diff --git a/zeroclaw/tests/reference-cases/README.md b/zeroclaw/tests/reference-cases/README.md
index bcdc5f8..e5e44cb 100644
--- a/zeroclaw/tests/reference-cases/README.md
+++ b/zeroclaw/tests/reference-cases/README.md
@@ -10,4 +10,4 @@ Reale Befunde von echten Websites. Jeder Case dokumentiert:
 
 | Case | Website | Typ | Schwere |
 |------|---------|-----|---------|
-| [EUIPO Registration](euipo-registration-consent.md) | login.euipo.europa.eu | Consent-Text + Koppelungsverbot | HIGH |
+| [EUIPO Registration + Chat](euipo-registration-consent.md) | login.euipo.europa.eu + euipo.europa.eu | 10 Findings: Consent-Text, Koppelungsverbot, Unblu Chat, Dismiss-as-Consent, Dark Pattern | HIGH |
diff --git a/zeroclaw/tests/reference-cases/euipo-registration-consent.md b/zeroclaw/tests/reference-cases/euipo-registration-consent.md
index 5153d5b..318724f 100644
--- a/zeroclaw/tests/reference-cases/euipo-registration-consent.md
+++ b/zeroclaw/tests/reference-cases/euipo-registration-consent.md
@@ -36,6 +36,55 @@ aber die Verknuepfung ist kaputt (Links nach dem Button statt inline).
 | 5 | Kein aktiver Consent | Kein Checkbox oder aktive Handlung — blosse Nutzung gilt als Zustimmung | EuGH C-673/17 Planet49 (aktive Einwilligung) |
 | 6 | Kaputtes Link-Layout | Links zu DSE und Nutzungsbedingungen erscheinen NACH dem Registrieren-Button statt inline im Consent-Text — der Satz oben verweist ins Leere | Art. 12(1) DSGVO (leicht zugaenglich) |
 | 7 | Uebersetzungsfehler | Offensichtlich maschinell aus EN uebersetzt ("stimmen Sie unseren zu" ist kein korrektes Deutsch) — widerspricht Anforderung an Muttersprache des Nutzers | Art. 12(1) DSGVO (klare und einfache Sprache) |
+| 8 | Unblu Chat Drittanbieter-DSE | Chat-Consent verweist auf Datenschutzerklaerung von unblu.com (Drittanbieter) statt auf EUIPO-eigene Cookie-/Chat-Richtlinie. EUIPO ist Verantwortlicher (Art. 4 Nr. 7 DSGVO), muss eigene DSE bereitstellen. | Art. 13 DSGVO (Informationspflichten), Art. 26 DSGVO (gemeinsame Verantwortlichkeit) |
+| 9 | Unblu Chat Cookies ohne eigene Rechtsgrundlage | "Unblu-Cookies muessen heruntergeladen werden" — EUIPO delegiert Cookie-Einwilligung an Drittanbieter-DSE statt eigene Rechtsgrundlage zu benennen | § 25 TDDDG / Art. 5(3) ePrivacy-RL |
+| 10 | Dismiss-by-Click = Consent | Klick neben das Chat-Consent-Fenster wird als "Akzeptieren" gewertet. Versehentlicher Klick ist KEINE aktive Einwilligung. Modal muss echte Wahl erzwingen. | EuGH C-673/17 Planet49 (aktive Handlung), Art. 7(1) DSGVO (Nachweispflicht) |
+
+---
+
+## Befund 2: Unblu Chat Consent (nach Login)
+
+Nach Registrierung und Login erscheint ein Chat-Fenster:
+
+> "Personenbezogene Daten werden gemaess der Datenschutzerklaerung fuer den Online-Chat
+> erhoben und verarbeitet. Fuer den Online-Chat muessen Unblu-Cookies heruntergeladen
+> werden, damit er ordnungsgemaess funktioniert und damit die Chat-Operatoren wissen,
+> wann Sie zuletzt per Chat mit dem Amt kommuniziert haben. Diese Cookies unterliegen
+> den Datenschutzbestimmungen des Unblu Chats und werden nur eingesetzt, wenn Sie sich
+> fuer die Nutzung des Chats entscheiden."
+>
+> [Abbrechen] [Akzeptieren]
+
+### Was positiv ist:
+- Es gibt tatsaechlich einen "Abbrechen"-Button (besser als die Registrierung)
+- Der Text erklaert den Zweck der Cookies (Chat-Funktionalitaet + Verlauf)
+
+### Was falsch ist:
+
+**1. Drittanbieter-DSE statt eigener:**
+Die Datenschutzerklaerung verlinkt auf unblu.com — aber EUIPO ist der Verantwortliche
+fuer die Datenverarbeitung, nicht Unblu. Unblu ist Auftragsverarbeiter. Die EUIPO muesste
+eine eigene Chat-Datenschutzerklaerung haben die beschreibt:
+- Welche Daten erhoben werden
+- Rechtsgrundlage (Art. 6(1)(a) Einwilligung)
+- Speicherdauer
+- Rechte des Betroffenen
+- Kontakt zum DSB
+
+**2. Klick daneben = Akzeptieren:**
+Das Chat-Fenster ist NICHT modal — ein Klick auf den Hintergrund neben dem Fenster
+schliesst es UND wertet dies als Einwilligung. Das verletzt:
+- **Art. 7(1) DSGVO**: Einwilligung muss nachweisbar sein (versehentlicher Klick ist kein Nachweis)
+- **EuGH Planet49**: Einwilligung erfordert eine eindeutige bestaetigende Handlung
+- **EDPB Guidelines 05/2020 Rn. 77**: "Silence, pre-ticked boxes or inactivity should not constitute consent"
+
+Ein Klick neben ein Fenster ist "inactivity" im Sinne der EDPB-Leitlinien — keine
+aktive Entscheidung.
+
+**3. "muessen heruntergeladen werden":**
+Die Formulierung suggeriert technische Notwendigkeit ("muessen"), obwohl die Cookies
+fuer den Zweck "wann Sie zuletzt per Chat kommuniziert haben" nicht technisch notwendig
+sind. Das ist eine Dunkle-Muster-Formulierung die den Nutzer zur Zustimmung draengt.
 
