@aegis-scan/skills 0.5.0 → 0.5.2

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/vue/nuxt-vs-vue-only-pattern.md

@@ -0,0 +1,197 @@
+---
+license: MIT (snippet)
+provider: Nuxt 3 / Vue 3 (Open-Source)
+last-checked: 2026-05-05
+purpose: Nuxt 3 SSR vs Vue-only SPA Hydration-Pattern fuer DSGVO-konforme Tracker-Initialisierung.
+---
+
+# Nuxt vs Vue-only — Hydration-Pattern (Tracker-Lazy-Init)
+
+## Trigger / Detection
+
+Nuxt 3 Repo:
+- `nuxt.config.ts` mit `ssr: true` (Default)
+- `package.json` enthaelt `nuxt`
+- `composables/`, `plugins/`, `server/` Top-Level Folders
+- `useFetch`, `useState`, `useNuxtApp` in Components
+
+Vue-only Repo:
+- `vite.config.ts` + `vue` Dependency (kein nuxt)
+- `index.html` als Entry mit `<div id="app">`
+- `main.ts` mit `createApp`
+
+Hydration-Issue: Nuxt rendered HTML serverseitig + hydratiert clientseitig. Tracker-Calls in `setup()` feuern auf BEIDEN Seiten = Daten doppelt + Tracker fuer NICHT-eingewilligte Users serverseitig geladen.
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+Nuxt-Default:
+- `setup()` laeuft auf Server UND Client → fetch-Aufrufe doppelt
+- `process.client` / `import.meta.client` Check fehlt oft → SSR-Crash bei `localStorage`-Access
+- Tracker im Default-Layout `app.vue` laed ueber `<Head>` → vor jeder Banner-Logik
+- Cookies werden vom Server ausgelesen ohne Consent-Check
+
+Vue-only:
+- Kein SSR, daher kein Hydration-Problem, ABER kein SEO ohne Pre-Rendering
+- Tracker in `main.ts` startet bevor Banner-Komponente mounted
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| Tracker in Nuxt-Layout `<Head>` | § 25 TDDDG | KRITISCH | `useHead` nur nach `consent:granted` Event |
+| `localStorage` in `setup()` ohne Client-Check | DSGVO Art. 25 | HOCH | `if (import.meta.client)` Guard |
+| Server-Side Cookie-Read ohne Consent | § 25 TDDDG | KRITISCH | `useCookie` mit Consent-Pruefung |
+| Hydration-Mismatch zeigt Banner kurz | UX / Vertrauen | MITTEL | `v-if="mounted"` + `useState('mounted', () => false)` |
+| Drittland-CDN fuer Vue-Vendor-Bundle | Art. 44 DSGVO | HOCH | Self-host Bundle, EU-CDN |
+
+## Code-Pattern (sanitized)
+
+### Nuxt 3 Pattern
+
+```typescript
+// File: plugins/consent.client.ts (Pflicht: .client.ts Suffix → nur Client)
+import { defineNuxtPlugin } from '#app';
+
+export default defineNuxtPlugin(() => {
+  const STORAGE_KEY = 'cookie-consent';
+  const raw = localStorage.getItem(STORAGE_KEY);
+  if (!raw) return;
+  try {
+    const consent = JSON.parse(raw);
+    if (consent.analytics) {
+      // Lazy-Load Tracker-Modul erst hier
+      import('~/utils/analytics').then(m => m.init());
+    }
+  } catch {
+    /* ignore */
+  }
+});
+```
+
+```vue
+<!-- File: components/CookieBanner.vue -->
+<script setup lang="ts">
+const mounted = useState('cookie-banner-mounted', () => false);
+const visible = useState('cookie-banner-visible', () => false);
+
+onMounted(() => {
+  mounted.value = true;
+  if (!localStorage.getItem('cookie-consent')) {
+    visible.value = true;
+  }
+});
+
+function persist(consent: { analytics: boolean; marketing: boolean }) {
+  const final = { necessary: true, ...consent, version: '1.0', timestamp: new Date().toISOString() };
+  localStorage.setItem('cookie-consent', JSON.stringify(final));
+  visible.value = false;
+  if (consent.analytics) import('~/utils/analytics').then(m => m.init());
+}
+</script>
+
+<template>
+  <ClientOnly>
