npm - @aegis-scan/skills - Versions diffs - 0.5.0 → 0.5.2 - Mend

@aegis-scan/skills 0.5.0 → 0.5.2

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (345) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/Joint-Controller-Vertrag-Art-26.md ADDED Viewed

@@ -0,0 +1,265 @@
+# Vereinbarung über gemeinsame Verantwortlichkeit nach Art. 26 DSGVO (Joint Controller Agreement)
+**Version**: v1.0 (2026-05-05)
+**Vorlagen-Typ**: Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) — **NICHT Auftragsverarbeitung** (Art. 28 DSGVO; siehe `AVV-standard-DE.md`)
+**Disclaimer**: Diese Vorlage stellt keine Rechtsberatung im Sinne § 2 RDG dar. Vor produktiver Verwendung individuelle anwaltliche Prüfung erforderlich. Die Abgrenzung Auftragsverarbeitung ↔ gemeinsame Verantwortlichkeit ist hochsensibel; eine Fehl-Klassifizierung kann erhebliche aufsichtsrechtliche Folgen haben (siehe EuGH "Fashion ID" C-40/17, "Wirtschaftsakademie Schleswig-Holstein" C-210/16, "Jehovan todistajat" C-25/17).
+---
+## Vorabgrenzung — Wann gilt Art. 26 DSGVO?
+**Gemeinsame Verantwortlichkeit** liegt vor, wenn **zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen** (Art. 26 Abs. 1 DSGVO).
+| Konstellation | Klassifikation | Vertrags-Vorlage |
+|---------------|----------------|------------------|
+| Eine Partei legt Zwecke + Mittel fest, andere Partei verarbeitet weisungsgebunden | **Auftragsverarbeitung** Art. 28 | `AVV-standard-DE.md` |
+| Beide Parteien legen Zwecke ODER Mittel **gemeinsam** fest | **gemeinsame Verantwortung** Art. 26 | dieses Dokument |
+| Beide Parteien verarbeiten dieselben Daten, aber **getrennt** und für **eigene Zwecke** | **getrennte Verantwortlichkeiten** (kein Art. 26-Vertrag) | i. d. R. nur Datenschutzhinweise |
+| Konzern-interne Datenflüsse | Einzelfall: oft Art. 26 oder gemeinsame Verarbeitungsverbund | Joint-Controller-Vertrag oder BCR |
+**Typische Anwendungsfälle Art. 26 DSGVO**:
+- Social-Plugin-Einbindung auf Website (Fashion ID)
+- Co-Marketing-Aktion zweier Unternehmen mit gemeinsamem Lead-Pool
+- Plattform-Anbieter + Plattform-Nutzer mit geteilter Daten-Hoheit (Wirtschaftsakademie / Facebook-Fanpage)
+- Konzern-interne Geschäftspartner-Datenbank
+- Forschungs-Konsortium mit gemeinsamer Datenbank
+- Affiliate-Partnerprogramm mit Tracking
+- Federated-Identity-Anbindungen
+---
+## Vertragsparteien
+**Gemeinsam Verantwortlicher A** (im Folgenden: „Verantwortlicher A"):
+> <Firma / Name>
+> <Anschrift>
+> <Vertretungsberechtigt>
+> <USt-IdNr / HRB>
+> Datenschutzbeauftragter: <Name + Kontakt>
+**Gemeinsam Verantwortlicher B** (im Folgenden: „Verantwortlicher B"):
+> <Firma / Name>
+> <Anschrift>
+> <Vertretungsberechtigt>
+> <USt-IdNr / HRB>
+> Datenschutzbeauftragter: <Name + Kontakt>
+> *Bei mehr als zwei Parteien: weitere Verantwortliche analog (Verantwortlicher C, D, …).*
+— im Folgenden gemeinsam: „die Parteien" oder „gemeinsam Verantwortliche" —
+---
+## Präambel
+Die Parteien beabsichtigen die **gemeinsame Verarbeitung** personenbezogener Daten im Rahmen der in **§ 1** beschriebenen Verarbeitungs-Tätigkeit. Da die Parteien gemeinsam Zwecke und Mittel der Verarbeitung festlegen, sind sie **gemeinsam Verantwortliche** im Sinne des Art. 26 DSGVO. Diese Vereinbarung regelt in transparenter Form die Verteilung der DSGVO-Pflichten und ist Vertragsbestandteil. Wesentliche Inhalte werden den betroffenen Personen gemäß Art. 26 Abs. 2 Satz 2 DSGVO in geeigneter Form zur Verfügung gestellt.
+---
+## § 1 Gegenstand der gemeinsamen Verarbeitung
+**§ 1.1 Beschreibung**: Gegenstand der gemeinsamen Verarbeitung ist:
+> <z. B. „Co-Marketing-Kampagne zur Akquise gemeinsamer Leads über eine geteilte Landing-Page mit Lead-Formular, dessen Eingaben in einem gemeinsamen CRM-System beider Parteien gespeichert und beworben werden."
