docs: add Phase 4b — SOLL/IST Dienstleister-Abgleich (DSE vs. Website)

Automated comparison: services mentioned in privacy policy vs. actually
embedded on website. Three categories: undocumented (Art. 13 violation),
outdated (cleanup), correctly documented (check third country only).

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

zeroclaw/PLAN-control-relevance-filter.md

@@ -343,6 +343,66 @@ Externe Dienste erkannt:
     → FOLLOW-UP: "Wird das CDN aus der EU oder einem Drittland geladen?"
 ```
 
+### Phase 4b: Soll-Ist-Abgleich (Dienstleister DSE vs. Website)
+
+Der wertvollste Output des Agents: automatischer Abgleich zwischen dem was in der
+Datenschutzerklaerung STEHT und dem was tatsaechlich auf der Website EINGEBUNDEN ist.
+
+**Schritt 1: IST — Website scannen (bereits in Phase 4)**
+Alle eingebundenen externen Dienste per HTML/Script-Analyse erkennen.
+
+**Schritt 2: SOLL — Datenschutzerklaerung parsen**
+Aus dem DSE-Text extrahieren welche Dienstleister erwaehnt werden:
+```python
+# Qwen/LLM extrahiert strukturiert:
+PROMPT = """
+Extrahiere aus dieser Datenschutzerklaerung ALLE erwaehnten Dienstleister/Tools.
+Fuer jeden Dienstleister nenne:
+- Name (z.B. "Google Analytics")
+- Zweck (z.B. "Webanalyse")
+- Land/Sitz (z.B. "USA")
+- Genannte Rechtsgrundlage (z.B. "Einwilligung" oder "berechtigtes Interesse")
+- Genannte Schutzmassnahme (z.B. "Standardvertragsklauseln")
+
+Antworte als JSON-Array.
+"""
+```
+
+**Schritt 3: Abgleich → 3 Kategorien**
+
+| Kategorie | Bedeutung | Finding-Typ |
+|-----------|-----------|-------------|
+| Eingebunden + NICHT in DSE | Informationspflicht verletzt | HIGH — Art. 13 DSGVO Verstoss |
+| In DSE + NICHT eingebunden | Veraltete/irrefuehrende DSE | LOW — Aufraumbedarf |
+| Eingebunden + in DSE | Korrekt dokumentiert | OK — nur Drittland pruefen |
+
+**Beispiel-Output fuer Opodo:**
+```
+Dienstleister-Abgleich (opodo.de)
+══════════════════════════════════
+
+Eingebunden auf Website         In DSE erwaehnt?    Status
+─────────────────────────────── ─────────────────── ───────
+Google Analytics (G-03F834EHLM) Ja (Abschnitt 3.6)  ✓ OK — aber USA, SCCs pruefen
+Didomi CMP                      Ja (Cookie Notice)   ✓ OK — Frankreich/EU
+Bootstrap CDN (jsdelivr)        Nein                  ✗ FINDING: Nicht in DSE
+Google Tag Manager              Ja (Abschnitt 3.6)   ✓ OK
+
+In DSE erwaehnt                 Auf Website gefunden? Status
+─────────────────────────────── ───────────────────── ───────
+Amadeus IT (Buchungssystem)     Nicht pruefbar        ? Backend-Dienst
+Adyen (Zahlungsabwicklung)      Nicht pruefbar        ? Backend-Dienst
+Salesforce (CRM)                Nicht pruefbar        ? Backend-Dienst
+
+Zusammenfassung:
+- 1 Dienstleister eingebunden aber NICHT in DSE dokumentiert (jsdelivr CDN)
+- 3 Backend-Dienste in DSE erwaehnt, nicht im Frontend pruefbar
+- Empfehlung: jsdelivr CDN in Datenschutzerklaerung aufnehmen oder lokal hosten
+```
+
+Dieser Output allein ist fuer einen Datenschutzbeauftragten Gold wert — er spart
+Stunden manueller Arbeit und deckt Luecken auf die bei Website-Updates entstehen.
+
 ### Controls die durch Drittland-Dienste ausgeloest werden
 
 | Erkannter Dienst | Control |