+    <Teleport to="body">
+      <aside v-if="mounted && visible" role="dialog" class="cookie-banner">
+        <p>Cookie-Hinweis-Text. <NuxtLink to="/datenschutz">Datenschutz</NuxtLink></p>
+        <button @click="persist({ analytics: false, marketing: false })">Nur Notwendige</button>
+        <button @click="persist({ analytics: true, marketing: true })">Alle akzeptieren</button>
+      </aside>
+    </Teleport>
+  </ClientOnly>
+</template>
+```
+
+```typescript
+// File: nuxt.config.ts
+export default defineNuxtConfig({
+  ssr: true,
+  app: {
+    head: {
+      htmlAttrs: { lang: 'de' },
+      // KEINE Tracker-Scripts hier — bleiben aussen
+    },
+  },
+  routeRules: {
+    '/api/track/**': { cors: false },  // Same-Origin enforced
+  },
+});
+```
+
+### Vue-only Pattern (kein SSR)
+
+```typescript
+// File: src/main.ts
+import { createApp } from 'vue';
+import App from './App.vue';
+
+// KEIN Tracker-Init hier
+const app = createApp(App);
+
+window.addEventListener('consent:granted', async (e: any) => {
+  if (e.detail?.analytics) {
+    const m = await import('./trackers/analytics');
+    m.init();
+  }
+});
+
+app.mount('#app');
+```
+
+## AVV / DPA
+
+Nuxt SSR + Vercel/Netlify Edge:
+- SSR-Function-Region MUSS auf EU gepinnt sein (`vercel.json` `regions: ['fra1']`)
+- AVV mit Hosting-Provider Pflicht
+- Bei Nitro-Self-Host: keine zusaetzliche AVV, aber Hosting-AVV bleibt
+
+Vue-only Static:
+- Hosting-AVV
+- Optional: Form-Service / Backend-API (separate AVV)
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Server-Side Rendering und Hosting
+
+Diese Webseite verwendet Server-Side Rendering (SSR) bei Nuxt 3. Initiale
+HTML-Generierung findet auf <placeholder-hosting-provider>-Servern in der
+Region <placeholder-eu-region> statt.
+
+**Verarbeitete Daten beim Initial-Render:**
+- IP-Adresse (anonymisiert auf /24 in Server-Logs)
+- User-Agent
+- Sprach-Header (`Accept-Language`)
+- Referrer (ohne Query-String)
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an
+sicherem Webseitenbetrieb).
+**Speicherdauer Logs:** 14 Tage, danach Loeschung.
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. SSR-HTML enthaelt KEINEN Tracker-Script
+curl -sS https://<placeholder-domain>/ | grep -ic "<script[^>]*analytics\|gtag\|fbq"
+# Erwartung: 0
+
+# 2. Banner nicht im initial SSR-HTML (vermeidet Flash)
+curl -sS https://<placeholder-domain>/ | grep -ic "cookie-banner"
+# Erwartung: 0 (wird via ClientOnly nachgeladen)
+
+# 3. Region-Check (Nuxt SSR Edge)
+curl -sI https://<placeholder-domain>/ | grep -i "x-vercel-id\|server"
+# Erwartung: fra1 / cdg1 / ams1 etc. (EU-Region)
+
+# 4. Hydration ohne Mismatch
+# Browser-Console: kein Vue-Warning "[Vue warn]: Hydration mismatch"
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `ssr-data-leak-checker.ts`, `tracking-scan.ts`, `region-pinning-checker.ts`
+- Skill-Reference: `references/dsgvo.md` Art. 44 (Drittland), § 25 TDDDG
+- BGH-Rechtsprechung: `references/bgh-urteile.md`
+- EDPB: `references/eu-edpb-guidelines.md` (Schrems II Folgen)
+- Audit-Pattern: `references/audit-patterns.md` Phase 3 (Drittland-Audit)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/vue/tracking-pinia-pattern.md

@@ -0,0 +1,211 @@
+---
+license: MIT (snippet)
+provider: Vue 3 + Pinia (Open-Source)
+last-checked: 2026-05-05
+purpose: Pinia-Store fuer Consent-State + Tracker-Gate Pattern mit Subscriber-Watch.