+>
+> oder „Betrieb einer Affiliate-Plattform, auf der Verantwortlicher A die Tracking-Infrastruktur stellt und Verantwortlicher B Affiliate-Partner verwaltet; beide Parteien werten Conversion-Daten gemeinsam aus.">
+**§ 1.2 Festlegung gemeinsamer Zwecke und Mittel**: Die gemeinsam festgelegten Zwecke und Mittel umfassen:
+a) Zwecke:
+> <z. B. „Lead-Akquise, Marketing-Erfolgsmessung, gemeinsame Direktansprache der Betroffenen.">
+b) Mittel:
+> <z. B. „Gemeinsame Datenbank XYZ; gemeinsam definierte Datenfelder; gemeinsame Tracking-Pixel; gemeinsam vereinbarte Speicherdauer.">
+**§ 1.3 Rechtsgrundlage**: Die Verarbeitung stützt sich auf folgende Rechtsgrundlage(n) nach Art. 6 DSGVO (jeweils zu spezifizieren):
+- ☐ Einwilligung (Art. 6 Abs. 1 lit. a) — Wer holt sie ein? <…>
+- ☐ Vertragserfüllung (Art. 6 Abs. 1 lit. b) — Welcher Vertrag? <…>
+- ☐ Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) — Welche? <…>
+- ☐ Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) — Interesse + Abwägung <…>
+---
+## § 2 Aufgabenverteilung — Wer übernimmt welche DSGVO-Pflicht? (Art. 26 Abs. 1 Satz 2 DSGVO)
+**§ 2.1 Information der Betroffenen (Art. 13/14 DSGVO)**:
+| Pflicht | Verantwortlicher A | Verantwortlicher B |
+|---------|---------------------|---------------------|
+| Bereitstellung Datenschutzinformation auf Website / im UI | ☐ | ☐ |
+| Bereitstellung "wesentlicher Inhalt" dieses Joint-Controller-Vertrags an Betroffene (Art. 26 Abs. 2 S. 2) | ☐ | ☐ |
+| Pflege der Datenschutzhinweise | ☐ | ☐ |
+**§ 2.2 Betroffenenrechte (Art. 15–22 DSGVO)**:
+> Wichtig: Die betroffene Person kann nach Art. 26 Abs. 3 DSGVO ihre Rechte gegenüber **jedem** der Verantwortlichen geltend machen. Die interne Aufgabenverteilung berührt diesen Außenrechtsschutz nicht.
+| Pflicht | Verantwortlicher A | Verantwortlicher B | Frist |
+|---------|---------------------|---------------------|-------|
+| Erstkontakt / Empfang von Anfragen | ☐ Single-Point-of-Contact (SPOC) | ☐ Empfangsweiterleitung an SPOC | 1 Werktag |
+| Auskunft (Art. 15) | ☐ | ☐ | 30 Tage |
+| Berichtigung (Art. 16) | ☐ | ☐ | 30 Tage |
+| Löschung (Art. 17) | ☐ | ☐ | 30 Tage |
+| Einschränkung (Art. 18) | ☐ | ☐ | 30 Tage |
+| Datenübertragbarkeit (Art. 20) | ☐ | ☐ | 30 Tage |
+| Widerspruch (Art. 21) | ☐ | ☐ | 30 Tage |
+| Recht auf nicht-automatisierte Entscheidung (Art. 22) | ☐ | ☐ | unverzüglich |
+**§ 2.3 Datenpannen (Art. 33/34 DSGVO)**:
+| Pflicht | Verantwortlicher A | Verantwortlicher B | Frist |
+|---------|---------------------|---------------------|-------|
+| Erstmeldung an die jeweils andere Partei | ☐ | ☐ | unverzüglich, max. 24h |
+| Meldung an Aufsichtsbehörde (Art. 33) | ☐ federführend | ☐ unterstützend | 72h |
+| Benachrichtigung Betroffener (Art. 34) | ☐ federführend | ☐ unterstützend | unverzüglich |
+**§ 2.4 Sicherheit der Verarbeitung (Art. 32 DSGVO)**:
+| Pflicht | Verantwortlicher A | Verantwortlicher B |
+|---------|---------------------|---------------------|
+| TOMs für eigene Systeme | ☐ | ☐ |
+| TOMs für gemeinsame Systeme — federführend | ☐ | ☐ |
+| Periodische TOM-Reviews | ☐ jährlich | ☐ jährlich |
+**§ 2.5 Verfahrensverzeichnis (Art. 30 DSGVO)**: Beide Parteien führen jeweils ihr eigenes Verzeichnis und vermerken die gemeinsame Verarbeitung darin mit Verweis auf diese Vereinbarung.
