diff --git a/admin-compliance/app/api/sdk/v1/agent/authenticated-scan/route.ts b/admin-compliance/app/api/sdk/v1/agent/authenticated-scan/route.ts
new file mode 100644
index 0000000..6094940
--- /dev/null
+++ b/admin-compliance/app/api/sdk/v1/agent/authenticated-scan/route.ts
@@ -0,0 +1,20 @@
+import { NextRequest, NextResponse } from 'next/server'
+const CONSENT_URL = process.env.CONSENT_TESTER_URL || 'http://bp-compliance-consent-tester:8094'
+
+export async function POST(request: NextRequest) {
+  try {
+    const body = await request.text()
+    const response = await fetch(`${CONSENT_URL}/authenticated-scan`, {
+      method: 'POST',
+      headers: { 'Content-Type': 'application/json' },
+      body,
+      signal: AbortSignal.timeout(120000),
+    })
+    if (!response.ok) {
+      return NextResponse.json({ error: `Auth-Test: ${response.status}` }, { status: response.status })
+    }
+    return NextResponse.json(await response.json())
+  } catch (error) {
+    return NextResponse.json({ error: 'Auth-Test fehlgeschlagen' }, { status: 503 })
+  }
+}
diff --git a/admin-compliance/app/api/sdk/v1/agent/compare/route.ts b/admin-compliance/app/api/sdk/v1/agent/compare/route.ts
new file mode 100644
index 0000000..7db5f22
--- /dev/null
+++ b/admin-compliance/app/api/sdk/v1/agent/compare/route.ts
@@ -0,0 +1,20 @@
+import { NextRequest, NextResponse } from 'next/server'
+const BACKEND_URL = process.env.BACKEND_API_URL || 'http://backend-compliance:8002'
+
+export async function POST(request: NextRequest) {
+  try {
+    const body = await request.text()
+    const response = await fetch(`${BACKEND_URL}/api/compliance/agent/compare`, {
+      method: 'POST',
+      headers: { 'Content-Type': 'application/json' },
+      body,
+      signal: AbortSignal.timeout(300000),
+    })
+    if (!response.ok) {
+      return NextResponse.json({ error: `Backend: ${response.status}` }, { status: response.status })
+    }
+    return NextResponse.json(await response.json())
+  } catch (error) {
+    return NextResponse.json({ error: 'Vergleich fehlgeschlagen' }, { status: 503 })
+  }
+}
diff --git a/admin-compliance/app/api/sdk/v1/agent/consent-test/route.ts b/admin-compliance/app/api/sdk/v1/agent/consent-test/route.ts
new file mode 100644
index 0000000..92b7ed7
--- /dev/null
+++ b/admin-compliance/app/api/sdk/v1/agent/consent-test/route.ts
@@ -0,0 +1,142 @@
+/**
+ * Consent Test API Proxy
+ * POST /api/sdk/v1/agent/consent-test → consent-tester:8094/scan → email via backend
+ */
+
+import { NextRequest, NextResponse } from 'next/server'
+
+const CONSENT_TESTER_URL = process.env.CONSENT_TESTER_URL || 'http://bp-compliance-consent-tester:8094'
+const BACKEND_URL = process.env.BACKEND_API_URL || 'http://backend-compliance:8002'
+
+interface Violation { service: string; severity: string; text: string; legal_ref: string }
+
+function buildEmailHtml(data: any): string {
+  const url = data.url || ''
+  const banner = data.banner_detected ? data.banner_provider : 'Nicht erkannt'
+  const phases = data.phases || {}
+  const summary = data.summary || {}
+
+  const sev = (s: string) => s === 'CRITICAL'
+    ? '<span style="background:#991b1b;color:white;padding:2px 6px;border-radius:3px;font-size:11px;">KRITISCH</span>'
+    : '<span style="background:#ea580c;color:white;padding:2px 6px;border-radius:3px;font-size:11px;">HOCH</span>'
+
+  const violationRows = (violations: Violation[]) => violations.length === 0
+    ? '<tr><td colspan="3" style="padding:6px;color:#16a34a;">✓ Keine Verstoesse</td></tr>'
+    : violations.map(v =>
+      `<tr><td style="padding:6px;">${sev(v.severity)}</td><td style="padding:6px;font-weight:600;">${v.service}</td><td style="padding:6px;">${v.text}<br><span style="color:#6b7280;font-size:11px;">${v.legal_ref}</span></td></tr>`
+    ).join('')
+
+  const undocRows = (items: string[]) => items.length === 0
+    ? ''
+    : items.map(s => `<tr><td style="padding:6px;">⚠</td><td style="padding:6px;font-weight:600;">${s}</td><td style="padding:6px;">Nicht in Cookie-Policy dokumentiert</td></tr>`).join('')
+
+  return `
+    <div style="font-family:-apple-system,sans-serif;max-width:700px;margin:0 auto;">
+      <div style="background:linear-gradient(135deg,#1e1b4b,#312e81);color:white;padding:20px 24px;border-radius:12px 12px 0 0;">
+        <h2 style="margin:0;font-size:18px;">Cookie-Consent-Test</h2>
+        <p style="margin:4px 0 0;opacity:0.8;font-size:13px;">${url}</p>
+      </div>
+
+      <div style="padding:20px 24px;border:1px solid #e2e8f0;border-top:none;">
+        <table style="width:100%;border-collapse:collapse;margin-bottom:20px;">
+          <tr><td style="padding:6px 0;color:#64748b;width:160px;">Cookie-Banner</td><td style="padding:6px 0;font-weight:600;">${data.banner_detected ? '✓ ' + banner : '✗ Nicht erkannt'}</td></tr>
+          <tr><td style="padding:6px 0;color:#64748b;">Kritische Verstoesse</td><td style="padding:6px 0;"><strong style="color:${summary.critical > 0 ? '#dc2626' : '#16a34a'}">${summary.critical || 0}</strong></td></tr>
+          <tr><td style="padding:6px 0;color:#64748b;">Hohe Verstoesse</td><td style="padding:6px 0;"><strong style="color:${summary.high > 0 ? '#ea580c' : '#16a34a'}">${summary.high || 0}</strong></td></tr>
+          <tr><td style="padding:6px 0;color:#64748b;">Undokumentiert</td><td style="padding:6px 0;">${summary.undocumented || 0}</td></tr>
+        </table>
+
+        <h3 style="color:#1e293b;font-size:14px;margin:20px 0 8px;border-bottom:2px solid #e2e8f0;padding-bottom:6px;">
+          🔍 Phase A: Vor Einwilligung
+        </h3>
+        <p style="color:#64748b;font-size:12px;margin:0 0 8px;">Was laedt OHNE dass der Nutzer etwas geklickt hat?</p>
+        <table style="width:100%;border-collapse:collapse;">${violationRows(phases.before_consent?.violations || [])}</table>
+
+        ${data.banner_detected ? `
+        <h3 style="color:#1e293b;font-size:14px;margin:20px 0 8px;border-bottom:2px solid #e2e8f0;padding-bottom:6px;">
+          🚫 Phase B: Nach Ablehnung
+        </h3>
+        <p style="color:#64748b;font-size:12px;margin:0 0 8px;">Was laedt NACHDEM der Nutzer "Nur notwendige" geklickt hat?</p>
+        <table style="width:100%;border-collapse:collapse;">${violationRows(phases.after_reject?.violations || [])}</table>
+
+        <h3 style="color:#1e293b;font-size:14px;margin:20px 0 8px;border-bottom:2px solid #e2e8f0;padding-bottom:6px;">
+          ✅ Phase C: Nach Zustimmung
+        </h3>
+        <p style="color:#64748b;font-size:12px;margin:0 0 8px;">Was laedt NACHDEM der Nutzer "Alle akzeptieren" geklickt hat?</p>
+        <table style="width:100%;border-collapse:collapse;">${undocRows(phases.after_accept?.undocumented || [])}</table>
+        ${(phases.after_accept?.undocumented?.length || 0) === 0 ? '<p style="color:#16a34a;font-size:13px;">✓ Alle Dienste dokumentiert</p>' : ''}
+        ` : `
+        <div style="background:#fef2f2;border:1px solid #fecaca;border-radius:8px;padding:12px;margin:12px 0;">
+          <strong style="color:#dc2626;">Kein Cookie-Banner erkannt.</strong>
+          Alle Tracking-Dienste laden ohne Einwilligung — Verstoss gegen §25 TDDDG.
+        </div>
+        `}
+
+        ${(summary.critical || 0) > 0 ? `
+        <div style="background:#fef2f2;border-left:4px solid #dc2626;padding:12px 16px;margin-top:20px;">
+          <strong style="color:#991b1b;">⚠ KRITISCH:</strong> Tracking-Dienste laden trotz Ablehnung.
+          Dies ist ein schwerer Verstoss gegen §25 TDDDG und kann als Dark Pattern gewertet werden.
+          Sofortige Korrektur der Cookie-Banner-Konfiguration empfohlen.
+        </div>
+        ` : ''}
+      </div>
+
+      <div style="background:#f8fafc;padding:12px 24px;border:1px solid #e2e8f0;border-top:none;border-radius:0 0 12px 12px;">
+        <p style="color:#94a3b8;font-size:11px;margin:0;">
+          Automatisch erstellt vom BreakPilot Compliance Agent (Playwright + Chromium)
+        </p>
+      </div>
+    </div>
+  `
+}
+
+export async function POST(request: NextRequest) {
+  try {
+    const body = await request.json()
+    const url = body.url
+
+    // Step 1: Run consent test
+    const response = await fetch(`${CONSENT_TESTER_URL}/scan`, {
+      method: 'POST',
+      headers: { 'Content-Type': 'application/json' },
+      body: JSON.stringify(body),
+      signal: AbortSignal.timeout(180000),
+    })
+
+    if (!response.ok) {
+      const errorText = await response.text()
+      return NextResponse.json(
+        { error: `Consent-Tester: ${response.status}`, detail: errorText },
+        { status: response.status }
+      )
+    }
+
+    const data = await response.json()
+
+    // Step 2: Send email with phase-structured findings
+    try {
+      const total = (data.summary?.total_violations || 0)
+      const severity = (data.summary?.critical || 0) > 0 ? 'KRITISCH' : total > 0 ? 'FINDINGS' : 'OK'
+      await fetch(`${BACKEND_URL}/api/compliance/agent/notify`, {
+        method: 'POST',
+        headers: { 'Content-Type': 'application/json' },
+        body: JSON.stringify({
+          recipient: body.recipient || 'dsb@breakpilot.local',
+          subject: `[COOKIE-TEST] [${severity}] ${url} — ${total} Verstoesse`,
+          body_html: buildEmailHtml({ ...data, url }),
+          role: total > 0 ? 'Datenschutzbeauftragter' : 'Kein Handlungsbedarf',
+        }),
+        signal: AbortSignal.timeout(10000),
+      })
+    } catch (emailErr) {
+      console.warn('Email send failed (non-blocking):', emailErr)
+    }
+
+    return NextResponse.json(data)
+  } catch (error) {
+    console.error('Consent test proxy error:', error)
+    return NextResponse.json(
+      { error: 'Cookie-Test fehlgeschlagen oder Timeout' },
+      { status: 503 }
+    )
+  }
+}
diff --git a/admin-compliance/app/api/sdk/v1/agent/notify/route.ts b/admin-compliance/app/api/sdk/v1/agent/notify/route.ts
new file mode 100644
index 0000000..896f517
--- /dev/null
+++ b/admin-compliance/app/api/sdk/v1/agent/notify/route.ts
@@ -0,0 +1,30 @@
+/**
+ * Agent Notify API Proxy
+ * POST /api/sdk/v1/agent/notify → backend-compliance /api/compliance/agent/notify
+ */
+
+import { NextRequest, NextResponse } from 'next/server'
+
+const BACKEND_URL = process.env.BACKEND_API_URL || 'http://backend-compliance:8002'
+
+export async function POST(request: NextRequest) {
+  try {
+    const body = await request.text()
+    const response = await fetch(`${BACKEND_URL}/api/compliance/agent/notify`, {
+      method: 'POST',
+      headers: { 'Content-Type': 'application/json' },
+      body,
+      signal: AbortSignal.timeout(15000),
+    })
+
+    if (!response.ok) {
+      const errorText = await response.text()
+      return NextResponse.json({ error: errorText }, { status: response.status })
+    }
+
+    return NextResponse.json(await response.json())
+  } catch (error) {
+    console.error('Agent notify proxy error:', error)
+    return NextResponse.json({ error: 'Email-Versand fehlgeschlagen' }, { status: 503 })
+  }
+}
diff --git a/admin-compliance/app/api/sdk/v1/agent/scan/route.ts b/admin-compliance/app/api/sdk/v1/agent/scan/route.ts
index ff3e2de..7ec48d0 100644
--- a/admin-compliance/app/api/sdk/v1/agent/scan/route.ts
+++ b/admin-compliance/app/api/sdk/v1/agent/scan/route.ts
@@ -18,7 +18,11 @@ export async function POST(request: NextRequest) {
       method: 'POST',
       headers: { 'Content-Type': 'application/json' },
       body,
+<<<<<<< HEAD
       signal: AbortSignal.timeout(30000), // 30s — just needs to start the job
+=======
+      signal: AbortSignal.timeout(300000), // 5 min — multi-page scan + LLM calls
+>>>>>>> feat/zeroclaw-compliance-agent
     })
 
     if (!response.ok) {
diff --git a/admin-compliance/app/api/sdk/v1/agent/scans/pdf/route.ts b/admin-compliance/app/api/sdk/v1/agent/scans/pdf/route.ts
new file mode 100644
index 0000000..eabc01b
--- /dev/null
+++ b/admin-compliance/app/api/sdk/v1/agent/scans/pdf/route.ts
@@ -0,0 +1,36 @@
+/**
+ * PDF Export Proxy
+ * POST /api/sdk/v1/agent/scans/pdf → backend /api/compliance/agent/scans/pdf
+ */
+
+import { NextRequest, NextResponse } from 'next/server'
+
+const BACKEND_URL = process.env.BACKEND_API_URL || 'http://backend-compliance:8002'
+
+export async function POST(request: NextRequest) {
+  try {
+    const body = await request.text()
+
+    const response = await fetch(`${BACKEND_URL}/api/compliance/agent/scans/pdf`, {
+      method: 'POST',
+      headers: { 'Content-Type': 'application/json' },
+      body,
+      signal: AbortSignal.timeout(30000),
+    })
+
+    if (!response.ok) {
+      return NextResponse.json({ error: 'PDF generation failed' }, { status: response.status })
+    }
+
+    const pdfBytes = await response.arrayBuffer()
+    return new NextResponse(pdfBytes, {
+      headers: {
+        'Content-Type': 'application/pdf',
+        'Content-Disposition': 'attachment; filename="compliance-report.pdf"',
+      },
+    })
+  } catch (error) {
+    console.error('PDF proxy error:', error)
+    return NextResponse.json({ error: 'PDF generation failed' }, { status: 503 })
+  }
+}
diff --git a/admin-compliance/app/sdk/_components/PresetSection.tsx b/admin-compliance/app/sdk/_components/PresetSection.tsx
new file mode 100644
index 0000000..9b2a5bb
--- /dev/null
+++ b/admin-compliance/app/sdk/_components/PresetSection.tsx
@@ -0,0 +1,92 @@
+'use client'
+
+import { useState } from 'react'
+import Link from 'next/link'
+import { COMPANY_PROFILE_PRESETS, type CompanyProfilePreset } from '@/lib/sdk/company-profile-presets'
+import { DOC_LABELS, CATEGORY_COLORS } from './doc-labels'
+
+export function PresetSection({ projectId }: { projectId?: string }) {
+  const [selectedPreset, setSelectedPreset] = useState<CompanyProfilePreset | null>(null)
+
+  // Group recommended docs by category
+  const groupedDocs = selectedPreset
+    ? selectedPreset.recommendedDocs.reduce<Record<string, string[]>>((acc, docType) => {
+        const info = DOC_LABELS[docType]
+        if (!info) return acc
+        if (!acc[info.category]) acc[info.category] = []
+        acc[info.category].push(info.label)
+        return acc
+      }, {})
+    : null
+
+  return (
+    <div className="bg-gradient-to-br from-purple-50 to-white rounded-xl border border-purple-200 p-6 space-y-4">
+      <div>
+        <h2 className="text-lg font-bold text-gray-900">Schnellstart: Welcher Unternehmenstyp sind Sie?</h2>
+        <p className="text-sm text-gray-500 mt-1">
+          Waehlen Sie Ihre Branche — wir zeigen Ihnen welche Dokumente Sie benoetigen.
+        </p>
+      </div>
+
+      {/* Preset Cards */}
+      <div className="grid grid-cols-2 sm:grid-cols-3 md:grid-cols-5 gap-3">
+        {COMPANY_PROFILE_PRESETS.map((preset) => (
+          <button
+            key={preset.id}
+            onClick={() => setSelectedPreset(selectedPreset?.id === preset.id ? null : preset)}
+            className={`flex flex-col items-center gap-2 p-3 rounded-xl transition-all text-center ${
+              selectedPreset?.id === preset.id
+                ? 'bg-purple-100 border-2 border-purple-500 shadow-md'
+                : 'bg-white border border-gray-200 hover:border-purple-300 hover:shadow-sm'
+            }`}
+          >
+            <span className="text-2xl">{preset.icon}</span>
+            <span className={`text-xs font-medium ${selectedPreset?.id === preset.id ? 'text-purple-700' : 'text-gray-900'}`}>
+              {preset.label}
+            </span>
+            <span className="text-[10px] text-gray-400 leading-tight">{preset.description}</span>
+          </button>
+        ))}
+      </div>
+
+      {/* Document Preview — shown when a preset is selected */}
+      {selectedPreset && groupedDocs && (
+        <div className="bg-white rounded-xl border border-gray-200 p-5 space-y-4">
+          <div className="flex items-center justify-between">
+            <div>
+              <h3 className="font-semibold text-gray-900">
+                {selectedPreset.icon} {selectedPreset.label} — Ihre Dokumente
+              </h3>
+              <p className="text-xs text-gray-500 mt-0.5">
+                {selectedPreset.recommendedDocs.length} Dokumente werden fuer Sie vorbereitet
+              </p>
+            </div>
+            <Link
+              href={projectId
+                ? `/sdk/company-profile?project=${projectId}&preset=${selectedPreset.id}`
+                : `/sdk/company-profile?preset=${selectedPreset.id}`}
+              className="px-4 py-2 bg-purple-600 text-white text-sm font-medium rounded-lg hover:bg-purple-700 transition-colors"
+            >
+              Jetzt starten
+            </Link>
+          </div>
+
+          <div className="grid grid-cols-2 sm:grid-cols-3 md:grid-cols-4 gap-3">
+            {Object.entries(groupedDocs).map(([category, docs]) => (
+              <div key={category} className="space-y-1.5">
+                <span className={`inline-block px-2 py-0.5 rounded-full text-[10px] font-medium ${CATEGORY_COLORS[category] || 'bg-gray-100 text-gray-600'}`}>
+                  {category}
+                </span>
+                {docs.map((doc) => (
+                  <div key={doc} className="text-xs text-gray-700 pl-1">
+                    {doc}
+                  </div>
+                ))}
+              </div>
+            ))}
+          </div>
+        </div>
+      )}
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/_components/doc-labels.ts b/admin-compliance/app/sdk/_components/doc-labels.ts
new file mode 100644
index 0000000..4331f70
--- /dev/null
+++ b/admin-compliance/app/sdk/_components/doc-labels.ts
@@ -0,0 +1,131 @@
+/**
+ * Complete mapping of all document template types to display labels and categories.
+ * Used by PresetSection to show categorized document previews.
+ */
+
+export const DOC_LABELS: Record<string, { label: string; category: string }> = {
+  // ── Website ──────────────────────────────────────────────────────
+  privacy_policy: { label: 'Datenschutzerklaerung', category: 'Website' },
+  impressum: { label: 'Impressum', category: 'Website' },
+  cookie_policy: { label: 'Cookie-Richtlinie', category: 'Website' },
+  cookie_banner: { label: 'Cookie-Banner-Texte', category: 'Website' },
+
+  // ── Vertraege ────────────────────────────────────────────────────
+  agb: { label: 'AGB', category: 'Vertraege' },
+  dpa: { label: 'AVV (Auftragsverarbeitung)', category: 'Vertraege' },
+  nda: { label: 'Geheimhaltungsvereinbarung', category: 'Vertraege' },
+  sla: { label: 'Service Level Agreement', category: 'Vertraege' },
+  terms_of_use: { label: 'Nutzungsbedingungen', category: 'Vertraege' },
+  cloud_service_agreement: { label: 'Cloud-Vertrag', category: 'Vertraege' },
+  data_usage_clause: { label: 'Datennutzungsklausel', category: 'Vertraege' },
+
+  // ── Plattform ────────────────────────────────────────────────────
+  community_guidelines: { label: 'Community Guidelines', category: 'Plattform' },
+  acceptable_use: { label: 'Acceptable Use Policy', category: 'Plattform' },
+  media_content_policy: { label: 'Medien-Richtlinie', category: 'Plattform' },
+  copyright_policy: { label: 'Urheberrechtsrichtlinie', category: 'Plattform' },
+
+  // ── E-Commerce ───────────────────────────────────────────────────
+  widerruf: { label: 'Widerrufsbelehrung', category: 'E-Commerce' },
+
+  // ── HR / Personal ────────────────────────────────────────────────
+  employee_dsi: { label: 'Mitarbeiter-DSI', category: 'HR' },
+  applicant_dsi: { label: 'Bewerber-DSI', category: 'HR' },
+  whistleblower_policy: { label: 'Whistleblower-Richtlinie', category: 'HR' },
+  employee_security_policy: { label: 'Mitarbeiter-Sicherheitsrichtlinie', category: 'HR' },
+  security_awareness_policy: { label: 'Security-Awareness-Richtlinie', category: 'HR' },
+  remote_work_policy: { label: 'Remote-Work-Richtlinie', category: 'HR' },
+  offboarding_policy: { label: 'Offboarding-Richtlinie', category: 'HR' },
+
+  // ── Datenschutz (DSGVO) ──────────────────────────────────────────
+  tom_documentation: { label: 'TOM-Dokumentation', category: 'Datenschutz' },
+  vvt_register: { label: 'Verarbeitungsverzeichnis', category: 'Datenschutz' },
+  loeschkonzept: { label: 'Loeschkonzept', category: 'Datenschutz' },
+  dsfa: { label: 'Datenschutz-Folgenabschaetzung', category: 'Datenschutz' },
+  pflichtenregister: { label: 'Pflichtenregister', category: 'Datenschutz' },
+  data_protection_concept: { label: 'Datenschutzkonzept', category: 'Datenschutz' },
+  consent_texts: { label: 'Einwilligungstexte', category: 'Datenschutz' },
+  informationspflichten: { label: 'Informationspflichten', category: 'Datenschutz' },
+  verpflichtungserklaerung: { label: 'Verpflichtungserklaerung', category: 'Datenschutz' },
+  social_media_dsi: { label: 'Social-Media-DSI', category: 'Datenschutz' },
+  video_conference_dsi: { label: 'Videokonferenz-DSI', category: 'Datenschutz' },
+
+  // ── Daten-Policies ───────────────────────────────────────────────
+  data_protection_policy: { label: 'Datenschutzrichtlinie', category: 'Daten-Governance' },
+  data_classification_policy: { label: 'Datenklassifizierung', category: 'Daten-Governance' },
+  data_retention_policy: { label: 'Aufbewahrungsrichtlinie', category: 'Daten-Governance' },
+  data_transfer_policy: { label: 'Datentransfer-Richtlinie', category: 'Daten-Governance' },
+  privacy_incident_policy: { label: 'Datenschutzvorfall-Richtlinie', category: 'Daten-Governance' },
+
+  // ── Betroffenenrechte ────────────────────────────────────────────
+  dsr_process_art15: { label: 'Auskunftsrecht (Art. 15)', category: 'Betroffenenrechte' },
+  dsr_process_art16: { label: 'Berichtigungsrecht (Art. 16)', category: 'Betroffenenrechte' },
+  dsr_process_art17: { label: 'Loeschungsrecht (Art. 17)', category: 'Betroffenenrechte' },
+  dsr_process_art18: { label: 'Einschraenkungsrecht (Art. 18)', category: 'Betroffenenrechte' },
+  dsr_process_art19: { label: 'Mitteilungspflicht (Art. 19)', category: 'Betroffenenrechte' },
+  dsr_process_art20: { label: 'Datenportabilitaet (Art. 20)', category: 'Betroffenenrechte' },
+  dsr_process_art21: { label: 'Widerspruchsrecht (Art. 21)', category: 'Betroffenenrechte' },
+
+  // ── IT-Sicherheit (Konzepte) ─────────────────────────────────────
+  it_security_concept: { label: 'IT-Sicherheitskonzept', category: 'IT-Sicherheit' },
+  backup_recovery_concept: { label: 'Backup- & Recovery-Konzept', category: 'IT-Sicherheit' },
+  logging_concept: { label: 'Logging-Konzept', category: 'IT-Sicherheit' },
+  incident_response_plan: { label: 'Incident-Response-Plan', category: 'IT-Sicherheit' },
+  access_control_concept: { label: 'Zugriffskonzept', category: 'IT-Sicherheit' },
+  risk_management_concept: { label: 'Risikomanagement-Konzept', category: 'IT-Sicherheit' },
+  isms_manual: { label: 'ISMS-Handbuch', category: 'IT-Sicherheit' },
+
+  // ── IT-Sicherheit (Policies) ─────────────────────────────────────
+  information_security_policy: { label: 'Informationssicherheitsrichtlinie', category: 'IT-Policies' },
+  access_control_policy: { label: 'Zugriffskontrollrichtlinie', category: 'IT-Policies' },
+  password_policy: { label: 'Passwortrichtlinie', category: 'IT-Policies' },
+  encryption_policy: { label: 'Verschluesselungsrichtlinie', category: 'IT-Policies' },
+  logging_policy: { label: 'Protokollierungsrichtlinie', category: 'IT-Policies' },
+  backup_policy: { label: 'Datensicherungsrichtlinie', category: 'IT-Policies' },
+  incident_response_policy: { label: 'Incident-Response-Richtlinie', category: 'IT-Policies' },
+  change_management_policy: { label: 'Change-Management-Richtlinie', category: 'IT-Policies' },
+  patch_management_policy: { label: 'Patch-Management-Richtlinie', category: 'IT-Policies' },
+  asset_management_policy: { label: 'Asset-Management-Richtlinie', category: 'IT-Policies' },
+  cloud_security_policy: { label: 'Cloud-Security-Richtlinie', category: 'IT-Policies' },
+  devsecops_policy: { label: 'DevSecOps-Richtlinie', category: 'IT-Policies' },
+  secrets_management_policy: { label: 'Secrets-Management-Richtlinie', category: 'IT-Policies' },
+  vulnerability_management_policy: { label: 'Schwachstellenmanagement', category: 'IT-Policies' },
+
+  // ── Lieferanten / Drittanbieter ──────────────────────────────────
+  vendor_risk_management_policy: { label: 'Lieferanten-Risikomanagement', category: 'Lieferanten' },
+  third_party_security_policy: { label: 'Drittanbieter-Sicherheit', category: 'Lieferanten' },
+  supplier_security_policy: { label: 'Lieferanten-Anforderungen', category: 'Lieferanten' },
+  transfer_impact_assessment: { label: 'Transfer Impact Assessment', category: 'Lieferanten' },
+  scc_companion: { label: 'SCC-Begleitdokument', category: 'Lieferanten' },
+
+  // ── BCM / Notfall ────────────────────────────────────────────────
+  business_continuity_policy: { label: 'Business-Continuity', category: 'BCM' },
+  disaster_recovery_policy: { label: 'Disaster-Recovery', category: 'BCM' },
+  crisis_management_policy: { label: 'Krisenmanagement', category: 'BCM' },
+
+  // ── KI / Cyber ───────────────────────────────────────────────────
+  ai_usage_policy: { label: 'KI-Nutzungsrichtlinie', category: 'KI & Cyber' },
+  cybersecurity_policy: { label: 'Cybersecurity-Richtlinie (CRA)', category: 'KI & Cyber' },
+  byod_policy: { label: 'BYOD-Richtlinie', category: 'KI & Cyber' },
+
+  // ── SOP ──────────────────────────────────────────────────────────
+  standard_operating_procedure: { label: 'Standard Operating Procedure', category: 'Prozesse' },
+}
+
+export const CATEGORY_COLORS: Record<string, string> = {
+  Website: 'bg-blue-50 text-blue-700',
+  Vertraege: 'bg-purple-50 text-purple-700',
+  Plattform: 'bg-indigo-50 text-indigo-700',
+  'E-Commerce': 'bg-green-50 text-green-700',
+  HR: 'bg-amber-50 text-amber-700',
+  Datenschutz: 'bg-red-50 text-red-700',
+  'Daten-Governance': 'bg-rose-50 text-rose-700',
+  Betroffenenrechte: 'bg-fuchsia-50 text-fuchsia-700',
+  'IT-Sicherheit': 'bg-gray-100 text-gray-700',
+  'IT-Policies': 'bg-slate-100 text-slate-700',
+  Lieferanten: 'bg-orange-50 text-orange-700',
+  BCM: 'bg-yellow-50 text-yellow-700',
+  'KI & Cyber': 'bg-cyan-50 text-cyan-700',
+  Marketing: 'bg-pink-50 text-pink-700',
+  Prozesse: 'bg-teal-50 text-teal-700',
+}
diff --git a/admin-compliance/app/sdk/agent/_components/AuthTestResult.tsx b/admin-compliance/app/sdk/agent/_components/AuthTestResult.tsx
new file mode 100644
index 0000000..10b364f
--- /dev/null
+++ b/admin-compliance/app/sdk/agent/_components/AuthTestResult.tsx
@@ -0,0 +1,73 @@
+'use client'
+
+import React from 'react'
+
+interface AuthCheck {
+  found: boolean
+  text: string
+  legal_ref: string
+}
+
+interface AuthData {
+  url: string
+  authenticated: boolean
+  login_error: string
+  checks: Record<string, AuthCheck>
+  findings_count: number
+}
+
+const CHECK_LABELS: Record<string, { label: string; icon: string }> = {
+  cancel_subscription: { label: 'Kuendigungsbutton (2 Klicks)', icon: '🚫' },
+  delete_account: { label: 'Konto loeschen', icon: '🗑️' },
+  export_data: { label: 'Daten exportieren', icon: '📥' },
+  consent_settings: { label: 'Einwilligungen widerrufen', icon: '⚙️' },
+  profile_visible: { label: 'Profildaten einsehen', icon: '👤' },
+}
+
+export function AuthTestResult({ data }: { data: AuthData }) {
+  if (!data.authenticated) {
+    return (
+      <div className="bg-red-50 border border-red-200 rounded-lg p-4">
+        <p className="text-sm font-medium text-red-800">Login fehlgeschlagen</p>
+        <p className="text-xs text-red-600 mt-1">{data.login_error || 'Credentials oder Formular nicht erkannt'}</p>
+      </div>
+    )
+  }
+
+  return (
+    <div className="space-y-4">
+      <div className="flex items-center gap-2">
+        <span className="w-3 h-3 rounded-full bg-green-500" />
+        <span className="text-sm font-medium text-gray-900">Erfolgreich eingeloggt</span>
+        <span className={`ml-auto text-xs px-2 py-1 rounded font-medium ${data.findings_count > 0 ? 'bg-red-100 text-red-700' : 'bg-green-100 text-green-700'}`}>
+          {data.findings_count} fehlende Funktionen
+        </span>
+      </div>
+
+      <div className="space-y-2">
+        {Object.entries(data.checks).map(([key, check]) => {
+          const info = CHECK_LABELS[key] || { label: key, icon: '❓' }
+          return (
+            <div key={key} className={`flex items-center gap-3 p-3 rounded-lg border ${check.found ? 'bg-green-50 border-green-200' : 'bg-red-50 border-red-200'}`}>
+              <span className="text-lg">{info.icon}</span>
+              <div className="flex-1">
+                <p className={`text-sm font-medium ${check.found ? 'text-green-800' : 'text-red-800'}`}>
+                  {check.found ? '✓' : '✗'} {info.label}
+                </p>
+                {check.text && <p className="text-xs text-gray-500 mt-0.5">{check.text}</p>}
+              </div>
+              <span className="text-[10px] text-gray-400">{check.legal_ref}</span>
+            </div>
+          )
+        })}
+      </div>
+
+      {data.findings_count > 0 && (
+        <div className="bg-red-50 border-l-4 border-red-500 p-3 text-xs text-red-700">
+          <strong>{data.findings_count} Pflichtfunktion(en) fehlen.</strong> Der Nutzer kann seine Rechte
+          nach DSGVO nicht vollstaendig ausueben.
+        </div>
+      )}
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/agent/_components/CompareResult.tsx b/admin-compliance/app/sdk/agent/_components/CompareResult.tsx
new file mode 100644
index 0000000..8f23b00
--- /dev/null
+++ b/admin-compliance/app/sdk/agent/_components/CompareResult.tsx
@@ -0,0 +1,96 @@
+'use client'
+
+import React from 'react'
+
+interface SiteResult {
+  url: string
+  domain: string
+  risk_level: string
+  risk_score: number
+  findings_count: number
+  services_count: number
+  has_impressum: boolean
+  has_datenschutz: boolean
+  has_cookie_banner: boolean
+  has_google_fonts: boolean
+  scan_status: string
+}
+
+const RISK_COLOR: Record<string, string> = {
+  MINIMAL: 'text-green-700 bg-green-50',
+  LOW: 'text-yellow-700 bg-yellow-50',
+  LIMITED: 'text-orange-700 bg-orange-50',
+  HIGH: 'text-red-700 bg-red-50',
+  UNACCEPTABLE: 'text-red-900 bg-red-100',
+}
+
+export function CompareResult({ sites }: { sites: SiteResult[] }) {
+  if (!sites.length) return null
+
+  const checks = [
+    { key: 'has_datenschutz', label: 'Datenschutzerklaerung' },
+    { key: 'has_impressum', label: 'Impressum' },
+    { key: 'has_cookie_banner', label: 'Cookie-Banner' },
+    { key: 'has_google_fonts', label: 'Google Fonts (lokal?)' },
+  ]
+
+  return (
+    <div className="space-y-4">
+      <div className="overflow-x-auto">
+        <table className="w-full text-sm border-collapse">
+          <thead>
+            <tr className="bg-gray-50">
+              <th className="text-left px-3 py-2 text-xs font-medium text-gray-500 w-44">Pruefung</th>
+              {sites.map((s, i) => (
+                <th key={i} className="text-center px-3 py-2 text-xs font-medium text-gray-700">
+                  {s.domain}
+                </th>
+              ))}
+            </tr>
+          </thead>
+          <tbody className="divide-y divide-gray-100">
+            <tr>
+              <td className="px-3 py-2 text-gray-600">Risiko-Score</td>
+              {sites.map((s, i) => (
+                <td key={i} className="px-3 py-2 text-center">
+                  <span className={`px-2 py-0.5 rounded text-xs font-medium ${RISK_COLOR[s.risk_level] || 'text-gray-600 bg-gray-50'}`}>
+                    {s.risk_level || '?'} ({s.risk_score}/100)
+                  </span>
+                </td>
+              ))}
+            </tr>
+            <tr>
+              <td className="px-3 py-2 text-gray-600">Findings</td>
+              {sites.map((s, i) => (
+                <td key={i} className={`px-3 py-2 text-center font-medium ${s.findings_count > 0 ? 'text-red-700' : 'text-green-700'}`}>
+                  {s.findings_count}
+                </td>
+              ))}
+            </tr>
+            <tr>
+              <td className="px-3 py-2 text-gray-600">Dienste erkannt</td>
+              {sites.map((s, i) => (
+                <td key={i} className="px-3 py-2 text-center text-gray-700">{s.services_count}</td>
+              ))}
+            </tr>
+            {checks.map(check => (
+              <tr key={check.key}>
+                <td className="px-3 py-2 text-gray-600">{check.label}</td>
+                {sites.map((s, i) => {
+                  const val = (s as any)[check.key]
+                  const isInverted = check.key === 'has_google_fonts'
+                  const good = isInverted ? !val : val
+                  return (
+                    <td key={i} className={`px-3 py-2 text-center font-medium ${good ? 'text-green-600' : 'text-red-600'}`}>
+                      {good ? '✓' : '✗'}
+                    </td>
+                  )
+                })}
+              </tr>
+            ))}
+          </tbody>
+        </table>
+      </div>
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/agent/_components/ConsentTestResult.tsx b/admin-compliance/app/sdk/agent/_components/ConsentTestResult.tsx
new file mode 100644
index 0000000..c2dbd7c
--- /dev/null
+++ b/admin-compliance/app/sdk/agent/_components/ConsentTestResult.tsx
@@ -0,0 +1,248 @@
+'use client'
+
+import React from 'react'
+
+interface Violation {
+  service: string
+  severity: string
+  text: string
+  legal_ref: string
+}
+
+interface PhaseData {
+  scripts: string[]
+  cookies: string[]
+  tracking_services?: string[]
+  new_tracking?: string[]
+  violations?: Violation[]
+  undocumented?: string[]
+}
+
+interface ConsentData {
+  banner_detected: boolean
+  banner_provider: string
+  phases: {
+    before_consent: PhaseData
+    after_reject: PhaseData
+    after_accept: PhaseData
+  }
+  summary: {
+    critical: number
+    high: number
+    undocumented: number
+    total_violations: number
+    category_violations?: number
+    categories_tested?: number
+  }
+  banner_checks?: {
+    has_impressum_link: boolean
+    has_dse_link: boolean
+    violations: { service: string; severity: string; text: string; legal_ref: string }[]
+  }
+  category_tests?: {
+    category: string
+    category_label: string
+    tracking_services: string[]
+    violations: { service: string; severity: string; text: string }[]
+  }[]
+}
+
+const SEV = {
+  CRITICAL: { bg: 'bg-red-100 border-red-300', text: 'text-red-800', badge: 'bg-red-600' },
+  HIGH: { bg: 'bg-orange-100 border-orange-300', text: 'text-orange-800', badge: 'bg-orange-500' },
+}
+
+function PhaseCard({ title, icon, data, type }: {
+  title: string; icon: string; data: PhaseData; type: 'before' | 'reject' | 'accept'
+}) {
+  const violations = data.violations || []
+  const tracking = data.tracking_services || data.new_tracking || []
+  const undocumented = data.undocumented || []
+  const hasProblem = violations.length > 0 || undocumented.length > 0
+
+  return (
+    <div className={`border rounded-lg p-4 ${hasProblem ? 'border-red-200 bg-red-50' : 'border-green-200 bg-green-50'}`}>
+      <h4 className="text-sm font-semibold text-gray-900 mb-2 flex items-center gap-2">
+        <span>{icon}</span> {title}
+      </h4>
+
+      {/* Violations */}
+      {violations.map((v, i) => (
+        <div key={i} className={`mb-2 p-2 rounded border ${SEV[v.severity as keyof typeof SEV]?.bg || SEV.HIGH.bg}`}>
+          <div className="flex items-center gap-2">
+            <span className={`text-[10px] px-1.5 py-0.5 rounded text-white ${SEV[v.severity as keyof typeof SEV]?.badge || SEV.HIGH.badge}`}>
+              {v.severity}
+            </span>
+            <span className={`text-xs font-medium ${SEV[v.severity as keyof typeof SEV]?.text || SEV.HIGH.text}`}>
+              {v.service}
+            </span>
+          </div>
+          <p className="text-xs text-gray-700 mt-1">{v.text}</p>
+          <p className="text-[10px] text-gray-500 mt-0.5">{v.legal_ref}</p>
+        </div>
+      ))}
+
+      {/* Undocumented (Phase C only) */}
+      {undocumented.map((s, i) => (
+        <div key={i} className="mb-2 p-2 rounded border border-yellow-300 bg-yellow-50">
+          <span className="text-xs text-yellow-800">✗ {s} — nicht in Cookie-Policy dokumentiert</span>
+        </div>
+      ))}
+
+      {/* Tracking services (no violations) */}
+      {violations.length === 0 && undocumented.length === 0 && tracking.length > 0 && (
+        <div className="text-xs text-green-700">
+          {tracking.map((t, i) => <div key={i}>✓ {t} — {type === 'accept' ? 'mit Consent OK' : 'erkannt'}</div>)}
+        </div>
+      )}
+
+      {violations.length === 0 && undocumented.length === 0 && tracking.length === 0 && (
+        <p className="text-xs text-green-700">✓ Keine Tracking-Dienste erkannt</p>
+      )}
+
+      {/* Cookie/Script count */}
+      <div className="flex gap-3 mt-2 text-[10px] text-gray-400">
+        <span>{data.scripts?.length || 0} Scripts</span>
+        <span>{data.cookies?.length || 0} Cookies</span>
+      </div>
+    </div>
+  )
+}
+
+export function ConsentTestResult({ data }: { data: ConsentData }) {
+  const s = data.summary
+
+  return (
+    <div className="space-y-4">
+      {/* Header */}
+      <div className="flex items-center justify-between">
+        <div className="flex items-center gap-3">
+          <span className={`w-3 h-3 rounded-full ${data.banner_detected ? 'bg-green-500' : 'bg-red-500'}`} />
+          <span className="text-sm font-medium text-gray-900">
+            Cookie-Banner: {data.banner_detected ? data.banner_provider : 'Nicht erkannt'}
+          </span>
+        </div>
+        <div className="flex gap-2">
+          {s.critical > 0 && (
+            <span className="text-xs px-2 py-1 rounded bg-red-600 text-white font-medium">
+              {s.critical} Kritisch
+            </span>
+          )}
+          {s.high > 0 && (
+            <span className="text-xs px-2 py-1 rounded bg-orange-500 text-white font-medium">
+              {s.high} Hoch
+            </span>
+          )}
+          {s.total_violations === 0 && (
+            <span className="text-xs px-2 py-1 rounded bg-green-500 text-white font-medium">
+              Keine Verstoesse
+            </span>
+          )}
+        </div>
+      </div>
+
+      {/* Three Phases */}
+      <div className="space-y-3">
+        <PhaseCard
+          title="Phase A: Vor Einwilligung"
+          icon="🔍"
+          data={data.phases.before_consent}
+          type="before"
+        />
+        {data.banner_detected && (
+          <>
+            <PhaseCard
+              title="Phase B: Nach Ablehnung"
+              icon="🚫"
+              data={data.phases.after_reject}
+              type="reject"
+            />
+            <PhaseCard
+              title="Phase C: Nach Zustimmung"
+              icon="✅"
+              data={data.phases.after_accept}
+              type="accept"
+            />
+          </>
+        )}
+      </div>
+
+      {/* Banner Text Checks */}
+      {data.banner_checks && (data.banner_checks.violations?.length > 0 || data.banner_checks.has_impressum_link !== undefined) && (
+        <div className="border rounded-lg p-4 border-gray-200 bg-gray-50">
+          <h4 className="text-sm font-semibold text-gray-900 mb-3 flex items-center gap-2">
+            <span>📝</span> Banner-Text Pruefung
+          </h4>
+          <div className="flex gap-3 mb-3 text-xs">
+            <span className={data.banner_checks.has_impressum_link ? 'text-green-600' : 'text-red-600'}>
+              {data.banner_checks.has_impressum_link ? '✓' : '✗'} Impressum-Link
+            </span>
+            <span className={data.banner_checks.has_dse_link ? 'text-green-600' : 'text-red-600'}>
+              {data.banner_checks.has_dse_link ? '✓' : '✗'} DSE-Link
+            </span>
+          </div>
+          {data.banner_checks.violations?.map((v: any, i: number) => {
+            const isHigh = v.severity === 'HIGH' || v.severity === 'CRITICAL'
+            return (
+              <div key={i} className={`mb-2 p-2 rounded border ${isHigh ? 'border-red-300 bg-red-50' : 'border-yellow-300 bg-yellow-50'}`}>
+                <div className="flex items-start gap-2">
+                  <span className={`text-[10px] px-1.5 py-0.5 rounded text-white ${isHigh ? 'bg-red-600' : 'bg-yellow-600'}`}>
+                    {v.severity}
+                  </span>
+                  <div>
+                    <p className="text-xs text-gray-800">{v.text}</p>
+                    <p className="text-[10px] text-gray-500 mt-0.5">{v.legal_ref}</p>
+                  </div>
+                </div>
+              </div>
+            )
+          })}
+          {(!data.banner_checks.violations || data.banner_checks.violations.length === 0) && (
+            <p className="text-xs text-green-700">✓ Keine Banner-Text-Verstoesse erkannt</p>
+          )}
+        </div>
+      )}
+
+      {/* Category Tests (Phase D-F) */}
+      {data.category_tests && data.category_tests.length > 0 && (
+        <div className="space-y-3">
+          <h4 className="text-sm font-semibold text-gray-900 mt-2">Kategorie-Tests ({data.category_tests.length})</h4>
+          {data.category_tests.map((ct, i) => {
+            const hasViolations = ct.violations.length > 0
+            return (
+              <div key={i} className={`border rounded-lg p-4 ${hasViolations ? 'border-red-200 bg-red-50' : 'border-green-200 bg-green-50'}`}>
+                <h4 className="text-sm font-semibold text-gray-900 mb-2 flex items-center gap-2">
+                  <span>🔀</span> Nur &quot;{ct.category_label}&quot;
+                </h4>
+                {ct.violations.length > 0 ? (
+                  ct.violations.map((v, vi) => (
+                    <div key={vi} className="mb-2 p-2 rounded border border-red-300 bg-red-100">
+                      <span className="text-xs font-bold text-red-800 px-1.5 py-0.5 rounded bg-red-200">FALSCH</span>
+                      <span className="text-xs text-red-700 ml-2">{v.text}</span>
+                    </div>
+                  ))
+                ) : (
+                  <div className="text-xs text-green-700">
+                    {ct.tracking_services.length > 0 ? (
+                      ct.tracking_services.map((s, si) => <div key={si}>✓ {s} — korrekte Kategorie</div>)
+                    ) : (
+                      <div>✓ Keine Tracking-Dienste geladen — korrekt</div>
+                    )}
+                  </div>
+                )}
+              </div>
+            )
+          })}
+        </div>
+      )}
+
+      {/* No banner warning */}
+      {!data.banner_detected && (
+        <div className="bg-red-50 border border-red-200 rounded-lg p-3 text-xs text-red-700">
+          <strong>Kein Cookie-Banner erkannt.</strong> Alle erkannten Tracking-Dienste laden ohne
+          Einwilligung — dies ist ein Verstoss gegen §25 TDDDG.
+        </div>
+      )}
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/agent/_components/ScanResult.tsx b/admin-compliance/app/sdk/agent/_components/ScanResult.tsx
index 36308fc..d0dbca3 100644
--- a/admin-compliance/app/sdk/agent/_components/ScanResult.tsx
+++ b/admin-compliance/app/sdk/agent/_components/ScanResult.tsx
@@ -1,6 +1,7 @@
 'use client'
 
 import React, { useState } from 'react'
+import { TextReference } from './TextReference'
 
 interface ServiceInfo {
   name: string
@@ -14,11 +15,27 @@ interface ServiceInfo {
   status: string
 }
 
+interface TextRef {
+  found: boolean
+  source_url: string
+  document_type: string
+  section_heading: string
+  section_number: string
+  parent_section: string
+  paragraph_index: number
+  original_text: string
+  issue: string
+  correction_type: string
+  correction_text: string
+  insert_after: string
+}
+
 interface ScanFinding {
   code: string
   severity: string
   text: string
   correction: string
+<<<<<<< HEAD
   doc_title: string
 }
 
@@ -30,6 +47,9 @@ interface DiscoveredDocument {
   word_count: number
   completeness_pct: number
   findings_count: number
+=======
+  text_reference: TextRef | null
+>>>>>>> feat/zeroclaw-compliance-agent
 }
 
 interface ScanData {
@@ -249,7 +269,12 @@ export function ScanResult({ data }: { data: ScanData }) {
                     </span>
                     <p className="text-sm text-gray-800 flex-1">{f.text}</p>
                   </div>
-                  {f.correction && (
+                  {/* Text Reference (original text + position + correction) */}
+                  {f.text_reference && (
+                    <TextReference ref={f.text_reference} correction={f.correction} />
+                  )}
+                  {/* Fallback: correction without text reference */}
+                  {!f.text_reference && f.correction && (
                     <div className="mt-2">
                       <button onClick={() => setExpandedCorrection(isExp ? null : corrKey)}
                         className="text-xs text-purple-600 hover:text-purple-800 font-medium">
@@ -272,6 +297,7 @@ export function ScanResult({ data }: { data: ScanData }) {
           </div>
         </div>
       )}
+<<<<<<< HEAD
 
       {/* Email Status */}
       {data.email_status && (
@@ -280,6 +306,37 @@ export function ScanResult({ data }: { data: ScanData }) {
           E-Mail: {data.email_status === 'sent' ? 'Gesendet' : data.email_status}
         </div>
       )}
+=======
+      {/* PDF Export Button */}
+      <div className="pt-4 border-t flex gap-3">
+        <button
+          onClick={async () => {
+            try {
+              const res = await fetch('/api/sdk/v1/agent/scans/pdf', {
+                method: 'POST',
+                headers: { 'Content-Type': 'application/json' },
+                body: JSON.stringify({ url: '', scan_type: 'scan', analysis_mode: 'post_launch', result: data }),
+              })
+              if (res.ok) {
+                const blob = await res.blob()
+                const url = URL.createObjectURL(blob)
+                const a = document.createElement('a')
+                a.href = url
+                a.download = 'compliance-report.pdf'
+                a.click()
+                URL.revokeObjectURL(url)
+              }
+            } catch (e) { console.error('PDF export failed:', e) }
+          }}
+          className="flex items-center gap-2 px-4 py-2 text-sm font-medium text-purple-700 bg-purple-50 border border-purple-200 rounded-lg hover:bg-purple-100 transition-colors"
+        >
+          <svg className="w-4 h-4" fill="none" stroke="currentColor" viewBox="0 0 24 24">
+            <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M12 10v6m0 0l-3-3m3 3l3-3m2 8H7a2 2 0 01-2-2V5a2 2 0 012-2h5.586a1 1 0 01.707.293l5.414 5.414a1 1 0 01.293.707V19a2 2 0 01-2 2z" />
+          </svg>
+          PDF herunterladen
+        </button>
+      </div>
+>>>>>>> feat/zeroclaw-compliance-agent
     </div>
   )
 }
diff --git a/admin-compliance/app/sdk/agent/_components/TextReference.tsx b/admin-compliance/app/sdk/agent/_components/TextReference.tsx
new file mode 100644
index 0000000..da7b4cb
--- /dev/null
+++ b/admin-compliance/app/sdk/agent/_components/TextReference.tsx
@@ -0,0 +1,108 @@
+'use client'
+
+import React, { useState } from 'react'
+
+interface TextRef {
+  found: boolean
+  source_url: string
+  document_type: string
+  section_heading: string
+  section_number: string
+  parent_section: string
+  paragraph_index: number
+  original_text: string
+  issue: string
+  correction_type: string
+  correction_text: string
+  insert_after: string
+}
+
+const ISSUE_LABELS: Record<string, { label: string; color: string }> = {
+  missing: { label: 'Fehlt in der DSE', color: 'text-red-700 bg-red-50' },
+  incomplete: { label: 'Unvollstaendig', color: 'text-yellow-700 bg-yellow-50' },
+  incorrect: { label: 'Fehlerhaft', color: 'text-orange-700 bg-orange-50' },
+}
+
+const CORRECTION_LABELS: Record<string, string> = {
+  insert: 'Neuen Abschnitt einfuegen',
+  append: 'Am Ende des Absatzes ergaenzen',
+  replace: 'Absatz ersetzen',
+}
+
+export function TextReference({ ref, correction }: { ref: TextRef; correction?: string }) {
+  const [showCorrection, setShowCorrection] = useState(false)
+  const issue = ISSUE_LABELS[ref.issue] || null
+  const correctionText = correction || ref.correction_text
+
+  return (
+    <div className="mt-3 space-y-2 text-sm">
+      {/* Original Text Block */}
+      <div>
+        <p className="text-xs font-medium text-gray-500 mb-1 flex items-center gap-1">
+          <span>📄</span> Originaltextblock:
+        </p>
+        <div className={`rounded-lg p-3 border ${ref.found ? 'bg-gray-50 border-gray-200' : 'bg-red-50 border-red-200'}`}>
+          {ref.found ? (
+            <p className="text-gray-700 text-xs whitespace-pre-wrap">{ref.original_text || '(Textinhalt konnte nicht extrahiert werden)'}</p>
+          ) : (
+            <p className="text-red-600 text-xs italic">Nicht vorhanden — Eintrag fehlt in der {ref.document_type}.</p>
+          )}
+        </div>
+      </div>
+
+      {/* Position */}
+      <div>
+        <p className="text-xs font-medium text-gray-500 mb-1 flex items-center gap-1">
+          <span>📍</span> Position:
+        </p>
+        <div className="bg-blue-50 border border-blue-200 rounded-lg p-2 text-xs text-blue-800">
+          {ref.found ? (
+            <>
+              <span className="font-semibold">{ref.section_heading || 'Abschnitt unbekannt'}</span>
+              {ref.section_number && <span className="text-blue-600 ml-1">(Nr. {ref.section_number})</span>}
+              {ref.parent_section && <span className="text-blue-500 ml-1">in: {ref.parent_section}</span>}
+              {ref.paragraph_index > 0 && <span className="text-blue-500 ml-1">| Absatz {ref.paragraph_index}</span>}
+            </>
+          ) : ref.insert_after ? (
+            <span><strong>{CORRECTION_LABELS[ref.correction_type] || 'Einfuegen'}</strong> nach Abschnitt &quot;{ref.insert_after}&quot;</span>
+          ) : (
+            <span>Neuen Abschnitt in der {ref.document_type} anlegen</span>
+          )}
+          {ref.source_url && (
+            <div className="text-blue-400 mt-1 truncate">in: {ref.source_url}</div>
+          )}
+        </div>
+      </div>
+
+      {/* Correction */}
+      {correctionText && (
+        <div>
+          <button
+            onClick={() => setShowCorrection(!showCorrection)}
+            className="text-xs text-purple-600 hover:text-purple-800 font-medium flex items-center gap-1"
+          >
+            <span>{showCorrection ? '▼' : '▶'}</span>
+            <span>✏️</span> Korrekturvorschlag {showCorrection ? 'ausblenden' : 'anzeigen'}
+          </button>
+          {showCorrection && (
+            <div className="mt-2 bg-white border border-purple-200 rounded-lg p-3 relative">
+              {issue && (
+                <span className={`text-[10px] px-2 py-0.5 rounded-full font-medium mb-2 inline-block ${issue.color}`}>
+                  {CORRECTION_LABELS[ref.correction_type] || issue.label}
+                </span>
+              )}
+              <pre className="text-xs text-gray-700 whitespace-pre-wrap font-sans mt-1">{correctionText}</pre>
+              <button
+                onClick={() => navigator.clipboard.writeText(correctionText)}
+                className="absolute top-2 right-2 text-xs bg-gray-100 hover:bg-gray-200 px-2 py-1 rounded transition-colors"
+                title="In Zwischenablage kopieren"
+              >
+                📋 Kopieren
+              </button>
+            </div>
+          )}
+        </div>
+      )}
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/agent/page.tsx b/admin-compliance/app/sdk/agent/page.tsx
index f8d78f6..9aeba40 100644
--- a/admin-compliance/app/sdk/agent/page.tsx
+++ b/admin-compliance/app/sdk/agent/page.tsx
@@ -2,6 +2,7 @@
 
 import React, { useState } from 'react'
 import { ScanResult } from './_components/ScanResult'
+<<<<<<< HEAD
 import { DocCheckTab } from './_components/DocCheckTab'
 import { BannerCheckTab } from './_components/BannerCheckTab'
 import { ImpressumCheckTab } from './_components/ImpressumCheckTab'
@@ -31,6 +32,43 @@ export default function AgentPage() {
     if (typeof window === 'undefined') return []
     try { return JSON.parse(localStorage.getItem('agent-scan-history') || '[]') } catch { return [] }
   })
+=======
+import { ConsentTestResult } from './_components/ConsentTestResult'
+import { CompareResult } from './_components/CompareResult'
+import { AuthTestResult } from './_components/AuthTestResult'
+
+type Mode = 'pre_launch' | 'post_launch'
+type Tab = 'quick' | 'scan' | 'consent' | 'compare' | 'auth'
+
+const MODES = [
+  { id: 'pre_launch' as Mode, label: 'Internes Dokument', desc: 'Vor Veroeffentlichung', icon: '📋' },
+  { id: 'post_launch' as Mode, label: 'Live-Website', desc: 'Bereits online', icon: '🌐' },
+]
+
+const TABS = [
+  { id: 'quick' as Tab, label: 'Schnellanalyse', info: 'Einzelne URL klassifizieren und bewerten.' },
+  { id: 'scan' as Tab, label: 'Website-Scan', info: '5-10 Seiten scannen, Dienstleister abgleichen, Pflichtinhalte pruefen.' },
+  { id: 'consent' as Tab, label: 'Cookie-Test', info: 'Testet mit Browser was VOR und NACH Cookie-Einwilligung geladen wird.' },
+  { id: 'compare' as Tab, label: 'Vergleich', info: '2-5 Websites parallel scannen und Compliance vergleichen.' },
+  { id: 'auth' as Tab, label: 'Login-Test', info: 'Nach Login pruefen: Kuendigung, Daten loeschen, Export, Einwilligungen.' },
+]
+
+export default function AgentPage() {
+  const [url, setUrl] = useState('')
+  const [urls, setUrls] = useState('')
+  const [mode, setMode] = useState<Mode>('post_launch')
+  const [tab, setTab] = useState<Tab>('quick')
+  const [scanLoading, setScanLoading] = useState(false)
+  const [scanError, setScanError] = useState<string | null>(null)
+  const [scanData, setScanData] = useState<any>(null)
+  const [scanHistory, setScanHistory] = useState<any[]>([])
+  const [consentData, setConsentData] = useState<any>(null)
+  const [compareData, setCompareData] = useState<any>(null)
+  const [authData, setAuthData] = useState<any>(null)
+  const [authUser, setAuthUser] = useState('')
+  const [authPass, setAuthPass] = useState('')
+  const { analyze, answerFollowUp, loading, error, result, history } = useAgentAnalysis()
+>>>>>>> feat/zeroclaw-compliance-agent
 
   React.useEffect(() => { localStorage.setItem('agent-scan-url', url) }, [url])
   React.useEffect(() => { localStorage.setItem('agent-scan-tab', tab) }, [tab])
@@ -91,6 +129,7 @@ export default function AgentPage() {
 
   const handleScan = async (e: React.FormEvent) => {
     e.preventDefault()
+<<<<<<< HEAD
     if (!url.trim()) return
     setScanLoading(true)
     setScanError(null)
@@ -131,6 +170,51 @@ export default function AgentPage() {
     } catch (e) {
       setScanError(e instanceof Error ? e.message : 'Unbekannter Fehler')
       setScanProgress('')
+=======
+    setScanLoading(true)
+    setScanError(null)
+
+    try {
+      if (tab === 'quick') {
+        setScanLoading(false)
+        analyze(url.trim(), mode)
+        return
+      }
+
+      let endpoint = ''
+      let body: any = {}
+
+      if (tab === 'scan') {
+        endpoint = '/api/sdk/v1/agent/scan'
+        body = { url: url.trim(), mode }
+      } else if (tab === 'consent') {
+        endpoint = '/api/sdk/v1/agent/consent-test'
+        body = { url: url.trim() }
+      } else if (tab === 'compare') {
+        endpoint = '/api/sdk/v1/agent/compare'
+        body = { urls: urls.split('\n').map(u => u.trim()).filter(Boolean), mode }
+      } else if (tab === 'auth') {
+        endpoint = '/api/sdk/v1/agent/authenticated-scan'
+        body = { url: url.trim(), username: authUser, password: authPass }
+      }
+
+      const res = await fetch(endpoint, {
+        method: 'POST',
+        headers: { 'Content-Type': 'application/json' },
+        body: JSON.stringify(body),
+      })
+      if (!res.ok) throw new Error(`Fehlgeschlagen: ${res.status}`)
+      const data = await res.json()
+
+      if (tab === 'scan') {
+        setScanData(data)
+        setScanHistory(prev => [{ url: url.trim(), ...data, scanned_at: new Date().toISOString() }, ...prev].slice(0, 20))
+      } else if (tab === 'consent') setConsentData(data)
+      else if (tab === 'compare') setCompareData(data)
+      else if (tab === 'auth') setAuthData(data)
+    } catch (e) {
+      setScanError(e instanceof Error ? e.message : 'Fehler')
+>>>>>>> feat/zeroclaw-compliance-agent
     } finally {
       setScanLoading(false)
     }
@@ -158,6 +242,7 @@ export default function AgentPage() {
     <div className="space-y-6 max-w-4xl">
       <div>
         <h1 className="text-2xl font-bold text-gray-900">Compliance Agent</h1>
+<<<<<<< HEAD
         <p className="text-gray-500 mt-1">Analysiere Webseiten und Dokumente auf DSGVO-Konformitaet.</p>
       </div>
 
@@ -281,10 +366,93 @@ export default function AgentPage() {
                 ))}
               </div>
             </div>
+=======
+        <p className="text-gray-500 mt-1">Analysiere Dokumente und Webseiten auf DSGVO-Konformitaet.</p>
+      </div>
+
+      {/* Mode */}
+      <div className="grid grid-cols-2 gap-3">
+        {MODES.map(m => (
+          <button key={m.id} onClick={() => setMode(m.id)}
+            className={`p-3 rounded-xl border-2 text-left transition-all ${mode === m.id ? 'border-purple-500 bg-purple-50' : 'border-gray-200 hover:border-gray-300'}`}>
+            <div className="flex items-center gap-3">
+              <span className="text-xl">{m.icon}</span>
+              <div>
+                <p className={`text-sm font-semibold ${mode === m.id ? 'text-purple-900' : 'text-gray-900'}`}>{m.label}</p>
+                <p className="text-xs text-gray-500">{m.desc}</p>
+              </div>
+            </div>
+          </button>
+        ))}
+      </div>
+
+      {/* Tabs */}
+      <div>
+        <div className="flex border-b border-gray-200 overflow-x-auto">
+          {TABS.map(t => (
+            <button key={t.id} onClick={() => setTab(t.id)}
+              className={`px-3 py-2.5 text-sm font-medium border-b-2 whitespace-nowrap transition-colors ${tab === t.id ? 'border-purple-500 text-purple-700' : 'border-transparent text-gray-500 hover:text-gray-700'}`}>
+              {t.label}
+            </button>
+          ))}
+        </div>
+        <p className="text-xs text-gray-400 mt-2 px-1">{TABS.find(t => t.id === tab)?.info}</p>
+      </div>
+
+      {/* Input */}
+      <form onSubmit={handleSubmit} className="space-y-3">
+        {tab === 'compare' ? (
+          <textarea value={urls} onChange={e => setUrls(e.target.value)}
+            placeholder="https://www.opodo.de&#10;https://www.booking.com&#10;https://www.expedia.de"
+            rows={3}
+            className="w-full px-4 py-3 border border-gray-300 rounded-lg focus:ring-2 focus:ring-purple-500 text-sm"
+            disabled={isLoading} />
+        ) : (
+          <input type="url" value={url} onChange={e => setUrl(e.target.value)}
+            placeholder={tab === 'auth' ? 'https://www.example.com/login' : 'https://www.example.com/'}
+            className="w-full px-4 py-3 border border-gray-300 rounded-lg focus:ring-2 focus:ring-purple-500 text-sm"
+            disabled={isLoading} required />
+        )}
+        {tab === 'auth' && (
+          <div className="grid grid-cols-2 gap-3">
+            <input type="text" value={authUser} onChange={e => setAuthUser(e.target.value)}
+              placeholder="Email / Benutzername" autoComplete="off"
+              className="px-4 py-2 border border-gray-300 rounded-lg text-sm" />
+            <input type="password" value={authPass} onChange={e => setAuthPass(e.target.value)}
+              placeholder="Passwort" autoComplete="off"
+              className="px-4 py-2 border border-gray-300 rounded-lg text-sm" />
+            <p className="col-span-2 text-[10px] text-gray-400">Credentials werden NICHT gespeichert — nur fuer diesen Test im Browser-Kontext.</p>
+          </div>
+        )}
+        <button type="submit" disabled={isLoading || (!url.trim() && tab !== 'compare') || (tab === 'compare' && !urls.trim())}
+          className="px-6 py-3 bg-purple-600 text-white rounded-lg hover:bg-purple-700 disabled:opacity-50 transition-colors flex items-center gap-2 text-sm font-medium">
+          {isLoading ? (
+            <><svg className="animate-spin w-4 h-4" fill="none" viewBox="0 0 24 24">
+              <circle className="opacity-25" cx="12" cy="12" r="10" stroke="currentColor" strokeWidth="4" />
+              <path className="opacity-75" fill="currentColor" d="M4 12a8 8 0 018-8V0C5.373 0 0 5.373 0 12h4z" />
+            </svg>Analysiere...</>
+          ) : TABS.find(t => t.id === tab)?.label || 'Starten'}
+        </button>
+      </form>
+
+      {currentError && <div className="bg-red-50 border border-red-200 rounded-lg p-4 text-sm text-red-700">{currentError}</div>}
+
+      {/* Results */}
+      {tab === 'quick' && result && (
+        <div className="bg-white border border-gray-200 rounded-xl p-6 shadow-sm space-y-6">
+          <AnalysisResult result={result} />
+          {result.follow_up_questions.length > 0 && (
+            <div className="border-t pt-4"><FollowUpQuestions questions={result.follow_up_questions} answers={result.follow_up_answers} onAnswer={answerFollowUp} /></div>
+>>>>>>> feat/zeroclaw-compliance-agent
           )}
         </div>
       )}
+      {tab === 'scan' && scanData && <div className="bg-white border border-gray-200 rounded-xl p-6 shadow-sm"><ScanResult data={scanData} /></div>}
+      {tab === 'consent' && consentData && <div className="bg-white border border-gray-200 rounded-xl p-6 shadow-sm"><ConsentTestResult data={consentData} /></div>}
+      {tab === 'compare' && compareData?.sites && <div className="bg-white border border-gray-200 rounded-xl p-6 shadow-sm"><CompareResult sites={compareData.sites} /></div>}
+      {tab === 'auth' && authData && <div className="bg-white border border-gray-200 rounded-xl p-6 shadow-sm"><AuthTestResult data={authData} /></div>}
 
+<<<<<<< HEAD
       {/* Specialized Tabs */}
       {tab === 'doc-check' && <DocCheckTab />}
       {tab === 'banner-check' && <BannerCheckTab />}
@@ -292,6 +460,27 @@ export default function AgentPage() {
 
       {/* FAQ */}
       <ComplianceFAQ />
+=======
+      {/* History */}
+      {tab === 'quick' && <AnalysisHistory history={history} onSelect={r => { setUrl(r.url); analyze(r.url, mode) }} />}
+      {tab === 'scan' && scanHistory.length > 0 && (
+        <div>
+          <h3 className="text-sm font-medium text-gray-700 mb-3">Letzte Scans</h3>
+          <div className="space-y-2">
+            {scanHistory.map((item, i) => (
+              <button key={i} onClick={() => setUrl(item.url)}
+                className="w-full text-left p-3 bg-white border border-gray-200 rounded-lg hover:border-purple-300 transition-colors">
+                <div className="flex items-center gap-3">
+                  <span className="text-xs text-gray-500 w-8">{item.pages_scanned}p</span>
+                  <span className="text-sm text-gray-700 truncate flex-1">{item.url}</span>
+                  <span className={`text-xs px-2 py-0.5 rounded ${item.findings?.length > 0 ? 'bg-red-100 text-red-700' : 'bg-green-100 text-green-700'}`}>{item.findings?.length || 0}</span>
+                </div>
+              </button>
+            ))}
+          </div>
+        </div>
+      )}
+>>>>>>> feat/zeroclaw-compliance-agent
     </div>
   )
 }
diff --git a/admin-compliance/app/sdk/cmp/page.tsx b/admin-compliance/app/sdk/cmp/page.tsx
index e53a006..65df1f3 100644
--- a/admin-compliance/app/sdk/cmp/page.tsx
+++ b/admin-compliance/app/sdk/cmp/page.tsx
@@ -54,6 +54,7 @@ export default function CMPDashboardPage() {
   const [consentStats, setConsentStats] = useState<ConsentStats | null>(null)
   const [dsrStats, setDSRStats] = useState<DSRStats | null>(null)
   const [sites, setSites] = useState<any[]>([])
+<<<<<<< HEAD
   const [selectedSite, setSelectedSite] = useState<string>('')
   const [loading, setLoading] = useState(true)
 
@@ -64,10 +65,21 @@ export default function CMPDashboardPage() {
     async function load() {
       const fa = (path: string) => fetch(`/api/sdk/v1/compliance/${path}`, { headers: HEADERS }).then(r => r.ok ? r.json() : null).catch(() => null)
       const [consent, dsr, siteList] = await Promise.all([
+=======
+  const [loading, setLoading] = useState(true)
+
+  useEffect(() => {
+    async function load() {
+      const fb = (path: string) => fetch(`${BANNER_API}/${path}`, { headers: HEADERS }).then(r => r.ok ? r.json() : null).catch(() => null)
+      const fa = (path: string) => fetch(`/api/sdk/v1/compliance/${path}`, { headers: HEADERS }).then(r => r.ok ? r.json() : null).catch(() => null)
+      const [banner, consent, dsr, siteList] = await Promise.all([
+        fb('admin/stats/preview-test-site'),
+>>>>>>> feat/zeroclaw-compliance-agent
         fa('einwilligungen/consents/stats'),
         fa('dsr/stats'),
         fb('admin/sites'),
       ])
+<<<<<<< HEAD
       setConsentStats(consent)
       setDSRStats(dsr)
       const loadedSites = Array.isArray(siteList) ? siteList : []
@@ -89,6 +101,17 @@ export default function CMPDashboardPage() {
   // eslint-disable-next-line react-hooks/exhaustive-deps
   }, [selectedSite])
 
+=======
+      setBannerStats(banner)
+      setConsentStats(consent)
+      setDSRStats(dsr)
+      setSites(siteList || [])
+      setLoading(false)
+    }
+    load()
+  }, [])
+
+>>>>>>> feat/zeroclaw-compliance-agent
   const totalConsents = (bannerStats?.total_consents || 0) + (consentStats?.total_consents || 0)
   const dsrOpen = dsrStats ? (dsrStats.by_status?.intake || 0) + (dsrStats.by_status?.processing || 0) + (dsrStats.by_status?.identity_verification || 0) : 0
   const dsrOverdue = dsrStats?.overdue || 0
@@ -100,6 +123,7 @@ export default function CMPDashboardPage() {
       <div className="flex items-center justify-between">
         <div>
           <h1 className="text-2xl font-bold text-gray-900">Consent Management Platform</h1>
+<<<<<<< HEAD
           <p className="text-gray-500 mt-1">Überblick über Einwilligungen, Betroffenenrechte und Vendor-Compliance</p>
         </div>
         <div className="flex items-center gap-3">
@@ -121,6 +145,14 @@ export default function CMPDashboardPage() {
             Banner testen
           </Link>
         </div>
+=======
+          <p className="text-gray-500 mt-1">Ueberblick ueber Einwilligungen, Betroffenenrechte und Vendor-Compliance</p>
+        </div>
+        <Link href="/sdk/cookie-banner/preview"
+          className="px-4 py-2 bg-purple-600 text-white rounded-lg text-sm font-medium hover:bg-purple-700 transition-colors">
+          Banner testen
+        </Link>
+>>>>>>> feat/zeroclaw-compliance-agent
       </div>
 
       {/* KPI Cards */}
@@ -203,6 +235,47 @@ export default function CMPDashboardPage() {
         </div>
       </div>
 
+<<<<<<< HEAD
+=======
+      {/* Banner-Bedarf Hinweis (TTDSG § 25) */}
+      {bannerStats && Object.keys(bannerStats.category_acceptance).length === 0 && sites.length === 0 && (
+        <div className="bg-green-50 border border-green-200 rounded-xl p-5 flex items-start gap-4">
+          <div className="w-10 h-10 bg-green-100 rounded-lg flex items-center justify-center flex-shrink-0">
+            <svg className="w-5 h-5 text-green-600" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M5 13l4 4L19 7" /></svg>
+          </div>
+          <div>
+            <h3 className="font-semibold text-green-800">Kein Cookie-Banner erforderlich</h3>
+            <p className="text-sm text-green-700 mt-1">
+              Es wurden keine Cookies, Tracker oder Analytics-Dienste erkannt. Gemaess TTDSG § 25 ist kein
+              Cookie-Banner erforderlich, da keine Informationen auf dem Endgeraet gespeichert werden.
+            </p>
+            <p className="text-xs text-green-600 mt-2">
+              <strong>Weiterhin Pflicht:</strong> Impressum (DDG § 5) und Datenschutzerklaerung (DSGVO Art. 13)
+            </p>
+          </div>
+        </div>
+      )}
+
+      {/* Banner-Warnung wenn Tracker ohne Banner */}
+      {bannerStats && Object.keys(bannerStats.category_acceptance).length > 0 && sites.length === 0 && (
+        <div className="bg-red-50 border border-red-200 rounded-xl p-5 flex items-start gap-4">
+          <div className="w-10 h-10 bg-red-100 rounded-lg flex items-center justify-center flex-shrink-0">
+            <svg className="w-5 h-5 text-red-600" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M12 9v2m0 4h.01m-6.938 4h13.856c1.54 0 2.502-1.667 1.732-3L13.732 4c-.77-1.333-2.694-1.333-3.464 0L3.34 16c-.77 1.333.192 3 1.732 3z" /></svg>
+          </div>
+          <div>
+            <h3 className="font-semibold text-red-800">Cookie-Banner fehlt!</h3>
+            <p className="text-sm text-red-700 mt-1">
+              Es wurden Tracking-Dienste erkannt, aber kein Cookie-Banner ist konfiguriert.
+              Gemaess TTDSG § 25 ist eine Einwilligung erforderlich.
+            </p>
+            <Link href="/sdk/cookie-banner" className="inline-block mt-2 text-sm text-red-700 font-medium underline">
+              Jetzt Cookie-Banner einrichten
+            </Link>
+          </div>
+        </div>
+      )}
+
+>>>>>>> feat/zeroclaw-compliance-agent
       {/* Compliance Status */}
       <div className="bg-white rounded-xl border border-gray-200 p-6">
         <h3 className="font-semibold text-gray-900 mb-1">Compliance-Status</h3>
diff --git a/admin-compliance/app/sdk/company-profile/_components/PresetSelector.tsx b/admin-compliance/app/sdk/company-profile/_components/PresetSelector.tsx
new file mode 100644
index 0000000..6efe28f
--- /dev/null
+++ b/admin-compliance/app/sdk/company-profile/_components/PresetSelector.tsx
@@ -0,0 +1,49 @@
+'use client'
+
+import { COMPANY_PROFILE_PRESETS, type CompanyProfilePreset } from '@/lib/sdk/company-profile-presets'
+
+interface PresetSelectorProps {
+  onSelect: (preset: CompanyProfilePreset) => void
+  onSkip: () => void
+}
+
+export function PresetSelector({ onSelect, onSkip }: PresetSelectorProps) {
+  return (
+    <div className="space-y-6">
+      <div className="text-center">
+        <h2 className="text-xl font-bold text-gray-900">Welcher Unternehmenstyp passt zu Ihnen?</h2>
+        <p className="text-sm text-gray-500 mt-2">
+          Waehlen Sie eine Vorlage fuer Ihre Branche — alle Felder werden vorbefuellt
+          und Sie koennen anschliessend anpassen.
+        </p>
+      </div>
+
+      <div className="grid grid-cols-2 md:grid-cols-3 lg:grid-cols-5 gap-3">
+        {COMPANY_PROFILE_PRESETS.map((preset) => (
+          <button
+            key={preset.id}
+            onClick={() => onSelect(preset)}
+            className="flex flex-col items-center gap-2 p-4 bg-white border border-gray-200 rounded-xl hover:border-purple-400 hover:shadow-md transition-all text-center group"
+          >
+            <span className="text-3xl">{preset.icon}</span>
+            <span className="text-sm font-medium text-gray-900 group-hover:text-purple-700">
+              {preset.label}
+            </span>
+            <span className="text-xs text-gray-500 leading-tight">
+              {preset.description}
+            </span>
+          </button>
+        ))}
+      </div>
+
+      <div className="text-center">
+        <button
+          onClick={onSkip}
+          className="text-sm text-gray-400 hover:text-gray-600 underline"
+        >
+          Manuell ausfuellen (ohne Vorlage)
+        </button>
+      </div>
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/compliance-scope/page.tsx b/admin-compliance/app/sdk/compliance-scope/page.tsx
index 0e31258..57321cd 100644
--- a/admin-compliance/app/sdk/compliance-scope/page.tsx
+++ b/admin-compliance/app/sdk/compliance-scope/page.tsx
@@ -78,6 +78,14 @@ export default function ComplianceScopePage() {
   const [supervisoryAuthorities, setSupervisoryAuthorities] = useState<SupervisoryAuthorityInfo[]>([])
   const [regulationAssessmentLoading, setRegulationAssessmentLoading] = useState(false)
 
+  // Enabled compliance modules (derived from applicable regulations)
+  const [enabledModules, setEnabledModules] = useState<string[]>([])
+
+  // Auto-enable all applicable regulations when they load
+  const handleToggleModule = (moduleId: string, enabled: boolean) => {
+    setEnabledModules(prev => enabled ? [...prev, moduleId] : prev.filter(id => id !== moduleId))
+  }
+
   // Sync from SDK context when it becomes available (handles async loading).
   // The SDK context loads state from server/localStorage asynchronously, so
   // sdkState.complianceScope may arrive AFTER this page has already mounted.
@@ -159,6 +167,10 @@ export default function ComplianceScopePage() {
       // Set applicable regulations from response
       const regs: ApplicableRegulation[] = data.overview?.applicable_regulations || data.applicable_regulations || []
       setApplicableRegulations(regs)
+      // Auto-enable all applicable regulations as modules
+      if (enabledModules.length === 0) {
+        setEnabledModules(regs.map(r => r.id))
+      }
 
       // Derive supervisory authorities
       const regIds = regs.map(r => r.id)
@@ -375,6 +387,8 @@ export default function ComplianceScopePage() {
               supervisoryAuthorities={supervisoryAuthorities}
               regulationAssessmentLoading={regulationAssessmentLoading}
               onGoToObligations={() => { window.location.href = '/sdk/obligations' }}
+              enabledModules={enabledModules}
+              onToggleModule={handleToggleModule}
             />
           )}
 
diff --git a/admin-compliance/app/sdk/consent-management/page.tsx b/admin-compliance/app/sdk/consent-management/page.tsx
index 1446aef..2b59dd7 100644
--- a/admin-compliance/app/sdk/consent-management/page.tsx
+++ b/admin-compliance/app/sdk/consent-management/page.tsx
@@ -141,16 +141,24 @@ export default function ConsentManagementPage() {
           )}
 
           {activeTab === 'emails' && (
-            <EmailsTab
-              apiEmailTemplates={apiEmailTemplates}
-              templatesLoading={templatesLoading}
-              savingTemplateId={savingTemplateId}
-              savedTemplates={savedTemplates}
-              setShowCreateTemplateModal={setShowCreateTemplateModal}
-              saveApiEmailTemplate={saveApiEmailTemplate}
-              setPreviewTemplate={setPreviewTemplate}
-              setEditingTemplate={setEditingTemplate}
-            />
+            <div className="bg-purple-50 border border-purple-200 rounded-xl p-8 text-center">
+              <div className="w-14 h-14 mx-auto mb-4 bg-purple-100 rounded-xl flex items-center justify-center">
+                <svg className="w-7 h-7 text-purple-600" fill="none" stroke="currentColor" viewBox="0 0 24 24">
+                  <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M3 8l7.89 5.26a2 2 0 002.22 0L21 8M5 19h14a2 2 0 002-2V7a2 2 0 00-2-2H5a2 2 0 00-2 2v10a2 2 0 002 2z" />
+                </svg>
+              </div>
+              <h3 className="font-semibold text-gray-900 mb-2">E-Mail-Templates wurden zentralisiert</h3>
+              <p className="text-sm text-gray-600 mb-4">
+                Alle E-Mail-Vorlagen (DSR, Consent, Breach, Training, etc.) werden jetzt zentral
+                im E-Mail-Template-Modul verwaltet — mit Versionierung, Freigabe-Workflow und Audit-Log.
+              </p>
+              <button
+                onClick={() => router.push('/sdk/email-templates')}
+                className="px-6 py-2.5 bg-purple-600 text-white text-sm font-medium rounded-lg hover:bg-purple-700 transition-colors"
+              >
+                Zu E-Mail-Templates
+              </button>
+            </div>
           )}
 
           {activeTab === 'gdpr' && (
diff --git a/admin-compliance/app/sdk/control-library/components/ControlDetail.tsx b/admin-compliance/app/sdk/control-library/components/ControlDetail.tsx
index 0297d1c..731d2e1 100644
--- a/admin-compliance/app/sdk/control-library/components/ControlDetail.tsx
+++ b/admin-compliance/app/sdk/control-library/components/ControlDetail.tsx
@@ -212,14 +212,14 @@ export function ControlDetail({
           </section>
         ) : null}
 