+---
+
+# Vue/Pinia — Tracking-Store (Pattern)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `pinia` in `package.json`
+- `src/stores/*.ts` Pinia-Stores
+- `defineStore('consent', ...)` oder vergleichbar
+- Optional: `pinia-plugin-persistedstate` fuer localStorage-Sync
+
+Pattern: zentraler Store fuer Consent + Tracker-Aktivierung. Komponenten subscriben statt direktem `useConsent`-Composable.
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- Pinia-State liegt im Memory → kein Persist ohne Plugin
+- Tracker-SDKs in Components separat initialisiert → mehrfach-Init bei Re-Mount
+- Persist-Plugin schreibt Consent-State, aber auch UI-State unkontrolliert in localStorage
+- `$subscribe` lauscht auf alle Mutations → Tracker triggert bei UI-Klicks (FP)
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| Tracker mehrfach initialisiert | Performance / DSGVO Daten-Min | MITTEL | Singleton-Init im Plugin |
+| Persist-Plugin speichert PII unverschluesselt | Art. 32 DSGVO | HOCH | Whitelist `paths: ['consent']` |
+| Subscriber feuert Tracker bei UI-State-Change | DSGVO Art. 5 lit. b Zweckbindung | HOCH | Watcher auf `consent.analytics` only |
+| Missing Tracker-Teardown bei Widerruf | Art. 7 Abs. 3 DSGVO | HOCH | `$reset` + `unloadAnalytics()` |
+| Drittland-Provider unverhandelt | Art. 44 DSGVO | KRITISCH | EU-Provider + AVV |
+
+## Code-Pattern (sanitized)
+
+```typescript
+// File: src/stores/consent.ts
+import { defineStore } from 'pinia';
+
+export type Consent = {
+  necessary: true;
+  analytics: boolean;
+  marketing: boolean;
+  timestamp: string | null;
+  version: '1.0';
+};
+
+const defaultConsent: Consent = {
+  necessary: true,
+  analytics: false,
+  marketing: false,
+  timestamp: null,
+  version: '1.0',
+};
+
+export const useConsentStore = defineStore('consent', {
+  state: (): Consent => ({ ...defaultConsent }),
+
+  getters: {
+    hasDecided: (s) => s.timestamp !== null,
+  },
+
+  actions: {
+    grant(partial: Partial<Pick<Consent, 'analytics' | 'marketing'>>) {
+      this.$patch({
+        ...partial,
+        timestamp: new Date().toISOString(),
+      });
+      // Server-side log fuer Nachweispflicht
+      fetch('/api/consent-log', {
+        method: 'POST',
+        headers: { 'Content-Type': 'application/json' },
+        body: JSON.stringify(this.$state),
+      });
+    },
+    revoke() {
+      this.$reset();
+      this.timestamp = new Date().toISOString();
+      // Tracker-Teardown
+      window.dispatchEvent(new CustomEvent('consent:revoked'));
+    },
+  },
+
+  persist: {
+    key: 'cookie-consent',
+    paths: ['necessary', 'analytics', 'marketing', 'timestamp', 'version'],  // Whitelist!
+  },
+});
+```
+
+```typescript
+// File: src/plugins/tracking.ts
+import { useConsentStore } from '@/stores/consent';
+import { watch } from 'vue';
+
+let analyticsLoaded = false;
+
+export function setupTrackingWatchers() {
+  const store = useConsentStore();
+
+  // Watcher feuert NUR bei aenderung von analytics-Flag
+  watch(
+    () => store.analytics,
+    (next) => {
+      if (next && !analyticsLoaded) {
+        loadAnalytics();
+        analyticsLoaded = true;
+      }
+      if (!next && analyticsLoaded) {
+        unloadAnalytics();
+        analyticsLoaded = false;
+      }
+    },
+    { immediate: true }
+  );
+}
+
+function loadAnalytics() {
+  const s = document.createElement('script');
+  s.src = 'https://<placeholder-eu-analytics-host>/script.js';
+  s.async = true;
+  s.dataset.domain = '<placeholder-domain>';
+  document.head.appendChild(s);
+  console.log('[tracking] analytics loaded');
+}
+
+function unloadAnalytics() {
+  document.querySelectorAll('script[data-domain]').forEach(s => s.remove());
+  // Cookies invalidieren
+  document.cookie.split(';').forEach(c => {
+    const name = c.split('=')[0]?.trim();
+    if (name?.startsWith('_pa_') || name?.startsWith('_ga')) {
+      document.cookie = `${name}=; max-age=0; path=/`;
+    }
+  });
+}
+```
+
+```typescript
+// File: src/main.ts
+import { createApp } from 'vue';
+import { createPinia } from 'pinia';
+import piniaPluginPersistedstate from 'pinia-plugin-persistedstate';
+import App from './App.vue';
+import { setupTrackingWatchers } from './plugins/tracking';
+
+const pinia = createPinia();
+pinia.use(piniaPluginPersistedstate);
+
+const app = createApp(App);
+app.use(pinia);
+app.mount('#app');
+
+// Tracking-Watchers nach Mount aufsetzen
+setupTrackingWatchers();
+```
+
+## AVV / DPA
+
+- Hosting-Provider — Art. 28 DSGVO
+- Analytics-Provider (EU-Region) — AVV Pflicht
+- pinia-plugin-persistedstate: schreibt nur in localStorage = kein AVV (Browser-Storage = First-Party)
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Speicherung Ihrer Consent-Entscheidung
+
+Wir speichern Ihre Cookie-Einwilligung in Ihrem Browser-Speicher
+(`localStorage`) unter dem Schluessel `cookie-consent`. Die Speicherung dient
+ausschliesslich der Nachweispflicht (Art. 7 Abs. 1 DSGVO).