+**§ 2.6 Datenschutz-Folgenabschätzung (Art. 35 DSGVO)**: Bei hohem Risiko führt **<Verantwortlicher A / B / gemeinsam>** die DSFA federführend durch; die jeweils andere Partei wirkt mit.
+**§ 2.7 Drittlands-Übermittlung**: Übermittlungen in Drittländer erfolgen nur mit beidseitiger Zustimmung + geeigneten Garantien (siehe SCC-Anhänge der AVV-Layer).
+---
+## § 3 Sicherheits-Maßnahmen
+**§ 3.1**: Die gemeinsam Verantwortlichen treffen TOMs nach Art. 32 DSGVO mindestens auf dem in **`AVV-anhang-TOMs.md`** beschriebenen Niveau.
+**§ 3.2**: Schnittstellen zwischen den Systemen der Parteien sind verschlüsselt (TLS ≥ 1.2); Authentifizierung erfolgt mittels gegenseitig vereinbarter Mechanismen (API-Schlüssel, OAuth2 mit kurzlebigen Tokens, mTLS).
+**§ 3.3 Audit-Recht der Parteien gegeneinander**: Jede Partei hat das Recht, die TOM-Einhaltung der anderen Partei für die gemeinsame Verarbeitung zu auditieren — analog **`AVV-anhang-Audit-Klausel-Varianten.md`** (Variante A/B/C).
+---
+## § 4 Pflichten gegenüber Betroffenen (Art. 26 Abs. 2 Satz 2 DSGVO)
+**§ 4.1 Wesentlicher Inhalt der Vereinbarung**: Den Betroffenen werden folgende wesentliche Inhalte dieser Vereinbarung in geeigneter Form (i. d. R. Datenschutzerklärung der primären Kontaktstelle) zur Verfügung gestellt:
+- ☐ Identität der gemeinsam Verantwortlichen
+- ☐ Zweck(e) der gemeinsamen Verarbeitung
+- ☐ Gegenstand der Verarbeitung
+- ☐ Aufgabenverteilung — wer übernimmt welche DSGVO-Pflicht (zumindest: wer ist primärer Ansprechpartner für Betroffenenrechte)
+- ☐ Hinweis: Betroffener kann Rechte gegenüber **jedem** der Verantwortlichen geltend machen
+- ☐ Kontakt-Informationen Datenschutzbeauftragte beider Parteien
+**§ 4.2 Single Point of Contact (SPOC)**: Trotz beidseitiger Verpflichtung benennen die Parteien einen primären Ansprechpartner für Betroffenenrechte:
+> Primärer Ansprechpartner: **<Verantwortlicher A / B>**
+> Kontakt: <Email + Postanschrift>
+---
+## § 5 Aufzeichnungspflichten
+**§ 5.1 Beide Parteien führen**:
+- ☐ Verfahrensverzeichnis für die gemeinsame Verarbeitung (Art. 30 DSGVO)
+- ☐ Audit-Log über Datenschutz-relevante Vorgänge
+- ☐ Dokumentation aller Betroffenenrechts-Anfragen + Antworten
+- ☐ Dokumentation aller Datenpannen-Meldungen (intern + an Aufsichtsbehörde)
+- ☐ Nachweis der Einhaltung der TOMs (jährlicher TOM-Review)
+---
+## § 6 Sub-Auftragsverarbeiter
+**§ 6.1**: Setzen die Parteien Auftragsverarbeiter zur Unterstützung der gemeinsamen Verarbeitung ein, schließen sie jeweils separate Auftragsverarbeitungsverträge nach Art. 28 DSGVO ab — entsprechend `AVV-standard-DE.md`.
+**§ 6.2**: Über den Einsatz neuer Auftragsverarbeiter im Bereich der gemeinsamen Verarbeitung informieren sich die Parteien gegenseitig mit angemessenem Vorlauf (mindestens 30 Kalendertage).
+---
+## § 7 Haftung und Schadensersatz (Art. 82 DSGVO)
+**§ 7.1**: Im Außenverhältnis haften die Parteien gegenüber Betroffenen nach Art. 82 DSGVO als Gesamtschuldner.
+**§ 7.2 Innenausgleich**: Im Innenverhältnis trägt jede Partei den Anteil am Schaden, der ihrem Verantwortungsbeitrag entspricht. Liegt eine ausschließliche Pflichtverletzung einer Partei vor, trägt diese den Schaden allein.
+**§ 7.3 Bußgelder (Art. 83 DSGVO)**: Bußgelder trägt diejenige Partei, der die Pflichtverletzung zuzurechnen ist. Bei beiderseitigem Verschulden anteilig nach Verschuldensgrad.