-        {ctrl.requirements.length > 0 && (
+        {Array.isArray(ctrl.requirements) && ctrl.requirements.length > 0 && (
           <section>
             <h3 className="text-sm font-semibold text-gray-900 mb-2">Anforderungen</h3>
             <ol className="list-decimal list-inside space-y-1">{ctrl.requirements.map((r, i) => <li key={i} className="text-sm text-gray-700">{r}</li>)}</ol>
           </section>
         )}
 
-        {ctrl.test_procedure.length > 0 && (
+        {Array.isArray(ctrl.test_procedure) && ctrl.test_procedure.length > 0 && (
           <section>
             <h3 className="text-sm font-semibold text-gray-900 mb-2">Pruefverfahren</h3>
             <ol className="list-decimal list-inside space-y-1">{ctrl.test_procedure.map((s, i) => <li key={i} className="text-sm text-gray-700">{s}</li>)}</ol>
diff --git a/admin-compliance/app/sdk/cookie-banner/_components/ABTestPanel.tsx b/admin-compliance/app/sdk/cookie-banner/_components/ABTestPanel.tsx
new file mode 100644
index 0000000..4d8a719
--- /dev/null
+++ b/admin-compliance/app/sdk/cookie-banner/_components/ABTestPanel.tsx
@@ -0,0 +1,203 @@
+'use client'
+
+import { useState, useEffect, useCallback } from 'react'
+
+interface Variant {
+  id: string
+  variant_name: string
+  variant_key: string
+  traffic_percent: number
+  is_control: boolean
+  banner_title: string | null
+  banner_description: string | null
+  position: string | null
+  primary_color: string | null
+  is_active: boolean
+}
+
+interface VariantStat {
+  variant_id: string
+  variant_key: string
+  variant_name: string
+  traffic_percent: number
+  is_control: boolean
+  total: number
+  accepted: number
+  opt_in_rate: number
+  is_winner?: boolean
+  significance?: number
+}
+
+const API = '/api/sdk/v1/compliance/banner/ab'
+
+export function ABTestPanel({ siteConfigId }: { siteConfigId?: string }) {
+  const [variants, setVariants] = useState<Variant[]>([])
+  const [stats, setStats] = useState<VariantStat[]>([])
+  const [loading, setLoading] = useState(true)
+  const [showCreate, setShowCreate] = useState(false)
+  const [newVariant, setNewVariant] = useState({ variant_name: '', variant_key: 'B', traffic_percent: 50, banner_title: '', primary_color: '' })
+
+  const scid = siteConfigId || ''
+
+  const loadData = useCallback(async () => {
+    if (!scid) { setLoading(false); return }
+    setLoading(true)
+    try {
+      const [v, s] = await Promise.all([
+        fetch(`${API}/${scid}/variants`).then(r => r.ok ? r.json() : []),
+        fetch(`${API}/${scid}/stats`).then(r => r.ok ? r.json() : []),
+      ])
+      setVariants(v)
+      setStats(s)
+    } catch { /* ignore */ }
+    setLoading(false)
+  }, [scid])
+
+  useEffect(() => { loadData() }, [loadData])
+
+  const handleCreate = async () => {
+    if (!scid || !newVariant.variant_name) return
+    await fetch(`${API}/${scid}/variants`, {
+      method: 'POST',
+      headers: { 'Content-Type': 'application/json' },
+      body: JSON.stringify(newVariant),
+    })
+    setShowCreate(false)
+    setNewVariant({ variant_name: '', variant_key: 'B', traffic_percent: 50, banner_title: '', primary_color: '' })
+    loadData()
+  }
+
+  const handleDelete = async (id: string) => {
+    await fetch(`${API}/variants/${id}`, { method: 'DELETE' })
+    loadData()
+  }
+
+  const handleTrafficChange = async (id: string, pct: number) => {
+    await fetch(`${API}/variants/${id}`, {
+      method: 'PUT',
+      headers: { 'Content-Type': 'application/json' },
+      body: JSON.stringify({ traffic_percent: pct }),
+    })
+    loadData()
+  }
+
+  if (!scid) {
+    return <div className="text-center py-8 text-gray-400">Bitte waehlen Sie zuerst eine Site aus.</div>
+  }
+
+  if (loading) return <div className="text-center py-8 text-gray-400">Lade A/B-Test...</div>
+
+  const maxRate = Math.max(...stats.map(s => s.opt_in_rate), 1)
+
+  return (
+    <div className="space-y-6">
+      {/* Header */}
+      <div className="flex items-center justify-between">
+        <div>
+          <h3 className="font-semibold text-gray-900">A/B-Test Varianten</h3>
+          <p className="text-xs text-gray-500 mt-1">Testen Sie verschiedene Banner-Konfigurationen um die Opt-In-Rate zu optimieren.</p>
+        </div>
+        <button onClick={() => setShowCreate(!showCreate)}
+          className="px-4 py-2 text-sm bg-purple-600 text-white rounded-lg hover:bg-purple-700">
+          + Variante erstellen
+        </button>
+      </div>
+
+      {/* Create Form */}
+      {showCreate && (
+        <div className="bg-gray-50 border border-gray-200 rounded-xl p-4 space-y-3">
+          <div className="grid grid-cols-2 gap-3">
+            <input value={newVariant.variant_name} onChange={e => setNewVariant({ ...newVariant, variant_name: e.target.value })}
+              placeholder="Name (z.B. Variante B)" className="px-3 py-2 text-sm border border-gray-200 rounded-lg" />
+            <input value={newVariant.variant_key} onChange={e => setNewVariant({ ...newVariant, variant_key: e.target.value })}
+              placeholder="Key (z.B. B)" className="px-3 py-2 text-sm border border-gray-200 rounded-lg" />
+            <input value={newVariant.banner_title} onChange={e => setNewVariant({ ...newVariant, banner_title: e.target.value })}
+              placeholder="Banner-Titel (Override)" className="px-3 py-2 text-sm border border-gray-200 rounded-lg" />
+            <input value={newVariant.primary_color} onChange={e => setNewVariant({ ...newVariant, primary_color: e.target.value })}
+              placeholder="Farbe (z.B. #22c55e)" type="color" className="px-3 py-2 h-10 text-sm border border-gray-200 rounded-lg" />
+          </div>
+          <div className="flex items-center gap-3">
+            <label className="text-sm text-gray-600">Traffic:</label>
+            <input type="range" min={5} max={95} value={newVariant.traffic_percent}
+              onChange={e => setNewVariant({ ...newVariant, traffic_percent: parseInt(e.target.value) })}
+              className="flex-1" />
+            <span className="text-sm font-medium w-12 text-right">{newVariant.traffic_percent}%</span>
+          </div>
+          <div className="flex gap-2">
+            <button onClick={handleCreate} className="px-4 py-2 text-sm bg-purple-600 text-white rounded-lg hover:bg-purple-700">Erstellen</button>
+            <button onClick={() => setShowCreate(false)} className="px-4 py-2 text-sm text-gray-500 hover:bg-gray-100 rounded-lg">Abbrechen</button>
+          </div>
+        </div>
+      )}
+
+      {/* Variants + Stats */}
+      {variants.length === 0 ? (
+        <div className="text-center py-12 bg-white border border-gray-200 rounded-xl">
+          <p className="text-gray-400">Kein A/B-Test aktiv.</p>
+          <p className="text-xs text-gray-400 mt-1">Erstellen Sie mindestens 2 Varianten um einen Test zu starten.</p>
+        </div>
+      ) : (
+        <div className="space-y-4">
+          {/* Comparison Chart */}
+          {stats.length > 0 && (
+            <div className="bg-white border border-gray-200 rounded-xl p-6">
+              <h4 className="font-medium text-gray-900 mb-4">Opt-In-Rate Vergleich</h4>
+              <div className="space-y-3">
+                {stats.map(s => (
+                  <div key={s.variant_key} className="flex items-center gap-4">
+                    <div className="w-24 text-sm text-gray-700 truncate">
+                      {s.variant_name}
+                      {s.is_control && <span className="ml-1 text-[10px] text-gray-400">(Kontrolle)</span>}
+                    </div>
+                    <div className="flex-1 h-8 bg-gray-100 rounded-lg overflow-hidden relative">
+                      <div className={`h-full rounded-lg transition-all ${s.is_winner ? 'bg-green-500' : s.is_control ? 'bg-gray-400' : 'bg-purple-500'}`}
+                        style={{ width: `${(s.opt_in_rate / maxRate) * 100}%` }} />
+                      <span className="absolute inset-0 flex items-center px-3 text-xs font-medium text-gray-900">
+                        {s.opt_in_rate}% ({s.accepted}/{s.total})
+                      </span>
+                    </div>
+                    {s.is_winner && (
+                      <span className="px-2 py-0.5 text-[10px] font-medium bg-green-100 text-green-700 rounded-full">
+                        Gewinner ({s.significance}%)
+                      </span>
+                    )}
+                  </div>
+                ))}
+              </div>
+            </div>
+          )}
+
+          {/* Variant Cards */}
+          <div className="grid grid-cols-1 md:grid-cols-2 gap-4">
+            {variants.map(v => (
+              <div key={v.id} className={`bg-white border rounded-xl p-4 ${v.is_control ? 'border-gray-300' : 'border-purple-200'}`}>
+                <div className="flex items-center justify-between mb-3">
+                  <div className="flex items-center gap-2">
+                    <span className="font-medium text-sm text-gray-900">{v.variant_name}</span>
+                    <span className="px-1.5 py-0.5 text-[10px] bg-gray-100 text-gray-600 rounded">{v.variant_key}</span>
+                    {v.is_control && <span className="px-1.5 py-0.5 text-[10px] bg-blue-50 text-blue-600 rounded">Kontrolle</span>}
+                  </div>
+                  <button onClick={() => handleDelete(v.id)} className="text-xs text-red-500 hover:text-red-700">Loeschen</button>
+                </div>
+                <div className="flex items-center gap-3 mb-2">
+                  <label className="text-xs text-gray-500">Traffic:</label>
+                  <input type="range" min={5} max={95} value={v.traffic_percent}
+                    onChange={e => handleTrafficChange(v.id, parseInt(e.target.value))}
+                    className="flex-1 h-1" />
+                  <span className="text-xs font-medium w-8 text-right">{v.traffic_percent}%</span>
+                </div>
+                {v.banner_title && <div className="text-xs text-gray-500">Titel: {v.banner_title}</div>}
+                {v.primary_color && (
+                  <div className="flex items-center gap-1 mt-1">
+                    <div className="w-3 h-3 rounded-full border" style={{ backgroundColor: v.primary_color }} />
+                    <span className="text-xs text-gray-500">{v.primary_color}</span>
+                  </div>
+                )}
+              </div>
+            ))}
+          </div>
+        </div>
+      )}
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/cookie-banner/_components/AnalyticsDashboard.tsx b/admin-compliance/app/sdk/cookie-banner/_components/AnalyticsDashboard.tsx
new file mode 100644
index 0000000..03409c3
--- /dev/null
+++ b/admin-compliance/app/sdk/cookie-banner/_components/AnalyticsDashboard.tsx
@@ -0,0 +1,191 @@
+'use client'
+
+import { useState, useEffect } from 'react'
+
+interface TimeSeriesPoint {
+  period: string
+  given: number
+  updated: number
+  withdrawn: number
+  total: number
+  opt_in_rate: number
+}
+
+interface CategoryStats {
+  [key: string]: { count: number; total: number; rate: number }
+}
+
+interface DeviceStats {
+  desktop: number
+  mobile: number
+  tablet: number
+  unknown: number
+}
+
+interface OverviewStats {
+  period_days: number
+  total_interactions: number
+  consents_given: number
+  consents_updated: number
+  consents_withdrawn: number
+  opt_in_rate: number
+}
+
+const PERIODS = [
+  { value: 7, label: '7 Tage' },
+  { value: 30, label: '30 Tage' },
+  { value: 90, label: '90 Tage' },
+]
+
+const CAT_COLORS: Record<string, string> = {
+  necessary: '#22c55e',
+  statistics: '#eab308',
+  marketing: '#ef4444',
+  functional: '#3b82f6',
+  preferences: '#8b5cf6',
+}
+
+export function AnalyticsDashboard({ siteId }: { siteId?: string }) {
+  const [days, setDays] = useState(30)
+  const [overview, setOverview] = useState<OverviewStats | null>(null)
+  const [timeSeries, setTimeSeries] = useState<TimeSeriesPoint[]>([])
+  const [categories, setCategories] = useState<CategoryStats>({})
+  const [devices, setDevices] = useState<DeviceStats>({ desktop: 0, mobile: 0, tablet: 0, unknown: 0 })
+  const [loading, setLoading] = useState(true)
+
+  const sid = siteId || 'preview-test-site'
+
+  useEffect(() => {
+    setLoading(true)
+    const base = `/api/sdk/v1/compliance/banner/analytics/${sid}`
+    Promise.all([
+      fetch(`${base}/overview?days=${days}`).then(r => r.ok ? r.json() : null),
+      fetch(`${base}/time-series?days=${days}&period=daily`).then(r => r.ok ? r.json() : []),
+      fetch(`${base}/categories?days=${days}`).then(r => r.ok ? r.json() : {}),
+      fetch(`${base}/devices?days=${days}`).then(r => r.ok ? r.json() : {}),
+    ]).then(([o, ts, cats, devs]) => {
+      setOverview(o)
+      setTimeSeries(ts || [])
+      setCategories(cats || {})
+      setDevices(devs || { desktop: 0, mobile: 0, tablet: 0, unknown: 0 })
+    }).catch(() => {}).finally(() => setLoading(false))
+  }, [sid, days])
+
+  const deviceTotal = devices.desktop + devices.mobile + devices.tablet + devices.unknown
+
+  if (loading) return <div className="text-center py-12 text-gray-400">Lade Analytik...</div>
+
+  return (
+    <div className="space-y-6">
+      {/* Period Selector */}
+      <div className="flex items-center gap-2">
+        {PERIODS.map(p => (
+          <button key={p.value} onClick={() => setDays(p.value)}
+            className={`px-3 py-1.5 text-xs rounded-full border transition-colors ${
+              days === p.value ? 'bg-purple-100 border-purple-300 text-purple-700' : 'bg-white border-gray-200 text-gray-600 hover:border-gray-300'
+            }`}>
+            {p.label}
+          </button>
+        ))}
+      </div>
+
+      {/* Overview KPIs */}
+      {overview && (
+        <div className="grid grid-cols-2 md:grid-cols-4 gap-4">
+          <div className="bg-white rounded-xl border border-gray-200 p-4">
+            <div className="text-xs text-gray-500">Opt-In-Rate</div>
+            <div className="text-2xl font-bold text-green-600">{overview.opt_in_rate}%</div>
+          </div>
+          <div className="bg-white rounded-xl border border-gray-200 p-4">
+            <div className="text-xs text-gray-500">Einwilligungen</div>
+            <div className="text-2xl font-bold text-gray-900">{overview.consents_given}</div>
+          </div>
+          <div className="bg-white rounded-xl border border-gray-200 p-4">
+            <div className="text-xs text-gray-500">Aktualisiert</div>
+            <div className="text-2xl font-bold text-blue-600">{overview.consents_updated}</div>
+          </div>
+          <div className="bg-white rounded-xl border border-gray-200 p-4">
+            <div className="text-xs text-gray-500">Widerrufen</div>
+            <div className="text-2xl font-bold text-red-600">{overview.consents_withdrawn}</div>
+          </div>
+        </div>
+      )}
+
+      {/* Time Series (simple bar visualization) */}
+      {timeSeries.length > 0 && (
+        <div className="bg-white rounded-xl border border-gray-200 p-6">
+          <h3 className="font-semibold text-gray-900 mb-4">Opt-In-Rate im Zeitverlauf</h3>
+          <div className="flex items-end gap-1 h-32">
+            {timeSeries.map((pt, i) => {
+              const height = Math.max(pt.opt_in_rate, 2)
+              const date = new Date(pt.period)
+              return (
+                <div key={i} className="flex-1 flex flex-col items-center gap-1 group relative">
+                  <div className="w-full bg-purple-500 rounded-t transition-all hover:bg-purple-600"
+                    style={{ height: `${height}%` }}
+                    title={`${date.toLocaleDateString('de-DE')}: ${pt.opt_in_rate}% (${pt.total} Interaktionen)`}
+                  />
+                  {i % Math.max(1, Math.floor(timeSeries.length / 6)) === 0 && (
+                    <span className="text-[8px] text-gray-400">{date.toLocaleDateString('de-DE', { day: '2-digit', month: '2-digit' })}</span>
+                  )}
+                </div>
+              )
+            })}
+          </div>
+        </div>
+      )}
+
+      <div className="grid grid-cols-1 md:grid-cols-2 gap-6">
+        {/* Category Acceptance */}
+        <div className="bg-white rounded-xl border border-gray-200 p-6">
+          <h3 className="font-semibold text-gray-900 mb-4">Akzeptanz nach Kategorie</h3>
+          <div className="space-y-3">
+            {Object.entries(categories).map(([cat, stats]) => (
+              <div key={cat}>
+                <div className="flex items-center justify-between text-sm mb-1">
+                  <span className="text-gray-700 capitalize">{cat}</span>
+                  <span className="font-medium text-gray-900">{stats.rate}%</span>
+                </div>
+                <div className="h-2 bg-gray-100 rounded-full overflow-hidden">
+                  <div className="h-full rounded-full transition-all" style={{ width: `${stats.rate}%`, backgroundColor: CAT_COLORS[cat] || '#9ca3af' }} />
+                </div>
+              </div>
+            ))}
+            {Object.keys(categories).length === 0 && (
+              <p className="text-xs text-gray-400">Noch keine Daten vorhanden</p>
+            )}
+          </div>
+        </div>
+
+        {/* Device Breakdown */}
+        <div className="bg-white rounded-xl border border-gray-200 p-6">
+          <h3 className="font-semibold text-gray-900 mb-4">Geraete-Verteilung</h3>
+          <div className="space-y-3">
+            {[
+              { key: 'desktop', label: 'Desktop', color: 'bg-blue-500' },
+              { key: 'mobile', label: 'Mobile', color: 'bg-green-500' },
+              { key: 'tablet', label: 'Tablet', color: 'bg-purple-500' },
+            ].map(d => {
+              const count = devices[d.key as keyof DeviceStats]
+              const pct = deviceTotal > 0 ? Math.round(count / deviceTotal * 100) : 0
+              return (
+                <div key={d.key}>
+                  <div className="flex items-center justify-between text-sm mb-1">
+                    <span className="text-gray-700">{d.label}</span>
+                    <span className="font-medium text-gray-900">{pct}% ({count})</span>
+                  </div>
+                  <div className="h-2 bg-gray-100 rounded-full overflow-hidden">
+                    <div className={`h-full rounded-full ${d.color}`} style={{ width: `${pct}%` }} />
+                  </div>
+                </div>
+              )
+            })}
+            {deviceTotal === 0 && (
+              <p className="text-xs text-gray-400">Noch keine Geraetedaten vorhanden</p>
+            )}
+          </div>
+        </div>
+      </div>
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/cookie-banner/_components/EmbeddableVendorHTML.tsx b/admin-compliance/app/sdk/cookie-banner/_components/EmbeddableVendorHTML.tsx
new file mode 100644
index 0000000..6fcdc5c
--- /dev/null
+++ b/admin-compliance/app/sdk/cookie-banner/_components/EmbeddableVendorHTML.tsx
@@ -0,0 +1,103 @@
+'use client'
+
+import { useState, useEffect } from 'react'
+
+interface Vendor {
+  vendor_name: string
+  vendor_url: string | null
+  category_key: string
+  description_de: string | null
+  cookie_names: string[]
+  retention_days: number | null
+}
+
+const CAT_LABELS: Record<string, string> = {
+  necessary: 'Notwendig',
+  functional: 'Funktional',
+  statistics: 'Statistik',
+  marketing: 'Marketing',
+}
+
+function generateHTML(vendors: Vendor[]): string {
+  const grouped = vendors.reduce<Record<string, Vendor[]>>((acc, v) => {
+    const key = v.category_key || 'other'
+    if (!acc[key]) acc[key] = []
+    acc[key].push(v)
+    return acc
+  }, {})
+
+  let html = `<div style="font-family:system-ui,sans-serif;font-size:14px;color:#1f2937;">\n`
+  html += `<h3 style="margin:0 0 12px;font-size:16px;">Eingesetzte Dienste und Cookies</h3>\n`
+
+  for (const [catKey, catVendors] of Object.entries(grouped)) {
+    const label = CAT_LABELS[catKey] || catKey
+    html += `<h4 style="margin:16px 0 8px;font-size:14px;color:#6b21a8;">${label}</h4>\n`
+    html += `<table style="width:100%;border-collapse:collapse;margin-bottom:12px;font-size:13px;">\n`
+    html += `<tr style="background:#f9fafb;"><th style="text-align:left;padding:6px 8px;border:1px solid #e5e7eb;">Anbieter</th><th style="text-align:left;padding:6px 8px;border:1px solid #e5e7eb;">Zweck</th><th style="text-align:left;padding:6px 8px;border:1px solid #e5e7eb;">Cookies</th><th style="text-align:left;padding:6px 8px;border:1px solid #e5e7eb;">Speicherdauer</th></tr>\n`
+
+    for (const v of catVendors) {
+      const name = v.vendor_url
+        ? `<a href="${v.vendor_url}" target="_blank" rel="noopener">${v.vendor_name}</a>`
+        : v.vendor_name
+      const cookies = v.cookie_names?.join(', ') || '-'
+      const retention = v.retention_days ? `${v.retention_days} Tage` : '-'
+      html += `<tr><td style="padding:6px 8px;border:1px solid #e5e7eb;">${name}</td><td style="padding:6px 8px;border:1px solid #e5e7eb;">${v.description_de || '-'}</td><td style="padding:6px 8px;border:1px solid #e5e7eb;font-family:monospace;font-size:11px;">${cookies}</td><td style="padding:6px 8px;border:1px solid #e5e7eb;">${retention}</td></tr>\n`
+    }
+    html += `</table>\n`
+  }
+  html += `</div>`
+  return html
+}
+
+export function EmbeddableVendorHTML({ siteId }: { siteId?: string }) {
+  const [vendors, setVendors] = useState<Vendor[]>([])
+  const [copied, setCopied] = useState(false)
+
+  useEffect(() => {
+    const sid = siteId || 'preview-test-site'
+    fetch(`/api/sdk/v1/banner/admin/sites/${sid}/vendors`)
+      .then(r => r.ok ? r.json() : [])
+      .then(data => setVendors(Array.isArray(data) ? data : []))
+      .catch(() => {})
+  }, [siteId])
+
+  const html = generateHTML(vendors)
+
+  const handleCopy = () => {
+    navigator.clipboard.writeText(html)
+    setCopied(true)
+    setTimeout(() => setCopied(false), 2000)
+  }
+
+  return (
+    <div className="space-y-4">
+      <div className="flex items-center justify-between">
+        <div>
+          <h3 className="font-semibold text-gray-900">Einbettbarer HTML-Code</h3>
+          <p className="text-xs text-gray-500 mt-1">
+            Kopieren Sie diesen Code in Ihre Datenschutzerklaerung oder Cookie-Richtlinie.
+          </p>
+        </div>
+        <button onClick={handleCopy}
+          className="px-4 py-2 text-sm bg-purple-600 text-white rounded-lg hover:bg-purple-700 transition-colors">
+          {copied ? 'Kopiert!' : 'HTML kopieren'}
+        </button>
+      </div>
+
+      {/* Preview */}
+      <div className="border border-gray-200 rounded-lg p-4 bg-white">
+        <div dangerouslySetInnerHTML={{ __html: html }} />
+      </div>
+
+      {/* Raw HTML */}
+      <details className="group">
+        <summary className="text-xs text-gray-500 cursor-pointer hover:text-gray-700">
+          Quellcode anzeigen
+        </summary>
+        <pre className="mt-2 p-3 bg-gray-50 border border-gray-200 rounded-lg text-xs text-gray-700 overflow-x-auto max-h-[300px] overflow-y-auto">
+          {html}
+        </pre>
+      </details>
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/cookie-banner/_components/SiteSelector.tsx b/admin-compliance/app/sdk/cookie-banner/_components/SiteSelector.tsx
new file mode 100644
index 0000000..4bae365
--- /dev/null
+++ b/admin-compliance/app/sdk/cookie-banner/_components/SiteSelector.tsx
@@ -0,0 +1,76 @@
+'use client'
+
+import { useState } from 'react'
+
+interface Site {
+  id: string
+  site_id: string
+  site_name: string
+  site_url: string
+  is_active: boolean
+}
+
+interface SiteSelectorProps {
+  sites: Site[]
+  activeSiteId: string | null
+  onSiteChange: (siteId: string) => void
+  onCreateSite: (data: { site_id: string; site_name: string; site_url: string }) => Promise<void>
+}
+
+export function SiteSelector({ sites, activeSiteId, onSiteChange, onCreateSite }: SiteSelectorProps) {
+  const [showCreate, setShowCreate] = useState(false)
+  const [newSite, setNewSite] = useState({ site_id: '', site_name: '', site_url: '' })
+  const [creating, setCreating] = useState(false)
+
+  const handleCreate = async () => {
+    if (!newSite.site_id || !newSite.site_name) return
+    setCreating(true)
+    try {
+      await onCreateSite(newSite)
+      setNewSite({ site_id: '', site_name: '', site_url: '' })
+      setShowCreate(false)
+    } finally {
+      setCreating(false)
+    }
+  }
+
+  return (
+    <div className="bg-white rounded-xl border border-gray-200 p-4">
+      <div className="flex items-center gap-4">
+        <div className="flex-1">
+          <label className="block text-xs font-medium text-gray-500 mb-1">Website / Domain</label>
+          <select value={activeSiteId || ''} onChange={e => onSiteChange(e.target.value)}
+            className="w-full px-3 py-2 text-sm border border-gray-200 rounded-lg focus:ring-1 focus:ring-purple-500 bg-white">
+            {sites.length === 0 && <option value="">Keine Sites konfiguriert</option>}
+            {sites.map(s => (
+              <option key={s.site_id} value={s.site_id}>
+                {s.site_name} ({s.site_url || s.site_id})
+              </option>
+            ))}
+          </select>
+        </div>
+        <button onClick={() => setShowCreate(!showCreate)}
+          className="mt-5 px-3 py-2 text-sm bg-purple-50 text-purple-600 border border-purple-200 rounded-lg hover:bg-purple-100">
+          + Neue Seite
+        </button>
+      </div>
+
+      {showCreate && (
+        <div className="mt-4 pt-4 border-t border-gray-100 grid grid-cols-3 gap-3">
+          <input value={newSite.site_id} onChange={e => setNewSite({ ...newSite, site_id: e.target.value })}
+            placeholder="Site-ID (z.B. main-website)" className="px-3 py-2 text-sm border border-gray-200 rounded-lg" />
+          <input value={newSite.site_name} onChange={e => setNewSite({ ...newSite, site_name: e.target.value })}
+            placeholder="Name (z.B. Hauptwebsite)" className="px-3 py-2 text-sm border border-gray-200 rounded-lg" />
+          <div className="flex gap-2">
+            <input value={newSite.site_url} onChange={e => setNewSite({ ...newSite, site_url: e.target.value })}
+              placeholder="URL (z.B. https://example.com)" className="flex-1 px-3 py-2 text-sm border border-gray-200 rounded-lg" />
+            <button onClick={handleCreate} disabled={creating || !newSite.site_id}
+              className="px-3 py-2 text-sm bg-purple-600 text-white rounded-lg hover:bg-purple-700 disabled:opacity-50">
+              {creating ? '...' : 'Anlegen'}
+            </button>
+          </div>
+        </div>
+      )}
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/cookie-banner/_components/TCFSettings.tsx b/admin-compliance/app/sdk/cookie-banner/_components/TCFSettings.tsx
new file mode 100644
index 0000000..6448309
--- /dev/null
+++ b/admin-compliance/app/sdk/cookie-banner/_components/TCFSettings.tsx
@@ -0,0 +1,161 @@
+'use client'
+
+import { useState, useEffect } from 'react'
+
+interface IABPurpose {
+  id: number
+  name: string
+  name_de: string
+}
+
+const API = '/api/sdk/v1/compliance/tcf'
+
+export function TCFSettings({ siteId, tcfEnabled, onToggle }: {
+  siteId?: string
+  tcfEnabled: boolean
+  onToggle: (enabled: boolean) => void
+}) {
+  const [purposes, setPurposes] = useState<IABPurpose[]>([])
+  const [categoryMap, setCategoryMap] = useState<Record<string, number[]>>({})
+  const [testResult, setTestResult] = useState<string | null>(null)
+  const [testing, setTesting] = useState(false)
+
+  useEffect(() => {
+    Promise.all([
+      fetch(`${API}/purposes`).then(r => r.ok ? r.json() : []),
+      fetch(`${API}/category-mapping`).then(r => r.ok ? r.json() : {}),
+    ]).then(([p, m]) => {
+      setPurposes(p)
+      setCategoryMap(m)
+    }).catch(() => {})
+  }, [])
+
+  const handleTestEncode = async () => {
+    setTesting(true)
+    setTestResult(null)
+    try {
+      const res = await fetch(`${API}/encode-categories`, {
+        method: 'POST',
+        headers: { 'Content-Type': 'application/json' },
+        body: JSON.stringify({ categories: ['necessary', 'statistics', 'marketing'] }),
+      })
+      if (res.ok) {
+        const data = await res.json()
+        setTestResult(`TC String: ${data.tc_string}\nPurposes: ${data.purposes_consented.join(', ')}`)
+      }
+    } catch { setTestResult('Fehler beim Generieren') }
+    setTesting(false)
+  }
+
+  return (
+    <div className="space-y-6">
+      {/* Enable/Disable */}
+      <div className="bg-white rounded-xl border border-gray-200 p-6">
+        <div className="flex items-center justify-between">
+          <div>
+            <h3 className="font-semibold text-gray-900">IAB TCF 2.2</h3>
+            <p className="text-xs text-gray-500 mt-1">
+              Transparency & Consent Framework — Standardisierte Einwilligungssignale fuer programmatische Werbung
+            </p>
+          </div>
+          <label className="flex items-center gap-2">
+            <input type="checkbox" checked={tcfEnabled} onChange={e => onToggle(e.target.checked)}
+              className="w-5 h-5 text-purple-600 rounded" />
+            <span className="text-sm font-medium">{tcfEnabled ? 'Aktiv' : 'Inaktiv'}</span>
+          </label>
+        </div>
+        {!tcfEnabled && (
+          <p className="mt-3 text-xs text-amber-600 bg-amber-50 p-3 rounded-lg">
+            TCF ist nur erforderlich wenn Sie programmatische Werbung (AdTech) einsetzen.
+            Fuer die meisten Websites reicht das Standard-Cookie-Banner.
+          </p>
+        )}
+      </div>
+
+      {tcfEnabled && (
+        <>
+          {/* IAB Purposes */}
+          <div className="bg-white rounded-xl border border-gray-200 p-6">
+            <h4 className="font-semibold text-gray-900 mb-3">12 IAB-Zwecke (Purposes)</h4>
+            <p className="text-xs text-gray-500 mb-4">
+              Diese Zwecke werden automatisch aus Ihren Cookie-Kategorien abgeleitet.
+            </p>
+            <div className="grid grid-cols-1 md:grid-cols-2 gap-2">
+              {purposes.map(p => {
+                const activeCats = Object.entries(categoryMap)
+                  .filter(([, pids]) => pids.includes(p.id))
+                  .map(([cat]) => cat)
+                return (
+                  <div key={p.id} className={`flex items-start gap-2 p-2 rounded-lg text-xs ${activeCats.length > 0 ? 'bg-green-50' : 'bg-gray-50'}`}>
+                    <span className={`w-5 h-5 rounded-full flex items-center justify-center text-[10px] font-bold flex-shrink-0 ${activeCats.length > 0 ? 'bg-green-500 text-white' : 'bg-gray-300 text-white'}`}>
+                      {p.id}
+                    </span>
+                    <div>
+                      <div className="font-medium text-gray-700">{p.name_de}</div>
+                      {activeCats.length > 0 && (
+                        <div className="text-gray-400 mt-0.5">via: {activeCats.join(', ')}</div>
+                      )}
+                    </div>
+                  </div>
+                )
+              })}
+            </div>
+          </div>
+
+          {/* Category Mapping */}
+          <div className="bg-white rounded-xl border border-gray-200 p-6">
+            <h4 className="font-semibold text-gray-900 mb-3">Kategorie → Purpose Zuordnung</h4>
+            <div className="space-y-2">
+              {Object.entries(categoryMap).map(([cat, pids]) => (
+                <div key={cat} className="flex items-center gap-3">
+                  <span className="text-sm font-medium text-gray-700 w-24 capitalize">{cat}</span>
+                  <div className="flex gap-1 flex-wrap">
+                    {pids.length === 0 ? (
+                      <span className="text-xs text-gray-400">Keine Einwilligung noetig</span>
+                    ) : (
+                      pids.map(pid => (
+                        <span key={pid} className="px-2 py-0.5 text-[10px] bg-purple-100 text-purple-700 rounded-full">
+                          Purpose {pid}
+                        </span>
+                      ))
+                    )}
+                  </div>
+                </div>
+              ))}
+            </div>
+          </div>
+
+          {/* TC String Test */}
+          <div className="bg-white rounded-xl border border-gray-200 p-6">
+            <h4 className="font-semibold text-gray-900 mb-3">TC String testen</h4>
+            <button onClick={handleTestEncode} disabled={testing}
+              className="px-4 py-2 text-sm bg-purple-600 text-white rounded-lg hover:bg-purple-700 disabled:opacity-50">
+              {testing ? 'Generiere...' : 'Test TC String generieren'}
+            </button>
+            {testResult && (
+              <pre className="mt-3 p-3 bg-gray-50 border border-gray-200 rounded-lg text-xs text-gray-700 overflow-x-auto whitespace-pre-wrap">
+                {testResult}
+              </pre>
+            )}
+            <p className="text-xs text-gray-400 mt-2">
+              Simuliert: necessary + statistics + marketing → generiert base64url-codierten TC String
+            </p>
+          </div>
+
+          {/* CMP Registration Info */}
+          <div className="bg-blue-50 border border-blue-200 rounded-xl p-4">
+            <h4 className="font-semibold text-blue-800 text-sm">CMP-Registrierung</h4>
+            <p className="text-xs text-blue-700 mt-1">
+              Fuer den produktiven Einsatz muss Ihr CMP bei der IAB Europe registriert werden.
+              Sie erhalten eine eindeutige CMP-ID die im TC String codiert wird.
+            </p>
+            <p className="text-xs text-blue-600 mt-2">
+              Registrierung: <a href="https://iabeurope.eu/tcf-for-cmps/" target="_blank" rel="noopener"
+                className="underline">iabeurope.eu/tcf-for-cmps</a>
+            </p>
+          </div>
+        </>
+      )}
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/cookie-banner/_components/VendorTable.tsx b/admin-compliance/app/sdk/cookie-banner/_components/VendorTable.tsx
new file mode 100644
index 0000000..8fa12cf
--- /dev/null
+++ b/admin-compliance/app/sdk/cookie-banner/_components/VendorTable.tsx
@@ -0,0 +1,138 @@
+'use client'
+
+import { useState, useEffect } from 'react'
+import { useSDK } from '@/lib/sdk'
+
+interface Vendor {
+  id: string
+  vendor_name: string
+  vendor_url: string | null
+  category_key: string
+  description_de: string | null
+  description_en: string | null
+  cookie_names: string[]
+  retention_days: number | null
+  is_active: boolean
+}
+
+const CATEGORY_LABELS: Record<string, { label: string; color: string }> = {
+  necessary: { label: 'Notwendig', color: 'bg-green-100 text-green-700' },
+  functional: { label: 'Funktional', color: 'bg-blue-100 text-blue-700' },
+  statistics: { label: 'Statistik', color: 'bg-yellow-100 text-yellow-700' },
+  marketing: { label: 'Marketing', color: 'bg-red-100 text-red-700' },
+}
+
+export function VendorTable({ siteId }: { siteId?: string }) {
+  const { projectId } = useSDK()
+  const [vendors, setVendors] = useState<Vendor[]>([])
+  const [loading, setLoading] = useState(true)
+  const [expandedId, setExpandedId] = useState<string | null>(null)
+
+  useEffect(() => {
+    const sid = siteId || 'preview-test-site'
+    fetch(`/api/sdk/v1/banner/admin/sites/${sid}/vendors`)
+      .then(r => r.ok ? r.json() : [])
+      .then(data => setVendors(Array.isArray(data) ? data : []))
+      .catch(() => setVendors([]))
+      .finally(() => setLoading(false))
+  }, [siteId])
+
+  // Group by category
+  const grouped = vendors.reduce<Record<string, Vendor[]>>((acc, v) => {
+    const key = v.category_key || 'other'
+    if (!acc[key]) acc[key] = []
+    acc[key].push(v)
+    return acc
+  }, {})
+
+  if (loading) {
+    return <div className="text-center py-12 text-gray-400">Lade Verarbeiter...</div>
+  }
+
+  if (vendors.length === 0) {
+    return (
+      <div className="text-center py-12">
+        <p className="text-gray-400 mb-3">Keine Verarbeiter konfiguriert.</p>
+        <p className="text-xs text-gray-400">
+          Nutzen Sie den Website-Scanner oder fuegen Sie Verarbeiter manuell hinzu.
+        </p>
+      </div>
+    )
+  }
+
+  return (
+    <div className="space-y-6">
+      <div className="flex items-center justify-between">
+        <div>
+          <h3 className="font-semibold text-gray-900">Verarbeiter-Uebersicht</h3>
+          <p className="text-xs text-gray-500 mt-1">{vendors.length} Dienste in {Object.keys(grouped).length} Kategorien</p>
+        </div>
+      </div>
+
+      {Object.entries(grouped).map(([catKey, catVendors]) => {
+        const catInfo = CATEGORY_LABELS[catKey] || { label: catKey, color: 'bg-gray-100 text-gray-700' }
+        return (
+          <div key={catKey} className="border border-gray-200 rounded-xl overflow-hidden">
+            <div className="bg-gray-50 px-4 py-3 flex items-center gap-3">
+              <span className={`px-2 py-0.5 text-xs font-medium rounded-full ${catInfo.color}`}>
+                {catInfo.label}
+              </span>
+              <span className="text-xs text-gray-500">{catVendors.length} Dienste</span>
+            </div>
+            <table className="w-full text-sm">
+              <thead>
+                <tr className="border-b border-gray-100 text-left text-xs text-gray-500">
+                  <th className="px-4 py-2 font-medium">Anbieter</th>
+                  <th className="px-4 py-2 font-medium">Zweck</th>
+                  <th className="px-4 py-2 font-medium">Cookies</th>
+                  <th className="px-4 py-2 font-medium">Aufbewahrung</th>
+                  <th className="px-4 py-2 font-medium">Datenschutz</th>
+                </tr>
+              </thead>
+              <tbody className="divide-y divide-gray-50">
+                {catVendors.map(v => (
+                  <tr key={v.id} className="hover:bg-gray-50/50">
+                    <td className="px-4 py-2.5">
+                      <button onClick={() => setExpandedId(expandedId === v.id ? null : v.id)}
+                        className="font-medium text-gray-900 hover:text-purple-600 text-left">
+                        {v.vendor_name}
+                      </button>
+                      {expandedId === v.id && v.cookie_names?.length > 0 && (
+                        <div className="mt-1 flex flex-wrap gap-1">
+                          {v.cookie_names.map(c => (
+                            <span key={c} className="px-1.5 py-0.5 text-[10px] bg-gray-100 text-gray-600 rounded font-mono">
+                              {c}
+                            </span>
+                          ))}
+                        </div>
+                      )}
+                    </td>
+                    <td className="px-4 py-2.5 text-xs text-gray-600 max-w-[200px] truncate">
+                      {v.description_de || '-'}
+                    </td>
+                    <td className="px-4 py-2.5 text-xs text-gray-500">
+                      {v.cookie_names?.length || 0}
+                    </td>
+                    <td className="px-4 py-2.5 text-xs text-gray-500">
+                      {v.retention_days ? `${v.retention_days} Tage` : '-'}
+                    </td>
+                    <td className="px-4 py-2.5">
+                      {v.vendor_url ? (
+                        <a href={v.vendor_url} target="_blank" rel="noopener noreferrer"
+                          className="text-xs text-purple-600 hover:underline">
+                          Link
+                        </a>
+                      ) : (
+                        <span className="text-xs text-gray-400">-</span>
+                      )}
+                    </td>
+                  </tr>
+                ))}
+              </tbody>
+            </table>
+          </div>
+        )
+      })}
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/cookie-banner/_hooks/useCookieBanner.ts b/admin-compliance/app/sdk/cookie-banner/_hooks/useCookieBanner.ts
index 1b7db88..cc4b092 100644
--- a/admin-compliance/app/sdk/cookie-banner/_hooks/useCookieBanner.ts
+++ b/admin-compliance/app/sdk/cookie-banner/_hooks/useCookieBanner.ts
@@ -96,13 +96,38 @@ const defaultBannerTexts: BannerTexts = {
   privacyLink: '/datenschutz',
 }
 
+export interface BannerSite {
+  id: string
+  site_id: string
+  site_name: string
+  site_url: string
+  is_active: boolean
+}
+
 export function useCookieBanner() {
   const [categories, setCategories] = useState<CookieCategory[]>([])
   const [config, setConfig] = useState<BannerConfig>(defaultConfig)
   const [bannerTexts, setBannerTexts] = useState<BannerTexts>(defaultBannerTexts)
   const [isSaving, setIsSaving] = useState(false)
   const [exportToast, setExportToast] = useState<string | null>(null)
+  const [sites, setSites] = useState<BannerSite[]>([])
+  const [activeSiteId, setActiveSiteId] = useState<string | null>(null)
 
+  // Load sites list
+  React.useEffect(() => {
+    fetch('/api/sdk/v1/banner/admin/sites')
+      .then(r => r.ok ? r.json() : [])
+      .then(data => {
+        const siteList = Array.isArray(data) ? data : []
+        setSites(siteList)
+        if (siteList.length > 0 && !activeSiteId) {
+          setActiveSiteId(siteList[0].site_id)
+        }
+      })
+      .catch(() => {})
+  }, [])
+
+  // Load config for active site
   React.useEffect(() => {
     const loadConfig = async () => {
       try {
@@ -125,7 +150,20 @@ export function useCookieBanner() {
       }
     }
     loadConfig()
-  }, [])
+  }, [activeSiteId])
+
+  const createSite = async (data: { site_id: string; site_name: string; site_url: string }) => {
+    const res = await fetch('/api/sdk/v1/banner/admin/sites', {
+      method: 'POST',
+      headers: { 'Content-Type': 'application/json' },
+      body: JSON.stringify(data),
+    })
+    if (res.ok) {
+      const newSite = await res.json()
+      setSites(prev => [...prev, newSite])
+      setActiveSiteId(newSite.site_id || data.site_id)
+    }
+  }
 
   const handleCategoryToggle = async (categoryId: string, enabled: boolean) => {
     setCategories(prev =>
@@ -180,5 +218,6 @@ export function useCookieBanner() {
     categories, config, bannerTexts, isSaving, exportToast,
     setConfig, setBannerTexts,
     handleCategoryToggle, handleExportCode, handleSaveConfig,
+    sites, activeSiteId, setActiveSiteId, createSite,
   }
 }
diff --git a/admin-compliance/app/sdk/cookie-banner/page.tsx b/admin-compliance/app/sdk/cookie-banner/page.tsx
index 1733ff0..cfcf14e 100644
--- a/admin-compliance/app/sdk/cookie-banner/page.tsx
+++ b/admin-compliance/app/sdk/cookie-banner/page.tsx
@@ -1,18 +1,28 @@
 'use client'
 
-import React from 'react'
+import React, { useState } from 'react'
 import { useSDK } from '@/lib/sdk'
 import { StepHeader, STEP_EXPLANATIONS } from '@/components/sdk/StepHeader'
 import { useCookieBanner } from './_hooks/useCookieBanner'
 import { BannerPreview } from './_components/BannerPreview'
 import { CategoryCard } from './_components/CategoryCard'
+import { VendorTable } from './_components/VendorTable'
+import { EmbeddableVendorHTML } from './_components/EmbeddableVendorHTML'
+import { SiteSelector } from './_components/SiteSelector'
+import { AnalyticsDashboard } from './_components/AnalyticsDashboard'
+import { ABTestPanel } from './_components/ABTestPanel'
+import { TCFSettings } from './_components/TCFSettings'
+
+type BannerTab = 'config' | 'vendors' | 'embed' | 'analytics' | 'abtest' | 'tcf'
 
 export default function CookieBannerPage() {
   const { state } = useSDK()
+  const [activeTab, setActiveTab] = useState<BannerTab>('config')
   const {
     categories, config, bannerTexts, isSaving, exportToast,
     setConfig, setBannerTexts,
     handleCategoryToggle, handleExportCode, handleSaveConfig,
+    sites, activeSiteId, setActiveSiteId, createSite,
   } = useCookieBanner()
 
   const totalCookies = categories.reduce((sum, cat) => sum + cat.cookies.length, 0)
@@ -57,6 +67,58 @@ export default function CookieBannerPage() {
         </div>
       </StepHeader>
 
+      {/* Site Selector */}
+      {sites.length > 0 && (
+        <SiteSelector sites={sites} activeSiteId={activeSiteId} onSiteChange={setActiveSiteId} onCreateSite={createSite} />
+      )}
+
+      {/* Tabs */}
+      <div className="flex border-b border-gray-200">
+        {([
+          { id: 'config' as const, label: 'Konfiguration' },
+          { id: 'vendors' as const, label: 'Verarbeiter' },
+          { id: 'embed' as const, label: 'Einbettung' },
+          { id: 'analytics' as const, label: 'Analytik' },
+          { id: 'abtest' as const, label: 'A/B-Test' },
+          { id: 'tcf' as const, label: 'TCF/IAB' },
+        ]).map(tab => (
+          <button key={tab.id} onClick={() => setActiveTab(tab.id)}
+            className={`px-4 py-3 text-sm font-medium border-b-2 -mb-px transition-colors ${
+              activeTab === tab.id ? 'text-purple-600 border-purple-600' : 'text-gray-500 border-transparent hover:text-gray-700'
+            }`}>
+            {tab.label}
+          </button>
+        ))}
+      </div>
+
+      {/* Tab: Verarbeiter */}
+      {activeTab === 'vendors' && <VendorTable siteId={activeSiteId || undefined} />}
+
+      {/* Tab: Einbettung */}
+      {activeTab === 'embed' && <EmbeddableVendorHTML siteId={activeSiteId || undefined} />}
+
+      {/* Tab: Analytik */}
+      {activeTab === 'analytics' && <AnalyticsDashboard siteId={activeSiteId || undefined} />}
+
+      {/* Tab: A/B-Test */}
+      {activeTab === 'abtest' && <ABTestPanel siteConfigId={activeSiteId || undefined} />}
+
+      {/* Tab: TCF/IAB */}
+      {activeTab === 'tcf' && (
+        <TCFSettings siteId={activeSiteId || undefined} tcfEnabled={false}
+          onToggle={(enabled) => {
+            if (activeSiteId) {
+              fetch(`/api/sdk/v1/banner/admin/sites/${activeSiteId}`, {
+                method: 'PUT', headers: { 'Content-Type': 'application/json' },
+                body: JSON.stringify({ tcf_enabled: enabled }),
+              })
+            }
+          }}
+        />
+      )}
+
+      {/* Tab: Konfiguration */}
+      {activeTab !== 'config' ? null : (<>
       {/* Stats */}
       <div className="grid grid-cols-1 md:grid-cols-4 gap-4">
         <div className="bg-white rounded-xl border border-gray-200 p-6">
@@ -207,6 +269,7 @@ export default function CookieBannerPage() {
           ))}
         </div>
       </div>
+      </>)}
     </div>
   )
 }
diff --git a/admin-compliance/app/sdk/document-generator/_components/GeneratorPreviewTab.tsx b/admin-compliance/app/sdk/document-generator/_components/GeneratorPreviewTab.tsx
index 4c3b260..4ac76ca 100644
--- a/admin-compliance/app/sdk/document-generator/_components/GeneratorPreviewTab.tsx
+++ b/admin-compliance/app/sdk/document-generator/_components/GeneratorPreviewTab.tsx
@@ -1,7 +1,9 @@
 'use client'
 
+import { useState } from 'react'
 import { LegalTemplateResult } from '@/lib/sdk/types'
 import { RuleEngineResult } from '../ruleEngine'
+import ReviewAssignmentPanel from './ReviewAssignmentPanel'
 
 interface GeneratorPreviewTabProps {
   template: LegalTemplateResult
@@ -10,8 +12,76 @@ interface GeneratorPreviewTabProps {
   missing: string[]
   onCopy: () => void
   onExportMarkdown: () => void
+  onSaveToWorkflow?: () => void
+  saveStatus?: string | null
 }
 
+// ============================================================================
+// Lightweight Markdown → HTML (no dependency needed)
+// ============================================================================
+
+function markdownToHtml(md: string): string {
+  let html = md
+    // Escape HTML entities first
+    .replace(/&/g, '&amp;')
+    .replace(/</g, '&lt;')
+    .replace(/>/g, '&gt;')
+
+  // Headings
+  html = html.replace(/^#### (.+)$/gm, '<h4>$1</h4>')
+  html = html.replace(/^### (.+)$/gm, '<h3>$1</h3>')
+  html = html.replace(/^## (.+)$/gm, '<h2>$1</h2>')
+  html = html.replace(/^# (.+)$/gm, '<h1>$1</h1>')
+
+  // Horizontal rules
+  html = html.replace(/^---$/gm, '<hr/>')
+
+  // Bold + Italic
+  html = html.replace(/\*\*\*(.+?)\*\*\*/g, '<strong><em>$1</em></strong>')
+  html = html.replace(/\*\*(.+?)\*\*/g, '<strong>$1</strong>')
+  html = html.replace(/\*(.+?)\*/g, '<em>$1</em>')
+
+  // Links
+  html = html.replace(/\[([^\]]+)\]\(([^)]+)\)/g, '<a href="$2" class="text-purple-600 underline">$1</a>')
+
+  // Tables (simple)
+  html = html.replace(/^\|(.+)\|$/gm, (match) => {
+    const cells = match.split('|').filter(c => c.trim())
+    const isHeader = cells.every(c => /^[\s-:]+$/.test(c))
+    if (isHeader) return '<!-- separator -->'
+    const tag = 'td'
+    return '<tr>' + cells.map(c => `<${tag}>${c.trim()}</${tag}>`).join('') + '</tr>'
+  })
+
+  // Wrap consecutive table rows
+  html = html.replace(/((?:<tr>.*<\/tr>\n?<!-- separator -->\n?)?(?:<tr>.*<\/tr>\n?)+)/g, (block) => {
+    const rows = block.split('\n').filter(r => r.startsWith('<tr>'))
+    if (rows.length === 0) return block
+    const headerRow = rows[0].replace(/<td>/g, '<th>').replace(/<\/td>/g, '</th>')
+    const bodyRows = rows.slice(1).join('\n')
+    return `<table><thead>${headerRow}</thead><tbody>${bodyRows}</tbody></table>`
+  })
+
+  // Remove separator comments
+  html = html.replace(/<!-- separator -->\n?/g, '')
+
+  // Unordered lists
+  html = html.replace(/^- (.+)$/gm, '<li>$1</li>')
+  html = html.replace(/((?:<li>.*<\/li>\n?)+)/g, '<ul>$1</ul>')
+
+  // Paragraphs (lines that aren't already HTML)
+  html = html.replace(/^(?!<[a-z/]|$)(.+)$/gm, '<p>$1</p>')
+
+  // Clean up empty paragraphs
+  html = html.replace(/<p>\s*<\/p>/g, '')
+
+  return html
+}
+
+// ============================================================================
+// Component
+// ============================================================================
+
 export default function GeneratorPreviewTab({
   template,
   ruleResult,
@@ -19,13 +89,20 @@ export default function GeneratorPreviewTab({
   missing,
   onCopy,
   onExportMarkdown,
+  onSaveToWorkflow,
+  saveStatus,
 }: GeneratorPreviewTabProps) {
+  const [viewMode, setViewMode] = useState<'preview' | 'markdown'>('preview')
+
+  const htmlContent = markdownToHtml(renderedContent)
+
   return (
     <div className="space-y-4">
+      {/* Violations */}
       {ruleResult && ruleResult.violations.length > 0 && (
         <div className="bg-red-50 border border-red-200 rounded-xl p-4">
           <p className="text-sm font-semibold text-red-700 mb-2">
-            🔴 {ruleResult.violations.length} Fehler
+            {ruleResult.violations.length} Fehler
           </p>
           <ul className="space-y-1">
             {ruleResult.violations.map((v) => (
@@ -36,6 +113,8 @@ export default function GeneratorPreviewTab({
           </ul>
         </div>
       )}
+
+      {/* Warnings */}
       {ruleResult && ruleResult.warnings.filter((w) => w.id !== 'WARN_LEGAL_REVIEW').length > 0 && (
         <div className="bg-yellow-50 border border-yellow-200 rounded-xl p-4">
           <ul className="space-y-1">
@@ -43,69 +122,156 @@ export default function GeneratorPreviewTab({
               .filter((w) => w.id !== 'WARN_LEGAL_REVIEW')
               .map((w) => (
                 <li key={w.id} className="text-xs text-yellow-700">
-                  🟡 <span className="font-mono font-medium">[{w.id}]</span> {w.message}
+                  <span className="font-mono font-medium">[{w.id}]</span> {w.message}
                 </li>
               ))}
           </ul>
         </div>
       )}
+
+      {/* Legal notice */}
       {ruleResult && (
         <div className="bg-blue-50 border border-blue-200 rounded-xl p-3">
           <p className="text-xs text-blue-700">
-            ℹ️ Rechtlicher Hinweis: Diese Vorlage ist MIT-lizenziert. Vor Produktionseinsatz
-            wird eine rechtliche Überprüfung dringend empfohlen.
+            Rechtlicher Hinweis: Diese Vorlage ist MIT-lizenziert. Vor Produktionseinsatz
+            wird eine rechtliche Ueberpruefung dringend empfohlen.
           </p>
         </div>
       )}
-      {ruleResult && ruleResult.appliedDefaults.length > 0 && (
-        <p className="text-xs text-gray-400">
-          Defaults angewendet: {ruleResult.appliedDefaults.join(', ')}
-        </p>
-      )}
 
+      {/* Toolbar */}
       <div className="flex items-center justify-between flex-wrap gap-2">
-        <span className="text-sm text-gray-600">
-          {missing.length > 0 && (
-            <span className="text-orange-600">
-              ⚠ {missing.length} Platzhalter noch nicht ausgefüllt
-            </span>
-          )}
-        </span>
-        <div className="flex gap-2">
+        <div className="flex gap-1 bg-gray-100 rounded-lg p-0.5">
           <button
-            onClick={onCopy}
-            className="flex items-center gap-1.5 px-3 py-1.5 text-xs border border-gray-200 rounded-lg hover:bg-gray-50 text-gray-600 transition-colors"
+            onClick={() => setViewMode('preview')}
+            className={`px-3 py-1 text-xs font-medium rounded-md transition-colors ${
+              viewMode === 'preview' ? 'bg-white text-gray-900 shadow-sm' : 'text-gray-500'
+            }`}
           >
-            <svg className="w-3.5 h-3.5" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-              <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M8 16H6a2 2 0 01-2-2V6a2 2 0 012-2h8a2 2 0 012 2v2m-6 12h8a2 2 0 002-2v-8a2 2 0 00-2-2h-8a2 2 0 00-2 2v8a2 2 0 002 2z" />
-            </svg>
-            Kopieren
+            Vorschau
           </button>
           <button
-            onClick={onExportMarkdown}
-            className="flex items-center gap-1.5 px-3 py-1.5 text-xs border border-gray-200 rounded-lg hover:bg-gray-50 text-gray-600 transition-colors"
+            onClick={() => setViewMode('markdown')}
+            className={`px-3 py-1 text-xs font-medium rounded-md transition-colors ${
+              viewMode === 'markdown' ? 'bg-white text-gray-900 shadow-sm' : 'text-gray-500'
+            }`}
           >
-            <svg className="w-3.5 h-3.5" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-              <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M4 16v1a3 3 0 003 3h10a3 3 0 003-3v-1m-4-4l-4 4m0 0l-4-4m4 4V4" />
-            </svg>
+            Markdown
+          </button>
+        </div>
+
+        <div className="flex items-center gap-2">
+          {missing.length > 0 && (
+            <span className="text-xs text-orange-600">
+              {missing.length} Platzhalter offen
+            </span>
+          )}
+          <button onClick={onCopy} className="px-3 py-1.5 text-xs border border-gray-200 rounded-lg hover:bg-gray-50 text-gray-600">
+            Kopieren
+          </button>
+          <button onClick={onExportMarkdown} className="px-3 py-1.5 text-xs border border-gray-200 rounded-lg hover:bg-gray-50 text-gray-600">
             Markdown
           </button>
           <button
-            onClick={() => window.print()}
-            className="flex items-center gap-1.5 px-4 py-1.5 text-xs bg-purple-600 text-white rounded-lg hover:bg-purple-700 transition-colors"
+            onClick={() => {
+              const printWindow = window.open('', '_blank')
+              if (!printWindow) return
+              printWindow.document.write(`<!DOCTYPE html><html><head><title>${template.documentTitle || 'Dokument'}</title><style>
+                @page { size: A4; margin: 25mm 20mm; }
+                body { font-family: -apple-system, BlinkMacSystemFont, 'Segoe UI', Roboto, sans-serif; font-size: 11pt; line-height: 1.6; color: #1a202c; max-width: 170mm; margin: 0 auto; }
+                h1 { font-size: 18pt; color: #5b21b6; margin: 24pt 0 8pt; border-bottom: 2px solid #7c3aed; padding-bottom: 4pt; }
+                h2 { font-size: 14pt; color: #1f2937; margin: 18pt 0 6pt; }
+                h3 { font-size: 12pt; color: #374151; margin: 12pt 0 4pt; }
+                h4 { font-size: 11pt; color: #4b5563; margin: 10pt 0 4pt; }
+                table { width: 100%; border-collapse: collapse; margin: 8pt 0; font-size: 10pt; }
+                th { background: #f5f3ff; color: #5b21b6; font-weight: 600; text-align: left; padding: 6pt 8pt; border: 1px solid #e5e7eb; }
+                td { padding: 5pt 8pt; border: 1px solid #e5e7eb; vertical-align: top; }
+                ul { padding-left: 20pt; }
+                li { margin: 2pt 0; }
+                hr { border: none; border-top: 1px solid #e5e7eb; margin: 16pt 0; }
+                a { color: #7c3aed; }
+                p { margin: 4pt 0; }
+                strong { font-weight: 600; }
+              </style></head><body>${htmlContent}</body></html>`)
+              printWindow.document.close()
+              printWindow.print()
+            }}
+            className="px-4 py-1.5 text-xs bg-purple-600 text-white rounded-lg hover:bg-purple-700"
           >
-            <svg className="w-3.5 h-3.5" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-              <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M17 17h2a2 2 0 002-2v-4a2 2 0 00-2-2H5a2 2 0 00-2 2v4a2 2 0 002 2h2m2 4h6a2 2 0 002-2v-4a2 2 0 00-2-2H9a2 2 0 00-2 2v4a2 2 0 002 2zm8-12V5a2 2 0 00-2-2H9a2 2 0 00-2 2v4h10z" />
-            </svg>
             PDF drucken
           </button>
+          {onSaveToWorkflow && (
+            <button
+              onClick={onSaveToWorkflow}
+              disabled={saveStatus === 'saving'}
+              className={`px-4 py-1.5 text-xs rounded-lg transition-colors ${
+                saveStatus === 'saved' ? 'bg-green-600 text-white' :
+                saveStatus === 'error' ? 'bg-red-600 text-white' :
+                'bg-indigo-600 text-white hover:bg-indigo-700'
+              } disabled:opacity-50`}
+            >
+              {saveStatus === 'saving' ? 'Speichern...' :
+               saveStatus === 'saved' ? 'Gespeichert!' :
+               saveStatus === 'error' ? 'Fehler' :
+               'Als Version speichern'}
+            </button>
+          )}
         </div>
       </div>
-      <div className="bg-gray-50 rounded-xl border border-gray-200 p-6 max-h-[600px] overflow-y-auto">
-        <pre className="text-sm text-gray-800 whitespace-pre-wrap leading-relaxed font-sans">
-          {renderedContent}
-        </pre>
-      </div>
+
+      {/* Content */}
+      {viewMode === 'markdown' ? (
+        <div className="bg-gray-50 rounded-xl border border-gray-200 p-6 max-h-[800px] overflow-y-auto">
+          <pre className="text-sm text-gray-800 whitespace-pre-wrap leading-relaxed font-mono">
+            {renderedContent}
+          </pre>
+        </div>
+      ) : (
+        <div className="bg-gray-100 rounded-xl p-8 flex justify-center overflow-y-auto max-h-[85vh]">
+          {/* A4 Page */}
+          <div
+            className="bg-white shadow-lg border border-gray-300"
+            style={{
+              width: '210mm',
+              minHeight: '297mm',
+              padding: '25mm 20mm',
+              fontFamily: '-apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, sans-serif',
+              fontSize: '11pt',
+              lineHeight: '1.6',
+              color: '#1a202c',
+            }}
+          >
+            <style>{`
+              .a4-content h1 { font-size: 18pt; color: #5b21b6; margin: 24pt 0 8pt; border-bottom: 2px solid #7c3aed; padding-bottom: 4pt; }
+              .a4-content h2 { font-size: 14pt; color: #1f2937; margin: 18pt 0 6pt; }
+              .a4-content h3 { font-size: 12pt; color: #374151; margin: 12pt 0 4pt; }
+              .a4-content h4 { font-size: 11pt; color: #4b5563; margin: 10pt 0 4pt; }
+              .a4-content table { width: 100%; border-collapse: collapse; margin: 8pt 0; font-size: 10pt; }
+              .a4-content th { background: #f5f3ff; color: #5b21b6; font-weight: 600; text-align: left; padding: 6pt 8pt; border: 1px solid #e5e7eb; }
+              .a4-content td { padding: 5pt 8pt; border: 1px solid #e5e7eb; vertical-align: top; }
+              .a4-content ul { padding-left: 20pt; margin: 4pt 0; }
+              .a4-content li { margin: 2pt 0; }
+              .a4-content hr { border: none; border-top: 1px solid #e5e7eb; margin: 16pt 0; }
+              .a4-content a { color: #7c3aed; text-decoration: underline; }
+              .a4-content p { margin: 4pt 0; }
+              .a4-content strong { font-weight: 600; }
+            `}</style>
+            <div
+              className="a4-content"
+              dangerouslySetInnerHTML={{ __html: htmlContent }}
+            />
+          </div>
+        </div>
+      )}
+
+      {/* Review Assignment */}
+      <ReviewAssignmentPanel
+        documentType={template.templateType || ''}
+        documentTitle={template.documentTitle || 'Dokument'}
+        documentContent={renderedContent}
+      />
+
+      {/* Attribution */}
       {template.attributionRequired && template.attributionText && (
         <div className="text-xs text-orange-600 bg-orange-50 p-3 rounded-lg border border-orange-200">
           <strong>Attribution erforderlich:</strong> {template.attributionText}
diff --git a/admin-compliance/app/sdk/document-generator/_components/GeneratorSection.tsx b/admin-compliance/app/sdk/document-generator/_components/GeneratorSection.tsx
index 7b27996..8f9342b 100644
--- a/admin-compliance/app/sdk/document-generator/_components/GeneratorSection.tsx
+++ b/admin-compliance/app/sdk/document-generator/_components/GeneratorSection.tsx
@@ -38,7 +38,7 @@ export default function GeneratorSection({
   const [activeTab, setActiveTab] = useState<'placeholders' | 'preview'>('placeholders')
   const [expandedSections, setExpandedSections] = useState<Set<string>>(new Set(['PROVIDER', 'LEGAL']))
 
-  const placeholders = template.placeholders || []
+  const placeholders = Array.isArray(template.placeholders) ? template.placeholders : []
   const relevantSections = useMemo(() => getRelevantSections(placeholders), [placeholders])
   const uncovered = useMemo(() => getUncoveredPlaceholders(placeholders, context), [placeholders, context])
   const missing = useMemo(() => getMissingRequired(placeholders, context), [placeholders, context])
@@ -101,6 +101,45 @@ export default function GeneratorSection({
 
   const handleCopy = () => navigator.clipboard.writeText(renderedContent)
 
+  const [saveStatus, setSaveStatus] = useState<string | null>(null)
+
+  const handleSaveToWorkflow = async () => {
+    setSaveStatus('saving')
+    try {
+      // 1. Create or find document
+      const docRes = await fetch('/api/sdk/v1/compliance/legal-documents/documents', {
+        method: 'POST',
+        headers: { 'Content-Type': 'application/json' },
+        body: JSON.stringify({
+          type: template.templateType || 'custom',
+          name: template.documentTitle || 'Dokument',
+          description: `Generiert aus Template: ${template.templateType}`,
+        }),
+      })
+      if (!docRes.ok) throw new Error('Dokument konnte nicht erstellt werden')
+      const doc = await docRes.json()
+
+      // 2. Create version
+      const verRes = await fetch('/api/sdk/v1/compliance/legal-documents/versions', {
+        method: 'POST',
+        headers: { 'Content-Type': 'application/json' },
+        body: JSON.stringify({
+          document_id: doc.id,
+          title: template.documentTitle || 'Dokument',
+          content: renderedContent,
+          language: template.language || 'de',
+          version: '1.0',
+        }),
+      })
+      if (!verRes.ok) throw new Error('Version konnte nicht erstellt werden')
+      setSaveStatus('saved')
+      setTimeout(() => setSaveStatus(null), 3000)
+    } catch (e) {
+      setSaveStatus('error')
+      setTimeout(() => setSaveStatus(null), 3000)
+    }
+  }
+
   const handleExportMarkdown = () => {
     const blob = new Blob([renderedContent], { type: 'text/markdown' })
     const url = URL.createObjectURL(blob)
@@ -160,6 +199,33 @@ export default function GeneratorSection({
             </div>
           )}
         </div>
+        <div className="flex items-center gap-2 shrink-0">
+          <button
+            onClick={() => {
+              // Load example data for current template type
+              const templateType = template.templateType || ''
+              const lang = template.language || 'de'
+              const exampleFile = `/sdk/document-generator/examples/${templateType}_${lang}.json`
+              fetch(exampleFile)
+                .then(r => r.ok ? r.json() : null)
+                .then(data => {
+                  if (!data?.context) return
+                  const ctx = data.context
+                  for (const [section, fields] of Object.entries(ctx)) {
+                    if (typeof fields === 'object' && fields) {
+                      for (const [key, value] of Object.entries(fields as Record<string, unknown>)) {
+                        onContextChange(section as keyof TemplateContext, key, value)
+                      }
+                    }
+                  }
+                })
+                .catch(() => {/* no example available */})
+            }}
+            className="px-3 py-1 text-xs bg-blue-50 text-blue-600 border border-blue-200 rounded-lg hover:bg-blue-100 transition-colors"
+          >
+            Beispieldaten
+          </button>
+        </div>
         <button onClick={onClose} className="text-gray-400 hover:text-gray-600 transition-colors shrink-0" aria-label="Schließen">
           <svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24">
             <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M6 18L18 6M6 6l12 12" />
@@ -223,6 +289,8 @@ export default function GeneratorSection({
             missing={missing}
             onCopy={handleCopy}
             onExportMarkdown={handleExportMarkdown}
+            onSaveToWorkflow={handleSaveToWorkflow}
+            saveStatus={saveStatus}
           />
         )}
       </div>
diff --git a/admin-compliance/app/sdk/document-generator/_components/RecommendedDocuments.tsx b/admin-compliance/app/sdk/document-generator/_components/RecommendedDocuments.tsx
new file mode 100644
index 0000000..00da598
--- /dev/null
+++ b/admin-compliance/app/sdk/document-generator/_components/RecommendedDocuments.tsx
@@ -0,0 +1,130 @@
+'use client'
+
+import { useMemo, useState } from 'react'
+import { useSDK } from '@/lib/sdk'
+import { evaluateTemplateRecommendations, type TemplateRecommendation } from '../templateRecommendations'
+import { getProfileLabel } from '../scopeDefaults'
+import type { LegalTemplateResult } from '@/lib/sdk/types'
+import type { ComplianceDepthLevel } from '@/lib/sdk/compliance-scope-types/core-levels'
+
+interface Props {
+  allTemplates: LegalTemplateResult[]
+  onUseTemplate: (t: LegalTemplateResult) => void
+}
+
+export default function RecommendedDocuments({ allTemplates, onUseTemplate }: Props) {
+  const { state } = useSDK()
+  const [showOptional, setShowOptional] = useState(false)
+
+  const level = state?.complianceScope?.determinedLevel as ComplianceDepthLevel | undefined
+  const scopeAnswers = state?.complianceScope?.answers || []
+
+  const recommendations = useMemo(() => {
+    if (!level) return null
+    return evaluateTemplateRecommendations(
+      scopeAnswers,
+      level,
+      (state?.companyProfile as Record<string, unknown>) || {},
+    )
+  }, [level, scopeAnswers, state?.companyProfile])
+
+  if (!level || !recommendations || recommendations.length === 0) return null
+
+  // Match recommendations to actual templates in the library
+  const templateMap = new Map<string, LegalTemplateResult>()
+  for (const t of allTemplates) {
+    if (t.templateType) templateMap.set(t.templateType, t)
+  }
+
+  const required = recommendations.filter((r) => r.requirement === 'required')
+  const recommended = recommendations.filter((r) => r.requirement === 'recommended')
+  const optional = recommendations.filter((r) => r.requirement === 'optional')
+
+  const renderCard = (rec: TemplateRecommendation) => {
+    const template = templateMap.get(rec.templateType)
+    const exists = !!template
+
+    return (
+      <div
+        key={rec.templateType}
+        className={`rounded-lg border p-3 text-sm ${
+          exists
+            ? 'border-gray-200 bg-white hover:border-purple-300 cursor-pointer'
+            : 'border-dashed border-gray-300 bg-gray-50'
+        }`}
+        onClick={() => exists && template && onUseTemplate(template)}
+      >
+        <div className="font-medium text-gray-900 truncate">{rec.label}</div>
+        <div className="text-xs text-gray-500 mt-1">
+          {exists ? (
+            <span className="text-purple-600">Vorlage verfuegbar</span>
+          ) : (
+            <span className="text-gray-400">Noch nicht erstellt</span>
+          )}
+        </div>
+      </div>
+    )
+  }
+
+  return (
+    <div className="bg-gradient-to-br from-purple-50 to-white rounded-xl border border-purple-200 p-6">
+      <div className="flex items-center justify-between mb-4">
+        <div>
+          <h3 className="text-lg font-semibold text-gray-900">
+            Empfohlene Dokumente fuer Ihr Unternehmen
+          </h3>
+          <p className="text-sm text-gray-500 mt-1">
+            Basierend auf Ihrem Compliance-Profil ({getProfileLabel(level)})
+          </p>
+        </div>
+        <span className="inline-flex items-center px-3 py-1 rounded-full text-xs font-medium bg-purple-100 text-purple-700">
+          {level}
+        </span>
+      </div>
+
+      {/* Required */}
+      {required.length > 0 && (
+        <div className="mb-4">
+          <div className="flex items-center gap-2 mb-2">
+            <span className="text-sm font-medium text-red-700">Pflicht</span>
+            <span className="text-xs text-gray-400">({required.length})</span>
+          </div>
+          <div className="grid grid-cols-2 sm:grid-cols-3 lg:grid-cols-4 xl:grid-cols-5 gap-2">
+            {required.map(renderCard)}
+          </div>
+        </div>
+      )}
+
+      {/* Recommended */}
+      {recommended.length > 0 && (
+        <div className="mb-4">
+          <div className="flex items-center gap-2 mb-2">
+            <span className="text-sm font-medium text-amber-700">Empfohlen</span>
+            <span className="text-xs text-gray-400">({recommended.length})</span>
+          </div>
+          <div className="grid grid-cols-2 sm:grid-cols-3 lg:grid-cols-4 xl:grid-cols-5 gap-2">
+            {recommended.map(renderCard)}
+          </div>
+        </div>
+      )}
+
+      {/* Optional (collapsed by default) */}
+      {optional.length > 0 && (
+        <div>
+          <button
+            onClick={() => setShowOptional(!showOptional)}
+            className="text-sm text-gray-500 hover:text-purple-600 flex items-center gap-1"
+          >
+            <span>{showOptional ? '▼' : '▶'}</span>
+            <span>Optional ({optional.length})</span>
+          </button>
+          {showOptional && (
+            <div className="grid grid-cols-2 sm:grid-cols-3 lg:grid-cols-4 xl:grid-cols-5 gap-2 mt-2">
+              {optional.map(renderCard)}
+            </div>
+          )}
+        </div>
+      )}
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/document-generator/_components/ReviewAssignmentPanel.tsx b/admin-compliance/app/sdk/document-generator/_components/ReviewAssignmentPanel.tsx
new file mode 100644
index 0000000..4aa2a94
--- /dev/null
+++ b/admin-compliance/app/sdk/document-generator/_components/ReviewAssignmentPanel.tsx
@@ -0,0 +1,170 @@
+'use client'
+
+import { useState, useEffect } from 'react'
+import { useSDK } from '@/lib/sdk'
+
+interface ReviewerInfo {
+  role_key: string
+  role_label?: string
+  person_name?: string | null
+  person_email?: string | null
+  is_primary?: boolean
+}
+
+interface ReviewRecord {
+  id: string
+  status: string
+  reviewer_role_key: string
+  reviewer_name: string | null
+  email_sent: boolean
+}
+
+const STATUS_COLORS: Record<string, string> = {
+  pending: 'bg-gray-100 text-gray-700',
+  in_review: 'bg-blue-100 text-blue-700',
+  approved: 'bg-green-100 text-green-700',
+  rejected: 'bg-red-100 text-red-700',
+}
+
+const STATUS_LABELS: Record<string, string> = {
+  pending: 'Ausstehend',
+  in_review: 'In Pruefung',
+  approved: 'Freigegeben',
+  rejected: 'Abgelehnt',
+}
+
+export default function ReviewAssignmentPanel({
+  documentType,
+  documentTitle,
+  documentContent,
+}: {
+  documentType: string
+  documentTitle: string
+  documentContent: string
+}) {
+  const { projectId } = useSDK()
+  const [reviewers, setReviewers] = useState<ReviewerInfo[]>([])
+  const [existingReviews, setExistingReviews] = useState<ReviewRecord[]>([])
+  const [sending, setSending] = useState(false)
+  const [result, setResult] = useState<string | null>(null)
+
+  // Load reviewers for this document type
+  useEffect(() => {
+    if (!documentType) return
+    const qs = new URLSearchParams()
+    if (projectId) qs.set('project_id', projectId)
+    qs.set('document_type', documentType)
+
+    // Load mapping + existing reviews
+    Promise.all([
+      fetch(`/api/sdk/v1/compliance/org-roles/mapping`).then(r => r.ok ? r.json() : []),
+      fetch(`/api/sdk/v1/compliance/org-roles${projectId ? `?project_id=${projectId}` : ''}`).then(r => r.ok ? r.json() : []),
+      fetch(`/api/sdk/v1/compliance/document-reviews/for-document?${qs}`).then(r => r.ok ? r.json() : []),
+    ]).then(([mappings, roles, reviews]) => {
+      // Filter mappings for this document type
+      const relevant = (mappings as Array<{ document_type: string; role_key: string; is_primary: boolean }>)
+        .filter(m => m.document_type === documentType)
+      // Enrich with role info
+      const enriched: ReviewerInfo[] = relevant.map(m => {
+        const role = (roles as Array<{ role_key: string; role_label: string; person_name: string | null; person_email: string | null }>)
+          .find(r => r.role_key === m.role_key)
+        return { ...m, role_label: role?.role_label, person_name: role?.person_name, person_email: role?.person_email }
+      })
+      setReviewers(enriched)
+      setExistingReviews(reviews)
+    }).catch(() => {})
+  }, [documentType, projectId])
+
+  const handleSendForReview = async () => {
+    setSending(true)
+    setResult(null)
+    try {
+      const res = await fetch('/api/sdk/v1/compliance/document-reviews', {
+        method: 'POST',
+        headers: { 'Content-Type': 'application/json' },
+        body: JSON.stringify({
+          document_type: documentType,
+          document_title: documentTitle,
+          document_content: documentContent,
+          project_id: projectId,
+          review_link: window.location.href,
+        }),
+      })
+      if (!res.ok) throw new Error('Fehler beim Erstellen')
+      const reviews = await res.json()
+
+      // Send email for each review
+      let sentCount = 0
+      for (const review of reviews) {
+        if (review.reviewer_email) {
+          const sendRes = await fetch(`/api/sdk/v1/compliance/document-reviews/${review.id}/send`, { method: 'POST' })
+          if (sendRes.ok) sentCount++
+        }
+      }
+      setResult(`${reviews.length} Review(s) erstellt, ${sentCount} E-Mail(s) gesendet`)
+      // Refresh
+      const qs = new URLSearchParams({ document_type: documentType })
+      if (projectId) qs.set('project_id', projectId)
+      const updated = await fetch(`/api/sdk/v1/compliance/document-reviews/for-document?${qs}`).then(r => r.json())
+      setExistingReviews(updated)
+    } catch (e) {
+      setResult(e instanceof Error ? e.message : 'Fehler')
+    } finally {
+      setSending(false)
+    }
+  }
+
+  if (reviewers.length === 0 && existingReviews.length === 0) return null
+
+  return (
+    <div className="border border-purple-200 rounded-lg p-4 bg-purple-50/50 space-y-3">
+      <h4 className="font-semibold text-sm text-gray-900 flex items-center gap-2">
+        <svg className="w-4 h-4 text-purple-600" fill="none" stroke="currentColor" viewBox="0 0 24 24">
+          <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M17 20h5v-2a3 3 0 00-5.356-1.857M17 20H7m10 0v-2c0-.656-.126-1.283-.356-1.857M7 20H2v-2a3 3 0 015.356-1.857M7 20v-2c0-.656.126-1.283.356-1.857m0 0a5.002 5.002 0 019.288 0M15 7a3 3 0 11-6 0 3 3 0 016 0z" />
+        </svg>
+        Pruefung & Freigabe
+      </h4>
+
+      {/* Assigned reviewers */}
+      {reviewers.length > 0 && (
+        <div className="space-y-1">
+          {reviewers.map(r => (
+            <div key={r.role_key} className="flex items-center gap-2 text-xs">
+              <span className="font-medium text-gray-700">{r.role_label || r.role_key}:</span>
+              {r.person_name ? (
+                <span className="text-gray-600">{r.person_name} ({r.person_email || 'keine E-Mail'})</span>
+              ) : (
+                <span className="text-gray-400 italic">Nicht zugewiesen</span>
+              )}
+            </div>
+          ))}
+        </div>
+      )}
+
+      {/* Existing reviews */}
+      {existingReviews.length > 0 && (
+        <div className="space-y-1">
+          {existingReviews.map(r => (
+            <div key={r.id} className="flex items-center gap-2">
+              <span className={`px-2 py-0.5 text-[10px] font-medium rounded-full ${STATUS_COLORS[r.status] || ''}`}>
+                {STATUS_LABELS[r.status] || r.status}
+              </span>
+              <span className="text-xs text-gray-600">{r.reviewer_name || r.reviewer_role_key}</span>
+              {r.email_sent && <span className="text-[10px] text-green-600">E-Mail gesendet</span>}
+            </div>
+          ))}
+        </div>
+      )}
+
+      {/* Send for review */}
+      <button onClick={handleSendForReview} disabled={sending || reviewers.length === 0}
+        className="w-full px-4 py-2 text-sm bg-purple-600 text-white rounded-lg hover:bg-purple-700 disabled:opacity-50 transition-colors">
+        {sending ? 'Sende...' : 'Zur Pruefung senden'}
+      </button>
+
+      {result && (
+        <p className={`text-xs ${result.includes('Fehler') ? 'text-red-600' : 'text-green-600'}`}>{result}</p>
+      )}
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/document-generator/_constants.ts b/admin-compliance/app/sdk/document-generator/_constants.ts
index 301350c..05009e3 100644
--- a/admin-compliance/app/sdk/document-generator/_constants.ts
+++ b/admin-compliance/app/sdk/document-generator/_constants.ts
@@ -6,6 +6,7 @@ import { TemplateContext } from './contextBridge'
 
 export const CATEGORIES: { key: string; label: string; types: string[] | null }[] = [
   { key: 'all', label: 'Alle', types: null },
+<<<<<<< HEAD
   { key: 'privacy_policy', label: 'Datenschutz', types: ['privacy_policy'] },
   { key: 'terms', label: 'AGB', types: ['terms_of_service', 'agb', 'clause'] },
   { key: 'impressum', label: 'Impressum', types: ['impressum'] },
@@ -22,6 +23,66 @@ export const CATEGORIES: { key: string; label: string; types: string[] | null }[
     'dsr_process_art15', 'dsr_process_art16', 'dsr_process_art17',
     'dsr_process_art18', 'dsr_process_art19', 'dsr_process_art20', 'dsr_process_art21',
   ]},
+=======
+
+  // ── Nach Nutzungskontext sortiert ──────────────────────────────────────
+
+  // Jede Website / App braucht:
+  { key: 'website', label: 'Website / App', types: ['privacy_policy', 'impressum', 'cookie_policy', 'cookie_banner', 'social_media_dsi'] },
+
+  // Online-Shop / E-Commerce:
+  { key: 'shop', label: 'Online-Shop', types: ['agb', 'widerruf', 'privacy_policy', 'impressum', 'cookie_policy', 'cookie_banner'] },
+
+  // SaaS / Cloud-Dienst:
+  { key: 'saas', label: 'SaaS / Cloud', types: ['agb', 'dpa', 'sla', 'cloud_service_agreement', 'privacy_policy', 'terms_of_use'] },
+
+  // App / Plattform mit Nutzern:
+  { key: 'platform', label: 'App / Plattform', types: ['terms_of_use', 'community_guidelines', 'privacy_policy', 'agb', 'acceptable_use', 'media_content_policy', 'copyright_policy'] },
+
+  // Vertraege mit Geschaeftspartnern:
+  { key: 'contracts', label: 'Vertraege (B2B)', types: ['dpa', 'nda', 'sla', 'cloud_service_agreement', 'data_usage_clause'] },
+
+  // Drittlandtransfer:
+  { key: 'third_country', label: 'Drittlandtransfer', types: ['transfer_impact_assessment', 'scc_companion'] },
+
+  // ── Interne Compliance-Dokumente ──────────────────────────────────────
+
+  // DSGVO-Kernpflichten:
+  { key: 'dsgvo_core', label: 'DSGVO-Pflichten', types: ['tom_documentation', 'vvt_register', 'loeschkonzept', 'dsfa', 'pflichtenregister'] },
+
+  // Betroffenenrechte:
+  { key: 'dsr', label: 'Betroffenenrechte', types: [
+    'dsr_process_art15', 'dsr_process_art16', 'dsr_process_art17',
+    'dsr_process_art18', 'dsr_process_art19', 'dsr_process_art20', 'dsr_process_art21',
+  ]},
+
+  // Datenschutz-Informationen (alle DSI-Typen):
+  { key: 'dsi', label: 'Datenschutzinfos', types: ['privacy_policy', 'applicant_dsi', 'employee_dsi', 'social_media_dsi', 'video_conference_dsi', 'informationspflichten'] },
+
+  // Einwilligungen:
+  { key: 'consent', label: 'Einwilligungen', types: ['consent_texts', 'cookie_banner', 'verpflichtungserklaerung'] },
+
+  // ── Sicherheit & IT ───────────────────────────────────────────────────
+
+  { key: 'security_concepts', label: 'Sicherheitskonzepte', types: ['it_security_concept', 'data_protection_concept', 'backup_recovery_concept', 'logging_concept', 'incident_response_plan', 'access_control_concept', 'risk_management_concept', 'isms_manual'] },
+
+  { key: 'security_policies', label: 'Sicherheitsrichtlinien', types: [
+    'information_security_policy', 'access_control_policy', 'password_policy', 'encryption_policy',
+    'cybersecurity_policy', 'incident_response_policy', 'logging_policy', 'patch_management_policy',
+    'vulnerability_management_policy', 'secrets_management_policy', 'devsecops_policy',
+    'cloud_security_policy', 'change_management_policy', 'asset_management_policy', 'backup_policy',
+  ]},
+
+  // ── Organisation & HR ─────────────────────────────────────────────────
+
+  { key: 'hr', label: 'HR & Mitarbeiter', types: ['applicant_dsi', 'employee_dsi', 'employee_security_policy', 'security_awareness_policy', 'remote_work_policy', 'offboarding_policy', 'byod_policy', 'ai_usage_policy', 'whistleblower_policy', 'verpflichtungserklaerung'] },
+
+  { key: 'data_governance', label: 'Daten-Governance', types: ['data_protection_policy', 'data_classification_policy', 'data_retention_policy', 'data_transfer_policy', 'privacy_incident_policy'] },
+
+  { key: 'vendor', label: 'Lieferanten / Vendor', types: ['vendor_risk_management_policy', 'third_party_security_policy', 'supplier_security_policy', 'dpa'] },
+
+  { key: 'bcm', label: 'BCM / Notfall', types: ['business_continuity_policy', 'disaster_recovery_policy', 'crisis_management_policy', 'incident_response_plan'] },
+>>>>>>> feat/zeroclaw-compliance-agent
 ]
 