+
+**Gespeicherte Daten:**
+- Zeitstempel Ihrer Entscheidung
+- Welche Cookie-Kategorien Sie aktiviert haben
+- Version der Einwilligungs-Vereinbarung
+
+Es findet keine Uebertragung an Dritte statt. Die Daten verbleiben in Ihrem
+Browser. Sie koennen die Speicherung jederzeit ueber die Browser-Einstellungen
+loeschen oder ueber den [Cookie-Einstellungen](#cookie-settings)-Link im Footer.
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. localStorage-Key korrekt
+echo "JS in DevTools:"
+echo "  JSON.parse(localStorage.getItem('cookie-consent'))"
+# Erwartung: { necessary: true, analytics: bool, marketing: bool, timestamp: ..., version: "1.0" }
+
+# 2. Tracker-Script erst nach Accept
+# DevTools-Network-Tab vor + nach Accept-Button-Click pruefen
+
+# 3. Revoke-Action entfernt Tracker-Cookies
+# DevTools: localStorage.removeItem('cookie-consent') + reload
+# document.cookie sollte keine _pa_/_ga-Eintraege mehr enthalten
+
+# 4. Pinia Persist nur whitelisted paths
+# DevTools: localStorage.getItem('cookie-consent')
+# Erwartung: nur consent-Felder, keine UI-State-Reste
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `state-leak-checker.ts`, `tracking-scan.ts`, `consent-flow-checker.ts`
+- Skill-Reference: `references/dsgvo.md` § 25 TDDDG, Art. 7 (Nachweispflicht)
+- BGH-Rechtsprechung: `references/bgh-urteile.md` BGH I ZR 7/16
+- Audit-Pattern: `references/audit-patterns.md` Phase 2 (Cookie-Audit), Phase 4 (Widerrufs-Test)

package/skills/compliance/aegis-native/brutaler-anwalt/references/strafrecht-steuer.md

@@ -178,7 +178,7 @@ Wenn die Site Mitarbeiter-Login enthaelt + keine separate Beschaeftigten-Datensc
 ```
 Finding: Datenpanne nicht innerhalb 72 h gemeldet
 - §: Art. 33 DSGVO + § 130 OWiG (Aufsichtspflicht)
-- Az.: OLG Hamm 4 U 75/23 (auch versehentliche Mails sind Datenpannen)
+- Az.: OLG Hamm 11 U 88/22 (20.01.2023) — auch versehentliche Mails sind Datenpannen, 100 EUR Schadensersatz pro Betroffenem
 - Strafrechtlich: § 263 StGB falls vorsaetzliche Verschleierung erkennbar
 - Bussgeld DSGVO: Stufe 1 (Art. 83 Abs. 4)
 - Risiko-Vektor:

package/skills/compliance/aegis-native/brutaler-anwalt/references/streitwerte.json

@@ -0,0 +1,176 @@
+{
+  "_comment": "Strukturierte Streitwert-DB fuer brutaler-anwalt v4.4.0+ Abmahn-Simulation. Jede Verstoss-Klasse hat (a) Base-Range, (b) Az.-Anker mit Source-URL, (c) Aktor-Multiplikatoren, (d) Branchen-Multiplikatoren. Werte basieren auf publizierten BGH/OLG/LG-Urteilen, BfDI/LDI-Bussgeldbescheiden 2020-2025. Disclaimer: indikativ, KEINE Rechtsberatung i.S.d. RDG §2.",
+  "_schema": {
+    "verstoss_klassen": "Objekt mit Verstoss-Slug als Key",
+    "fields_pro_klasse": {
+      "name": "Lesbarer Verstoss-Name (de)",
+      "rechtsgrundlage": "§ / Art. Pflicht-Norm",
+      "streitwert_eur_min": "Untere Schadens-Range-Grenze EUR",
+      "streitwert_eur_max": "Obere Schadens-Range-Grenze EUR",
+      "az_anker": "BGH/EuGH/OLG/LG-Az. als Source-Anker",