+**§ 7.4 Freistellung**: Wird eine Partei von einem Betroffenen oder einer Aufsichtsbehörde für eine Pflicht in Anspruch genommen, die nach § 2 dieser Vereinbarung der anderen Partei zugewiesen ist, stellt die jeweils zuständige Partei die andere Partei von Ansprüchen frei.
+---
+## § 8 Laufzeit, Kündigung und Beendigung
+**§ 8.1 Laufzeit**: Diese Vereinbarung tritt am <Startdatum> in Kraft und gilt für die Dauer der gemeinsamen Verarbeitung, mindestens für die Laufzeit der zugrundeliegenden Geschäftsbeziehung.
+**§ 8.2 Ordentliche Kündigung**: Mit Frist von <3 / 6> Monaten zum Quartalsende.
+**§ 8.3 Außerordentliche Kündigung**: jede Partei bei wesentlicher Pflichtverletzung der anderen Partei, insbesondere wiederholten DSGVO-Verstößen oder Verweigerung der Mitwirkungspflichten.
+**§ 8.4 Beendigungsfolgen**:
+- Gemeinsame Verarbeitung wird eingestellt.
+- Daten werden zwischen den Parteien aufgeteilt nach gemeinsamer Vereinbarung — jede Partei nimmt die ihr zustehenden Daten in eigene Verantwortung; Daten ohne klare Zuordnung werden gemeinsam gelöscht.
+- Aufzeichnungen + Audit-Logs werden 3 Jahre über das Vertragsende hinaus aufbewahrt (Beweissicherung für Aufsichtsanfragen).
+---
+## § 9 Schlussbestimmungen
+**§ 9.1 Schriftform**: Änderungen bedürfen der Textform.
+**§ 9.2 Salvatorische Klausel**: Unwirksamkeit einer Bestimmung berührt nicht die übrigen.
+**§ 9.3 Anwendbares Recht**: Recht der Bundesrepublik Deutschland; zwingende DSGVO-Vorschriften haben Vorrang.
+**§ 9.4 Gerichtsstand**: <Sitz Verantwortlicher A / B / nach Vereinbarung>.
+**§ 9.5 Vertragsanlagen**:
+| Anlage | Inhalt |
+|--------|--------|
+| 1 | Aufgabenverteilungs-Matrix (§ 2 — separat als Tabelle ausgefüllt) |
+| 2 | Datenschutzinformation für Betroffene (zu veröffentlichen — Art. 26 Abs. 2 S. 2) |
+| 3 | TOM-Katalog (siehe `AVV-anhang-TOMs.md`) |
+| 4 | Liste eingesetzter Auftragsverarbeiter beider Parteien (siehe `AVV-anhang-Sub-Processor-List.md` analog) |
+---
+**Ort, Datum, Unterschriften**:
+> _______________________________
+> Verantwortlicher A: <Name, Funktion>
+> Ort, Datum
+> _______________________________
+> Verantwortlicher B: <Name, Funktion>
+> Ort, Datum
+---
+## Anlage 2 — Datenschutzinformation für Betroffene (Mustertext)
+> **Information nach Art. 13 + Art. 26 Abs. 2 S. 2 DSGVO — Gemeinsame Verantwortlichkeit**
+>
+> Wir, **<Verantwortlicher A>** (Firma, Anschrift, Kontakt-Email) und **<Verantwortlicher B>** (Firma, Anschrift, Kontakt-Email), verarbeiten Ihre personenbezogenen Daten **gemeinsam verantwortlich** im Sinne des Art. 26 DSGVO im Rahmen folgender Verarbeitung: **<Beschreibung>**.
+>
+> **Zwecke**: <Zwecke>
+> **Rechtsgrundlage**: <Art. 6 Abs. 1 lit. a / b / f DSGVO>
+> **Datenkategorien**: <…>
+> **Speicherdauer**: <…>
+>
+> **Aufgabenverteilung zwischen uns**:
+> - Erstkontakt für Ihre Datenschutzrechte: **<Verantwortlicher A>** unter <Email>
+> - Datenpannen-Meldung an die Aufsichtsbehörde: federführend **<Verantwortlicher A / B>**
+> - Sicherheit der gemeinsamen Systeme: gemeinsam
+>
+> **Wichtig**: Sie können Ihre Rechte aus Art. 15–22 DSGVO **gegenüber jedem von uns** geltend machen — wir leiten Ihre Anfrage intern weiter und antworten gemeinsam.
+>
+> **Datenschutzbeauftragte**:
+> - <Verantwortlicher A>: <Name + Email>
+> - <Verantwortlicher B>: <Name + Email>
+>
+> **Beschwerderecht**: Sie haben das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen — i. d. R. derjenigen Ihres gewöhnlichen Aufenthalts.