 // =============================================================================
@@ -41,6 +102,8 @@ export const SECTION_LABELS: Record<keyof TemplateContext, string> = {
   CONSENT:   'Cookie / Einwilligung',
   HOSTING:   'Hosting-Provider',
   FEATURES:  'Dokument-Features & Textbausteine',
+  TOM:       'TOM-Dokumentation',
+  DPA:       'AVV / Auftragsverarbeitung',
 }
 
 export type FieldType = 'text' | 'email' | 'number' | 'select' | 'textarea' | 'boolean'
@@ -186,6 +249,192 @@ export const SECTION_FIELDS: Record<keyof TemplateContext, FieldDef[]> = {
     { key: 'EDITORIAL_RESPONSIBLE_ADDRESS', label: 'V.i.S.d.P. Adresse' },
     { key: 'HAS_DISPUTE_RESOLUTION', label: 'Streitbeilegungshinweis', type: 'boolean' },
     { key: 'DISPUTE_RESOLUTION_TEXT', label: 'Streitbeilegungstext', type: 'textarea', span: true },
+    // ── SaaS AGB v2 ─────────────────────────────────────────────────────────
+    { key: 'B2B_ONLY', label: 'Nur B2B (keine Verbraucher)', type: 'boolean' },
+    { key: 'HAS_END_USERS', label: 'Endkunden-Weitergabe (B2B2C)', type: 'boolean' },
+    { key: 'HAS_MODULAR_PACKAGES', label: 'Modulare Leistungspakete', type: 'boolean' },
+    { key: 'HAS_STORAGE', label: 'Speicherplatz als Leistung', type: 'boolean' },
+    { key: 'HAS_STORAGE_LIMITS', label: 'Speicherplatz begrenzt', type: 'boolean' },
+    { key: 'HAS_TRIAL', label: 'Kostenlose Testphase', type: 'boolean' },
+    { key: 'TRIAL_DAYS', label: 'Testphase (Tage)', type: 'select', opts: ['7', '14', '30'] },
+    { key: 'HAS_PRICE_ADJUSTMENT', label: 'Preisanpassungsklausel', type: 'boolean' },
+    { key: 'PRICE_ADJUSTMENT_NOTICE_WEEKS', label: 'Ankündigung Preisanpassung (Wo.)', type: 'select', opts: ['4', '8', '12'] },
+    { key: 'PRICE_INCREASE_THRESHOLD_PERCENT', label: 'Schwelle Sonderkündigung (%)', type: 'select', opts: ['5', '10', '15'] },
+    { key: 'HAS_UPLOAD', label: 'Datei-Upload Funktion', type: 'boolean' },
+    { key: 'NO_AUDIT_PROOF_STORAGE', label: 'Keine revisionssichere Speicherung', type: 'boolean' },
+    { key: 'HAS_API_ACCESS', label: 'API-Zugang', type: 'boolean' },
+    { key: 'HAS_MAINTENANCE_ACCESS', label: 'Fernwartungszugang (On-Premise)', type: 'boolean' },
+    { key: 'HAS_MAX_DOWNTIME', label: 'Max. Ausfalldauer begrenzt', type: 'boolean' },
+    { key: 'MAX_DOWNTIME_DAYS', label: 'Max. Ausfalldauer (Tage)', type: 'number' },
+    { key: 'HAS_IP_INDEMNIFICATION', label: 'IP-Freistellung (Schutzrechte)', type: 'boolean' },
+    { key: 'LIABILITY_MULTIPLIER', label: 'Haftungsdeckel (x Jahreslizenz)', type: 'select', opts: ['1', '2', '3'] },
+    { key: 'HAS_REFERENCE_MARKETING', label: 'Referenzmarketing (Logo-Nutzung)', type: 'boolean' },
+    { key: 'HAS_WHITELABEL', label: 'Whitelabel-Paket vorhanden', type: 'boolean' },
+    { key: 'HAS_FORCE_MAJEURE', label: 'Force-Majeure-Klausel', type: 'boolean' },
+    { key: 'HAS_COMMUNITY_GUIDELINES', label: 'Community Guidelines als Bestandteil', type: 'boolean' },
+    // ── Community Guidelines (modular) ──────────────────────────────────────
+    { key: 'TONE_FRIENDLY', label: 'Ton: Freundlich/Einladend', type: 'boolean' },
+    { key: 'TONE_EDITORIAL', label: 'Ton: Editorial/Sachlich', type: 'boolean' },
+    { key: 'TONE_FORMAL', label: 'Ton: Formal/Juristisch', type: 'boolean' },
+    { key: 'HAS_MEDIA_UPLOADS', label: 'Plattform: Medien-Uploads (Bilder/Videos)', type: 'boolean' },
+    { key: 'HAS_MESSAGING', label: 'Plattform: Messaging/Chat', type: 'boolean' },
+    { key: 'HAS_MARKETPLACE', label: 'Plattform: Marketplace/Handel', type: 'boolean' },
+    { key: 'DETAILED_ILLEGAL', label: '↳ Details: Rechtswidrige Inhalte', type: 'boolean' },
+    { key: 'DETAILED_HATE_SPEECH', label: '↳ Details: Hassrede', type: 'boolean' },
+    { key: 'DETAILED_FRAUD', label: '↳ Details: Betrug/Deepfakes', type: 'boolean' },
+    { key: 'EXCEPTIONS_FRAUD', label: '↳ Ausnahmen: Parodie/Satire/Kunst', type: 'boolean' },
+    { key: 'DETAILED_PRIVACY', label: '↳ Details: Sicherheit/Privatsphäre', type: 'boolean' },
+    { key: 'DETAILED_VIOLENCE', label: '↳ Details: Gewalt (bei Medien-Uploads)', type: 'boolean' },
+    { key: 'EXCEPTIONS_VIOLENCE', label: '↳ Ausnahmen: Kampfsport/Journalismus/Kunst', type: 'boolean' },
+    { key: 'DETAILED_PORNOGRAPHY', label: '↳ Details: Pornografie (bei Medien-Uploads)', type: 'boolean' },
+    { key: 'EXCEPTIONS_PORNOGRAPHY', label: '↳ Ausnahmen: Bodypainting/Stillen/Medizin', type: 'boolean' },
+    { key: 'DETAILED_SELF_HARM', label: '↳ Details: Suizid/Selbstverletzung', type: 'boolean' },
+    { key: 'EXCEPTIONS_SELF_HARM', label: '↳ Ausnahmen: Prävention/Journalismus', type: 'boolean' },
+    { key: 'DETAILED_EXPLOITATION', label: '↳ Details: Ausbeutung/Missbrauch/CSAM', type: 'boolean' },
+    { key: 'DETAILED_HARASSMENT', label: '↳ Details: Sexuelle Belästigung (bei Messaging)', type: 'boolean' },
+    { key: 'DETAILED_DANGEROUS_PRODUCTS', label: '↳ Details: Gefährliche Produkte (bei Marketplace)', type: 'boolean' },
+    { key: 'DETAILED_TERRORISM', label: '↳ Details: Terrorismus/Gefährliche Gruppen', type: 'boolean' },
+    { key: 'DETAILED_DANGEROUS_ACTIVITIES', label: '↳ Details: Gefährdende Aktivitäten', type: 'boolean' },
+    { key: 'GUIDELINES_URL', label: 'URL der Richtlinien' },
+    // ── Medien & Content Module ─────────────────────────────────────────────
+    { key: 'IS_JOURNALISTIC_MEDIA', label: 'Journalistisches Medium (MStV §§ 18-22)', type: 'boolean' },
+    { key: 'EDITORIAL_EMAIL', label: 'Redaktions-E-Mail (Gegendarstellung)', type: 'email' },
+    { key: 'HAS_AI_GENERATED_CONTENT', label: 'KI-generierte Inhalte (AI Act Art. 50)', type: 'boolean' },
+    { key: 'DETAILED_AI_LABELING', label: '↳ Detaillierte KI-Kennzeichnungstabelle', type: 'boolean' },
+    { key: 'HAS_SPONSORED_CONTENT', label: 'Bezahlte/werbliche Inhalte (§ 5a UWG)', type: 'boolean' },
+    { key: 'HAS_PRESS_COUNCIL', label: 'Pressekodex-Selbstverpflichtung (Presserat)', type: 'boolean' },
+    // ── Nutzungsbedingungen ─────────────────────────────────────────────────
+    { key: 'HAS_UGC', label: 'User Generated Content', type: 'boolean' },
+    { key: 'HAS_CONTENT_LICENSING', label: 'Content Licensing (Nutzer-zu-Nutzer)', type: 'boolean' },
+    { key: 'HAS_TDM_OPTOUT', label: 'Text- und Data-Mining Opt-out', type: 'boolean' },
+    { key: 'HAS_CONTENT_AUTHENTICITY', label: 'Content Authenticity (kryptogr. Herkunft)', type: 'boolean' },
+    { key: 'HAS_TIPPING', label: 'Tipping/Anerkennungsfunktion', type: 'boolean' },
+    { key: 'HAS_CRYPTO_PAYMENTS', label: 'Krypto-Zahlungen', type: 'boolean' },
+    { key: 'HAS_INTEGRATED_WALLET', label: 'Integriertes Wallet (Non-Custodial)', type: 'boolean' },
+    { key: 'HAS_IDENTITY_VERIFICATION', label: 'Identitätsprüfung erforderlich', type: 'boolean' },
+    { key: 'HAS_COPYRIGHT_TAKEDOWN', label: 'Copyright Takedown-Verfahren', type: 'boolean' },
+    { key: 'HAS_PAID_USER_ACCOUNTS', label: 'Kostenpflichtige Nutzeraccounts', type: 'boolean' },
+    { key: 'HAS_EU_USERS', label: 'EU-weite Nutzer (Verbraucherschutz)', type: 'boolean' },
+    { key: 'MFA_REQUIRED', label: 'MFA verpflichtend für Nutzer', type: 'boolean' },
+    { key: 'DATA_EXPORT_BEFORE_DELETION', label: 'Datenexport vor Kontolöschung', type: 'boolean' },
+    { key: 'EXPORT_BEFORE_DELETION_DAYS', label: 'Exportfrist (Tage)', type: 'select', opts: ['7', '14', '30'] },
+    { key: 'MIN_AGE', label: 'Mindestalter', type: 'select', opts: ['13', '16', '18'] },
+    { key: 'ALLOWS_MINORS', label: 'Minderjährige mit Eltern-Einwilligung', type: 'boolean' },
+    { key: 'TIPPING_FEE_PERCENT', label: 'Tipping-Gebühr (%)', type: 'number' },
+    { key: 'SUPPORTED_CURRENCIES', label: 'Unterstützte Währungen/Token' },
+    // ── Widerrufsbelehrung ──────────────────────────────────────────────────
+    { key: 'HAS_PHYSICAL_GOODS', label: 'Physische Waren (Rücksendung)', type: 'boolean' },
+    { key: 'HAS_COMBO_PACKAGE', label: 'Kombi-Paket (Hardware + Software)', type: 'boolean' },
+    { key: 'HAS_DIGITAL_CONTENT', label: 'Digitale Inhalte (§ 356 Abs. 5 BGB)', type: 'boolean' },
+    { key: 'HAS_SAAS_SERVICE', label: 'SaaS-Dienstleistung (§ 356 Abs. 4 BGB)', type: 'boolean' },
+    { key: 'HAS_IOT_BUNDLE', label: 'Verbundenes Produkt (Hardware + App/Cloud)', type: 'boolean' },
+    { key: 'IOT_SEPARATE_CONTRACTS', label: '↳ HW und Cloud getrennt widerrufbar', type: 'boolean' },
+    { key: 'RETURN_ADDRESS', label: 'Rücksendeadresse (Servicecenter)' },
+    // ── Social Media DSI ────────────────────────────────────────────────────
+    { key: 'HAS_FACEBOOK', label: 'Facebook & Instagram', type: 'boolean' },
+    { key: 'HAS_YOUTUBE', label: 'YouTube', type: 'boolean' },
+    { key: 'HAS_LINKEDIN', label: 'LinkedIn', type: 'boolean' },
+    { key: 'HAS_TIKTOK', label: 'TikTok', type: 'boolean' },
+    { key: 'HAS_X_TWITTER', label: 'X (Twitter)', type: 'boolean' },
+    { key: 'HAS_META_PIXEL', label: 'Meta Pixel (Konversionsmessung)', type: 'boolean' },
+    { key: 'HAS_RECRUITING_VIA_SOCIAL', label: 'Personalgewinnung über Social Media', type: 'boolean' },
+    { key: 'SOCIAL_MEDIA_PLATFORMS_LIST', label: 'Plattform-Liste (Text)', type: 'textarea', span: true },
+    // ── DSI Erweiterungen ───────────────────────────────────────────────────
+    { key: 'DSI_TITLE', label: 'Titel', type: 'select', opts: ['Datenschutzerklaerung', 'Datenschutzinformation'] },
+    { key: 'SERVICE_SCOPE_DESCRIPTION', label: 'Geltungsbereich (z.B. "die App xy" / "den Online-Shop")' },
+    { key: 'HAS_ONLINE_SHOP', label: 'Online-Shop Funktionen', type: 'boolean' },
+    { key: 'HAS_PICKUP_STATION', label: 'Abholstationen', type: 'boolean' },
+    { key: 'HAS_SUBSCRIPTION', label: 'Abonnement-Modell', type: 'boolean' },
+    { key: 'HAS_PRODUCT_REVIEWS', label: 'Produktbewertungen', type: 'boolean' },
+    { key: 'HAS_PARENT_COMPANY', label: 'Konzernstruktur (Mutter-/Tochtergesellschaft)', type: 'boolean' },
+    { key: 'HAS_LOCATION', label: 'Standortdaten erhoben', type: 'boolean' },
+    { key: 'HAS_E2E_ENCRYPTION', label: 'Ende-zu-Ende-Verschlüsselung (Messaging)', type: 'boolean' },
+    { key: 'DETAILED_RIGHTS', label: 'Ausführliche Rechte-Beschreibung', type: 'boolean' },
+    { key: 'PROCESSOR_LIST_URL', label: 'URL Auftragsverarbeiter-Liste' },
+    // ── Whistleblower ───────────────────────────────────────────────────────
+    { key: 'WHISTLEBLOWER_CONTACT_NAME', label: 'Meldestelle: Ansprechperson' },
+    { key: 'WHISTLEBLOWER_CONTACT_ROLE', label: 'Meldestelle: Funktion/Rolle' },
+    { key: 'WHISTLEBLOWER_EMAIL', label: 'Meldestelle: E-Mail', type: 'email' },
+    { key: 'WHISTLEBLOWER_PHONE', label: 'Meldestelle: Telefon' },
+    { key: 'WHISTLEBLOWER_URL', label: 'Meldestelle: Online-Formular URL' },
+    { key: 'HAS_ANONYMOUS_REPORTING', label: 'Anonyme Meldungen möglich', type: 'boolean' },
+    { key: 'HAS_EXTERNAL_REPORTING', label: 'Externe Meldestelle (BfJ) erwähnen', type: 'boolean' },
+    // ── Bewerber-DSI ────────────────────────────────────────────────────────
+    { key: 'HAS_VIDEO_INTERVIEW', label: 'Video-Interviews', type: 'boolean' },
+    { key: 'HAS_ASSESSMENT', label: 'Assessment-Center/Tests', type: 'boolean' },
+    { key: 'HAS_TALENT_POOL', label: 'Talentpool (Einwilligung)', type: 'boolean' },
+    { key: 'TALENT_POOL_MONTHS', label: 'Talentpool Aufbewahrung (Monate)', type: 'select', opts: ['6', '12', '24'] },
+    { key: 'HAS_RECRUITING_AGENCY', label: 'Personalvermittler', type: 'boolean' },
+    { key: 'HAS_RECRUITING_SOFTWARE', label: 'Bewerbermanagement-Software', type: 'boolean' },
+    { key: 'HAS_EMPLOYEE_REFERRAL', label: 'Mitarbeiterempfehlungen', type: 'boolean' },
+    // ── Mitarbeiter-DSI ─────────────────────────────────────────────────────
+    { key: 'HAS_IT_USAGE_MONITORING', label: 'IT-Nutzungsüberwachung', type: 'boolean' },
+    { key: 'HAS_COMPANY_VEHICLE', label: 'Dienstfahrzeuge/Fuhrpark', type: 'boolean' },
+    { key: 'HAS_ACCESS_CONTROL', label: 'Zutrittskontrolle (Chipkarte)', type: 'boolean' },
+    { key: 'HAS_VIDEO_SURVEILLANCE', label: 'Videoüberwachung (Arbeitsplatz)', type: 'boolean' },
+    { key: 'HAS_COMPANY_PENSION', label: 'Betriebliche Altersvorsorge', type: 'boolean' },
+    { key: 'HAS_EXTERNAL_HR_SOFTWARE', label: 'Externe HR-Software', type: 'boolean' },
+    { key: 'HAS_WORKS_COUNCIL', label: 'Betriebsrat vorhanden', type: 'boolean' },
+    { key: 'HAS_SPECIAL_CATEGORIES_EMPLOYEES', label: 'Besondere Datenkategorien (Gesundheit, Religion)', type: 'boolean' },
+  ],
+  // ── TOM ─────────────────────────────────────────────────────────────────
+  TOM: [
+    { key: 'ISB_NAME', label: 'IT-Sicherheitsbeauftragter' },
+    { key: 'GF_NAME', label: 'Geschäftsführung' },
+    { key: 'DOCUMENT_VERSION', label: 'Dokumentversion' },
+    { key: 'NEXT_REVIEW_DATE', label: 'Nächste Prüfung (JJJJ-MM-TT)' },
+    { key: 'HAS_MFA', label: 'Multi-Faktor-Authentifizierung aktiv', type: 'boolean' },
+    { key: 'HAS_USB_LOCKED', label: 'USB-Schnittstellen physisch gesperrt', type: 'boolean' },
+    { key: 'HAS_MOBILE_MEDIA', label: 'Mobile Datenträger im Einsatz', type: 'boolean' },
+    { key: 'HAS_FOUR_EYES_DELETE', label: 'Vier-Augen-Prinzip für Löschungen', type: 'boolean' },
+    { key: 'LOG_RETENTION_MONTHS', label: 'Log-Aufbewahrung (Monate)', type: 'select', opts: ['3', '6', '12', '24'] },
+    { key: 'DIN_66399_LEVEL', label: 'Vernichtungsstufe (DIN 66399)', type: 'select', opts: ['1', '2', '3', '4', '5', '6', '7'] },
+    { key: 'HAS_EXTERNAL_DESTRUCTION', label: 'Externer Vernichtungsdienstleister', type: 'boolean' },
+    { key: 'HAS_PHYSICAL_TRANSPORT', label: 'Physischer Datenträgertransport', type: 'boolean' },
+    { key: 'HAS_THIRD_COUNTRY_TRANSFER', label: 'Datenübermittlung in Drittländer', type: 'boolean' },
+    { key: 'AVAILABILITY_TARGET', label: 'Verfügbarkeitsziel', type: 'select', opts: ['99.0', '99.5', '99.9', '99.99'] },
+    { key: 'HAS_USV', label: 'USV vorhanden', type: 'boolean' },
+    { key: 'HAS_REDUNDANCY', label: 'Redundante Systeme / Failover', type: 'boolean' },
+    { key: 'HAS_GEO_REDUNDANCY', label: 'Georedundanter Standort', type: 'boolean' },
+    { key: 'HAS_OWN_SERVER_ROOM', label: 'Eigener Serverraum', type: 'boolean' },
+    { key: 'HAS_CLOUD_SERVICES', label: 'Cloud-Dienste im Einsatz', type: 'boolean' },
+    { key: 'HAS_MULTI_TENANT', label: 'Multi-Tenant-System', type: 'boolean' },
+    { key: 'SEPARATION_TYPE', label: 'Art der Mandantentrennung', type: 'select', opts: ['logisch', 'physisch', 'eigene Infrastruktur'] },
+    { key: 'HAS_TEST_DATA_ANONYMIZED', label: 'Testdaten anonymisiert/synthetisch', type: 'boolean' },
+  ],
+  // ── DPA / AVV ─────────────────────────────────────────────────────────
+  DPA: [
+    { key: 'AG_NAME', label: 'Auftraggeber (Name/Firma)' },
+    { key: 'AG_STRASSE', label: 'Auftraggeber Straße' },
+    { key: 'AG_PLZ_ORT', label: 'Auftraggeber PLZ Ort' },
+    { key: 'AN_NAME', label: 'Auftragnehmer (Name/Firma)' },
+    { key: 'AN_STRASSE', label: 'Auftragnehmer Straße' },
+    { key: 'AN_PLZ_ORT', label: 'Auftragnehmer PLZ Ort' },
+    { key: 'VERARBEITUNGSGEGENSTAND', label: 'Gegenstand der Verarbeitung', type: 'textarea', span: true },
+    { key: 'VERARBEITUNGSZWECK', label: 'Zweck der Verarbeitung', type: 'textarea', span: true },
+    { key: 'VERARBEITUNGSARTEN', label: 'Art der Verarbeitung (Erheben, Speichern, …)', type: 'textarea', span: true },
+    { key: 'DATENKATEGORIEN', label: 'Datenkategorien', type: 'textarea', span: true },
+    { key: 'PERSONENKATEGORIEN', label: 'Betroffene Personenkategorien', type: 'textarea', span: true },
+    { key: 'BREACH_NOTIFICATION_HOURS', label: 'Meldefrist Datenschutzverletzung (h)', type: 'select', opts: ['12', '24', '48'] },
+    { key: 'INSTRUCTION_RETENTION_YEARS', label: 'Aufbewahrung Weisungen (Jahre)', type: 'select', opts: ['3', '5', '10'] },
+    { key: 'SUB_PROCESSOR_NOTICE_WEEKS', label: 'Ankündigung Sub-AV (Wochen)', type: 'select', opts: ['2', '4', '6'] },
+    { key: 'SUB_PROCESSOR_OBJECTION_WEEKS', label: 'Widerspruchsfrist Sub-AV (Wochen)', type: 'select', opts: ['2', '4'] },
+    { key: 'DATA_EXPORT_FORMAT', label: 'Datenformat bei Rückgabe', type: 'select', opts: ['CSV/JSON', 'CSV', 'JSON', 'XML', 'nach Vereinbarung'] },
+    { key: 'RETURN_CHOICE_WEEKS', label: 'Frist Rückgabe-Wahl (Wochen)', type: 'select', opts: ['2', '4', '8'] },
+    { key: 'DELETION_DAYS', label: 'Löschfrist nach Vertragsende (Tage)', type: 'select', opts: ['30', '60', '90'] },
+    { key: 'AN_DSB_NAME', label: 'DSB Auftragnehmer Name' },
+    { key: 'AN_DSB_EMAIL', label: 'DSB Auftragnehmer E-Mail', type: 'email' },
+    { key: 'VERTRAGSDATUM', label: 'Vertragsdatum (JJJJ-MM-TT)' },
+    { key: 'GERICHTSSTAND', label: 'Gerichtsstand' },
+    { key: 'HAS_LIABILITY_PROTECTION', label: 'Haftungsschutz bei Weisung (§ 4.1a)', type: 'boolean' },
+    { key: 'HAS_SUPPORT_COST_CLAUSE', label: 'Kostenregelung Unterstützung (§ 7.4)', type: 'boolean' },
+    { key: 'HAS_SUB_PROCESSOR_SILENCE_APPROVAL', label: 'Zustimmungsfiktion bei Sub-AV (§ 8.2a)', type: 'boolean' },
+    { key: 'HAS_SUB_PROCESSOR_TERMINATION_RIGHT', label: 'Kündigungsrecht bei Sub-AV-Widerspruch (§ 8.3)', type: 'boolean' },
+    { key: 'HAS_REACTIVATION_PERIOD', label: 'Reaktivierungszeitraum (§ 10.1)', type: 'boolean' },
+    { key: 'REACTIVATION_MONTHS', label: 'Reaktivierung (Monate)', type: 'select', opts: ['1', '3', '6'] },
+    { key: 'HAS_RETURN_COST_CLAUSE', label: 'Kosten für Datenrückgabe (§ 10.5)', type: 'boolean' },
+    { key: 'HAS_GERICHTSSTAND_CLAUSE', label: 'Gerichtsstandklausel (§ 11.1)', type: 'boolean' },
+    { key: 'HAS_UNILATERAL_CHANGE_RIGHT', label: '⚠️ Einseitiges Änderungsrecht AN (§ 11.6)', type: 'boolean' },
   ],
 }
 
diff --git a/admin-compliance/app/sdk/document-generator/contextBridge-helpers.ts b/admin-compliance/app/sdk/document-generator/contextBridge-helpers.ts
index 5a098e8..eee2387 100644
--- a/admin-compliance/app/sdk/document-generator/contextBridge-helpers.ts
+++ b/admin-compliance/app/sdk/document-generator/contextBridge-helpers.ts
@@ -9,6 +9,8 @@ import type {
   TemplateContext,
   ProviderCtx,
   ComputedFlags,
+  TOMCtx,
+  DPACtx,
 } from './contextBridge'
 
 // =============================================================================
@@ -44,6 +46,8 @@ export function contextToPlaceholders(ctx: TemplateContext): Record<string, stri
   const con = ctx.CONSENT
   const h = ctx.HOSTING
   const f = ctx.FEATURES
+  const tom = ctx.TOM
+  const dpa = ctx.DPA
 
   const address = providerAddress(p)
 
@@ -180,6 +184,86 @@ export function contextToPlaceholders(ctx: TemplateContext): Record<string, stri
     '{{LIMITATION_CAP_TEXT}}':           str(f.LIMITATION_CAP_TEXT),
     '{{CONSUMER_WITHDRAWAL_TEXT}}':      str(f.CONSUMER_WITHDRAWAL_TEXT),
     '{{SUPPORT_CHANNELS_TEXT}}':         str(f.SUPPORT_CHANNELS_TEXT),
+
+    // --- TOM ---
+    '{{ISB_NAME}}':              str(tom.ISB_NAME),
+    '{{GF_NAME}}':               str(tom.GF_NAME),
+    '{{DOCUMENT_VERSION}}':      str(tom.DOCUMENT_VERSION),
+    '{{NEXT_REVIEW_DATE}}':      str(tom.NEXT_REVIEW_DATE),
+
+    // --- DPA / AVV ---
+    '{{AG_NAME}}':               str(dpa.AG_NAME) || str(c.LEGAL_NAME),
+    '{{AG_STRASSE}}':            str(dpa.AG_STRASSE) || str(c.ADDRESS_LINE),
+    '{{AG_PLZ_ORT}}':            str(dpa.AG_PLZ_ORT) || [c.POSTAL_CODE, c.CITY].filter(Boolean).join(' '),
+    '{{AN_NAME}}':               str(dpa.AN_NAME) || str(p.LEGAL_NAME),
+    '{{AN_STRASSE}}':            str(dpa.AN_STRASSE) || str(p.ADDRESS_LINE),
+    '{{AN_PLZ_ORT}}':            str(dpa.AN_PLZ_ORT) || [p.POSTAL_CODE, p.CITY].filter(Boolean).join(' '),
+    '{{VERARBEITUNGSGEGENSTAND}}': str(dpa.VERARBEITUNGSGEGENSTAND),
+    '{{VERARBEITUNGSZWECK}}':    str(dpa.VERARBEITUNGSZWECK),
+    '{{VERARBEITUNGSARTEN}}':    str(dpa.VERARBEITUNGSARTEN),
+    '{{DATENKATEGORIEN}}':       str(dpa.DATENKATEGORIEN),
+    '{{PERSONENKATEGORIEN}}':    str(dpa.PERSONENKATEGORIEN),
+    '{{BREACH_NOTIFICATION_HOURS}}': str(dpa.BREACH_NOTIFICATION_HOURS) || str(sec.INCIDENT_NOTICE_HOURS),
+    '{{INSTRUCTION_RETENTION_YEARS}}': str(dpa.INSTRUCTION_RETENTION_YEARS),
+    '{{SUB_PROCESSOR_NOTICE_WEEKS}}': str(dpa.SUB_PROCESSOR_NOTICE_WEEKS),
+    '{{SUB_PROCESSOR_OBJECTION_WEEKS}}': str(dpa.SUB_PROCESSOR_OBJECTION_WEEKS),
+    '{{DATA_EXPORT_FORMAT}}':    str(dpa.DATA_EXPORT_FORMAT),
+    '{{RETURN_CHOICE_WEEKS}}':   str(dpa.RETURN_CHOICE_WEEKS),
+    '{{DELETION_DAYS}}':         str(dpa.DELETION_DAYS),
+    '{{REACTIVATION_MONTHS}}':   str(dpa.REACTIVATION_MONTHS),
+    '{{TERMINATION_WEEKS}}':     str(dpa.TERMINATION_WEEKS),
+    '{{CHANGE_NOTICE_WEEKS}}':   str(dpa.CHANGE_NOTICE_WEEKS),
+    '{{THIRD_COUNTRY_OBJECTION_WEEKS}}': str(dpa.THIRD_COUNTRY_OBJECTION_WEEKS),
+    '{{AN_DSB_NAME}}':           str(dpa.AN_DSB_NAME) || str(prv.DPO_NAME),
+    '{{AN_DSB_EMAIL}}':          str(dpa.AN_DSB_EMAIL) || str(prv.DPO_EMAIL),
+    '{{AG_ORT}}':                str(dpa.AG_ORT),
+    '{{AN_ORT}}':                str(dpa.AN_ORT),
+    '{{VERTRAGSDATUM}}':         str(dpa.VERTRAGSDATUM) || str(l.VERSION_DATE),
+    '{{AG_UNTERZEICHNER_NAME}}': str(dpa.AG_UNTERZEICHNER_NAME),
+    '{{AG_UNTERZEICHNER_FUNKTION}}': str(dpa.AG_UNTERZEICHNER_FUNKTION),
+    '{{AN_UNTERZEICHNER_NAME}}': str(dpa.AN_UNTERZEICHNER_NAME) || str(p.CEO_NAME),
+    '{{AN_UNTERZEICHNER_FUNKTION}}': str(dpa.AN_UNTERZEICHNER_FUNKTION),
+    '{{GERICHTSSTAND}}':         str(dpa.GERICHTSSTAND) || str(l.JURISDICTION_CITY),
+
+    // --- FEATURES: Whistleblower ---
+    '{{WHISTLEBLOWER_CONTACT_NAME}}': str(f.WHISTLEBLOWER_CONTACT_NAME),
+    '{{WHISTLEBLOWER_CONTACT_ROLE}}': str(f.WHISTLEBLOWER_CONTACT_ROLE),
+    '{{WHISTLEBLOWER_EMAIL}}':   str(f.WHISTLEBLOWER_EMAIL),
+    '{{WHISTLEBLOWER_PHONE}}':   str(f.WHISTLEBLOWER_PHONE),
+    '{{WHISTLEBLOWER_URL}}':     str(f.WHISTLEBLOWER_URL),
+    // --- FEATURES: Video Conference ---
+    '{{VIDEO_PROVIDER_NAME}}':   str(f.VIDEO_PROVIDER_NAME),
+    '{{VIDEO_PROVIDER_COUNTRY}}': str(f.VIDEO_PROVIDER_COUNTRY),
+    '{{VIDEO_PROVIDER_ROLE}}':   str(f.VIDEO_PROVIDER_ROLE),
+    '{{VIDEO_PROVIDER_PRIVACY_URL}}': str(f.VIDEO_PROVIDER_PRIVACY_URL),
+    '{{RECORDING_RETENTION_DAYS}}': str(f.RECORDING_RETENTION_DAYS),
+    // --- FEATURES: KI/AI ---
+    '{{APPROVED_AI_SYSTEMS}}':   str(f.APPROVED_AI_SYSTEMS),
+    // --- FEATURES: BYOD ---
+    '{{BYOD_COST_DETAILS}}':     str(f.BYOD_COST_DETAILS),
+    // --- FEATURES: Consent ---
+    '{{NEWSLETTER_SIGNUP_URL}}': str(f.NEWSLETTER_SIGNUP_URL),
+    // --- FEATURES: Social Media ---
+    '{{SOCIAL_MEDIA_PLATFORMS_LIST}}': str(f.SOCIAL_MEDIA_PLATFORMS_LIST),
+    '{{EDITORIAL_EMAIL}}':       str(f.EDITORIAL_EMAIL),
+    // --- FEATURES: Transfer/SCC ---
+    '{{RECIPIENT_NAME}}':        str(f.RECIPIENT_NAME),
+    '{{RECIPIENT_COUNTRY}}':     str(f.RECIPIENT_COUNTRY),
+    '{{RECIPIENT_ADDRESS}}':     str(f.RECIPIENT_ADDRESS),
+    '{{RECIPIENT_CONTACT}}':     str(f.RECIPIENT_CONTACT),
+    '{{RECIPIENT_EMAIL}}':       str(f.RECIPIENT_EMAIL),
+    '{{RECIPIENT_ROLE}}':        str(f.RECIPIENT_ROLE),
+    '{{TRANSFER_PURPOSE}}':      str(f.TRANSFER_PURPOSE),
+    '{{TRANSFER_MECHANISM}}':    str(f.TRANSFER_MECHANISM),
+    '{{DATA_CATEGORIES_TRANSFERRED}}': str(f.DATA_CATEGORIES_TRANSFERRED),
+    '{{DATA_SUBJECTS}}':         str(f.DATA_SUBJECTS),
+    '{{TRANSFER_FREQUENCY}}':    str(f.TRANSFER_FREQUENCY),
+    // --- FEATURES: DSI ---
+    '{{DSI_TITLE}}':             str(f.DSI_TITLE) || 'Datenschutzerklaerung',
+    '{{SERVICE_SCOPE_DESCRIPTION}}': str(f.SERVICE_SCOPE_DESCRIPTION),
+    '{{FULFILLMENT_LOCATION}}':  str(f.FULFILLMENT_LOCATION),
+    '{{GUIDELINES_URL}}':        str(f.GUIDELINES_URL),
+    '{{PROCESSOR_LIST_URL}}':    str(f.PROCESSOR_LIST_URL),
   }
 }
 
@@ -216,7 +300,9 @@ const SECTION_COVERS: Record<keyof TemplateContext, string[]> = {
   NDA:       ['{{PURPOSE}}', '{{DURATION_YEARS}}', '{{PENALTY_AMOUNT}}'],
   CONSENT:   ['{{WEBSITE_NAME}}', '{{ANALYTICS_TOOLS}}', '{{MARKETING_PARTNERS}}', '{{ANALYTICS_TOOLS_LIST}}', '{{MARKETING_PARTNERS_LIST}}'],
   HOSTING:   ['{{HOSTING_PROVIDER_NAME}}', '{{HOSTING_PROVIDER_COUNTRY}}', '{{HOSTING_PROVIDER_CONTRACT_TYPE}}'],
-  FEATURES:  ['{{CONSENT_WITHDRAWAL_PATH}}', '{{SECURITY_MEASURES_SUMMARY}}', '{{DATA_SUBJECT_REQUEST_CHANNEL}}', '{{TRANSFER_GUARDS}}', '{{REGULATED_PROFESSION_TEXT}}', '{{EDITORIAL_RESPONSIBLE_NAME}}', '{{EDITORIAL_RESPONSIBLE_ADDRESS}}', '{{DISPUTE_RESOLUTION_TEXT}}', '{{NEWSLETTER_PROVIDER_DETAIL}}', '{{PAYMENT_PROVIDER_DETAIL}}', '{{SOCIAL_MEDIA_DETAIL}}', '{{ANALYTICS_TOOLS_DETAIL}}', '{{MARKETING_TOOLS_DETAIL}}', '{{CMP_NAME}}', '{{PRICES_TEXT}}', '{{PAYMENT_TERMS_TEXT}}', '{{CONTRACT_TERM_TEXT}}', '{{SLA_URL}}', '{{EXPORT_POLICY_TEXT}}', '{{LIMITATION_CAP_TEXT}}', '{{CONSUMER_WITHDRAWAL_TEXT}}', '{{SUPPORT_CHANNELS_TEXT}}'],
+  FEATURES:  ['{{CONSENT_WITHDRAWAL_PATH}}', '{{SECURITY_MEASURES_SUMMARY}}', '{{DATA_SUBJECT_REQUEST_CHANNEL}}', '{{TRANSFER_GUARDS}}', '{{REGULATED_PROFESSION_TEXT}}', '{{EDITORIAL_RESPONSIBLE_NAME}}', '{{EDITORIAL_RESPONSIBLE_ADDRESS}}', '{{DISPUTE_RESOLUTION_TEXT}}', '{{NEWSLETTER_PROVIDER_DETAIL}}', '{{PAYMENT_PROVIDER_DETAIL}}', '{{SOCIAL_MEDIA_DETAIL}}', '{{ANALYTICS_TOOLS_DETAIL}}', '{{MARKETING_TOOLS_DETAIL}}', '{{CMP_NAME}}', '{{PRICES_TEXT}}', '{{PAYMENT_TERMS_TEXT}}', '{{CONTRACT_TERM_TEXT}}', '{{SLA_URL}}', '{{EXPORT_POLICY_TEXT}}', '{{LIMITATION_CAP_TEXT}}', '{{CONSUMER_WITHDRAWAL_TEXT}}', '{{SUPPORT_CHANNELS_TEXT}}', '{{WHISTLEBLOWER_CONTACT_NAME}}', '{{WHISTLEBLOWER_EMAIL}}', '{{WHISTLEBLOWER_URL}}', '{{VIDEO_PROVIDER_NAME}}', '{{APPROVED_AI_SYSTEMS}}', '{{SOCIAL_MEDIA_PLATFORMS_LIST}}', '{{DSI_TITLE}}', '{{SERVICE_SCOPE_DESCRIPTION}}', '{{GUIDELINES_URL}}', '{{PROCESSOR_LIST_URL}}', '{{RECIPIENT_NAME}}', '{{RECIPIENT_COUNTRY}}', '{{TRANSFER_PURPOSE}}', '{{TRANSFER_MECHANISM}}'],
+  TOM:       ['{{ISB_NAME}}', '{{GF_NAME}}', '{{DOCUMENT_VERSION}}', '{{NEXT_REVIEW_DATE}}'],
+  DPA:       ['{{AG_NAME}}', '{{AG_STRASSE}}', '{{AG_PLZ_ORT}}', '{{AN_NAME}}', '{{AN_STRASSE}}', '{{AN_PLZ_ORT}}', '{{VERARBEITUNGSGEGENSTAND}}', '{{VERARBEITUNGSZWECK}}', '{{VERARBEITUNGSARTEN}}', '{{DATENKATEGORIEN}}', '{{PERSONENKATEGORIEN}}', '{{BREACH_NOTIFICATION_HOURS}}', '{{INSTRUCTION_RETENTION_YEARS}}', '{{SUB_PROCESSOR_NOTICE_WEEKS}}', '{{SUB_PROCESSOR_OBJECTION_WEEKS}}', '{{DATA_EXPORT_FORMAT}}', '{{RETURN_CHOICE_WEEKS}}', '{{DELETION_DAYS}}', '{{REACTIVATION_MONTHS}}', '{{TERMINATION_WEEKS}}', '{{AN_DSB_NAME}}', '{{AN_DSB_EMAIL}}', '{{AG_ORT}}', '{{AN_ORT}}', '{{VERTRAGSDATUM}}', '{{AG_UNTERZEICHNER_NAME}}', '{{AG_UNTERZEICHNER_FUNKTION}}', '{{AN_UNTERZEICHNER_NAME}}', '{{AN_UNTERZEICHNER_FUNKTION}}', '{{GERICHTSSTAND}}'],
 }
 
 /**
diff --git a/admin-compliance/app/sdk/document-generator/contextBridge.ts b/admin-compliance/app/sdk/document-generator/contextBridge.ts
index 9085fe4..bd28ce0 100644
--- a/admin-compliance/app/sdk/document-generator/contextBridge.ts
+++ b/admin-compliance/app/sdk/document-generator/contextBridge.ts
@@ -167,6 +167,84 @@ export interface FeaturesCtx {
   SUPPORT_CHANNELS_TEXT: string
 }
 
+export interface TOMCtx {
+  ISB_NAME: string
+  GF_NAME: string
+  DOCUMENT_VERSION: string
+  NEXT_REVIEW_DATE: string
+  // Conditional blocks
+  HAS_PHYSICAL_TRANSPORT: boolean
+  HAS_THIRD_COUNTRY_TRANSFER: boolean
+  HAS_CLOUD_SERVICES: boolean
+  HAS_MFA: boolean
+  HAS_USB_LOCKED: boolean
+  HAS_MOBILE_MEDIA: boolean
+  HAS_FOUR_EYES_DELETE: boolean
+  HAS_EXTERNAL_DESTRUCTION: boolean
+  HAS_REDUNDANCY: boolean
+  HAS_GEO_REDUNDANCY: boolean
+  HAS_USV: boolean
+  HAS_OWN_SERVER_ROOM: boolean
+  HAS_MULTI_TENANT: boolean
+  HAS_TEST_DATA_ANONYMIZED: boolean
+  // Selects
+  LOG_RETENTION_MONTHS: number | ''
+  DIN_66399_LEVEL: string
+  AVAILABILITY_TARGET: string
+  SEPARATION_TYPE: string
+}
+
+export interface DPACtx {
+  // Parties
+  AG_NAME: string
+  AG_STRASSE: string
+  AG_PLZ_ORT: string
+  AN_NAME: string
+  AN_STRASSE: string
+  AN_PLZ_ORT: string
+  // Processing details
+  VERARBEITUNGSGEGENSTAND: string
+  VERARBEITUNGSZWECK: string
+  VERARBEITUNGSARTEN: string
+  DATENKATEGORIEN: string
+  PERSONENKATEGORIEN: string
+  // Timings
+  BREACH_NOTIFICATION_HOURS: number | ''
+  INSTRUCTION_RETENTION_YEARS: number | ''
+  SUB_PROCESSOR_NOTICE_WEEKS: number | ''
+  SUB_PROCESSOR_OBJECTION_WEEKS: number | ''
+  RETURN_CHOICE_WEEKS: number | ''
+  DELETION_DAYS: number | ''
+  REACTIVATION_MONTHS: number | ''
+  TERMINATION_WEEKS: number | ''
+  CHANGE_NOTICE_WEEKS: number | ''
+  THIRD_COUNTRY_OBJECTION_WEEKS: number | ''
+  // Data return
+  DATA_EXPORT_FORMAT: string
+  // DSB
+  AN_DSB_NAME: string
+  AN_DSB_EMAIL: string
+  // Signatures
+  AG_ORT: string
+  AN_ORT: string
+  VERTRAGSDATUM: string
+  AG_UNTERZEICHNER_NAME: string
+  AG_UNTERZEICHNER_FUNKTION: string
+  AN_UNTERZEICHNER_NAME: string
+  AN_UNTERZEICHNER_FUNKTION: string
+  GERICHTSSTAND: string
+  // Optional clauses
+  HAS_LIABILITY_PROTECTION: boolean
+  HAS_SUPPORT_COST_CLAUSE: boolean
+  HAS_SUB_PROCESSOR_SILENCE_APPROVAL: boolean
+  HAS_SUB_PROCESSOR_TERMINATION_RIGHT: boolean
+  HAS_REACTIVATION_PERIOD: boolean
+  HAS_RETURN_COST_CLAUSE: boolean
+  HAS_GERICHTSSTAND_CLAUSE: boolean
+  HAS_UNILATERAL_CHANGE_RIGHT: boolean
+  HAS_THIRD_COUNTRY_OBJECTION: boolean
+}
+
 export interface TemplateContext {
   PROVIDER: ProviderCtx
   CUSTOMER: CustomerCtx
@@ -180,6 +258,8 @@ export interface TemplateContext {
   CONSENT: ConsentCtx
   HOSTING: HostingCtx
   FEATURES: FeaturesCtx
+  TOM: TOMCtx
+  DPA: DPACtx
 }
 
 export interface ComputedFlags {
@@ -263,6 +343,37 @@ export const EMPTY_CONTEXT: TemplateContext = {
     LIMITATION_CAP_TEXT: '', HAS_WITHDRAWAL: false, CONSUMER_WITHDRAWAL_TEXT: '',
     SUPPORT_CHANNELS_TEXT: '',
   },
+  TOM: {
+    ISB_NAME: '', GF_NAME: '', DOCUMENT_VERSION: '1.0.0', NEXT_REVIEW_DATE: '',
+    HAS_PHYSICAL_TRANSPORT: false, HAS_THIRD_COUNTRY_TRANSFER: false,
+    HAS_CLOUD_SERVICES: false, HAS_MFA: true, HAS_USB_LOCKED: false,
+    HAS_MOBILE_MEDIA: false, HAS_FOUR_EYES_DELETE: false,
+    HAS_EXTERNAL_DESTRUCTION: false, HAS_REDUNDANCY: false,
+    HAS_GEO_REDUNDANCY: false, HAS_USV: true, HAS_OWN_SERVER_ROOM: false,
+    HAS_MULTI_TENANT: false, HAS_TEST_DATA_ANONYMIZED: true,
+    LOG_RETENTION_MONTHS: 6, DIN_66399_LEVEL: '3',
+    AVAILABILITY_TARGET: '99.5', SEPARATION_TYPE: 'logisch',
+  },
+  DPA: {
+    AG_NAME: '', AG_STRASSE: '', AG_PLZ_ORT: '',
+    AN_NAME: '', AN_STRASSE: '', AN_PLZ_ORT: '',
+    VERARBEITUNGSGEGENSTAND: '', VERARBEITUNGSZWECK: '', VERARBEITUNGSARTEN: '',
+    DATENKATEGORIEN: '', PERSONENKATEGORIEN: '',
+    BREACH_NOTIFICATION_HOURS: 24, INSTRUCTION_RETENTION_YEARS: 3,
+    SUB_PROCESSOR_NOTICE_WEEKS: 2, SUB_PROCESSOR_OBJECTION_WEEKS: 2,
+    RETURN_CHOICE_WEEKS: 4, DELETION_DAYS: 90, REACTIVATION_MONTHS: 3,
+    TERMINATION_WEEKS: 4, CHANGE_NOTICE_WEEKS: 4, THIRD_COUNTRY_OBJECTION_WEEKS: 3,
+    DATA_EXPORT_FORMAT: 'CSV/JSON', AN_DSB_NAME: '', AN_DSB_EMAIL: '',
+    AG_ORT: '', AN_ORT: '', VERTRAGSDATUM: '',
+    AG_UNTERZEICHNER_NAME: '', AG_UNTERZEICHNER_FUNKTION: 'Geschaeftsfuehrer',
+    AN_UNTERZEICHNER_NAME: '', AN_UNTERZEICHNER_FUNKTION: 'Geschaeftsfuehrer',
+    GERICHTSSTAND: '',
+    HAS_LIABILITY_PROTECTION: false, HAS_SUPPORT_COST_CLAUSE: false,
+    HAS_SUB_PROCESSOR_SILENCE_APPROVAL: true, HAS_SUB_PROCESSOR_TERMINATION_RIGHT: false,
+    HAS_REACTIVATION_PERIOD: true, HAS_RETURN_COST_CLAUSE: false,
+    HAS_GERICHTSSTAND_CLAUSE: true, HAS_UNILATERAL_CHANGE_RIGHT: false,
+    HAS_THIRD_COUNTRY_OBJECTION: false,
+  },
 }
 
 // =============================================================================
diff --git a/admin-compliance/app/sdk/document-generator/examples/ai_usage_policy_de.json b/admin-compliance/app/sdk/document-generator/examples/ai_usage_policy_de.json
new file mode 100644
index 0000000..67c751a
--- /dev/null
+++ b/admin-compliance/app/sdk/document-generator/examples/ai_usage_policy_de.json
@@ -0,0 +1,14 @@
+{
+  "document_type": "ai_usage_policy",
+  "language": "de",
+  "context": {
+    "PROVIDER": { "LEGAL_NAME": "Muster GmbH" },
+    "FEATURES": {
+      "APPROVED_AI_SYSTEMS": "ChatGPT (OpenAI), GitHub Copilot, DeepL Pro",
+      "HAS_APPROVED_AI_LIST": true,
+      "HAS_AI_LABELING_INTERNAL": true,
+      "HAS_TDM_OPTOUT": true
+    },
+    "TOM": { "DOCUMENT_VERSION": "1.0.0", "NEXT_REVIEW_DATE": "2026-11-01" }
+  }
+}
diff --git a/admin-compliance/app/sdk/document-generator/examples/dpa_de.json b/admin-compliance/app/sdk/document-generator/examples/dpa_de.json
new file mode 100644
index 0000000..cc868aa
--- /dev/null
+++ b/admin-compliance/app/sdk/document-generator/examples/dpa_de.json
@@ -0,0 +1,36 @@
+{
+  "document_type": "dpa",
+  "language": "de",
+  "context": {
+    "DPA": {
+      "AG_NAME": "Muster GmbH",
+      "AG_STRASSE": "Musterstrasse 1",
+      "AG_PLZ_ORT": "10115 Berlin",
+      "AN_NAME": "BreakPilot GmbH",
+      "AN_STRASSE": "Hardtring 6",
+      "AN_PLZ_ORT": "78224 Singen",
+      "VERARBEITUNGSGEGENSTAND": "Bereitstellung und Betrieb einer SaaS-Compliance-Plattform",
+      "VERARBEITUNGSZWECK": "Compliance-Management, Dokumentengenerierung, Risikobewertung",
+      "VERARBEITUNGSARTEN": "Erheben, Speichern, Veraendern, Auslesen, Abfragen, Uebermitteln, Loeschen",
+      "DATENKATEGORIEN": "Stammdaten, Kontaktdaten, Vertragsdaten, Nutzungsdaten, Kommunikationsdaten",
+      "PERSONENKATEGORIEN": "Mitarbeitende des Auftraggebers, Kunden des Auftraggebers, Ansprechpartner",
+      "BREACH_NOTIFICATION_HOURS": 24,
+      "INSTRUCTION_RETENTION_YEARS": 3,
+      "SUB_PROCESSOR_NOTICE_WEEKS": 4,
+      "SUB_PROCESSOR_OBJECTION_WEEKS": 2,
+      "DATA_EXPORT_FORMAT": "CSV/JSON",
+      "RETURN_CHOICE_WEEKS": 4,
+      "DELETION_DAYS": 90,
+      "AN_DSB_NAME": "Max Mustermann",
+      "AN_DSB_EMAIL": "datenschutz@breakpilot.ai",
+      "VERTRAGSDATUM": "2026-05-01",
+      "AG_ORT": "Berlin",
+      "AN_ORT": "Singen",
+      "AG_UNTERZEICHNER_NAME": "Anna Beispiel",
+      "AG_UNTERZEICHNER_FUNKTION": "Geschaeftsfuehrerin",
+      "AN_UNTERZEICHNER_NAME": "Benjamin Boenisch",
+      "AN_UNTERZEICHNER_FUNKTION": "Geschaeftsfuehrer",
+      "GERICHTSSTAND": "Singen"
+    }
+  }
+}
diff --git a/admin-compliance/app/sdk/document-generator/examples/employee_dsi_de.json b/admin-compliance/app/sdk/document-generator/examples/employee_dsi_de.json
new file mode 100644
index 0000000..d53c10d
--- /dev/null
+++ b/admin-compliance/app/sdk/document-generator/examples/employee_dsi_de.json
@@ -0,0 +1,33 @@
+{
+  "document_type": "employee_dsi",
+  "language": "de",
+  "context": {
+    "PROVIDER": {
+      "LEGAL_NAME": "Muster GmbH",
+      "LEGAL_FORM": "GmbH",
+      "ADDRESS_LINE": "Musterstrasse 1",
+      "POSTAL_CODE": "10115",
+      "CITY": "Berlin",
+      "COUNTRY": "DE",
+      "EMAIL": "info@muster.de",
+      "PHONE": "+49 30 123456"
+    },
+    "PRIVACY": {
+      "DPO_NAME": "Dr. Datenschutz",
+      "DPO_EMAIL": "dsb@muster.de",
+      "SUPERVISORY_AUTHORITY_NAME": "Berliner Beauftragte fuer Datenschutz"
+    },
+    "FEATURES": {
+      "HAS_IT_USAGE_MONITORING": true,
+      "HAS_COMPANY_VEHICLE": false,
+      "HAS_ACCESS_CONTROL": true,
+      "HAS_VIDEO_SURVEILLANCE": false,
+      "HAS_COMPANY_PENSION": true,
+      "HAS_EXTERNAL_HR_SOFTWARE": true,
+      "HAS_WORKS_COUNCIL": false,
+      "HAS_SPECIAL_CATEGORIES_EMPLOYEES": true,
+      "DATA_SUBJECT_REQUEST_CHANNEL": "per E-Mail an dsb@muster.de"
+    },
+    "SECURITY": { "LOG_RETENTION_DAYS": 90 }
+  }
+}
diff --git a/admin-compliance/app/sdk/document-generator/examples/social_media_dsi_de.json b/admin-compliance/app/sdk/document-generator/examples/social_media_dsi_de.json
new file mode 100644
index 0000000..a058a01
--- /dev/null
+++ b/admin-compliance/app/sdk/document-generator/examples/social_media_dsi_de.json
@@ -0,0 +1,27 @@
+{
+  "document_type": "social_media_dsi",
+  "language": "de",
+  "context": {
+    "PROVIDER": {
+      "LEGAL_NAME": "Muster GmbH",
+      "WEBSITE_URL": "https://www.muster.de",
+      "EMAIL": "info@muster.de",
+      "PHONE": "+49 30 123456"
+    },
+    "PRIVACY": {
+      "DPO_EMAIL": "dsb@muster.de",
+      "SUPERVISORY_AUTHORITY_NAME": "Berliner Beauftragte fuer Datenschutz",
+      "SUPERVISORY_AUTHORITY_ADDRESS": "Friedrichstr. 219, 10969 Berlin"
+    },
+    "FEATURES": {
+      "HAS_FACEBOOK": true,
+      "HAS_YOUTUBE": true,
+      "HAS_LINKEDIN": true,
+      "HAS_TIKTOK": false,
+      "HAS_X_TWITTER": false,
+      "HAS_META_PIXEL": true,
+      "HAS_RECRUITING_VIA_SOCIAL": true,
+      "SOCIAL_MEDIA_PLATFORMS_LIST": "Facebook, Instagram, YouTube und LinkedIn"
+    }
+  }
+}
diff --git a/admin-compliance/app/sdk/document-generator/examples/tia_de.json b/admin-compliance/app/sdk/document-generator/examples/tia_de.json
new file mode 100644
index 0000000..292774b
--- /dev/null
+++ b/admin-compliance/app/sdk/document-generator/examples/tia_de.json
@@ -0,0 +1,19 @@
+{
+  "document_type": "transfer_impact_assessment",
+  "language": "de",
+  "context": {
+    "PROVIDER": { "LEGAL_NAME": "Muster GmbH" },
+    "PRIVACY": { "DPO_NAME": "Dr. Datenschutz", "DPO_EMAIL": "dsb@muster.de" },
+    "FEATURES": {
+      "RECIPIENT_NAME": "Cloud Provider Inc.",
+      "RECIPIENT_COUNTRY": "US",
+      "RECIPIENT_ROLE": "Auftragsverarbeiter",
+      "TRANSFER_PURPOSE": "Hosting der Anwendungsdaten",
+      "TRANSFER_MECHANISM": "EU-Standardvertragsklauseln (SCC) + EU-US DPF",
+      "DATA_CATEGORIES_TRANSFERRED": "Stammdaten, Kontaktdaten, Nutzungsdaten",
+      "DATA_SUBJECTS": "Kunden, Nutzer der Plattform",
+      "TRANSFER_FREQUENCY": "Kontinuierlich (Echtzeit-Datenverarbeitung)"
+    },
+    "TOM": { "GF_NAME": "Max Geschaeftsfuehrer", "DOCUMENT_VERSION": "1.0.0", "NEXT_REVIEW_DATE": "2027-05-01" }
+  }
+}
diff --git a/admin-compliance/app/sdk/document-generator/examples/tom_de.json b/admin-compliance/app/sdk/document-generator/examples/tom_de.json
new file mode 100644
index 0000000..09f5aee
--- /dev/null
+++ b/admin-compliance/app/sdk/document-generator/examples/tom_de.json
@@ -0,0 +1,30 @@
+{
+  "document_type": "tom_documentation",
+  "language": "de",
+  "context": {
+    "TOM": {
+      "ISB_NAME": "Thomas Sicher",
+      "GF_NAME": "Benjamin Boenisch",
+      "DOCUMENT_VERSION": "2.0.0",
+      "NEXT_REVIEW_DATE": "2027-05-01",
+      "HAS_MFA": true,
+      "HAS_USB_LOCKED": false,
+      "HAS_MOBILE_MEDIA": false,
+      "HAS_FOUR_EYES_DELETE": true,
+      "HAS_EXTERNAL_DESTRUCTION": true,
+      "HAS_PHYSICAL_TRANSPORT": false,
+      "HAS_THIRD_COUNTRY_TRANSFER": false,
+      "HAS_CLOUD_SERVICES": true,
+      "HAS_REDUNDANCY": true,
+      "HAS_GEO_REDUNDANCY": false,
+      "HAS_USV": true,
+      "HAS_OWN_SERVER_ROOM": true,
+      "HAS_MULTI_TENANT": true,
+      "HAS_TEST_DATA_ANONYMIZED": true,
+      "LOG_RETENTION_MONTHS": 12,
+      "DIN_66399_LEVEL": "4",
+      "AVAILABILITY_TARGET": "99.9",
+      "SEPARATION_TYPE": "logisch"
+    }
+  }
+}
diff --git a/admin-compliance/app/sdk/document-generator/examples/whistleblower_de.json b/admin-compliance/app/sdk/document-generator/examples/whistleblower_de.json
new file mode 100644
index 0000000..dc8cb89
--- /dev/null
+++ b/admin-compliance/app/sdk/document-generator/examples/whistleblower_de.json
@@ -0,0 +1,18 @@
+{
+  "document_type": "whistleblower_policy",
+  "language": "de",
+  "context": {
+    "PROVIDER": {
+      "LEGAL_NAME": "Muster GmbH"
+    },
+    "FEATURES": {
+      "WHISTLEBLOWER_CONTACT_NAME": "Dr. Maria Compliance",
+      "WHISTLEBLOWER_CONTACT_ROLE": "Compliance-Beauftragte / Meldestellenbeauftragte",
+      "WHISTLEBLOWER_EMAIL": "meldestelle@muster.de",
+      "WHISTLEBLOWER_PHONE": "+49 123 456789",
+      "WHISTLEBLOWER_URL": "https://muster.de/meldestelle",
+      "HAS_ANONYMOUS_REPORTING": true,
+      "HAS_EXTERNAL_REPORTING": true
+    }
+  }
+}
diff --git a/admin-compliance/app/sdk/document-generator/page.tsx b/admin-compliance/app/sdk/document-generator/page.tsx
index c3a14ce..f2c4440 100644
--- a/admin-compliance/app/sdk/document-generator/page.tsx
+++ b/admin-compliance/app/sdk/document-generator/page.tsx
@@ -11,8 +11,10 @@ import { generateAllPlaceholders } from '@/lib/sdk/document-generator/datapoint-
 import { loadAllTemplates } from './searchTemplates'
 import { TemplateContext, EMPTY_CONTEXT } from './contextBridge'
 import { CATEGORIES } from './_constants'
+import { getGeneratorDefaults, getProfileLabel } from './scopeDefaults'
 import TemplateLibrary from './_components/TemplateLibrary'
 import GeneratorSection from './_components/GeneratorSection'
+import RecommendedDocuments from './_components/RecommendedDocuments'
 
 function DocumentGeneratorPageInner() {
   const { state } = useSDK()
@@ -86,6 +88,7 @@ function DocumentGeneratorPageInner() {
     }
   }, [state?.companyProfile])
 
+<<<<<<< HEAD
   // ── MODULE WIRING: CookieBanner → CONSENT + FEATURES ─────────────────────
   useEffect(() => {
     const banner = state?.cookieBanner
@@ -157,6 +160,20 @@ function DocumentGeneratorPageInner() {
       },
     }))
   }, [state?.useCases])
+=======
+  // Pre-fill TOM/DPA context from Compliance Scope Engine
+  useEffect(() => {
+    const scopeLevel = state?.complianceScope?.determinedLevel
+    if (scopeLevel) {
+      const defaults = getGeneratorDefaults(scopeLevel, state?.companyProfile as never)
+      setContext((prev) => ({
+        ...prev,
+        TOM: { ...prev.TOM, ...defaults.tom },
+        DPA: { ...prev.DPA, ...defaults.dpa },
+      }))
+    }
+  }, [state?.complianceScope?.determinedLevel, state?.companyProfile])
+>>>>>>> feat/zeroclaw-compliance-agent
 
   // Pre-fill extra placeholders from Einwilligungen data points
   useEffect(() => {
@@ -249,6 +266,12 @@ function DocumentGeneratorPageInner() {
         </div>
       </div>
 
+      {/* Recommended documents based on scope profile */}
+      <RecommendedDocuments
+        allTemplates={allTemplates}
+        onUseTemplate={handleUseTemplate}
+      />
+
       <TemplateLibrary
         allTemplates={allTemplates}
         filteredTemplates={filteredTemplates}
diff --git a/admin-compliance/app/sdk/document-generator/scopeDefaults.ts b/admin-compliance/app/sdk/document-generator/scopeDefaults.ts
new file mode 100644
index 0000000..f6d1fda
--- /dev/null
+++ b/admin-compliance/app/sdk/document-generator/scopeDefaults.ts
@@ -0,0 +1,320 @@
+/**
+ * Scope-basierte Generator-Defaults
+ *
+ * Nimmt ScopeDecision.determinedLevel + CompanyProfile und liefert
+ * vorausgefuellte TOM/DPA-Context-Werte. Alle Felder bleiben vom
+ * Kunden aenderbar — die Defaults sind Empfehlungen.
+ *
+ * Mapping:
+ *   L1 = Lean Startup (≤10 MA, Cloud-only, Home Office)
+ *   L2 = KMU Standard (11-249 MA)
+ *   L3 = Erweitert (risikoreich oder >100 MA)
+ *   L4 = Zertifizierungsbereit (≥250 MA oder regulierte Branche)
+ */
+
+import type { ComplianceDepthLevel } from '../../lib/sdk/compliance-scope-types/core-levels'
+import type { CompanyProfile } from '../../lib/sdk/types'
+import type { TOMCtx, DPACtx } from './contextBridge'
+
+// ============================================================================
+// TOM Defaults per Level
+// ============================================================================
+
+const TOM_DEFAULTS: Record<ComplianceDepthLevel, Partial<TOMCtx>> = {
+  L1: {
+    // Lean Startup: Cloud-only, kein eigener Serverraum, Home Office
+    HAS_MFA: true,
+    HAS_USB_LOCKED: false,
+    HAS_MOBILE_MEDIA: false,
+    HAS_FOUR_EYES_DELETE: false,
+    HAS_EXTERNAL_DESTRUCTION: false,
+    HAS_PHYSICAL_TRANSPORT: false,
+    HAS_THIRD_COUNTRY_TRANSFER: false,
+    HAS_CLOUD_SERVICES: true,
+    HAS_REDUNDANCY: false,
+    HAS_GEO_REDUNDANCY: false,
+    HAS_USV: false,
+    HAS_OWN_SERVER_ROOM: false,
+    HAS_MULTI_TENANT: false,
+    HAS_TEST_DATA_ANONYMIZED: true,
+    LOG_RETENTION_MONTHS: 3,
+    DIN_66399_LEVEL: '3',
+    AVAILABILITY_TARGET: '99.0',
+    SEPARATION_TYPE: 'logisch',
+  },
+  L2: {
+    // KMU Standard
+    HAS_MFA: true,
+    HAS_USB_LOCKED: false,
+    HAS_MOBILE_MEDIA: false,
+    HAS_FOUR_EYES_DELETE: false,
+    HAS_EXTERNAL_DESTRUCTION: false,
+    HAS_PHYSICAL_TRANSPORT: false,
+    HAS_THIRD_COUNTRY_TRANSFER: false,
+    HAS_CLOUD_SERVICES: true,
+    HAS_REDUNDANCY: false,
+    HAS_GEO_REDUNDANCY: false,
+    HAS_USV: false,
+    HAS_OWN_SERVER_ROOM: false,
+    HAS_MULTI_TENANT: false,
+    HAS_TEST_DATA_ANONYMIZED: true,
+    LOG_RETENTION_MONTHS: 6,
+    DIN_66399_LEVEL: '3',
+    AVAILABILITY_TARGET: '99.5',
+    SEPARATION_TYPE: 'logisch',
+  },
+  L3: {
+    // Erweitert
+    HAS_MFA: true,
+    HAS_USB_LOCKED: false,
+    HAS_MOBILE_MEDIA: false,
+    HAS_FOUR_EYES_DELETE: true,
+    HAS_EXTERNAL_DESTRUCTION: true,
+    HAS_PHYSICAL_TRANSPORT: false,
+    HAS_THIRD_COUNTRY_TRANSFER: false,
+    HAS_CLOUD_SERVICES: true,
+    HAS_REDUNDANCY: true,
+    HAS_GEO_REDUNDANCY: false,
+    HAS_USV: true,
+    HAS_OWN_SERVER_ROOM: true,
+    HAS_MULTI_TENANT: true,
+    HAS_TEST_DATA_ANONYMIZED: true,
+    LOG_RETENTION_MONTHS: 12,
+    DIN_66399_LEVEL: '4',
+    AVAILABILITY_TARGET: '99.9',
+    SEPARATION_TYPE: 'logisch',
+  },
+  L4: {
+    // Zertifizierungsbereit / Enterprise
+    HAS_MFA: true,
+    HAS_USB_LOCKED: true,
+    HAS_MOBILE_MEDIA: false,
+    HAS_FOUR_EYES_DELETE: true,
+    HAS_EXTERNAL_DESTRUCTION: true,
+    HAS_PHYSICAL_TRANSPORT: false,
+    HAS_THIRD_COUNTRY_TRANSFER: false,
+    HAS_CLOUD_SERVICES: true,
+    HAS_REDUNDANCY: true,
+    HAS_GEO_REDUNDANCY: true,
+    HAS_USV: true,
+    HAS_OWN_SERVER_ROOM: true,
+    HAS_MULTI_TENANT: true,
+    HAS_TEST_DATA_ANONYMIZED: true,
+    LOG_RETENTION_MONTHS: 24,
+    DIN_66399_LEVEL: '5',
+    AVAILABILITY_TARGET: '99.99',
+    SEPARATION_TYPE: 'logisch',
+  },
+}
+
+// ============================================================================
+// DPA Defaults per Level
+// ============================================================================
+
+const DPA_DEFAULTS: Record<ComplianceDepthLevel, Partial<DPACtx>> = {
+  L1: {
+    BREACH_NOTIFICATION_HOURS: 48,
+    INSTRUCTION_RETENTION_YEARS: 3,
+    SUB_PROCESSOR_NOTICE_WEEKS: 2,
+    SUB_PROCESSOR_OBJECTION_WEEKS: 2,
+    DATA_EXPORT_FORMAT: 'CSV/JSON',
+    RETURN_CHOICE_WEEKS: 4,
+    DELETION_DAYS: 90,
+    HAS_LIABILITY_PROTECTION: false,
+    HAS_SUPPORT_COST_CLAUSE: false,
+    HAS_SUB_PROCESSOR_SILENCE_APPROVAL: true,
+    HAS_SUB_PROCESSOR_TERMINATION_RIGHT: false,
+    HAS_REACTIVATION_PERIOD: true,
+    REACTIVATION_MONTHS: 3,
+    HAS_RETURN_COST_CLAUSE: false,
+    HAS_GERICHTSSTAND_CLAUSE: false,
+    HAS_UNILATERAL_CHANGE_RIGHT: false,
+    HAS_THIRD_COUNTRY_OBJECTION: false,
+  },
+  L2: {
+    BREACH_NOTIFICATION_HOURS: 24,
+    INSTRUCTION_RETENTION_YEARS: 3,
+    SUB_PROCESSOR_NOTICE_WEEKS: 4,
+    SUB_PROCESSOR_OBJECTION_WEEKS: 2,
+    DATA_EXPORT_FORMAT: 'CSV/JSON',
+    RETURN_CHOICE_WEEKS: 4,
+    DELETION_DAYS: 90,
+    HAS_LIABILITY_PROTECTION: false,
+    HAS_SUPPORT_COST_CLAUSE: false,
+    HAS_SUB_PROCESSOR_SILENCE_APPROVAL: true,
+    HAS_SUB_PROCESSOR_TERMINATION_RIGHT: false,
+    HAS_REACTIVATION_PERIOD: true,
+    REACTIVATION_MONTHS: 3,
+    HAS_RETURN_COST_CLAUSE: false,
+    HAS_GERICHTSSTAND_CLAUSE: true,
+    HAS_UNILATERAL_CHANGE_RIGHT: false,
+    HAS_THIRD_COUNTRY_OBJECTION: false,
+  },
+  L3: {
+    BREACH_NOTIFICATION_HOURS: 24,
+    INSTRUCTION_RETENTION_YEARS: 5,
+    SUB_PROCESSOR_NOTICE_WEEKS: 4,
+    SUB_PROCESSOR_OBJECTION_WEEKS: 4,
+    DATA_EXPORT_FORMAT: 'CSV/JSON',
+    RETURN_CHOICE_WEEKS: 4,
+    DELETION_DAYS: 60,
+    HAS_LIABILITY_PROTECTION: true,
+    HAS_SUPPORT_COST_CLAUSE: true,
+    HAS_SUB_PROCESSOR_SILENCE_APPROVAL: true,
+    HAS_SUB_PROCESSOR_TERMINATION_RIGHT: true,
+    HAS_REACTIVATION_PERIOD: true,
+    REACTIVATION_MONTHS: 3,
+    HAS_RETURN_COST_CLAUSE: true,
+    HAS_GERICHTSSTAND_CLAUSE: true,
+    HAS_UNILATERAL_CHANGE_RIGHT: false,
+    HAS_THIRD_COUNTRY_OBJECTION: false,
+  },
+  L4: {
+    BREACH_NOTIFICATION_HOURS: 12,
+    INSTRUCTION_RETENTION_YEARS: 5,
+    SUB_PROCESSOR_NOTICE_WEEKS: 6,
+    SUB_PROCESSOR_OBJECTION_WEEKS: 4,
+    DATA_EXPORT_FORMAT: 'CSV/JSON',
+    RETURN_CHOICE_WEEKS: 8,
+    DELETION_DAYS: 30,
+    HAS_LIABILITY_PROTECTION: true,
+    HAS_SUPPORT_COST_CLAUSE: true,
+    HAS_SUB_PROCESSOR_SILENCE_APPROVAL: false,
+    HAS_SUB_PROCESSOR_TERMINATION_RIGHT: true,
+    HAS_REACTIVATION_PERIOD: false,
+    REACTIVATION_MONTHS: 3,
+    HAS_RETURN_COST_CLAUSE: true,
+    HAS_GERICHTSSTAND_CLAUSE: true,
+    HAS_UNILATERAL_CHANGE_RIGHT: false,
+    HAS_THIRD_COUNTRY_OBJECTION: false,
+  },
+}
+
+// ============================================================================
+// Public API
+// ============================================================================
+
+export interface GeneratorDefaults {
+  tom: Partial<TOMCtx>
+  dpa: Partial<DPACtx>
+  /** Which fields were set by the scope engine (for UI highlighting) */
+  scopeSet: Set<string>
+}
+
+/**
+ * Berechnet Generator-Defaults basierend auf dem Compliance-Level
+ * und dem CompanyProfile. Alle Werte sind Vorschlaege — der Kunde
+ * kann sie aendern.
+ */
+export function getGeneratorDefaults(
+  level: ComplianceDepthLevel,
+  profile?: CompanyProfile | null,
+): GeneratorDefaults {
+  const tomBase = { ...TOM_DEFAULTS[level] }
+  const dpaBase = { ...DPA_DEFAULTS[level] }
+  const scopeSet = new Set<string>()
+
+  // CompanyProfile-Felder in TOM/DPA uebernehmen
+  if (profile) {
+    if (profile.company_name) {
+      dpaBase.AN_NAME = profile.company_name
+      scopeSet.add('DPA.AN_NAME')
+    }
+    if (profile.address) {
+      dpaBase.AN_STRASSE = profile.address
+      scopeSet.add('DPA.AN_STRASSE')
+    }
+    if (profile.city && profile.postal_code) {
+      dpaBase.AN_PLZ_ORT = `${profile.postal_code} ${profile.city}`
+      scopeSet.add('DPA.AN_PLZ_ORT')
+    }
+    if (profile.dpo_name) {
+      tomBase.ISB_NAME = tomBase.ISB_NAME || ''
+      dpaBase.AN_DSB_NAME = profile.dpo_name
+      scopeSet.add('DPA.AN_DSB_NAME')
+    }
+    if (profile.dpo_email) {
+      dpaBase.AN_DSB_EMAIL = profile.dpo_email
+      scopeSet.add('DPA.AN_DSB_EMAIL')
+    }
+    if (profile.ceo_name) {
+      dpaBase.AN_UNTERZEICHNER_NAME = profile.ceo_name
+      tomBase.GF_NAME = profile.ceo_name
+      scopeSet.add('DPA.AN_UNTERZEICHNER_NAME')
+      scopeSet.add('TOM.GF_NAME')
+    }
+  }
+
+  // Alle gesetzten TOM/DPA Felder als scope-set markieren
+  for (const key of Object.keys(tomBase)) {
+    scopeSet.add(`TOM.${key}`)
+  }
+  for (const key of Object.keys(dpaBase)) {
+    scopeSet.add(`DPA.${key}`)
+  }
+
+  return { tom: tomBase, dpa: dpaBase, scopeSet }
+}
+
+/**
+ * Gibt das empfohlene Profil-Label zurueck (fuer UI-Anzeige).
+ */
+export function getProfileLabel(level: ComplianceDepthLevel): string {
+  const labels: Record<ComplianceDepthLevel, string> = {
+    L1: 'Startup / Kleinstunternehmen',
+    L2: 'KMU Standard',
+    L3: 'Erweiterte Compliance',
+    L4: 'Zertifizierungsbereit / Enterprise',
+  }
+  return labels[level]
+}
+
+/**
+ * Empfiehlt relevante Dokumenttypen basierend auf dem Compliance-Level.
+ * Hilft dem Kunden zu verstehen, welche Dokumente er braucht.
+ */
+export function getRecommendedDocuments(level: ComplianceDepthLevel): {
+  required: string[]
+  recommended: string[]
+  optional: string[]
+} {
+  const always = [
+    'privacy_policy', 'impressum', 'agb', 'cookie_banner', 'cookie_policy',
+  ]
+  const l2plus = [
+    'dpa', 'tom_documentation', 'vvt_register', 'loeschkonzept',
+    'community_guidelines', 'terms_of_use',
+  ]
+  const l3plus = [
+    'it_security_concept', 'data_protection_concept', 'incident_response_plan',
+    'access_control_concept', 'backup_recovery_concept', 'logging_concept',
+    'risk_management_concept', 'pflichtenregister',
+    'password_policy', 'encryption_policy', 'information_security_policy',
+    'access_control_policy', 'whistleblower_policy',
+    'employee_dsi', 'applicant_dsi', 'ai_usage_policy',
+  ]
+  const l4only = [
+    'isms_manual', 'cybersecurity_policy', 'byod_policy',
+    'dsfa', 'social_media_dsi', 'media_content_policy',
+    'video_conference_dsi', 'consent_texts',
+    'data_protection_policy', 'data_classification_policy',
+    'data_retention_policy', 'data_transfer_policy',
+    'privacy_incident_policy', 'employee_security_policy',
+    'security_awareness_policy', 'remote_work_policy',
+    'offboarding_policy', 'vendor_risk_management_policy',
+    'third_party_security_policy', 'supplier_security_policy',
+    'business_continuity_policy', 'disaster_recovery_policy',
+    'crisis_management_policy',
+  ]
+
+  switch (level) {
+    case 'L1':
+      return { required: always, recommended: [], optional: l2plus }
+    case 'L2':
+      return { required: always, recommended: l2plus, optional: l3plus }
+    case 'L3':
+      return { required: [...always, ...l2plus], recommended: l3plus, optional: l4only }
+    case 'L4':
+      return { required: [...always, ...l2plus, ...l3plus], recommended: l4only, optional: [] }
+  }
+}
diff --git a/admin-compliance/app/sdk/document-generator/templateRecommendations.ts b/admin-compliance/app/sdk/document-generator/templateRecommendations.ts
new file mode 100644
index 0000000..6d5d41d
--- /dev/null
+++ b/admin-compliance/app/sdk/document-generator/templateRecommendations.ts
@@ -0,0 +1,326 @@
+/**
+ * Template Recommendations — Maps scope answers to document templates
+ *
+ * Bridges the gap between the Compliance Scope Engine (23 ScopeDocumentTypes)
+ * and the Document Generator (70+ database templates).
+ *
+ * The scope engine recommends high-level document categories (vvt, tom, dsfa...).
+ * This module recommends SPECIFIC templates based on additional context from
+ * the CompanyProfile and scope answers.
+ */
+
+import type { ComplianceDepthLevel } from '../../lib/sdk/compliance-scope-types/core-levels'
+import type { ScopeProfilingAnswer } from '../../lib/sdk/compliance-scope-types/state'
+
+// ============================================================================
+// Template recommendation rules
+// ============================================================================
+
+interface TemplateRule {
+  /** Database document_type */
+  templateType: string
+  /** Human-readable label */
+  label: string
+  /** When to recommend this template */
+  condition: (answers: Map<string, string>, level: ComplianceDepthLevel, profile: Record<string, unknown>) => 'required' | 'recommended' | 'optional' | null
+}
+
+/**
+ * Rules that map scope answers + profile to specific template recommendations.
+ * These cover templates NOT directly output by the scope engine.
+ */
+const TEMPLATE_RULES: TemplateRule[] = [
+  // ── HR-DSI ──────────────────────────────────────────────────────────────
+  {
+    templateType: 'employee_dsi',
+    label: 'Mitarbeiter-Datenschutzinformation',
+    condition: (answers, level) => {
+      const hasEmployees = answers.get('org_has_employees')
+      const empCount = answers.get('org_employee_count')
+      if (hasEmployees === 'yes' || (empCount && empCount !== 'none' && empCount !== '0')) {
+        return level >= 'L2' ? 'required' : 'recommended'
+      }
+      return null
+    },
+  },
+  {
+    templateType: 'applicant_dsi',
+    label: 'Bewerber-Datenschutzinformation',
+    condition: (answers, level) => {
+      const hasEmployees = answers.get('org_has_employees')
+      const empCount = answers.get('org_employee_count')
+      if (hasEmployees === 'yes' || (empCount && empCount !== 'none' && empCount !== '0')) {
+        return level >= 'L2' ? 'recommended' : 'optional'
+      }
+      return null
+    },
+  },
+
+  // ── Whistleblower ───────────────────────────────────────────────────────
+  {
+    templateType: 'whistleblower_policy',
+    label: 'Hinweisgeberrichtlinie (HinSchG)',
+    condition: (answers) => {
+      const empCount = answers.get('org_employee_count')
+      // HinSchG Pflicht ab 50 MA
+      if (empCount === '50_249' || empCount === '250_999' || empCount === '1000_plus') return 'required'
+      return null
+    },
+  },
+
+  // ── KI ──────────────────────────────────────────────────────────────────
+  {
+    templateType: 'ai_usage_policy',
+    label: 'KI-Nutzungsrichtlinie',
+    condition: (answers) => {
+      const aiUsage = answers.get('proc_ai_usage') || answers.get('proc_uses_ai_tools')
+      if (aiUsage && aiUsage !== 'none' && aiUsage !== 'no') return 'required'
+      return null
+    },
+  },
+
+  // ── BYOD ────────────────────────────────────────────────────────────────
+  {
+    templateType: 'byod_policy',
+    label: 'BYOD-Richtlinie',
+    condition: (answers, level) => {
+      const byod = answers.get('proc_byod_allowed')
+      if (byod === 'yes') return 'required'
+      if (level >= 'L3') return 'recommended'
+      return 'optional'
+    },
+  },
+
+  // ── Social Media ────────────────────────────────────────────────────────
+  {
+    templateType: 'social_media_dsi',
+    label: 'Social-Media-Datenschutzinformation',
+    condition: (answers, level) => {
+      const sm = answers.get('org_has_social_media')
+      if (sm === 'yes') return 'required'
+      return level >= 'L2' ? 'recommended' : 'optional'
+    },
+  },
+
+  // ── Videokonferenzen ────────────────────────────────────────────────────
+  {
+    templateType: 'video_conference_dsi',
+    label: 'Videokonferenz-Datenschutzinformation',
+    condition: (answers, level) => {
+      const video = answers.get('org_has_video_conferencing')
+      if (video === 'yes') return 'recommended'
+      if (level >= 'L3') return 'recommended'
+      return 'optional'
+    },
+  },
+
+  // ── Security Policies (nur ab L3/L4) ───────────────────────────────────
+  {
+    templateType: 'information_security_policy',
+    label: 'Informationssicherheitsrichtlinie',
+    condition: (_answers, level) => {
+      if (level >= 'L3') return 'required'
+      if (level === 'L2') return 'recommended'
+      return null
+    },
+  },
+  {
+    templateType: 'password_policy',
+    label: 'Passwortrichtlinie',
+    condition: (_answers, level) => level >= 'L2' ? 'recommended' : 'optional',
+  },
+  {
+    templateType: 'encryption_policy',
+    label: 'Verschluesselungsrichtlinie',
+    condition: (_answers, level) => level >= 'L3' ? 'recommended' : 'optional',
+  },
+  {
+    templateType: 'access_control_policy',
+    label: 'Zugriffskontrollrichtlinie',
+    condition: (_answers, level) => level >= 'L3' ? 'recommended' : 'optional',
+  },
+
+  // ── Security Concepts (nur ab L3) ──────────────────────────────────────
+  {
+    templateType: 'it_security_concept',
+    label: 'IT-Sicherheitskonzept',
+    condition: (_answers, level) => level >= 'L3' ? 'required' : 'optional',
+  },
+  {
+    templateType: 'backup_recovery_concept',
+    label: 'Backup-Recovery-Konzept',
+    condition: (_answers, level) => level >= 'L3' ? 'recommended' : 'optional',
+  },
+  {
+    templateType: 'logging_concept',
+    label: 'Logging-Konzept',
+    condition: (_answers, level) => level >= 'L3' ? 'recommended' : 'optional',
+  },
+  {
+    templateType: 'access_control_concept',
+    label: 'Zugriffskonzept',
+    condition: (_answers, level) => level >= 'L3' ? 'recommended' : 'optional',
+  },
+
+  // ── Plattform/UGC ──────────────────────────────────────────────────────
+  {
+    templateType: 'community_guidelines',
+    label: 'Gemeinschaftsrichtlinien',
+    condition: (answers) => {
+      const model = answers.get('org_business_model')
+      const ugc = answers.get('prod_ugc_platform')
+      if (ugc === 'yes' || model === 'platform' || model === 'marketplace' || model === 'social') return 'required'
+      return null
+    },
+  },
+  {
+    templateType: 'terms_of_use',
+    label: 'Nutzungsbedingungen',
+    condition: (answers) => {
+      const model = answers.get('org_business_model')
+      const ugc = answers.get('prod_ugc_platform')
+      if (ugc === 'yes' || model === 'platform' || model === 'marketplace' || model === 'social' || model === 'saas') return 'required'
+      return null
+    },
+  },
+  {
+    templateType: 'media_content_policy',
+    label: 'Medien- und Inhalte-Richtlinie',
+    condition: (answers) => {
+      const model = answers.get('org_business_model')
+      if (model === 'platform' || model === 'media') return 'recommended'
+      return null
+    },
+  },
+
+  // ── E-Commerce ─────────────────────────────────────────────────────────
+  {
+    templateType: 'widerruf',
+    label: 'Widerrufsbelehrung',
+    condition: (answers) => {
+      const shop = answers.get('prod_webshop')
+      if (shop && shop !== 'no') return 'required'
+      return null
+    },
+  },
+  {
+    templateType: 'consent_texts',
+    label: 'Einwilligungstexte (Double-Opt-In)',
+    condition: (answers) => {
+      const consent = answers.get('prod_consent_management')
+      if (consent && consent !== 'no') return 'recommended'
+      return 'optional'
+    },
+  },
+
+  // ── Impressum + Cookie ─────────────────────────────────────────────────
+  {
+    templateType: 'impressum',
+    label: 'Impressum',
+    condition: () => 'required', // Immer Pflicht
+  },
+  {
+    templateType: 'cookie_policy',
+    label: 'Cookie-Richtlinie',
+    condition: () => 'required', // Immer Pflicht bei Websites
+  },
+
+  // ── Drittlandtransfer (SCC + TIA) ───────────────────────────────────────
+  // SCC+TIA nur erforderlich wenn Drittlandtransfer OHNE Angemessenheitsbeschluss/DPF
+  {
+    templateType: 'transfer_impact_assessment',
+    label: 'Transfer Impact Assessment (TIA)',
+    condition: (answers) => {
+      const thirdCountry = answers.get('tech_third_country')
+      if (!thirdCountry || thirdCountry === 'no') return null
+      // Wenn nur DPF-zertifizierte US-Anbieter: empfohlen statt pflicht
+      if (thirdCountry === 'us_dpf_only') return 'optional'
+      // Wenn nur Laender mit Angemessenheitsbeschluss: nicht noetig
+      if (thirdCountry === 'adequate_only') return null
+      return 'required'
+    },
+  },
+  {
+    templateType: 'scc_companion',
+    label: 'Standardvertragsklauseln (SCC) — Anhaenge',
+    condition: (answers) => {
+      const thirdCountry = answers.get('tech_third_country')
+      if (!thirdCountry || thirdCountry === 'no') return null
+      if (thirdCountry === 'us_dpf_only') return 'optional'
+      if (thirdCountry === 'adequate_only') return null
+      return 'required'
+    },
+  },
+
+  // ── ISMS (nur bei Zertifizierungsziel) ─────────────────────────────────
+  {
+    templateType: 'isms_manual',
+    label: 'ISMS-Handbuch',
+    condition: (answers) => {
+      const cert = answers.get('org_cert_target')
+      if (cert === 'iso27001' || cert === 'iso27701' || cert === 'tisax') return 'required'
+      return null
+    },
+  },
+
+  // ── Vendor/BCM (nur ab L4 oder bei Vendor-Management) ─────────────────
+  {
+    templateType: 'vendor_risk_management_policy',
+    label: 'Vendor-Risikomanagement',
+    condition: (answers, level) => {
+      const vendor = answers.get('comp_vendor_management')
+      if (vendor && vendor !== 'no') return 'recommended'
+      if (level === 'L4') return 'required'
+      return null
+    },
+  },
+  {
+    templateType: 'business_continuity_policy',
+    label: 'Business-Continuity-Richtlinie',
+    condition: (_answers, level) => level === 'L4' ? 'required' : 'optional',
+  },
+]
+
+// ============================================================================
+// Public API
+// ============================================================================
+
+export interface TemplateRecommendation {
+  templateType: string
+  label: string
+  requirement: 'required' | 'recommended' | 'optional'
+}
+
+/**
+ * Evaluates all template rules against the user's scope answers and profile.
+ * Returns a prioritized list of template recommendations.
+ */
+export function evaluateTemplateRecommendations(
+  scopeAnswers: ScopeProfilingAnswer[],
+  level: ComplianceDepthLevel,
+  profile: Record<string, unknown> = {},
+): TemplateRecommendation[] {
+  const answerMap = new Map<string, string>()
+  for (const a of scopeAnswers) {
+    answerMap.set(a.questionId, String(a.value))
+  }
+
+  const results: TemplateRecommendation[] = []
+
+  for (const rule of TEMPLATE_RULES) {
+    const requirement = rule.condition(answerMap, level, profile)
+    if (requirement) {
+      results.push({
+        templateType: rule.templateType,
+        label: rule.label,
+        requirement,
+      })
+    }
+  }
+
+  // Sort: required first, then recommended, then optional
+  const order = { required: 0, recommended: 1, optional: 2 }
+  results.sort((a, b) => order[a.requirement] - order[b.requirement])
+
+  return results
+}
diff --git a/admin-compliance/app/sdk/dsfa/_components/GeneratorWizard.tsx b/admin-compliance/app/sdk/dsfa/_components/GeneratorWizard.tsx
index 1132340..42be543 100644
--- a/admin-compliance/app/sdk/dsfa/_components/GeneratorWizard.tsx
+++ b/admin-compliance/app/sdk/dsfa/_components/GeneratorWizard.tsx
@@ -2,16 +2,38 @@
 
 import React, { useState } from 'react'
 import type { DSFA } from './DSFACard'
+import type { DSFAPrefillResult } from '@/lib/sdk/dsfa/prefill-from-scope'
 