+      "az_source_url": "Volltext-Link zur Quelle",
+      "aktor_multiplikatoren": "Faktor je nach Anwalts-Akteur (Standard 1.0, VZB 1.5, WBZ 2.0, Bekannt-Abmahn-RAK 2.5)",
+      "branchen_multiplikatoren": "Faktor je nach Branche (Standard 1.0, Heilberuf/MedTech 1.5)",
+      "schwere_faktoren": "Faktor je nach Severity (LOW 0.5, MED 1.0, HIGH 2.0, CRIT 4.0)",
+      "anwalts_kosten_geschaeftsgebuehr": "1.3 Geschaeftsgebuehr nach RVG bei Standard-Streitwert",
+      "notes": "Kontext / Anwendungsgrenzen / Vorsicht"
+    },
+    "version": "0.1.0 — initial, Stand 2026-05-15"
+  },
+
+  "verstoss_klassen": {
+    "google_fonts_ohne_consent": {
+      "name": "Google Fonts via Google-CDN ohne Consent",
+      "rechtsgrundlage": "Art. 6(1) DSGVO + § 25 TDDDG + Art. 13 DSGVO",
+      "streitwert_eur_min": 100,
+      "streitwert_eur_max": 500,
+      "az_anker": "LG Muenchen 3 O 17493/20",
+      "az_source_url": "https://medien-internet-und-recht.de/volltext.php?mir_dok_id=3119",
+      "aktor_multiplikatoren": {"standard": 1.0, "verbraucherzentrale": 1.5, "wettbewerbszentrale": 2.0, "abmahn_anwalt_bekannt": 2.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "heilberuf": 1.5, "spa_med": 1.3, "finance": 1.4},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 215,
+      "notes": "LG Muenchen 2022. Schadensersatz pro betroffener Person 100 EUR. Abmahn-Welle 2022-2023, Pop-In gegen Wallow/RAK Lenard."
+    },
+
+    "cookie_banner_fehlt": {
+      "name": "Cookie-Banner fehlt / pre-Consent-Tracking",
+      "rechtsgrundlage": "§ 25 TDDDG + EuGH C-673/17 Planet49",
+      "streitwert_eur_min": 1000,
+      "streitwert_eur_max": 15000,
+      "az_anker": "EuGH C-673/17 Planet49",
+      "az_source_url": "https://curia.europa.eu/juris/liste.jsf?num=C-673/17",
+      "aktor_multiplikatoren": {"standard": 1.0, "verbraucherzentrale": 1.5, "wettbewerbszentrale": 2.0, "abmahn_anwalt_bekannt": 2.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "heilberuf": 1.5, "spa_med": 1.3, "finance": 1.4, "ecommerce": 1.2},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 887,
+      "notes": "Aktive Welle 2023-2025. BfDI-Konsultations-Bescheide variieren stark."
+    },
+
+    "impressum_unvollstaendig": {
+      "name": "Impressum unvollstaendig oder verdeckt platziert",
+      "rechtsgrundlage": "§ 5 DDG (ehemals § 5 TMG)",
+      "streitwert_eur_min": 1500,
+      "streitwert_eur_max": 5000,
+      "az_anker": "BGH I ZR 218/07 Fehlendes Impressum",
+      "az_source_url": "https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&sid=&nr=46651",
+      "aktor_multiplikatoren": {"standard": 1.0, "verbraucherzentrale": 1.5, "wettbewerbszentrale": 2.0, "abmahn_anwalt_bekannt": 2.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "heilberuf": 1.5},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 627,
+      "notes": "Klassischer Wettbewerbszentrale-Abmahn-Vektor. 2-Klick-Regel BGH 2007."