package/skills/compliance/aegis-native/brutaler-anwalt/scripts/health-check.sh CHANGED Viewed

@@ -12,57 +12,71 @@ echo "▎ brutaler-anwalt Health-Check"
 echo "▎ Skill-Dir: $SKILL_DIR"
 echo
-# 1. Brand-Leak-Check — operator-customizable deny-list of brand-codenames
-# that must NOT appear in shipped skill content (SKILL.md / references / etc).
-#
-# CUSTOMIZATION: edit BRAND_PATTERN below to add your own brand-codenames
-# (single-bar-separated, regex-syntax). Example: if your projects are named
-# `acme-saas` and `bluefin`, set:
-#     BRAND_PATTERN="acme-saas|bluefin|your-internal-codename"
-# Defaults are placeholder examples; replace before relying on the check.
-#
-# The check reads the deny-list from a gitignored sibling file when present,
-# so operators can keep their real codenames out of the public skill repo.
-echo "1/5  Brand-Leak-Check…"
-LOCAL_DENY_FILE="$SKILL_DIR/scripts/brand-deny-list.local.txt"
-if [[ -f "$LOCAL_DENY_FILE" ]]; then
-  # one pattern per line, joined with | for grep -E
-  BRAND_PATTERN=$(grep -vE '^[[:space:]]*(#|$)' "$LOCAL_DENY_FILE" | tr '\n' '|' | sed 's/|$//')
-  if [[ -z "$BRAND_PATTERN" ]]; then
-    BRAND_PATTERN="placeholder-codename-example"
+# 1. Brand-Leak-Check — operator-internal QA gate.
+# Reads the brand-pattern from the BRUTALER_ANWALT_BRAND_PATTERN env-var
+# (operator's local shell or a local .envrc). Default is empty: public
+# users who install the skill see this check as a silent no-op. The
+# pattern is never embedded in tracked code -- it must not appear in
+# the source-of-truth of the published @aegis-scan/skills tarball.
+# Operator-local fallback: read from scripts/scrub-terms.local.txt
+# (relative to the repo root that contains this script's package).
+# Note: grep -l returns exit 1 on no-match — we tolerate that via
+# subshell+|| true so set -euo pipefail does not abort the script.
+echo "1/10 Brand-Leak-Check…"
+BRAND_PATTERN="${BRUTALER_ANWALT_BRAND_PATTERN:-}"
+if [[ -z "$BRAND_PATTERN" ]]; then
+  # Fallback: try to read from the operator-local gitignored file at the
+  # project root (only resolvable when this script is run from inside the
+  # AEGIS monorepo, NOT when the skill is installed standalone).
+  candidate="$SKILL_DIR/../../../../../../scripts/scrub-terms.local.txt"
+  if [[ -f "$candidate" ]]; then
+    BRAND_PATTERN=$(grep -v '^[[:space:]]*#' "$candidate" | grep -v '^[[:space:]]*$' | tr '\n' '|' | sed 's/|$//')
   fi
-else
-  BRAND_PATTERN="placeholder-codename-example|placeholder-internal-project"
 fi
-brand_hits=$( (grep -rEnli "$BRAND_PATTERN" \
-  "$SKILL_DIR/SKILL.md" "$SKILL_DIR/README.md" "$SKILL_DIR/LICENSE" "$SKILL_DIR/CHANGELOG.md" "$SKILL_DIR/references/" 2>/dev/null || true) \
-  | wc -l | tr -d ' ')
-if [[ "$brand_hits" == "0" ]]; then
-  echo "     ✓ keine Brand-Leaks (Pattern: $BRAND_PATTERN)"
+if [[ -z "$BRAND_PATTERN" ]]; then
+  echo "     ✓ no brand-pattern configured (operator-internal QA skipped)"
 else
-  echo "     ✗ $brand_hits Brand-Leak-Treffer:"
-  grep -rEni "$BRAND_PATTERN" \
-    "$SKILL_DIR/SKILL.md" "$SKILL_DIR/README.md" "$SKILL_DIR/LICENSE" "$SKILL_DIR/CHANGELOG.md" "$SKILL_DIR/references/" 2>/dev/null | head -10 || true
-  issues=$((issues + 1))
+  brand_hits=$( (grep -rEnli "$BRAND_PATTERN" \
+    "$SKILL_DIR/SKILL.md" "$SKILL_DIR/README.md" "$SKILL_DIR/LICENSE" "$SKILL_DIR/CHANGELOG.md" "$SKILL_DIR/references/" 2>/dev/null || true) \
+    | wc -l | tr -d ' ')
+  if [[ "$brand_hits" == "0" ]]; then
+    echo "     ✓ keine Brand-Leaks"
+  else
+    echo "     ✗ $brand_hits Brand-Leak-Treffer:"
+    grep -rEni "$BRAND_PATTERN" \
+      "$SKILL_DIR/SKILL.md" "$SKILL_DIR/README.md" "$SKILL_DIR/LICENSE" "$SKILL_DIR/CHANGELOG.md" "$SKILL_DIR/references/" 2>/dev/null | head -10 || true
+    issues=$((issues + 1))
+  fi
 fi
 # 2. Az.-Provenance — every entry should have a Source-URL
-echo "2/5  Az.-Provenance-Check…"
+echo "2/10 Az.-Provenance-Check…"
+# Az.-Eintraege = ### Headers, ABER nicht Pattern-Sections (### Wenn ...)