-export function GeneratorWizard({ onClose, onSubmit }: { onClose: () => void; onSubmit: (data: Partial<DSFA>) => Promise<void> }) {
+interface GeneratorWizardProps {
+  onClose: () => void
+  onSubmit: (data: Partial<DSFA>) => Promise<void>
+  prefill?: DSFAPrefillResult | null
+}
+
+export function GeneratorWizard({ onClose, onSubmit, prefill }: GeneratorWizardProps) {
   const [step, setStep] = useState(1)
   const [saving, setSaving] = useState(false)
-  const [title, setTitle] = useState('')
-  const [description, setDescription] = useState('')
-  const [processingActivity, setProcessingActivity] = useState('')
-  const [selectedCategories, setSelectedCategories] = useState<string[]>([])
-  const [riskLevel, setRiskLevel] = useState<'low' | 'medium' | 'high' | 'critical'>('low')
-  const [selectedMeasures, setSelectedMeasures] = useState<string[]>([])
+  const [title, setTitle] = useState(prefill?.title || '')
+  const [description, setDescription] = useState(prefill?.description || '')
+  const [processingActivity, setProcessingActivity] = useState(prefill?.processingActivity || '')
+  const [selectedCategories, setSelectedCategories] = useState<string[]>(prefill?.dataCategories || [])
+  const riskMap2: Record<string, 'low' | 'medium' | 'high' | 'critical'> = { niedrig: 'low', mittel: 'medium', hoch: 'high', kritisch: 'critical' }
+  const [riskLevel, setRiskLevel] = useState<'low' | 'medium' | 'high' | 'critical'>(riskMap2[prefill?.riskLevel || ''] || 'low')
+  const [residualRisk, setResidualRisk] = useState<'low' | 'medium' | 'high' | 'critical'>('low')
+  const [selectedMeasures, setSelectedMeasures] = useState<string[]>(prefill?.measures || [])
+  const [linkedVvtId, setLinkedVvtId] = useState('')
+  const [vvtActivities, setVvtActivities] = useState<Array<{ id: string; name: string }>>([])
+
+  // Load VVT activities for linking
+  React.useEffect(() => {
+    fetch('/api/sdk/v1/compliance/vvt')
+      .then(r => r.ok ? r.json() : [])
+      .then(data => {
+        const items = Array.isArray(data) ? data : data.activities || []
+        setVvtActivities(items.map((a: any) => ({ id: a.id, name: a.name || a.processing_name || a.title || 'Unbenannt' })))
+      })
+      .catch(() => {})
+  }, [])
 
   const riskMap: Record<string, 'low' | 'medium' | 'high' | 'critical'> = {
     Niedrig: 'low', Mittel: 'medium', Hoch: 'high', Kritisch: 'critical',
@@ -28,7 +50,12 @@ export function GeneratorWizard({ onClose, onSubmit }: { onClose: () => void; on
         riskLevel,
         measures: selectedMeasures,
         status: 'draft',
-      })
+        ...(prefill?.federalState ? { federal_state: prefill.federalState } : {}),
+        ...(prefill?.involvesAi ? { involves_ai: true } : {}),
+        ...(prefill?.legalBasis ? { legal_basis: prefill.legalBasis } : {}),
+        ...(linkedVvtId ? { linked_vvt_id: linkedVvtId } : {}),
+        ...(residualRisk !== 'low' ? { residual_risk_level: residualRisk } : {}),
+      } as Partial<DSFA>)
       onClose()
     } finally {
       setSaving(false)
@@ -48,7 +75,7 @@ export function GeneratorWizard({ onClose, onSubmit }: { onClose: () => void; on
 
       {/* Progress Steps */}
       <div className="flex items-center gap-2 mb-6">
-        {[1, 2, 3, 4].map(s => (
+        {[1, 2, 3, 4, 5].map(s => (
           <React.Fragment key={s}>
             <div className={`w-8 h-8 rounded-full flex items-center justify-center text-sm font-medium ${
               s < step ? 'bg-green-500 text-white' :
@@ -60,7 +87,7 @@ export function GeneratorWizard({ onClose, onSubmit }: { onClose: () => void; on
                 </svg>
               ) : s}
             </div>
-            {s < 4 && <div className={`flex-1 h-1 ${s < step ? 'bg-green-500' : 'bg-gray-200'}`} />}
+            {s < 5 && <div className={`flex-1 h-1 ${s < step ? 'bg-green-500' : 'bg-gray-200'}`} />}
           </React.Fragment>
         ))}
       </div>
@@ -89,6 +116,20 @@ export function GeneratorWizard({ onClose, onSubmit }: { onClose: () => void; on
                 className="w-full px-4 py-2 border border-gray-300 rounded-lg focus:ring-2 focus:ring-purple-500"
               />
             </div>
+            {vvtActivities.length > 0 && (
+              <div>
+                <label className="block text-sm font-medium text-gray-700 mb-1">Verknuepfte VVT-Aktivitaet (Art. 30)</label>
+                <select value={linkedVvtId} onChange={e => {
+                  setLinkedVvtId(e.target.value)
+                  const selected = vvtActivities.find(a => a.id === e.target.value)
+                  if (selected && !processingActivity) setProcessingActivity(selected.name)
+                }} className="w-full px-4 py-2 border border-gray-300 rounded-lg focus:ring-2 focus:ring-purple-500 bg-white">
+                  <option value="">— Keine Verknuepfung —</option>
+                  {vvtActivities.map(a => <option key={a.id} value={a.id}>{a.name}</option>)}
+                </select>
+                <p className="text-xs text-gray-400 mt-1">Ordnen Sie diese DSFA einer VVT-Verarbeitungstaetigkeit zu.</p>
+              </div>
+            )}
             <div>
               <label className="block text-sm font-medium text-gray-700 mb-1">Verarbeitungstaetigkeit</label>
               <input
@@ -167,6 +208,43 @@ export function GeneratorWizard({ onClose, onSubmit }: { onClose: () => void; on
             </div>
           </div>
         )}
+
+        {step === 5 && (
+          <div className="space-y-4">
+            <label className="block text-sm font-medium text-gray-700 mb-2">Restrisiko nach Massnahmen</label>
+            <p className="text-xs text-gray-500 mb-3">
+              Bewerten Sie das verbleibende Risiko NACH Umsetzung der Schutzmassnahmen.
+              Bei hohem Restrisiko → Art. 36 Vorabkonsultation der Aufsichtsbehoerde.
+            </p>
+            <div className="grid grid-cols-2 gap-2">
+              {[
+                { value: 'low' as const, label: 'Niedrig', desc: 'Risiko ausreichend gemindert', color: 'border-green-300 bg-green-50' },
+                { value: 'medium' as const, label: 'Mittel', desc: 'Akzeptables Restrisiko', color: 'border-yellow-300 bg-yellow-50' },
+                { value: 'high' as const, label: 'Hoch', desc: 'Art. 36 Konsultation pruefen', color: 'border-orange-300 bg-orange-50' },
+                { value: 'critical' as const, label: 'Kritisch', desc: 'Art. 36 Konsultation PFLICHT', color: 'border-red-300 bg-red-50' },
+              ].map(r => (
+                <label key={r.value} className={`flex items-start gap-2 p-3 border-2 rounded-lg cursor-pointer ${
+                  residualRisk === r.value ? r.color : 'border-gray-200 hover:border-gray-300'
+                }`}>
+                  <input type="radio" name="residualRisk" value={r.value} checked={residualRisk === r.value}
+                    onChange={() => setResidualRisk(r.value)} className="mt-0.5" />
+                  <div>
+                    <span className="text-sm font-medium">{r.label}</span>
+                    <p className="text-xs text-gray-500">{r.desc}</p>
+                  </div>
+                </label>
+              ))}
+            </div>
+            {(residualRisk === 'high' || residualRisk === 'critical') && (
+              <div className="bg-red-50 border border-red-200 rounded-lg p-3">
+                <p className="text-sm text-red-700 font-medium">Vorabkonsultation erforderlich (Art. 36 DSGVO)</p>
+                <p className="text-xs text-red-600 mt-1">
+                  Bei hohem Restrisiko muss die Aufsichtsbehoerde VOR Beginn der Verarbeitung konsultiert werden.
+                </p>
+              </div>
+            )}
+          </div>
+        )}
       </div>
 
       {/* Navigation */}
@@ -179,11 +257,11 @@ export function GeneratorWizard({ onClose, onSubmit }: { onClose: () => void; on
           {step === 1 ? 'Abbrechen' : 'Zurueck'}
         </button>
         <button
-          onClick={() => step < 4 ? setStep(step + 1) : handleSubmit()}
+          onClick={() => step < 5 ? setStep(step + 1) : handleSubmit()}
           disabled={saving || (step === 1 && !title.trim())}
           className="px-6 py-2 bg-purple-600 text-white rounded-lg hover:bg-purple-700 transition-colors disabled:opacity-50"
         >
-          {step === 4 ? (saving ? 'Wird erstellt...' : 'DSFA erstellen') : 'Weiter'}
+          {step === 5 ? (saving ? 'Wird erstellt...' : 'DSFA erstellen') : 'Weiter'}
         </button>
       </div>
     </div>
diff --git a/admin-compliance/app/sdk/dsfa/page.tsx b/admin-compliance/app/sdk/dsfa/page.tsx
index 4b991b3..79209f1 100644
--- a/admin-compliance/app/sdk/dsfa/page.tsx
+++ b/admin-compliance/app/sdk/dsfa/page.tsx
@@ -1,12 +1,13 @@
 'use client'
 
-import { useState, useCallback, useEffect } from 'react'
+import { useState, useCallback, useEffect, useMemo } from 'react'
 import { useRouter } from 'next/navigation'
 import { useSDK } from '@/lib/sdk'
 import { StepHeader, STEP_EXPLANATIONS } from '@/components/sdk/StepHeader'
 import { DocumentUploadSection, type UploadedDocument } from '@/components/sdk'
 import { DSFACard, type DSFA } from './_components/DSFACard'
 import { GeneratorWizard } from './_components/GeneratorWizard'
+import { prefillDSFAFromScope, isDSFARequired } from '@/lib/sdk/dsfa/prefill-from-scope'
 
 export default function DSFAPage() {
   const router = useRouter()
@@ -17,6 +18,17 @@ export default function DSFAPage() {
   const [showGenerator, setShowGenerator] = useState(false)
   const [filter, setFilter] = useState<string>('all')
 
+  // Pre-fill from Company Profile + Scope answers
+  const scopeAnswers = state.complianceScope?.answers || []
+  const prefill = useMemo(
+    () => prefillDSFAFromScope(state.companyProfile || null, scopeAnswers),
+    [state.companyProfile, scopeAnswers]
+  )
+  const dsfaCheck = useMemo(
+    () => isDSFARequired(scopeAnswers, state.companyProfile?.headquartersState),
+    [scopeAnswers, state.companyProfile?.headquartersState]
+  )
+
   const loadDSFAs = useCallback(async () => {
     setIsLoading(true)
     setError(null)
@@ -120,10 +132,42 @@ export default function DSFAPage() {
         )}
       </StepHeader>
 
+      {/* DSFA Requirement Check */}
+      {dsfaCheck.required && dsfas.length === 0 && (
+        <div className="bg-red-50 border border-red-200 rounded-xl p-5">
+          <h3 className="font-semibold text-red-800">DSFA erforderlich (Art. 35 DSGVO)</h3>
+          <p className="text-sm text-red-700 mt-1">Basierend auf Ihrem Scope-Profiling wurde festgestellt:</p>
+          <ul className="mt-2 space-y-1">
+            {dsfaCheck.triggers.map(t => (
+              <li key={t} className="text-sm text-red-600 flex items-center gap-2">
+                <span className="w-1.5 h-1.5 bg-red-500 rounded-full flex-shrink-0" />
+                {t}
+              </li>
+            ))}
+          </ul>
+          {dsfaCheck.blacklistMatches.length > 0 && (
+            <div className="mt-3 pt-3 border-t border-red-200">
+              <p className="text-xs font-medium text-red-800 mb-1">
+                Blacklist {dsfaCheck.authority || 'Aufsichtsbehoerde'} (Art. 35 Abs. 4):
+              </p>
+              <ul className="space-y-1">
+                {dsfaCheck.blacklistMatches.map(m => (
+                  <li key={m} className="text-xs text-red-600 flex items-center gap-2">
+                    <span className="w-1 h-1 bg-red-400 rounded-full flex-shrink-0" />
+                    {m}
+                  </li>
+                ))}
+              </ul>
+            </div>
+          )}
+        </div>
+      )}
+
       {showGenerator && (
         <GeneratorWizard
           onClose={() => setShowGenerator(false)}
           onSubmit={handleCreateDSFA}
+          prefill={prefill}
         />
       )}
 
diff --git a/admin-compliance/app/sdk/dsr/[requestId]/_components/ActionButtons.tsx b/admin-compliance/app/sdk/dsr/[requestId]/_components/ActionButtons.tsx
index 9521b37..a79632f 100644
--- a/admin-compliance/app/sdk/dsr/[requestId]/_components/ActionButtons.tsx
+++ b/admin-compliance/app/sdk/dsr/[requestId]/_components/ActionButtons.tsx
@@ -9,7 +9,8 @@ export function ActionButtons({
   onExtendDeadline,
   onComplete,
   onReject,
-  onAssign
+  onAssign,
+  onRejectArt11,
 }: {
   request: DSRRequest
   onVerifyIdentity: () => void
@@ -17,15 +18,31 @@ export function ActionButtons({
   onComplete: () => void
   onReject: () => void
   onAssign: () => void
+  onRejectArt11?: () => void
 }) {
   const isTerminal = request.status === 'completed' || request.status === 'rejected' || request.status === 'cancelled'
 
   if (isTerminal) {
     return (
       <div className="space-y-2">
-        <button className="w-full px-4 py-2 text-gray-600 bg-gray-100 hover:bg-gray-200 rounded-lg transition-colors text-sm">
+        <button
+          onClick={() => window.open(`/api/sdk/v1/dsr/${request.id}/export-user-data?format=pdf`, '_blank')}
+          className="w-full px-4 py-2 text-gray-600 bg-gray-100 hover:bg-gray-200 rounded-lg transition-colors text-sm"
+        >
           PDF exportieren
         </button>
+        <button
+          onClick={() => window.open(`/api/sdk/v1/dsr/${request.id}/export-user-data?format=json`, '_blank')}
+          className="w-full px-4 py-2 text-purple-600 bg-purple-50 hover:bg-purple-100 rounded-lg transition-colors text-sm"
+        >
+          JSON exportieren (Art. 20)
+        </button>
+        <button
+          onClick={() => window.open(`/api/sdk/v1/dsr/${request.id}/export-user-data?format=csv`, '_blank')}
+          className="w-full px-4 py-2 text-blue-600 bg-blue-50 hover:bg-blue-100 rounded-lg transition-colors text-sm"
+        >
+          CSV exportieren
+        </button>
       </div>
     )
   }
@@ -33,12 +50,23 @@ export function ActionButtons({
   return (
     <div className="space-y-2">
       {!request.identityVerification.verified && (
-        <button
-          onClick={onVerifyIdentity}
-          className="w-full px-4 py-2 bg-yellow-500 text-white hover:bg-yellow-600 rounded-lg transition-colors text-sm font-medium"
-        >
-          Identitaet verifizieren
-        </button>
+        <>
+          <button
+            onClick={onVerifyIdentity}
+            className="w-full px-4 py-2 bg-yellow-500 text-white hover:bg-yellow-600 rounded-lg transition-colors text-sm font-medium"
+          >
+            Identitaet verifizieren
+          </button>
+          {onRejectArt11 && (
+            <button
+              onClick={onRejectArt11}
+              className="w-full px-4 py-2 text-gray-600 bg-gray-50 hover:bg-gray-100 border border-gray-200 rounded-lg transition-colors text-sm"
+              title="Person kann anhand der gespeicherten Daten nicht identifiziert werden (Art. 11 DSGVO)"
+            >
+              Nicht identifizierbar (Art. 11)
+            </button>
+          )}
+        </>
       )}
 
       <button
diff --git a/admin-compliance/app/sdk/isms/_components/AssetsTab.tsx b/admin-compliance/app/sdk/isms/_components/AssetsTab.tsx
new file mode 100644
index 0000000..556655a
--- /dev/null
+++ b/admin-compliance/app/sdk/isms/_components/AssetsTab.tsx
@@ -0,0 +1,315 @@
+'use client'
+
+import React, { useState, useMemo, useCallback } from 'react'
+import {
+  type InformationAsset,
+  type AssetCategory,
+  type AssetClassification,
+  type ProtectionLevel,
+  ASSET_CATEGORY_LABELS,
+  CLASSIFICATION_LABELS,
+  PROTECTION_LABELS,
+} from '../_types'
+
+// ============================================================================
+// Local storage key (persisted in SDK state via JSONB)
+// ============================================================================
+
+const STORAGE_KEY = 'isms_assets'
+
+function loadAssets(): InformationAsset[] {
+  try {
+    const raw = localStorage.getItem(STORAGE_KEY)
+    return raw ? JSON.parse(raw) : []
+  } catch { return [] }
+}
+
+function saveAssets(assets: InformationAsset[]) {
+  localStorage.setItem(STORAGE_KEY, JSON.stringify(assets))
+}
+
+// ============================================================================
+// Protection level colors
+// ============================================================================
+
+const protectionColors: Record<ProtectionLevel, string> = {
+  normal: 'bg-green-100 text-green-800',
+  high: 'bg-amber-100 text-amber-800',
+  very_high: 'bg-red-100 text-red-800',
+}
+
+const classificationColors: Record<AssetClassification, string> = {
+  PUBLIC: 'bg-gray-100 text-gray-600',
+  INTERNAL: 'bg-blue-100 text-blue-700',
+  CONFIDENTIAL: 'bg-amber-100 text-amber-800',
+  STRICTLY_CONFIDENTIAL: 'bg-red-100 text-red-800',
+}
+
+// ============================================================================
+// Component
+// ============================================================================
+
+export function AssetsTab() {
+  const [assets, setAssets] = useState<InformationAsset[]>(() => loadAssets())
+  const [showForm, setShowForm] = useState(false)
+  const [filterCategory, setFilterCategory] = useState<AssetCategory | 'ALL'>('ALL')
+  const [editingId, setEditingId] = useState<string | null>(null)
+
+  // Form state
+  const [form, setForm] = useState<Partial<InformationAsset>>({
+    category: 'SOFTWARE',
+    classification: 'INTERNAL',
+    protectionNeed: { confidentiality: 'normal', integrity: 'normal', availability: 'normal' },
+  })
+
+  const filtered = useMemo(() => {
+    if (filterCategory === 'ALL') return assets
+    return assets.filter((a) => a.category === filterCategory)
+  }, [assets, filterCategory])
+
+  const stats = useMemo(() => ({
+    total: assets.length,
+    byCategory: Object.entries(ASSET_CATEGORY_LABELS).map(([cat, label]) => ({
+      category: cat,
+      label,
+      count: assets.filter((a) => a.category === cat).length,
+    })),
+    highProtection: assets.filter(
+      (a) =>
+        a.protectionNeed.confidentiality === 'very_high' ||
+        a.protectionNeed.integrity === 'very_high' ||
+        a.protectionNeed.availability === 'very_high'
+    ).length,
+  }), [assets])
+
+  const handleSave = useCallback(() => {
+    if (!form.name || !form.category || !form.owner) return
+
+    const now = new Date().toISOString()
+    const asset: InformationAsset = {
+      id: editingId || `asset_${Date.now()}`,
+      name: form.name || '',
+      category: form.category as AssetCategory,
+      description: form.description || '',
+      owner: form.owner || '',
+      location: form.location || '',
+      classification: form.classification as AssetClassification || 'INTERNAL',
+      protectionNeed: form.protectionNeed || { confidentiality: 'normal', integrity: 'normal', availability: 'normal' },
+      vendor: form.vendor,
+      notes: form.notes,
+      createdAt: editingId ? (assets.find((a) => a.id === editingId)?.createdAt || now) : now,
+      updatedAt: now,
+    }
+
+    const updated = editingId
+      ? assets.map((a) => (a.id === editingId ? asset : a))
+      : [...assets, asset]
+
+    setAssets(updated)
+    saveAssets(updated)
+    setShowForm(false)
+    setEditingId(null)
+    setForm({
+      category: 'SOFTWARE',
+      classification: 'INTERNAL',
+      protectionNeed: { confidentiality: 'normal', integrity: 'normal', availability: 'normal' },
+    })
+  }, [form, editingId, assets])
+
+  const handleDelete = useCallback((id: string) => {
+    const updated = assets.filter((a) => a.id !== id)
+    setAssets(updated)
+    saveAssets(updated)
+  }, [assets])
+
+  const handleEdit = useCallback((asset: InformationAsset) => {
+    setForm(asset)
+    setEditingId(asset.id)
+    setShowForm(true)
+  }, [])
+
+  const handleExport = useCallback(() => {
+    const csv = [
+      ['Name', 'Kategorie', 'Eigentuemer', 'Standort', 'Klassifizierung', 'C', 'I', 'A', 'Beschreibung'].join(';'),
+      ...assets.map((a) =>
+        [a.name, ASSET_CATEGORY_LABELS[a.category], a.owner, a.location,
+         CLASSIFICATION_LABELS[a.classification],
+         PROTECTION_LABELS[a.protectionNeed.confidentiality],
+         PROTECTION_LABELS[a.protectionNeed.integrity],
+         PROTECTION_LABELS[a.protectionNeed.availability],
+         a.description].join(';')
+      ),
+    ].join('\n')
+    const blob = new Blob([csv], { type: 'text/csv;charset=utf-8;' })
+    const url = URL.createObjectURL(blob)
+    const a = document.createElement('a')
+    a.href = url
+    a.download = `asset-register-${new Date().toISOString().slice(0, 10)}.csv`
+    a.click()
+    URL.revokeObjectURL(url)
+  }, [assets])
+
+  return (
+    <div className="space-y-6">
+      {/* Stats */}
+      <div className="grid grid-cols-2 sm:grid-cols-4 gap-4">
+        <div className="bg-white rounded-xl border border-gray-200 p-4">
+          <div className="text-xs text-gray-500 uppercase">Gesamt</div>
+          <div className="text-2xl font-bold text-gray-900 mt-1">{stats.total}</div>
+        </div>
+        {stats.byCategory.filter((s) => s.count > 0).slice(0, 2).map((s) => (
+          <div key={s.category} className="bg-white rounded-xl border border-gray-200 p-4">
+            <div className="text-xs text-gray-500 uppercase">{s.label}</div>
+            <div className="text-2xl font-bold text-gray-900 mt-1">{s.count}</div>
+          </div>
+        ))}
+        <div className="bg-white rounded-xl border border-red-200 p-4">
+          <div className="text-xs text-red-600 uppercase">Sehr hoher Schutzbedarf</div>
+          <div className="text-2xl font-bold text-red-700 mt-1">{stats.highProtection}</div>
+        </div>
+      </div>
+
+      {/* Actions */}
+      <div className="flex items-center justify-between">
+        <div className="flex gap-2">
+          {(['ALL', ...Object.keys(ASSET_CATEGORY_LABELS)] as const).map((cat) => (
+            <button
+              key={cat}
+              onClick={() => setFilterCategory(cat as AssetCategory | 'ALL')}
+              className={`px-3 py-1.5 rounded-lg text-sm font-medium transition-colors ${
+                filterCategory === cat ? 'bg-purple-600 text-white' : 'bg-gray-100 text-gray-600 hover:bg-gray-200'
+              }`}
+            >
+              {cat === 'ALL' ? 'Alle' : ASSET_CATEGORY_LABELS[cat as AssetCategory]}
+            </button>
+          ))}
+        </div>
+        <div className="flex gap-2">
+          <button onClick={handleExport} className="px-3 py-1.5 rounded-lg text-sm font-medium bg-gray-100 text-gray-600 hover:bg-gray-200">
+            CSV Export
+          </button>
+          <button onClick={() => { setShowForm(true); setEditingId(null) }} className="px-4 py-1.5 rounded-lg text-sm font-medium bg-purple-600 text-white hover:bg-purple-700">
+            + Asset hinzufuegen
+          </button>
+        </div>
+      </div>
+
+      {/* Form */}
+      {showForm && (
+        <div className="bg-white rounded-xl border border-purple-200 p-6 space-y-4">
+          <h3 className="font-semibold text-gray-900">{editingId ? 'Asset bearbeiten' : 'Neues Asset'}</h3>
+          <div className="grid grid-cols-2 gap-4">
+            <div>
+              <label className="block text-sm font-medium text-gray-700 mb-1">Name *</label>
+              <input value={form.name || ''} onChange={(e) => setForm({ ...form, name: e.target.value })} className="w-full border rounded-lg px-3 py-2 text-sm" placeholder="z.B. PostgreSQL Produktions-DB" />
+            </div>
+            <div>
+              <label className="block text-sm font-medium text-gray-700 mb-1">Kategorie *</label>
+              <select value={form.category || 'SOFTWARE'} onChange={(e) => setForm({ ...form, category: e.target.value as AssetCategory })} className="w-full border rounded-lg px-3 py-2 text-sm">
+                {Object.entries(ASSET_CATEGORY_LABELS).map(([k, v]) => <option key={k} value={k}>{v}</option>)}
+              </select>
+            </div>
+            <div>
+              <label className="block text-sm font-medium text-gray-700 mb-1">Eigentuemer *</label>
+              <input value={form.owner || ''} onChange={(e) => setForm({ ...form, owner: e.target.value })} className="w-full border rounded-lg px-3 py-2 text-sm" placeholder="Person oder Abteilung" />
+            </div>
+            <div>
+              <label className="block text-sm font-medium text-gray-700 mb-1">Standort</label>
+              <input value={form.location || ''} onChange={(e) => setForm({ ...form, location: e.target.value })} className="w-full border rounded-lg px-3 py-2 text-sm" placeholder="z.B. Hetzner Cloud EU" />
+            </div>
+            <div>
+              <label className="block text-sm font-medium text-gray-700 mb-1">Klassifizierung</label>
+              <select value={form.classification || 'INTERNAL'} onChange={(e) => setForm({ ...form, classification: e.target.value as AssetClassification })} className="w-full border rounded-lg px-3 py-2 text-sm">
+                {Object.entries(CLASSIFICATION_LABELS).map(([k, v]) => <option key={k} value={k}>{v}</option>)}
+              </select>
+            </div>
+            <div>
+              <label className="block text-sm font-medium text-gray-700 mb-1">Vendor/Anbieter</label>
+              <input value={form.vendor || ''} onChange={(e) => setForm({ ...form, vendor: e.target.value })} className="w-full border rounded-lg px-3 py-2 text-sm" placeholder="Optional" />
+            </div>
+          </div>
+
+          {/* Protection need */}
+          <div>
+            <label className="block text-sm font-medium text-gray-700 mb-2">Schutzbedarf (CIA)</label>
+            <div className="grid grid-cols-3 gap-4">
+              {(['confidentiality', 'integrity', 'availability'] as const).map((dim) => (
+                <div key={dim}>
+                  <label className="block text-xs text-gray-500 mb-1">
+                    {dim === 'confidentiality' ? 'Vertraulichkeit' : dim === 'integrity' ? 'Integritaet' : 'Verfuegbarkeit'}
+                  </label>
+                  <select
+                    value={form.protectionNeed?.[dim] || 'normal'}
+                    onChange={(e) => setForm({ ...form, protectionNeed: { ...form.protectionNeed!, [dim]: e.target.value as ProtectionLevel } })}
+                    className="w-full border rounded-lg px-3 py-2 text-sm"
+                  >
+                    {Object.entries(PROTECTION_LABELS).map(([k, v]) => <option key={k} value={k}>{v}</option>)}
+                  </select>
+                </div>
+              ))}
+            </div>
+          </div>
+
+          <div>
+            <label className="block text-sm font-medium text-gray-700 mb-1">Beschreibung</label>
+            <textarea value={form.description || ''} onChange={(e) => setForm({ ...form, description: e.target.value })} className="w-full border rounded-lg px-3 py-2 text-sm" rows={2} />
+          </div>
+
+          <div className="flex gap-2 justify-end">
+            <button onClick={() => { setShowForm(false); setEditingId(null) }} className="px-4 py-2 text-sm text-gray-600 hover:bg-gray-100 rounded-lg">Abbrechen</button>
+            <button onClick={handleSave} className="px-4 py-2 text-sm bg-purple-600 text-white rounded-lg hover:bg-purple-700">Speichern</button>
+          </div>
+        </div>
+      )}
+
+      {/* Table */}
+      <div className="bg-white rounded-xl border border-gray-200 overflow-hidden">
+        <table className="w-full text-sm">
+          <thead className="bg-gray-50 border-b border-gray-200">
+            <tr>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">Name</th>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">Kategorie</th>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">Eigentuemer</th>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">Klassifizierung</th>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">C</th>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">I</th>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">A</th>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">Aktionen</th>
+            </tr>
+          </thead>
+          <tbody className="divide-y divide-gray-100">
+            {filtered.length === 0 ? (
+              <tr>
+                <td colSpan={8} className="px-4 py-8 text-center text-gray-400">
+                  Keine Assets erfasst. Klicken Sie auf "Asset hinzufuegen".
+                </td>
+              </tr>
+            ) : (
+              filtered.map((a) => (
+                <tr key={a.id} className="hover:bg-gray-50">
+                  <td className="px-4 py-3 font-medium text-gray-900">{a.name}</td>
+                  <td className="px-4 py-3 text-gray-600">{ASSET_CATEGORY_LABELS[a.category]}</td>
+                  <td className="px-4 py-3 text-gray-600">{a.owner}</td>
+                  <td className="px-4 py-3">
+                    <span className={`px-2 py-0.5 rounded-full text-xs font-medium ${classificationColors[a.classification]}`}>
+                      {CLASSIFICATION_LABELS[a.classification]}
+                    </span>
+                  </td>
+                  <td className="px-4 py-3"><span className={`px-2 py-0.5 rounded-full text-xs ${protectionColors[a.protectionNeed.confidentiality]}`}>{PROTECTION_LABELS[a.protectionNeed.confidentiality]}</span></td>
+                  <td className="px-4 py-3"><span className={`px-2 py-0.5 rounded-full text-xs ${protectionColors[a.protectionNeed.integrity]}`}>{PROTECTION_LABELS[a.protectionNeed.integrity]}</span></td>
+                  <td className="px-4 py-3"><span className={`px-2 py-0.5 rounded-full text-xs ${protectionColors[a.protectionNeed.availability]}`}>{PROTECTION_LABELS[a.protectionNeed.availability]}</span></td>
+                  <td className="px-4 py-3">
+                    <div className="flex gap-2">
+                      <button onClick={() => handleEdit(a)} className="text-xs text-blue-600 hover:text-blue-800">Bearbeiten</button>
+                      <button onClick={() => handleDelete(a.id)} className="text-xs text-red-500 hover:text-red-700">Loeschen</button>
+                    </div>
+                  </td>
+                </tr>
+              ))
+            )}
+          </tbody>
+        </table>
+      </div>
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/isms/_types.ts b/admin-compliance/app/sdk/isms/_types.ts
index b656bb1..b9d7f82 100644
--- a/admin-compliance/app/sdk/isms/_types.ts
+++ b/admin-compliance/app/sdk/isms/_types.ts
@@ -211,6 +211,56 @@ export interface PotentialFinding {
   iso_reference: string
 }
 
-export type TabId = 'overview' | 'policies' | 'soa' | 'objectives' | 'audits' | 'reviews'
+export type TabId = 'overview' | 'policies' | 'soa' | 'objectives' | 'audits' | 'reviews' | 'assets'
+
+// =============================================================================
+// ASSET REGISTER (ISO 27001 Annex A.5.9)
+// =============================================================================
+
+export type AssetCategory = 'HARDWARE' | 'SOFTWARE' | 'DATA' | 'SERVICE' | 'PEOPLE' | 'FACILITY'
+export type AssetClassification = 'PUBLIC' | 'INTERNAL' | 'CONFIDENTIAL' | 'STRICTLY_CONFIDENTIAL'
+export type ProtectionLevel = 'normal' | 'high' | 'very_high'
+
+export interface InformationAsset {
+  id: string
+  name: string
+  category: AssetCategory
+  description: string
+  owner: string
+  location: string
+  classification: AssetClassification
+  protectionNeed: {
+    confidentiality: ProtectionLevel
+    integrity: ProtectionLevel
+    availability: ProtectionLevel
+  }
+  vendor?: string
+  relatedProcessingActivities?: string[]
+  notes?: string
+  createdAt: string
+  updatedAt: string
+}
+
+export const ASSET_CATEGORY_LABELS: Record<AssetCategory, string> = {
+  HARDWARE: 'Hardware',
+  SOFTWARE: 'Software',
+  DATA: 'Daten',
+  SERVICE: 'Dienst/Cloud',
+  PEOPLE: 'Personen',
+  FACILITY: 'Standort/Raum',
+}
+
+export const CLASSIFICATION_LABELS: Record<AssetClassification, string> = {
+  PUBLIC: 'Oeffentlich',
+  INTERNAL: 'Intern',
+  CONFIDENTIAL: 'Vertraulich',
+  STRICTLY_CONFIDENTIAL: 'Streng Vertraulich',
+}
+
+export const PROTECTION_LABELS: Record<ProtectionLevel, string> = {
+  normal: 'Normal',
+  high: 'Hoch',
+  very_high: 'Sehr hoch',
+}
 
 export const API = '/api/sdk/v1/isms'
diff --git a/admin-compliance/app/sdk/isms/page.tsx b/admin-compliance/app/sdk/isms/page.tsx
index 79eb7d5..b8f96d5 100644
--- a/admin-compliance/app/sdk/isms/page.tsx
+++ b/admin-compliance/app/sdk/isms/page.tsx
@@ -8,6 +8,7 @@ import { SoATab } from './_components/SoATab'
 import { ObjectivesTab } from './_components/ObjectivesTab'
 import { AuditsTab } from './_components/AuditsTab'
 import { ReviewsTab } from './_components/ReviewsTab'
+import { AssetsTab } from './_components/AssetsTab'
 
 // =============================================================================
 // MAIN PAGE
@@ -20,6 +21,7 @@ const TABS: { id: TabId; label: string }[] = [
   { id: 'objectives', label: 'Ziele' },
   { id: 'audits', label: 'Audits & Findings' },
   { id: 'reviews', label: 'Management Reviews' },
+  { id: 'assets', label: 'Assets' },
 ]
 
 export default function ISMSPage() {
@@ -29,10 +31,13 @@ export default function ISMSPage() {
       <div className="max-w-7xl mx-auto">
         {/* Header */}
         <div className="mb-6">
-          <h1 className="text-2xl font-bold text-gray-900">ISMS — ISO 27001</h1>
+          <h1 className="text-2xl font-bold text-gray-900">ISMS — ISO 27001 Readiness</h1>
           <p className="text-sm text-gray-600 mt-1">
             Informationssicherheits-Managementsystem: Scope, Policies, SoA, Audits, CAPA und Management-Reviews
           </p>
+          <p className="text-xs text-amber-600 mt-2">
+            Hinweis: Basierend auf eigenen Pruefaspekten, kein ISO-Normtext. Ersetzt kein Zertifizierungsaudit.
+          </p>
         </div>
 
         {/* Tabs */}
@@ -59,6 +64,7 @@ export default function ISMSPage() {
         {tab === 'objectives' && <ObjectivesTab />}
         {tab === 'audits' && <AuditsTab />}
         {tab === 'reviews' && <ReviewsTab />}
+        {tab === 'assets' && <AssetsTab />}
       </div>
     </div>
   )
diff --git a/admin-compliance/app/sdk/layout.tsx b/admin-compliance/app/sdk/layout.tsx
index 37a1dfa..c19e3c4 100644
--- a/admin-compliance/app/sdk/layout.tsx
+++ b/admin-compliance/app/sdk/layout.tsx
@@ -208,7 +208,12 @@ function SDKInnerLayout({ children }: { children: React.ReactNode }) {
       {/* Command Bar Modal */}
       {isCommandBarOpen && <CommandBar onClose={() => setCommandBarOpen(false)} />}
 
+<<<<<<< HEAD
       {/* Module-specific FAB navigators are rendered by each module's layout */}
+=======
+      {/* Pipeline Sidebar (FAB on mobile/tablet, fixed on desktop xl+) */}
+      <SDKPipelineSidebar />
+>>>>>>> feat/zeroclaw-compliance-agent
 
       {/* Compliance Advisor Widget — immer sichtbar, auch ohne Projekt */}
       <ComplianceAdvisorWidget currentStep={currentStep} />
diff --git a/admin-compliance/app/sdk/modules/_hooks/useModules.ts b/admin-compliance/app/sdk/modules/_hooks/useModules.ts
index e10ced1..160a855 100644
--- a/admin-compliance/app/sdk/modules/_hooks/useModules.ts
+++ b/admin-compliance/app/sdk/modules/_hooks/useModules.ts
@@ -62,18 +62,7 @@ const fallbackModules: Omit<DisplayModule, 'status' | 'completionPercent'>[] = [
     requirementsCount: 28,
     controlsCount: 18,
   },
-  {
-    id: 'mod-iso27001',
-    name: 'ISO 27001',
-    description: 'Informationssicherheits-Managementsystem nach ISO/IEC 27001',
-    category: 'iso27001',
-    regulations: ['ISO 27001', 'ISO 27002'],
-    criticality: 'MEDIUM',
-    processesPersonalData: false,
-    hasAIComponents: false,
-    requirementsCount: 114,
-    controlsCount: 93,
-  },
+  // ISO 27001 ist kein Gesetz — Readiness-Check im ISMS-Modul (/sdk/isms)
   {
     id: 'mod-nis2',
     name: 'NIS2 Richtlinie',
diff --git a/admin-compliance/app/sdk/modules/page.tsx b/admin-compliance/app/sdk/modules/page.tsx
index aff9c22..b7ebb5d 100644
--- a/admin-compliance/app/sdk/modules/page.tsx
+++ b/admin-compliance/app/sdk/modules/page.tsx
@@ -104,7 +104,6 @@ export default function ModulesPage() {
                 >
                   <option value="gdpr">DSGVO</option>
                   <option value="ai-act">AI Act</option>
-                  <option value="iso27001">ISO 27001</option>
                   <option value="nis2">NIS2</option>
                   <option value="custom">Eigene</option>
                 </select>
@@ -191,7 +190,7 @@ export default function ModulesPage() {
       {/* Filter */}
       <div className="flex items-center gap-2">
         <span className="text-sm text-gray-500">Filter:</span>
-        {['all', 'active', 'inactive', 'gdpr', 'ai-act', 'iso27001', 'nis2'].map(f => (
+        {['all', 'active', 'inactive', 'gdpr', 'ai-act', 'nis2'].map(f => (
           <button
             key={f}
             onClick={() => setFilter(f)}
diff --git a/admin-compliance/app/sdk/page.tsx b/admin-compliance/app/sdk/page.tsx
index f8c1ec4..05e635b 100644
--- a/admin-compliance/app/sdk/page.tsx
+++ b/admin-compliance/app/sdk/page.tsx
@@ -5,24 +5,15 @@ import Link from 'next/link'
 import { useSDK, SDK_PACKAGES, getStepsForPackage } from '@/lib/sdk'
 import { ProjectSelector } from '@/components/sdk/ProjectSelector/ProjectSelector'
 import { RegulatoryNewsFeed } from '@/components/sdk/regulatory-news/RegulatoryNewsFeed'
+import { PresetSection } from './_components/PresetSection'
 import type { SDKPackageId } from '@/lib/sdk/types'
 
 // =============================================================================
 // DASHBOARD CARDS
 // =============================================================================
 
-function StatCard({
-  title,
-  value,
-  subtitle,
-  icon,
-  color,
-}: {
-  title: string
-  value: string | number
-  subtitle: string
-  icon: React.ReactNode
-  color: string
+function StatCard({ title, value, subtitle, icon, color }: {
+  title: string; value: string | number; subtitle: string; icon: React.ReactNode; color: string
 }) {
   return (
     <div className="bg-white rounded-xl border border-gray-200 p-6">
@@ -38,18 +29,8 @@ function StatCard({
   )
 }
 
-function PackageCard({
-  pkg,
-  completion,
-  stepsCount,
-  isLocked,
-  projectId,
-}: {
-  pkg: (typeof SDK_PACKAGES)[number]
-  completion: number
-  stepsCount: number
-  isLocked: boolean
-  projectId?: string
+function PackageCard({ pkg, completion, stepsCount, isLocked, projectId }: {
+  pkg: (typeof SDK_PACKAGES)[number]; completion: number; stepsCount: number; isLocked: boolean; projectId?: string
 }) {
   const steps = getStepsForPackage(pkg.id)
   const firstStep = steps[0]
@@ -57,36 +38,20 @@ function PackageCard({
   const href = projectId ? `${baseHref}?project=${projectId}` : baseHref
 
   const content = (
-    <div
-      className={`block bg-white rounded-xl border-2 p-6 transition-all ${
-        isLocked
-          ? 'border-gray-100 opacity-60 cursor-not-allowed'
-          : completion === 100
-          ? 'border-green-200 hover:border-green-300 hover:shadow-lg'
-          : 'border-gray-200 hover:border-purple-300 hover:shadow-lg'
-      }`}
-    >
+    <div className={`block bg-white rounded-xl border-2 p-6 transition-all ${
+      isLocked ? 'border-gray-100 opacity-60 cursor-not-allowed'
+        : completion === 100 ? 'border-green-200 hover:border-green-300 hover:shadow-lg'
+        : 'border-gray-200 hover:border-purple-300 hover:shadow-lg'
+    }`}>
       <div className="flex items-start gap-4">
-        <div
-          className={`w-14 h-14 rounded-xl flex items-center justify-center text-2xl ${
-            isLocked
-              ? 'bg-gray-100 text-gray-400'
-              : completion === 100
-              ? 'bg-green-100 text-green-600'
-              : 'bg-purple-100 text-purple-600'
-          }`}
-        >
+        <div className={`w-14 h-14 rounded-xl flex items-center justify-center text-2xl ${
+          isLocked ? 'bg-gray-100 text-gray-400' : completion === 100 ? 'bg-green-100 text-green-600' : 'bg-purple-100 text-purple-600'
+        }`}>
           {isLocked ? (
-            <svg className="w-6 h-6" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-              <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M12 15v2m-6 4h12a2 2 0 002-2v-6a2 2 0 00-2-2H6a2 2 0 00-2 2v6a2 2 0 002 2zm10-10V7a4 4 0 00-8 0v4h8z" />
-            </svg>
+            <svg className="w-6 h-6" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M12 15v2m-6 4h12a2 2 0 002-2v-6a2 2 0 00-2-2H6a2 2 0 00-2 2v6a2 2 0 002 2zm10-10V7a4 4 0 00-8 0v4h8z" /></svg>
           ) : completion === 100 ? (
-            <svg className="w-6 h-6" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-              <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M5 13l4 4L19 7" />
-            </svg>
-          ) : (
-            pkg.icon
-          )}
+            <svg className="w-6 h-6" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M5 13l4 4L19 7" /></svg>
+          ) : pkg.icon}
         </div>
         <div className="flex-1">
           <div className="flex items-center gap-2">
@@ -97,61 +62,27 @@ function PackageCard({
           <div className="mt-4">
             <div className="flex items-center justify-between text-sm mb-1">
               <span className="text-gray-500">{stepsCount} Schritte</span>
-              <span className={`font-medium ${completion === 100 ? 'text-green-600' : 'text-purple-600'}`}>
-                {completion}%
-              </span>
+              <span className={`font-medium ${completion === 100 ? 'text-green-600' : 'text-purple-600'}`}>{completion}%</span>
             </div>
             <div className="h-2 bg-gray-100 rounded-full overflow-hidden">
-              <div
-                className={`h-full rounded-full transition-all duration-500 ${
-                  completion === 100 ? 'bg-green-500' : 'bg-purple-600'
-                }`}
-                style={{ width: `${completion}%` }}
-              />
+              <div className={`h-full rounded-full transition-all duration-500 ${completion === 100 ? 'bg-green-500' : 'bg-purple-600'}`} style={{ width: `${completion}%` }} />
             </div>
           </div>
-          {!isLocked && (
-            <p className="mt-3 text-xs text-gray-400">
-              Ergebnis: {pkg.result}
-            </p>
-          )}
+          {!isLocked && <p className="mt-3 text-xs text-gray-400">Ergebnis: {pkg.result}</p>}
         </div>
       </div>
     </div>
   )
 
-  if (isLocked) {
-    return content
-  }
-
-  return (
-    <Link href={href}>
-      {content}
-    </Link>
-  )
+  return isLocked ? content : <Link href={href}>{content}</Link>
 }
 
-function QuickActionCard({
-  title,
-  description,
-  icon,
-  href,
-  color,
-  projectId,
-}: {
-  title: string
-  description: string
-  icon: React.ReactNode
-  href: string
-  color: string
-  projectId?: string
+function QuickActionCard({ title, description, icon, href, color, projectId }: {
+  title: string; description: string; icon: React.ReactNode; href: string; color: string; projectId?: string
 }) {
   const finalHref = projectId ? `${href}?project=${projectId}` : href
   return (
-    <Link
-      href={finalHref}
-      className="flex items-center gap-4 p-4 bg-white rounded-xl border border-gray-200 hover:border-purple-300 hover:shadow-md transition-all"
-    >
+    <Link href={finalHref} className="flex items-center gap-4 p-4 bg-white rounded-xl border border-gray-200 hover:border-purple-300 hover:shadow-md transition-all">
       <div className={`p-3 rounded-lg ${color}`}>{icon}</div>
       <div>
         <h4 className="font-medium text-gray-900">{title}</h4>
@@ -170,23 +101,15 @@ function QuickActionCard({
 
 export default function SDKDashboard() {
   const { state, packageCompletion, completionPercentage, setCustomerType, projectId } = useSDK()
-
-  // customerType is set during project creation — default to 'new' for legacy projects
   const effectiveCustomerType = state.customerType || 'new'
 
-  // No project selected → show project list
-  if (!projectId) {
-    return <ProjectSelector />
-  }
+  if (!projectId) return <ProjectSelector />
 
-  // Calculate total steps
   const totalSteps = SDK_PACKAGES.reduce((sum, pkg) => {
     const steps = getStepsForPackage(pkg.id)
-    // Filter import step for new customers
     return sum + steps.filter(s => !(s.id === 'import' && effectiveCustomerType === 'new')).length
   }, 0)
 
-  // Calculate stats
   const completedCheckpoints = Object.values(state.checkpoints).filter(cp => cp.passed).length
   const totalRisks = state.risks.length
   const criticalRisks = state.risks.filter(r => r.severity === 'CRITICAL' || r.severity === 'HIGH').length
@@ -195,11 +118,8 @@ export default function SDKDashboard() {
     if (state.preferences?.allowParallelWork) return false
     const pkg = SDK_PACKAGES.find(p => p.id === packageId)
     if (!pkg || pkg.order === 1) return false
-
-    // Check if previous package is complete
     const prevPkg = SDK_PACKAGES.find(p => p.order === pkg.order - 1)
     if (!prevPkg) return false
-
     return packageCompletion[prevPkg.id] < 100
   }
 
@@ -210,86 +130,96 @@ export default function SDKDashboard() {
         <div>
           <h1 className="text-2xl font-bold text-gray-900">AI Compliance SDK</h1>
           <p className="mt-1 text-gray-500">
-            {effectiveCustomerType === 'new'
-              ? 'Neukunden-Modus: Erstellen Sie alle Compliance-Dokumente von Grund auf.'
-              : 'Bestandskunden-Modus: Erweitern Sie bestehende Dokumente.'}
+            {effectiveCustomerType === 'new' ? 'Neukunden-Modus: Erstellen Sie alle Compliance-Dokumente von Grund auf.' : 'Bestandskunden-Modus: Erweitern Sie bestehende Dokumente.'}
           </p>
         </div>
-        <button
-          onClick={() => setCustomerType(effectiveCustomerType === 'new' ? 'existing' : 'new')}
-          className="text-sm text-purple-600 hover:text-purple-700 underline"
-        >
+        <button onClick={() => setCustomerType(effectiveCustomerType === 'new' ? 'existing' : 'new')} className="text-sm text-purple-600 hover:text-purple-700 underline">
           {effectiveCustomerType === 'new' ? 'Zu Bestandskunden wechseln' : 'Zu Neukunden wechseln'}
         </button>
       </div>
 
-      {/* Stats Grid */}
-      <div className="grid grid-cols-1 md:grid-cols-2 lg:grid-cols-4 gap-4">
-        <StatCard
-          title="Gesamtfortschritt"
-          value={`${completionPercentage}%`}
-          subtitle={`${state.completedSteps.length} von ${totalSteps} Schritten`}
-          icon={
-            <svg className="w-6 h-6 text-purple-600" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-              <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 19v-6a2 2 0 00-2-2H5a2 2 0 00-2 2v6a2 2 0 002 2h2a2 2 0 002-2zm0 0V9a2 2 0 012-2h2a2 2 0 012 2v10m-6 0a2 2 0 002 2h2a2 2 0 002-2m0 0V5a2 2 0 012-2h2a2 2 0 012 2v14a2 2 0 01-2 2h-2a2 2 0 01-2-2z" />
-            </svg>
-          }
-          color="bg-purple-50"
-        />
-        <StatCard
-          title="Use Cases"
-          value={state.useCases.length}
-          subtitle={state.useCases.length === 0 ? 'Noch keine erstellt' : 'Erfasst'}
-          icon={
-            <svg className="w-6 h-6 text-blue-600" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-              <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 5H7a2 2 0 00-2 2v12a2 2 0 002 2h10a2 2 0 002-2V7a2 2 0 00-2-2h-2M9 5a2 2 0 002 2h2a2 2 0 002-2M9 5a2 2 0 012-2h2a2 2 0 012 2" />
-            </svg>
-          }
-          color="bg-blue-50"
-        />
-        <StatCard
-          title="Checkpoints"
-          value={`${completedCheckpoints}/${totalSteps}`}
-          subtitle="Validiert"
-          icon={
-            <svg className="w-6 h-6 text-green-600" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-              <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 12l2 2 4-4m6 2a9 9 0 11-18 0 9 9 0 0118 0z" />
-            </svg>
-          }
-          color="bg-green-50"
-        />
-        <StatCard
-          title="Risiken"
-          value={totalRisks}
-          subtitle={criticalRisks > 0 ? `${criticalRisks} kritisch` : 'Keine kritischen'}
-          icon={
-            <svg className="w-6 h-6 text-orange-600" fill="none" stroke="currentColor" viewBox="0 0 24 24">
+      {/* Industry Presets with Document Preview */}
+      <PresetSection projectId={projectId} />
+
+      {/* Applicable Regulations Card */}
+      {state.complianceScope?.decision && (
+        <div className="bg-white rounded-xl border border-gray-200 p-6">
+          <div className="flex items-center justify-between mb-3">
+            <div className="flex items-center gap-3">
+              <div className="p-2 bg-green-100 rounded-lg">
+                <svg className="w-5 h-5 text-green-600" fill="none" stroke="currentColor" viewBox="0 0 24 24">
+                  <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 12l2 2 4-4m5.618-4.016A11.955 11.955 0 0112 2.944a11.955 11.955 0 01-8.618 3.04A12.02 12.02 0 003 9c0 5.591 3.824 10.29 9 11.622 5.176-1.332 9-6.03 9-11.622 0-1.042-.133-2.052-.382-3.016z" />
+                </svg>
+              </div>
+              <div>
+                <h3 className="font-semibold text-gray-900">Erkannte Regulierungen</h3>
+                <p className="text-xs text-gray-500">Basierend auf Ihrem Scope-Profiling (Level {state.complianceScope.decision.level})</p>
+              </div>
+            </div>
+            <Link href={projectId ? `/sdk/compliance-scope?project=${projectId}` : '/sdk/compliance-scope'}
+              className="text-xs text-purple-600 hover:underline">
+              Details & Anpassen
+            </Link>
+          </div>
+          <div className="flex flex-wrap gap-2">
+            {(state.complianceScope.decision.requiredDocuments || []).length > 0 ? (
+              ['DSGVO', 'AI Act', 'NIS2', 'HinSchG', 'TTDSG'].filter(reg => {
+                const docs = state.complianceScope?.decision?.requiredDocuments || []
+                const triggers = state.complianceScope?.decision?.hardTriggers || []
+                if (reg === 'DSGVO') return true
+                if (reg === 'AI Act') return triggers.some((t: string) => t.toLowerCase().includes('ai') || t.toLowerCase().includes('ki'))
+                if (reg === 'NIS2') return triggers.some((t: string) => t.toLowerCase().includes('nis') || t.toLowerCase().includes('kritisch'))
+                if (reg === 'HinSchG') return triggers.some((t: string) => t.toLowerCase().includes('whistleblower') || t.toLowerCase().includes('hinweis'))
+                return false
+              }).map(reg => (
+                <span key={reg} className="px-3 py-1.5 bg-green-50 text-green-700 border border-green-200 rounded-lg text-sm font-medium">
+                  {reg}
+                </span>
+              ))
+            ) : (
+              <span className="px-3 py-1.5 bg-green-50 text-green-700 border border-green-200 rounded-lg text-sm font-medium">DSGVO</span>
+            )}
+          </div>
+        </div>
+      )}
+      {!state.complianceScope?.decision && (
+        <div className="bg-amber-50 border border-amber-200 rounded-xl p-5 flex items-center gap-4">
+          <div className="p-2 bg-amber-100 rounded-lg flex-shrink-0">
+            <svg className="w-5 h-5 text-amber-600" fill="none" stroke="currentColor" viewBox="0 0 24 24">
               <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M12 9v2m0 4h.01m-6.938 4h13.856c1.54 0 2.502-1.667 1.732-3L13.732 4c-.77-1.333-2.694-1.333-3.464 0L3.34 16c-.77 1.333.192 3 1.732 3z" />
             </svg>
-          }
-          color="bg-orange-50"
-        />
+          </div>
+          <div>
+            <h3 className="font-semibold text-amber-800">Scope-Profiling noch nicht abgeschlossen</h3>
+            <p className="text-sm text-amber-700">
+              Fuehren Sie das <Link href={projectId ? `/sdk/compliance-scope?project=${projectId}` : '/sdk/compliance-scope'} className="underline font-medium">Scope-Profiling</Link> durch um zu erfahren welche Regulierungen fuer Ihr Unternehmen gelten.
+            </p>
+          </div>
+        </div>
+      )}
+
+      {/* Stats Grid */}
+      <div className="grid grid-cols-1 md:grid-cols-2 lg:grid-cols-4 gap-4">
+        <StatCard title="Gesamtfortschritt" value={`${completionPercentage}%`} subtitle={`${state.completedSteps.length} von ${totalSteps} Schritten`}
+          icon={<svg className="w-6 h-6 text-purple-600" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 19v-6a2 2 0 00-2-2H5a2 2 0 00-2 2v6a2 2 0 002 2h2a2 2 0 002-2zm0 0V9a2 2 0 012-2h2a2 2 0 012 2v10m-6 0a2 2 0 002 2h2a2 2 0 002-2m0 0V5a2 2 0 012-2h2a2 2 0 012 2v14a2 2 0 01-2 2h-2a2 2 0 01-2-2z" /></svg>} color="bg-purple-50" />
+        <StatCard title="Use Cases" value={state.useCases.length} subtitle={state.useCases.length === 0 ? 'Noch keine erstellt' : 'Erfasst'}
+          icon={<svg className="w-6 h-6 text-blue-600" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 5H7a2 2 0 00-2 2v12a2 2 0 002 2h10a2 2 0 002-2V7a2 2 0 00-2-2h-2M9 5a2 2 0 002 2h2a2 2 0 002-2M9 5a2 2 0 012-2h2a2 2 0 012 2" /></svg>} color="bg-blue-50" />
+        <StatCard title="Checkpoints" value={`${completedCheckpoints}/${totalSteps}`} subtitle="Validiert"
+          icon={<svg className="w-6 h-6 text-green-600" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 12l2 2 4-4m6 2a9 9 0 11-18 0 9 9 0 0118 0z" /></svg>} color="bg-green-50" />
+        <StatCard title="Risiken" value={totalRisks} subtitle={criticalRisks > 0 ? `${criticalRisks} kritisch` : 'Keine kritischen'}
+          icon={<svg className="w-6 h-6 text-orange-600" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M12 9v2m0 4h.01m-6.938 4h13.856c1.54 0 2.502-1.667 1.732-3L13.732 4c-.77-1.333-2.694-1.333-3.464 0L3.34 16c-.77 1.333.192 3 1.732 3z" /></svg>} color="bg-orange-50" />
       </div>
 
       {/* Bestandskunden: Gap Analysis Banner */}
       {effectiveCustomerType === 'existing' && state.importedDocuments.length === 0 && (
         <div className="bg-gradient-to-r from-indigo-50 to-purple-50 border border-indigo-200 rounded-xl p-6">
           <div className="flex items-start gap-4">
-            <div className="w-12 h-12 bg-indigo-100 rounded-xl flex items-center justify-center flex-shrink-0">
-              <span className="text-2xl">📄</span>
-            </div>
+            <div className="w-12 h-12 bg-indigo-100 rounded-xl flex items-center justify-center flex-shrink-0"><span className="text-2xl">📄</span></div>
             <div className="flex-1">
               <h3 className="text-lg font-semibold text-gray-900">Bestehende Dokumente importieren</h3>
-              <p className="mt-1 text-gray-600">
-                Laden Sie Ihre vorhandenen Compliance-Dokumente hoch. Unsere KI analysiert sie und zeigt Ihnen, welche Erweiterungen fuer KI-Compliance erforderlich sind.
-              </p>
-              <Link
-                href={projectId ? `/sdk/import?project=${projectId}` : '/sdk/import'}
-                className="inline-flex items-center gap-2 mt-4 px-4 py-2 bg-indigo-600 text-white rounded-lg hover:bg-indigo-700 transition-colors"
-              >
-                <svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-                  <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M4 16v1a3 3 0 003 3h10a3 3 0 003-3v-1m-4-8l-4-4m0 0L8 8m4-4v12" />
-                </svg>
+              <p className="mt-1 text-gray-600">Laden Sie Ihre vorhandenen Compliance-Dokumente hoch. Unsere KI analysiert sie und zeigt Ihnen, welche Erweiterungen erforderlich sind.</p>
+              <Link href={projectId ? `/sdk/import?project=${projectId}` : '/sdk/import'} className="inline-flex items-center gap-2 mt-4 px-4 py-2 bg-indigo-600 text-white rounded-lg hover:bg-indigo-700 transition-colors">
+                <svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M4 16v1a3 3 0 003 3h10a3 3 0 003-3v-1m-4-8l-4-4m0 0L8 8m4-4v12" /></svg>
                 Dokumente hochladen
               </Link>
             </div>
@@ -301,38 +231,21 @@ export default function SDKDashboard() {
       {state.gapAnalysis && (
         <div className="bg-white border border-gray-200 rounded-xl p-6">
           <div className="flex items-center gap-3 mb-4">
-            <div className="w-10 h-10 bg-orange-100 rounded-lg flex items-center justify-center">
-              <span className="text-xl">📊</span>
-            </div>
+            <div className="w-10 h-10 bg-orange-100 rounded-lg flex items-center justify-center"><span className="text-xl">📊</span></div>
             <div>
               <h3 className="font-semibold text-gray-900">Gap-Analyse Ergebnis</h3>
-              <p className="text-sm text-gray-500">
-                {state.gapAnalysis.totalGaps} Luecken gefunden
-              </p>
+              <p className="text-sm text-gray-500">{state.gapAnalysis.totalGaps} Luecken gefunden</p>
             </div>
           </div>
           <div className="grid grid-cols-4 gap-4">
-            <div className="text-center p-3 bg-red-50 rounded-lg">
-              <div className="text-2xl font-bold text-red-600">{state.gapAnalysis.criticalGaps}</div>
-              <div className="text-xs text-red-600">Kritisch</div>
-            </div>
-            <div className="text-center p-3 bg-orange-50 rounded-lg">
-              <div className="text-2xl font-bold text-orange-600">{state.gapAnalysis.highGaps}</div>
-              <div className="text-xs text-orange-600">Hoch</div>
-            </div>
-            <div className="text-center p-3 bg-yellow-50 rounded-lg">
-              <div className="text-2xl font-bold text-yellow-600">{state.gapAnalysis.mediumGaps}</div>
-              <div className="text-xs text-yellow-600">Mittel</div>
-            </div>
-            <div className="text-center p-3 bg-green-50 rounded-lg">
-              <div className="text-2xl font-bold text-green-600">{state.gapAnalysis.lowGaps}</div>
-              <div className="text-xs text-green-600">Niedrig</div>
-            </div>
+            <div className="text-center p-3 bg-red-50 rounded-lg"><div className="text-2xl font-bold text-red-600">{state.gapAnalysis.criticalGaps}</div><div className="text-xs text-red-600">Kritisch</div></div>
+            <div className="text-center p-3 bg-orange-50 rounded-lg"><div className="text-2xl font-bold text-orange-600">{state.gapAnalysis.highGaps}</div><div className="text-xs text-orange-600">Hoch</div></div>
+            <div className="text-center p-3 bg-yellow-50 rounded-lg"><div className="text-2xl font-bold text-yellow-600">{state.gapAnalysis.mediumGaps}</div><div className="text-xs text-yellow-600">Mittel</div></div>
+            <div className="text-center p-3 bg-green-50 rounded-lg"><div className="text-2xl font-bold text-green-600">{state.gapAnalysis.lowGaps}</div><div className="text-xs text-green-600">Niedrig</div></div>
           </div>
         </div>
       )}
 
-      {/* Regulatory News */}
       <RegulatoryNewsFeed businessModel={state.companyProfile?.businessModel as string} />
 
       {/* 5 Packages */}
@@ -342,17 +255,7 @@ export default function SDKDashboard() {
           {SDK_PACKAGES.map(pkg => {
             const steps = getStepsForPackage(pkg.id)
             const visibleSteps = steps.filter(s => !(s.id === 'import' && effectiveCustomerType === 'new'))
-
-            return (
-              <PackageCard
-                key={pkg.id}
-                pkg={pkg}
-                completion={packageCompletion[pkg.id]}
-                stepsCount={visibleSteps.length}
-                isLocked={isPackageLocked(pkg.id)}
-                projectId={projectId}
-              />
-            )
+            return <PackageCard key={pkg.id} pkg={pkg} completion={packageCompletion[pkg.id]} stepsCount={visibleSteps.length} isLocked={isPackageLocked(pkg.id)} projectId={projectId} />
           })}
         </div>
       </div>
@@ -361,57 +264,39 @@ export default function SDKDashboard() {
       <div>
         <h2 className="text-lg font-semibold text-gray-900 mb-4">Schnellaktionen</h2>
         <div className="grid grid-cols-1 md:grid-cols-2 gap-4">
-          <QuickActionCard
-            title="Neuen Use Case erstellen"
-            description="Starten Sie den 5-Schritte-Wizard"
-            icon={
-              <svg className="w-6 h-6 text-purple-600" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-                <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M12 6v6m0 0v6m0-6h6m-6 0H6" />
-              </svg>
-            }
-            href="/sdk/advisory-board"
-            color="bg-purple-50"
-            projectId={projectId}
-          />
-          <QuickActionCard
-            title="Security Screening"
-            description="SBOM generieren und Schwachstellen scannen"
-            icon={
-              <svg className="w-6 h-6 text-red-600" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-                <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 12l2 2 4-4m5.618-4.016A11.955 11.955 0 0112 2.944a11.955 11.955 0 01-8.618 3.04A12.02 12.02 0 003 9c0 5.591 3.824 10.29 9 11.622 5.176-1.332 9-6.03 9-11.622 0-1.042-.133-2.052-.382-3.016z" />
-              </svg>
-            }
-            href="/sdk/screening"
-            color="bg-red-50"
-            projectId={projectId}
-          />
-          <QuickActionCard
-            title="DSFA generieren"
-            description="Datenschutz-Folgenabschaetzung erstellen"
-            icon={
-              <svg className="w-6 h-6 text-blue-600" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-                <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 12h6m-6 4h6m2 5H7a2 2 0 01-2-2V5a2 2 0 012-2h5.586a1 1 0 01.707.293l5.414 5.414a1 1 0 01.293.707V19a2 2 0 01-2 2z" />
-              </svg>
-            }
-            href="/sdk/dsfa"
-            color="bg-blue-50"
-            projectId={projectId}
-          />
-          <QuickActionCard
-            title="Legal RAG"
-            description="Rechtliche Fragen stellen und Antworten erhalten"
-            icon={
-              <svg className="w-6 h-6 text-green-600" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-                <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M8 16l2.879-2.879m0 0a3 3 0 104.243-4.242 3 3 0 00-4.243 4.242zM21 12a9 9 0 11-18 0 9 9 0 0118 0z" />
-              </svg>
-            }
-            href="/sdk/rag"
-            color="bg-green-50"
-            projectId={projectId}
-          />
+          <QuickActionCard title="Neuen Use Case erstellen" description="Starten Sie den 5-Schritte-Wizard"
+            icon={<svg className="w-6 h-6 text-purple-600" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M12 6v6m0 0v6m0-6h6m-6 0H6" /></svg>}
+            href="/sdk/advisory-board" color="bg-purple-50" projectId={projectId} />
+          <QuickActionCard title="Security Screening" description="SBOM generieren und Schwachstellen scannen"
+            icon={<svg className="w-6 h-6 text-red-600" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 12l2 2 4-4m5.618-4.016A11.955 11.955 0 0112 2.944a11.955 11.955 0 01-8.618 3.04A12.02 12.02 0 003 9c0 5.591 3.824 10.29 9 11.622 5.176-1.332 9-6.03 9-11.622 0-1.042-.133-2.052-.382-3.016z" /></svg>}
+            href="/sdk/screening" color="bg-red-50" projectId={projectId} />
+          <QuickActionCard title="DSFA generieren" description="Datenschutz-Folgenabschaetzung erstellen"
+            icon={<svg className="w-6 h-6 text-blue-600" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 12h6m-6 4h6m2 5H7a2 2 0 01-2-2V5a2 2 0 012-2h5.586a1 1 0 01.707.293l5.414 5.414a1 1 0 01.293.707V19a2 2 0 01-2 2z" /></svg>}
+            href="/sdk/dsfa" color="bg-blue-50" projectId={projectId} />
+          <QuickActionCard title="Legal RAG" description="Rechtliche Fragen stellen und Antworten erhalten"
+            icon={<svg className="w-6 h-6 text-green-600" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M8 16l2.879-2.879m0 0a3 3 0 104.243-4.242 3 3 0 00-4.243 4.242zM21 12a9 9 0 11-18 0 9 9 0 0118 0z" /></svg>}
+            href="/sdk/rag" color="bg-green-50" projectId={projectId} />
         </div>
       </div>
 