 ---
 
@@ -61,6 +110,26 @@ Der Compliance Agent sollte folgende Checks ausfuehren:
 - Muessen separat zustimmbar sein
 - Finding: "Nutzungsbedingungen und Datenschutz in einer Zustimmung zusammengefasst"
 
+### 5. Drittanbieter-DSE-Check (NEU — zu implementieren)
+- Consent-Dialog verweist auf DSE eines Drittanbieters statt auf eigene DSE
+- Pruefe ob href in Consent-Text auf andere Domain zeigt als die aktuelle Website
+- Finding: "Consent verweist auf Datenschutzerklaerung von {domain} — Verantwortlicher
+  muss eigene DSE bereitstellen (Art. 13 DSGVO)"
+
+### 6. Modal-Dismiss-Check (NEU — zu implementieren)
+- Pruefe ob Consent-Dialog durch Klick auf Hintergrund geschlossen wird
+- Wenn dismiss = accept → Verstoss
+- Playwright: Klick auf Overlay-Backdrop, pruefe ob Consent gesetzt wurde
+- Finding: "Consent-Dialog kann durch Klick neben das Fenster geschlossen werden,
+  was als Einwilligung gewertet wird (Art. 7(1) DSGVO, Planet49)"
+
+### 7. Dark-Pattern-Sprache (NEU — zu implementieren)
+- "muessen heruntergeladen werden" suggeriert technische Notwendigkeit
+- Pruefe auf Formulierungen die Zwang suggerieren: "muessen", "erforderlich",
+  "notwendig" fuer nicht-essentielle Cookies
+- Finding: "Formulierung suggeriert technische Notwendigkeit fuer nicht-essentielle
+  Cookies (Dark Pattern, EDPB Guidelines 05/2020 Rn. 70)"
+
 ---
 
 ## Korrekturvorschlag