+# und nicht die Audit-Trigger-Sections die thematisch sind, keine Az.
 az_count=$( (grep -cE "^### " "$SKILL_DIR/references/bgh-urteile.md" 2>/dev/null || echo 0) | head -1)
+pattern_count=$( (grep -cE "^### Wenn " "$SKILL_DIR/references/bgh-urteile.md" 2>/dev/null || echo 0) | head -1)
+real_az=$((az_count - pattern_count))
 # Source-Verlinkung in beliebigem Markdown-Format: **Source**, "Source:", oder eingebetteter http(s)-Link.
-src_count=$( (grep -cE "\*\*Source\*\*|Source:|https?://(juris|curia|dejure|openjur|rewis|edpb|gesetze-im-internet|eur-lex|bverwg|bag-urteil|nrwe|wettbewerbszentrale|noerr|twobirds|bird-bird|alro-recht)" "$SKILL_DIR/references/bgh-urteile.md" 2>/dev/null || echo 0) | head -1)
-echo "     Az.-Eintraege: $az_count · Source-Verlinkungen: $src_count"
-if [[ "$src_count" -lt "$az_count" ]]; then
-  diff=$((az_count - src_count))
+src_count=$( (grep -cE "\*\*Source\*\*|Source:|https?://(juris|curia|dejure|openjur|rewis|edpb|gesetze-im-internet|eur-lex|bverwg|bag-urteil|nrwe|wettbewerbszentrale|noerr|twobirds|bird-bird|alro-recht|bfdi|datenschutz-berlin|lfd\.niedersachsen|taylorwessing|lto|llp-law|lennmed|medien-internet-und-recht|dataprotection\.ie|edpb\.europa|heise|bafin)" "$SKILL_DIR/references/bgh-urteile.md" 2>/dev/null || echo 0) | head -1)
+# Tolerated unsourced: VERDACHT-HALLUZINATION + DPF-Klage-anhaengig (intentionally unsourced)
+tolerated_count=$( (grep -cE "VERDACHT-HALLUZINATION|unverifiziert, da Verfahren" "$SKILL_DIR/references/bgh-urteile.md" 2>/dev/null || echo 0) | head -1)
+expected_src=$((real_az - tolerated_count))
+echo "     Az.-Eintraege (echte): $real_az · Source-Verlinkungen: $src_count · Toleriert (Halluzin/anhaengig): $tolerated_count"
+if [[ "$src_count" -lt "$expected_src" ]]; then
+  diff=$((expected_src - src_count))
   echo "     ⚠ $diff Eintraege ohne Source-Verlinkung — Provenance-Disziplin §5 pruefen"
   issues=$((issues + 1))
 else
-  echo "     ✓ alle Eintraege haben Source-Verlinkung"
+  echo "     ✓ alle Az.-Eintraege haben Source-Verlinkung (modulo $tolerated_count tolerierte)"
 fi
 # 3. Verzeichnis-Vollstaendigkeit
-echo "3/5  Verzeichnis-Vollstaendigkeit…"
-required=("SKILL.md" "README.md" "LICENSE" "CHANGELOG.md" \
+echo "3/10 Verzeichnis-Vollstaendigkeit…"
+required=("SKILL.md" "README.md" "LICENSE" "CHANGELOG.md" "settings.json" \
+  ".claude-plugin/plugin.json" \
+  "hooks/post_write.py" "hooks/session_start.py" "hooks/prompt_submit.py" "hooks/triggers.json" \
+  "commands/cold-start.md" "commands/health.md" \
+  "references/INDEX.md" \
   "references/audit-patterns.md" "references/dsgvo.md" "references/it-recht.md" \
   "references/vertragsrecht.md" "references/checklisten.md" "references/branchenrecht.md" \
   "references/bgh-urteile.md" "references/abmahn-templates.md" "references/aegis-integration.md" \
@@ -86,7 +100,7 @@ else
 fi
 # 4. SKILL.md Reference-Loading-Map → File-Vorhandensein
-echo "4/5  Reference-Loading-Map konsistent…"
+echo "4/10 Reference-Loading-Map konsistent…"
 map_files=$(grep -oE 'references/[a-z_-]+\.md' "$SKILL_DIR/SKILL.md" 2>/dev/null | sort -u)
 for f in $map_files; do
   if [[ ! -f "$SKILL_DIR/$f" ]]; then
@@ -96,18 +110,146 @@ for f in $map_files; do
 done
 echo "     ✓ alle in SKILL.md referenzierten Files vorhanden"
-# 5. Templates ohne Brand-Leak — re-uses the BRAND_PATTERN configured above
-# in section 1. Templates must not contain any operator-specific codename.