+      {/* Compliance Report Download */}
+      <div className="bg-gradient-to-r from-purple-50 to-indigo-50 border border-purple-200 rounded-xl p-6 flex items-center justify-between">
+        <div>
+          <h3 className="font-semibold text-gray-900">Compliance-Report</h3>
+          <p className="text-sm text-gray-500 mt-1">Umfassender PDF-Bericht ueber alle Module, Rollen, Risiken und Massnahmen.</p>
+        </div>
+        <button
+          onClick={() => {
+            const url = `/api/sdk/v1/compliance/report/pdf${projectId ? `?project_id=${projectId}` : ''}`
+            window.open(url, '_blank')
+          }}
+          className="px-5 py-2.5 bg-purple-600 text-white text-sm font-medium rounded-lg hover:bg-purple-700 transition-colors flex items-center gap-2"
+        >
+          <svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M12 10v6m0 0l-3-3m3 3l3-3m2 8H7a2 2 0 01-2-2V5a2 2 0 012-2h5.586a1 1 0 01.707.293l5.414 5.414a1 1 0 01.293.707V19a2 2 0 01-2 2z" /></svg>
+          PDF herunterladen
+        </button>
+      </div>
+
       {/* Recent Activity */}
       {state.commandBarHistory.length > 0 && (
         <div>
@@ -419,30 +304,15 @@ export default function SDKDashboard() {
           <div className="bg-white rounded-xl border border-gray-200 divide-y divide-gray-100">
             {state.commandBarHistory.slice(0, 5).map(entry => (
               <div key={entry.id} className="flex items-center gap-4 px-4 py-3">
-                <div
-                  className={`w-8 h-8 rounded-full flex items-center justify-center ${
-                    entry.success ? 'bg-green-100 text-green-600' : 'bg-red-100 text-red-600'
-                  }`}
-                >
-                  {entry.success ? (
-                    <svg className="w-4 h-4" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-                      <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M5 13l4 4L19 7" />
-                    </svg>
-                  ) : (
-                    <svg className="w-4 h-4" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-                      <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M6 18L18 6M6 6l12 12" />
-                    </svg>
-                  )}
+                <div className={`w-8 h-8 rounded-full flex items-center justify-center ${entry.success ? 'bg-green-100 text-green-600' : 'bg-red-100 text-red-600'}`}>
+                  {entry.success ? <svg className="w-4 h-4" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M5 13l4 4L19 7" /></svg>
+                    : <svg className="w-4 h-4" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M6 18L18 6M6 6l12 12" /></svg>}
                 </div>
                 <div className="flex-1">
                   <p className="text-sm font-medium text-gray-900">{entry.query}</p>
-                  <p className="text-xs text-gray-500">
-                    {new Date(entry.timestamp).toLocaleString('de-DE')}
-                  </p>
+                  <p className="text-xs text-gray-500">{new Date(entry.timestamp).toLocaleString('de-DE')}</p>
                 </div>
-                <span className="px-2 py-1 text-xs bg-gray-100 text-gray-600 rounded-full">
-                  {entry.type}
-                </span>
+                <span className="px-2 py-1 text-xs bg-gray-100 text-gray-600 rounded-full">{entry.type}</span>
               </div>
             ))}
           </div>
diff --git a/admin-compliance/app/sdk/rollenkonzept/_components/ReviewList.tsx b/admin-compliance/app/sdk/rollenkonzept/_components/ReviewList.tsx
new file mode 100644
index 0000000..e01effc
--- /dev/null
+++ b/admin-compliance/app/sdk/rollenkonzept/_components/ReviewList.tsx
@@ -0,0 +1,129 @@
+'use client'
+
+import { useState } from 'react'
+import type { DocumentReview, ReviewStats } from '../_types'
+import { STATUS_CONFIG, ROLE_ICONS } from '../_types'
+
+interface ReviewListProps {
+  reviews: DocumentReview[]
+  stats: ReviewStats
+  loading: boolean
+  statusFilter: string | null
+  onFilterChange: (status: string | null) => void
+  onApprove: (id: string) => Promise<void>
+  onReject: (id: string, comment: string) => Promise<void>
+  onSendNotification: (id: string) => Promise<void>
+}
+
+export function ReviewList({
+  reviews, stats, loading, statusFilter, onFilterChange,
+  onApprove, onReject, onSendNotification,
+}: ReviewListProps) {
+  const [rejectId, setRejectId] = useState<string | null>(null)
+  const [rejectComment, setRejectComment] = useState('')
+  const [processing, setProcessing] = useState<string | null>(null)
+
+  const total = Object.values(stats).reduce((s, n) => s + (n || 0), 0)
+
+  const handleApprove = async (id: string) => {
+    setProcessing(id)
+    try { await onApprove(id) } finally { setProcessing(null) }
+  }
+
+  const handleReject = async () => {
+    if (!rejectId || !rejectComment.trim()) return
+    setProcessing(rejectId)
+    try {
+      await onReject(rejectId, rejectComment)
+      setRejectId(null)
+      setRejectComment('')
+    } finally { setProcessing(null) }
+  }
+
+  return (
+    <div className="space-y-4">
+      {/* Stats */}
+      <div className="flex gap-3 flex-wrap">
+        <button onClick={() => onFilterChange(null)}
+          className={`px-3 py-1 text-xs rounded-full border ${!statusFilter ? 'bg-purple-100 border-purple-300 text-purple-700' : 'bg-white border-gray-200 text-gray-600 hover:border-gray-300'}`}>
+          Alle ({total})
+        </button>
+        {Object.entries(STATUS_CONFIG).map(([key, cfg]) => (
+          <button key={key} onClick={() => onFilterChange(key === statusFilter ? null : key)}
+            className={`px-3 py-1 text-xs rounded-full border ${statusFilter === key ? cfg.color + ' border-current' : 'bg-white border-gray-200 text-gray-600 hover:border-gray-300'}`}>
+            {cfg.label} ({stats[key as keyof ReviewStats] || 0})
+          </button>
+        ))}
+      </div>
+
+      {/* List */}
+      {loading ? (
+        <div className="text-center py-8 text-gray-400">Lade Reviews...</div>
+      ) : reviews.length === 0 ? (
+        <div className="text-center py-8 text-gray-400">Keine Reviews vorhanden</div>
+      ) : (
+        <div className="space-y-2">
+          {reviews.map(review => {
+            const cfg = STATUS_CONFIG[review.status] || STATUS_CONFIG.pending
+            return (
+              <div key={review.id} className="bg-white border border-gray-200 rounded-lg p-4 flex items-center gap-4">
+                <span className="text-xl">{ROLE_ICONS[review.reviewer_role_key] || '\u{1F464}'}</span>
+                <div className="flex-1 min-w-0">
+                  <div className="font-medium text-sm text-gray-900 truncate">{review.document_title}</div>
+                  <div className="text-xs text-gray-500">
+                    {review.reviewer_name || review.reviewer_role_key}
+                    {review.submitted_at && ` — ${new Date(review.submitted_at).toLocaleDateString('de-DE')}`}
+                  </div>
+                </div>
+                <span className={`px-2 py-0.5 text-[10px] font-medium rounded-full ${cfg.color}`}>{cfg.label}</span>
+                {review.status === 'pending' && (
+                  <button onClick={() => onSendNotification(review.id)}
+                    className="px-2 py-1 text-xs bg-blue-50 text-blue-600 rounded hover:bg-blue-100">
+                    E-Mail
+                  </button>
+                )}
+                {(review.status === 'pending' || review.status === 'in_review') && (
+                  <div className="flex gap-1">
+                    <button onClick={() => handleApprove(review.id)} disabled={processing === review.id}
+                      className="px-2 py-1 text-xs bg-green-50 text-green-600 rounded hover:bg-green-100 disabled:opacity-50">
+                      Freigeben
+                    </button>
+                    <button onClick={() => setRejectId(review.id)}
+                      className="px-2 py-1 text-xs bg-red-50 text-red-600 rounded hover:bg-red-100">
+                      Ablehnen
+                    </button>
+                  </div>
+                )}
+                {review.status === 'rejected' && review.review_comment && (
+                  <span className="text-xs text-red-500 max-w-[200px] truncate" title={review.review_comment}>
+                    {review.review_comment}
+                  </span>
+                )}
+              </div>
+            )
+          })}
+        </div>
+      )}
+
+      {/* Reject Dialog */}
+      {rejectId && (
+        <div className="fixed inset-0 z-50 flex items-center justify-center bg-black/50">
+          <div className="bg-white rounded-xl p-6 w-full max-w-md shadow-2xl">
+            <h3 className="text-lg font-semibold mb-3">Dokument ablehnen</h3>
+            <textarea value={rejectComment} onChange={e => setRejectComment(e.target.value)}
+              placeholder="Grund fuer die Ablehnung..." rows={3}
+              className="w-full px-3 py-2 text-sm border border-gray-200 rounded-lg focus:ring-1 focus:ring-red-500" />
+            <div className="flex justify-end gap-2 mt-4">
+              <button onClick={() => { setRejectId(null); setRejectComment('') }}
+                className="px-4 py-2 text-sm text-gray-600 hover:bg-gray-100 rounded-lg">Abbrechen</button>
+              <button onClick={handleReject} disabled={!rejectComment.trim() || processing === rejectId}
+                className="px-4 py-2 text-sm bg-red-600 text-white rounded-lg hover:bg-red-700 disabled:opacity-50">
+                Ablehnen
+              </button>
+            </div>
+          </div>
+        </div>
+      )}
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/rollenkonzept/_components/RoleCard.tsx b/admin-compliance/app/sdk/rollenkonzept/_components/RoleCard.tsx
new file mode 100644
index 0000000..1422d8c
--- /dev/null
+++ b/admin-compliance/app/sdk/rollenkonzept/_components/RoleCard.tsx
@@ -0,0 +1,106 @@
+'use client'
+
+import { useState } from 'react'
+import type { OrgRole, DefaultRole } from '../_types'
+import { ROLE_ICONS } from '../_types'
+
+interface RoleCardProps {
+  role: OrgRole | DefaultRole
+  onSave: (roleId: string, data: Partial<OrgRole>) => Promise<void>
+  onSendTest: (roleId: string) => Promise<{ sent: boolean; email: string }>
+}
+
+export function RoleCard({ role, onSave, onSendTest }: RoleCardProps) {
+  const isAssigned = 'id' in role
+  const [editing, setEditing] = useState(false)
+  const [name, setName] = useState((role as OrgRole).person_name || '')
+  const [email, setEmail] = useState((role as OrgRole).person_email || '')
+  const [dept, setDept] = useState((role as OrgRole).department || '')
+  const [sending, setSending] = useState(false)
+  const [testResult, setTestResult] = useState<string | null>(null)
+
+  const handleSave = async () => {
+    if (!isAssigned) return
+    await onSave((role as OrgRole).id, { person_name: name, person_email: email, department: dept })
+    setEditing(false)
+  }
+
+  const handleTest = async () => {
+    if (!isAssigned) return
+    setSending(true)
+    setTestResult(null)
+    try {
+      const result = await onSendTest((role as OrgRole).id)
+      setTestResult(result.sent ? `Gesendet an ${result.email}` : 'Fehler')
+    } catch {
+      setTestResult('Fehler beim Senden')
+    } finally {
+      setSending(false)
+    }
+  }
+
+  const icon = ROLE_ICONS[role.role_key] || '\u{1F464}'
+
+  return (
+    <div className="bg-white rounded-xl border border-gray-200 p-4 space-y-3">
+      <div className="flex items-center gap-3">
+        <span className="text-2xl">{icon}</span>
+        <div className="flex-1">
+          <h3 className="font-semibold text-gray-900 text-sm">{role.role_label}</h3>
+          {isAssigned && (role as OrgRole).person_name && !editing && (
+            <p className="text-xs text-gray-500">{(role as OrgRole).person_name}</p>
+          )}
+        </div>
+        {isAssigned && !editing && (
+          <button onClick={() => setEditing(true)} className="text-xs text-purple-600 hover:underline">
+            Bearbeiten
+          </button>
+        )}
+      </div>
+
+      {editing ? (
+        <div className="space-y-2">
+          <input value={name} onChange={e => setName(e.target.value)} placeholder="Name"
+            className="w-full px-3 py-1.5 text-sm border border-gray-200 rounded-lg focus:ring-1 focus:ring-purple-500 focus:border-purple-500" />
+          <input value={email} onChange={e => setEmail(e.target.value)} placeholder="E-Mail" type="email"
+            className="w-full px-3 py-1.5 text-sm border border-gray-200 rounded-lg focus:ring-1 focus:ring-purple-500 focus:border-purple-500" />
+          <input value={dept} onChange={e => setDept(e.target.value)} placeholder="Abteilung"
+            className="w-full px-3 py-1.5 text-sm border border-gray-200 rounded-lg focus:ring-1 focus:ring-purple-500 focus:border-purple-500" />
+          <div className="flex gap-2">
+            <button onClick={handleSave} className="px-3 py-1 text-xs bg-purple-600 text-white rounded-lg hover:bg-purple-700">
+              Speichern
+            </button>
+            <button onClick={() => setEditing(false)} className="px-3 py-1 text-xs text-gray-500 hover:text-gray-700">
+              Abbrechen
+            </button>
+          </div>
+        </div>
+      ) : (
+        <>
+          {isAssigned && (role as OrgRole).person_email && (
+            <div className="text-xs text-gray-500 space-y-0.5">
+              <div>{(role as OrgRole).person_email}</div>
+              {(role as OrgRole).department && <div>{(role as OrgRole).department}</div>}
+            </div>
+          )}
+          {!isAssigned && (
+            <p className="text-xs text-gray-400 italic">Noch nicht zugewiesen</p>
+          )}
+        </>
+      )}
+
+      {isAssigned && (role as OrgRole).person_email && !editing && (
+        <button onClick={handleTest} disabled={sending}
+          className="w-full px-3 py-1.5 text-xs bg-blue-50 text-blue-600 border border-blue-200 rounded-lg hover:bg-blue-100 disabled:opacity-50">
+          {sending ? 'Sende...' : 'Test-E-Mail senden'}
+        </button>
+      )}
+
+      {testResult && (
+        <p className={`text-xs ${testResult.startsWith('Gesendet') ? 'text-green-600' : 'text-red-600'}`}>
+          {testResult}
+        </p>
+      )}
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/rollenkonzept/_hooks/useDocumentReviews.ts b/admin-compliance/app/sdk/rollenkonzept/_hooks/useDocumentReviews.ts
new file mode 100644
index 0000000..fd96ffb
--- /dev/null
+++ b/admin-compliance/app/sdk/rollenkonzept/_hooks/useDocumentReviews.ts
@@ -0,0 +1,69 @@
+import { useState, useEffect, useCallback } from 'react'
+import { useSDK } from '@/lib/sdk'
+import type { DocumentReview, ReviewStats } from '../_types'
+
+const API_BASE = '/api/sdk/v1/compliance/document-reviews'
+
+async function apiFetch<T>(url: string, init?: RequestInit): Promise<T> {
+  const res = await fetch(url, {
+    headers: { 'Content-Type': 'application/json' },
+    ...init,
+  })
+  if (!res.ok) throw new Error(`${res.status} ${res.statusText}`)
+  return res.json()
+}
+
+export function useDocumentReviews() {
+  const { projectId } = useSDK()
+  const [reviews, setReviews] = useState<DocumentReview[]>([])
+  const [stats, setStats] = useState<ReviewStats>({})
+  const [loading, setLoading] = useState(true)
+  const [statusFilter, setStatusFilter] = useState<string | null>(null)
+
+  const loadReviews = useCallback(async () => {
+    try {
+      setLoading(true)
+      const params = new URLSearchParams()
+      if (projectId) params.set('project_id', projectId)
+      if (statusFilter) params.set('status', statusFilter)
+      const qs = params.toString() ? `?${params}` : ''
+
+      const [reviewsData, statsData] = await Promise.all([
+        apiFetch<DocumentReview[]>(`${API_BASE}${qs}`),
+        apiFetch<ReviewStats>(`${API_BASE}/stats${projectId ? `?project_id=${projectId}` : ''}`),
+      ])
+      setReviews(reviewsData)
+      setStats(statsData)
+    } catch {
+      // Silent — component shows empty state
+    } finally {
+      setLoading(false)
+    }
+  }, [projectId, statusFilter])
+
+  useEffect(() => { loadReviews() }, [loadReviews])
+
+  const approveReview = useCallback(async (reviewId: string) => {
+    const updated = await apiFetch<DocumentReview>(`${API_BASE}/${reviewId}/approve`, { method: 'POST' })
+    setReviews(prev => prev.map(r => r.id === reviewId ? updated : r))
+    return updated
+  }, [])
+
+  const rejectReview = useCallback(async (reviewId: string, comment: string) => {
+    const updated = await apiFetch<DocumentReview>(`${API_BASE}/${reviewId}/reject`, {
+      method: 'POST',
+      body: JSON.stringify({ comment }),
+    })
+    setReviews(prev => prev.map(r => r.id === reviewId ? updated : r))
+    return updated
+  }, [])
+
+  const sendNotification = useCallback(async (reviewId: string) => {
+    return apiFetch<{ sent: boolean }>(`${API_BASE}/${reviewId}/send`, { method: 'POST' })
+  }, [])
+
+  return {
+    reviews, stats, loading, statusFilter, setStatusFilter,
+    loadReviews, approveReview, rejectReview, sendNotification,
+  }
+}
diff --git a/admin-compliance/app/sdk/rollenkonzept/_hooks/useOrgRoles.ts b/admin-compliance/app/sdk/rollenkonzept/_hooks/useOrgRoles.ts
new file mode 100644
index 0000000..cc4c619
--- /dev/null
+++ b/admin-compliance/app/sdk/rollenkonzept/_hooks/useOrgRoles.ts
@@ -0,0 +1,84 @@
+import { useState, useEffect, useCallback } from 'react'
+import { useSDK } from '@/lib/sdk'
+import type { OrgRole, DefaultRole, RoleMapping } from '../_types'
+
+const API_BASE = '/api/sdk/v1/compliance/org-roles'
+
+async function apiFetch<T>(url: string, init?: RequestInit): Promise<T> {
+  const res = await fetch(url, {
+    headers: { 'Content-Type': 'application/json' },
+    ...init,
+  })
+  if (!res.ok) throw new Error(`${res.status} ${res.statusText}`)
+  return res.json()
+}
+
+export function useOrgRoles() {
+  const { projectId } = useSDK()
+  const [roles, setRoles] = useState<OrgRole[]>([])
+  const [defaults, setDefaults] = useState<DefaultRole[]>([])
+  const [mapping, setMapping] = useState<RoleMapping[]>([])
+  const [loading, setLoading] = useState(true)
+  const [error, setError] = useState<string | null>(null)
+
+  const loadRoles = useCallback(async () => {
+    try {
+      setLoading(true)
+      const qs = projectId ? `?project_id=${projectId}` : ''
+      const [rolesData, defaultsData, mappingData] = await Promise.all([
+        apiFetch<OrgRole[]>(`${API_BASE}${qs}`),
+        apiFetch<DefaultRole[]>(`${API_BASE}/defaults`),
+        apiFetch<RoleMapping[]>(`${API_BASE}/mapping`),
+      ])
+      setRoles(rolesData)
+      setDefaults(defaultsData)
+      setMapping(mappingData)
+      setError(null)
+    } catch (e) {
+      setError(e instanceof Error ? e.message : 'Fehler beim Laden')
+    } finally {
+      setLoading(false)
+    }
+  }, [projectId])
+
+  useEffect(() => { loadRoles() }, [loadRoles])
+
+  const seedRoles = useCallback(async () => {
+    const qs = projectId ? `?project_id=${projectId}` : ''
+    await apiFetch(`${API_BASE}/seed${qs}`, { method: 'POST' })
+    await loadRoles()
+  }, [projectId, loadRoles])
+
+  const updateRole = useCallback(async (roleId: string, data: Partial<OrgRole>) => {
+    const updated = await apiFetch<OrgRole>(`${API_BASE}/${roleId}`, {
+      method: 'PUT',
+      body: JSON.stringify(data),
+    })
+    setRoles(prev => prev.map(r => r.id === roleId ? updated : r))
+    return updated
+  }, [])
+
+  const sendTestEmail = useCallback(async (roleId: string) => {
+    return apiFetch<{ sent: boolean; email: string }>(`${API_BASE}/${roleId}/send-test`, {
+      method: 'POST',
+    })
+  }, [])
+
+  const updateMapping = useCallback(async (entries: { document_type: string; role_key: string; is_primary: boolean }[]) => {
+    await apiFetch(`${API_BASE}/mapping`, {
+      method: 'PUT',
+      body: JSON.stringify({ entries }),
+    })
+    await loadRoles()
+  }, [loadRoles])
+
+  // Get role by key (merge defaults with actual role data)
+  const getRoleByKey = useCallback((key: string): OrgRole | DefaultRole | undefined => {
+    return roles.find(r => r.role_key === key) || defaults.find(d => d.role_key === key)
+  }, [roles, defaults])
+
+  return {
+    roles, defaults, mapping, loading, error,
+    loadRoles, seedRoles, updateRole, sendTestEmail, updateMapping, getRoleByKey,
+  }
+}
diff --git a/admin-compliance/app/sdk/rollenkonzept/_types.ts b/admin-compliance/app/sdk/rollenkonzept/_types.ts
new file mode 100644
index 0000000..0e12126
--- /dev/null
+++ b/admin-compliance/app/sdk/rollenkonzept/_types.ts
@@ -0,0 +1,75 @@
+export interface OrgRole {
+  id: string
+  tenant_id: string
+  project_id: string | null
+  role_key: string
+  role_label: string
+  person_name: string | null
+  person_email: string | null
+  department: string | null
+  is_active: boolean
+  created_at: string
+  updated_at: string
+}
+
+export interface DefaultRole {
+  role_key: string
+  role_label: string
+}
+
+export interface DocumentReview {
+  id: string
+  tenant_id: string
+  project_id: string | null
+  document_type: string
+  document_title: string
+  document_content_hash: string | null
+  reviewer_role_key: string
+  reviewer_name: string | null
+  reviewer_email: string | null
+  status: 'pending' | 'in_review' | 'approved' | 'rejected'
+  submitted_at: string | null
+  submitted_by: string | null
+  reviewed_at: string | null
+  review_comment: string | null
+  review_link: string | null
+  email_sent: boolean
+  email_sent_at: string | null
+  created_at: string
+  updated_at: string
+}
+
+export interface RoleMapping {
+  id: string
+  tenant_id: string
+  document_type: string
+  role_key: string
+  is_primary: boolean
+  created_at: string
+}
+
+export interface ReviewStats {
+  pending?: number
+  in_review?: number
+  approved?: number
+  rejected?: number
+}
+
+export type RollenkonzeptTab = 'rollen' | 'zuordnung' | 'reviews'
+
+export const ROLE_ICONS: Record<string, string> = {
+  dsb: '\u{1F6E1}\uFE0F',
+  gf: '\u{1F4BC}',
+  it_leiter: '\u{1F4BB}',
+  hr_leitung: '\u{1F465}',
+  marketing_leitung: '\u{1F4E3}',
+  compliance_beauftragter: '\u2696\uFE0F',
+  einkauf: '\u{1F6D2}',
+}
+
+export const STATUS_CONFIG: Record<string, { label: string; color: string }> = {
+  pending: { label: 'Ausstehend', color: 'bg-gray-100 text-gray-700' },
+  in_review: { label: 'In Pruefung', color: 'bg-blue-100 text-blue-700' },
+  approved: { label: 'Freigegeben', color: 'bg-green-100 text-green-700' },
+  rejected: { label: 'Abgelehnt', color: 'bg-red-100 text-red-700' },
+}
diff --git a/admin-compliance/app/sdk/rollenkonzept/page.tsx b/admin-compliance/app/sdk/rollenkonzept/page.tsx
new file mode 100644
index 0000000..0fa36a2
--- /dev/null
+++ b/admin-compliance/app/sdk/rollenkonzept/page.tsx
@@ -0,0 +1,140 @@
+'use client'
+
+import { useState } from 'react'
+import { useOrgRoles } from './_hooks/useOrgRoles'
+import { useDocumentReviews } from './_hooks/useDocumentReviews'
+import { RoleCard } from './_components/RoleCard'
+import { ReviewList } from './_components/ReviewList'
+import type { RollenkonzeptTab } from './_types'
+
+const TABS: { id: RollenkonzeptTab; label: string }[] = [
+  { id: 'rollen', label: 'Rollen' },
+  { id: 'zuordnung', label: 'Zuordnung' },
+  { id: 'reviews', label: 'Reviews' },
+]
+
+export default function RollenkonzeptPage() {
+  const [tab, setTab] = useState<RollenkonzeptTab>('rollen')
+  const { roles, defaults, mapping, loading, seedRoles, updateRole, sendTestEmail } = useOrgRoles()
+  const reviewHook = useDocumentReviews()
+
+  // Merge defaults with actual roles
+  const mergedRoles = defaults.map(d => {
+    const actual = roles.find(r => r.role_key === d.role_key)
+    return actual || d
+  })
+
+  // Group mapping by role
+  const mappingByRole: Record<string, string[]> = {}
+  for (const m of mapping) {
+    if (!mappingByRole[m.role_key]) mappingByRole[m.role_key] = []
+    mappingByRole[m.role_key].push(m.document_type)
+  }
+
+  return (
+    <div className="space-y-6">
+      {/* Header */}
+      <div className="flex items-start justify-between">
+        <div>
+          <h1 className="text-2xl font-bold text-gray-900">Rollenkonzept</h1>
+          <p className="mt-1 text-gray-500">
+            Weisen Sie Compliance-Rollen zu und verwalten Sie den Dokumenten-Pruefprozess.
+          </p>
+        </div>
+        {roles.length === 0 && !loading && (
+          <button onClick={seedRoles}
+            className="px-4 py-2 bg-purple-600 text-white text-sm font-medium rounded-lg hover:bg-purple-700">
+            Standard-Rollen anlegen
+          </button>
+        )}
+      </div>
+
+      {/* Tabs */}
+      <div className="flex border-b border-gray-200">
+        {TABS.map(t => (
+          <button key={t.id} onClick={() => setTab(t.id)}
+            className={`px-4 py-3 text-sm font-medium border-b-2 -mb-px transition-colors ${
+              tab === t.id ? 'text-purple-600 border-purple-600' : 'text-gray-500 border-transparent hover:text-gray-700'
+            }`}>
+            {t.label}
+            {t.id === 'reviews' && (reviewHook.stats.pending || 0) > 0 && (
+              <span className="ml-2 px-1.5 py-0.5 text-[10px] bg-orange-100 text-orange-600 rounded-full">
+                {reviewHook.stats.pending}
+              </span>
+            )}
+          </button>
+        ))}
+      </div>
+
+      {/* Tab: Rollen */}
+      {tab === 'rollen' && (
+        <div>
+          {loading ? (
+            <div className="text-center py-12 text-gray-400">Lade Rollen...</div>
+          ) : (
+            <div className="grid grid-cols-1 sm:grid-cols-2 lg:grid-cols-3 xl:grid-cols-4 gap-4">
+              {mergedRoles.map(role => (
+                <RoleCard key={role.role_key} role={role} onSave={updateRole} onSendTest={sendTestEmail} />
+              ))}
+            </div>
+          )}
+        </div>
+      )}
+
+      {/* Tab: Zuordnung */}
+      {tab === 'zuordnung' && (
+        <div className="bg-white rounded-xl border border-gray-200 overflow-hidden">
+          <div className="px-6 py-4 border-b border-gray-100">
+            <h2 className="font-semibold text-gray-900">Dokument → Rollen-Zuordnung</h2>
+            <p className="text-xs text-gray-500 mt-1">
+              Zeigt welche Rolle welche Dokumente zur Pruefung erhaelt. Anpassbar pro Tenant.
+            </p>
+          </div>
+          {Object.keys(mappingByRole).length === 0 ? (
+            <div className="text-center py-8 text-gray-400">
+              Keine Zuordnung vorhanden. Bitte erst Standard-Rollen anlegen.
+            </div>
+          ) : (
+            <div className="divide-y divide-gray-100">
+              {defaults.map(d => {
+                const docs = mappingByRole[d.role_key] || []
+                return (
+                  <div key={d.role_key} className="px-6 py-3">
+                    <div className="flex items-center gap-2 mb-2">
+                      <span className="font-medium text-sm text-gray-900">{d.role_label}</span>
+                      <span className="text-xs text-gray-400">({docs.length} Dokumente)</span>
+                    </div>
+                    <div className="flex flex-wrap gap-1">
+                      {docs.map(dt => (
+                        <span key={dt} className="px-2 py-0.5 text-[10px] bg-gray-100 text-gray-600 rounded-full">
+                          {dt.replace(/_/g, ' ')}
+                        </span>
+                      ))}
+                      {docs.length === 0 && (
+                        <span className="text-xs text-gray-400 italic">Keine Dokumente zugeordnet</span>
+                      )}
+                    </div>
+                  </div>
+                )
+              })}
+            </div>
+          )}
+        </div>
+      )}
+
+      {/* Tab: Reviews */}
+      {tab === 'reviews' && (
+        <ReviewList
+          reviews={reviewHook.reviews}
+          stats={reviewHook.stats}
+          loading={reviewHook.loading}
+          statusFilter={reviewHook.statusFilter}
+          onFilterChange={reviewHook.setStatusFilter}
+          onApprove={reviewHook.approveReview}
+          onReject={reviewHook.rejectReview}
+          onSendNotification={reviewHook.sendNotification}
+        />
+      )}
+    </div>
+  )
+}
diff --git a/admin-compliance/app/sdk/sdk-flow/steps-analyse.ts b/admin-compliance/app/sdk/sdk-flow/steps-analyse.ts
index cef0056..e3375e6 100644
--- a/admin-compliance/app/sdk/sdk-flow/steps-analyse.ts
+++ b/admin-compliance/app/sdk/sdk-flow/steps-analyse.ts
@@ -1,5 +1,8 @@
 /**
- * SDK Flow Steps — Paket 2: Analyse (seq 1000–1600)
+ * SDK Flow Steps — Paket 2: Analyse (seq 1000–1400)
+ *
+ * Neue Reihenfolge: Requirements → Controls → Risks → Checklist → Report
+ * Evidence → Paket 5 (Betrieb), AI Act → Paket 1 (optional)
  */
 import type { SDKFlowStep } from './types'
 
@@ -13,16 +16,16 @@ export const STEPS_ANALYSE: SDKFlowStep[] = [
     checkpointId: 'CP-REQ',
     checkpointType: 'REQUIRED',
     checkpointReviewer: 'NONE',
-    description: 'Ableitung konkreter Compliance-Anforderungen aus den aktivierten Modulen, mit RAG-Anreicherung.',
-    descriptionLong: 'Aus den aktivierten Modulen und der Source Policy werden konkrete, umsetzbare Compliance-Anforderungen abgeleitet. Vollstaendige CRUD-Operationen (Erstellen, Lesen, Aktualisieren, Loeschen) mit Backend-Persistenz. Die RAG-Collections bp_compliance_recht (DE-Gesetze) und bp_compliance_ce (EU-Verordnungen) liefern aktuelle Rechtstexte, aus denen spezifische Pflichten extrahiert werden. Die KI-gestuetzte Interpretation (interpret_requirement) und Control-Vorschlaege (suggest_controls) werden mit RAG-Kontext angereichert — die Collection wird automatisch anhand des Regulation-Codes gewaehlt (EU → bp_compliance_ce, DE → bp_compliance_recht). Status-Workflow: NOT_STARTED → IN_PROGRESS → IMPLEMENTED → VERIFIED mit automatischem Rollback bei Backend-Fehler. Filterung, Volltextsuche und Paginierung fuer grosse Datensaetze (500+ Anforderungen).',
+    description: 'Ableitung konkreter Compliance-Anforderungen aus den im Scope erkannten Regulierungen.',
+    descriptionLong: 'Aus den im Scope-Profiling erkannten Regulierungen (DSGVO, AI Act, NIS2) werden konkrete, umsetzbare Compliance-Anforderungen abgeleitet. Vollstaendige CRUD-Operationen mit Backend-Persistenz. Die RAG-Collections liefern aktuelle Rechtstexte, aus denen spezifische Pflichten extrahiert werden. KI-gestuetzte Interpretation und Control-Vorschlaege. Status-Workflow: NOT_STARTED → IN_PROGRESS → IMPLEMENTED → VERIFIED.',
     legalBasis: 'Art. 5, 24, 25 DSGVO (Rechenschaftspflicht)',
-    inputs: ['modules', 'sourcePolicy'],
+    inputs: ['scopeDecision', 'companyProfile'],
     outputs: ['requirements'],
-    prerequisiteSteps: ['source-policy'],
+    prerequisiteSteps: ['compliance-scope'],
     dbTables: ['compliance_requirements'],
     dbMode: 'read/write',
     ragCollections: ['bp_compliance_recht', 'bp_compliance_ce'],
-    ragPurpose: 'Rechtliche Anforderungen ableiten + AI-Interpretation mit Rechtskontext anreichern (Collection-Routing: EU→ce, DE→recht)',
+    ragPurpose: 'Rechtliche Anforderungen ableiten + AI-Interpretation mit Rechtskontext anreichern',
     isOptional: false,
     url: '/sdk/requirements',
   },
@@ -36,7 +39,7 @@ export const STEPS_ANALYSE: SDKFlowStep[] = [
     checkpointType: 'REQUIRED',
     checkpointReviewer: 'DSB',
     description: 'Definition technischer und organisatorischer Kontrollen zur Erfuellung der Anforderungen.',
-    descriptionLong: 'Fuer jede Compliance-Anforderung werden konkrete Controls (Kontrollmassnahmen) definiert. Controls sind technische oder organisatorische Massnahmen, die sicherstellen, dass eine Anforderung erfuellt wird. Beispiele: Zugriffskontrolle (RBAC), Verschluesselung (AES-256), Logging, Schulungspflichten. Evidence-Linking: Jeder Control zeigt verknuepfte Nachweise mit Gueltigkeits-Badge an. Navigation zur Evidence-Seite mit vorausgewaehltem Control. Domaenen-basierte Gruppierung (gov, priv, iam, crypto, sdlc, ops, ai, cra, aud). Review-Workflow mit Verantwortlichem und naechstem Review-Datum. Der DSB muss diesen Schritt freigeben.',
+    descriptionLong: 'Fuer jede Compliance-Anforderung werden konkrete Controls (Kontrollmassnahmen) definiert. Controls sind technische oder organisatorische Massnahmen, die sicherstellen, dass eine Anforderung erfuellt wird. Beispiele: Zugriffskontrolle (RBAC), Verschluesselung (AES-256), Logging, Schulungspflichten. Evidence-Linking: Jeder Control zeigt verknuepfte Nachweise an. Domaenen-basierte Gruppierung. Review-Workflow mit Verantwortlichem. Der DSB muss diesen Schritt freigeben.',
     legalBasis: 'Art. 32 DSGVO (Sicherheit der Verarbeitung)',
     inputs: ['requirements'],
     outputs: ['controls'],
@@ -47,84 +50,41 @@ export const STEPS_ANALYSE: SDKFlowStep[] = [
     isOptional: false,
     url: '/sdk/controls',
   },
-  {
-    id: 'evidence',
-    name: 'Evidence',
-    nameShort: 'Nachweise',
-    package: 'analyse',
-    seq: 1200,
-    checkpointId: 'CP-EVI',
-    checkpointType: 'RECOMMENDED',
-    checkpointReviewer: 'NONE',
-    description: 'Sammlung und Verwaltung von Nachweisen fuer die Umsetzung der Controls.',
-    descriptionLong: 'Fuer jeden Control wird dokumentiert, wie und wann er umgesetzt wurde. Evidence (Nachweise) koennen Screenshots, Konfigurationsdateien, Audit-Logs, Schulungszertifikate oder Testprotokolle sein. Server-seitige Pagination (page, limit Query-Parameter) fuer grosse Nachweis-Sammlungen. Gueltigkeits-Tracking (valid_from, valid_until) mit Status: valid, expired, pending, failed. Verknuepfung mit Controls und Upload von Dateien als Nachweise. Essentiell fuer Audits und Zertifizierungen.',
-    legalBasis: 'Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht)',
-    inputs: ['controls'],
-    outputs: ['evidence'],
-    prerequisiteSteps: ['controls'],
-    dbTables: ['compliance_evidence'],
-    dbMode: 'write',
-    ragCollections: [],
-    isOptional: false,
-    url: '/sdk/evidence',
-  },
   {
     id: 'risks',
     name: 'Risk Matrix',
     nameShort: 'Risiken',
     package: 'analyse',
-    seq: 1300,
+    seq: 1200,
     checkpointId: 'CP-RISK',
     checkpointType: 'REQUIRED',
     checkpointReviewer: 'DSB',
-    description: 'Bewertung aller Datenschutz- und Compliance-Risiken in einer Risikomatrix.',
-    descriptionLong: 'Die 5x5 Risikomatrix bewertet jedes Risiko nach Eintrittswahrscheinlichkeit und Schadenshoehe. Inherent Risk vs. Residual Risk mit visuellem Vergleich. Status-Workflow: IDENTIFIED → ASSESSED → MITIGATED → ACCEPTED → CLOSED. Expandierbare Mitigations-Sektion pro Risiko mit verknuepften Controls (Name, Status, Effectiveness). Automatische Risiko-Level-Berechnung: Score = Likelihood × Impact (LOW <6, MEDIUM 6-11, HIGH 12-19, CRITICAL ≥20). Der DSB muss die Risikobewertung freigeben.',
+    description: 'Bewertung aller Datenschutz- und Compliance-Risiken — wo sind Luecken?',
+    descriptionLong: 'Die 5x5 Risikomatrix bewertet jedes Risiko nach Eintrittswahrscheinlichkeit und Schadenshoehe. Inherent Risk vs. Residual Risk mit visuellem Vergleich. Status-Workflow: IDENTIFIED → ASSESSED → MITIGATED → ACCEPTED → CLOSED. Expandierbare Mitigations-Sektion pro Risiko mit verknuepften Controls. Automatische Risiko-Level-Berechnung: Score = Likelihood × Impact. Der DSB muss die Risikobewertung freigeben.',
     legalBasis: 'Art. 35 DSGVO (Datenschutz-Folgenabschaetzung)',
-    inputs: ['controls', 'modules'],
+    inputs: ['controls'],
     outputs: ['risks'],
-    prerequisiteSteps: ['evidence'],
+    prerequisiteSteps: ['controls'],
     dbTables: ['compliance_risks'],
     dbMode: 'write',
     ragCollections: [],
     isOptional: false,
     url: '/sdk/risks',
   },
-  {
-    id: 'ai-act',
-    name: 'AI Act Klassifizierung',
-    nameShort: 'AI Act',
-    package: 'analyse',
-    seq: 1400,
-    checkpointId: 'CP-AI',
-    checkpointType: 'REQUIRED',
-    checkpointReviewer: 'LEGAL',
-    description: 'Klassifizierung aller KI-Systeme nach EU AI Act Risikokategorien.',
-    descriptionLong: 'KI-System-Registrierung mit vollstaendiger Backend-Persistenz (CRUD). Risikopyramide: Minimal → Begrenzt → Hoch → Verboten. KI-gestuetzte Risikobewertung mit Rule-Based-Fallback: Der Assess-Endpoint analysiert Zweck, Sektor und Beschreibung und leitet Klassifizierung + Pflichten automatisch ab. Fuer Hochrisiko-Systeme werden 8 AI Act Pflichten abgeleitet (Risikomanagement, Daten-Governance, Dokumentation, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit, Cybersicherheit). Filterung nach Klassifizierung, Status und Sektor. Die Rechtsabteilung (LEGAL) muss die Klassifizierung freigeben.',
-    legalBasis: 'EU AI Act Art. 6-9 (Risikokategorien)',
-    inputs: ['useCases', 'companyProfile'],
-    outputs: ['aiActClassification', 'obligations'],
-    prerequisiteSteps: ['risks'],
-    dbTables: ['compliance_ai_systems'],
-    dbMode: 'read/write',
-    ragCollections: ['bp_compliance_ce'],
-    ragPurpose: 'EU AI Act Regulierungstexte',
-    isOptional: false,
-    url: '/sdk/ai-act',
-  },
   {
     id: 'audit-checklist',
     name: 'Audit Checklist',
     nameShort: 'Checklist',
     package: 'analyse',
-    seq: 1500,
+    seq: 1300,
     checkpointId: 'CP-CHK',
     checkpointType: 'RECOMMENDED',
     checkpointReviewer: 'NONE',
-    description: 'Erstellung einer pruefbaren Checkliste fuer interne und externe Audits.',
-    descriptionLong: 'Aus den Requirements und Controls wird eine strukturierte Audit-Checkliste generiert. Session-Management: Draft → In Progress → Completed → Archived. Interaktiver Sign-Off-Workflow mit digitalem Signatur-Hash (SHA-256). PDF-Download in Deutsch oder Englisch. Session-History: Anzeige vergangener Audit-Sitzungen mit Status-Badges. JSON-Export der Checkliste. Die Checkliste kann fuer interne Self-Assessments oder als Vorbereitung auf externe Audits (ISO 27001, BSI Grundschutz) verwendet werden.',
-    inputs: ['requirements', 'controls'],
+    description: 'Pruefbare Checkliste aus Requirements + Controls + Risiken.',
+    descriptionLong: 'Aus den Requirements und Controls wird eine strukturierte Audit-Checkliste generiert. Session-Management: Draft → In Progress → Completed → Archived. Interaktiver Sign-Off-Workflow mit digitalem Signatur-Hash (SHA-256). PDF-Download in Deutsch oder Englisch. JSON-Export der Checkliste. Kann fuer interne Self-Assessments oder als Vorbereitung auf externe Audits verwendet werden.',
+    inputs: ['requirements', 'controls', 'risks'],
     outputs: ['checklist'],
-    prerequisiteSteps: ['ai-act'],
+    prerequisiteSteps: ['risks'],
     dbTables: ['compliance_audit_sessions', 'compliance_audit_signoffs'],
     dbMode: 'read/write',
     ragCollections: [],
@@ -136,13 +96,13 @@ export const STEPS_ANALYSE: SDKFlowStep[] = [
     name: 'Audit Report',
     nameShort: 'Report',
     package: 'analyse',
-    seq: 1600,
+    seq: 1400,
     checkpointId: 'CP-AREP',
     checkpointType: 'REQUIRED',
     checkpointReviewer: 'NONE',
-    description: 'Generierung eines vollstaendigen Audit-Reports mit Findings und Empfehlungen.',
-    descriptionLong: 'Der Audit Report fasst alle Ergebnisse der Analyse-Phase zusammen. Uebersicht aller Audit-Sitzungen mit Status-Badges. Detail-Seite pro Sitzung mit Session-Metadaten (Auditor, Zeitraum, Status), Fortschrittsbalken (konform/nicht konform/ausstehend), interaktiven Checklist-Items mit Sign-Off, Notizen-Bearbeitung pro Pruefpunkt und PDF-Download mit Sprachauswahl (DE/EN). Click-Navigation von der Uebersicht zur Detail-Seite. Dient als Nachweis gegenueber Aufsichtsbehoerden.',
-    inputs: ['checklist', 'controls', 'evidence'],
+    description: 'Zusammenfassender Audit-Report mit Findings und Empfehlungen.',
+    descriptionLong: 'Der Audit Report fasst alle Ergebnisse der Analyse-Phase zusammen. Uebersicht aller Audit-Sitzungen mit Status-Badges. Detail-Seite pro Sitzung mit Fortschrittsbalken, interaktiven Checklist-Items mit Sign-Off, Notizen-Bearbeitung und PDF-Download (DE/EN). Dient als Nachweis gegenueber Aufsichtsbehoerden.',
+    inputs: ['checklist', 'controls', 'risks'],
     outputs: ['auditReport'],
     prerequisiteSteps: ['audit-checklist'],
     dbTables: ['compliance_audit_sessions'],
diff --git a/admin-compliance/app/sdk/sdk-flow/steps-betrieb.ts b/admin-compliance/app/sdk/sdk-flow/steps-betrieb.ts
index ac7386e..bc079ff 100644
--- a/admin-compliance/app/sdk/sdk-flow/steps-betrieb.ts
+++ b/admin-compliance/app/sdk/sdk-flow/steps-betrieb.ts
@@ -4,6 +4,27 @@
 import type { SDKFlowStep } from './types'
 
 export const STEPS_BETRIEB: SDKFlowStep[] = [
+  {
+    id: 'evidence',
+    name: 'Evidence',
+    nameShort: 'Nachweise',
+    package: 'betrieb',
+    seq: 3900,
+    checkpointId: 'CP-EVI',
+    checkpointType: 'RECOMMENDED',
+    checkpointReviewer: 'NONE',
+    description: 'Laufende Sammlung und Verwaltung von Nachweisen fuer die Umsetzung der Controls.',
+    descriptionLong: 'Fuer jeden Control wird dokumentiert, wie und wann er umgesetzt wurde. Evidence koennen Screenshots, Konfigurationsdateien, Audit-Logs, Schulungszertifikate oder Testprotokolle sein. Gueltigkeits-Tracking (valid_from, valid_until) mit Status: valid, expired, pending, failed. Verknuepfung mit Controls. Nachweise werden laufend im Betrieb gesammelt, nicht einmalig waehrend der Analyse.',
+    legalBasis: 'Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht)',
+    inputs: ['controls'],
+    outputs: ['evidence'],
+    prerequisiteSteps: ['audit-report'],
+    dbTables: ['compliance_evidence'],
+    dbMode: 'write',
+    ragCollections: [],
+    isOptional: false,
+    url: '/sdk/evidence',
+  },
   {
     id: 'dsr',
     name: 'DSR Portal',
@@ -341,4 +362,26 @@ export const STEPS_BETRIEB: SDKFlowStep[] = [
     url: '/sdk/control-library',
     completion: 100,
   },
+  {
+    id: 'compliance-agent',
+    name: 'Compliance Agent',
+    nameShort: 'Agent',
+    package: 'betrieb',
+    seq: 5000,
+    checkpointId: 'CP-AGENT',
+    checkpointType: 'OPTIONAL',
+    checkpointReviewer: 'NONE',
+    description: 'Automatische Website-Analyse auf DSGVO-Konformitaet mit 3 Modi: Schnellanalyse, Website-Scan und Cookie-Consent-Test.',
+    descriptionLong: 'Der Compliance Agent analysiert Websites und Dokumente automatisch auf DSGVO-Konformitaet. Drei Modi: (1) Schnellanalyse — einzelne URL klassifizieren und bewerten via Qwen LLM + UCCA Assessment. (2) Website-Scan — 5-10 Unterseiten crawlen, 82 Drittanbieter-Dienste erkennen, SOLL/IST-Abgleich gegen Datenschutzerklaerung, Pflichtinhalte pruefen (Art. 13 DSGVO, §5 TMG). (3) Cookie-Consent-Test — Playwright Headless Browser testet was VOR und NACH Cookie-Einwilligung geladen wird (§25 TDDDG). Pre-Launch-Modus fuer interne Dokumente mit einbaufertigen Korrekturvorschlaegen. Post-Launch-Modus mit Abmahnrisiko-Warnungen. Textblock-Referenzierung zeigt Originaltext, Position in der DSE und Korrekturvorschlag. Email-Benachrichtigung an zustaendige Rolle.',
+    legalBasis: 'Art. 5, 13, 25 DSGVO, §5 TMG, §25 TDDDG, §312k BGB',
+    inputs: [],
+    outputs: ['scanResults', 'findings', 'corrections'],
+    prerequisiteSteps: [],
+    dbTables: [],
+    dbMode: 'none',
+    ragCollections: [],
+    isOptional: true,
+    url: '/sdk/agent',
+    completion: 80,
+  },
 ]
diff --git a/admin-compliance/app/sdk/sdk-flow/steps-vorbereitung.ts b/admin-compliance/app/sdk/sdk-flow/steps-vorbereitung.ts
index 5a2defb..977c067 100644
--- a/admin-compliance/app/sdk/sdk-flow/steps-vorbereitung.ts
+++ b/admin-compliance/app/sdk/sdk-flow/steps-vorbereitung.ts
@@ -124,27 +124,7 @@ export const STEPS_VORBEREITUNG: SDKFlowStep[] = [
     isOptional: false,
     url: '/sdk/screening',
   },
-  {
-    id: 'modules',
-    name: 'Compliance Modules',
-    nameShort: 'Module',
-    package: 'vorbereitung',
-    seq: 600,
-    checkpointId: 'CP-MOD',
-    checkpointType: 'REQUIRED',
-    checkpointReviewer: 'NONE',
-    description: 'Aktivierung der relevanten Compliance-Module basierend auf Screening-Ergebnissen.',
-    descriptionLong: 'Basierend auf dem Unternehmensprofil und den Screening-Ergebnissen werden die relevanten Compliance-Module aktiviert. Module umfassen z.B. DSGVO-Grundschutz, AI Act, NIS2, ePrivacy, Whistleblower-Richtlinie usw. Die RAG-Collection bp_compliance_gesetze wird verwendet, um aktuelle Gesetzestexte den Modulen zuzuordnen. Nur aktivierte Module erzeugen in den nachfolgenden Schritten Anforderungen, Controls und Dokumentation.',
-    inputs: ['companyProfile', 'screening'],
-    outputs: ['modules'],
-    prerequisiteSteps: ['screening'],
-    dbTables: ['compliance_service_modules', 'sdk_states'],
-    dbMode: 'read/write',
-    ragCollections: ['bp_compliance_gesetze'],
-    ragPurpose: 'Regulierungen den Modulen zuordnen',
-    isOptional: false,
-    url: '/sdk/modules',
-  },
+  // Modules entfernt — Regulierungen im Scope-Decision-Tab
   {
     id: 'source-policy',
     name: 'Source Policy',
@@ -162,7 +142,29 @@ export const STEPS_VORBEREITUNG: SDKFlowStep[] = [
     dbTables: ['compliance_allowed_sources', 'compliance_pii_rules', 'compliance_source_operations', 'compliance_source_policy_audit'],
     dbMode: 'read/write',
     ragCollections: [],
-    isOptional: false,
+    isOptional: true,
     url: '/sdk/source-policy',
   },
+  {
+    id: 'ai-act',
+    name: 'AI Act Klassifizierung',
+    nameShort: 'AI Act',
+    package: 'vorbereitung',
+    seq: 350,
+    checkpointId: 'CP-AI',
+    checkpointType: 'RECOMMENDED',
+    checkpointReviewer: 'LEGAL',
+    description: 'Klassifizierung aller KI-Systeme nach EU AI Act Risikokategorien (nur bei KI-Einsatz).',
+    descriptionLong: 'KI-System-Registrierung mit Risikopyramide: Minimal → Begrenzt → Hoch → Verboten. KI-gestuetzte Risikobewertung. Fuer Hochrisiko-Systeme werden 8 AI Act Pflichten abgeleitet. Nur relevant wenn KI-Systeme im Einsatz sind.',
+    legalBasis: 'EU AI Act Art. 6-9 (Risikokategorien)',
+    inputs: ['useCases', 'companyProfile'],
+    outputs: ['aiActClassification'],
+    prerequisiteSteps: ['use-case-assessment'],
+    dbTables: ['compliance_ai_systems'],
+    dbMode: 'read/write',
+    ragCollections: ['bp_compliance_ce'],
+    ragPurpose: 'EU AI Act Regulierungstexte',
+    isOptional: true,
+    url: '/sdk/ai-act',
+  },
 ]
diff --git a/admin-compliance/app/sdk/source-policy/page.tsx b/admin-compliance/app/sdk/source-policy/page.tsx
index ab9e5dc..d2f14c3 100644
--- a/admin-compliance/app/sdk/source-policy/page.tsx
+++ b/admin-compliance/app/sdk/source-policy/page.tsx
@@ -1,364 +1,130 @@
 'use client'
 
 /**
- * Source Policy Management Page (SDK Version)
+ * Source Policy — Quellen-Whitelist fuer RAG Pipeline
  *
- * Whitelist-based data source management for compliance RAG corpus.
- * Controls which legal sources may be used, PII rules, and audit trail.
+ * Kontrolliert welche externen Quellen (Rechtstexte, Standards, Leitfaeden)
+ * in die lokale Knowledge Base ingested werden duerfen.
+ * Enterprise-Feature fuer Kanzleien/Unternehmen mit eigenem RAG-System.
  */
 
 import { useState, useEffect } from 'react'
-import { useSDK } from '@/lib/sdk'
-import StepHeader from '@/components/sdk/StepHeader/StepHeader'
 import { SourcesTab } from '@/components/sdk/source-policy/SourcesTab'
 import { OperationsMatrixTab } from '@/components/sdk/source-policy/OperationsMatrixTab'
-import { PIIRulesTab } from '@/components/sdk/source-policy/PIIRulesTab'
-import { AuditTab } from '@/components/sdk/source-policy/AuditTab'
 
-// API base URL — now uses Next.js proxy routes
 const API_BASE = '/api/sdk/v1/source-policy'
 
 interface PolicyStats {
   active_policies: number
   allowed_sources: number
-  pii_rules: number
-  blocked_today: number
-  blocked_total: number
 }
 
-type TabId = 'dashboard' | 'sources' | 'operations' | 'pii' | 'audit' | 'blocked'
-
-interface BlockedContent {
-  id: string
-  content_type: string
-  pattern: string
-  reason: string
-  blocked_at: string
-  source?: string
-}
+type TabId = 'overview' | 'sources' | 'operations'
 
 export default function SourcePolicyPage() {
-  const { state } = useSDK()
-  const [activeTab, setActiveTab] = useState<TabId>('dashboard')
+  const [activeTab, setActiveTab] = useState<TabId>('overview')
   const [stats, setStats] = useState<PolicyStats | null>(null)
   const [loading, setLoading] = useState(true)
-  const [error, setError] = useState<string | null>(null)
-  const [blockedContent, setBlockedContent] = useState<BlockedContent[]>([])
-  const [blockedLoading, setBlockedLoading] = useState(false)
 
   useEffect(() => {
-    fetchStats()
+    fetch(`${API_BASE}/policy-stats`)
+      .then(r => r.ok ? r.json() : null)
+      .then(data => setStats(data))
+      .catch(() => {})
+      .finally(() => setLoading(false))
   }, [])
 
-  useEffect(() => {
-    if (activeTab === 'blocked') {
-      fetchBlockedContent()
-    }
-  }, [activeTab])
-
-  const fetchBlockedContent = async () => {
-    setBlockedLoading(true)
-    try {
-      const res = await fetch(`${API_BASE}/blocked-content`)
-      if (res.ok) {
-        const data = await res.json()
-        setBlockedContent(Array.isArray(data) ? data : (data.items || []))
-      }
-    } catch {
-      // silently ignore — empty state shown
-    } finally {
-      setBlockedLoading(false)
-    }
-  }
-
-  const handleRemoveBlocked = async (id: string) => {
-    try {
-      await fetch(`${API_BASE}/blocked-content/${id}`, { method: 'DELETE' })
-      setBlockedContent(prev => prev.filter(item => item.id !== id))
-    } catch {
-      // ignore
-    }
-  }
-
-  const fetchStats = async () => {
-    try {
-      setLoading(true)
-      const res = await fetch(`${API_BASE}/policy-stats`)
-
-      if (!res.ok) {
-        throw new Error('Fehler beim Laden der Statistiken')
-      }
-
-      const data = await res.json()
-      setStats(data)
-    } catch (err) {
-      setError(err instanceof Error ? err.message : 'Unbekannter Fehler')
-      setStats({
-        active_policies: 0,
-        allowed_sources: 0,
-        pii_rules: 0,
-        blocked_today: 0,
-        blocked_total: 0,
-      })
-    } finally {
-      setLoading(false)
-    }
-  }
-
-  const tabs: { id: TabId; name: string; icon: JSX.Element }[] = [
-    {
-      id: 'dashboard',
-      name: 'Dashboard',
-      icon: (
-        <svg className="w-4 h-4" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-          <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M4 6a2 2 0 012-2h2a2 2 0 012 2v2a2 2 0 01-2 2H6a2 2 0 01-2-2V6zM14 6a2 2 0 012-2h2a2 2 0 012 2v2a2 2 0 01-2 2h-2a2 2 0 01-2-2V6zM4 16a2 2 0 012-2h2a2 2 0 012 2v2a2 2 0 01-2 2H6a2 2 0 01-2-2v-2zM14 16a2 2 0 012-2h2a2 2 0 012 2v2a2 2 0 01-2 2h-2a2 2 0 01-2-2v-2z" />
-        </svg>
-      ),
-    },
-    {
-      id: 'sources',
-      name: 'Quellen',
-      icon: (
-        <svg className="w-4 h-4" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-          <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M21 12a9 9 0 01-9 9m9-9a9 9 0 00-9-9m9 9H3m9 9a9 9 0 01-9-9m9 9c1.657 0 3-4.03 3-9s-1.343-9-3-9m0 18c-1.657 0-3-4.03-3-9s1.343-9 3-9m-9 9a9 9 0 019-9" />
-        </svg>
-      ),
-    },
-    {
-      id: 'operations',
-      name: 'Operations',
-      icon: (
-        <svg className="w-4 h-4" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-          <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 5H7a2 2 0 00-2 2v12a2 2 0 002 2h10a2 2 0 002-2V7a2 2 0 00-2-2h-2M9 5a2 2 0 002 2h2a2 2 0 002-2M9 5a2 2 0 012-2h2a2 2 0 012 2m-6 9l2 2 4-4" />
-        </svg>
-      ),
-    },
-    {
-      id: 'pii',
-      name: 'PII-Regeln',
-      icon: (
-        <svg className="w-4 h-4" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-          <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M12 15v2m-6 4h12a2 2 0 002-2v-6a2 2 0 00-2-2H6a2 2 0 00-2 2v6a2 2 0 002 2zm10-10V7a4 4 0 00-8 0v4h8z" />
-        </svg>
-      ),
-    },
-    {
-      id: 'audit',
-      name: 'Audit',
-      icon: (
-        <svg className="w-4 h-4" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-          <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 12h6m-6 4h6m2 5H7a2 2 0 01-2-2V5a2 2 0 012-2h5.586a1 1 0 01.707.293l5.414 5.414a1 1 0 01.293.707V19a2 2 0 01-2 2z" />
-        </svg>
-      ),
-    },
-    {
-      id: 'blocked',
-      name: 'Blockierte Inhalte',
-      icon: (
-        <svg className="w-4 h-4" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-          <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M18.364 18.364A9 9 0 005.636 5.636m12.728 12.728A9 9 0 015.636 5.636m12.728 12.728L5.636 5.636" />
-        </svg>
-      ),
-    },
+  const tabs: { id: TabId; label: string }[] = [
+    { id: 'overview', label: 'Uebersicht' },
+    { id: 'sources', label: 'Quellen-Whitelist' },
+    { id: 'operations', label: 'Berechtigungen' },
   ]
 
   return (
     <div className="space-y-6">
-      <StepHeader stepId="source-policy" showProgress={true} />
+      {/* Header */}
+      <div>
+        <h1 className="text-2xl font-bold text-gray-900">Quellen-Verwaltung</h1>
+        <p className="mt-1 text-gray-500">
+          Definieren Sie welche externen Quellen in Ihre Knowledge Base aufgenommen werden duerfen.
+        </p>
+      </div>
 
-      {/* Error Display */}
-      {error && (
-        <div className="mb-4 p-4 bg-red-50 border border-red-200 rounded-lg text-red-700 flex items-center justify-between">
-          <span>{error}</span>
-          <button onClick={() => setError(null)} className="text-red-500 hover:text-red-700">
-            &times;
-          </button>
-        </div>
-      )}
-
-      {/* Stats Cards */}
+      {/* Stats */}
       {stats && (
-        <div className="grid grid-cols-2 md:grid-cols-4 gap-4">
-          <div className="bg-white rounded-xl border border-slate-200 p-4">
-            <div className="text-2xl font-bold text-purple-600">{stats.active_policies}</div>
-            <div className="text-sm text-slate-500">Aktive Policies</div>
+        <div className="grid grid-cols-2 gap-4">
+          <div className="bg-white rounded-xl border border-gray-200 p-6">
+            <div className="text-3xl font-bold text-green-600">{stats.allowed_sources}</div>
+            <div className="text-sm text-gray-500 mt-1">Zugelassene Quellen</div>
           </div>
-          <div className="bg-white rounded-xl border border-slate-200 p-4">
-            <div className="text-2xl font-bold text-green-600">{stats.allowed_sources}</div>
-            <div className="text-sm text-slate-500">Zugelassene Quellen</div>
-          </div>
-          <div className="bg-white rounded-xl border border-slate-200 p-4">
-            <div className="text-2xl font-bold text-red-600">{stats.blocked_today}</div>
-            <div className="text-sm text-slate-500">Blockiert (heute)</div>
-          </div>
-          <div className="bg-white rounded-xl border border-slate-200 p-4">
-            <div className="text-2xl font-bold text-blue-600">{stats.pii_rules}</div>
-            <div className="text-sm text-slate-500">PII-Regeln</div>
+          <div className="bg-white rounded-xl border border-gray-200 p-6">
+            <div className="text-3xl font-bold text-purple-600">{stats.active_policies}</div>
+            <div className="text-sm text-gray-500 mt-1">Aktive Policies</div>
           </div>
         </div>
       )}
 
       {/* Tabs */}
-      <div className="flex gap-2 flex-wrap">
-        {tabs.map((tab) => (
-          <button
-            key={tab.id}
-            onClick={() => setActiveTab(tab.id)}
-            className={`px-4 py-2 rounded-lg font-medium transition-colors flex items-center gap-2 ${
-              activeTab === tab.id
-                ? 'bg-purple-600 text-white'
-                : 'bg-slate-100 text-slate-700 hover:bg-slate-200'
-            }`}
-          >
-            {tab.icon}
-            {tab.name}
+      <div className="flex border-b border-gray-200">
+        {tabs.map(tab => (
+          <button key={tab.id} onClick={() => setActiveTab(tab.id)}
+            className={`px-4 py-3 text-sm font-medium border-b-2 -mb-px transition-colors ${
+              activeTab === tab.id ? 'text-purple-600 border-purple-600' : 'text-gray-500 border-transparent hover:text-gray-700'
+            }`}>
+            {tab.label}
           </button>
         ))}
       </div>
 
-      {/* Tab Content */}
-      <>
-        {activeTab === 'dashboard' && stats && (
-          <div className="grid grid-cols-1 md:grid-cols-2 gap-6">
-            <div className="bg-white rounded-xl border border-gray-200 p-6">
-              <h3 className="text-lg font-semibold text-gray-900 mb-4">Quellen-Uebersicht</h3>
-              <div className="space-y-4">
-                <div className="flex items-center justify-between">
-                  <span className="text-sm text-gray-600">Zugelassene Quellen</span>
-                  <span className="text-2xl font-bold text-green-600">{stats.allowed_sources}</span>
-                </div>
-                <div className="flex items-center justify-between">
-                  <span className="text-sm text-gray-600">Aktive Policies</span>
-                  <span className="text-2xl font-bold text-purple-600">{stats.active_policies}</span>
-                </div>
-                <div className="h-2 bg-gray-100 rounded-full overflow-hidden">
-                  <div
-                    className="h-full bg-green-500 rounded-full"
-                    style={{ width: `${stats.allowed_sources > 0 ? Math.min((stats.active_policies / stats.allowed_sources) * 100, 100) : 0}%` }}
-                  />
-                </div>
-              </div>
+      {/* Tab: Uebersicht */}
+      {activeTab === 'overview' && (
+        <div className="bg-white rounded-xl border border-gray-200 p-6 space-y-4">
+          <h3 className="font-semibold text-gray-900">Was ist die Quellen-Verwaltung?</h3>
+          <p className="text-sm text-gray-600">
+            Die Quellen-Verwaltung kontrolliert welche externen Dokumente und Rechtsquellen
+            in Ihre lokale RAG-Pipeline (Knowledge Base) aufgenommen werden duerfen.
+          </p>
+          <div className="grid grid-cols-1 md:grid-cols-3 gap-4 mt-4">
+            <div className="bg-green-50 rounded-lg p-4">
+              <h4 className="font-medium text-green-800 text-sm">Quellen-Whitelist</h4>
+              <p className="text-xs text-green-700 mt-1">
+                Definieren Sie vertrauenswuerdige Quellen: EUR-Lex, BSI Grundschutz,
+                Behoerden-Leitfaeden, eigene Dokumente.
+              </p>
             </div>
-
-            <div className="bg-white rounded-xl border border-gray-200 p-6">
-              <h3 className="text-lg font-semibold text-gray-900 mb-4">Datenschutz-Regeln</h3>
-              <div className="space-y-4">
-                <div className="flex items-center justify-between">
-                  <span className="text-sm text-gray-600">PII-Regeln aktiv</span>
-                  <span className="text-2xl font-bold text-blue-600">{stats.pii_rules}</span>
-                </div>
-                <div className="flex items-center justify-between">
-                  <span className="text-sm text-gray-600">Blockiert (heute)</span>
-                  <span className={`text-2xl font-bold ${stats.blocked_today > 0 ? 'text-red-600' : 'text-green-600'}`}>
-                    {stats.blocked_today}
-                  </span>
-                </div>
-                <div className="flex items-center justify-between">
-                  <span className="text-sm text-gray-600">Blockiert (gesamt)</span>
-                  <span className="text-lg font-semibold text-gray-500">{stats.blocked_total}</span>
-                </div>
-              </div>
+            <div className="bg-blue-50 rounded-lg p-4">
+              <h4 className="font-medium text-blue-800 text-sm">Berechtigungen</h4>
+              <p className="text-xs text-blue-700 mt-1">
+                Pro Quelle festlegen: Darf sie ingested, durchsucht, exportiert
+                oder mit Dritten geteilt werden?
+              </p>
             </div>
-
-            <div className="md:col-span-2 bg-white rounded-xl border border-gray-200 p-6">
-              <h3 className="text-lg font-semibold text-gray-900 mb-4">Compliance-Status</h3>
-              <div className="flex items-center gap-6">
-                <div className="flex-1 text-center p-4 bg-green-50 rounded-lg">
-                  <div className="text-sm text-green-700 font-medium">Quellen konfiguriert</div>
-                  <div className="text-3xl font-bold text-green-600 mt-1">
-                    {stats.allowed_sources > 0 ? 'Ja' : 'Nein'}
-                  </div>
-                </div>
-                <div className="flex-1 text-center p-4 bg-blue-50 rounded-lg">
-                  <div className="text-sm text-blue-700 font-medium">PII-Schutz aktiv</div>
-                  <div className="text-3xl font-bold text-blue-600 mt-1">
-                    {stats.pii_rules > 0 ? 'Ja' : 'Nein'}
-                  </div>
-                </div>
-                <div className="flex-1 text-center p-4 bg-purple-50 rounded-lg">
-                  <div className="text-sm text-purple-700 font-medium">Policies definiert</div>
-                  <div className="text-3xl font-bold text-purple-600 mt-1">
-                    {stats.active_policies > 0 ? 'Ja' : 'Nein'}
-                  </div>
-                </div>
-              </div>
+            <div className="bg-purple-50 rounded-lg p-4">
+              <h4 className="font-medium text-purple-800 text-sm">Lizenzen</h4>
+              <p className="text-xs text-purple-700 mt-1">
+                Jede Quelle wird mit Lizenzinformationen versehen
+                (DL-DE-BY, CC-BY, CC0, eigene Dokumente).
+              </p>
             </div>
           </div>
-        )}
-        {activeTab === 'dashboard' && !stats && loading && (
-          <div className="text-center py-12 text-slate-500">Lade Dashboard...</div>
-        )}
-        {activeTab === 'sources' && <SourcesTab apiBase={API_BASE} onUpdate={fetchStats} />}
-        {activeTab === 'operations' && <OperationsMatrixTab apiBase={API_BASE} />}
-        {activeTab === 'pii' && <PIIRulesTab apiBase={API_BASE} onUpdate={fetchStats} />}
-        {activeTab === 'audit' && <AuditTab apiBase={API_BASE} />}
-        {activeTab === 'blocked' && (
-          <div className="bg-white rounded-xl border border-gray-200 overflow-hidden">
-            <div className="p-4 border-b border-gray-200 flex items-center justify-between">
-              <h3 className="text-lg font-semibold text-gray-900">Blockierte Inhalte</h3>
-              <button
-                onClick={fetchBlockedContent}
-                className="text-sm text-purple-600 hover:text-purple-700"
-              >
-                Aktualisieren
-              </button>
+          {stats && stats.allowed_sources === 0 && (
+            <div className="bg-amber-50 border border-amber-200 rounded-lg p-4 mt-4">
+              <p className="text-sm text-amber-800">
+                <strong>Noch keine Quellen konfiguriert.</strong> Wechseln Sie zum Tab "Quellen-Whitelist"
+                um Ihre ersten Quellen hinzuzufuegen.
+              </p>
             </div>
+          )}
+        </div>
+      )}
 
-            {blockedLoading ? (
-              <div className="p-8 text-center text-gray-500">Lade blockierte Inhalte...</div>
-            ) : blockedContent.length === 0 ? (
-              <div className="p-8 text-center">
-                <div className="w-12 h-12 mx-auto bg-green-100 rounded-full flex items-center justify-center mb-3">
-                  <svg className="w-6 h-6 text-green-600" fill="none" stroke="currentColor" viewBox="0 0 24 24">
-                    <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 12l2 2 4-4m6 2a9 9 0 11-18 0 9 9 0 0118 0z" />
-                  </svg>
-                </div>
-                <p className="text-gray-500 text-sm">Keine blockierten Inhalte vorhanden.</p>
-              </div>
-            ) : (
-              <table className="w-full text-sm">
-                <thead className="bg-gray-50 border-b border-gray-200">
-                  <tr>
-                    <th className="text-left px-4 py-3 text-gray-600 font-medium">Typ</th>
-                    <th className="text-left px-4 py-3 text-gray-600 font-medium">Muster / Pattern</th>
-                    <th className="text-left px-4 py-3 text-gray-600 font-medium">Grund</th>
-                    <th className="text-left px-4 py-3 text-gray-600 font-medium">Blockiert am</th>
-                    <th className="text-left px-4 py-3 text-gray-600 font-medium">Quelle</th>
-                    <th className="px-4 py-3" />
-                  </tr>
-                </thead>
-                <tbody className="divide-y divide-gray-100">
-                  {blockedContent.map(item => (
-                    <tr key={item.id} className="hover:bg-gray-50">
-                      <td className="px-4 py-3">
-                        <span className="px-2 py-0.5 bg-red-100 text-red-700 rounded text-xs font-medium">
-                          {item.content_type}
-                        </span>
-                      </td>
-                      <td className="px-4 py-3 font-mono text-xs text-gray-700 max-w-xs truncate">
-                        {item.pattern}
-                      </td>
-                      <td className="px-4 py-3 text-gray-600">{item.reason}</td>
-                      <td className="px-4 py-3 text-gray-500">
-                        {new Date(item.blocked_at).toLocaleDateString('de-DE')}
-                      </td>
-                      <td className="px-4 py-3 text-gray-500">{item.source || '—'}</td>
-                      <td className="px-4 py-3 text-right">
-                        <button
-                          onClick={() => handleRemoveBlocked(item.id)}
-                          className="text-red-500 hover:text-red-700 text-xs px-2 py-1 rounded hover:bg-red-50"
-                        >
-                          Entfernen
-                        </button>
-                      </td>
-                    </tr>
-                  ))}
-                </tbody>
-              </table>
-            )}
-          </div>
-        )}
-      </>
+      {/* Tab: Quellen */}
+      {activeTab === 'sources' && <SourcesTab apiBase={API_BASE} onUpdate={() => {
+        fetch(`${API_BASE}/policy-stats`).then(r => r.ok ? r.json() : null).then(setStats).catch(() => {})
+      }} />}
+
+      {/* Tab: Berechtigungen */}
+      {activeTab === 'operations' && <OperationsMatrixTab apiBase={API_BASE} />}
     </div>
   )
 }
diff --git a/admin-compliance/app/sdk/vendor-compliance/layout.tsx b/admin-compliance/app/sdk/vendor-compliance/layout.tsx
index cdaac9a..013d896 100644
--- a/admin-compliance/app/sdk/vendor-compliance/layout.tsx
+++ b/admin-compliance/app/sdk/vendor-compliance/layout.tsx
@@ -48,6 +48,15 @@ const navItems: NavItem[] = [
       </svg>
     ),
   },
+  {
+    href: '/sdk/vendor-compliance/transfers',
+    label: 'Drittlandtransfers',
+    icon: (
+      <svg className="w-5 h-5" fill="none" viewBox="0 0 24 24" stroke="currentColor">
+        <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M3.055 11H5a2 2 0 012 2v1a2 2 0 002 2 2 2 0 012 2v2.945M8 3.935V5.5A2.5 2.5 0 0010.5 8h.5a2 2 0 012 2 2 2 0 104 0 2 2 0 012-2h1.064M15 20.488V18a2 2 0 012-2h3.064M21 12a9 9 0 11-18 0 9 9 0 0118 0z" />
+      </svg>
+    ),
+  },
   {
     href: '/sdk/vendor-compliance/risks',
     label: 'Risiken',
diff --git a/admin-compliance/app/sdk/vendor-compliance/transfers/page.tsx b/admin-compliance/app/sdk/vendor-compliance/transfers/page.tsx
new file mode 100644
index 0000000..ee3ba87
--- /dev/null
+++ b/admin-compliance/app/sdk/vendor-compliance/transfers/page.tsx
@@ -0,0 +1,340 @@
+'use client'
+
+import { useMemo, useState } from 'react'
+import { useVendorCompliance } from '@/lib/sdk/vendor-compliance'
+import { getTransferRequirement, ADEQUACY_DECISIONS, type AdequacyDecision } from '@/lib/sdk/vendor-compliance/adequacy-decisions'
+import Link from 'next/link'
+
+// ============================================================================
+// Types
+// ============================================================================
+
+interface TransferEntry {
+  vendorId: string
+  vendorName: string
+  country: string
+  isEU: boolean
+  isAdequate: boolean
+  mechanisms: string[]
+  hasSCC: boolean
+  hasTIA: boolean
+  status: 'green' | 'yellow' | 'red'
+  statusLabel: string
+}
+
+// ============================================================================
+// Helpers
+// ============================================================================
+
+function getTransferStatus(
+  isEU: boolean,
+  isAdequate: boolean,
+  mechanisms: string[],
+  hasSCC: boolean,
+): { status: 'green' | 'yellow' | 'red'; label: string } {
+  if (isEU) return { status: 'green', label: 'EU/EWR' }
+  if (isAdequate) return { status: 'green', label: 'Angemessenheitsbeschluss' }
+  if (hasSCC && mechanisms.length > 0) return { status: 'yellow', label: 'SCC vorhanden' }
+  if (mechanisms.length > 0) return { status: 'yellow', label: 'Mechanismus vorhanden' }
+  return { status: 'red', label: 'Kein Transfermechanismus' }
+}
+
+const statusColors = {
+  green: 'bg-green-100 text-green-800',
+  yellow: 'bg-amber-100 text-amber-800',
+  red: 'bg-red-100 text-red-800',
+}
+
+const statusDots = {
+  green: 'bg-green-500',
+  yellow: 'bg-amber-500',
+  red: 'bg-red-500',
+}
+
+// ============================================================================
+// Component
+// ============================================================================
+
+export default function TransfersPage() {
+  const { vendors, contracts } = useVendorCompliance()
+  const [filter, setFilter] = useState<'all' | 'green' | 'yellow' | 'red'>('all')
+
+  // Build transfer entries from vendors with non-EU processing locations
+  const transfers = useMemo<TransferEntry[]>(() => {
+    if (!vendors) return []
+
+    const entries: TransferEntry[] = []
+
+    for (const vendor of vendors) {
+      const locations = (vendor as Record<string, unknown>).processingLocations as Array<{
+        country: string; isEU: boolean; isAdequate: boolean
+      }> || []
+      const mechanisms = (vendor as Record<string, unknown>).transferMechanisms as string[] || []
+
+      // Check if vendor has any SCC contract
+      const vendorContracts = (contracts || []).filter(
+        (c: Record<string, unknown>) => c.vendorId === vendor.id
+      )
+      const hasSCC = vendorContracts.some(
+        (c: Record<string, unknown>) => c.documentType === 'SCC'
+      )
+
+      for (const loc of locations) {
+        const { status, label } = getTransferStatus(loc.isEU, loc.isAdequate, mechanisms, hasSCC)
+
+        entries.push({
+          vendorId: vendor.id,
+          vendorName: vendor.name,
+          country: loc.country,
+          isEU: loc.isEU,
+          isAdequate: loc.isAdequate,
+          mechanisms,
+          hasSCC,
+          hasTIA: false, // TODO: Check if TIA document exists for this vendor
+          status,
+          statusLabel: label,
+        })
+      }
+    }
+
+    return entries
+  }, [vendors, contracts])
+
+  // Filter
+  const filtered = filter === 'all'
+    ? transfers
+    : transfers.filter((t) => t.status === filter)
+
+  // Stats
+  const stats = useMemo(() => ({
+    total: transfers.length,
+    eu: transfers.filter((t) => t.isEU).length,
+    adequate: transfers.filter((t) => !t.isEU && t.isAdequate).length,
+    thirdCountry: transfers.filter((t) => !t.isEU && !t.isAdequate).length,
+    red: transfers.filter((t) => t.status === 'red').length,
+  }), [transfers])
+
+  return (
+    <div className="space-y-6">
+      <div>
+        <h2 className="text-2xl font-bold text-gray-900">Drittlandtransfers</h2>
+        <p className="text-sm text-gray-500 mt-1">
+          Uebersicht aller Datenuebermittlungen nach Verarbeitungsstandort. Art. 44-49 DSGVO.
+        </p>
+      </div>
+
+      {/* Stats */}
+      <div className="grid grid-cols-2 sm:grid-cols-4 gap-4">
+        <div className="bg-white rounded-xl border border-gray-200 p-4">
+          <div className="text-xs text-gray-500 uppercase tracking-wide">Gesamt</div>
+          <div className="text-2xl font-bold text-gray-900 mt-1">{stats.total}</div>
+        </div>
+        <div className="bg-white rounded-xl border border-green-200 p-4">
+          <div className="text-xs text-green-600 uppercase tracking-wide">EU/EWR + Adequat</div>
+          <div className="text-2xl font-bold text-green-700 mt-1">{stats.eu + stats.adequate}</div>
+        </div>
+        <div className="bg-white rounded-xl border border-amber-200 p-4">
+          <div className="text-xs text-amber-600 uppercase tracking-wide">Drittland (mit Mechanismus)</div>
+          <div className="text-2xl font-bold text-amber-700 mt-1">{stats.thirdCountry - stats.red}</div>
+        </div>
+        <div className="bg-white rounded-xl border border-red-200 p-4">
+          <div className="text-xs text-red-600 uppercase tracking-wide">Handlungsbedarf</div>
+          <div className="text-2xl font-bold text-red-700 mt-1">{stats.red}</div>
+        </div>
+      </div>
+
+      {/* Filter */}
+      <div className="flex gap-2">
+        {(['all', 'green', 'yellow', 'red'] as const).map((f) => (
+          <button
+            key={f}
+            onClick={() => setFilter(f)}
+            className={`px-3 py-1.5 rounded-lg text-sm font-medium transition-colors ${
+              filter === f
+                ? 'bg-gray-900 text-white'
+                : 'bg-gray-100 text-gray-600 hover:bg-gray-200'
+            }`}
+          >
+            {f === 'all' && 'Alle'}
+            {f === 'green' && 'OK'}
+            {f === 'yellow' && 'Pruefen'}
+            {f === 'red' && 'Handlungsbedarf'}
+          </button>
+        ))}
+      </div>
+
+      {/* Table */}
+      <div className="bg-white rounded-xl border border-gray-200 overflow-hidden">
+        <table className="w-full text-sm">
+          <thead className="bg-gray-50 border-b border-gray-200">
+            <tr>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">Status</th>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">Vendor</th>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">Land</th>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">Mechanismus</th>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">SCC</th>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">TIA</th>
+              <th className="text-left px-4 py-3 font-medium text-gray-500">Aktionen</th>
+            </tr>
+          </thead>
+          <tbody className="divide-y divide-gray-100">
+            {filtered.length === 0 ? (
+              <tr>
+                <td colSpan={7} className="px-4 py-8 text-center text-gray-400">
+                  {transfers.length === 0
+                    ? 'Keine Vendors mit Verarbeitungsstandorten erfasst.'
+                    : 'Keine Eintraege fuer den gewaehlten Filter.'}
+                </td>
+              </tr>
+            ) : (
+              filtered.map((t, i) => (
+                <tr key={`${t.vendorId}-${t.country}-${i}`} className="hover:bg-gray-50">
+                  <td className="px-4 py-3">
+                    <span className={`inline-flex items-center gap-1.5 px-2 py-0.5 rounded-full text-xs font-medium ${statusColors[t.status]}`}>
+                      <span className={`w-2 h-2 rounded-full ${statusDots[t.status]}`} />
+                      {t.statusLabel}
+                    </span>
+                  </td>
+                  <td className="px-4 py-3 font-medium text-gray-900">
+                    <Link
+                      href={`/sdk/vendor-compliance/vendors?id=${t.vendorId}`}
+                      className="hover:text-blue-600"
+                    >
+                      {t.vendorName}
+                    </Link>
+                  </td>
+                  <td className="px-4 py-3 text-gray-600">
+                    {t.country}
+                    {t.isEU && <span className="ml-1 text-xs text-green-600">(EU)</span>}
+                  </td>
+                  <td className="px-4 py-3 text-gray-600">
+                    {t.mechanisms.length > 0
+                      ? t.mechanisms.join(', ')
+                      : <span className="text-red-500">Keiner</span>}
+                  </td>
+                  <td className="px-4 py-3">
+                    {t.hasSCC
+                      ? <span className="text-green-600">Vorhanden</span>
+                      : <span className="text-gray-400">-</span>}
+                  </td>
+                  <td className="px-4 py-3">
+                    {t.hasTIA
+                      ? <span className="text-green-600">Vorhanden</span>
+                      : !t.isEU && !t.isAdequate
+                        ? <span className="text-red-500">Fehlt</span>
+                        : <span className="text-gray-400">-</span>}
+                  </td>
+                  <td className="px-4 py-3">
+                    {!t.isEU && !t.isAdequate && (
+                      <Link
+                        href="/sdk/document-generator"
+                        className="text-xs text-blue-600 hover:text-blue-800 font-medium"
+                      >
+                        TIA erstellen
+                      </Link>
+                    )}
+                  </td>
+                </tr>
+              ))
+            )}
+          </tbody>
+        </table>
+      </div>
+
+      {/* Explanation: What do I need to do? */}
+      <div className="bg-white rounded-xl border border-gray-200 p-6 space-y-4">
+        <h3 className="text-lg font-semibold text-gray-900">Was muss ich tun?</h3>
+        <p className="text-sm text-gray-600">
+          Wenn Ihr Unternehmen personenbezogene Daten an Empfaenger ausserhalb der EU/des EWR uebermittelt,
+          muessen Sie sicherstellen, dass ein angemessenes Datenschutzniveau besteht. Es gibt drei Wege:
+        </p>
+
+        <div className="grid md:grid-cols-3 gap-4">
+          {/* Option 1: Adequacy */}
+          <div className="border border-green-200 rounded-lg p-4 bg-green-50">
+            <div className="flex items-center gap-2 mb-2">
+              <span className="w-3 h-3 rounded-full bg-green-500" />
+              <span className="font-medium text-green-800">Angemessenheitsbeschluss</span>
+            </div>
+            <p className="text-xs text-green-700">
+              Die EU-Kommission hat fuer bestimmte Laender festgestellt, dass ein angemessenes Datenschutzniveau
+              besteht. Fuer diese Laender sind <strong>keine SCC und kein TIA erforderlich</strong>.
+            </p>
+          </div>
+
+          {/* Option 2: DPF */}
+          <div className="border border-blue-200 rounded-lg p-4 bg-blue-50">
+            <div className="flex items-center gap-2 mb-2">
+              <span className="w-3 h-3 rounded-full bg-blue-500" />
+              <span className="font-medium text-blue-800">DPF-Zertifizierung (nur USA)</span>
+            </div>
+            <p className="text-xs text-blue-700">
+              US-Unternehmen koennen sich nach dem <strong>EU-US Data Privacy Framework</strong> zertifizieren.
+              Pruefen Sie unter{' '}
+              <a href="https://www.dataprivacyframework.gov/list" target="_blank" rel="noopener noreferrer" className="underline">
+                dataprivacyframework.gov
+              </a>{' '}
+              ob Ihr US-Dienstleister zertifiziert ist. Falls ja: <strong>keine SCC/TIA noetig</strong>.
+            </p>
+          </div>
+
+          {/* Option 3: SCC + TIA */}
+          <div className="border border-amber-200 rounded-lg p-4 bg-amber-50">
+            <div className="flex items-center gap-2 mb-2">
+              <span className="w-3 h-3 rounded-full bg-amber-500" />
+              <span className="font-medium text-amber-800">SCC + TIA erforderlich</span>
+            </div>
+            <p className="text-xs text-amber-700">
+              Fuer alle anderen Drittlaender muessen Sie <strong>EU-Standardvertragsklauseln (SCC)</strong> abschliessen
+              und ein <strong>Transfer Impact Assessment (TIA)</strong> durchfuehren. Beides finden Sie im{' '}
+              <Link href="/sdk/document-generator" className="underline">Document Generator</Link> unter "Drittlandtransfer".
+            </p>
+          </div>
+        </div>
+      </div>
+
+      {/* Adequacy countries list */}
+      <details className="bg-white rounded-xl border border-gray-200">
+        <summary className="px-6 py-4 cursor-pointer text-sm font-medium text-gray-700 hover:text-purple-600">
+          Laender mit Angemessenheitsbeschluss anzeigen ({ADEQUACY_DECISIONS.length} Laender)
+        </summary>
+        <div className="px-6 pb-4">
+          <table className="w-full text-sm">
+            <thead>
+              <tr className="border-b border-gray-100">
+                <th className="text-left py-2 font-medium text-gray-500">Land</th>
+                <th className="text-left py-2 font-medium text-gray-500">Seit</th>
+                <th className="text-left py-2 font-medium text-gray-500">Einschraenkung</th>
+              </tr>
+            </thead>
+            <tbody className="divide-y divide-gray-50">
+              {ADEQUACY_DECISIONS.map((d: AdequacyDecision) => (
+                <tr key={d.countryCode}>
+                  <td className="py-2 text-gray-900">
+                    {d.countryName}
+                    {d.requiresCertification && (
+                      <span className="ml-2 text-xs text-blue-600 font-medium">Zertifizierung erforderlich</span>
+                    )}
+                  </td>
+                  <td className="py-2 text-gray-600">{d.since}</td>
+                  <td className="py-2 text-gray-500 text-xs">
+                    {d.restriction || d.expires || '—'}
+                  </td>
+                </tr>
+              ))}
+            </tbody>
+          </table>
+        </div>
+      </details>
+
+      {/* Schrems II info */}
+      <div className="bg-blue-50 border border-blue-200 rounded-lg p-4 text-sm text-blue-800">
+        <strong>Hintergrund — EuGH Schrems II:</strong> Der EuGH hat 2020 das EU-US Privacy Shield fuer ungueltig erklaert
+        und klargestellt, dass bei Drittlandtransfers immer geprueft werden muss, ob die Gesetze des Empfaengerstaats
+        den Schutz der uebermittelten Daten beeintraechtigen (z.B. durch Massenueberwachung oder fehlende Rechtsbehelfe).
+        Das TIA dokumentiert genau diese Pruefung. Seit Juli 2023 gibt es mit dem EU-US Data Privacy Framework einen neuen
+        Angemessenheitsbeschluss fuer DPF-zertifizierte US-Unternehmen.
+      </div>
+    </div>
+  )
+}
diff --git a/admin-compliance/components/sdk/ComplianceAdvisorWidget.tsx b/admin-compliance/components/sdk/ComplianceAdvisorWidget.tsx
index b2057c2..22b6208 100644
--- a/admin-compliance/components/sdk/ComplianceAdvisorWidget.tsx
+++ b/admin-compliance/components/sdk/ComplianceAdvisorWidget.tsx
@@ -141,6 +141,54 @@ export function ComplianceAdvisorWidget({ currentStep = 'default' }: ComplianceA
     setIsTyping(false)
   }, [])
 
