
+      { code: 'de', iso: 'de-DE', file: 'de.json', name: 'Deutsch' },
+      { code: 'en', iso: 'en-US', file: 'en.json', name: 'English' },
+    ],
+    strategy: 'prefix_except_default',  // / = de, /en = en
+    detectBrowserLanguage: {
+      useCookie: true,
+      cookieKey: 'i18n_redirected',
+      cookieSecure: true,
+      cookieCrossOrigin: false,
+      redirectOn: 'root',
+      // KEIN IP-Geo-Lookup
+    },
+  },
+});
+```
+
+```json
+// File: i18n/locales/de.json (Auszug)
+{
+  "cookie": {
+    "title": "Cookie-Einwilligung",
+    "intro": "Wir nutzen Cookies fuer notwendige Funktionen. Mit Ihrer Einwilligung zusaetzlich fuer Webanalyse.",
+    "moreInfo": "Details in der",
+    "privacyLink": "Datenschutzerklaerung",
+    "rejectAll": "Nur Notwendige",
+    "acceptAll": "Alle akzeptieren",
+    "settings": "Einstellungen"
+  },
+  "privacy": {
+    "title": "Datenschutzerklaerung",
+    "lastUpdated": "Stand: {date}",
+    "version": "Version {version}"
+  }
+}
+```
+
+```json
+// File: i18n/locales/en.json (Auszug — informational, NICHT rechtsverbindlich)
+{
+  "cookie": {
+    "title": "Cookie Consent",
+    "intro": "We use cookies for essential functions. With your consent additionally for analytics.",
+    "moreInfo": "Details in our",
+    "privacyLink": "Privacy Policy",
+    "rejectAll": "Only Essential",
+    "acceptAll": "Accept All",
+    "settings": "Settings"
+  },
+  "privacy": {
+    "title": "Privacy Policy",
+    "lastUpdated": "Last updated: {date}",
+    "version": "Version {version}",
+    "legalNote": "This is a translation. The German version is legally binding."
+  }
+}
+```
+
+```vue
+<!-- File: pages/datenschutz.vue / pages/privacy.vue -->
+<script setup lang="ts">
+const { locale, t } = useI18n();
+const localePath = useLocalePath();
+
+useHead(() => ({
+  htmlAttrs: { lang: locale.value },
+  title: t('privacy.title'),
+  link: [
+    { rel: 'alternate', hreflang: 'de', href: '<placeholder-domain>/datenschutz' },
+    { rel: 'alternate', hreflang: 'en', href: '<placeholder-domain>/en/privacy' },
+    { rel: 'alternate', hreflang: 'x-default', href: '<placeholder-domain>/datenschutz' },
+  ],
+}));
+
+// Last-updated wird aus Frontmatter eines lokalen Content-Files gelesen
+const { data: legal } = await useAsyncData('privacy', () =>
+  queryContent(`/legal/${locale.value}/privacy`).findOne()
+);
+</script>
+
+<template>
+  <article class="legal">
+    <header>
+      <h1>{{ t('privacy.title') }}</h1>
+      <p class="meta">
+        {{ t('privacy.lastUpdated', { date: legal?.lastUpdated }) }}
+        — {{ t('privacy.version', { version: legal?.version }) }}
+      </p>
+      <p v-if="locale !== 'de'" class="legal-note">
+        <strong>{{ t('privacy.legalNote') }}</strong>
+        <RouterLink :to="localePath('/datenschutz', 'de')">DE</RouterLink>
+      </p>
+    </header>
+    <ContentDoc :path="`/legal/${locale}/privacy`" />
+  </article>
+</template>
+```
+
+## AVV / DPA
+
+- Hosting-Provider mit EU-SSR-Region — Art. 28 DSGVO
+- Cookie `i18n_redirected` = First-Party, kein AVV
+- Translation-Service (falls extern, z.B. DeepL Pro) — AVV erforderlich
+- Content-Lieferant fuer DSE-Texte (Anwalt/Lawyer) — Werkvertrag, kein AVV (kein Daten-Verarbeiter)
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Sprachversionen
+
+Diese Datenschutzerklaerung ist in mehreren Sprachversionen verfuegbar.
+Rechtsverbindlich ist ausschliesslich die **deutsche Version**. Andere
+Sprachversionen dienen lediglich dem Verstaendnis.
+
+**Verfuegbare Sprachen:**
+- Deutsch (verbindlich): `<placeholder-domain>/datenschutz`
+- English (informational): `<placeholder-domain>/en/privacy`
+
+### Sprach-Praeferenz-Cookie
+
+Wir setzen einen Cookie `i18n_redirected` zur Speicherung Ihrer
+Sprach-Praeferenz. Dieser Cookie ist technisch notwendig (Art. 6 Abs. 1
+lit. f DSGVO i.V.m. § 25 Abs. 2 Nr. 2 TDDDG) und erfordert keine
+Einwilligung.
+
+**Speicherdauer:** 365 Tage. **Inhalt:** ausschliesslich der gewaehlte
+Locale-Code (z.B. `de` oder `en`).
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. hreflang-Tags vorhanden
+curl -sS https://<placeholder-domain>/datenschutz | grep -oE 'hreflang="[^"]+"' | sort -u
+# Erwartung: hreflang="de", hreflang="en", hreflang="x-default"
+
+# 2. lang-Attribut korrekt pro Locale
+curl -sS https://<placeholder-domain>/datenschutz | grep -oE 'lang="[a-z]+"' | head -1
+# Erwartung: lang="de"
+curl -sS https://<placeholder-domain>/en/privacy | grep -oE 'lang="[a-z]+"' | head -1
+# Erwartung: lang="en"
+
+# 3. last-updated synchron zwischen Locales (CI-Check)
+DE_DATE=$(grep -oE 'lastUpdated: [0-9-]+' content/legal/de/privacy.md | head -1)
+EN_DATE=$(grep -oE 'lastUpdated: [0-9-]+' content/legal/en/privacy.md | head -1)
+[ "$DE_DATE" = "$EN_DATE" ] && echo "OK" || echo "DRIFT: DE=$DE_DATE EN=$EN_DATE"
+
+# 4. legalNote in EN-Version sichtbar
+curl -sS https://<placeholder-domain>/en/privacy | grep -ic "legally binding\|german version"
+# Erwartung: >=1
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `i18n-drift-checker.ts`, `dse-completeness-checker.ts`
+- Skill-Reference: `references/dsgvo.md` Art. 12 (Klarheit), Art. 13 (Informationspflichten)
+- BGH-Rechtsprechung: `references/bgh-urteile.md`
+- Audit-Pattern: `references/audit-patterns.md` Phase 1 (DSE-Vollstaendigkeit), Phase 5 (Multi-Locale-Drift)