-echo "5/5  Templates anonymisiert…"
-template_brand_hits=$( (grep -rEnli "$BRAND_PATTERN" \
-  "$SKILL_DIR/references/templates/" 2>/dev/null || true) | wc -l | tr -d ' ')
-if [[ "$template_brand_hits" == "0" ]]; then
-  echo "     ✓ alle Templates anonymisiert"
+# 5. Templates ohne Brand-Leak — reuses BRAND_PATTERN from check 1 above.
+# Public users with no pattern configured see this as a silent no-op.
+echo "5/10 Templates anonymisiert…"
+if [[ -z "$BRAND_PATTERN" ]]; then
+  echo "     ✓ no brand-pattern configured (operator-internal QA skipped)"
+else
+  template_brand_hits=$( (grep -rEnli "$BRAND_PATTERN" \
+    "$SKILL_DIR/references/templates/" 2>/dev/null || true) | wc -l | tr -d ' ')
+  if [[ "$template_brand_hits" == "0" ]]; then
+    echo "     ✓ alle Templates anonymisiert"
+  else
+    echo "     ✗ Templates enthalten Brand-Refs (sollten anonym sein):"
+    grep -rEni "$BRAND_PATTERN" \
+      "$SKILL_DIR/references/templates/" 2>/dev/null | head -10 || true
+    issues=$((issues + 1))
+  fi
+fi
+# 6. Az-Cross-File-Konsistenz (V4.0-Lesson, post-E.1-Cleanup-Lesson 2026-05-02)
+# Detekt: bekannte verworfene Az. die als AKTIVE Citation auftauchen (nicht als Doku-Note)
+# Toleriert: Provenance-Notes / VERDACHT-HALLUZINATION-Tags / „verworfen" / Lesson-Kontext.
+echo "6/10 Az-Cross-File-Konsistenz (aktive Drifts)…"
+DRIFT_FOUND=0
+# 6a. OLG Hamm 4 U 75/23 — aktive Citation = ohne Doku-Marker im selben File
+hamm_active=$( (grep -rEn "OLG Hamm.*4 U 75/23|Hamm 4 U 75/23" \
+  "$SKILL_DIR/references/" "$SKILL_DIR/SKILL.md" 2>/dev/null || true) \
+  | (grep -vE "verworfen|Vorgaenger-Eintrag|Provenance-Note|Lesson|halluzin|Halluzin|war \*\*OLG Hamm|tatsaechlich 11 U 88|→ 11 U 88|→ tatsaechlich" || true) \
+  | wc -l | tr -d ' ')
+if [[ "$hamm_active" -gt "0" ]]; then
+  echo "     ✗ OLG Hamm 4 U 75/23 in $hamm_active aktiven Citation(s) — sollte 11 U 88/22 sein:"
+  grep -rEn "OLG Hamm.*4 U 75/23|Hamm 4 U 75/23" "$SKILL_DIR/references/" "$SKILL_DIR/SKILL.md" 2>/dev/null \
+    | grep -vE "verworfen|Vorgaenger-Eintrag|Provenance-Note|Lesson|halluzin|Halluzin|war \*\*OLG Hamm" | head -3 || true
+  DRIFT_FOUND=$((DRIFT_FOUND + 1))
+fi
+# 6b. LG Berlin 16 O 9/22 — analog
+# grep -v exits with 1 when ALL lines are filtered out (legitimate match → no active drift).
+# Use `|| true` defensively after the grep -v + wrap in subshell.