+  const [emailSending, setEmailSending] = useState(false)
+  const [emailSent, setEmailSent] = useState(false)
+
+  const handleSendAsEmail = useCallback(async () => {
+    if (messages.length === 0 || emailSending) return
+    setEmailSending(true)
+    try {
+      // Build HTML from chat messages
+      const qaPairs = messages.reduce<{ q: string; a: string }[]>((acc, m, i) => {
+        if (m.role === 'user') {
+          const next = messages[i + 1]
+          acc.push({ q: m.content, a: next?.role === 'agent' ? next.content : '(keine Antwort)' })
+        }
+        return acc
+      }, [])
+
+      const qaHtml = qaPairs.map(({ q, a }) =>
+        `<div style="margin-bottom:16px;"><p style="font-weight:600;color:#1e293b;">Frage: ${q}</p><p style="color:#475569;white-space:pre-wrap;">${a}</p></div>`
+      ).join('')
+
+      const bodyHtml = `
+        <h2 style="color:#1e293b;">Compliance Advisor — Beratungsprotokoll</h2>
+        <p style="color:#64748b;font-size:13px;">Datum: ${new Date().toLocaleString('de-DE')} | Land: ${selectedCountry} | Kontext: ${currentStep}</p>
+        <hr style="border-color:#e2e8f0;margin:16px 0;">
+        ${qaHtml}
+        <hr style="border-color:#e2e8f0;margin:16px 0;">
+        <p style="color:#94a3b8;font-size:11px;">Automatisch erstellt vom BreakPilot Compliance Advisor (Qwen)</p>
+      `
+
+      await fetch('/api/sdk/v1/agent/notify', {
+        method: 'POST',
+        headers: { 'Content-Type': 'application/json' },
+        body: JSON.stringify({
+          recipient: 'dsb@breakpilot.local',
+          subject: `Compliance Advisor — ${qaPairs.length} Fragen (${currentStep})`,
+          body_html: bodyHtml,
+          role: 'Datenschutzbeauftragter',
+        }),
+      })
+      setEmailSent(true)
+      setTimeout(() => setEmailSent(false), 3000)
+    } catch (e) {
+      console.error('Email send failed:', e)
+    } finally {
+      setEmailSending(false)
+    }
+  }, [messages, emailSending, selectedCountry, currentStep])
+
   const handleKeyDown = (e: React.KeyboardEvent) => {
     if (e.key === 'Enter' && !e.shiftKey) {
       e.preventDefault()
@@ -188,6 +236,31 @@ export function ComplianceAdvisorWidget({ currentStep = 'default' }: ComplianceA
           </div>
         </div>
         <div className="flex items-center gap-1">
+          {/* Send as Email */}
+          {messages.length > 0 && (
+            <button
+              onClick={handleSendAsEmail}
+              disabled={emailSending}
+              className={`text-white/80 hover:text-white transition-colors ${emailSent ? 'text-green-300' : ''}`}
+              aria-label="Als Email an DSB senden"
+              title={emailSent ? 'Email gesendet!' : 'Beratungsprotokoll als Email senden'}
+            >
+              {emailSent ? (
+                <svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24">
+                  <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M5 13l4 4L19 7" />
+                </svg>
+              ) : emailSending ? (
+                <svg className="w-5 h-5 animate-spin" fill="none" viewBox="0 0 24 24">
+                  <circle className="opacity-25" cx="12" cy="12" r="10" stroke="currentColor" strokeWidth="4" />
+                  <path className="opacity-75" fill="currentColor" d="M4 12a8 8 0 018-8V0C5.373 0 0 5.373 0 12h4z" />
+                </svg>
+              ) : (
+                <svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24">
+                  <path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M3 8l7.89 5.26a2 2 0 002.22 0L21 8M5 19h14a2 2 0 002-2V7a2 2 0 00-2-2H5a2 2 0 00-2 2v10a2 2 0 002 2z" />
+                </svg>
+              )}
+            </button>
+          )}
           <button
             onClick={() => setIsExpanded(!isExpanded)}
             className="text-white/80 hover:text-white transition-colors"
diff --git a/admin-compliance/components/sdk/CookieBannerOverlay.tsx b/admin-compliance/components/sdk/CookieBannerOverlay.tsx
index 372f52d..11aaa29 100644
--- a/admin-compliance/components/sdk/CookieBannerOverlay.tsx
+++ b/admin-compliance/components/sdk/CookieBannerOverlay.tsx
@@ -93,9 +93,17 @@ export function CookieBannerOverlay() {
 
   return (
     <>
+<<<<<<< HEAD
       {/* Non-blocking banner — no overlay, no pointer-events blocking */}
       <div className="fixed bottom-0 left-16 xl:left-64 right-0 z-50 pointer-events-none">
         <div className="max-w-3xl mx-auto m-4 bg-white rounded-2xl shadow-2xl border border-gray-200 overflow-hidden pointer-events-auto">
+=======
+      {/* Overlay — leaves sidebar (left 64px/16px) accessible */}
+      <div className="fixed inset-0 ml-16 xl:ml-64 bg-black/30 z-[9998]" onClick={() => setIsOpen(false)} />
+
+      <div className="fixed bottom-0 left-0 right-0 z-[9999]">
+        <div className="max-w-3xl mx-auto m-4 bg-white rounded-2xl shadow-2xl border border-gray-200 overflow-hidden">
+>>>>>>> feat/zeroclaw-compliance-agent
 
           {/* Header with EWR toggle + close button */}
           <div className="px-6 pt-5 pb-3">
diff --git a/admin-compliance/components/sdk/ProjectSelector/ProjectSelector.tsx b/admin-compliance/components/sdk/ProjectSelector/ProjectSelector.tsx
index 4fda39a..af0cb85 100644
--- a/admin-compliance/components/sdk/ProjectSelector/ProjectSelector.tsx
+++ b/admin-compliance/components/sdk/ProjectSelector/ProjectSelector.tsx
@@ -7,6 +7,7 @@ import type { ProjectInfo } from '@/lib/sdk/types'
 import { CreateProjectDialog, normalizeProject } from './CreateProjectDialog'
 import { ProjectActionDialog } from './ProjectActionDialog'
 import { ProjectCard } from './ProjectCard'
+import { PresetSection } from '@/app/sdk/_components/PresetSection'
 
 export function ProjectSelector() {
   const router = useRouter()
@@ -152,6 +153,9 @@ export function ProjectSelector() {
         </div>
       )}
 
+      {/* Industry Presets — quick-start for new projects */}
+      {!loading && <PresetSection />}
+
       {/* Archived Projects Section */}
       {!loading && archivedProjects.length > 0 && (
         <div className="mt-8">
diff --git a/admin-compliance/components/sdk/Sidebar/SidebarModuleList.tsx b/admin-compliance/components/sdk/Sidebar/SidebarModuleList.tsx
index 6c0f5a3..fea85f2 100644
--- a/admin-compliance/components/sdk/Sidebar/SidebarModuleList.tsx
+++ b/admin-compliance/components/sdk/Sidebar/SidebarModuleList.tsx
@@ -38,6 +38,7 @@ export function SidebarModuleList({ collapsed, projectId, pendingCRCount }: Side
         <AdditionalModuleItem href="/sdk/email-templates" icon={<svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M3 8l7.89 5.26a2 2 0 002.22 0L21 8M5 19h14a2 2 0 002-2V7a2 2 0 00-2-2H5a2 2 0 00-2 2v10a2 2 0 002 2z" /></svg>} label="E-Mail-Templates" isActive={pathname === '/sdk/email-templates'} collapsed={collapsed} projectId={projectId} />
       </div>
 
+<<<<<<< HEAD
       {/* Master Controls Browser */}
       <AdditionalModuleItem
         href="/sdk/master-controls"
@@ -53,6 +54,8 @@ export function SidebarModuleList({ collapsed, projectId, pendingCRCount }: Side
         projectId={projectId}
       />
 
+=======
+>>>>>>> feat/zeroclaw-compliance-agent
       {/* Maschinenrecht / CE */}
       <div className="border-t border-gray-100 py-2">
         {!collapsed && (
@@ -129,6 +132,7 @@ export function SidebarModuleList({ collapsed, projectId, pendingCRCount }: Side
             Zusatzmodule
           </div>
         )}
+        <AdditionalModuleItem href="/sdk/rollenkonzept" icon={<svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M17 20h5v-2a3 3 0 00-5.356-1.857M17 20H7m10 0v-2c0-.656-.126-1.283-.356-1.857M7 20H2v-2a3 3 0 015.356-1.857M7 20v-2c0-.656.126-1.283.356-1.857m0 0a5.002 5.002 0 019.288 0M15 7a3 3 0 11-6 0 3 3 0 016 0zm6 3a2 2 0 11-4 0 2 2 0 014 0zM7 10a2 2 0 11-4 0 2 2 0 014 0z" /></svg>} label="Rollenkonzept" isActive={pathname?.startsWith('/sdk/rollenkonzept') ?? false} collapsed={collapsed} projectId={projectId} />
         <AdditionalModuleItem href="/sdk/training" icon={<svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M12 6.253v13m0-13C10.832 5.477 9.246 5 7.5 5S4.168 5.477 3 6.253v13C4.168 18.477 5.754 18 7.5 18s3.332.477 4.5 1.253m0-13C13.168 5.477 14.754 5 16.5 5c1.747 0 3.332.477 4.5 1.253v13C19.832 18.477 18.247 18 16.5 18c-1.746 0-3.332.477-4.5 1.253" /></svg>} label="Schulung (Admin)" isActive={pathname === '/sdk/training'} collapsed={collapsed} projectId={projectId} />
         <AdditionalModuleItem href="/sdk/training/learner" icon={<svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M16 7a4 4 0 11-8 0 4 4 0 018 0zM12 14a7 7 0 00-7 7h14a7 7 0 00-7-7z" /></svg>} label="Schulung (Learner)" isActive={pathname === '/sdk/training/learner'} collapsed={collapsed} projectId={projectId} />
         <AdditionalModuleItem href="/sdk/rag" icon={<svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M21 21l-6-6m2-5a7 7 0 11-14 0 7 7 0 0114 0z" /></svg>} label="Legal RAG" isActive={pathname === '/sdk/rag'} collapsed={collapsed} projectId={projectId} />
@@ -143,7 +147,8 @@ export function SidebarModuleList({ collapsed, projectId, pendingCRCount }: Side
         <AdditionalModuleItem href="/sdk/workshop" icon={<svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M17 20h5v-2a3 3 0 00-5.356-1.857M17 20H7m10 0v-2c0-.656-.126-1.283-.356-1.857M7 20H2v-2a3 3 0 015.356-1.857M7 20v-2c0-.656.126-1.283.356-1.857m0 0a5.002 5.002 0 019.288 0M15 7a3 3 0 11-6 0 3 3 0 016 0z" /></svg>} label="Workshop" isActive={pathname === '/sdk/workshop'} collapsed={collapsed} projectId={projectId} />
         <AdditionalModuleItem href="/sdk/portfolio" icon={<svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M19 11H5m14 0a2 2 0 012 2v6a2 2 0 01-2 2H5a2 2 0 01-2-2v-6a2 2 0 012-2m14 0V9a2 2 0 00-2-2M5 11V9a2 2 0 012-2m0 0V5a2 2 0 012-2h6a2 2 0 012 2v2M7 7h10" /></svg>} label="Portfolio" isActive={pathname === '/sdk/portfolio'} collapsed={collapsed} projectId={projectId} />
         <AdditionalModuleItem href="/sdk/roadmap" icon={<svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 17V7m0 10a2 2 0 01-2 2H5a2 2 0 01-2-2V7a2 2 0 012-2h2a2 2 0 012 2m0 10a2 2 0 002 2h2a2 2 0 002-2M9 7a2 2 0 012-2h2a2 2 0 012 2m0 10V7m0 10a2 2 0 002 2h2a2 2 0 002-2V7a2 2 0 00-2-2h-2a2 2 0 00-2 2" /></svg>} label="Roadmap" isActive={pathname === '/sdk/roadmap'} collapsed={collapsed} projectId={projectId} />
-        <AdditionalModuleItem href="/sdk/isms" icon={<svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 12l2 2 4-4m5.618-4.016A11.955 11.955 0 0112 2.944a11.955 11.955 0 01-8.618 3.04A12.02 12.02 0 003 9c0 5.591 3.824 10.29 9 11.622 5.176-1.332 9-6.03 9-11.622 0-1.042-.133-2.052-.382-3.016z" /></svg>} label="ISMS (ISO 27001)" isActive={pathname === '/sdk/isms'} collapsed={collapsed} projectId={projectId} />
+        <AdditionalModuleItem href="/sdk/source-policy" icon={<svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M21 12a9 9 0 01-9 9m9-9a9 9 0 00-9-9m9 9H3m9 9a9 9 0 01-9-9m9 9c1.657 0 3-4.03 3-9s-1.343-9-3-9m0 18c-1.657 0-3-4.03-3-9s1.343-9 3-9m-9 9a9 9 0 019-9" /></svg>} label="Quellen-Verwaltung" isActive={pathname?.startsWith('/sdk/source-policy') ?? false} collapsed={collapsed} projectId={projectId} />
+        <AdditionalModuleItem href="/sdk/isms" icon={<svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 12l2 2 4-4m5.618-4.016A11.955 11.955 0 0112 2.944a11.955 11.955 0 01-8.618 3.04A12.02 12.02 0 003 9c0 5.591 3.824 10.29 9 11.622 5.176-1.332 9-6.03 9-11.622 0-1.042-.133-2.052-.382-3.016z" /></svg>} label="ISMS Readiness" isActive={pathname === '/sdk/isms'} collapsed={collapsed} projectId={projectId} />
         <AdditionalModuleItem href="/sdk/audit-llm" icon={<svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 19v-6a2 2 0 00-2-2H5a2 2 0 00-2 2v6a2 2 0 002 2h2a2 2 0 002-2zm0 0V9a2 2 0 012-2h2a2 2 0 012 2v10m-6 0a2 2 0 002 2h2a2 2 0 002-2m0 0V5a2 2 0 012-2h2a2 2 0 012 2v14a2 2 0 01-2 2h-2a2 2 0 01-2-2z" /></svg>} label="LLM Audit" isActive={pathname === '/sdk/audit-llm'} collapsed={collapsed} projectId={projectId} />
         <AdditionalModuleItem href="/sdk/rbac" icon={<svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M9 12l2 2 4-4m5.618-4.016A11.955 11.955 0 0112 2.944a11.955 11.955 0 01-8.618 3.04A12.02 12.02 0 003 9c0 5.591 3.824 10.29 9 11.622 5.176-1.332 9-6.03 9-11.622 0-1.042-.133-2.052-.382-3.016z" /></svg>} label="RBAC Admin" isActive={pathname === '/sdk/rbac'} collapsed={collapsed} projectId={projectId} />
         <AdditionalModuleItem href="/sdk/catalog-manager" icon={<svg className="w-5 h-5" fill="none" stroke="currentColor" viewBox="0 0 24 24"><path strokeLinecap="round" strokeLinejoin="round" strokeWidth={2} d="M4 7v10c0 2.21 3.582 4 8 4s8-1.79 8-4V7M4 7c0 2.21 3.582 4 8 4s8-1.79 8-4M4 7c0-2.21 3.582-4 8-4s8 1.79 8 4m0 5c0 2.21-3.582 4-8 4s-8-1.79-8-4" /></svg>} label="Kataloge" isActive={pathname === '/sdk/catalog-manager'} collapsed={collapsed} projectId={projectId} />
diff --git a/admin-compliance/components/sdk/StepHeader/StepHeader.tsx b/admin-compliance/components/sdk/StepHeader/StepHeader.tsx
index dbef369..7120e8b 100644
--- a/admin-compliance/components/sdk/StepHeader/StepHeader.tsx
+++ b/admin-compliance/components/sdk/StepHeader/StepHeader.tsx
@@ -5,6 +5,7 @@ import Link from 'next/link'
 import { useRouter } from 'next/navigation'
 import { useSDK, getStepById, getNextStep, getPreviousStep, SDK_STEPS } from '@/lib/sdk'
 import { STEP_EXPLANATIONS } from './StepExplanations'
+export { STEP_EXPLANATIONS }
 
 // =============================================================================
 // TYPES
diff --git a/admin-compliance/components/sdk/compliance-scope/ScopeDecisionSections.tsx b/admin-compliance/components/sdk/compliance-scope/ScopeDecisionSections.tsx
index 7f43e1e..1d2e6b3 100644
--- a/admin-compliance/components/sdk/compliance-scope/ScopeDecisionSections.tsx
+++ b/admin-compliance/components/sdk/compliance-scope/ScopeDecisionSections.tsx
@@ -110,6 +110,8 @@ interface RegulationsPanelProps {
   supervisoryAuthorities?: SupervisoryAuthorityInfo[]
   regulationAssessmentLoading?: boolean
   onGoToObligations?: () => void
+  enabledModules?: string[]
+  onToggleModule?: (moduleId: string, enabled: boolean) => void
 }
 
 export function RegulationsPanel({
@@ -117,6 +119,8 @@ export function RegulationsPanel({
   supervisoryAuthorities,
   regulationAssessmentLoading,
   onGoToObligations,
+  enabledModules,
+  onToggleModule,
 }: RegulationsPanelProps) {
   if (!applicableRegulations && !regulationAssessmentLoading) return null
   return (
@@ -149,9 +153,22 @@ export function RegulationsPanel({
                   )}
                 </div>
               </div>
-              <div className="text-right text-sm text-gray-600">
-                <span>{reg.obligation_count} Pflichten</span>
-                {reg.control_count > 0 && <span className="ml-2">{reg.control_count} Controls</span>}
+              <div className="flex items-center gap-3">
+                <div className="text-right text-sm text-gray-600">
+                  <span>{reg.obligation_count} Pflichten</span>
+                  {reg.control_count > 0 && <span className="ml-2">{reg.control_count} Controls</span>}
+                </div>
+                {onToggleModule && (
+                  <label className="flex items-center gap-1.5 cursor-pointer">
+                    <input
+                      type="checkbox"
+                      checked={enabledModules?.includes(reg.id) ?? true}
+                      onChange={e => onToggleModule(reg.id, e.target.checked)}
+                      className="w-4 h-4 text-purple-600 rounded"
+                    />
+                    <span className="text-xs text-gray-500">Aktiv</span>
+                  </label>
+                )}
               </div>
             </div>
           ))}
diff --git a/admin-compliance/components/sdk/compliance-scope/ScopeDecisionTab.tsx b/admin-compliance/components/sdk/compliance-scope/ScopeDecisionTab.tsx
index bfcc173..037d67e 100644
--- a/admin-compliance/components/sdk/compliance-scope/ScopeDecisionTab.tsx
+++ b/admin-compliance/components/sdk/compliance-scope/ScopeDecisionTab.tsx
@@ -25,6 +25,8 @@ interface ScopeDecisionTabProps {
   supervisoryAuthorities?: SupervisoryAuthorityInfo[]
   regulationAssessmentLoading?: boolean
   onGoToObligations?: () => void
+  enabledModules?: string[]
+  onToggleModule?: (moduleId: string, enabled: boolean) => void
 }
 
 export function ScopeDecisionTab({
@@ -38,6 +40,8 @@ export function ScopeDecisionTab({
   supervisoryAuthorities,
   regulationAssessmentLoading,
   onGoToObligations,
+  enabledModules,
+  onToggleModule,
 }: ScopeDecisionTabProps) {
   const [expandedTrigger, setExpandedTrigger] = useState<number | null>(null)
   const [showAuditTrail, setShowAuditTrail] = useState(false)
@@ -71,6 +75,8 @@ export function ScopeDecisionTab({
         applicableRegulations={applicableRegulations}
         supervisoryAuthorities={supervisoryAuthorities}
         regulationAssessmentLoading={regulationAssessmentLoading}
+        enabledModules={enabledModules}
+        onToggleModule={onToggleModule}
         onGoToObligations={onGoToObligations}
       />
 
diff --git a/admin-compliance/e2e/playwright-live.config.ts b/admin-compliance/e2e/playwright-live.config.ts
index 685c4fa..0e8c665 100644
--- a/admin-compliance/e2e/playwright-live.config.ts
+++ b/admin-compliance/e2e/playwright-live.config.ts
@@ -1,13 +1,45 @@
+<<<<<<< HEAD
+=======
+/**
+ * Playwright config for testing against live Mac Mini instance.
+ * No webServer — assumes https://macmini:3007 is already running.
+ *
+ * Usage: npx playwright test --config=e2e/playwright-live.config.ts
+ */
+
+>>>>>>> feat/zeroclaw-compliance-agent
 import { defineConfig, devices } from '@playwright/test'
 
 export default defineConfig({
   testDir: './specs',
+<<<<<<< HEAD
   timeout: 30000,
   use: {
     baseURL: 'https://macmini:3007',
     ignoreHTTPSErrors: true,
+=======
+  fullyParallel: true,
+  retries: 0,
+  workers: 3,
+  reporter: [
+    ['html', { outputFolder: 'e2e/reports/html' }],
+    ['list'],
+  ],
+  use: {
+    baseURL: process.env.PLAYWRIGHT_BASE_URL || 'https://macmini:3007',
+    ignoreHTTPSErrors: true,
+    screenshot: 'on',
+    trace: 'on-first-retry',
+>>>>>>> feat/zeroclaw-compliance-agent
   },
   projects: [
     { name: 'chromium', use: { ...devices['Desktop Chrome'] } },
   ],
+<<<<<<< HEAD
+=======
+  outputDir: 'e2e/test-results',
+  timeout: 20000,
+  expect: { timeout: 5000 },
+  // No webServer — we test against the live instance
+>>>>>>> feat/zeroclaw-compliance-agent
 })
diff --git a/admin-compliance/e2e/specs/document-generator.spec.ts b/admin-compliance/e2e/specs/document-generator.spec.ts
new file mode 100644
index 0000000..7c8c830
--- /dev/null
+++ b/admin-compliance/e2e/specs/document-generator.spec.ts
@@ -0,0 +1,83 @@
+/**
+ * Document Generator E2E Test
+ *
+ * Prueft: Template-Library, Empfehlungen, Kategorie-Filter, Template-Auswahl
+ */
+
+import { test, expect } from '@playwright/test'
+
+const BASE = process.env.PLAYWRIGHT_BASE_URL || 'https://macmini:3007'
+
+test.describe('Document Generator', () => {
+  test('Template Library loads with templates', async ({ page }) => {
+    await page.goto(`${BASE}/sdk/document-generator`)
+    await page.waitForLoadState('networkidle')
+
+    // Wait for templates to load
+    await page.waitForTimeout(2000)
+
+    // Check that template count is shown
+    const body = await page.textContent('body')
+    expect(body).toContain('Vorlagen gesamt')
+
+    await page.screenshot({ path: 'e2e/test-results/generator-library.png', fullPage: true })
+  })
+
+  test('Category filter works', async ({ page }) => {
+    await page.goto(`${BASE}/sdk/document-generator`)
+    await page.waitForLoadState('networkidle')
+    await page.waitForTimeout(2000)
+
+    // Click on "Datenschutz" category if it exists
+    const datenschutzButton = page.locator('button', { hasText: 'Datenschutz' })
+    if (await datenschutzButton.isVisible()) {
+      await datenschutzButton.click()
+      await page.waitForTimeout(500)
+      await page.screenshot({ path: 'e2e/test-results/generator-filter-datenschutz.png' })
+    }
+
+    // Click "Alle" to reset
+    const alleButton = page.locator('button', { hasText: 'Alle' })
+    if (await alleButton.isVisible()) {
+      await alleButton.click()
+      await page.waitForTimeout(500)
+    }
+  })
+
+  test('Recommendation section visible when scope is set', async ({ page }) => {
+    await page.goto(`${BASE}/sdk/document-generator`)
+    await page.waitForLoadState('networkidle')
+    await page.waitForTimeout(2000)
+
+    // Check for recommendation section (may or may not be visible depending on scope state)
+    const recSection = page.locator('text=Empfohlene Dokumente')
+    const isVisible = await recSection.isVisible().catch(() => false)
+
+    if (isVisible) {
+      await page.screenshot({ path: 'e2e/test-results/generator-recommendations.png' })
+
+      // Check for Pflicht/Empfohlen sections
+      const pflicht = page.locator('text=Pflicht')
+      expect(await pflicht.isVisible()).toBeTruthy()
+    }
+  })
+
+  test('New template categories are present', async ({ page }) => {
+    await page.goto(`${BASE}/sdk/document-generator`)
+    await page.waitForLoadState('networkidle')
+    await page.waitForTimeout(2000)
+
+    const body = await page.textContent('body')
+
+    // Check that new categories exist
+    const expectedCategories = ['TOM', 'Whistleblower', 'HR-Datenschutz', 'Drittlandtransfer']
+    for (const cat of expectedCategories) {
+      const button = page.locator('button', { hasText: cat })
+      if (await button.isVisible()) {
+        await button.click()
+        await page.waitForTimeout(300)
+        await page.screenshot({ path: `e2e/test-results/generator-category-${cat.toLowerCase().replace(/[^a-z]/g, '')}.png` })
+      }
+    }
+  })
+})
diff --git a/admin-compliance/e2e/specs/isms-assets.spec.ts b/admin-compliance/e2e/specs/isms-assets.spec.ts
new file mode 100644
index 0000000..f70aff0
--- /dev/null
+++ b/admin-compliance/e2e/specs/isms-assets.spec.ts
@@ -0,0 +1,64 @@
+/**
+ * ISMS Asset Register E2E Test
+ *
+ * Prueft: Assets-Tab, CRUD, Filter, CSV-Export
+ */
+
+import { test, expect } from '@playwright/test'
+
+const BASE = process.env.PLAYWRIGHT_BASE_URL || 'https://macmini:3007'
+
+test.describe('ISMS — Asset Register', () => {
+  test('ISMS page loads with Assets tab', async ({ page }) => {
+    await page.goto(`${BASE}/sdk/isms`)
+    await page.waitForLoadState('networkidle')
+
+    // Check that Assets tab exists
+    const assetsTab = page.locator('button', { hasText: 'Assets' })
+    expect(await assetsTab.isVisible()).toBeTruthy()
+
+    await page.screenshot({ path: 'e2e/test-results/isms-overview.png' })
+  })
+
+  test('Assets tab shows empty state', async ({ page }) => {
+    await page.goto(`${BASE}/sdk/isms`)
+    await page.waitForLoadState('networkidle')
+
+    // Click Assets tab
+    const assetsTab = page.locator('button', { hasText: 'Assets' })
+    await assetsTab.click()
+    await page.waitForTimeout(500)
+
+    // Check for empty state or asset table
+    const body = await page.textContent('body')
+    const hasAssets = body?.includes('Gesamt') || false
+
+    await page.screenshot({ path: 'e2e/test-results/isms-assets-tab.png' })
+    expect(hasAssets).toBeTruthy()
+  })
+
+  test('Add asset form is accessible', async ({ page }) => {
+    await page.goto(`${BASE}/sdk/isms`)
+    await page.waitForLoadState('networkidle')
+
+    // Click Assets tab
+    const assetsTab = page.locator('button', { hasText: 'Assets' })
+    await assetsTab.click()
+    await page.waitForTimeout(500)
+
+    // Click "Asset hinzufuegen" button
+    const addButton = page.locator('button', { hasText: 'Asset hinzufuegen' })
+    if (await addButton.isVisible()) {
+      await addButton.click()
+      await page.waitForTimeout(300)
+
+      // Check form fields are visible
+      const body = await page.textContent('body')
+      expect(body).toContain('Name')
+      expect(body).toContain('Kategorie')
+      expect(body).toContain('Schutzbedarf')
+
+      await page.screenshot({ path: 'e2e/test-results/isms-assets-form.png' })
+    }
+  })
+})
diff --git a/admin-compliance/e2e/specs/scope-profiling.spec.ts b/admin-compliance/e2e/specs/scope-profiling.spec.ts
new file mode 100644
index 0000000..39996d5
--- /dev/null
+++ b/admin-compliance/e2e/specs/scope-profiling.spec.ts
@@ -0,0 +1,103 @@
+/**
+ * Scope Profiling Test — Three Customer Profiles
+ *
+ * Legt drei fiktive Kundenprofile an die NICHT geloescht werden:
+ * - TechStart GmbH (Startup, L1)
+ * - MittelstandHandel AG (KMU, L2)
+ * - FinanzKonzern SE (Enterprise, L4)
+ *
+ * WICHTIG: Testdaten werden NICHT aufgeraeumt (User will nachvollziehen).
+ */
+
+import { test, expect } from '@playwright/test'
+
+const BASE = process.env.PLAYWRIGHT_BASE_URL || 'https://macmini:3007'
+
+test.describe('Scope Profiling — Customer Profiles', () => {
+  test.describe.configure({ mode: 'serial' })
+
+  test('Szenario A: TechStart GmbH — Startup (L1)', async ({ page }) => {
+    // Navigate to company profile
+    await page.goto(`${BASE}/sdk/company-profile`)
+    await page.waitForLoadState('networkidle')
+
+    // Take screenshot for documentation
+    await page.screenshot({ path: 'e2e/test-results/profile-techstart-start.png' })
+
+    // Navigate to compliance scope
+    await page.goto(`${BASE}/sdk/compliance-scope`)
+    await page.waitForLoadState('networkidle')
+
+    await page.screenshot({ path: 'e2e/test-results/scope-techstart.png' })
+
+    // Navigate to document generator to check recommendations
+    await page.goto(`${BASE}/sdk/document-generator`)
+    await page.waitForLoadState('networkidle')
+
+    await page.screenshot({ path: 'e2e/test-results/generator-techstart.png' })
+
+    // Verify page loads without errors
+    const body = await page.textContent('body')
+    expect(body).not.toContain('Application error')
+  })
+
+  test('Szenario B: MittelstandHandel AG — KMU (L2)', async ({ page }) => {
+    await page.goto(`${BASE}/sdk/company-profile`)
+    await page.waitForLoadState('networkidle')
+
+    await page.screenshot({ path: 'e2e/test-results/profile-mittelstand-start.png' })
+
+    await page.goto(`${BASE}/sdk/compliance-scope`)
+    await page.waitForLoadState('networkidle')
+
+    await page.screenshot({ path: 'e2e/test-results/scope-mittelstand.png' })
+
+    // Check vendor transfers tab
+    await page.goto(`${BASE}/sdk/vendor-compliance/transfers`)
+    await page.waitForLoadState('networkidle')
+
+    await page.screenshot({ path: 'e2e/test-results/transfers-mittelstand.png' })
+
+    // Check document generator
+    await page.goto(`${BASE}/sdk/document-generator`)
+    await page.waitForLoadState('networkidle')
+
+    await page.screenshot({ path: 'e2e/test-results/generator-mittelstand.png' })
+
+    const body = await page.textContent('body')
+    expect(body).not.toContain('Application error')
+  })
+
+  test('Szenario C: FinanzKonzern SE — Enterprise (L4)', async ({ page }) => {
+    await page.goto(`${BASE}/sdk/company-profile`)
+    await page.waitForLoadState('networkidle')
+
+    await page.screenshot({ path: 'e2e/test-results/profile-finanzkonzern-start.png' })
+
+    await page.goto(`${BASE}/sdk/compliance-scope`)
+    await page.waitForLoadState('networkidle')
+
+    await page.screenshot({ path: 'e2e/test-results/scope-finanzkonzern.png' })
+
+    // Check ISMS with assets
+    await page.goto(`${BASE}/sdk/isms`)
+    await page.waitForLoadState('networkidle')
+
+    await page.screenshot({ path: 'e2e/test-results/isms-finanzkonzern.png' })
+
+    // Check whistleblower (Pflicht ab 50 MA)
+    await page.goto(`${BASE}/sdk/whistleblower`)
+    await page.waitForLoadState('networkidle')
+
+    await page.screenshot({ path: 'e2e/test-results/whistleblower-finanzkonzern.png' })
+
+    // Check document generator
+    await page.goto(`${BASE}/sdk/document-generator`)
+    await page.waitForLoadState('networkidle')
+
+    await page.screenshot({ path: 'e2e/test-results/generator-finanzkonzern.png' })
+
+    const body = await page.textContent('body')
+    expect(body).not.toContain('Application error')
+  })
+})
diff --git a/admin-compliance/e2e/specs/sdk-module-reachability.spec.ts b/admin-compliance/e2e/specs/sdk-module-reachability.spec.ts
new file mode 100644
index 0000000..cf37881
--- /dev/null
+++ b/admin-compliance/e2e/specs/sdk-module-reachability.spec.ts
@@ -0,0 +1,90 @@
+/**
+ * SDK Module Reachability Test
+ *
+ * Prueft dass alle SDK-Module erreichbar sind (kein 404, kein Crash).
+ * Schnellster Test — findet kaputte Seiten sofort.
+ */
+
+import { test, expect } from '@playwright/test'
+
+const BASE = process.env.PLAYWRIGHT_BASE_URL || 'https://macmini:3007'
+
+// All SDK module routes to test
+const SDK_ROUTES = [
+  // Phase 1: Vorbereitung
+  '/sdk/company-profile',
+  '/sdk/compliance-scope',
+  '/sdk/advisory-board',
+  '/sdk/screening',
+  '/sdk/source-policy',
+
+  // Phase 2: Analyse
+  '/sdk/requirements',
+  '/sdk/controls',
+  '/sdk/evidence',
+  '/sdk/risks',
+  '/sdk/ai-act',
+  '/sdk/audit-checklist',
+  '/sdk/audit-report',
+
+  // Phase 3: Dokumentation
+  '/sdk/obligations',
+  '/sdk/dsfa',
+  '/sdk/tom',
+  '/sdk/loeschfristen',
+  '/sdk/vvt',
+
+  // Phase 4: Rechtliche Texte
+  '/sdk/einwilligungen',
+  '/sdk/consent',
+  '/sdk/cookie-banner',
+  '/sdk/document-generator',
+  '/sdk/workflow',
+
+  // Phase 5: Betrieb
+  '/sdk/dsr',
+  '/sdk/escalations',
+  '/sdk/vendor-compliance',
+  '/sdk/vendor-compliance/transfers',
+  '/sdk/consent-management',
+  '/sdk/email-templates',
+  '/sdk/notfallplan',
+  '/sdk/incidents',
+  '/sdk/whistleblower',
+  '/sdk/academy',
+  '/sdk/training',
+  '/sdk/control-library',
+
+  // Zusatzmodule
+  '/sdk/isms',
+  '/sdk/iace',
+  '/sdk/agent',
+  '/sdk/rag',
+  '/sdk/quality',
+  '/sdk/security-backlog',
+  '/sdk/reporting',
+  '/sdk/tom-generator',
+]
+
+test.describe('SDK Module Reachability', () => {
+  for (const route of SDK_ROUTES) {
+    test(`${route} is reachable`, async ({ page }) => {
+      const response = await page.goto(`${BASE}${route}`, {
+        waitUntil: 'domcontentloaded',
+        timeout: 15000,
+      })
+
+      // Page should load successfully (not 404 or 500)
+      expect(response?.status()).toBeLessThan(400)
+
+      // Wait for client-side hydration
+      await page.waitForTimeout(2000)
+
+      // Check no visible 404 page or application error (not RSC payload)
+      const has404Page = await page.locator('h1').filter({ hasText: '404' }).count()
+      const hasAppError = await page.getByText('Application error').count()
+      expect(has404Page).toBe(0)
+      expect(hasAppError).toBe(0)
+    })
+  }
+})
diff --git a/admin-compliance/e2e/specs/vendor-transfers.spec.ts b/admin-compliance/e2e/specs/vendor-transfers.spec.ts
new file mode 100644
index 0000000..7062c54
--- /dev/null
+++ b/admin-compliance/e2e/specs/vendor-transfers.spec.ts
@@ -0,0 +1,66 @@
+/**
+ * Vendor Compliance — Transfers Tab E2E Test
+ *
+ * Prueft: Drittlandtransfer-Tab, Erklaerungen, Adequacy-Liste
+ */
+
+import { test, expect } from '@playwright/test'
+
+const BASE = process.env.PLAYWRIGHT_BASE_URL || 'https://macmini:3007'
+
+test.describe('Vendor Compliance — Transfers', () => {
+  test('Transfers tab is accessible', async ({ page }) => {
+    await page.goto(`${BASE}/sdk/vendor-compliance/transfers`)
+    await page.waitForLoadState('networkidle')
+
+    // Page should show transfer heading
+    const body = await page.textContent('body')
+    expect(body).toContain('Drittlandtransfers')
+
+    await page.screenshot({ path: 'e2e/test-results/transfers-tab.png', fullPage: true })
+  })
+
+  test('Explanation section is visible', async ({ page }) => {
+    await page.goto(`${BASE}/sdk/vendor-compliance/transfers`)
+    await page.waitForLoadState('networkidle')
+
+    // Check for the three explanation cards
+    const body = await page.textContent('body')
+    expect(body).toContain('Was muss ich tun')
+    expect(body).toContain('Angemessenheitsbeschluss')
+    expect(body).toContain('DPF-Zertifizierung')
+    expect(body).toContain('SCC + TIA')
+
+    await page.screenshot({ path: 'e2e/test-results/transfers-explanations.png' })
+  })
+
+  test('Adequacy countries list is expandable', async ({ page }) => {
+    await page.goto(`${BASE}/sdk/vendor-compliance/transfers`)
+    await page.waitForLoadState('networkidle')
+
+    // Click on the details summary to expand
+    const summary = page.locator('summary', { hasText: 'Angemessenheitsbeschluss' })
+    if (await summary.isVisible()) {
+      await summary.click()
+      await page.waitForTimeout(300)
+
+      // Check for country names
+      const body = await page.textContent('body')
+      expect(body).toContain('Schweiz')
+      expect(body).toContain('Japan')
+      expect(body).toContain('Vereinigte Staaten')
+
+      await page.screenshot({ path: 'e2e/test-results/transfers-adequacy-list.png', fullPage: true })
+    }
+  })
+
+  test('Schrems II info box is present', async ({ page }) => {
+    await page.goto(`${BASE}/sdk/vendor-compliance/transfers`)
+    await page.waitForLoadState('networkidle')
+
+    const body = await page.textContent('body')
+    expect(body).toContain('Schrems II')
+
+    await page.screenshot({ path: 'e2e/test-results/transfers-schrems.png' })
+  })
+})
diff --git a/admin-compliance/lib/sdk/company-profile-preset-data.ts b/admin-compliance/lib/sdk/company-profile-preset-data.ts
new file mode 100644
index 0000000..bd5fb0e
--- /dev/null
+++ b/admin-compliance/lib/sdk/company-profile-preset-data.ts
@@ -0,0 +1,331 @@
+import type { CompanyProfilePreset } from './company-profile-presets'
+
+export const COMPANY_PROFILE_PRESETS: CompanyProfilePreset[] = [
+  {
+    id: 'saas_startup',
+    label: 'SaaS Startup',
+    description: 'B2B Software-Startup, 1-5 Mitarbeiter, Cloud-basiert, remote-first',
+    icon: '\u{1F680}',
+    profile: {
+      legalForm: 'GmbH', industry: ['tech'], businessModel: 'b2b',
+      companySize: 'micro', employeeCount: '1-9', headquartersCountry: 'DE',
+      targetMarkets: ['DE', 'EU'], isDataController: true, isDataProcessor: true,
+    },
+    scopeHints: {
+      org_employee_count: '1-9', org_industry: 'tech', org_business_model: 'b2b',
+      proc_ai_usage: 'yes', tech_hosting_location: 'eu',
+      tech_encryption_transit: 'yes', tech_encryption_rest: 'yes',
+      comp_documentation_level: 'basic',
+    },
+    recommendedDocs: [
+      'privacy_policy', 'impressum', 'agb', 'cookie_policy', 'cookie_banner',
+      'dpa', 'tom_documentation', 'vvt_register', 'loeschkonzept',
+      'employee_dsi', 'applicant_dsi',
+    ],
+  },
+  {
+    id: 'consumer_app',
+    label: 'App Startup (Consumer)',
+    description: 'B2C Mobile App, 1-5 Mitarbeiter, App Store, Nutzerdaten',
+    icon: '\u{1F4F1}',
+    profile: {
+      legalForm: 'GmbH', industry: ['tech'], businessModel: 'b2c',
+      companySize: 'micro', employeeCount: '1-9', headquartersCountry: 'DE',
+      targetMarkets: ['DE', 'EU'], isDataController: true, isDataProcessor: false,
+    },
+    scopeHints: {
+      org_employee_count: '1-9', org_industry: 'tech', org_business_model: 'b2c',
+      data_volume: '1000-10000', proc_tracking: 'yes',
+      prod_consent_management: 'yes', tech_hosting_location: 'eu',
+    },
+    recommendedDocs: [
+      'privacy_policy', 'impressum', 'terms_of_use', 'cookie_policy', 'cookie_banner',
+      'community_guidelines', 'acceptable_use', 'widerruf',
+      'dpa', 'tom_documentation', 'vvt_register', 'loeschkonzept',
+      'employee_dsi', 'applicant_dsi', 'social_media_dsi',
+    ],
+  },
+  {
+    id: 'ecommerce',
+    label: 'E-Commerce / Online-Shop',
+    description: 'Online-Handel B2C, 5-20 Mitarbeiter, Webshop, Zahlungsabwicklung',
+    icon: '\u{1F6D2}',
+    profile: {
+      legalForm: 'GmbH', industry: ['retail'], businessModel: 'b2c',
+      companySize: 'small', employeeCount: '10-49', headquartersCountry: 'DE',
+      targetMarkets: ['DE', 'EU'], isDataController: true, isDataProcessor: false,
+    },
+    scopeHints: {
+      org_employee_count: '10-49', org_industry: 'retail', org_business_model: 'b2c',
+      prod_webshop: 'yes', data_volume: '10000-100000',
+      tech_hosting_location: 'eu', prod_consent_management: 'yes',
+    },
+    recommendedDocs: [
+      'privacy_policy', 'impressum', 'agb', 'widerruf', 'cookie_policy', 'cookie_banner',
+      'dpa', 'tom_documentation', 'vvt_register', 'loeschkonzept',
+      'employee_dsi', 'applicant_dsi',
+    ],
+  },
+  {
+    id: 'it_agency',
+    label: 'IT-Dienstleister / Agentur',
+    description: 'IT-Beratung oder Agentur, 10-50 Mitarbeiter, Kundenprojekte',
+    icon: '\u{1F4BB}',
+    profile: {
+      legalForm: 'GmbH', industry: ['tech'], businessModel: 'b2b',
+      companySize: 'small', employeeCount: '10-49', headquartersCountry: 'DE',
+      targetMarkets: ['DE', 'EU'], isDataController: true, isDataProcessor: true,
+    },
+    scopeHints: {
+      org_employee_count: '10-49', org_industry: 'tech', org_business_model: 'b2b',
+      proc_ai_usage: 'yes', tech_hosting_location: 'eu',
+      comp_vendor_management: 'yes', comp_training: 'yes',
+    },
+    recommendedDocs: [
+      'privacy_policy', 'impressum', 'agb', 'cookie_policy', 'cookie_banner',
+      'dpa', 'nda', 'sla', 'tom_documentation', 'vvt_register', 'loeschkonzept',
+      'employee_dsi', 'applicant_dsi',
+    ],
+  },
+  {
+    id: 'maschinenbau',
+    label: 'Maschinenbau KMU',
+    description: 'Maschinenbau B2B, 50-200 Mitarbeiter, Produktion, CE-Kennzeichnung',
+    icon: '\u{1F3ED}',
+    profile: {
+      legalForm: 'GmbH', industry: ['manufacturing'], businessModel: 'b2b',
+      companySize: 'medium', employeeCount: '50-249', headquartersCountry: 'DE',
+      targetMarkets: ['DE', 'EU'], isDataController: true, isDataProcessor: false,
+    },
+    scopeHints: {
+      org_employee_count: '50-249', org_industry: 'manufacturing', org_business_model: 'b2b',
+      proc_employee_monitoring: 'no', tech_hosting_location: 'eu',
+      comp_vendor_management: 'yes', comp_documentation_level: 'structured',
+    },
+    recommendedDocs: [
+      'privacy_policy', 'impressum', 'agb', 'cookie_policy', 'cookie_banner',
+      'dpa', 'nda', 'tom_documentation', 'vvt_register', 'loeschkonzept',
+      'employee_dsi', 'applicant_dsi', 'whistleblower_policy',
+      'dsfa', 'pflichtenregister',
+    ],
+  },
+  {
+    id: 'law_firm',
+    label: 'Rechtsanwaltskanzlei',
+    description: 'Kanzlei, 5-20 Mitarbeiter, Mandantendaten, besondere Vertraulichkeit',
+    icon: '\u2696\uFE0F',
+    profile: {
+      legalForm: 'PartG', industry: ['legal'], businessModel: 'b2b',
+      companySize: 'small', employeeCount: '1-9', headquartersCountry: 'DE',
+      targetMarkets: ['DE'], isDataController: true, isDataProcessor: false,
+    },
+    scopeHints: {
+      org_employee_count: '1-9', org_industry: 'legal', org_business_model: 'b2b',
+      data_art9: 'no', tech_encryption_transit: 'yes',
+      tech_encryption_rest: 'yes', comp_documentation_level: 'basic',
+    },
+    recommendedDocs: [
+      'privacy_policy', 'impressum', 'cookie_policy', 'cookie_banner',
+      'dpa', 'nda', 'tom_documentation', 'vvt_register', 'loeschkonzept',
+      'employee_dsi', 'applicant_dsi',
+    ],
+  },
+  {
+    id: 'healthcare',
+    label: 'Arztpraxis / Gesundheit',
+    description: 'Gesundheitswesen, 5-50 Mitarbeiter, Patientendaten (Art. 9), hoher Schutzbedarf',
+    icon: '\u{1F3E5}',
+    profile: {
+      legalForm: 'GbR', industry: ['healthcare'], businessModel: 'b2c',
+      companySize: 'small', employeeCount: '1-9', headquartersCountry: 'DE',
+      targetMarkets: ['DE'], isDataController: true, isDataProcessor: false,
+    },
+    scopeHints: {
+      org_employee_count: '1-9', org_industry: 'healthcare', org_business_model: 'b2c',
+      data_art9: 'yes', tech_encryption_transit: 'yes',
+      tech_encryption_rest: 'yes', comp_documentation_level: 'basic',
+    },
+    recommendedDocs: [
+      'privacy_policy', 'impressum', 'cookie_policy', 'cookie_banner',
+      'dpa', 'tom_documentation', 'vvt_register', 'loeschkonzept', 'dsfa',
+      'employee_dsi', 'applicant_dsi', 'pflichtenregister',
+    ],
+  },
+  {
+    id: 'handwerk',
+    label: 'Handwerksbetrieb',
+    description: 'Handwerk, 5-20 Mitarbeiter, Kundendaten, einfache IT',
+    icon: '\u{1F527}',
+    profile: {
+      legalForm: 'GmbH', industry: ['crafts'], businessModel: 'b2c',
+      companySize: 'small', employeeCount: '1-9', headquartersCountry: 'DE',
+      targetMarkets: ['DE'], isDataController: true, isDataProcessor: false,
+    },
+    scopeHints: {
+      org_employee_count: '1-9', org_industry: 'other', org_business_model: 'b2c',
+      data_art9: 'no', tech_hosting_location: 'eu', comp_documentation_level: 'none',
+    },
+    recommendedDocs: [
+      'privacy_policy', 'impressum', 'agb', 'cookie_policy', 'cookie_banner',
+      'tom_documentation', 'vvt_register', 'loeschkonzept', 'employee_dsi',
+    ],
+  },
+  {
+    id: 'education',
+    label: 'Bildungseinrichtung',
+    description: 'Schule, Hochschule oder Weiterbildung, 20-100 Mitarbeiter, Schuelerdaten',
+    icon: '\u{1F393}',
+    profile: {
+      legalForm: 'gGmbH', industry: ['education'], businessModel: 'b2c',
+      companySize: 'medium', employeeCount: '10-49', headquartersCountry: 'DE',
+      targetMarkets: ['DE'], isDataController: true, isDataProcessor: false,
+    },
+    scopeHints: {
+      org_employee_count: '10-49', org_industry: 'education', org_business_model: 'b2c',
+      data_minors: 'yes', tech_hosting_location: 'eu', comp_training: 'yes',
+    },
+    recommendedDocs: [
+      'privacy_policy', 'impressum', 'cookie_policy', 'cookie_banner',
+      'dpa', 'tom_documentation', 'vvt_register', 'loeschkonzept', 'dsfa',
+      'employee_dsi', 'applicant_dsi', 'pflichtenregister',
+    ],
+  },
+  {
+    id: 'enterprise',
+    label: 'Konzern / Enterprise',
+    description: 'Grossunternehmen, 500+ MA, international, reguliert, ISO 27001',
+    icon: '\u{1F3E2}',
+    profile: {
+      legalForm: 'AG', industry: ['finance'], businessModel: 'b2b',
+      companySize: 'enterprise', employeeCount: '1000+', headquartersCountry: 'DE',
+      targetMarkets: ['DE', 'EU', 'US'], isDataController: true, isDataProcessor: true,
+    },
+    scopeHints: {
+      org_employee_count: '1000+', org_industry: 'finance', org_business_model: 'b2b',
+      org_cert_target: 'iso27001', data_art9: 'yes', data_volume: '>1000000',
+      proc_ai_usage: 'yes', tech_third_country: 'yes',
+      tech_hosting_location: 'eu_us_adequacy', comp_vendor_management: 'yes',
+      comp_training: 'yes', comp_documentation_level: 'comprehensive',
+    },
+    recommendedDocs: [
+      'privacy_policy', 'impressum', 'agb', 'cookie_policy', 'cookie_banner',
+      'dpa', 'nda', 'sla', 'cloud_service_agreement',
+      'tom_documentation', 'vvt_register', 'loeschkonzept', 'dsfa', 'pflichtenregister',
+      'data_protection_concept', 'consent_texts', 'informationspflichten', 'verpflichtungserklaerung',
+      'dsr_process_art15', 'dsr_process_art16', 'dsr_process_art17',
+      'dsr_process_art18', 'dsr_process_art20', 'dsr_process_art21',
+      'isms_manual', 'it_security_concept', 'risk_management_concept',
+      'information_security_policy', 'access_control_policy', 'encryption_policy',
+      'change_management_policy', 'asset_management_policy',
+      'data_protection_policy', 'data_classification_policy',
+      'data_retention_policy', 'data_transfer_policy', 'privacy_incident_policy',
+      'employee_dsi', 'applicant_dsi', 'whistleblower_policy', 'social_media_dsi',
+      'employee_security_policy', 'security_awareness_policy', 'offboarding_policy',
+      'transfer_impact_assessment', 'scc_companion',
+      'vendor_risk_management_policy', 'third_party_security_policy',
+      'business_continuity_policy', 'disaster_recovery_policy', 'crisis_management_policy',
+      'ai_usage_policy', 'standard_operating_procedure',
+    ],
+  },
+  {
+    id: 'cloud_provider',
+    label: 'Cloud / SaaS-Anbieter',
+    description: 'Cloud-Infrastruktur oder SaaS, 20-100 MA, DevOps, ISO 27001 Ziel',
+    icon: '\u2601\uFE0F',
+    profile: {
+      legalForm: 'GmbH', industry: ['tech'], businessModel: 'b2b',
+      companySize: 'small', employeeCount: '10-49', headquartersCountry: 'DE',
+      targetMarkets: ['DE', 'EU'], isDataController: true, isDataProcessor: true,
+    },
+    scopeHints: {
+      org_employee_count: '10-49', org_industry: 'tech', org_business_model: 'b2b',
+      org_cert_iso27001: 'yes', proc_ai_usage: 'yes', tech_hosting_location: 'eu',
+      tech_encryption_transit: 'yes', tech_encryption_rest: 'yes',
+      comp_vendor_management: 'yes', comp_documentation_level: 'structured',
+    },
+    recommendedDocs: [
+      'privacy_policy', 'impressum', 'agb', 'cookie_policy', 'cookie_banner',
+      'dpa', 'nda', 'sla', 'cloud_service_agreement',
+      'tom_documentation', 'vvt_register', 'loeschkonzept', 'pflichtenregister',
+      'data_protection_concept', 'consent_texts',
+      'isms_manual', 'it_security_concept', 'backup_recovery_concept',
+      'logging_concept', 'incident_response_plan',
+      'access_control_concept', 'risk_management_concept',
+      'information_security_policy', 'access_control_policy', 'password_policy',
+      'encryption_policy', 'logging_policy', 'backup_policy',
+      'incident_response_policy', 'change_management_policy',
+      'patch_management_policy', 'asset_management_policy',
+      'cloud_security_policy', 'devsecops_policy',
+      'secrets_management_policy', 'vulnerability_management_policy',
+      'employee_dsi', 'applicant_dsi', 'employee_security_policy',
+      'remote_work_policy', 'offboarding_policy',
+      'vendor_risk_management_policy', 'third_party_security_policy',
+      'business_continuity_policy', 'disaster_recovery_policy',
+      'ai_usage_policy', 'cybersecurity_policy', 'byod_policy',
+      'standard_operating_procedure',
+    ],
+  },
+  {
+    id: 'fintech',
+    label: 'Finanzdienstleister',
+    description: 'Finanz- oder Versicherungsbranche, 50-500 MA, reguliert',
+    icon: '\u{1F3E6}',
+    profile: {
+      legalForm: 'GmbH', industry: ['finance'], businessModel: 'b2b',
+      companySize: 'medium', employeeCount: '50-249', headquartersCountry: 'DE',
+      targetMarkets: ['DE', 'EU'], isDataController: true, isDataProcessor: true,
+    },
+    scopeHints: {
+      org_employee_count: '50-249', org_industry: 'finance', org_business_model: 'b2b',
+      data_art9: 'no', data_volume: '100000-1000000', tech_hosting_location: 'eu',
+      tech_encryption_transit: 'yes', tech_encryption_rest: 'yes',
+      comp_vendor_management: 'yes', comp_training: 'yes',
+      comp_documentation_level: 'comprehensive',
+    },
+    recommendedDocs: [
+      'privacy_policy', 'impressum', 'agb', 'cookie_policy', 'cookie_banner',
+      'dpa', 'nda', 'sla',
+      'tom_documentation', 'vvt_register', 'loeschkonzept', 'dsfa', 'pflichtenregister',
+      'data_protection_concept', 'verpflichtungserklaerung', 'informationspflichten',
+      'dsr_process_art15', 'dsr_process_art17', 'dsr_process_art20',
+      'data_protection_policy', 'data_classification_policy',
+      'data_retention_policy', 'data_transfer_policy', 'privacy_incident_policy',
+      'it_security_concept', 'risk_management_concept',
+      'information_security_policy', 'access_control_policy', 'encryption_policy',
+      'employee_dsi', 'applicant_dsi', 'whistleblower_policy',
+      'employee_security_policy', 'security_awareness_policy', 'offboarding_policy',
+      'transfer_impact_assessment', 'vendor_risk_management_policy',
+      'supplier_security_policy',
+      'business_continuity_policy', 'disaster_recovery_policy', 'crisis_management_policy',
+      'standard_operating_procedure',
+    ],
+  },
+  {
+    id: 'platform',
+    label: 'Plattform / Marketplace',
+    description: 'Online-Plattform mit Nutzern, UGC, Community, 10-50 MA',
+    icon: '\u{1F310}',
+    profile: {
+      legalForm: 'GmbH', industry: ['tech'], businessModel: 'b2b2c',
+      companySize: 'small', employeeCount: '10-49', headquartersCountry: 'DE',
+      targetMarkets: ['DE', 'EU'], isDataController: true, isDataProcessor: false,
+    },
+    scopeHints: {
+      org_employee_count: '10-49', org_industry: 'tech', org_business_model: 'b2b2c',
+      data_volume: '10000-100000', proc_tracking: 'yes',
+      prod_ugc_platform: 'yes', prod_consent_management: 'yes',
+      tech_hosting_location: 'eu',
+    },
+    recommendedDocs: [
+      'privacy_policy', 'impressum', 'terms_of_use', 'agb',
+      'cookie_policy', 'cookie_banner', 'dpa',
+      'community_guidelines', 'acceptable_use',
+      'media_content_policy', 'copyright_policy', 'data_usage_clause',
+      'tom_documentation', 'vvt_register', 'loeschkonzept', 'dsfa',
+      'consent_texts', 'social_media_dsi', 'video_conference_dsi',
+      'dsr_process_art15', 'dsr_process_art17', 'dsr_process_art20', 'dsr_process_art21',
+      'employee_dsi', 'applicant_dsi',
+      'ai_usage_policy',
+    ],
+  },
+]
diff --git a/admin-compliance/lib/sdk/company-profile-presets.ts b/admin-compliance/lib/sdk/company-profile-presets.ts
new file mode 100644
index 0000000..3d047f9
--- /dev/null
+++ b/admin-compliance/lib/sdk/company-profile-presets.ts
@@ -0,0 +1,33 @@
+/**
+ * Company Profile Presets — Branchenvorlagen fuer typische Kundenszenarien
+ *
+ * Jeder Preset enthaelt ein vorbefuelltes CompanyProfile + typische Scope-Antworten.
+ * Der Kunde waehlt beim Onboarding ein Profil und passt es dann an.
+ *
+ * Data split: Interface here, preset data in ./company-profile-preset-data.ts
+ */
+
+export interface CompanyProfilePreset {
+  id: string
+  label: string
+  description: string
+  icon: string
+  /** Vorbefuellte CompanyProfile-Felder */
+  profile: {
+    legalForm: string
+    industry: string[]
+    businessModel: string
+    companySize: string
+    employeeCount: string
+    headquartersCountry: string
+    targetMarkets: string[]
+    isDataController: boolean
+    isDataProcessor: boolean
+  }
+  /** Typische Scope-Antworten fuer diese Branche */
+  scopeHints: Record<string, string>
+  /** Typische Dokumente die diese Branche braucht */
+  recommendedDocs: string[]
+}
+
+export { COMPANY_PROFILE_PRESETS } from './company-profile-preset-data'
diff --git a/admin-compliance/lib/sdk/compliance-scope-data.ts b/admin-compliance/lib/sdk/compliance-scope-data.ts
index 57b72b3..5a26b6e 100644
--- a/admin-compliance/lib/sdk/compliance-scope-data.ts
+++ b/admin-compliance/lib/sdk/compliance-scope-data.ts
@@ -52,6 +52,15 @@ export const QUESTION_SCORE_WEIGHTS: Record<
   comp_training: { risk: 5, complexity: 4, assurance: 7 },
   comp_vendor_management: { risk: 6, complexity: 6, assurance: 7 },
   comp_documentation_level: { risk: 6, complexity: 7, assurance: 8 },
+
+  // Zusaetzliche Fragen fuer Template-Empfehlungen (7 Fragen)
+  org_has_employees: { risk: 2, complexity: 3, assurance: 3 },
+  org_has_social_media: { risk: 3, complexity: 2, assurance: 3 },
+  org_has_video_conferencing: { risk: 2, complexity: 2, assurance: 2 },
+  proc_uses_ai_tools: { risk: 7, complexity: 6, assurance: 7 },
+  proc_byod_allowed: { risk: 5, complexity: 4, assurance: 5 },
+  prod_ugc_platform: { risk: 6, complexity: 5, assurance: 6 },
+  org_cert_iso27001: { risk: 2, complexity: 8, assurance: 9 },
 }
 
 // ============================================================================
diff --git a/admin-compliance/lib/sdk/dsfa/bundesland-blacklists.ts b/admin-compliance/lib/sdk/dsfa/bundesland-blacklists.ts
new file mode 100644
index 0000000..22a677d
--- /dev/null
+++ b/admin-compliance/lib/sdk/dsfa/bundesland-blacklists.ts
@@ -0,0 +1,113 @@
+/**
+ * DSFA Bundesland-Blacklists — Verarbeitungen die IMMER eine DSFA erfordern.
+ *
+ * Jede Aufsichtsbehoerde fuehrt eine eigene Positiv-/Negativliste
+ * gemaess Art. 35 Abs. 4 DSGVO. Diese Listen definieren Verarbeitungen
+ * die UNABHAENGIG von der Schwellwertanalyse eine DSFA erfordern.
+ *
+ * Quellen: Offizielle Muss-Listen der LfDI/BfDI (oeffentlich zugaenglich).
+ * KEIN Normtext — eigene Zusammenfassung der Kriterien.
+ */
+
+export interface BlacklistEntry {
+  id: string
+  description: string
+  triggerKeywords: string[]
+}
+
+export interface BundeslandBlacklist {
+  state: string
+  stateCode: string
+  authority: string
+  authorityUrl: string
+  entries: BlacklistEntry[]
+}
+
+// Gemeinsame Kriterien die in ALLEN Bundeslaendern gelten (DSK-Liste)
+const DSK_COMMON: BlacklistEntry[] = [
+  { id: 'dsk-01', description: 'Umfangreiche Verarbeitung besonderer Kategorien (Art. 9)', triggerKeywords: ['art9', 'gesundheit', 'biometrie', 'genetik', 'religion', 'gewerkschaft'] },
+  { id: 'dsk-02', description: 'Systematische umfangreiche Ueberwachung oeffentlicher Bereiche', triggerKeywords: ['videoueberwachung', 'kamera', 'oeffentlich', 'ueberwachung'] },
+  { id: 'dsk-03', description: 'Scoring/Profiling mit rechtlicher Wirkung', triggerKeywords: ['scoring', 'profiling', 'bonitaet', 'kredit', 'automatisiert'] },
+  { id: 'dsk-04', description: 'Verarbeitung von Daten Minderjaehriger fuer Marketing/Profiling', triggerKeywords: ['minderjaehrig', 'kinder', 'schueler', 'marketing'] },
+  { id: 'dsk-05', description: 'Zusammenfuehrung von Daten aus verschiedenen Quellen', triggerKeywords: ['zusammenfuehrung', 'matching', 'datenfusion', 'big data'] },
+  { id: 'dsk-06', description: 'Einsatz neuer Technologien (KI, Biometrie, IoT)', triggerKeywords: ['ki', 'kuenstliche intelligenz', 'biometrie', 'iot', 'gesichtserkennung'] },
+  { id: 'dsk-07', description: 'Umfangreiche Verarbeitung von Standortdaten', triggerKeywords: ['standort', 'gps', 'tracking', 'bewegungsprofil'] },
+  { id: 'dsk-08', description: 'Verarbeitung von Beschaeftigtendaten mit Ueberwachungscharakter', triggerKeywords: ['mitarbeiterueberwachung', 'keylogger', 'bildschirmaufnahme', 'leistungskontrolle'] },
+  { id: 'dsk-09', description: 'Anonymisierung besonderer Kategorien', triggerKeywords: ['anonymisierung', 'art9', 'pseudonymisierung'] },
+  { id: 'dsk-10', description: 'Verarbeitung von Kommunikationsinhalten oder -metadaten', triggerKeywords: ['kommunikation', 'email', 'telefon', 'metadaten', 'inhaltsdaten'] },
+]
+
+// Bundesland-spezifische Ergaenzungen
+const BAYERN_EXTRA: BlacklistEntry[] = [
+  { id: 'by-01', description: 'Betrieb von Whistleblower-Systemen mit Identifizierungsrisiko', triggerKeywords: ['whistleblower', 'hinweisgeber', 'meldesystem'] },
+  { id: 'by-02', description: 'Einsatz von Drohnen mit Kamera in oeffentlichen Bereichen', triggerKeywords: ['drohne', 'uav', 'luftaufnahme'] },
+]
+
+const NRW_EXTRA: BlacklistEntry[] = [
+  { id: 'nw-01', description: 'Social-Media-Monitoring von Mitarbeitern oder Bewerbern', triggerKeywords: ['social media', 'monitoring', 'bewerber', 'hintergrundcheck'] },
+]
+
+const BERLIN_EXTRA: BlacklistEntry[] = [
+  { id: 'be-01', description: 'Automatisierte Mieterbonitaetspruefung', triggerKeywords: ['mieter', 'bonitaet', 'wohnung', 'schufa'] },
+]
+
+export const BUNDESLAND_BLACKLISTS: Record<string, BundeslandBlacklist> = {
+  BW: { state: 'Baden-Wuerttemberg', stateCode: 'BW', authority: 'LfDI BW', authorityUrl: 'https://www.baden-wuerttemberg.datenschutz.de', entries: [...DSK_COMMON] },
+  BY: { state: 'Bayern', stateCode: 'BY', authority: 'BayLDA', authorityUrl: 'https://www.lda.bayern.de', entries: [...DSK_COMMON, ...BAYERN_EXTRA] },
+  BE: { state: 'Berlin', stateCode: 'BE', authority: 'BlnBDI', authorityUrl: 'https://www.datenschutz-berlin.de', entries: [...DSK_COMMON, ...BERLIN_EXTRA] },
+  BB: { state: 'Brandenburg', stateCode: 'BB', authority: 'LDA BB', authorityUrl: 'https://www.lda.brandenburg.de', entries: [...DSK_COMMON] },
+  HB: { state: 'Bremen', stateCode: 'HB', authority: 'LfDI HB', authorityUrl: 'https://www.datenschutz.bremen.de', entries: [...DSK_COMMON] },
+  HH: { state: 'Hamburg', stateCode: 'HH', authority: 'HmbBfDI', authorityUrl: 'https://datenschutz-hamburg.de', entries: [...DSK_COMMON] },
+  HE: { state: 'Hessen', stateCode: 'HE', authority: 'HBDI', authorityUrl: 'https://datenschutz.hessen.de', entries: [...DSK_COMMON] },
+  MV: { state: 'Mecklenburg-Vorpommern', stateCode: 'MV', authority: 'LfDI MV', authorityUrl: 'https://www.datenschutz-mv.de', entries: [...DSK_COMMON] },
+  NI: { state: 'Niedersachsen', stateCode: 'NI', authority: 'LfD NI', authorityUrl: 'https://lfd.niedersachsen.de', entries: [...DSK_COMMON] },
+  NW: { state: 'Nordrhein-Westfalen', stateCode: 'NW', authority: 'LDI NRW', authorityUrl: 'https://www.ldi.nrw.de', entries: [...DSK_COMMON, ...NRW_EXTRA] },
+  RP: { state: 'Rheinland-Pfalz', stateCode: 'RP', authority: 'LfDI RP', authorityUrl: 'https://www.datenschutz.rlp.de', entries: [...DSK_COMMON] },
+  SL: { state: 'Saarland', stateCode: 'SL', authority: 'UDZ Saarland', authorityUrl: 'https://www.datenschutz.saarland.de', entries: [...DSK_COMMON] },
+  SN: { state: 'Sachsen', stateCode: 'SN', authority: 'SDB', authorityUrl: 'https://www.saechsdsb.de', entries: [...DSK_COMMON] },
+  ST: { state: 'Sachsen-Anhalt', stateCode: 'ST', authority: 'LfD LSA', authorityUrl: 'https://datenschutz.sachsen-anhalt.de', entries: [...DSK_COMMON] },
+  SH: { state: 'Schleswig-Holstein', stateCode: 'SH', authority: 'ULD SH', authorityUrl: 'https://www.datenschutzzentrum.de', entries: [...DSK_COMMON] },
+  TH: { state: 'Thueringen', stateCode: 'TH', authority: 'TLfDI', authorityUrl: 'https://www.tlfdi.de', entries: [...DSK_COMMON] },
+}
+
+/**
+ * Check scope answers against Bundesland blacklist.
+ * Returns matching entries that REQUIRE a DSFA.
+ */
+export function checkBlacklist(
+  stateCode: string,
+  scopeKeywords: string[],
+): { matches: BlacklistEntry[]; authority: string; authorityUrl: string } {
+  const bl = BUNDESLAND_BLACKLISTS[stateCode]
+  if (!bl) return { matches: [], authority: 'BfDI', authorityUrl: 'https://www.bfdi.bund.de' }
+
+  const lowerKeywords = scopeKeywords.map(k => k.toLowerCase())
+  const matches = bl.entries.filter(entry =>
+    entry.triggerKeywords.some(tk => lowerKeywords.some(kw => kw.includes(tk) || tk.includes(kw)))
+  )
+
+  return { matches, authority: bl.authority, authorityUrl: bl.authorityUrl }
+}
+
+/**
+ * Derive keywords from scope answers for blacklist matching.
+ */
+export function scopeAnswersToKeywords(answers: Array<{ questionId: string; value: unknown }>): string[] {
+  const keywords: string[] = []
+  for (const a of answers) {
+    if (a.value === true || a.value === 'yes') {
+      keywords.push(a.questionId.replace(/_/g, ' '))
+      // Map specific question IDs to keywords
+      if (a.questionId === 'data_art9') keywords.push('art9', 'besondere kategorien')
+      if (a.questionId === 'data_minors') keywords.push('minderjaehrig', 'kinder')
+      if (a.questionId === 'proc_adm_scoring') keywords.push('scoring', 'profiling', 'automatisiert')
+      if (a.questionId === 'proc_video_surveillance') keywords.push('videoueberwachung', 'kamera')
+      if (a.questionId === 'proc_ai_usage') keywords.push('ki', 'kuenstliche intelligenz')
+      if (a.questionId === 'proc_employee_monitoring') keywords.push('mitarbeiterueberwachung')
+    }
+    if (Array.isArray(a.value)) {
+      for (const v of a.value) keywords.push(String(v).toLowerCase())
+    }
+  }
+  return keywords
+}
diff --git a/admin-compliance/lib/sdk/dsfa/prefill-from-scope.ts b/admin-compliance/lib/sdk/dsfa/prefill-from-scope.ts
new file mode 100644
index 0000000..3e0afeb
--- /dev/null
+++ b/admin-compliance/lib/sdk/dsfa/prefill-from-scope.ts
@@ -0,0 +1,224 @@
+/**
+ * DSFA Pre-Fill — derives initial DSFA data from Company Profile + Scope answers.
+ *
+ * Maps: Firmensitz → Bundesland, Scope-Antworten → Datenkategorien/Risiken,
+ * Use Cases → Verarbeitungstaetigkeiten, DPO → Beratungsinformationen.
+ */
+
+import type { ScopeProfilingAnswer } from '@/lib/sdk/compliance-scope-types'
+
+interface CompanyProfileMinimal {
+  headquartersState?: string
+  industry?: string[]
+  businessModel?: string
+  dpoName?: string | null
+  dpoEmail?: string | null
+  companyName?: string
+}
+
+export interface DSFAPrefillResult {
+  title: string
+  description: string
+  processingActivity: string
+  dataCategories: string[]
+  dataSubjects: string[]
+  riskLevel: string
+  measures: string[]
+  federalState: string
+  involvesAi: boolean
+  legalBasis: string
+  processingPurpose: string
+  affectedRights: string[]
+}
+
+const ART9_CATEGORY_MAP: Record<string, string> = {
+  health: 'Gesundheitsdaten',
+  biometric: 'Biometrische Daten',
+  genetic: 'Genetische Daten',
+  ethnic: 'Ethnische Herkunft',
+  political: 'Politische Meinungen',
+  religious: 'Religioese Ueberzeugungen',
+  union: 'Gewerkschaftszugehoerigkeit',
+  sexual: 'Sexualleben/Orientierung',
+}
+
+const BUNDESLAND_LABELS: Record<string, string> = {
+  BW: 'Baden-Wuerttemberg', BY: 'Bayern', BE: 'Berlin', BB: 'Brandenburg',
+  HB: 'Bremen', HH: 'Hamburg', HE: 'Hessen', MV: 'Mecklenburg-Vorpommern',
+  NI: 'Niedersachsen', NW: 'Nordrhein-Westfalen', RP: 'Rheinland-Pfalz',
+  SL: 'Saarland', SN: 'Sachsen', ST: 'Sachsen-Anhalt',
+  SH: 'Schleswig-Holstein', TH: 'Thueringen',
+}
+
+function getAnswer(answers: ScopeProfilingAnswer[], questionId: string): string | string[] | boolean | undefined {
+  const a = answers.find(a => a.questionId === questionId)
+  return a?.value as string | string[] | boolean | undefined
+}
+
+export function prefillDSFAFromScope(
+  profile: CompanyProfileMinimal | null,
+  scopeAnswers: ScopeProfilingAnswer[],
+): DSFAPrefillResult {
+  const result: DSFAPrefillResult = {
+    title: '',
+    description: '',
+    processingActivity: '',
+    dataCategories: [],
+    dataSubjects: [],
+    riskLevel: 'mittel',
+    measures: ['Zugriffskontrolle', 'Verschluesselung'],
+    federalState: '',
+    involvesAi: false,
+    legalBasis: '',
+    processingPurpose: '',
+    affectedRights: [],
+  }
+
+  // 1. Firmensitz → Bundesland
+  if (profile?.headquartersState) {
+    result.federalState = profile.headquartersState
+  }
+
+  // 2. Art. 9 Daten → Datenkategorien + Risikostufe
+  const art9 = getAnswer(scopeAnswers, 'data_art9')
+  if (art9 === true || art9 === 'yes') {
+    result.dataCategories.push('Besondere Kategorien (Art. 9)')
+    result.riskLevel = 'hoch'
+    result.title = 'DSFA — Verarbeitung besonderer Datenkategorien'
+  }
+  if (Array.isArray(art9)) {
+    for (const cat of art9) {
+      const label = ART9_CATEGORY_MAP[cat]
+      if (label) result.dataCategories.push(label)
+    }
+    if (art9.length > 0) result.riskLevel = 'hoch'
+  }
+
+  // 3. Minderjährige → Betroffene + Risiko
+  const minors = getAnswer(scopeAnswers, 'data_minors')
+  if (minors === true || minors === 'yes') {
+    result.dataSubjects.push('Minderjaehrige (unter 16 Jahre)')
+    result.riskLevel = 'hoch'
+    result.affectedRights.push('Besonderer Schutz Minderjaehriger (Art. 8 DSGVO)')
+    if (!result.title) result.title = 'DSFA — Verarbeitung von Daten Minderjaehriger'
+  }
+
+  // 4. Automatisierte Entscheidungen (Scoring)
+  const scoring = getAnswer(scopeAnswers, 'proc_adm_scoring')
+  if (scoring === true || scoring === 'yes') {
+    result.affectedRights.push('Recht auf nicht-automatisierte Entscheidung (Art. 22 DSGVO)')
+    result.riskLevel = 'hoch'
+    if (!result.title) result.title = 'DSFA — Automatisierte Einzelentscheidungen'
+    result.measures.push('Menschliche Pruefung')
+  }
+
+  // 5. KI-Einsatz
+  const aiUsage = getAnswer(scopeAnswers, 'proc_ai_usage')
+  if (aiUsage === true || aiUsage === 'yes' || (Array.isArray(aiUsage) && aiUsage.length > 0)) {
+    result.involvesAi = true
+    result.measures.push('KI-Transparenz', 'Human Oversight')
+    if (!result.title) result.title = 'DSFA — KI-gestuetzte Datenverarbeitung'
+  }
+
+  // 6. Videoueberwachung
+  const video = getAnswer(scopeAnswers, 'proc_video_surveillance')
+  if (video === true || video === 'yes') {
+    result.dataCategories.push('Videoaufnahmen / Bilddaten')
+    result.dataSubjects.push('Besucher', 'Mitarbeiter')
+    if (!result.title) result.title = 'DSFA — Videoueberwachung'
+  }
+
+  // 7. Datenvolumen
+  const volume = getAnswer(scopeAnswers, 'data_volume')
+  if (volume === '100000-1000000' || volume === '>1000000') {
+    result.riskLevel = 'hoch'
+    result.description += 'Grosse Datenmengen erhoehen das Risiko fuer Betroffene. '
+  }
+
+  // 8. Branche + Geschaeftsmodell → Verarbeitungszweck
+  if (profile?.industry?.length) {
+    const ind = profile.industry[0]
+    const purposeMap: Record<string, string> = {
+      healthcare: 'Patientenversorgung und Gesundheitsdatenverarbeitung',
+      finance: 'Finanzdienstleistungen und Bonitaetspruefung',
+      education: 'Bildungsverwaltung und Schuelerbetreuung',
+      tech: 'Software-Entwicklung und Cloud-Dienste',
+      retail: 'Handel und Kundenbeziehungsmanagement',
+      legal: 'Mandatsbearbeitung und Rechtsberatung',
+    }
+    result.processingPurpose = purposeMap[ind] || ''
+    result.processingActivity = purposeMap[ind] || ''
+  }
+
+  if (profile?.businessModel === 'b2c') {
+    result.dataSubjects.push('Endverbraucher')
+    result.legalBasis = 'Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung)'
+  } else if (profile?.businessModel === 'b2b') {
+    result.dataSubjects.push('Geschaeftskunden', 'Ansprechpartner')
+    result.legalBasis = 'Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)'
+  }
+
+  // Deduplicate
+  result.dataCategories = [...new Set(result.dataCategories)]
+  result.dataSubjects = [...new Set(result.dataSubjects)]
+  result.measures = [...new Set(result.measures)]
+  result.affectedRights = [...new Set(result.affectedRights)]
+
+  // Default title if nothing triggered
+  if (!result.title) {
+    result.title = `DSFA — ${profile?.companyName || 'Datenverarbeitung'}`
+  }
+
+  return result
+}
+
+/**
+ * Check if DSFA is required based on scope answers (Art. 35 Abs. 3 triggers)
+ * AND Bundesland-specific blacklist (Art. 35 Abs. 4).
+ */
+export function isDSFARequired(
+  scopeAnswers: ScopeProfilingAnswer[],
+  headquartersState?: string,
+): {
+  required: boolean
+  triggers: string[]
+  blacklistMatches: string[]
+  authority?: string
+} {
+  const triggers: string[] = []
+
+  if (getAnswer(scopeAnswers, 'data_art9') === true || getAnswer(scopeAnswers, 'data_art9') === 'yes') {
+    triggers.push('Besondere Datenkategorien (Art. 9 DSGVO)')
+  }
+  if (getAnswer(scopeAnswers, 'data_minors') === true || getAnswer(scopeAnswers, 'data_minors') === 'yes') {
+    triggers.push('Daten Minderjaehriger (Art. 8 DSGVO)')
+  }
+  if (getAnswer(scopeAnswers, 'proc_adm_scoring') === true || getAnswer(scopeAnswers, 'proc_adm_scoring') === 'yes') {
+    triggers.push('Automatisierte Einzelentscheidungen (Art. 22 DSGVO)')
+  }
+  if (getAnswer(scopeAnswers, 'proc_video_surveillance') === true || getAnswer(scopeAnswers, 'proc_video_surveillance') === 'yes') {
+    triggers.push('Systematische Ueberwachung (Art. 35 Abs. 3 lit. c)')
+  }
+  const vol = getAnswer(scopeAnswers, 'data_volume')
+  if (vol === '100000-1000000' || vol === '>1000000') {
+    triggers.push('Umfangreiche Datenverarbeitung (Art. 35 Abs. 3 lit. b)')
+  }
+
+  // Bundesland-Blacklist (Art. 35 Abs. 4)
+  let blacklistMatches: string[] = []
+  let authority: string | undefined
+  if (headquartersState) {
+    const { checkBlacklist, scopeAnswersToKeywords } = require('./bundesland-blacklists')
+    const keywords = scopeAnswersToKeywords(scopeAnswers)
+    const result = checkBlacklist(headquartersState, keywords)
+    blacklistMatches = result.matches.map((m: { description: string }) => m.description)
+    authority = result.authority
+  }
+
+  return {
+    required: triggers.length > 0 || blacklistMatches.length > 0,
+    triggers,
+    blacklistMatches,
+    authority,
+  }
+}
diff --git a/admin-compliance/lib/sdk/einwilligungen/generator/cookie-banner-embed.ts b/admin-compliance/lib/sdk/einwilligungen/generator/cookie-banner-embed.ts
index 6b553d7..957f3ce 100644
--- a/admin-compliance/lib/sdk/einwilligungen/generator/cookie-banner-embed.ts
+++ b/admin-compliance/lib/sdk/einwilligungen/generator/cookie-banner-embed.ts
@@ -245,13 +245,16 @@ function generateHTML(config: CookieBannerConfig, privacyPolicyUrl: string): str
   const categoriesHTML = config.categories
     .map((cat) => {
       const isRequired = cat.isRequired
+      // COMPLIANCE: Only "required" categories may be pre-enabled (EuGH Planet49)
+      // Non-required categories must NEVER be defaultEnabled
+      const isEnabled = isRequired ? true : false
       return `
       <div class="cookie-banner-category" data-category="${cat.id}">
         <div class="cookie-banner-category-info">
           <div class="cookie-banner-category-name">${cat.name.de}</div>
           <div class="cookie-banner-category-desc">${cat.description.de}</div>
         </div>
-        <div class="cookie-banner-toggle ${cat.defaultEnabled ? 'active' : ''} ${isRequired ? 'disabled' : ''}"
+        <div class="cookie-banner-toggle ${isEnabled ? 'active' : ''} ${isRequired ? 'disabled' : ''}"
              data-category="${cat.id}"
              data-required="${isRequired}"></div>
       </div>
@@ -286,10 +289,22 @@ function generateHTML(config: CookieBannerConfig, privacyPolicyUrl: string): str
     </div>
   </div>
 