+    },
+
+    "newsletter_ohne_doi": {
+      "name": "Newsletter ohne Double-Opt-In",
+      "rechtsgrundlage": "§ 7 Abs. 2 Nr. 2 UWG + Art. 6 DSGVO",
+      "streitwert_eur_min": 3000,
+      "streitwert_eur_max": 10000,
+      "az_anker": "BGH I ZR 218/07 (Single-Opt-In unzureichend)",
+      "az_source_url": "https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&sid=&nr=46651",
+      "aktor_multiplikatoren": {"standard": 1.0, "verbraucherzentrale": 1.5, "wettbewerbszentrale": 2.0, "abmahn_anwalt_bekannt": 2.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "ecommerce": 1.2, "saas": 1.1},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 745,
+      "notes": "BGH 11.03.2004. DOI ist Pflicht (selbst bei Bestandskunden teils unklar). Aktive Welle 2024-2025 (Gravenreuth)."
+    },
+
+    "agb_b2c_unwirksame_klausel": {
+      "name": "AGB B2C mit unwirksamer Klausel (§§ 305-310 BGB)",
+      "rechtsgrundlage": "§§ 305 ff. BGB + UWG § 3a iVm § 1 UKlaG",
+      "streitwert_eur_min": 2500,
+      "streitwert_eur_max": 15000,
+      "az_anker": "BGH XI ZR 26/20 (Genehmigungsfiktion AGB-Aenderung) + BGH VIII ZR 70/08 (Widerrufsbelehrung)",
+      "az_source_url": "https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&nr=59258",
+      "aktor_multiplikatoren": {"standard": 1.0, "verbraucherzentrale": 1.8, "wettbewerbszentrale": 2.2, "abmahn_anwalt_bekannt": 2.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "ecommerce": 1.3, "saas": 1.2, "finance": 1.5},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 887,
+      "notes": "Verbraucherzentralen-Hauptvektor. Mehrere unwirksame Klauseln = additive Streitwerte."
+    },
+
+    "drittland_us_ohne_scc": {
+      "name": "Drittland-Transfer USA ohne SCC / TIA",
+      "rechtsgrundlage": "Art. 44 ff. DSGVO + EuGH Schrems II",
+      "streitwert_eur_min": 10000,
+      "streitwert_eur_max": 100000,
+      "az_anker": "EuGH C-311/18 Schrems II",
+      "az_source_url": "https://curia.europa.eu/juris/liste.jsf?num=C-311/18",
+      "aktor_multiplikatoren": {"standard": 1.0, "verbraucherzentrale": 1.5, "wettbewerbszentrale": 2.0, "datenschutzbehoerde": 3.0, "abmahn_anwalt_bekannt": 2.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "heilberuf": 2.0, "finance": 2.0, "medtech": 2.5},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 1953,
+      "notes": "BfDI-Bescheide bis 35M EUR (H&M 2020). Schrems-II-Risiko bei jedem US-Provider ohne DPF + zusaetzliche TIA."
+    },
+
+    "art13_datenschutzerklaerung_unvollstaendig": {
+      "name": "Datenschutzerklaerung unvollstaendig (Art. 13/14 DSGVO)",
+      "rechtsgrundlage": "Art. 13/14 DSGVO + Art. 83 Abs. 5(b)",
+      "streitwert_eur_min": 2000,
+      "streitwert_eur_max": 25000,
+      "az_anker": "BfDI/LDI-Bescheide 2021-2025 (§-Norm-Anker — Art. 83(5)(b) DSGVO; einzelne Bescheide siehe references/bgh-urteile.md fuer EuGH C-300/21 + C-340/21 + C-687/21)",
+      "az_source_url": "https://www.bfdi.bund.de/DE/Service/Taetigkeitsberichte/Taetigkeitsberichte_node.html",
+      "aktor_multiplikatoren": {"standard": 1.0, "datenschutzbehoerde": 3.0, "verbraucherzentrale": 1.5, "wettbewerbszentrale": 1.8},
+      "branchen_multiplikatoren": {"standard": 1.0, "heilberuf": 2.0, "finance": 1.5, "ecommerce": 1.2},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 887,
+      "notes": "Art. 83(5)(b) DSGVO erlaubt bis 20M EUR / 4%. Realistic 5-25k bei mittelstaendischen Verstoessen."