+lgb_active=$( (grep -rEn "16 O 9/22" "$SKILL_DIR/references/" "$SKILL_DIR/SKILL.md" 2>/dev/null || true) \
+  | (grep -vE "VERDACHT-HALLUZINATION|halluzin|Halluzin|verworfen|nicht zitieren|Lesson|existiert nicht|ersetzt durch|→ BGH I ZR 218/07" || true) \
+  | wc -l | tr -d ' ')
+if [[ "$lgb_active" -gt "0" ]]; then
+  echo "     ✗ LG Berlin 16 O 9/22 in $lgb_active aktiven Citation(s) — Halluzination, BGH I ZR 218/07 verwenden"
+  DRIFT_FOUND=$((DRIFT_FOUND + 1))
+fi
+if [[ "$DRIFT_FOUND" == "0" ]]; then
+  echo "     ✓ keine aktiven Cross-File-Az-Drifts"
+else
+  issues=$((issues + 1))
+fi
+# 7. Hooks executable + lint-clean (v4.3.0+)
+echo "7/10 Hooks Python-syntax-clean…"
+hook_errors=0
+for hook in "$SKILL_DIR"/hooks/*.py; do
+  [[ -f "$hook" ]] || continue
+  if ! python3 -c "import py_compile; py_compile.compile('$hook', doraise=True)" 2>/dev/null; then
+    echo "     ✗ Syntax-Fehler in $(basename "$hook")"
+    hook_errors=$((hook_errors + 1))
+  fi
+  if [[ ! -x "$hook" ]]; then
+    echo "     ⚠ $(basename "$hook") nicht executable (chmod +x noetig)"
+  fi
+done
+if [[ "$hook_errors" == "0" ]]; then
+  echo "     ✓ alle hooks/*.py sind syntax-clean"
+else
+  issues=$((issues + 1))
+fi
+# 8. triggers.json regex-valid (v4.3.0+)
+echo "8/10 triggers.json regex-valid…"
+triggers_file="$SKILL_DIR/hooks/triggers.json"
+if [[ ! -f "$triggers_file" ]]; then
+  echo "     ✗ hooks/triggers.json fehlt"
+  issues=$((issues + 1))
+else
+  if ! python3 -c "
+import json, re, sys
+with open('$triggers_file') as f:
+    data = json.load(f)
+errors = []
+for t in data.get('triggers', []):
+    try:
+        re.compile(t['pattern'])
+    except re.error as e:
+        errors.append((t.get('name', '?'), str(e)))
+if errors:
+    for name, err in errors:
+        print(f'invalid regex {name}: {err}', file=sys.stderr)
+    sys.exit(1)
+print(f'OK {len(data[\"triggers\"])} triggers')
+" 2>&1; then
+    echo "     ✗ triggers.json hat invalid Regex-Patterns"
+    issues=$((issues + 1))
+  else
+    triggers_count=$(python3 -c "import json; print(len(json.load(open('$triggers_file'))['triggers']))")
+    echo "     ✓ alle $triggers_count Trigger-Patterns regex-valid"
+  fi
+fi
+# 9. .claude-plugin/plugin.json schema-valid + version match
+echo "9/10 plugin.json schema-valid + version-match…"
+plugin_file="$SKILL_DIR/.claude-plugin/plugin.json"
+if [[ ! -f "$plugin_file" ]]; then
+  echo "     ✗ .claude-plugin/plugin.json fehlt"
+  issues=$((issues + 1))
 else
-  echo "     ✗ Templates enthalten Brand-Refs (sollten anonym sein):"
-  grep -rEni "$BRAND_PATTERN" \
-    "$SKILL_DIR/references/templates/" 2>/dev/null | head -10 || true
+  plugin_version=$(python3 -c "import json; print(json.load(open('$plugin_file')).get('version', 'unset'))")
+  skill_version=$(grep -oE 'Version:\*\* v?[0-9]+\.[0-9]+\.[0-9]+' "$SKILL_DIR/README.md" 2>/dev/null | grep -oE '[0-9]+\.[0-9]+\.[0-9]+' | head -1)
+  if [[ -z "$skill_version" ]]; then
+    skill_version=$(grep -oE '^## \[[0-9]+\.[0-9]+\.[0-9]+\]' "$SKILL_DIR/CHANGELOG.md" 2>/dev/null | head -1 | grep -oE '[0-9]+\.[0-9]+\.[0-9]+')
+  fi
+  if [[ "$plugin_version" == "$skill_version" ]]; then
+    echo "     ✓ plugin.json v$plugin_version == README v$skill_version"
+  else
+    echo "     ✗ Version-Mismatch: plugin.json=v$plugin_version, README/CHANGELOG=v$skill_version"
+    issues=$((issues + 1))
+  fi
+fi
+# 10. settings.json WebFetch-Allowlist >= 30 Tier-1 Domains
+echo "10/10 settings.json WebFetch-Allowlist…"
+settings_file="$SKILL_DIR/settings.json"
+if [[ ! -f "$settings_file" ]]; then
+  echo "     ✗ settings.json fehlt"
   issues=$((issues + 1))
+else
+  domains_count=$(python3 -c "
+import json
+with open('$settings_file') as f:
+    data = json.load(f)
+allowlist = data.get('permissions', {}).get('allow', [])
+print(sum(1 for p in allowlist if p.startswith('WebFetch(domain:')))
+")
+  if [[ "$domains_count" -ge "30" ]]; then
+    echo "     ✓ $domains_count Tier-1/2-Domains in Allowlist"
+  else
+    echo "     ✗ Nur $domains_count Domains — Mindest-Erwartung 30 Tier-1/2-Quellen"
+    issues=$((issues + 1))
+  fi
 fi
 echo