-  <a href="${privacyPolicyUrl}" class="cookie-banner-link" target="_blank">
-    ${config.texts.privacyPolicyLink.de}
-  </a>
+  <div class="cookie-banner-links">
+    <a href="${privacyPolicyUrl}" class="cookie-banner-link" target="_blank">
+      ${config.texts.privacyPolicyLink.de}
+    </a>
+    <a href="${config.impressumUrl || '/impressum'}" class="cookie-banner-link" target="_blank">
+      Impressum
+    </a>
+  </div>
 </div>
+
+<!-- Cookie Settings Re-Open (§7(3) DSGVO — Widerruf so einfach wie Einwilligung) -->
+<a href="#" id="cookieBannerReopen" class="cookie-settings-footer-link"
+   onclick="document.getElementById('cookieBanner').style.display='block';document.getElementById('cookieBannerOverlay').classList.add('active');return false;"
+   style="position:fixed;bottom:8px;left:8px;z-index:9990;font-size:11px;color:#6b7280;text-decoration:none;background:rgba(255,255,255,0.9);padding:4px 8px;border-radius:4px;border:1px solid #e5e7eb;">
+  Cookie-Einstellungen
+</a>
 `.trim()
 }
 
@@ -310,6 +325,29 @@ function generateJS(config: CookieBannerConfig): string {
   const CATEGORIES = ${JSON.stringify(categoryIds)};
   const REQUIRED_CATEGORIES = ${JSON.stringify(requiredCategories)};
 
+  // Google Consent Mode v2 — PFLICHT seit Maerz 2024 fuer Google Services in EEA
+  // Sets default consent state to "denied" BEFORE any Google tags fire
+  if (typeof gtag === 'function') {
+    gtag('consent', 'default', {
+      analytics_storage: 'denied',
+      ad_storage: 'denied',
+      ad_user_data: 'denied',
+      ad_personalization: 'denied',
+      functionality_storage: 'granted',
+      security_storage: 'granted',
+    });
+  }
+
+  function updateGoogleConsentMode(consent) {
+    if (typeof gtag !== 'function') return;
+    gtag('consent', 'update', {
+      analytics_storage: consent.statistics ? 'granted' : 'denied',
+      ad_storage: consent.marketing ? 'granted' : 'denied',
+      ad_user_data: consent.marketing ? 'granted' : 'denied',
+      ad_personalization: consent.marketing ? 'granted' : 'denied',
+    });
+  }
+
   function getConsent() {
     const cookie = document.cookie.split('; ').find(row => row.startsWith(COOKIE_NAME + '='));
     if (!cookie) return null;
@@ -327,6 +365,7 @@ function generateJS(config: CookieBannerConfig): string {
                       ';expires=' + date.toUTCString() +
                       ';path=/;SameSite=Lax';
     window.dispatchEvent(new CustomEvent('cookieConsentUpdated', { detail: consent }));
+    updateGoogleConsentMode(consent);
   }
 
   function hasConsent(category) {
@@ -397,6 +436,31 @@ function generateJS(config: CookieBannerConfig): string {
     overlay?.classList.remove('active');
   }
 
+  // Script-Blocking: activate scripts with data-cookie-category ONLY after consent
+  function activateConsentedScripts() {
+    const consent = getConsent();
+    if (!consent) return;
+
+    // Find all blocked scripts (type="text/plain" with data-cookie-category)
+    document.querySelectorAll('script[data-cookie-category][type="text/plain"]').forEach(script => {
+      const category = script.getAttribute('data-cookie-category');
+      if (consent[category] === true) {
+        // Replace type to activate the script
+        const newScript = document.createElement('script');
+        if (script.src) newScript.src = script.src;
+        else newScript.textContent = script.textContent;
+        newScript.type = 'text/javascript';
+        script.parentNode.replaceChild(newScript, script);
+      }
+    });
+
+    // Also fire custom event for programmatic listeners
+    window.dispatchEvent(new CustomEvent('cookieConsentActivated', { detail: consent }));
+  }
+
+  // Run script activation after consent is saved
+  window.addEventListener('cookieConsentUpdated', activateConsentedScripts);
+
   window.CookieConsent = {
     getConsent,
     saveConsent,
@@ -405,14 +469,32 @@ function generateJS(config: CookieBannerConfig): string {
       document.getElementById('cookieBanner')?.classList.add('active');
       document.getElementById('cookieBannerOverlay')?.classList.add('active');
     },
-    hide: closeBanner
+    hide: closeBanner,
+    activateScripts: activateConsentedScripts,
   };
 
   if (document.readyState === 'loading') {
-    document.addEventListener('DOMContentLoaded', initBanner);
+    document.addEventListener('DOMContentLoaded', () => {
+      initBanner();
+      activateConsentedScripts();
+    });
   } else {
     initBanner();
+    activateConsentedScripts();
   }
 })();
+
+/*
+ * USAGE: Script-Blocking
+ *
+ * Instead of:
+ *   <script src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXX"></script>
+ *
+ * Use:
+ *   <script type="text/plain" data-cookie-category="statistics"
+ *           src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXX"></script>
+ *
+ * The script will only execute AFTER the user consents to "statistics".
+ */
 `.trim()
 }
diff --git a/admin-compliance/lib/sdk/loeschfristen-types.ts b/admin-compliance/lib/sdk/loeschfristen-types.ts
index a332500..dd081eb 100644
--- a/admin-compliance/lib/sdk/loeschfristen-types.ts
+++ b/admin-compliance/lib/sdk/loeschfristen-types.ts
@@ -328,7 +328,8 @@ export function isPolicyOverdue(policy: LoeschfristPolicy): boolean {
 }
 
 export function getActiveLegalHolds(policy: LoeschfristPolicy): LegalHold[] {
-  return policy.legalHolds.filter(h => h.status === 'ACTIVE')
+  const holds = Array.isArray(policy.legalHolds) ? policy.legalHolds : []
+  return holds.filter(h => h.status === 'ACTIVE')
 }
 
 export function getEffectiveDeletionTrigger(policy: LoeschfristPolicy): DeletionTriggerLevel {
diff --git a/admin-compliance/lib/sdk/types/document-generator.ts b/admin-compliance/lib/sdk/types/document-generator.ts
index ac86239..3472939 100644
--- a/admin-compliance/lib/sdk/types/document-generator.ts
+++ b/admin-compliance/lib/sdk/types/document-generator.ts
@@ -85,6 +85,8 @@ export type TemplateType =
   | 'tom_documentation'
   | 'loeschkonzept'
   | 'pflichtenregister'
+  // SOP (Migration 112)
+  | 'standard_operating_procedure'
 
 export type Jurisdiction = 'DE' | 'AT' | 'CH' | 'EU' | 'US' | 'INTL'
 
diff --git a/admin-compliance/lib/sdk/types/sdk-steps.ts b/admin-compliance/lib/sdk/types/sdk-steps.ts
index 3217c2e..8d7c4b0 100644
--- a/admin-compliance/lib/sdk/types/sdk-steps.ts
+++ b/admin-compliance/lib/sdk/types/sdk-steps.ts
@@ -57,6 +57,19 @@ export const SDK_STEPS: SDKStep[] = [
     isOptional: true,
     visibleWhen: (state) => state.customerType === 'existing',
   },
+  {
+    id: 'ai-act',
+    seq: 350,
+    phase: 1,
+    package: 'vorbereitung',
+    order: 4,
+    name: 'AI Act Klassifizierung',
+    nameShort: 'AI Act',
+    description: 'KI-Risikostufe (nur bei KI-Einsatz)',
+    url: '/sdk/ai-act',
+    checkpointId: 'CP-AI',
+    prerequisiteSteps: ['use-case-assessment'],
+    isOptional: true },
   {
     id: 'screening',
     seq: 500,
@@ -65,39 +78,27 @@ export const SDK_STEPS: SDKStep[] = [
     order: 5,
     name: 'System Screening',
     nameShort: 'Screening',
-    description: 'SBOM + Security Check',
+    description: 'SBOM + Vulnerability Scan (OSV.dev)',
     url: '/sdk/screening',
     checkpointId: 'CP-SCAN',
     prerequisiteSteps: ['use-case-assessment'],
-    isOptional: false },
-  {
-    id: 'modules',
-    seq: 600,
-    phase: 1,
-    package: 'vorbereitung',
-    order: 6,
-    name: 'Compliance Modules',
-    nameShort: 'Module',
-    description: 'Abgleich welche Regulierungen gelten',
-    url: '/sdk/modules',
-    checkpointId: 'CP-MOD',
-    prerequisiteSteps: ['screening'],
-    isOptional: false },
+    isOptional: true },
+  // Modules entfernt — Regulierungen werden im Scope-Decision-Tab + Dashboard angezeigt
   {
     id: 'source-policy',
     seq: 700,
     phase: 1,
     package: 'vorbereitung',
     order: 7,
-    name: 'Source Policy',
+    name: 'Quellen-Verwaltung',
     nameShort: 'Quellen',
-    description: 'Datenquellen-Governance & Whitelist',
+    description: 'RAG Quellen-Whitelist (Enterprise)',
     url: '/sdk/source-policy',
     checkpointId: 'CP-SPOL',
-    prerequisiteSteps: ['modules'],
-    isOptional: false },
+    prerequisiteSteps: ['use-case-assessment'],
+    isOptional: true },
 
-  // PAKET 2: ANALYSE (Assessment)
+  // PAKET 2: ANALYSE (Assessment) — Requirements → Controls → Risks → Checklist → Report
   {
     id: 'requirements',
     seq: 1000,
@@ -106,10 +107,10 @@ export const SDK_STEPS: SDKStep[] = [
     order: 1,
     name: 'Requirements',
     nameShort: 'Anforderungen',
-    description: 'Pr\u00fcfaspekte aus Regulierungen ableiten',
+    description: 'Pruefaspekte aus Regulierungen ableiten',
     url: '/sdk/requirements',
     checkpointId: 'CP-REQ',
-    prerequisiteSteps: ['source-policy'],
+    prerequisiteSteps: ['compliance-scope'],
     isOptional: false },
   {
     id: 'controls',
@@ -119,72 +120,46 @@ export const SDK_STEPS: SDKStep[] = [
     order: 2,
     name: 'Controls',
     nameShort: 'Controls',
-    description: 'Erforderliche Ma\u00dfnahmen ermitteln',
+    description: 'Technische & organisatorische Massnahmen',
     url: '/sdk/controls',
     checkpointId: 'CP-CTRL',
     prerequisiteSteps: ['requirements'],
     isOptional: false },
   {
-    id: 'evidence',
+    id: 'risks',
     seq: 1200,
     phase: 1,
     package: 'analyse',
     order: 3,
-    name: 'Evidence',
-    nameShort: 'Nachweise',
-    description: 'Nachweise dokumentieren',
-    url: '/sdk/evidence',
-    checkpointId: 'CP-EVI',
+    name: 'Risk Matrix',
+    nameShort: 'Risiken',
+    description: 'Risikobewertung — wo sind Luecken?',
+    url: '/sdk/risks',
+    checkpointId: 'CP-RISK',
     prerequisiteSteps: ['controls'],
     isOptional: false },
   {
-    id: 'risks',
+    id: 'audit-checklist',
     seq: 1300,
     phase: 1,
     package: 'analyse',
     order: 4,
-    name: 'Risk Matrix',
-    nameShort: 'Risiken',
-    description: 'Risikobewertung & Residual Risk',
-    url: '/sdk/risks',
-    checkpointId: 'CP-RISK',
-    prerequisiteSteps: ['evidence'],
+    name: 'Audit Checklist',
+    nameShort: 'Checklist',
+    description: 'Pruefbare Checkliste generieren',
+    url: '/sdk/audit-checklist',
+    checkpointId: 'CP-CHK',
+    prerequisiteSteps: ['risks'],
     isOptional: false },
   {
-    id: 'ai-act',
+    id: 'audit-report',
     seq: 1400,
     phase: 1,
     package: 'analyse',
     order: 5,
-    name: 'AI Act Klassifizierung',
-    nameShort: 'AI Act',
-    description: 'Risikostufe nach EU AI Act',
-    url: '/sdk/ai-act',
-    checkpointId: 'CP-AI',
-    prerequisiteSteps: ['risks'],
-    isOptional: false },
-  {
-    id: 'audit-checklist',
-    seq: 1500,
-    phase: 1,
-    package: 'analyse',
-    order: 6,
-    name: 'Audit Checklist',
-    nameShort: 'Checklist',
-    description: 'Pr\u00fcfliste generieren',
-    url: '/sdk/audit-checklist',
-    checkpointId: 'CP-CHK',
-    prerequisiteSteps: ['ai-act'],
-    isOptional: false },
-  {
-    id: 'audit-report',
-    seq: 1600,
-    phase: 1,
-    package: 'analyse',
-    order: 7,
     name: 'Audit Report',
     nameShort: 'Report',
-    description: 'Audit-Sitzungen & PDF-Report',
+    description: 'Zusammenfassender Audit-Report (PDF)',
     url: '/sdk/audit-report',
     checkpointId: 'CP-AREP',
     prerequisiteSteps: ['audit-checklist'],
@@ -271,8 +246,8 @@ export const SDK_STEPS: SDKStep[] = [
     phase: 2,
     package: 'rechtliche-texte',
     order: 1,
-    name: 'Einwilligungen',
-    nameShort: 'Einwilligungen',
+    name: 'Consent-Records',
+    nameShort: 'Consent-Records',
     description: 'Datenpunktkatalog & DSI-Generator',
     url: '/sdk/einwilligungen',
     checkpointId: 'CP-CONS',
@@ -334,6 +309,19 @@ export const SDK_STEPS: SDKStep[] = [
     isOptional: false },
 
   // PAKET 5: BETRIEB (Operations)
+  {
+    id: 'evidence',
+    seq: 3900,
+    phase: 2,
+    package: 'betrieb',
+    order: 0,
+    name: 'Evidence',
+    nameShort: 'Nachweise',
+    description: 'Nachweise laufend dokumentieren',
+    url: '/sdk/evidence',
+    checkpointId: 'CP-EVI',
+    prerequisiteSteps: ['audit-report'],
+    isOptional: false },
   {
     id: 'dsr',
     seq: 4000,
diff --git a/admin-compliance/lib/sdk/vendor-compliance/adequacy-decisions.ts b/admin-compliance/lib/sdk/vendor-compliance/adequacy-decisions.ts
new file mode 100644
index 0000000..202e920
--- /dev/null
+++ b/admin-compliance/lib/sdk/vendor-compliance/adequacy-decisions.ts
@@ -0,0 +1,130 @@
+/**
+ * EU-Angemessenheitsbeschluesse (Art. 45 DSGVO)
+ *
+ * Laender mit Angemessenheitsbeschluss benoetigen KEINE SCC und KEIN TIA
+ * fuer Datenuebermittlungen. Die Liste wird von der EU-Kommission gefuehrt.
+ *
+ * WICHTIG: USA hat Sonderstatus — Angemessenheit gilt NUR fuer Unternehmen,
+ * die nach dem EU-US Data Privacy Framework (DPF) zertifiziert sind.
+ * Nicht-zertifizierte US-Unternehmen brauchen weiterhin SCC + TIA.
+ *
+ * Quelle: https://commission.europa.eu/law/law-topic/data-protection/
+ *         international-dimension-data-protection/adequacy-decisions_en
+ */
+
+export interface AdequacyDecision {
+  /** ISO 3166-1 alpha-2 Laendercode */
+  countryCode: string
+  /** Laendername (deutsch) */
+  countryName: string
+  /** Jahr des Angemessenheitsbeschlusses */
+  since: number
+  /** Einschraenkungen (z.B. nur bestimmte Sektoren) */
+  restriction?: string
+  /** Befristet? */
+  expires?: string
+  /** Sonderstatus (z.B. DPF-Zertifizierung erforderlich) */
+  requiresCertification?: boolean
+  /** Name der erforderlichen Zertifizierung */
+  certificationName?: string
+  /** Pruef-URL fuer die Zertifizierung */
+  certificationCheckUrl?: string
+}
+
+/**
+ * Vollstaendige Liste der Laender mit EU-Angemessenheitsbeschluss.
+ * Stand: Mai 2026
+ */
+export const ADEQUACY_DECISIONS: AdequacyDecision[] = [
+  { countryCode: 'AD', countryName: 'Andorra', since: 2010 },
+  { countryCode: 'AR', countryName: 'Argentinien', since: 2003 },
+  { countryCode: 'FO', countryName: 'Faeroeer-Inseln', since: 2010 },
+  { countryCode: 'GG', countryName: 'Guernsey', since: 2003 },
+  { countryCode: 'IM', countryName: 'Isle of Man', since: 2004 },
+  { countryCode: 'IL', countryName: 'Israel', since: 2011 },
+  { countryCode: 'JP', countryName: 'Japan', since: 2019 },
+  { countryCode: 'JE', countryName: 'Jersey', since: 2008 },
+  {
+    countryCode: 'CA', countryName: 'Kanada', since: 2001,
+    restriction: 'Nur Unternehmen, die dem Personal Information Protection and Electronic Documents Act (PIPEDA) unterliegen',
+  },
+  { countryCode: 'NZ', countryName: 'Neuseeland', since: 2012 },
+  { countryCode: 'KR', countryName: 'Republik Korea (Suedkorea)', since: 2022 },
+  { countryCode: 'CH', countryName: 'Schweiz', since: 2000 },
+  {
+    countryCode: 'GB', countryName: 'Vereinigtes Koenigreich (UK)', since: 2021,
+    expires: 'Befristet, verlaengert bis 2029',
+  },
+  { countryCode: 'UY', countryName: 'Uruguay', since: 2012 },
+  {
+    countryCode: 'US', countryName: 'Vereinigte Staaten (USA)', since: 2023,
+    restriction: 'Nur Unternehmen, die nach dem EU-US Data Privacy Framework (DPF) zertifiziert sind',
+    requiresCertification: true,
+    certificationName: 'EU-US Data Privacy Framework (DPF)',
+    certificationCheckUrl: 'https://www.dataprivacyframework.gov/list',
+  },
+]
+
+/** Set der EU/EWR-Laender (kein Angemessenheitsbeschluss noetig) */
+export const EU_EEA_COUNTRIES = new Set([
+  'AT', 'BE', 'BG', 'HR', 'CY', 'CZ', 'DK', 'EE', 'FI', 'FR',
+  'DE', 'GR', 'HU', 'IE', 'IT', 'LV', 'LT', 'LU', 'MT', 'NL',
+  'PL', 'PT', 'RO', 'SK', 'SI', 'ES', 'SE',
+  // EWR (nicht EU, aber gleicher Datenschutzraum)
+  'IS', 'LI', 'NO',
+])
+
+/** Set der Laendercodes mit Angemessenheitsbeschluss */
+export const ADEQUATE_COUNTRIES = new Set(
+  ADEQUACY_DECISIONS.map((d) => d.countryCode)
+)
+
+/**
+ * Prueft ob ein Land einen Angemessenheitsbeschluss hat.
+ * Gibt das Decision-Objekt zurueck oder null.
+ */
+export function getAdequacyDecision(countryCode: string): AdequacyDecision | null {
+  return ADEQUACY_DECISIONS.find((d) => d.countryCode === countryCode) || null
+}
+
+/**
+ * Bestimmt den Transfer-Status fuer ein Land.
+ */
+export function getTransferRequirement(countryCode: string): {
+  isEU: boolean
+  isAdequate: boolean
+  requiresSCC: boolean
+  requiresTIA: boolean
+  requiresCertification: boolean
+  explanation: string
+} {
+  if (EU_EEA_COUNTRIES.has(countryCode)) {
+    return {
+      isEU: true, isAdequate: true,
+      requiresSCC: false, requiresTIA: false, requiresCertification: false,
+      explanation: 'EU-/EWR-Mitgliedstaat — keine zusaetzlichen Massnahmen erforderlich.',
+    }
+  }
+
+  const decision = getAdequacyDecision(countryCode)
+  if (decision) {
+    if (decision.requiresCertification) {
+      return {
+        isEU: false, isAdequate: true,
+        requiresSCC: false, requiresTIA: false, requiresCertification: true,
+        explanation: `Angemessenheitsbeschluss seit ${decision.since}. ${decision.restriction || ''} Pruefung der Zertifizierung unter: ${decision.certificationCheckUrl || ''}`,
+      }
+    }
+    return {
+      isEU: false, isAdequate: true,
+      requiresSCC: false, requiresTIA: false, requiresCertification: false,
+      explanation: `Angemessenheitsbeschluss der EU-Kommission seit ${decision.since}.${decision.restriction ? ` Einschraenkung: ${decision.restriction}` : ''}${decision.expires ? ` (${decision.expires})` : ''}`,
+    }
+  }
+
+  return {
+    isEU: false, isAdequate: false,
+    requiresSCC: true, requiresTIA: true, requiresCertification: false,
+    explanation: 'Kein Angemessenheitsbeschluss — EU-Standardvertragsklauseln (SCC) und Transfer Impact Assessment (TIA) erforderlich (Art. 46 Abs. 2 lit. c DSGVO, EuGH Schrems II).',
+  }
+}
diff --git a/admin-compliance/lib/sdk/whistleblower/api-operations.ts b/admin-compliance/lib/sdk/whistleblower/api-operations.ts
index f5363a3..aa059cb 100644
--- a/admin-compliance/lib/sdk/whistleblower/api-operations.ts
+++ b/admin-compliance/lib/sdk/whistleblower/api-operations.ts
@@ -21,7 +21,8 @@ import {
 // CONFIGURATION
 // =============================================================================
 
-const WB_API_BASE = process.env.NEXT_PUBLIC_SDK_API_URL || 'http://localhost:8093'
+// Use compliance backend proxy (Python) instead of Go SDK
+const WB_API_BASE = '/api/sdk/v1/compliance'
 const API_TIMEOUT = 30000
 
 // =============================================================================
@@ -121,27 +122,27 @@ export async function fetchReports(filters?: ReportFilters): Promise<ReportListR
   }
 
   const queryString = params.toString()
-  const url = `${WB_API_BASE}/api/v1/admin/whistleblower/reports${queryString ? `?${queryString}` : ''}`
+  const url = `${WB_API_BASE}/whistleblower/reports${queryString ? `?${queryString}` : ''}`
 
   return fetchWithTimeout<ReportListResponse>(url)
 }
 
 export async function fetchReport(id: string): Promise<WhistleblowerReport> {
   return fetchWithTimeout<WhistleblowerReport>(
-    `${WB_API_BASE}/api/v1/admin/whistleblower/reports/${id}`
+    `${WB_API_BASE}/whistleblower/reports/${id}`
   )
 }
 
 export async function updateReport(id: string, update: ReportUpdateRequest): Promise<WhistleblowerReport> {
   return fetchWithTimeout<WhistleblowerReport>(
-    `${WB_API_BASE}/api/v1/admin/whistleblower/reports/${id}`,
+    `${WB_API_BASE}/whistleblower/reports/${id}`,
     { method: 'PUT', body: JSON.stringify(update) }
   )
 }
 
 export async function deleteReport(id: string): Promise<void> {
   await fetchWithTimeout<void>(
-    `${WB_API_BASE}/api/v1/admin/whistleblower/reports/${id}`,
+    `${WB_API_BASE}/whistleblower/reports/${id}`,
     { method: 'DELETE' }
   )
 }
@@ -154,7 +155,7 @@ export async function submitPublicReport(
   data: PublicReportSubmission
 ): Promise<{ report: WhistleblowerReport; accessKey: string }> {
   const response = await fetch(
-    `${WB_API_BASE}/api/v1/public/whistleblower/submit`,
+    `${WB_API_BASE}/whistleblower/submit`,
     {
       method: 'POST',
       headers: { 'Content-Type': 'application/json' },
@@ -173,7 +174,7 @@ export async function fetchReportByAccessKey(
   accessKey: string
 ): Promise<WhistleblowerReport> {
   const response = await fetch(
-    `${WB_API_BASE}/api/v1/public/whistleblower/report/${accessKey}`,
+    `${WB_API_BASE}/whistleblower/check/${accessKey}`,
     { method: 'GET', headers: { 'Content-Type': 'application/json' } }
   )
 
@@ -190,14 +191,14 @@ export async function fetchReportByAccessKey(
 
 export async function acknowledgeReport(id: string): Promise<WhistleblowerReport> {
   return fetchWithTimeout<WhistleblowerReport>(
-    `${WB_API_BASE}/api/v1/admin/whistleblower/reports/${id}/acknowledge`,
+    `${WB_API_BASE}/whistleblower/reports/${id}/acknowledge`,
     { method: 'POST' }
   )
 }
 
 export async function startInvestigation(id: string): Promise<WhistleblowerReport> {
   return fetchWithTimeout<WhistleblowerReport>(
-    `${WB_API_BASE}/api/v1/admin/whistleblower/reports/${id}/investigate`,
+    `${WB_API_BASE}/whistleblower/reports/${id}/investigate`,
     { method: 'POST' }
   )
 }
@@ -207,7 +208,7 @@ export async function addMeasure(
   measure: Omit<WhistleblowerMeasure, 'id' | 'reportId' | 'completedAt'>
 ): Promise<WhistleblowerMeasure> {
   return fetchWithTimeout<WhistleblowerMeasure>(
-    `${WB_API_BASE}/api/v1/admin/whistleblower/reports/${id}/measures`,
+    `${WB_API_BASE}/whistleblower/reports/${id}/measures`,
     { method: 'POST', body: JSON.stringify(measure) }
   )
 }
@@ -217,7 +218,7 @@ export async function closeReport(
   resolution: { reason: string; notes: string }
 ): Promise<WhistleblowerReport> {
   return fetchWithTimeout<WhistleblowerReport>(
-    `${WB_API_BASE}/api/v1/admin/whistleblower/reports/${id}/close`,
+    `${WB_API_BASE}/whistleblower/reports/${id}/close`,
     { method: 'POST', body: JSON.stringify(resolution) }
   )
 }
@@ -232,14 +233,14 @@ export async function sendMessage(
   role: 'reporter' | 'ombudsperson'
 ): Promise<AnonymousMessage> {
   return fetchWithTimeout<AnonymousMessage>(
-    `${WB_API_BASE}/api/v1/admin/whistleblower/reports/${reportId}/messages`,
+    `${WB_API_BASE}/whistleblower/reports/${reportId}/messages`,
     { method: 'POST', body: JSON.stringify({ senderRole: role, message }) }
   )
 }
 
 export async function fetchMessages(reportId: string): Promise<AnonymousMessage[]> {
   return fetchWithTimeout<AnonymousMessage[]>(
-    `${WB_API_BASE}/api/v1/admin/whistleblower/reports/${reportId}/messages`
+    `${WB_API_BASE}/whistleblower/reports/${reportId}/messages`
   )
 }
 
@@ -269,7 +270,7 @@ export async function uploadAttachment(
     }
 
     const response = await fetch(
-      `${WB_API_BASE}/api/v1/admin/whistleblower/reports/${reportId}/attachments`,
+      `${WB_API_BASE}/whistleblower/reports/${reportId}/attachments`,
       {
         method: 'POST',
         headers,
@@ -290,7 +291,7 @@ export async function uploadAttachment(
 
 export async function deleteAttachment(id: string): Promise<void> {
   await fetchWithTimeout<void>(
-    `${WB_API_BASE}/api/v1/admin/whistleblower/attachments/${id}`,
+    `${WB_API_BASE}/whistleblower/attachments/${id}`,
     { method: 'DELETE' }
   )
 }
@@ -301,6 +302,6 @@ export async function deleteAttachment(id: string): Promise<void> {
 
 export async function fetchWhistleblowerStatistics(): Promise<WhistleblowerStatistics> {
   return fetchWithTimeout<WhistleblowerStatistics>(
-    `${WB_API_BASE}/api/v1/admin/whistleblower/statistics`
+    `${WB_API_BASE}/whistleblower/reports/stats`
   )
 }
diff --git a/backend-compliance/compliance/api/__init__.py b/backend-compliance/compliance/api/__init__.py
index b35b11c..20ecdb2 100644
--- a/backend-compliance/compliance/api/__init__.py
+++ b/backend-compliance/compliance/api/__init__.py
@@ -63,6 +63,13 @@ _ROUTER_MODULES = [
     "tom_mapping_routes",
     "llm_audit_routes",
     "assertion_routes",
+    "org_role_routes",
+    "document_review_routes",
+    "banner_analytics_routes",
+    "banner_ab_routes",
+    "compliance_report_routes",
+    "whistleblower_routes",
+    "tcf_routes",
 ]
 
 _loaded_count = 0
diff --git a/backend-compliance/compliance/api/agent_analyze_routes.py b/backend-compliance/compliance/api/agent_analyze_routes.py
index 51399b0..dfa3e11 100644
--- a/backend-compliance/compliance/api/agent_analyze_routes.py
+++ b/backend-compliance/compliance/api/agent_analyze_routes.py
@@ -15,6 +15,14 @@ from fastapi import APIRouter
 from pydantic import BaseModel
 
 from compliance.services.smtp_sender import send_email
+from compliance.services.intake_extractor import extract_intake_flags_from_services, flags_to_ucca_intake
+from compliance.services.relevance_filter import filter_controls
+from compliance.services.website_compliance_checks import (
+    check_website_compliance as _check_website_compliance,
+    FollowUpQuestion,
+    to_string_list as _to_string_list,
+    risk_to_escalation as _risk_to_escalation,
+)
 
 logger = logging.getLogger(__name__)
 
@@ -77,21 +85,32 @@ async def analyze_url(req: AnalyzeRequest):
         # Step 2: Classify via SDK LLM
         classification = await _classify(client, text)
 
-        # Step 3: Assess via UCCA
-        assessment = await _assess(client, text, classification)
+        # Step 3: Detect services from HTML (deterministic, no LLM needed)
+        from compliance.services.service_registry import SERVICE_REGISTRY
+        detected_services = []
+        html_lower = raw_html.lower()
+        for pattern, meta in SERVICE_REGISTRY.items():
+            if re.search(pattern, html_lower):
+                detected_services.append(meta)
 
-        # Step 4: Determine role
+        # Step 4: Derive intake flags from DETECTED SERVICES (not from text!)
+        intake_flags = extract_intake_flags_from_services(detected_services)
+
+        # Step 5: Assess via UCCA with service-derived flags
+        assessment = await _assess(client, text, classification, intake_flags)
+
+        # Step 5: Determine role
         esc_level = assessment.get("escalation_level", "E0")
         role = ESCALATION_ROLES.get(esc_level, ESCALATION_ROLES["E0"])
 
-        # Step 5: Website compliance checks (§312k BGB etc.)
+        # Step 6: Website compliance checks (§312k BGB etc.)
         site_findings, follow_ups = await _check_website_compliance(client, req.url, raw_html)
 
-        # Step 6: Merge findings
+        # Step 7: Merge and filter findings/controls
         findings = assessment.get("triggered_rules", [])
         controls = assessment.get("required_controls", [])
         findings_str = _to_string_list(findings) + site_findings
-        controls_str = _to_string_list(controls)
+        controls_str = filter_controls(_to_string_list(controls), text, intake_flags)
 
         # Escalate if website checks found issues
         if site_findings and esc_level == "E0":
@@ -105,7 +124,7 @@ async def analyze_url(req: AnalyzeRequest):
         email_result = send_email(
             recipient=req.recipient,
             subject=f"[{mode_label}] Compliance-Finding: {classification} — {req.url[:60]}",
-            body_html=f"<div>{summary}</div>",
+            body_html=summary,
         )
 
     return AnalyzeResponse(
@@ -179,34 +198,24 @@ async def _classify(client: httpx.AsyncClient, text: str) -> str:
         return "other"
 
 
-async def _assess(client: httpx.AsyncClient, text: str, classification: str) -> dict:
+async def _assess(client: httpx.AsyncClient, text: str, classification: str, intake_flags: dict | None = None) -> dict:
     """Run UCCA assessment via SDK. Returns flattened result dict."""
     try:
-        # UCCA expects boolean intake flags, not string categories
+        # Use LLM-extracted flags if available, otherwise minimal defaults
+        if intake_flags:
+            ucca_intake = flags_to_ucca_intake(intake_flags)
+        else:
+            ucca_intake = {
+                "data_types": {"personal_data": True},
+                "purpose": {},
+                "automation": "manual",
+                "outputs": {},
+            }
+
         resp = await client.post(f"{SDK_URL}/sdk/v1/ucca/assess", headers=SDK_HEADERS, json={
             "use_case_text": text[:3000],
             "domain": classification,
-            "data_types": {
-                "personal_data": True,
-                "customer_data": True,
-                "location_data": "tracking" in text.lower() or "standort" in text.lower(),
-                "images": False,
-                "biometric_data": "biometrisch" in text.lower(),
-                "minor_data": "kinder" in text.lower() or "minderjährig" in text.lower(),
-            },
-            "purpose": {
-                "marketing": "werbung" in text.lower() or "marketing" in text.lower(),
-                "analytics": "analyse" in text.lower() or "analytics" in text.lower(),
-                "profiling": "profil" in text.lower() or "personalis" in text.lower(),
-                "automation": False,
-                "customer_support": False,
-            },
-            "automation": "partially_automated",
-            "outputs": {
-                "content_generation": False,
-                "recommendations_to_users": "empfehl" in text.lower(),
-                "data_export": "export" in text.lower() or "uebertrag" in text.lower(),
-            },
+            **ucca_intake,
         })
         data = resp.json()
         # Flatten: UCCA wraps result under "assessment" and "result"
@@ -227,126 +236,27 @@ async def _assess(client: httpx.AsyncClient, text: str, classification: str) ->
         return {"risk_level": "unknown", "risk_score": 0, "escalation_level": "E0"}
 
 
-async def _check_website_compliance(
-    client: httpx.AsyncClient, url: str, html: str,
-) -> tuple[list[str], list[FollowUpQuestion]]:
-    """Scan public website for consumer protection compliance (§312k BGB etc.)."""
-    findings: list[str] = []
-    follow_ups: list[FollowUpQuestion] = []
-    html_lower = html.lower()
-    base_domain = re.sub(r"https?://([^/]+).*", r"\1", url)
 
-    # --- §312k BGB: Kündigungsbutton ---
-    cancel_patterns = [
-        r'href="[^"]*(?:kuendig|kündig|cancel|vertrag.?beenden|abo.?beenden|mitgliedschaft.?beenden)[^"]*"',
-        r'(?:kündigen|kuendigen|vertrag beenden|abo beenden|mitgliedschaft kündigen)',
-    ]
-    has_cancel_link = any(re.search(p, html_lower) for p in cancel_patterns)
-
-    # Also check common cancel URLs
-    cancel_urls_to_probe = [
-        f"https://{base_domain}/kuendigen",
-        f"https://{base_domain}/cancel",
-        f"https://{base_domain}/vertrag-kuendigen",
-        f"https://{base_domain}/abo-kuendigen",
-        f"https://{base_domain}/account/cancel",
-    ]
-    if not has_cancel_link:
-        for probe_url in cancel_urls_to_probe:
-            try:
-                probe = await client.head(probe_url, follow_redirects=True, timeout=5.0)
-                if probe.status_code < 400:
-                    has_cancel_link = True
-                    break
-            except Exception:
-                continue
-
-    if not has_cancel_link:
-        findings.append(
-            "[§312k BGB] Kein oeffentlich sichtbarer Kuendigungsbutton gefunden. "
-            "Seit 01.07.2022 muessen online geschlossene Vertraege mit max. 2 Klicks kuendbar sein."
-        )
-        follow_ups.append(FollowUpQuestion(
-            id="cancel_button_312k",
-            question="Koennen Sie nach Login im Kundenbereich innerhalb von 2 Klicks Ihren Vertrag kuendigen?",
-            legal_basis="§ 312k BGB (Kuendigungsbutton), Omnibus-Richtlinie (EU) 2019/2161",
-            severity="high",
-            finding_if_no=(
-                "[§312k BGB] VERSTOSS: Kein funktionaler Kuendigungsbutton vorhanden. "
-                "Der Anbieter ist verpflichtet, einen leicht auffindbaren Kuendigungsbutton "
-                "bereitzustellen (max. 2 Klicks). Ein Zwang zur telefonischen Kuendigung "
-                "oder Kuendigung per Brief ist rechtswidrig."
-            ),
-        ))
-
-    # --- Impressumspflicht (§5 TMG / §18 MStV) ---
-    imprint_patterns = [
-        r'href="[^"]*(?:impressum|imprint|legal.?notice|about.?us/legal)[^"]*"',
-        r'>impressum<',
-    ]
-    has_imprint = any(re.search(p, html_lower) for p in imprint_patterns)
-    if not has_imprint:
-        findings.append(
-            "[§5 TMG] Kein Impressum-Link auf der Seite gefunden. "
-            "Geschaeftsmaessige Online-Dienste muessen ein leicht erreichbares Impressum bereitstellen."
-        )
-
-    # --- Datenschutzerklaerung verlinkt? ---
-    privacy_patterns = [
-        r'href="[^"]*(?:datenschutz|privacy|dsgvo)[^"]*"',
-        r'>datenschutz<',
-    ]
-    has_privacy = any(re.search(p, html_lower) for p in privacy_patterns)
-    if not has_privacy:
-        findings.append(
-            "[Art. 13 DSGVO] Kein Link zur Datenschutzerklaerung gefunden. "
-            "Nutzer muessen ueber die Verarbeitung personenbezogener Daten informiert werden."
-        )
-
-    # --- Cookie-Consent-Banner ---
-    cookie_patterns = [
-        r'(?:cookie.?consent|cookie.?banner|consent.?manager|didomi|cookiebot|onetrust|usercentrics)',
-        r'(?:gdpr|dsgvo).?(?:consent|einwilligung)',
-    ]
-    has_cookie_consent = any(re.search(p, html_lower) for p in cookie_patterns)
-    if not has_cookie_consent:
-        follow_ups.append(FollowUpQuestion(
-            id="cookie_consent",
-            question="Wird beim ersten Besuch der Website ein Cookie-Consent-Banner angezeigt?",
-            legal_basis="§ 25 TDDDG (ehem. TTDSG), Art. 5(3) ePrivacy-Richtlinie",
-            severity="medium",
-            finding_if_no=(
-                "[§25 TDDDG] Kein Cookie-Consent-Banner erkannt. "
-                "Vor dem Setzen nicht-essentieller Cookies ist eine Einwilligung erforderlich."
-            ),
-        ))
-
-    return findings, follow_ups
+# _check_website_compliance, _to_string_list, _risk_to_escalation
+# → extracted to compliance/services/website_compliance_checks.py
 
 
-def _to_string_list(items: list) -> list[str]:
-    """Convert list of dicts or strings to list of strings."""
-    result = []
-    for item in (items or []):
-        if isinstance(item, dict):
-            # UCCA returns {code, category, description} or {id, name, description}
-            desc = item.get("description", item.get("name", item.get("code", str(item))))
-            code = item.get("code", item.get("id", ""))
-            result.append(f"[{code}] {desc}" if code else str(desc))
-        else:
-            result.append(str(item))
-    return result
+DOC_TYPE_LABELS = {
+    "privacy_policy": "Datenschutzerklaerung",
+    "cookie_banner": "Cookie-Banner",
+    "terms_of_service": "AGB",
+    "imprint": "Impressum",
+    "dpa": "Auftragsverarbeitung (AVV)",
+    "other": "Sonstiges",
+}
 
-
-def _risk_to_escalation(risk_level: str) -> str:
-    """Map UCCA risk level to escalation level."""
-    mapping = {
-        "MINIMAL": "E0",
-        "LIMITED": "E1",
-        "HIGH": "E2",
-        "UNACCEPTABLE": "E3",
-    }
-    return mapping.get(risk_level.upper() if risk_level else "", "E0")
+RISK_COLORS = {
+    "MINIMAL": ("#16a34a", "Niedrig"),
+    "LOW": ("#ca8a04", "Gering"),
+    "LIMITED": ("#ea580c", "Mittel"),
+    "HIGH": ("#dc2626", "Hoch"),
+    "UNACCEPTABLE": ("#991b1b", "Kritisch"),
+}
 
 
 def _build_summary(
@@ -354,48 +264,54 @@ def _build_summary(
     findings_str: list[str], controls_str: list[str],
     mode: str = "post_launch",
 ) -> str:
-    """Build a German manager summary, adapted to pre/post-launch context."""
+    """Build HTML summary for email and frontend."""
     risk = assessment.get("risk_level", "unbekannt")
     score = assessment.get("risk_score", 0)
     recommendation = assessment.get("recommendation", "")
     dsfa = assessment.get("dsfa_recommended", False)
     is_live = mode == "post_launch"
+    risk_color, risk_label = RISK_COLORS.get(risk, ("#6b7280", risk))
+    doc_label = DOC_TYPE_LABELS.get(classification, classification)
 
-    findings_text = "\n".join(f"- {f}" for f in findings_str[:5]) if findings_str else "Keine"
-    controls_text = "\n".join(f"- {c}" for c in controls_str[:5]) if controls_str else "Keine"
-
-    mode_header = (
-        "PRUEFUNG LIVE-WEBSITE — Das Dokument ist bereits oeffentlich zugaenglich."
+    mode_banner = (
+        '<div style="background:#fef2f2;border-left:4px solid #dc2626;padding:12px 16px;margin-bottom:16px;">'
+        '<strong style="color:#991b1b;">LIVE-WEBSITE</strong> — Das Dokument ist bereits oeffentlich zugaenglich.</div>'
         if is_live else
-        "INTERNE PRUEFUNG — Das Dokument ist noch nicht veroeffentlicht."
+        '<div style="background:#eff6ff;border-left:4px solid #3b82f6;padding:12px 16px;margin-bottom:16px;">'
+        '<strong style="color:#1e40af;">INTERNE PRUEFUNG</strong> — Dokument noch nicht veroeffentlicht.</div>'
     )
 
-    parts = [
-        mode_header,
-        "",
-        f"Dokumenttyp: {classification}",
-        f"Quelle: {url}",
-        f"Risikobewertung: {risk} ({score}/100)",
-        f"Zustaendig: {role}",
-        f"DSFA empfohlen: {'Ja' if dsfa else 'Nein'}",
-        "",
-        f"Findings:\n{findings_text}",
-        "",
-        f"Erforderliche Massnahmen:\n{controls_text}",
-    ]
+    findings_html = "".join(f'<li style="margin-bottom:4px;">{f}</li>' for f in findings_str[:8]) if findings_str else '<li style="color:#6b7280;">Keine</li>'
+    controls_html = "".join(f'<li style="margin-bottom:4px;">{c}</li>' for c in controls_str[:8]) if controls_str else '<li style="color:#6b7280;">Keine</li>'
 
+    warning = ""
     if is_live and findings_str:
-        parts.extend([
-            "",
-            "ACHTUNG: Diese Maengel sind bereits oeffentlich sichtbar. "
-            "Sofortige Nachbesserung empfohlen um Abmahnrisiken zu minimieren.",
-        ])
+        warning = (
+            '<div style="background:#fef2f2;border:1px solid #fecaca;border-radius:8px;padding:12px 16px;margin-top:16px;">'
+            '<strong style="color:#dc2626;">⚠ ACHTUNG:</strong> Diese Maengel sind bereits oeffentlich sichtbar. '
+            'Sofortige Nachbesserung empfohlen um Abmahnrisiken zu minimieren.</div>'
+        )
     elif not is_live and controls_str:
-        parts.extend([
-            "",
-            "Empfehlung: Implementieren Sie die erforderlichen Kontrollen vor der Veroeffentlichung.",
-        ])
+        warning = (
+            '<div style="background:#f0fdf4;border:1px solid #bbf7d0;border-radius:8px;padding:12px 16px;margin-top:16px;">'
+            'Empfehlung: Implementieren Sie die erforderlichen Kontrollen vor der Veroeffentlichung.</div>'
+        )
 
-    if recommendation:
-        parts.extend(["", f"Weitere Empfehlung: {recommendation}"])
-    return "\n".join(parts)
+    rec_html = f'<p style="color:#475569;margin-top:12px;"><em>{recommendation}</em></p>' if recommendation else ""
+
+    return f"""
+    {mode_banner}
+    <table style="width:100%;border-collapse:collapse;margin-bottom:16px;">
+      <tr><td style="padding:6px 0;color:#64748b;width:180px;">Dokumenttyp</td><td style="padding:6px 0;font-weight:600;">{doc_label}</td></tr>
+      <tr><td style="padding:6px 0;color:#64748b;">Quelle</td><td style="padding:6px 0;"><a href="{url}" style="color:#6366f1;">{url}</a></td></tr>
+      <tr><td style="padding:6px 0;color:#64748b;">Risikobewertung</td><td style="padding:6px 0;"><span style="background:{risk_color};color:white;padding:2px 8px;border-radius:4px;font-size:13px;">{risk_label} ({score}/100)</span></td></tr>
+      <tr><td style="padding:6px 0;color:#64748b;">Zustaendig</td><td style="padding:6px 0;font-weight:600;">{role}</td></tr>
+      <tr><td style="padding:6px 0;color:#64748b;">DSFA empfohlen</td><td style="padding:6px 0;">{'Ja' if dsfa else 'Nein'}</td></tr>
+    </table>
+    <h3 style="color:#1e293b;font-size:15px;margin:16px 0 8px;">Findings</h3>
+    <ul style="margin:0;padding-left:20px;color:#334155;">{findings_html}</ul>
+    <h3 style="color:#1e293b;font-size:15px;margin:16px 0 8px;">Erforderliche Massnahmen</h3>
+    <ul style="margin:0;padding-left:20px;color:#334155;">{controls_html}</ul>
+    {warning}
+    {rec_html}
+    """
diff --git a/backend-compliance/compliance/api/agent_compare_routes.py b/backend-compliance/compliance/api/agent_compare_routes.py
new file mode 100644
index 0000000..c73c8a8
--- /dev/null
+++ b/backend-compliance/compliance/api/agent_compare_routes.py
@@ -0,0 +1,94 @@
+"""
+Agent Compare Routes — scan multiple websites and compare compliance posture.
+
+POST /api/compliance/agent/compare
+"""
+
+import asyncio
+import logging
+from datetime import datetime, timezone
+
+import httpx
+from fastapi import APIRouter
+from pydantic import BaseModel
+
+logger = logging.getLogger(__name__)
+
+router = APIRouter(prefix="/compliance/agent", tags=["agent"])
+
+
+class CompareRequest(BaseModel):
+    urls: list[str]  # 2-5 URLs to compare
+    mode: str = "post_launch"
+
+
+class SiteResult(BaseModel):
+    url: str
+    domain: str
+    risk_level: str = ""
+    risk_score: float = 0
+    findings_count: int = 0
+    services_count: int = 0
+    has_impressum: bool = False
+    has_datenschutz: bool = False
+    has_cookie_banner: bool = False
+    has_google_fonts: bool = False
+    tracking_before_consent: int = 0
+    classification: str = ""
+    scan_status: str = "pending"
+
+
+class CompareResponse(BaseModel):
+    sites: list[SiteResult]
+    compared_at: str
+
+
+@router.post("/compare", response_model=CompareResponse)
+async def compare_websites(req: CompareRequest):
+    """Scan multiple websites and compare their compliance posture."""
+    urls = req.urls[:5]  # Max 5
+
+    async def scan_one(url: str) -> SiteResult:
+        domain = url.split("/")[2] if len(url.split("/")) > 2 else url
+        try:
+            async with httpx.AsyncClient(timeout=120.0) as client:
+                resp = await client.post(
+                    "http://localhost:8002/api/compliance/agent/scan",
+                    json={"url": url, "mode": req.mode},
+                )
+                if resp.status_code != 200:
+                    return SiteResult(url=url, domain=domain, scan_status="failed")
+
+                data = resp.json()
+                services = data.get("services", [])
+                findings = data.get("findings", [])
+
+                return SiteResult(
+                    url=url,
+                    domain=domain,
+                    risk_level=data.get("risk_level", ""),
+                    risk_score=data.get("risk_score", 0),
+                    findings_count=len(findings),
+                    services_count=len(services),
+                    has_impressum=not any("IMPRESSUM" in f.get("code", "") for f in findings if isinstance(f, dict)),
+                    has_datenschutz=not any("DATENSCHUTZ" in f.get("code", "") for f in findings if isinstance(f, dict)),
+                    has_cookie_banner=data.get("chatbot_detected", False) or any(
+                        s.get("id") == "cmp" for s in services if isinstance(s, dict)
+                    ),
+                    has_google_fonts=any(
+                        s.get("id") == "google_fonts" for s in services if isinstance(s, dict)
+                    ),
+                    classification=data.get("classification", ""),
+                    scan_status="completed",
+                )
+        except Exception as e:
+            logger.error("Compare scan failed for %s: %s", url, e)
+            return SiteResult(url=url, domain=domain, scan_status="error")
+
+    # Scan all in parallel
+    results = await asyncio.gather(*[scan_one(u) for u in urls])
+
+    return CompareResponse(
+        sites=list(results),
+        compared_at=datetime.now(timezone.utc).isoformat(),
+    )
diff --git a/backend-compliance/compliance/api/agent_history_routes.py b/backend-compliance/compliance/api/agent_history_routes.py
new file mode 100644
index 0000000..d36c1a3
--- /dev/null
+++ b/backend-compliance/compliance/api/agent_history_routes.py
@@ -0,0 +1,220 @@
+"""
+Agent History Routes — persist and retrieve scan results.
+
+GET  /api/compliance/agent/scans — list recent scans
+GET  /api/compliance/agent/scans/{id} — get single scan
+POST /api/compliance/agent/scans — save a scan result
+"""
+
+import json
+import logging
+import os
+import uuid
+from datetime import datetime, timezone
+
+from fastapi import APIRouter, Query
+from fastapi.responses import Response
+from pydantic import BaseModel
+
+from compliance.services.agent_pdf_export import generate_scan_pdf
+
+logger = logging.getLogger(__name__)
+
+router = APIRouter(prefix="/compliance/agent", tags=["agent"])
+
+DATABASE_URL = os.environ.get(
+    "COMPLIANCE_DATABASE_URL",
+    os.environ.get("DATABASE_URL", ""),
+)
+
+
+class SaveScanRequest(BaseModel):
+    url: str
+    scan_type: str = "scan"
+    analysis_mode: str = "post_launch"
+    result: dict  # Full scan result JSON
+
+
+class ScanHistoryItem(BaseModel):
+    id: str
+    url: str
+    scan_type: str
+    analysis_mode: str
+    risk_level: str | None = None
+    risk_score: float = 0
+    findings_count: int = 0
+    pages_scanned: int = 0
+    email_sent: bool = False
+    created_at: str
+
+
+class ScanDetail(BaseModel):
+    id: str
+    url: str
+    scan_type: str
+    analysis_mode: str
+    result: dict
+    created_at: str
+
+
+async def _get_pool():
+    """Get or create database connection pool."""
+    import asyncpg
+    if not DATABASE_URL:
+        return None
+    try:
+        return await asyncpg.create_pool(DATABASE_URL, min_size=1, max_size=3)
+    except Exception as e:
+        logger.warning("DB connection failed: %s", e)
+        return None
+
+
+@router.post("/scans")
+async def save_scan(req: SaveScanRequest):
+    """Save a scan result to the database."""
+    pool = await _get_pool()
+    if not pool:
+        return {"status": "skipped", "reason": "no database"}
+
+    scan_id = str(uuid.uuid4())
+    result = req.result
+
+    try:
+        async with pool.acquire() as conn:
+            await conn.execute("""
+                INSERT INTO compliance_agent_scans
+                (id, url, scan_type, analysis_mode, classification, risk_level,
+                 risk_score, escalation_level, responsible_role, services,
+                 findings, summary_html, pages_scanned, pages_list, email_sent,
+                 created_at)
+                VALUES ($1, $2, $3, $4, $5, $6, $7, $8, $9, $10, $11, $12, $13, $14, $15, $16)
+            """,
+                uuid.UUID(scan_id),
+                req.url,
+                req.scan_type,
+                req.analysis_mode,
+                result.get("classification", ""),
+                result.get("risk_level", ""),
+                result.get("risk_score", 0),
+                result.get("escalation_level", ""),
+                result.get("responsible_role", ""),
+                json.dumps(result.get("services", [])),
+                json.dumps(result.get("findings", [])),
+                result.get("summary", result.get("summary_html", "")),
+                result.get("pages_scanned", 0),
+                json.dumps(result.get("pages_list", [])),
+                result.get("email_status") == "sent",
+                datetime.now(timezone.utc),
+            )
+        return {"status": "saved", "id": scan_id}
+    except Exception as e:
+        logger.error("Failed to save scan: %s", e)
+        return {"status": "error", "error": str(e)}
+    finally:
+        await pool.close()
+
+
+@router.get("/scans", response_model=list[ScanHistoryItem])
+async def list_scans(
+    limit: int = Query(20, le=100),
+    scan_type: str | None = None,
+):
+    """List recent scans."""
+    pool = await _get_pool()
+    if not pool:
+        return []
+
+    try:
+        async with pool.acquire() as conn:
+            query = """
+                SELECT id, url, scan_type, analysis_mode, risk_level, risk_score,
+                       findings, pages_scanned, email_sent, created_at
+                FROM compliance_agent_scans
+            """
+            params = []
+            if scan_type:
+                query += " WHERE scan_type = $1"
+                params.append(scan_type)
+            query += " ORDER BY created_at DESC LIMIT " + str(limit)
+
+            rows = await conn.fetch(query, *params)
+            return [
+                ScanHistoryItem(
+                    id=str(r["id"]),
+                    url=r["url"],
+                    scan_type=r["scan_type"],
+                    analysis_mode=r["analysis_mode"],
+                    risk_level=r["risk_level"],
+                    risk_score=r["risk_score"] or 0,
+                    findings_count=len(json.loads(r["findings"] or "[]")),
+                    pages_scanned=r["pages_scanned"] or 0,
+                    email_sent=r["email_sent"] or False,
+                    created_at=r["created_at"].isoformat() if r["created_at"] else "",
+                )
+                for r in rows
+            ]
+    except Exception as e:
+        logger.error("Failed to list scans: %s", e)
+        return []
+    finally:
+        await pool.close()
+
+
+@router.get("/scans/{scan_id}", response_model=ScanDetail)
+async def get_scan(scan_id: str):
+    """Get a single scan result."""
+    pool = await _get_pool()
+    if not pool:
+        return ScanDetail(id=scan_id, url="", scan_type="", analysis_mode="", result={}, created_at="")
+
+    try:
+        async with pool.acquire() as conn:
+            row = await conn.fetchrow("""
+                SELECT * FROM compliance_agent_scans WHERE id = $1
+            """, uuid.UUID(scan_id))
+
+            if not row:
+                return ScanDetail(id=scan_id, url="", scan_type="", analysis_mode="", result={}, created_at="")
+
+            return ScanDetail(
+                id=str(row["id"]),
+                url=row["url"],
+                scan_type=row["scan_type"],
+                analysis_mode=row["analysis_mode"],
+                result={
+                    "classification": row["classification"],
+                    "risk_level": row["risk_level"],
+                    "risk_score": row["risk_score"],
+                    "services": json.loads(row["services"] or "[]"),
+                    "findings": json.loads(row["findings"] or "[]"),
+                    "summary": row["summary_html"],
+                    "pages_scanned": row["pages_scanned"],
+                    "pages_list": json.loads(row["pages_list"] or "[]"),
+                },
+                created_at=row["created_at"].isoformat() if row["created_at"] else "",
+            )
+    except Exception as e:
+        logger.error("Failed to get scan: %s", e)
+        return ScanDetail(id=scan_id, url="", scan_type="", analysis_mode="", result={}, created_at="")
+    finally:
+        await pool.close()
+
+
+@router.post("/scans/pdf")
+async def export_scan_pdf(req: SaveScanRequest):
+    """Generate a PDF report from scan results (no DB required)."""
+    try:
+        pdf_bytes = generate_scan_pdf({
+            "url": req.url,
+            "scan_type": req.scan_type,
+            "analysis_mode": req.analysis_mode,
+            **req.result,
+        })
+        return Response(
+            content=pdf_bytes,
+            media_type="application/pdf",
+            headers={"Content-Disposition": f'attachment; filename="compliance-report-{req.url.split("/")[2][:30]}.pdf"'},
+        )
+    except Exception as e:
+        logger.error("PDF generation failed: %s", e)
+        return {"error": str(e)}
diff --git a/backend-compliance/compliance/api/agent_recurring_routes.py b/backend-compliance/compliance/api/agent_recurring_routes.py
new file mode 100644
index 0000000..ca76d5b
--- /dev/null
+++ b/backend-compliance/compliance/api/agent_recurring_routes.py
@@ -0,0 +1,111 @@
+"""
+Agent Recurring Scan Routes — schedule and run automated periodic scans.
+
+POST /api/compliance/agent/monitored-urls — add URL to monitoring
+GET  /api/compliance/agent/monitored-urls — list monitored URLs
+POST /api/compliance/agent/run-scheduled — trigger all scheduled scans
+"""
+
+import json
+import logging
+import os
+import uuid
+from datetime import datetime, timezone
+
+from fastapi import APIRouter
+from pydantic import BaseModel
+
+logger = logging.getLogger(__name__)
+
+router = APIRouter(prefix="/compliance/agent", tags=["agent"])
+
+DATABASE_URL = os.environ.get(
+    "COMPLIANCE_DATABASE_URL",
+    os.environ.get("DATABASE_URL", ""),
+)
+
+# In-memory fallback when no DB available
+_monitored_urls: list[dict] = []
+
+
+class MonitoredURL(BaseModel):
+    url: str
+    scan_type: str = "scan"  # scan, consent_test
+    frequency: str = "weekly"  # daily, weekly, monthly
+    recipient: str = "dsb@breakpilot.local"
+    enabled: bool = True
+
+
+@router.post("/monitored-urls")
+async def add_monitored_url(req: MonitoredURL):
+    """Add a URL to the monitoring list."""
+    entry = {
+        "id": str(uuid.uuid4()),
+        "url": req.url,
+        "scan_type": req.scan_type,
+        "frequency": req.frequency,
+        "recipient": req.recipient,
+        "enabled": req.enabled,
+        "created_at": datetime.now(timezone.utc).isoformat(),
+        "last_scan_at": None,
+    }
+    _monitored_urls.append(entry)
+    logger.info("Added monitored URL: %s (%s)", req.url, req.frequency)
+    return {"status": "added", **entry}
+
+
+@router.get("/monitored-urls")
+async def list_monitored_urls():
+    """List all monitored URLs."""
+    return {"urls": _monitored_urls}
+
+
+@router.delete("/monitored-urls/{url_id}")
+async def remove_monitored_url(url_id: str):
+    """Remove a URL from monitoring."""
+    global _monitored_urls
+    _monitored_urls = [u for u in _monitored_urls if u["id"] != url_id]
+    return {"status": "removed"}
+
+
+@router.post("/run-scheduled")
+async def run_scheduled_scans():
+    """Trigger all enabled scheduled scans. Called by cron/ZeroClaw."""
+    import httpx
+
+    results = []
+    backend_url = "http://localhost:8002"
+
+    for entry in _monitored_urls:
+        if not entry["enabled"]:
+            continue
+
+        url = entry["url"]
+        scan_type = entry["scan_type"]
+        logger.info("Running scheduled %s for %s", scan_type, url)
+
+        try:
+            async with httpx.AsyncClient(timeout=300.0) as client:
+                if scan_type == "consent_test":
+                    resp = await client.post(
+                        "http://bp-compliance-consent-tester:8094/scan",
+                        json={"url": url},
+                    )
+                else:
+                    resp = await client.post(
+                        f"{backend_url}/api/compliance/agent/scan",
+                        json={"url": url, "mode": "post_launch", "recipient": entry["recipient"]},
+                    )
+
+                entry["last_scan_at"] = datetime.now(timezone.utc).isoformat()
+                results.append({
+                    "url": url,
+                    "scan_type": scan_type,
+                    "status": "completed" if resp.status_code == 200 else "failed",
+                    "status_code": resp.status_code,
+                })
+        except Exception as e:
+            logger.error("Scheduled scan failed for %s: %s", url, e)
+            results.append({"url": url, "scan_type": scan_type, "status": "error", "error": str(e)})
+
+    return {"scans_triggered": len(results), "results": results}
diff --git a/backend-compliance/compliance/api/agent_scan_helpers.py b/backend-compliance/compliance/api/agent_scan_helpers.py
index 82bca19..209bf76 100644
--- a/backend-compliance/compliance/api/agent_scan_helpers.py
+++ b/backend-compliance/compliance/api/agent_scan_helpers.py
@@ -73,6 +73,7 @@ def build_scan_summary(
         f"Findings: {n_findings} ({high} mit hoher Prioritaet)",
     ])
 
+<<<<<<< HEAD
     # DSI Documents section — grouped with their findings
     if discovered_docs:
         parts.extend(["", f"Rechtliche Dokumente ({len(discovered_docs)})"])
@@ -108,6 +109,27 @@ def build_scan_summary(
                 marker = "!!" if sev == "HIGH" else "!" if sev == "MEDIUM" else "i"
                 parts.append(f"  [{marker}] {txt}")
     elif findings:
+=======
+    # DSI Documents section
+    if discovered_docs:
+        parts.extend([
+            "",
+            f"Rechtliche Dokumente gefunden: {len(discovered_docs)}",
+        ])
+        for doc in discovered_docs:
+            pct = doc.completeness_pct if hasattr(doc, 'completeness_pct') else 0
+            fc = doc.findings_count if hasattr(doc, 'findings_count') else 0
+            wc = doc.word_count if hasattr(doc, 'word_count') else 0
+            status = "OK" if pct >= 80 else "LUECKENHAFT" if pct >= 50 else "MANGELHAFT"
+            dt = doc.doc_type if hasattr(doc, 'doc_type') else "unknown"
+            title = doc.title if hasattr(doc, 'title') else "?"
+            parts.append(
+                f"  [{status}] {title} ({dt}, {wc} Woerter, "
+                f"{pct}% vollstaendig, {fc} Maengel)"
+            )
+
+    if findings:
+>>>>>>> feat/zeroclaw-compliance-agent
         parts.append("")
         for f in findings[:20]:
             sev = f.severity if hasattr(f, 'severity') else "?"
@@ -123,6 +145,7 @@ def build_scan_summary(
         ])
 
     return "\n".join(parts)
+<<<<<<< HEAD
 
 
 async def fetch_dse_text(url: str, scanned_pages: list[str]) -> str:
@@ -161,3 +184,5 @@ async def fetch_dse_html(url: str, scanned_pages: list[str]) -> str:
             return resp.text
     except Exception:
         return ""
+=======
+>>>>>>> feat/zeroclaw-compliance-agent
diff --git a/backend-compliance/compliance/api/agent_scan_routes.py b/backend-compliance/compliance/api/agent_scan_routes.py
index 1e66273..ec32dc5 100644
--- a/backend-compliance/compliance/api/agent_scan_routes.py
+++ b/backend-compliance/compliance/api/agent_scan_routes.py
@@ -23,9 +23,13 @@ from compliance.services.mandatory_content_checker import (
     check_mandatory_documents, check_dse_mandatory_content, MandatoryFinding,
 )
 from compliance.services.legal_basis_validator import validate_legal_bases
+<<<<<<< HEAD
 from compliance.api.agent_scan_helpers import (
     add_corrections, build_scan_summary, fetch_dse_text, fetch_dse_html,
 )
+=======
+from compliance.api.agent_scan_helpers import add_corrections, build_scan_summary
+>>>>>>> feat/zeroclaw-compliance-agent
 
 logger = logging.getLogger(__name__)
 
@@ -79,7 +83,10 @@ class ScanFinding(BaseModel):
     severity: str
     text: str
     correction: str = ""
+<<<<<<< HEAD
     doc_title: str = ""
+=======
+>>>>>>> feat/zeroclaw-compliance-agent
     text_reference: TextReferenceModel | None = None
 
 
@@ -219,17 +226,69 @@ async def _execute_scan(req: ScanRequest, scan_id: str = "") -> ScanResponse:
     else:
         scan = await scan_website(req.url)
 
+<<<<<<< HEAD
     logger.info("Scanned %d pages, found %d services", len(scan.pages_scanned), len(scan.detected_services))
 
     _progress(f"Schritt 2/7: Rechtliche Dokumente suchen... ({len(scan.pages_scanned)} Seiten gescannt)")
+=======
+    # Step 1: Scan website — try Playwright first (JS-rendered), fallback to httpx
+    playwright_htmls: dict[str, str] = {}
+    try:
+        async with httpx.AsyncClient(timeout=120.0) as pw_client:
+            pw_resp = await pw_client.post(
+                "http://bp-compliance-consent-tester:8094/website-scan",
+                json={"url": req.url, "max_pages": 15, "click_nav": True},
+            )
+            if pw_resp.status_code == 200:
+                pw_data = pw_resp.json()
+                playwright_htmls = pw_data.get("page_htmls", {})
+                logger.info("Playwright scan: %d pages, %d scripts",
+                            pw_data.get("pages_count", 0), len(pw_data.get("external_scripts", [])))
+    except Exception as e:
+        logger.warning("Playwright scanner unavailable, falling back to httpx: %s", e)
+
+    # Use Playwright results if available, otherwise fall back to httpx scanner
+    if playwright_htmls:
+        # Build ScanResult from Playwright data
+        from compliance.services.website_scanner import ScanResult, DetectedService, _detect_services, _detect_ai_mentions
+        from compliance.services.service_registry import SERVICE_REGISTRY
+        scan = ScanResult()
+        scan.pages_scanned = list(playwright_htmls.keys())
+        for page_url, html in playwright_htmls.items():
+            _detect_services(html, page_url, scan)
+            _detect_ai_mentions(html, page_url, scan)
+        # Deduplicate
+        seen = set()
+        unique = []
+        for svc in scan.detected_services:
+            if svc.id not in seen:
+                seen.add(svc.id)
+                unique.append(svc)
+        scan.detected_services = unique
+        scan.chatbot_detected = any(s.category == "chatbot" for s in scan.detected_services)
+        if scan.chatbot_detected:
+            scan.chatbot_provider = next(s.name for s in scan.detected_services if s.category == "chatbot")
+    else:
+        scan = await scan_website(req.url)
+
+    logger.info("Scanned %d pages, found %d services", len(scan.pages_scanned), len(scan.detected_services))
+
+>>>>>>> feat/zeroclaw-compliance-agent
     # Step 1b: DSI Discovery — find all legal documents on the website
     discovered_docs: list[DiscoveredDocument] = []
     dsi_findings: list[ScanFinding] = []
     try:
+<<<<<<< HEAD
         async with httpx.AsyncClient(timeout=300.0) as dsi_client:
             dsi_resp = await dsi_client.post(
                 "http://bp-compliance-consent-tester:8094/dsi-discovery",
                 json={"url": req.url, "max_documents": 30},
+=======
+        async with httpx.AsyncClient(timeout=180.0) as dsi_client:
+            dsi_resp = await dsi_client.post(
+                "http://bp-compliance-consent-tester:8094/dsi-discovery",
+                json={"url": req.url, "max_documents": 20},
+>>>>>>> feat/zeroclaw-compliance-agent
             )
             if dsi_resp.status_code == 200:
                 dsi_data = dsi_resp.json()
@@ -241,12 +300,17 @@ async def _execute_scan(req: ScanRequest, scan_id: str = "") -> ScanResponse:
                 )
                 for doc in dsi_data.get("documents", []):
                     doc_type = classify_document_type(doc["title"], doc["url"])
+<<<<<<< HEAD
                     doc_text = doc.get("full_text", "") or doc.get("text_preview", "")
                     logger.info("DSI check: '%s' type=%s text_len=%d full_text_len=%d preview_len=%d",
                                 doc["title"][:50], doc_type, len(doc_text),
                                 len(doc.get("full_text", "")), len(doc.get("text_preview", "")))
                     doc_findings = check_document_completeness(
                         doc_text, doc_type, doc["title"], doc["url"],
+=======
+                    doc_findings = check_document_completeness(
+                        doc.get("text_preview", ""), doc_type, doc["title"], doc["url"],
+>>>>>>> feat/zeroclaw-compliance-agent
                     )
                     # Count completeness
                     score_finding = next((f for f in doc_findings if "SCORE" in f.get("code", "")), None)
@@ -268,6 +332,7 @@ async def _execute_scan(req: ScanRequest, scan_id: str = "") -> ScanResponse:
                         if "SCORE" not in df.get("code", ""):
                             dsi_findings.append(ScanFinding(
                                 code=df["code"], severity=df["severity"], text=df["text"],
+<<<<<<< HEAD
                                 doc_title=doc["title"],
                             ))
     except Exception as e:
@@ -296,6 +361,24 @@ async def _execute_scan(req: ScanRequest, scan_id: str = "") -> ScanResponse:
         pass
     if not dse_text:
         dse_text = await fetch_dse_text(req.url, scan.pages_scanned)
+=======
+                            ))
+    except Exception as e:
+        logger.warning("DSI discovery failed: %s", e)
+
+    # Step 2: Fetch privacy policy text (from Playwright HTMLs or httpx)
+    dse_text = ""
+    for page_url, html in playwright_htmls.items():
+        if re.search(r"datenschutz|privacy|dsgvo", page_url, re.IGNORECASE):
+            import re as _re
+            clean = _re.sub(r"<(script|style)[^>]*>.*?</\1>", "", html, flags=_re.DOTALL | _re.IGNORECASE)
+            clean = _re.sub(r"<[^>]+>", " ", clean)
+            clean = _re.sub(r"\s+", " ", clean).strip()
+            dse_text = clean[:4000]
+            break
+    if not dse_text:
+        dse_text = await _fetch_dse_text(req.url, scan.pages_scanned)
+>>>>>>> feat/zeroclaw-compliance-agent
 
     # Step 3: Extract services mentioned in DSE via LLM + text fallback
     dse_services = await extract_dse_services(dse_text) if dse_text else []
@@ -320,11 +403,18 @@ async def _execute_scan(req: ScanRequest, scan_id: str = "") -> ScanResponse:
             dse_html = html
             break
     if not dse_html:
+<<<<<<< HEAD
         dse_html = await fetch_dse_html(req.url, scan.pages_scanned)
     dse_sections = parse_dse(dse_html, req.url) if dse_html else []
     logger.info("Parsed %d DSE sections", len(dse_sections))
 
     _progress("Schritt 4/7: SOLL/IST Vergleich...")
+=======
+        dse_html = await _fetch_dse_html(req.url, scan.pages_scanned)
+    dse_sections = parse_dse(dse_html, req.url) if dse_html else []
+    logger.info("Parsed %d DSE sections", len(dse_sections))
+
+>>>>>>> feat/zeroclaw-compliance-agent
     # Step 5: SOLL/IST comparison
     detected_dicts = [_service_to_dict(s) for s in scan.detected_services]
     comparison = compare_services(detected_dicts, dse_services)
@@ -363,7 +453,10 @@ async def _execute_scan(req: ScanRequest, scan_id: str = "") -> ScanResponse:
     # Step 8c: Add DSI document findings
     findings.extend(dsi_findings)
 
+<<<<<<< HEAD
     _progress(f"Schritt 5/7: Korrekturen generieren... ({len(findings)} Findings)")
+=======
+>>>>>>> feat/zeroclaw-compliance-agent
     # Step 9: Generate corrections for pre-launch mode
     if not is_live and findings:
         await add_corrections(findings, dse_text)
@@ -400,6 +493,24 @@ async def _execute_scan(req: ScanRequest, scan_id: str = "") -> ScanResponse:
 
 
 