+    },
+
+    "datenpanne_keine_meldung_72h": {
+      "name": "Datenpanne keine Meldung an Behoerde binnen 72h",
+      "rechtsgrundlage": "Art. 33 DSGVO + EuGH C-340/21",
+      "streitwert_eur_min": 25000,
+      "streitwert_eur_max": 500000,
+      "az_anker": "EuGH C-340/21 Bulgarische Steuerbehoerde",
+      "az_source_url": "https://curia.europa.eu/juris/liste.jsf?num=C-340/21",
+      "aktor_multiplikatoren": {"standard": 1.0, "datenschutzbehoerde": 3.0, "betroffener_individuell": 1.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "heilberuf": 2.5, "finance": 2.5, "medtech": 2.5},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 4127,
+      "notes": "Art. 83(4) DSGVO bis 10M EUR / 2%. Skalliert mit Anzahl betroffener Personen + Datenkategorie (Art-9 4x)."
+    },
+
+    "eudr_geolocation_fehlt": {
+      "name": "EUDR Geolocation pro Plot fehlt",
+      "rechtsgrundlage": "Art. 9 EUDR (VO 2023/1115)",
+      "streitwert_eur_min": 50000,
+      "streitwert_eur_max": 2000000,
+      "az_anker": "EUDR Art. 25 (§-Norm-Anker, keine Case-Law — Erstanwendung 30.12.2025 erwartet)",
+      "az_source_url": "https://eur-lex.europa.eu/eli/reg/2023/1115/oj",
+      "aktor_multiplikatoren": {"standard": 1.0, "nationale_behoerde": 3.0},
+      "branchen_multiplikatoren": {"standard": 1.0, "kaffee_importer": 1.5, "kakao_importer": 1.5, "soja_importer": 1.5, "palmoel_importer": 2.0},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 12000,
+      "notes": "Art. 25(2) EUDR: bis 4% des Unionsweiten Jahresumsatzes. Konfiskation der Ware (Art. 25(3)). Marktausschluss bis 12 Monate (Art. 25(4))."
+    },
+
+    "ai_act_verbotene_praktik": {
+      "name": "AI-Act verbotene Praktik (Art. 5)",
+      "rechtsgrundlage": "Art. 5 AI Act (VO 2024/1689) — seit 02.02.2025",
+      "streitwert_eur_min": 1000000,
+      "streitwert_eur_max": 35000000,
+      "az_anker": "Art. 99 Abs. 3 AI Act (§-Norm-Anker, keine Case-Law — Erstanwendung Q2/2025 erwartet)",
+      "az_source_url": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
+      "aktor_multiplikatoren": {"standard": 1.0, "nationale_behoerde": 3.0, "eu_ai_office": 3.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "hr": 2.0, "finance": 2.0, "edtech": 1.8, "behoerde": 2.5},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 36000,
+      "notes": "Art. 99(3): bis 35M EUR oder 7% weltweiter Jahresumsatz. Inkraft seit 02.02.2025."
+    },
+
+    "bfsg_barrierefreiheit_fehlt": {
+      "name": "BFSG Barrierefreiheit fehlt (B2C E-Commerce)",
+      "rechtsgrundlage": "BFSG + EN 301 549 / WCAG 2.1 AA",
+      "streitwert_eur_min": 5000,
+      "streitwert_eur_max": 100000,
+      "az_anker": "§ 22 BFSG iVm § 16 BFSGV (§-Norm-Anker, keine Case-Law — Stichtag 28.06.2025)",
+      "az_source_url": "https://www.gesetze-im-internet.de/bfsg/",
+      "aktor_multiplikatoren": {"standard": 1.0, "verbraucherzentrale": 1.5, "behoerde": 2.5, "verband_blindeb_behind": 2.0},
+      "branchen_multiplikatoren": {"standard": 1.0, "ecommerce": 1.3, "banking": 1.5},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 1100,
+      "notes": "Stichtag 28.06.2025 fuer alle B2C-E-Commerce ab Schwellenwerten. § 22 BFSG: bis 100k EUR Bussgeld."
+    }
+  }
+}