+async def _fetch_dse_html(url: str, scanned_pages: list[str]) -> str:
+    """Fetch the raw HTML of the privacy policy page (for structured parsing)."""
+    import re
+    dse_url = None
+    for page in scanned_pages:
+        if re.search(r"datenschutz|privacy|dsgvo", page, re.IGNORECASE):
+            dse_url = page
+            break
+    if not dse_url:
+        dse_url = url
+    try:
+        async with httpx.AsyncClient(timeout=15.0, follow_redirects=True) as client:
+            resp = await client.get(dse_url, headers={"User-Agent": "BreakPilot-Compliance-Agent/1.0"})
+            return resp.text
+    except Exception:
+        return ""
+
+
 def _service_to_dict(svc: DetectedService) -> dict:
     return {
         "id": svc.id, "name": svc.name, "category": svc.category,
diff --git a/backend-compliance/compliance/api/banner_ab_routes.py b/backend-compliance/compliance/api/banner_ab_routes.py
new file mode 100644
index 0000000..4edc3ea
--- /dev/null
+++ b/backend-compliance/compliance/api/banner_ab_routes.py
@@ -0,0 +1,120 @@
+"""
+FastAPI routes for Banner A/B Testing.
+
+Endpoints:
+  GET    /banner/ab/{site_config_id}/variants     — list variants
+  POST   /banner/ab/{site_config_id}/variants     — create variant
+  PUT    /banner/ab/variants/{variant_id}          — update variant
+  DELETE /banner/ab/variants/{variant_id}          — delete variant
+  GET    /banner/ab/{site_config_id}/stats         — per-variant stats
+  GET    /banner/ab/assign                         — assign variant for device
+"""
+
+import logging
+from typing import Optional
+
+from fastapi import APIRouter, Depends, HTTPException, Query
+from pydantic import BaseModel
+from sqlalchemy.orm import Session
+
+from classroom_engine.database import get_db
+from .tenant_utils import get_tenant_id as _get_tenant_id
+from compliance.services.banner_ab_service import BannerABService
+
+logger = logging.getLogger(__name__)
+router = APIRouter(prefix="/banner/ab", tags=["banner-ab-testing"])
+
+
+class VariantCreate(BaseModel):
+    variant_name: str
+    variant_key: str = "A"
+    traffic_percent: int = 50
+    is_control: bool = False
+    banner_title: Optional[str] = None
+    banner_description: Optional[str] = None
+    position: Optional[str] = None
+    style: Optional[str] = None
+    primary_color: Optional[str] = None
+    show_decline_all: Optional[bool] = None
+    theme_overrides: Optional[dict] = None
+
+
+class VariantUpdate(BaseModel):
+    variant_name: Optional[str] = None
+    traffic_percent: Optional[int] = None
+    is_control: Optional[bool] = None
+    banner_title: Optional[str] = None
+    banner_description: Optional[str] = None
+    position: Optional[str] = None
+    style: Optional[str] = None
+    primary_color: Optional[str] = None
+    show_decline_all: Optional[bool] = None
+    is_active: Optional[bool] = None
+
+
+@router.get("/{site_config_id}/variants")
+def list_variants(
+    site_config_id: str,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    service = BannerABService(db)
+    return service.list_variants(tenant_id, site_config_id)
+
+
+@router.post("/{site_config_id}/variants")
+def create_variant(
+    site_config_id: str,
+    body: VariantCreate,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    service = BannerABService(db)
+    return service.create_variant(tenant_id, site_config_id, body.model_dump())
+
+
+@router.put("/variants/{variant_id}")
+def update_variant(
+    variant_id: str,
+    body: VariantUpdate,
+    db: Session = Depends(get_db),
+):
+    service = BannerABService(db)
+    result = service.update_variant(variant_id, body.model_dump(exclude_none=True))
+    if not result:
+        raise HTTPException(404, "Variant not found")
+    return result
+
+
+@router.delete("/variants/{variant_id}")
+def delete_variant(
+    variant_id: str,
+    db: Session = Depends(get_db),
+):
+    service = BannerABService(db)
+    if not service.delete_variant(variant_id):
+        raise HTTPException(404, "Variant not found")
+    return {"deleted": True}
+
+
+@router.get("/{site_config_id}/stats")
+def variant_stats(
+    site_config_id: str,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    service = BannerABService(db)
+    return service.get_variant_stats(tenant_id, site_config_id)
+
+
+@router.get("/assign")
+def assign_variant(
+    site_config_id: str = Query(...),
+    device_fingerprint: str = Query(...),
+    db: Session = Depends(get_db),
+):
+    service = BannerABService(db)
+    variant = service.assign_variant(site_config_id, device_fingerprint)
+    if not variant:
+        return {"variant": None, "message": "No active A/B test"}
+    return {"variant": variant}
diff --git a/backend-compliance/compliance/api/banner_analytics_routes.py b/backend-compliance/compliance/api/banner_analytics_routes.py
new file mode 100644
index 0000000..5f73c5b
--- /dev/null
+++ b/backend-compliance/compliance/api/banner_analytics_routes.py
@@ -0,0 +1,67 @@
+"""
+FastAPI routes for Banner Consent Analytics.
+
+Endpoints:
+  GET /banner/analytics/{site_id}/overview     — high-level stats
+  GET /banner/analytics/{site_id}/time-series  — opt-in rate over time
+  GET /banner/analytics/{site_id}/categories   — acceptance per category
+  GET /banner/analytics/{site_id}/devices      — mobile/desktop/tablet breakdown
+"""
+
+import logging
+from typing import Optional
+
+from fastapi import APIRouter, Depends, Query
+from sqlalchemy.orm import Session
+
+from classroom_engine.database import get_db
+from .tenant_utils import get_tenant_id as _get_tenant_id
+from compliance.services.banner_analytics_service import BannerAnalyticsService
+
+logger = logging.getLogger(__name__)
+router = APIRouter(prefix="/banner/analytics", tags=["banner-analytics"])
+
+
+@router.get("/{site_id}/overview")
+def analytics_overview(
+    site_id: str,
+    days: int = Query(30, le=365),
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    service = BannerAnalyticsService(db)
+    return service.get_overview_stats(tenant_id, site_id, days)
+
+
+@router.get("/{site_id}/time-series")
+def analytics_time_series(
+    site_id: str,
+    period: str = Query("daily"),
+    days: int = Query(30, le=365),
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    service = BannerAnalyticsService(db)
+    return service.get_time_series(tenant_id, site_id, period, days)
+
+
+@router.get("/{site_id}/categories")
+def analytics_categories(
+    site_id: str,
+    days: int = Query(30, le=365),
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    service = BannerAnalyticsService(db)
+    return service.get_category_breakdown(tenant_id, site_id, days)
+
+
+@router.get("/{site_id}/devices")
+def analytics_devices(
+    site_id: str,
+    days: int = Query(30, le=365),
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    service = BannerAnalyticsService(db)
+    return service.get_device_breakdown(tenant_id, site_id, days)
diff --git a/backend-compliance/compliance/api/banner_routes.py b/backend-compliance/compliance/api/banner_routes.py
index dad42e1..e4ed0f1 100644
--- a/backend-compliance/compliance/api/banner_routes.py
+++ b/backend-compliance/compliance/api/banner_routes.py
@@ -74,6 +74,7 @@ async def record_consent(
             device_fingerprint=body.device_fingerprint,
             categories=body.categories,
             vendors=body.vendors,
+            vendor_consents=body.vendor_consents,
             ip_address=body.ip_address,
             user_agent=body.user_agent,
             consent_string=body.consent_string,
diff --git a/backend-compliance/compliance/api/compliance_report_routes.py b/backend-compliance/compliance/api/compliance_report_routes.py
new file mode 100644
index 0000000..e394e37
--- /dev/null
+++ b/backend-compliance/compliance/api/compliance_report_routes.py
@@ -0,0 +1,38 @@
+"""
+FastAPI route for Compliance Report PDF generation.
+
+Endpoint:
+  GET /compliance/report/pdf  — generate comprehensive compliance report as PDF
+"""
+
+import logging
+from typing import Optional
+
+from fastapi import APIRouter, Depends, Query
+from fastapi.responses import StreamingResponse
+from sqlalchemy.orm import Session
+import io
+
+from classroom_engine.database import get_db
+from .tenant_utils import get_tenant_id as _get_tenant_id
+from compliance.services.compliance_pdf_generator import CompliancePDFGenerator
+
+logger = logging.getLogger(__name__)
+router = APIRouter(prefix="/compliance/report", tags=["compliance-report"])
+
+
+@router.get("/pdf")
+def generate_compliance_report_pdf(
+    project_id: Optional[str] = Query(None),
+    language: str = Query("de"),
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    """Generate a comprehensive compliance PDF report for a project."""
+    generator = CompliancePDFGenerator(db)
+    pdf_bytes, filename = generator.generate(tenant_id, project_id, language)
+    return StreamingResponse(
+        io.BytesIO(pdf_bytes),
+        media_type="application/pdf",
+        headers={"Content-Disposition": f'attachment; filename="{filename}"'},
+    )
diff --git a/backend-compliance/compliance/api/document_review_routes.py b/backend-compliance/compliance/api/document_review_routes.py
new file mode 100644
index 0000000..d9ea8cf
--- /dev/null
+++ b/backend-compliance/compliance/api/document_review_routes.py
@@ -0,0 +1,380 @@
+"""
+FastAPI routes for Document Review Workflow.
+
+Tracks which compliance documents have been sent for review, their status,
+and handles email notifications to reviewers.
+
+Endpoints:
+  GET    /document-reviews              — list reviews with filters
+  GET    /document-reviews/stats        — counts by status
+  POST   /document-reviews              — create review (auto-assign from mapping)
+  GET    /document-reviews/{id}         — single review
+  POST   /document-reviews/{id}/send    — send notification email
+  POST   /document-reviews/{id}/approve — mark as approved
+  POST   /document-reviews/{id}/reject  — mark as rejected
+  GET    /document-reviews/for-document — reviews for a specific doc type
+"""
+
+import hashlib
+import logging
+from datetime import datetime
+from typing import Optional
+
+from fastapi import APIRouter, Depends, HTTPException, Query
+from pydantic import BaseModel
+from sqlalchemy import text
+from sqlalchemy.orm import Session
+
+from classroom_engine.database import get_db
+from .tenant_utils import get_tenant_id as _get_tenant_id
+from .db_utils import row_to_dict as _row_to_dict
+
+logger = logging.getLogger(__name__)
+router = APIRouter(prefix="/document-reviews", tags=["document-reviews"])
+
+
+# =============================================================================
+# Schemas
+# =============================================================================
+
+
+class ReviewCreate(BaseModel):
+    document_type: str
+    document_title: str
+    document_content: Optional[str] = None
+    project_id: Optional[str] = None
+    submitted_by: Optional[str] = None
+    review_link: Optional[str] = None
+
+
+class ReviewReject(BaseModel):
+    comment: str
+
+
+# =============================================================================
+# Routes
+# =============================================================================
+
+
+@router.get("")
+def list_reviews(
+    project_id: Optional[str] = Query(None),
+    status: Optional[str] = Query(None),
+    document_type: Optional[str] = Query(None),
+    reviewer_role_key: Optional[str] = Query(None),
+    limit: int = Query(50, le=200),
+    offset: int = Query(0),
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    where = ["tenant_id = :tid"]
+    params = {"tid": tenant_id, "lim": limit, "off": offset}
+    if project_id:
+        where.append("project_id = :pid")
+        params["pid"] = project_id
+    if status:
+        where.append("status = :status")
+        params["status"] = status
+    if document_type:
+        where.append("document_type = :dt")
+        params["dt"] = document_type
+    if reviewer_role_key:
+        where.append("reviewer_role_key = :rrk")
+        params["rrk"] = reviewer_role_key
+
+    q = text(f"""
+        SELECT * FROM compliance_document_reviews
+        WHERE {' AND '.join(where)}
+        ORDER BY created_at DESC LIMIT :lim OFFSET :off
+    """)
+    rows = db.execute(q, params).fetchall()
+    return [_row_to_dict(r) for r in rows]
+
+
+@router.get("/stats")
+def review_stats(
+    project_id: Optional[str] = Query(None),
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    where = "tenant_id = :tid"
+    params = {"tid": tenant_id}
+    if project_id:
+        where += " AND project_id = :pid"
+        params["pid"] = project_id
+    q = text(f"SELECT status, COUNT(*) as count FROM compliance_document_reviews WHERE {where} GROUP BY status")
+    rows = db.execute(q, params).fetchall()
+    return {r.status: r.count for r in rows}
+
+
+@router.get("/for-document")
+def reviews_for_document(
+    document_type: str = Query(...),
+    project_id: Optional[str] = Query(None),
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    where = "tenant_id = :tid AND document_type = :dt"
+    params = {"tid": tenant_id, "dt": document_type}
+    if project_id:
+        where += " AND project_id = :pid"
+        params["pid"] = project_id
+    q = text(f"SELECT * FROM compliance_document_reviews WHERE {where} ORDER BY created_at DESC LIMIT 10")
+    rows = db.execute(q, params).fetchall()
+    return [_row_to_dict(r) for r in rows]
+
+
+@router.post("")
+def create_review(
+    body: ReviewCreate,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    # Find reviewer(s) from mapping + org_roles
+    q = text("""
+        SELECT m.role_key, m.is_primary, r.person_name, r.person_email, r.role_label
+        FROM compliance_document_role_mapping m
+        LEFT JOIN compliance_org_roles r
+          ON r.tenant_id = m.tenant_id AND r.role_key = m.role_key
+          AND (r.project_id = :pid OR r.project_id IS NULL)
+        WHERE m.tenant_id = :tid AND m.document_type = :dt
+        ORDER BY m.is_primary DESC
+    """)
+    mappings = db.execute(q, {"tid": tenant_id, "dt": body.document_type, "pid": body.project_id}).fetchall()
+
+    if not mappings:
+        raise HTTPException(404, f"No reviewer mapping found for document type '{body.document_type}'")
+
+    content_hash = hashlib.sha256(body.document_content.encode()).hexdigest() if body.document_content else None
+    created = []
+    for m in mappings:
+        m_dict = _row_to_dict(m)
+        ins = text("""
+            INSERT INTO compliance_document_reviews
+            (tenant_id, project_id, document_type, document_title, document_content_hash,
+             reviewer_role_key, reviewer_name, reviewer_email, submitted_by, review_link, submitted_at)
+            VALUES (:tid, :pid, :dt, :title, :hash, :rrk, :rn, :re, :sb, :rl, NOW())
+            RETURNING *
+        """)
+        row = db.execute(ins, {
+            "tid": tenant_id, "pid": body.project_id, "dt": body.document_type,
+            "title": body.document_title, "hash": content_hash,
+            "rrk": m_dict["role_key"], "rn": m_dict.get("person_name"),
+            "re": m_dict.get("person_email"), "sb": body.submitted_by,
+            "rl": body.review_link,
+        }).fetchone()
+        created.append(_row_to_dict(row))
+    db.commit()
+    return created
+
+
+@router.get("/{review_id}")
+def get_review(
+    review_id: str,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    q = text("SELECT * FROM compliance_document_reviews WHERE id = :rid AND tenant_id = :tid")
+    row = db.execute(q, {"rid": review_id, "tid": tenant_id}).fetchone()
+    if not row:
+        raise HTTPException(404, "Review not found")
+    return _row_to_dict(row)
+
+
+@router.post("/{review_id}/send")
+def send_notification(
+    review_id: str,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    q = text("SELECT * FROM compliance_document_reviews WHERE id = :rid AND tenant_id = :tid")
+    row = db.execute(q, {"rid": review_id, "tid": tenant_id}).fetchone()
+    if not row:
+        raise HTTPException(404, "Review not found")
+    review = _row_to_dict(row)
+    if not review.get("reviewer_email"):
+        raise HTTPException(400, "No email for reviewer — assign a person to this role first")
+
+    try:
+        from compliance.services.smtp_sender import send_email
+        result = send_email(
+            recipient=review["reviewer_email"],
+            subject=f"[BreakPilot] Dokument zur Pruefung: {review['document_title']}",
+            body_html=f"""
+            <h2>Dokument zur Pruefung</h2>
+            <p>Sehr geehrte/r <strong>{review.get('reviewer_name') or 'Pruefer/in'}</strong>,</p>
+            <p>das folgende Dokument wurde Ihnen zur inhaltlichen Pruefung zugewiesen:</p>
+            <table style="border-collapse:collapse;margin:16px 0;">
+              <tr><td style="padding:4px 12px 4px 0;font-weight:bold;">Dokument:</td>
+                  <td>{review['document_title']}</td></tr>
+              <tr><td style="padding:4px 12px 4px 0;font-weight:bold;">Typ:</td>
+                  <td>{review['document_type']}</td></tr>
+              <tr><td style="padding:4px 12px 4px 0;font-weight:bold;">Eingereicht von:</td>
+                  <td>{review.get('submitted_by') or 'System'}</td></tr>
+            </table>
+            <p>Bitte pruefen Sie das Dokument auf <strong>inhaltliche Richtigkeit</strong>,
+            <strong>Vollstaendigkeit</strong> und <strong>Umsetzbarkeit</strong>.</p>
+            {f'<p><a href="{review["review_link"]}" style="background:#7c3aed;color:white;padding:10px 20px;border-radius:6px;text-decoration:none;">Dokument oeffnen</a></p>' if review.get("review_link") else ''}
+            <p style="color:#888;font-size:12px;">BreakPilot Compliance SDK</p>
+            """,
+        )
+        # Update review status
+        db.execute(text("""
+            UPDATE compliance_document_reviews
+            SET status = 'in_review', email_sent = TRUE, email_sent_at = NOW(), updated_at = NOW()
+            WHERE id = :rid
+        """), {"rid": review_id})
+        db.commit()
+        return {"sent": True, "email": review["reviewer_email"], "result": result}
+    except Exception as e:
+        logger.error("Failed to send review email: %s", e)
+        raise HTTPException(500, f"Email sending failed: {e}")
+
+
+@router.post("/{review_id}/approve")
+def approve_review(
+    review_id: str,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    q = text("""
+        UPDATE compliance_document_reviews
+        SET status = 'approved', reviewed_at = NOW(), updated_at = NOW()
+        WHERE id = :rid AND tenant_id = :tid
+        RETURNING *
+    """)
+    row = db.execute(q, {"rid": review_id, "tid": tenant_id}).fetchone()
+    if not row:
+        raise HTTPException(404, "Review not found")
+    db.commit()
+    review = _row_to_dict(row)
+
+    # Notify all OTHER roles mapped to this document type about the approval
+    _notify_approval(db, tenant_id, review)
+
+    # Check training gaps
+    training_info = {"training_gaps": 0, "academy_available": False}
+    try:
+        from compliance.services.training_link_service import TrainingLinkService
+        tls = TrainingLinkService(db)
+        gaps = tls.check_training_gaps(tenant_id, review["document_type"], review.get("project_id"))
+        training_info = {"training_gaps": gaps.get("total_gaps", 0), "academy_available": gaps.get("academy_available", False)}
+        # Send training notification emails for each gap
+        if gaps.get("gaps"):
+            _notify_training_gaps(gaps["gaps"], review)
+    except Exception as e:
+        logger.warning("Training gap check failed (non-blocking): %s", e)
+
+    review["training"] = training_info
+    return review
+
+
+def _notify_approval(db: Session, tenant_id: str, review: dict):
+    """Send approval notification to all other roles mapped to this document type."""
+    try:
+        from compliance.services.smtp_sender import send_email
+        q = text("""
+            SELECT DISTINCT r.person_name, r.person_email, r.role_label
+            FROM compliance_document_role_mapping m
+            JOIN compliance_org_roles r
+              ON r.tenant_id = m.tenant_id AND r.role_key = m.role_key
+              AND (r.project_id = :pid OR r.project_id IS NULL)
+            WHERE m.tenant_id = :tid AND m.document_type = :dt
+              AND m.role_key != :reviewer_key AND r.person_email IS NOT NULL
+        """)
+        others = db.execute(q, {
+            "tid": tenant_id, "dt": review["document_type"],
+            "pid": review.get("project_id"), "reviewer_key": review["reviewer_role_key"],
+        }).fetchall()
+        for other in others:
+            o = _row_to_dict(other)
+            send_email(
+                recipient=o["person_email"],
+                subject=f"[BreakPilot] Freigabe: {review['document_title']}",
+                body_html=f"""
+                <h2>Dokument freigegeben</h2>
+                <p>Sehr geehrte/r <strong>{o.get('person_name') or o['role_label']}</strong>,</p>
+                <p>das Dokument <strong>{review['document_title']}</strong> wurde von
+                {review.get('reviewer_name') or review['reviewer_role_key']} freigegeben.</p>
+                <p>Bitte pruefen Sie, ob fuer Ihren Verantwortungsbereich Handlungsbedarf besteht
+                (z.B. Schulungsbedarf, Prozessanpassungen).</p>
+                <p style="color:#888;font-size:12px;">BreakPilot Compliance SDK</p>
+                """,
+            )
+        logger.info("Notified %d other roles about approval of %s", len(others), review["document_title"])
+    except Exception as e:
+        logger.warning("Approval notification failed (non-blocking): %s", e)
+
+
+def _notify_training_gaps(gaps: list[dict], review: dict):
+    """Send training requirement emails to persons with outstanding modules."""
+    try:
+        from compliance.services.smtp_sender import send_email
+        for gap in gaps:
+            if not gap.get("person_email"):
+                continue
+            send_email(
+                recipient=gap["person_email"],
+                subject=f"[BreakPilot] Schulungsbedarf: {gap['module_title']}",
+                body_html=f"""
+                <h2>Schulungsbedarf nach Dokument-Freigabe</h2>
+                <p>Sehr geehrte/r <strong>{gap['person_name']}</strong>,</p>
+                <p>nach Freigabe des Dokuments <strong>{review['document_title']}</strong>
+                ist fuer Ihre Rolle (<strong>{gap['role']}</strong>) eine Schulung erforderlich:</p>
+                <p><strong>{gap['module_title']}</strong> ({gap['module_code']})</p>
+                <p>Status: {gap['status']}</p>
+                <p><a href="/sdk/training/learner" style="background:#7c3aed;color:white;padding:10px 20px;border-radius:6px;text-decoration:none;">Zur Academy</a></p>
+                <p style="color:#888;font-size:12px;">BreakPilot Compliance SDK</p>
+                """,
+            )
+        logger.info("Sent %d training gap notifications for %s", len(gaps), review["document_title"])
+    except Exception as e:
+        logger.warning("Training notification failed (non-blocking): %s", e)
+
+
+@router.post("/{review_id}/reject")
+def reject_review(
+    review_id: str,
+    body: ReviewReject,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    q = text("""
+        UPDATE compliance_document_reviews
+        SET status = 'rejected', reviewed_at = NOW(), review_comment = :comment, updated_at = NOW()
+        WHERE id = :rid AND tenant_id = :tid
+        RETURNING *
+    """)
+    row = db.execute(q, {"rid": review_id, "tid": tenant_id, "comment": body.comment}).fetchone()
+    if not row:
+        raise HTTPException(404, "Review not found")
+    db.commit()
+    return _row_to_dict(row)
+
+
+# =============================================================================
+# Training Integration
+# =============================================================================
+
+
+@router.get("/training-requirements")
+def get_training_requirements(
+    document_type: str = Query(...),
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    from compliance.services.training_link_service import TrainingLinkService
+    service = TrainingLinkService(db)
+    return service.get_training_requirements(tenant_id, document_type)
+
+
+@router.get("/training-gaps")
+def get_training_gaps(
+    document_type: str = Query(...),
+    project_id: Optional[str] = Query(None),
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    from compliance.services.training_link_service import TrainingLinkService
+    service = TrainingLinkService(db)
+    return service.check_training_gaps(tenant_id, document_type, project_id)
diff --git a/backend-compliance/compliance/api/dsr_routes.py b/backend-compliance/compliance/api/dsr_routes.py
index 45503d6..4002ebc 100644
--- a/backend-compliance/compliance/api/dsr_routes.py
+++ b/backend-compliance/compliance/api/dsr_routes.py
@@ -243,6 +243,19 @@ async def change_status(
         return svc.change_status(dsr_id, body, tenant_id)
 
 
+@router.post("/{dsr_id}/reject-art11")
+async def reject_art11(
+    dsr_id: str,
+    notes: str = Query(""),
+    tenant_id: str = Depends(_get_tenant),
+    db: Session = Depends(get_db),
+):
+    """Reject DSR under Art. 11 DSGVO — data subject not identifiable."""
+    from compliance.services.dsr_art11_service import DSRArt11Service
+    with translate_domain_errors():
+        return DSRArt11Service(db).reject_not_identifiable(dsr_id, tenant_id, notes)
+
+
 @router.post("/{dsr_id}/verify-identity")
 async def verify_identity(
     dsr_id: str,
@@ -367,3 +380,42 @@ async def update_exception_check(
 ):
     with translate_domain_errors():
         return svc.update_exception_check(dsr_id, check_id, body, tenant_id)
+
+
+# =============================================================================
+# User Data Export (Art. 15 / Art. 20)
+# =============================================================================
+
+
+@router.get("/{dsr_id}/export-user-data")
+async def export_user_data(
+    dsr_id: str,
+    format: str = Query("json"),
+    tenant_id: str = Depends(_get_tenant),
+    svc: DSRService = Depends(_dsr_svc),
+    db: Session = Depends(get_db),
+):
+    """Export all CMP data about the data subject as JSON, CSV, or PDF."""
+    import io
+    from compliance.services.dsr_export_service import DSRExportService
+
+    with translate_domain_errors():
+        dsr = svc.get(dsr_id, tenant_id)
+    email = dsr.get("requester_email")
+    if not email:
+        from fastapi import HTTPException
+        raise HTTPException(400, "DSR has no requester email")
+
+    export_svc = DSRExportService(db)
+    if format == "pdf":
+        content, filename = export_svc.export_pdf(tenant_id, email)
+        return StreamingResponse(io.BytesIO(content), media_type="application/pdf",
+                                 headers={"Content-Disposition": f'attachment; filename="{filename}"'})
+    elif format == "csv":
+        content, filename = export_svc.export_csv(tenant_id, email)
+        return StreamingResponse(io.BytesIO(content), media_type="text/csv",
+                                 headers={"Content-Disposition": f'attachment; filename="{filename}"'})
+    else:
+        content, filename = export_svc.export_json(tenant_id, email)
+        return StreamingResponse(io.BytesIO(content), media_type="application/json",
+                                 headers={"Content-Disposition": f'attachment; filename="{filename}"'})
diff --git a/backend-compliance/compliance/api/org_role_routes.py b/backend-compliance/compliance/api/org_role_routes.py
new file mode 100644
index 0000000..9068896
--- /dev/null
+++ b/backend-compliance/compliance/api/org_role_routes.py
@@ -0,0 +1,255 @@
+"""
+FastAPI routes for Organizational Compliance Roles.
+
+Manages the 7 standard compliance roles (DSB, GF, IT-Leiter, etc.)
+and the document-to-role mapping that determines who reviews which documents.
+
+Endpoints:
+  GET    /org-roles              — list roles for tenant/project
+  POST   /org-roles              — create/upsert a role
+  PUT    /org-roles/{id}         — update role details
+  DELETE /org-roles/{id}         — remove a role
+  GET    /org-roles/defaults     — 7 standard role definitions
+  POST   /org-roles/seed         — seed default roles for a project
+  POST   /org-roles/{id}/send-test — send test email to role
+  GET    /org-roles/mapping      — document-to-role mapping
+  PUT    /org-roles/mapping      — update mapping
+"""
+
+import logging
+from typing import Optional, List
+
+from fastapi import APIRouter, Depends, HTTPException, Query
+from pydantic import BaseModel
+from sqlalchemy import text
+from sqlalchemy.orm import Session
+
+from classroom_engine.database import get_db
+from .tenant_utils import get_tenant_id as _get_tenant_id
+from .db_utils import row_to_dict as _row_to_dict
+
+logger = logging.getLogger(__name__)
+router = APIRouter(prefix="/org-roles", tags=["org-roles"])
+
+# =============================================================================
+# Standard role definitions
+# =============================================================================
+
+DEFAULT_ROLES = [
+    {"role_key": "dsb", "role_label": "Datenschutzbeauftragter (DSB)"},
+    {"role_key": "gf", "role_label": "Geschaeftsfuehrung"},
+    {"role_key": "it_leiter", "role_label": "IT-Leiter / CISO"},
+    {"role_key": "hr_leitung", "role_label": "HR-Leitung"},
+    {"role_key": "marketing_leitung", "role_label": "Marketing-Leitung"},
+    {"role_key": "compliance_beauftragter", "role_label": "Compliance-Beauftragter"},
+    {"role_key": "einkauf", "role_label": "Einkauf / Vendor Management"},
+]
+
+# =============================================================================
+# Schemas
+# =============================================================================
+
+
+class OrgRoleCreate(BaseModel):
+    role_key: str
+    role_label: str
+    person_name: Optional[str] = None
+    person_email: Optional[str] = None
+    department: Optional[str] = None
+    project_id: Optional[str] = None
+
+
+class OrgRoleUpdate(BaseModel):
+    role_label: Optional[str] = None
+    person_name: Optional[str] = None
+    person_email: Optional[str] = None
+    department: Optional[str] = None
+    is_active: Optional[bool] = None
+
+
+class MappingEntry(BaseModel):
+    document_type: str
+    role_key: str
+    is_primary: bool = True
+
+
+class MappingUpdate(BaseModel):
+    entries: List[MappingEntry]
+
+
+# =============================================================================
+# Routes
+# =============================================================================
+
+
+@router.get("")
+def list_roles(
+    project_id: Optional[str] = Query(None),
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    q = text("""
+        SELECT * FROM compliance_org_roles
+        WHERE tenant_id = :tid AND (project_id = :pid OR (:pid IS NULL AND project_id IS NULL))
+        ORDER BY role_key
+    """)
+    rows = db.execute(q, {"tid": tenant_id, "pid": project_id}).fetchall()
+    return [_row_to_dict(r) for r in rows]
+
+
+@router.get("/defaults")
+def get_defaults():
+    return DEFAULT_ROLES
+
+
+@router.post("")
+def create_role(
+    body: OrgRoleCreate,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    q = text("""
+        INSERT INTO compliance_org_roles (tenant_id, project_id, role_key, role_label, person_name, person_email, department)
+        VALUES (:tid, :pid, :rk, :rl, :pn, :pe, :dept)
+        ON CONFLICT (tenant_id, project_id, role_key) DO UPDATE
+        SET role_label = EXCLUDED.role_label,
+            person_name = COALESCE(EXCLUDED.person_name, compliance_org_roles.person_name),
+            person_email = COALESCE(EXCLUDED.person_email, compliance_org_roles.person_email),
+            department = COALESCE(EXCLUDED.department, compliance_org_roles.department),
+            updated_at = NOW()
+        RETURNING *
+    """)
+    row = db.execute(q, {
+        "tid": tenant_id, "pid": body.project_id, "rk": body.role_key,
+        "rl": body.role_label, "pn": body.person_name, "pe": body.person_email,
+        "dept": body.department,
+    }).fetchone()
+    db.commit()
+    return _row_to_dict(row)
+
+
+@router.put("/{role_id}")
+def update_role(
+    role_id: str,
+    body: OrgRoleUpdate,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    sets, params = [], {"rid": role_id, "tid": tenant_id}
+    for field in ["role_label", "person_name", "person_email", "department", "is_active"]:
+        val = getattr(body, field, None)
+        if val is not None:
+            sets.append(f"{field} = :{field}")
+            params[field] = val
+    if not sets:
+        raise HTTPException(400, "No fields to update")
+    sets.append("updated_at = NOW()")
+    q = text(f"UPDATE compliance_org_roles SET {', '.join(sets)} WHERE id = :rid AND tenant_id = :tid RETURNING *")
+    row = db.execute(q, params).fetchone()
+    if not row:
+        raise HTTPException(404, "Role not found")
+    db.commit()
+    return _row_to_dict(row)
+
+
+@router.delete("/{role_id}")
+def delete_role(
+    role_id: str,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    q = text("DELETE FROM compliance_org_roles WHERE id = :rid AND tenant_id = :tid")
+    result = db.execute(q, {"rid": role_id, "tid": tenant_id})
+    db.commit()
+    if result.rowcount == 0:
+        raise HTTPException(404, "Role not found")
+    return {"deleted": True}
+
+
+@router.post("/seed")
+def seed_roles(
+    project_id: Optional[str] = Query(None),
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    created = 0
+    for role in DEFAULT_ROLES:
+        q = text("""
+            INSERT INTO compliance_org_roles (tenant_id, project_id, role_key, role_label)
+            VALUES (:tid, :pid, :rk, :rl)
+            ON CONFLICT (tenant_id, project_id, role_key) DO NOTHING
+        """)
+        result = db.execute(q, {"tid": tenant_id, "pid": project_id, "rk": role["role_key"], "rl": role["role_label"]})
+        created += result.rowcount
+    db.commit()
+    return {"seeded": created, "total": len(DEFAULT_ROLES)}
+
+
+@router.post("/{role_id}/send-test")
+def send_test_email(
+    role_id: str,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    q = text("SELECT * FROM compliance_org_roles WHERE id = :rid AND tenant_id = :tid")
+    role = db.execute(q, {"rid": role_id, "tid": tenant_id}).fetchone()
+    if not role:
+        raise HTTPException(404, "Role not found")
+    role_dict = _row_to_dict(role)
+    if not role_dict.get("person_email"):
+        raise HTTPException(400, "No email configured for this role")
+
+    try:
+        from compliance.services.smtp_sender import send_email
+        result = send_email(
+            recipient=role_dict["person_email"],
+            subject=f"[BreakPilot] Test-E-Mail fuer {role_dict['role_label']}",
+            body_html=f"""
+            <h2>Test-E-Mail</h2>
+            <p>Diese E-Mail bestaetigt, dass die Zustellung an die Rolle
+            <strong>{role_dict['role_label']}</strong> funktioniert.</p>
+            <p>Empfaenger: {role_dict['person_name'] or 'N/A'} ({role_dict['person_email']})</p>
+            <p style="color:#888;font-size:12px;">Gesendet von BreakPilot Compliance SDK</p>
+            """,
+        )
+        return {"sent": True, "email": role_dict["person_email"], "result": result}
+    except Exception as e:
+        logger.error("Failed to send test email: %s", e)
+        raise HTTPException(500, f"Email sending failed: {e}")
+
+
+# =============================================================================
+# Document-to-Role Mapping
+# =============================================================================
+
+
+@router.get("/mapping")
+def get_mapping(
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    q = text("""
+        SELECT * FROM compliance_document_role_mapping
+        WHERE tenant_id = :tid
+        ORDER BY document_type, role_key
+    """)
+    rows = db.execute(q, {"tid": tenant_id}).fetchall()
+    return [_row_to_dict(r) for r in rows]
+
+
+@router.put("/mapping")
+def update_mapping(
+    body: MappingUpdate,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    for entry in body.entries:
+        q = text("""
+            INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key, is_primary)
+            VALUES (:tid, :dt, :rk, :ip)
+            ON CONFLICT (tenant_id, document_type, role_key) DO UPDATE
+            SET is_primary = EXCLUDED.is_primary
+        """)
+        db.execute(q, {"tid": tenant_id, "dt": entry.document_type, "rk": entry.role_key, "ip": entry.is_primary})
+    db.commit()
+    return {"updated": len(body.entries)}
diff --git a/backend-compliance/compliance/api/tcf_routes.py b/backend-compliance/compliance/api/tcf_routes.py
new file mode 100644
index 0000000..acc7f2b
--- /dev/null
+++ b/backend-compliance/compliance/api/tcf_routes.py
@@ -0,0 +1,95 @@
+"""
+FastAPI routes for IAB TCF 2.2 (Transparency & Consent Framework).
+
+Endpoints:
+  GET  /tcf/purposes          — list 12 IAB purposes with translations
+  GET  /tcf/special-features  — list 2 IAB special features
+  GET  /tcf/category-mapping  — banner category → IAB purpose mapping
+  POST /tcf/encode            — generate TC String from consent decisions
+  POST /tcf/encode-categories — generate TC String from banner categories
+"""
+
+import logging
+from typing import Optional, List, Dict
+
+from fastapi import APIRouter, Depends
+from pydantic import BaseModel
+from sqlalchemy.orm import Session
+
+from classroom_engine.database import get_db
+from .tenant_utils import get_tenant_id as _get_tenant_id
+from compliance.services.tcf_encoder_service import TCFEncoderService
+
+logger = logging.getLogger(__name__)
+router = APIRouter(prefix="/tcf", tags=["tcf"])
+
+
+class TCFEncodeRequest(BaseModel):
+    purpose_consents: Dict[int, bool] = {}
+    vendor_consents: Dict[int, bool] = {}
+    purpose_li: Optional[Dict[int, bool]] = None
+    special_features: Optional[Dict[int, bool]] = None
+    cmp_id: int = 1
+    cmp_version: int = 1
+    consent_language: str = "DE"
+
+
+class TCFCategoryEncodeRequest(BaseModel):
+    categories: List[str] = []
+    vendor_consents: Optional[Dict[int, bool]] = None
+    cmp_id: int = 1
+    consent_language: str = "DE"
+
+
+@router.get("/purposes")
+def list_purposes():
+    return TCFEncoderService.get_purposes()
+
+
+@router.get("/special-features")
+def list_special_features():
+    return TCFEncoderService.get_special_features()
+
+
+@router.get("/category-mapping")
+def get_category_mapping():
+    return TCFEncoderService.get_category_purpose_map()
+
+
+@router.post("/encode")
+def encode_tc_string(body: TCFEncodeRequest):
+    encoder = TCFEncoderService(
+        cmp_id=body.cmp_id,
+        cmp_version=body.cmp_version,
+        consent_language=body.consent_language,
+    )
+    tc_string = encoder.encode(
+        purpose_consents=body.purpose_consents,
+        vendor_consents=body.vendor_consents,
+        purpose_li=body.purpose_li,
+        special_features=body.special_features,
+    )
+    return {"tc_string": tc_string, "version": 2}
+
+
+@router.post("/encode-categories")
+def encode_from_categories(body: TCFCategoryEncodeRequest):
+    encoder = TCFEncoderService(
+        cmp_id=body.cmp_id,
+        consent_language=body.consent_language,
+    )
+    tc_string = encoder.encode_from_categories(
+        categories=body.categories,
+        vendor_consents=body.vendor_consents,
+    )
+    # Also return which purposes were set
+    from compliance.services.tcf_encoder_service import CATEGORY_PURPOSE_MAP
+    purpose_ids = set()
+    for cat in body.categories:
+        purpose_ids.update(CATEGORY_PURPOSE_MAP.get(cat, []))
+    return {
+        "tc_string": tc_string,
+        "version": 2,
+        "purposes_consented": sorted(purpose_ids),
+        "categories": body.categories,
+    }
diff --git a/backend-compliance/compliance/api/whistleblower_routes.py b/backend-compliance/compliance/api/whistleblower_routes.py
new file mode 100644
index 0000000..1326cea
--- /dev/null
+++ b/backend-compliance/compliance/api/whistleblower_routes.py
@@ -0,0 +1,310 @@
+"""
+FastAPI routes for Whistleblower (HinSchG) — Hinweisgeberschutz.
+
+Admin endpoints for managing reports + public endpoint for anonymous submissions.
+Deadlines: 7 days acknowledgment (§ 17 Abs. 1), 3 months feedback (§ 17 Abs. 2).
+
+Endpoints:
+  GET    /whistleblower/reports              — list with filters
+  GET    /whistleblower/reports/stats        — counts by status/category
+  POST   /whistleblower/reports              — create report (admin)
+  GET    /whistleblower/reports/{id}         — single report with messages
+  PUT    /whistleblower/reports/{id}         — update status/priority/assignment
+  POST   /whistleblower/reports/{id}/acknowledge — send acknowledgment
+  POST   /whistleblower/reports/{id}/close   — close report
+  POST   /whistleblower/reports/{id}/messages — add message
+  GET    /whistleblower/reports/{id}/measures — list measures
+  POST   /whistleblower/reports/{id}/measures — add measure
+  POST   /whistleblower/submit              — public anonymous submission
+  GET    /whistleblower/check/{access_key}  — reporter checks status
+"""
+
+import logging
+import secrets
+import string
+from datetime import datetime, timedelta, timezone
+from typing import Optional, List
+
+from fastapi import APIRouter, Depends, HTTPException, Query
+from pydantic import BaseModel
+from sqlalchemy import text
+from sqlalchemy.orm import Session
+
+from classroom_engine.database import get_db
+from .tenant_utils import get_tenant_id as _get_tenant_id
+from .db_utils import row_to_dict as _row_to_dict
+
+logger = logging.getLogger(__name__)
+router = APIRouter(prefix="/whistleblower", tags=["whistleblower"])
+
+VALID_CATEGORIES = {"corruption", "fraud", "data_protection", "discrimination",
+                    "environment", "competition", "product_safety", "tax_evasion", "other"}
+VALID_STATUSES = {"new", "acknowledged", "under_review", "investigation",
+                  "measures_taken", "closed", "rejected"}
+
+
+def _gen_ref(tenant_id: str, db: Session) -> str:
+    year = datetime.now().year
+    q = text("SELECT COUNT(*) FROM compliance_whistleblower_reports WHERE tenant_id = :tid")
+    count = db.execute(q, {"tid": tenant_id}).scalar() or 0
+    return f"WB-{year}-{count + 1:06d}"
+
+
+def _gen_access_key() -> str:
+    chars = string.ascii_uppercase + string.digits
+    parts = [''.join(secrets.choice(chars) for _ in range(4)) for _ in range(3)]
+    return '-'.join(parts)
+
+
+# =============================================================================
+# Schemas
+# =============================================================================
+
+class ReportCreate(BaseModel):
+    category: str = "other"
+    title: str
+    description: str
+    is_anonymous: bool = True
+    reporter_name: Optional[str] = None
+    reporter_email: Optional[str] = None
+    reporter_phone: Optional[str] = None
+    priority: str = "normal"
+
+class ReportUpdate(BaseModel):
+    status: Optional[str] = None
+    priority: Optional[str] = None
+    assigned_to: Optional[str] = None
+    category: Optional[str] = None
+
+class MessageCreate(BaseModel):
+    message: str
+    sender_type: str = "admin"
+    is_internal: bool = False
+
+class MeasureCreate(BaseModel):
+    title: str
+    description: Optional[str] = None
+    responsible: Optional[str] = None
+    due_date: Optional[str] = None
+
+
+# =============================================================================
+# Admin Routes
+# =============================================================================
+
+@router.get("/reports")
+def list_reports(
+    status: Optional[str] = Query(None),
+    category: Optional[str] = Query(None),
+    limit: int = Query(50, le=200),
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    where = ["tenant_id = :tid"]
+    params = {"tid": tenant_id, "lim": limit}
+    if status:
+        where.append("status = :st")
+        params["st"] = status
+    if category:
+        where.append("category = :cat")
+        params["cat"] = category
+    q = text(f"SELECT * FROM compliance_whistleblower_reports WHERE {' AND '.join(where)} ORDER BY received_at DESC LIMIT :lim")
+    return [_row_to_dict(r) for r in db.execute(q, params).fetchall()]
+
+
+@router.get("/reports/stats")
+def report_stats(
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    now = datetime.now(timezone.utc)
+    q = text("SELECT status, COUNT(*) as cnt FROM compliance_whistleblower_reports WHERE tenant_id = :tid GROUP BY status")
+    by_status = {r.status: r.cnt for r in db.execute(q, {"tid": tenant_id}).fetchall()}
+    q2 = text("SELECT category, COUNT(*) as cnt FROM compliance_whistleblower_reports WHERE tenant_id = :tid GROUP BY category")
+    by_category = {r.category: r.cnt for r in db.execute(q2, {"tid": tenant_id}).fetchall()}
+    q3 = text("SELECT COUNT(*) FROM compliance_whistleblower_reports WHERE tenant_id = :tid AND deadline_acknowledgment < :now AND acknowledged_at IS NULL AND status = 'new'")
+    overdue_ack = db.execute(q3, {"tid": tenant_id, "now": now}).scalar() or 0
+    q4 = text("SELECT COUNT(*) FROM compliance_whistleblower_reports WHERE tenant_id = :tid AND deadline_feedback < :now AND status NOT IN ('closed', 'rejected')")
+    overdue_fb = db.execute(q4, {"tid": tenant_id, "now": now}).scalar() or 0
+    total = sum(by_status.values())
+    return {"total": total, "by_status": by_status, "by_category": by_category, "overdue_acknowledgment": overdue_ack, "overdue_feedback": overdue_fb}
+
+
+@router.post("/reports")
+def create_report(
+    body: ReportCreate,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    now = datetime.now(timezone.utc)
+    ref = _gen_ref(tenant_id, db)
+    ak = _gen_access_key()
+    q = text("""
+        INSERT INTO compliance_whistleblower_reports
+        (tenant_id, reference_number, access_key, category, title, description,
+         is_anonymous, reporter_name, reporter_email, reporter_phone, priority,
+         received_at, deadline_acknowledgment, deadline_feedback)
+        VALUES (:tid, :ref, :ak, :cat, :title, :desc,
+                :anon, :rn, :re, :rp, :pri,
+                :now, :dl_ack, :dl_fb)
+        RETURNING *
+    """)
+    row = db.execute(q, {
+        "tid": tenant_id, "ref": ref, "ak": ak,
+        "cat": body.category, "title": body.title, "desc": body.description,
+        "anon": body.is_anonymous, "rn": body.reporter_name,
+        "re": body.reporter_email, "rp": body.reporter_phone,
+        "pri": body.priority, "now": now,
+        "dl_ack": now + timedelta(days=7),
+        "dl_fb": now + timedelta(days=90),
+    }).fetchone()
+    db.commit()
+    return _row_to_dict(row)
+
+
+@router.get("/reports/{report_id}")
+def get_report(
+    report_id: str,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    row = db.execute(text("SELECT * FROM compliance_whistleblower_reports WHERE id = :rid AND tenant_id = :tid"),
+                     {"rid": report_id, "tid": tenant_id}).fetchone()
+    if not row:
+        raise HTTPException(404, "Report not found")
+    result = _row_to_dict(row)
+    msgs = db.execute(text("SELECT * FROM compliance_whistleblower_messages WHERE report_id = :rid ORDER BY created_at"),
+                      {"rid": report_id}).fetchall()
+    result["messages"] = [_row_to_dict(m) for m in msgs]
+    measures = db.execute(text("SELECT * FROM compliance_whistleblower_measures WHERE report_id = :rid ORDER BY created_at"),
+                          {"rid": report_id}).fetchall()
+    result["measures"] = [_row_to_dict(m) for m in measures]
+    return result
+
+
+@router.put("/reports/{report_id}")
+def update_report(
+    report_id: str,
+    body: ReportUpdate,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    sets, params = [], {"rid": report_id, "tid": tenant_id}
+    for field in ["status", "priority", "assigned_to", "category"]:
+        val = getattr(body, field, None)
+        if val is not None:
+            sets.append(f"{field} = :{field}")
+            params[field] = val
+    if not sets:
+        raise HTTPException(400, "No fields to update")
+    sets.append("updated_at = NOW()")
+    q = text(f"UPDATE compliance_whistleblower_reports SET {', '.join(sets)} WHERE id = :rid AND tenant_id = :tid RETURNING *")
+    row = db.execute(q, params).fetchone()
+    if not row:
+        raise HTTPException(404, "Report not found")
+    db.commit()
+    return _row_to_dict(row)
+
+
+@router.post("/reports/{report_id}/acknowledge")
+def acknowledge_report(
+    report_id: str,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    q = text("""
+        UPDATE compliance_whistleblower_reports
+        SET status = 'acknowledged', acknowledged_at = NOW(), updated_at = NOW()
+        WHERE id = :rid AND tenant_id = :tid RETURNING *
+    """)
+    row = db.execute(q, {"rid": report_id, "tid": tenant_id}).fetchone()
+    if not row:
+        raise HTTPException(404, "Report not found")
+    db.commit()
+    return _row_to_dict(row)
+
+
+@router.post("/reports/{report_id}/close")
+def close_report(
+    report_id: str,
+    reason: str = Query(""),
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    q = text("""
+        UPDATE compliance_whistleblower_reports
+        SET status = 'closed', closed_at = NOW(), closure_reason = :reason, updated_at = NOW()
+        WHERE id = :rid AND tenant_id = :tid RETURNING *
+    """)
+    row = db.execute(q, {"rid": report_id, "tid": tenant_id, "reason": reason}).fetchone()
+    if not row:
+        raise HTTPException(404, "Report not found")
+    db.commit()
+    return _row_to_dict(row)
+
+
+@router.post("/reports/{report_id}/messages")
+def add_message(
+    report_id: str,
+    body: MessageCreate,
+    db: Session = Depends(get_db),
+    tenant_id: str = Depends(_get_tenant_id),
+):
+    q = text("""
+        INSERT INTO compliance_whistleblower_messages (report_id, sender_type, message, is_internal)
+        VALUES (:rid, :st, :msg, :internal) RETURNING *
+    """)
+    row = db.execute(q, {"rid": report_id, "st": body.sender_type, "msg": body.message, "internal": body.is_internal}).fetchone()
+    db.commit()
+    return _row_to_dict(row)
+
+
+@router.get("/reports/{report_id}/measures")
+def list_measures(report_id: str, db: Session = Depends(get_db)):
+    return [_row_to_dict(r) for r in db.execute(text(
+        "SELECT * FROM compliance_whistleblower_measures WHERE report_id = :rid ORDER BY created_at"
+    ), {"rid": report_id}).fetchall()]
+
+
+@router.post("/reports/{report_id}/measures")
+def add_measure(
+    report_id: str, body: MeasureCreate,
+    db: Session = Depends(get_db),
+):
+    q = text("""
+        INSERT INTO compliance_whistleblower_measures (report_id, title, description, responsible, due_date)
+        VALUES (:rid, :title, :desc, :resp, :due) RETURNING *
+    """)
+    row = db.execute(q, {"rid": report_id, "title": body.title, "desc": body.description,
+                         "resp": body.responsible, "due": body.due_date}).fetchone()
+    db.commit()
+    return _row_to_dict(row)
+
+
+# =============================================================================
+# Public Routes (Anonymous)
+# =============================================================================
+
+@router.post("/submit")
+def submit_report(body: ReportCreate, db: Session = Depends(get_db), tenant_id: str = Depends(_get_tenant_id)):
+    """Public anonymous submission — same as create but returns only access_key."""
+    body.is_anonymous = True
+    result = create_report(body, db, tenant_id)
+    return {"access_key": result["access_key"], "reference_number": result["reference_number"],
+            "message": "Ihre Meldung wurde erfolgreich eingereicht. Nutzen Sie den Zugangscode um den Status zu pruefen."}
+
+
+@router.get("/check/{access_key}")
+def check_status(access_key: str, db: Session = Depends(get_db), tenant_id: str = Depends(_get_tenant_id)):
+    """Reporter checks status anonymously via access key."""
+    row = db.execute(text(
+        "SELECT id, reference_number, status, category, received_at, acknowledged_at FROM compliance_whistleblower_reports WHERE access_key = :ak AND tenant_id = :tid"
+    ), {"ak": access_key, "tid": tenant_id}).fetchone()
+    if not row:
+        raise HTTPException(404, "Meldung nicht gefunden")
+    result = _row_to_dict(row)
+    msgs = db.execute(text(
+        "SELECT message, sender_type, created_at FROM compliance_whistleblower_messages WHERE report_id = :rid AND is_internal = FALSE ORDER BY created_at"
+    ), {"rid": result["id"]}).fetchall()
+    result["messages"] = [_row_to_dict(m) for m in msgs]
+    return result
diff --git a/backend-compliance/compliance/db/banner_models.py b/backend-compliance/compliance/db/banner_models.py
index 58bd6c6..a343646 100644
--- a/backend-compliance/compliance/db/banner_models.py
+++ b/backend-compliance/compliance/db/banner_models.py
@@ -31,24 +31,11 @@ class BannerConsentDB(Base):
     device_fingerprint = Column(Text, nullable=False)
     categories = Column(JSON, default=list)
     vendors = Column(JSON, default=list)
+    vendor_consents = Column(JSON, default=dict)  # {"vendor_id": true/false}
     ip_hash = Column(Text)
     user_agent = Column(Text)
     consent_string = Column(Text)
     linked_email = Column(Text)
-    # Vendor-agnostische Felder (Migration 107)
-    consent_method = Column(Text)          # accept_all / reject_all / custom_selection
-    banner_version = Column(Integer)
-    banner_config_hash = Column(Text)
-    geo_country = Column(Text)
-    geo_region = Column(Text)
-    consent_scope = Column(Text, default='domain')
-    page_url = Column(Text)
-    referrer = Column(Text)
-    device_type = Column(Text)             # mobile / desktop / tablet
-    browser = Column(Text)
-    os = Column(Text)
-    screen_resolution = Column(Text)
-    session_id = Column(Text)
     expires_at = Column(DateTime)
     created_at = Column(DateTime, nullable=False, default=datetime.utcnow)
     updated_at = Column(DateTime, default=datetime.utcnow, onupdate=datetime.utcnow)
@@ -74,11 +61,11 @@ class BannerConsentAuditLogDB(Base):
     site_id = Column(Text, nullable=False)
     device_fingerprint = Column(Text)
     categories = Column(JSON, default=list)
+    vendor_consents = Column(JSON, default=dict)
     ip_hash = Column(Text)
+    user_agent = Column(Text)
     banner_config_hash = Column(Text)
     consent_version = Column(Integer)
-    consent_method = Column(Text)
-    page_url = Column(Text)
     created_at = Column(DateTime, nullable=False, default=datetime.utcnow)
 
     __table_args__ = (
diff --git a/backend-compliance/compliance/schemas/banner.py b/backend-compliance/compliance/schemas/banner.py
index bfb38ac..ea04a33 100644
--- a/backend-compliance/compliance/schemas/banner.py
+++ b/backend-compliance/compliance/schemas/banner.py
@@ -16,6 +16,7 @@ class ConsentCreate(BaseModel):
     device_fingerprint: str
     categories: List[str] = []
     vendors: List[str] = []
+    vendor_consents: dict[str, bool] = {}
     ip_address: Optional[str] = None
     user_agent: Optional[str] = None
     consent_string: Optional[str] = None
diff --git a/backend-compliance/compliance/services/_banner_serializers.py b/backend-compliance/compliance/services/_banner_serializers.py
index 8e118aa..d7df8b5 100644
--- a/backend-compliance/compliance/services/_banner_serializers.py
+++ b/backend-compliance/compliance/services/_banner_serializers.py
@@ -23,23 +23,10 @@ def consent_to_dict(c: BannerConsentDB) -> dict[str, Any]:
         "device_fingerprint": c.device_fingerprint,
         "categories": c.categories or [],
         "vendors": c.vendors or [],
+        "vendor_consents": c.vendor_consents or {},
         "ip_hash": c.ip_hash,
-        "user_agent": c.user_agent,
         "consent_string": c.consent_string,
         "linked_email": c.linked_email,
-        "consent_method": c.consent_method,
-        "banner_version": c.banner_version,
-        "banner_config_hash": c.banner_config_hash,
-        "geo_country": c.geo_country,
-        "geo_region": c.geo_region,
-        "consent_scope": c.consent_scope,
-        "page_url": c.page_url,
-        "referrer": c.referrer,
-        "device_type": c.device_type,
-        "browser": c.browser,
-        "os": c.os,
-        "screen_resolution": c.screen_resolution,
-        "session_id": c.session_id,
         "expires_at": c.expires_at.isoformat() if c.expires_at else None,
         "created_at": c.created_at.isoformat() if c.created_at else None,
         "updated_at": c.updated_at.isoformat() if c.updated_at else None,
diff --git a/backend-compliance/compliance/services/agent_pdf_export.py b/backend-compliance/compliance/services/agent_pdf_export.py
new file mode 100644
index 0000000..7785ec5
--- /dev/null
+++ b/backend-compliance/compliance/services/agent_pdf_export.py
@@ -0,0 +1,95 @@
+"""
+Agent PDF Export — generates printable compliance scan reports.
+
+Uses WeasyPrint to convert HTML report to PDF.
+"""
+
+import logging
+from datetime import datetime, timezone
+from io import BytesIO
+
+logger = logging.getLogger(__name__)
+
+
+def generate_scan_pdf(scan_data: dict) -> bytes:
+    """Generate a PDF report from scan results."""
+    from weasyprint import HTML
+
+    html = _build_report_html(scan_data)
+    pdf_buffer = BytesIO()
+    HTML(string=html).write_pdf(pdf_buffer)
+    return pdf_buffer.getvalue()
+
+
+def _severity_color(sev: str) -> str:
+    return {"HIGH": "#dc2626", "CRITICAL": "#991b1b", "MEDIUM": "#ea580c", "LOW": "#2563eb"}.get(sev, "#6b7280")
+
+
+def _build_report_html(data: dict) -> str:
+    """Build HTML for the PDF report."""
+    url = data.get("url", "")
+    scan_type = data.get("scan_type", "scan")
+    mode = data.get("analysis_mode", "post_launch")
+    findings = data.get("findings", [])
+    services = data.get("services", [])
+    risk = data.get("risk_level", "")
+    score = data.get("risk_score", 0)
+    pages = data.get("pages_scanned", 0)
+    now = datetime.now(timezone.utc).strftime("%d.%m.%Y %H:%M UTC")
+
+    mode_label = "Live-Website Pruefung" if mode == "post_launch" else "Interne Pruefung"
+    type_label = {"quick": "Schnellanalyse", "scan": "Website-Scan", "consent_test": "Cookie-Test"}.get(scan_type, scan_type)
+
+    findings_rows = ""
+    for f in findings:
+        sev = f.get("severity", "MEDIUM") if isinstance(f, dict) else "MEDIUM"
+        text = f.get("text", str(f)) if isinstance(f, dict) else str(f)
+        color = _severity_color(sev)
+        findings_rows += f'<tr><td style="color:{color};font-weight:bold;padding:6px 8px;border-bottom:1px solid #e5e7eb;">{sev}</td><td style="padding:6px 8px;border-bottom:1px solid #e5e7eb;">{text}</td></tr>'
+
+    services_rows = ""
+    for s in services:
+        if isinstance(s, dict):
+            status_icon = "✓" if s.get("in_dse") or s.get("status") == "ok" else "✗"
+            status_color = "#16a34a" if status_icon == "✓" else "#dc2626"
+            services_rows += f'<tr><td style="color:{status_color};font-weight:bold;padding:4px 8px;border-bottom:1px solid #f3f4f6;">{status_icon}</td><td style="padding:4px 8px;border-bottom:1px solid #f3f4f6;">{s.get("name","")}</td><td style="padding:4px 8px;border-bottom:1px solid #f3f4f6;">{s.get("country","")}</td><td style="padding:4px 8px;border-bottom:1px solid #f3f4f6;">{s.get("category","")}</td></tr>'
+
+    return f"""<!DOCTYPE html>
+<html><head><meta charset="utf-8">
+<style>
+  body {{ font-family: -apple-system, Arial, sans-serif; font-size: 11px; color: #1e293b; margin: 40px; }}
+  h1 {{ font-size: 20px; color: #1e1b4b; margin-bottom: 4px; }}
+  h2 {{ font-size: 14px; color: #334155; border-bottom: 2px solid #e2e8f0; padding-bottom: 4px; margin-top: 24px; }}
+  .meta {{ color: #64748b; font-size: 10px; margin-bottom: 20px; }}
+  .badge {{ display: inline-block; padding: 2px 8px; border-radius: 4px; color: white; font-size: 10px; font-weight: bold; }}
+  table {{ width: 100%; border-collapse: collapse; }}
+  th {{ text-align: left; padding: 6px 8px; background: #f8fafc; border-bottom: 2px solid #e2e8f0; font-size: 10px; color: #64748b; }}
+  .warning {{ background: #fef2f2; border-left: 4px solid #dc2626; padding: 10px 14px; margin: 16px 0; }}
+  .footer {{ margin-top: 30px; padding-top: 10px; border-top: 1px solid #e2e8f0; color: #94a3b8; font-size: 9px; }}
+</style></head><body>
+
+<h1>Compliance Agent Report</h1>
+<p class="meta">{type_label} | {mode_label} | {now}</p>
+
+<table style="margin-bottom:20px;">
+  <tr><td style="padding:4px 0;color:#64748b;width:150px;">URL</td><td style="padding:4px 0;"><strong>{url}</strong></td></tr>
+  <tr><td style="padding:4px 0;color:#64748b;">Risikobewertung</td><td style="padding:4px 0;"><span class="badge" style="background:{_severity_color(risk) if risk else '#6b7280'}">{risk} ({score}/100)</span></td></tr>
+  <tr><td style="padding:4px 0;color:#64748b;">Seiten gescannt</td><td style="padding:4px 0;">{pages}</td></tr>
+  <tr><td style="padding:4px 0;color:#64748b;">Findings</td><td style="padding:4px 0;"><strong>{len(findings)}</strong></td></tr>
+</table>
+
+{'<div class="warning"><strong>ACHTUNG:</strong> Maengel auf einer bereits veroeffentlichten Website. Sofortige Korrektur empfohlen.</div>' if mode == "post_launch" and findings else ''}
+
+<h2>Findings ({len(findings)})</h2>
+<table>
+  <tr><th>Schwere</th><th>Beschreibung</th></tr>
+  {findings_rows if findings_rows else '<tr><td colspan="2" style="padding:8px;color:#16a34a;">Keine Findings — alles OK</td></tr>'}
+</table>
+
+{'<h2>Dienstleister-Abgleich</h2><table><tr><th>Status</th><th>Dienst</th><th>Land</th><th>Kategorie</th></tr>' + services_rows + '</table>' if services_rows else ''}
+
+<div class="footer">
+  Automatisch erstellt vom BreakPilot Compliance Agent | {now}<br>
+  Dieses Dokument ersetzt keine Rechtsberatung.
+</div>
+</body></html>"""
diff --git a/backend-compliance/compliance/services/banner_ab_service.py b/backend-compliance/compliance/services/banner_ab_service.py
new file mode 100644
index 0000000..9b490e4
--- /dev/null
+++ b/backend-compliance/compliance/services/banner_ab_service.py
@@ -0,0 +1,193 @@
+"""
+Banner A/B Testing Service — variant assignment, stats, significance.
+
+Deterministic variant assignment via device fingerprint hash ensures
+the same device always sees the same variant (sticky bucketing).
+"""
+
+import hashlib
+import math
+import uuid
+from datetime import datetime, timezone
+from typing import Any, Optional
+
+from sqlalchemy import text
+from sqlalchemy.orm import Session
+
+
+class BannerABService:
+    """A/B testing for consent banner variants."""
+
+    def __init__(self, db: Session) -> None:
+        self.db = db
+
+    # ------------------------------------------------------------------
+    # Variant CRUD
+    # ------------------------------------------------------------------
+
+    def list_variants(self, tenant_id: str, site_config_id: str) -> list[dict]:
+        q = text("""
+            SELECT * FROM compliance_banner_variants
+            WHERE tenant_id = :tid AND site_config_id = :scid
+            ORDER BY variant_key
+        """)
+        rows = self.db.execute(q, {"tid": tenant_id, "scid": site_config_id}).fetchall()
+        return [dict(r._mapping) for r in rows]
+
+    def create_variant(self, tenant_id: str, site_config_id: str, data: dict) -> dict:
+        q = text("""
+            INSERT INTO compliance_banner_variants
+            (tenant_id, site_config_id, variant_name, variant_key, traffic_percent, is_control,
+             banner_title, banner_description, position, style, primary_color, show_decline_all, theme_overrides)
+            VALUES (:tid, :scid, :name, :key, :pct, :ctrl,
+                    :title, :desc, :pos, :style, :color, :decline, :theme)
+            RETURNING *
+        """)
+        row = self.db.execute(q, {
+            "tid": tenant_id, "scid": site_config_id,
+            "name": data.get("variant_name", ""),
+            "key": data.get("variant_key", "A"),
+            "pct": data.get("traffic_percent", 50),
+            "ctrl": data.get("is_control", False),
+            "title": data.get("banner_title"),
+            "desc": data.get("banner_description"),
+            "pos": data.get("position"),
+            "style": data.get("style"),
+            "color": data.get("primary_color"),
+            "decline": data.get("show_decline_all"),
+            "theme": data.get("theme_overrides", "{}"),
+        }).fetchone()
+        self.db.commit()
+        return dict(row._mapping)
+
+    def update_variant(self, variant_id: str, data: dict) -> Optional[dict]:
+        sets, params = [], {"vid": variant_id}
+        for field in ["variant_name", "traffic_percent", "is_control", "banner_title",
+                      "banner_description", "position", "style", "primary_color",
+                      "show_decline_all", "is_active"]:
+            if field in data and data[field] is not None:
+                sets.append(f"{field} = :{field}")
+                params[field] = data[field]
+        if not sets:
+            return None
+        sets.append("updated_at = NOW()")
+        q = text(f"UPDATE compliance_banner_variants SET {', '.join(sets)} WHERE id = :vid RETURNING *")
+        row = self.db.execute(q, params).fetchone()
+        self.db.commit()
+        return dict(row._mapping) if row else None
+
+    def delete_variant(self, variant_id: str) -> bool:
+        q = text("DELETE FROM compliance_banner_variants WHERE id = :vid")
+        result = self.db.execute(q, {"vid": variant_id})
+        self.db.commit()
+        return result.rowcount > 0
+
+    # ------------------------------------------------------------------
+    # Variant Assignment (deterministic sticky bucketing)
+    # ------------------------------------------------------------------
+
+    def assign_variant(self, site_config_id: str, device_fingerprint: str) -> Optional[dict]:
+        """Assign a variant based on device fingerprint hash. Returns variant or None."""
+        variants = self.db.execute(text("""
+            SELECT * FROM compliance_banner_variants
+            WHERE site_config_id = :scid AND is_active = TRUE
+            ORDER BY variant_key
+        """), {"scid": site_config_id}).fetchall()
+        if not variants:
+            return None
+
+        # Deterministic bucket 0-99 from device fingerprint
+        bucket = int(hashlib.md5(f"{site_config_id}:{device_fingerprint}".encode()).hexdigest(), 16) % 100
+
+        cumulative = 0
+        for v in variants:
+            cumulative += v.traffic_percent
+            if bucket < cumulative:
+                return dict(v._mapping)
+        # Fallback to last variant
+        return dict(variants[-1]._mapping)
+
+    # ------------------------------------------------------------------
+    # Stats with statistical significance
+    # ------------------------------------------------------------------
+
+    def get_variant_stats(self, tenant_id: str, site_config_id: str) -> list[dict]:
+        """Per-variant stats with chi-squared significance test."""
+        variants = self.list_variants(tenant_id, site_config_id)
+        if not variants:
+            return []
+
+        results = []
+        for v in variants:
+            vid = str(v["id"])
+            vkey = v["variant_key"]
+            q = text("""
+                SELECT
+                    COUNT(*) AS total,
+                    COUNT(*) FILTER (WHERE action = 'consent_given') AS accepted,
+                    COUNT(*) FILTER (WHERE action IN ('consent_withdrawn', 'consent_revoked')) AS rejected
+                FROM compliance_banner_consent_audit_log
+                WHERE tenant_id = :tid AND variant_key = :vkey
+            """)
+            row = self.db.execute(q, {"tid": tenant_id, "vkey": vkey}).fetchone()
+            total = row.total if row else 0
+            accepted = row.accepted if row else 0
+            results.append({
+                "variant_id": vid,
+                "variant_key": vkey,
+                "variant_name": v["variant_name"],
+                "traffic_percent": v["traffic_percent"],
+                "is_control": v["is_control"],
+                "total": total,
+                "accepted": accepted,
+                "opt_in_rate": round(accepted / total * 100, 1) if total > 0 else 0,
+            })
+
+        # Chi-squared test between control and best variant
+        control = next((r for r in results if r["is_control"]), None)
+        if control and len(results) > 1:
+            best = max((r for r in results if not r["is_control"]), key=lambda x: x["opt_in_rate"], default=None)
+            if best and control["total"] > 0 and best["total"] > 0:
+                sig = self._chi_squared_significance(
+                    control["accepted"], control["total"],
+                    best["accepted"], best["total"],
+                )
+                best["is_winner"] = sig > 0.95
+                best["significance"] = round(sig * 100, 1)
+                control["is_winner"] = False
+                control["significance"] = round((1 - sig) * 100, 1)
+
+        return results
+
+    @staticmethod
+    def _chi_squared_significance(a_success: int, a_total: int, b_success: int, b_total: int) -> float:
+        """Simple chi-squared test for 2x2 contingency table. Returns confidence 0-1."""
+        a_fail = a_total - a_success
+        b_fail = b_total - b_success
+        n = a_total + b_total
+        if n == 0:
+            return 0.0
+
+        # Expected values
+        exp_a_s = a_total * (a_success + b_success) / n
+        exp_a_f = a_total * (a_fail + b_fail) / n
+        exp_b_s = b_total * (a_success + b_success) / n
+        exp_b_f = b_total * (a_fail + b_fail) / n
+
+        chi2 = 0.0
+        for obs, exp in [(a_success, exp_a_s), (a_fail, exp_a_f), (b_success, exp_b_s), (b_fail, exp_b_f)]:
+            if exp > 0:
+                chi2 += (obs - exp) ** 2 / exp
+
+        # Approximate p-value for 1 df using Wilson-Hilferty
+        if chi2 < 0.001:
+            return 0.0
+        if chi2 > 10.83:
+            return 0.999
+        # Lookup table for common thresholds (1 df)
+        thresholds = [(2.706, 0.90), (3.841, 0.95), (5.024, 0.975), (6.635, 0.99), (10.83, 0.999)]
+        confidence = 0.0
+        for threshold, conf in thresholds:
+            if chi2 >= threshold:
+                confidence = conf
+        return confidence
diff --git a/backend-compliance/compliance/services/banner_analytics_service.py b/backend-compliance/compliance/services/banner_analytics_service.py
new file mode 100644
index 0000000..4db666b
--- /dev/null
+++ b/backend-compliance/compliance/services/banner_analytics_service.py
@@ -0,0 +1,135 @@
+"""
+Banner consent analytics — time-series, device breakdown, bounce rate.
+
+Reads from BannerConsentAuditLogDB for aggregated analytics.
+"""
+
+import re
+from datetime import datetime, timedelta, timezone
+from typing import Any, Optional
+
+from sqlalchemy import text
+from sqlalchemy.orm import Session
+
+
+class BannerAnalyticsService:
+    """Provides aggregated consent analytics for a site."""
+
+    def __init__(self, db: Session) -> None:
+        self.db = db
+
+    def get_time_series(
+        self,
+        tenant_id: str,
+        site_id: str,
+        period: str = "daily",
+        days: int = 30,
+    ) -> list[dict[str, Any]]:
+        """Opt-in rate per day/week over the last N days."""
+        trunc = "day" if period == "daily" else "week"
+        cutoff = datetime.now(timezone.utc) - timedelta(days=days)
+        q = text(f"""
+            SELECT DATE_TRUNC(:trunc, created_at) AS period,
+                   COUNT(*) FILTER (WHERE action = 'consent_given') AS given,
+                   COUNT(*) FILTER (WHERE action = 'consent_updated') AS updated,
+                   COUNT(*) FILTER (WHERE action IN ('consent_withdrawn', 'consent_revoked')) AS withdrawn,
+                   COUNT(*) AS total
+            FROM compliance_banner_consent_audit_log
+            WHERE tenant_id = :tid AND site_id = :sid AND created_at >= :cutoff
+            GROUP BY 1 ORDER BY 1
+        """)
+        rows = self.db.execute(q, {"tid": tenant_id, "sid": site_id, "cutoff": cutoff, "trunc": trunc}).fetchall()
+        return [
+            {
+                "period": r.period.isoformat() if r.period else None,
+                "given": r.given,
+                "updated": r.updated,
+                "withdrawn": r.withdrawn,
+                "total": r.total,
+                "opt_in_rate": round((r.given + r.updated) / r.total * 100, 1) if r.total > 0 else 0,
+            }
+            for r in rows
+        ]
+
+    def get_category_breakdown(
+        self,
+        tenant_id: str,
+        site_id: str,
+        days: int = 30,
+    ) -> dict[str, dict[str, int]]:
+        """Acceptance count per category."""
+        cutoff = datetime.now(timezone.utc) - timedelta(days=days)
+        q = text("""
+            SELECT categories FROM compliance_banner_consent_audit_log
+            WHERE tenant_id = :tid AND site_id = :sid AND created_at >= :cutoff
+              AND action IN ('consent_given', 'consent_updated')
+        """)
+        rows = self.db.execute(q, {"tid": tenant_id, "sid": site_id, "cutoff": cutoff}).fetchall()
+        counts: dict[str, int] = {}
+        total = len(rows)
+        for r in rows:
+            cats = r.categories if isinstance(r.categories, list) else []
+            for cat in cats:
+                counts[cat] = counts.get(cat, 0) + 1
+        return {
+            cat: {"count": count, "total": total, "rate": round(count / total * 100, 1) if total > 0 else 0}
+            for cat, count in sorted(counts.items())
+        }
+
+    def get_device_breakdown(
+        self,
+        tenant_id: str,
+        site_id: str,
+        days: int = 30,
+    ) -> dict[str, int]:
+        """Mobile/Desktop/Tablet classification from user_agent."""
+        cutoff = datetime.now(timezone.utc) - timedelta(days=days)
+        q = text("""
+            SELECT user_agent FROM compliance_banner_consent_audit_log
+            WHERE tenant_id = :tid AND site_id = :sid AND created_at >= :cutoff
+              AND user_agent IS NOT NULL
+        """)
+        rows = self.db.execute(q, {"tid": tenant_id, "sid": site_id, "cutoff": cutoff}).fetchall()
+        result = {"desktop": 0, "mobile": 0, "tablet": 0, "unknown": 0}
+        mobile_re = re.compile(r"Mobile|Android|iPhone|iPod", re.IGNORECASE)
+        tablet_re = re.compile(r"iPad|Tablet|PlayBook|Silk", re.IGNORECASE)
+        for r in rows:
+            ua = r.user_agent or ""
+            if tablet_re.search(ua):
+                result["tablet"] += 1
+            elif mobile_re.search(ua):
+                result["mobile"] += 1
+            elif ua:
+                result["desktop"] += 1
+            else:
+                result["unknown"] += 1
+        return result
+
+    def get_overview_stats(
+        self,
+        tenant_id: str,
+        site_id: str,
+        days: int = 30,
+    ) -> dict[str, Any]:
+        """High-level stats: total consents, active, withdrawn, opt-in rate."""
+        cutoff = datetime.now(timezone.utc) - timedelta(days=days)
+        q = text("""
+            SELECT
+                COUNT(*) FILTER (WHERE action = 'consent_given') AS given,
+                COUNT(*) FILTER (WHERE action = 'consent_updated') AS updated,
+                COUNT(*) FILTER (WHERE action IN ('consent_withdrawn', 'consent_revoked')) AS withdrawn,
+                COUNT(*) AS total
+            FROM compliance_banner_consent_audit_log
+            WHERE tenant_id = :tid AND site_id = :sid AND created_at >= :cutoff
+        """)
+        r = self.db.execute(q, {"tid": tenant_id, "sid": site_id, "cutoff": cutoff}).fetchone()
+        total = r.total if r else 0
+        given = (r.given or 0) + (r.updated or 0) if r else 0
+        return {
+            "period_days": days,
+            "total_interactions": total,
+            "consents_given": r.given if r else 0,
+            "consents_updated": r.updated if r else 0,
+            "consents_withdrawn": r.withdrawn if r else 0,
+            "opt_in_rate": round(given / total * 100, 1) if total > 0 else 0,
+        }
diff --git a/backend-compliance/compliance/services/banner_consent_service.py b/backend-compliance/compliance/services/banner_consent_service.py
index cc19551..51dffb8 100644
--- a/backend-compliance/compliance/services/banner_consent_service.py
+++ b/backend-compliance/compliance/services/banner_consent_service.py
@@ -73,9 +73,8 @@ class BannerConsentService:
         ip_hash: Optional[str] = None,
         banner_config_hash: Optional[str] = None,
         consent_version: Optional[int] = None,
-        *,
-        consent_method: Optional[str] = None,
-        page_url: Optional[str] = None,
+        vendor_consents: Optional[dict[str, bool]] = None,
+        user_agent: Optional[str] = None,
     ) -> None:
         entry = BannerConsentAuditLogDB(
             tenant_id=tenant_id,
@@ -84,11 +83,11 @@ class BannerConsentService:
             site_id=site_id,
             device_fingerprint=device_fingerprint,
             categories=categories or [],
+            vendor_consents=vendor_consents or {},
             ip_hash=ip_hash,
+            user_agent=user_agent,
             banner_config_hash=banner_config_hash,
             consent_version=consent_version,
-            consent_method=consent_method,
-            page_url=page_url,
         )
         self.db.add(entry)
 
@@ -134,6 +133,24 @@ class BannerConsentService:
             return max(v.retention_days for v in vendors if v.retention_days)
         return max((CATEGORY_RETENTION_DAYS.get(c, 365) for c in categories), default=365)
 
+    def _maybe_generate_tc_string(
+        self, tenant_id: uuid.UUID, site_id: str, categories: list[str],
+    ) -> Optional[str]:
+        """Generate TC String if TCF is enabled for this site."""
+        config = (
+            self.db.query(BannerSiteConfigDB)
+            .filter(BannerSiteConfigDB.tenant_id == tenant_id, BannerSiteConfigDB.site_id == site_id)
+            .first()
+        )
+        if not config or not config.tcf_enabled:
+            return None
+        try:
+            from compliance.services.tcf_encoder_service import TCFEncoderService
+            encoder = TCFEncoderService()
+            return encoder.encode_from_categories(categories)
+        except Exception:
+            return None
+
     # ------------------------------------------------------------------
     # Consent CRUD (public SDK)
     # ------------------------------------------------------------------
@@ -148,16 +165,7 @@ class BannerConsentService:
         ip_address: Optional[str],
         user_agent: Optional[str],
         consent_string: Optional[str],
-        *,
-        consent_method: Optional[str] = None,
-        page_url: Optional[str] = None,
-        referrer: Optional[str] = None,
-        device_type: Optional[str] = None,
-        browser: Optional[str] = None,
-        os: Optional[str] = None,
-        screen_resolution: Optional[str] = None,
-        session_id: Optional[str] = None,
-        consent_scope: Optional[str] = None,
+        vendor_consents: Optional[dict[str, bool]] = None,
     ) -> dict[str, Any]:
         """Upsert a device consent row for (tenant, site, device_fingerprint).
 
@@ -173,20 +181,9 @@ class BannerConsentService:
         expires_at = now + timedelta(days=retention)
         config_hash, config_ver = self._compute_config_hash(tid, site_id)
 
-        # Vendor-agnostische Zusatzfelder
-        extra = {
-            "consent_method": consent_method,
-            "banner_version": config_ver,
-            "banner_config_hash": config_hash,
-            "page_url": page_url,
-            "referrer": referrer,
-            "device_type": device_type,
-            "browser": browser,
-            "os": os,
-            "screen_resolution": screen_resolution,
-            "session_id": session_id,
-            "consent_scope": consent_scope or "domain",
-        }
+        # Auto-generate TC String if TCF is enabled for this site
+        if not consent_string:
+            consent_string = self._maybe_generate_tc_string(tid, site_id, categories)
 
         existing = (
             self.db.query(BannerConsentDB)
@@ -201,18 +198,17 @@ class BannerConsentService:
         if existing:
             existing.categories = categories
             existing.vendors = vendors
+            existing.vendor_consents = vendor_consents or {}
             existing.ip_hash = ip_hash
             existing.user_agent = user_agent
             existing.consent_string = consent_string
             existing.expires_at = expires_at
             existing.updated_at = now
-            for key, val in extra.items():
-                setattr(existing, key, val)
             self.db.flush()
             self._log(
                 tid, existing.id, "consent_updated", site_id, device_fingerprint,
                 categories, ip_hash, config_hash, config_ver,
-                consent_method=consent_method, page_url=page_url,
+                vendor_consents=vendor_consents, user_agent=user_agent,
             )
             self.db.commit()
             self.db.refresh(existing)
@@ -224,18 +220,18 @@ class BannerConsentService:
             device_fingerprint=device_fingerprint,
             categories=categories,
             vendors=vendors,
+            vendor_consents=vendor_consents or {},
             ip_hash=ip_hash,
             user_agent=user_agent,
             consent_string=consent_string,
             expires_at=expires_at,
-            **extra,
         )
         self.db.add(consent)
         self.db.flush()
         self._log(
             tid, consent.id, "consent_given", site_id, device_fingerprint,
             categories, ip_hash, config_hash, config_ver,
-            consent_method=consent_method, page_url=page_url,
+            vendor_consents=vendor_consents, user_agent=user_agent,
         )
         self.db.commit()
         self.db.refresh(consent)
@@ -383,14 +379,7 @@ class BannerConsentService:
         total = base.count()
         category_stats: dict[str, int] = {}
         for c in base.all():
-            raw = c.categories or []
-            if isinstance(raw, str):
-                try:
-                    import json
-                    raw = json.loads(raw)
-                except (json.JSONDecodeError, TypeError):
-                    raw = []
-            cats: list[str] = list(raw) if isinstance(raw, list) else []
+            cats: list[str] = list(c.categories or [])
             for cat in cats:
                 category_stats[cat] = category_stats.get(cat, 0) + 1
         return {
@@ -404,58 +393,3 @@ class BannerConsentService:
                 for cat, count in category_stats.items()
             },
         }
-
-    def list_consents(
-        self, tenant_id: str, site_id: Optional[str] = None,
-        limit: int = 50, offset: int = 0,
-    ) -> dict[str, Any]:
-        """List paginated banner consents with parsed categories."""
-        import json as _json
-        tid = uuid.UUID(tenant_id)
-        base = self.db.query(BannerConsentDB).filter(BannerConsentDB.tenant_id == tid)
-        if site_id:
-            base = base.filter(BannerConsentDB.site_id == site_id)
-        total = base.count()
-        rows = base.order_by(BannerConsentDB.created_at.desc()).offset(offset).limit(limit).all()
-        consents = []
-        for c in rows:
-            raw_cats = c.categories or []
-            if isinstance(raw_cats, str):
-                try:
-                    raw_cats = _json.loads(raw_cats)
-                except (ValueError, TypeError):
-                    raw_cats = []
-            raw_vendors = c.vendors or []
-            if isinstance(raw_vendors, str):
-                try:
-                    raw_vendors = _json.loads(raw_vendors)
-                except (ValueError, TypeError):
-                    raw_vendors = []
-            consents.append({
-                "id": str(c.id),
-                "site_id": c.site_id,
-                "device_fingerprint": c.device_fingerprint,
-                "categories": list(raw_cats) if isinstance(raw_cats, list) else [],
-                "vendors": list(raw_vendors) if isinstance(raw_vendors, list) else [],
-                "ip_hash": c.ip_hash,
-                "user_agent": c.user_agent,
-                "linked_email": c.linked_email,
-                "consent_string": c.consent_string,
-                "consent_method": c.consent_method,
-                "banner_version": c.banner_version,
-                "banner_config_hash": c.banner_config_hash,
-                "geo_country": c.geo_country,
-                "geo_region": c.geo_region,
-                "consent_scope": c.consent_scope,
-                "page_url": c.page_url,
-                "referrer": c.referrer,
-                "device_type": c.device_type,
-                "browser": c.browser,
-                "os": c.os,
-                "screen_resolution": c.screen_resolution,
-                "session_id": c.session_id,
-                "expires_at": c.expires_at.isoformat() if c.expires_at else None,
-                "created_at": c.created_at.isoformat() if c.created_at else None,
-                "updated_at": c.updated_at.isoformat() if c.updated_at else None,
-            })
-        return {"consents": consents, "total": total, "limit": limit, "offset": offset}
diff --git a/backend-compliance/compliance/services/canonical_control_service.py b/backend-compliance/compliance/services/canonical_control_service.py
index 6a926ba..23820f0 100644
--- a/backend-compliance/compliance/services/canonical_control_service.py
+++ b/backend-compliance/compliance/services/canonical_control_service.py
@@ -40,6 +40,22 @@ _CONTROL_COLUMNS = """
 """
 
 
+def _ensure_list(val: Any) -> list:
+    """Ensure a JSONB value is always a Python list."""
+    if isinstance(val, list):
+        return val
+    if val is None:
+        return []
+    if isinstance(val, str):
+        try:
+            import json
+            parsed = json.loads(val)
+            return parsed if isinstance(parsed, list) else []
+        except (json.JSONDecodeError, TypeError):
+            return []
+    return []
+
+
 def _control_row(r: Any) -> dict[str, Any]:
     """Serialize a canonical_controls SELECT row to a response dict."""
     return {
@@ -49,19 +65,19 @@ def _control_row(r: Any) -> dict[str, Any]:
         "title": r.title,
         "objective": r.objective,
         "rationale": r.rationale,
-        "scope": r.scope,
-        "requirements": r.requirements,
-        "test_procedure": r.test_procedure,
-        "evidence": r.evidence,
+        "scope": r.scope if isinstance(r.scope, dict) else {},
+        "requirements": _ensure_list(r.requirements),
+        "test_procedure": _ensure_list(r.test_procedure),
+        "evidence": _ensure_list(r.evidence),
         "severity": r.severity,
         "risk_score": float(r.risk_score) if r.risk_score is not None else None,
         "implementation_effort": r.implementation_effort,
         "evidence_confidence": (
             float(r.evidence_confidence) if r.evidence_confidence is not None else None
         ),
-        "open_anchors": r.open_anchors,
+        "open_anchors": _ensure_list(r.open_anchors),
         "release_state": r.release_state,
-        "tags": r.tags or [],
+        "tags": _ensure_list(r.tags),
         "created_at": r.created_at.isoformat() if r.created_at else None,
         "updated_at": r.updated_at.isoformat() if r.updated_at else None,
     }
diff --git a/backend-compliance/compliance/services/compliance_pdf_generator.py b/backend-compliance/compliance/services/compliance_pdf_generator.py
new file mode 100644
index 0000000..433394d
--- /dev/null
+++ b/backend-compliance/compliance/services/compliance_pdf_generator.py
@@ -0,0 +1,216 @@
+"""
+Compliance Report PDF Generator — generates a comprehensive A4 PDF
+covering all compliance modules for a project.
+
+Uses reportlab (same as audit_pdf_generator.py).
+"""
+
+import io
+import logging
+from datetime import datetime, timezone
+from typing import Any
+
+from reportlab.lib import colors
+from reportlab.lib.pagesizes import A4
+from reportlab.lib.styles import getSampleStyleSheet, ParagraphStyle
+from reportlab.lib.units import mm
+from reportlab.platypus import (
+    SimpleDocTemplate, Paragraph, Spacer, Table, TableStyle, PageBreak,
+)
+from sqlalchemy import text
+from sqlalchemy.orm import Session
+
+logger = logging.getLogger(__name__)
+
+# Colors
+PURPLE = colors.HexColor("#7c3aed")
+LIGHT_PURPLE = colors.HexColor("#f5f3ff")
+GRAY = colors.HexColor("#6b7280")
+GREEN = colors.HexColor("#16a34a")
+RED = colors.HexColor("#dc2626")
+YELLOW = colors.HexColor("#ca8a04")
+
+
+def _styles():
+    ss = getSampleStyleSheet()
+    ss.add(ParagraphStyle("Title2", parent=ss["Title"], fontSize=24, textColor=PURPLE, spaceAfter=6))
+    ss.add(ParagraphStyle("Section", parent=ss["Heading2"], fontSize=14, textColor=PURPLE, spaceBefore=12, spaceAfter=6))
+    ss.add(ParagraphStyle("Body2", parent=ss["Normal"], fontSize=10, leading=14, spaceAfter=4))
+    ss.add(ParagraphStyle("Small", parent=ss["Normal"], fontSize=8, textColor=GRAY))
+    return ss
+
+
+class CompliancePDFGenerator:
+    """Generates a full compliance status report as PDF."""
+
+    def __init__(self, db: Session) -> None:
+        self.db = db
+
+    def generate(self, tenant_id: str, project_id: str | None = None, language: str = "de") -> tuple[bytes, str]:
+        buf = io.BytesIO()
+        doc = SimpleDocTemplate(buf, pagesize=A4, leftMargin=20 * mm, rightMargin=20 * mm, topMargin=25 * mm, bottomMargin=20 * mm)
+        ss = _styles()
+        story: list = []
+
+        now = datetime.now(timezone.utc)
+        story.append(Paragraph("Compliance-Report", ss["Title2"]))
+        story.append(Paragraph(f"Stand: {now.strftime('%d.%m.%Y %H:%M')} UTC", ss["Small"]))
+        story.append(Spacer(1, 10 * mm))
+
+        # Company Profile
+        self._add_company_section(story, ss, tenant_id, project_id)
+        # TOM
+        self._add_count_section(story, ss, "TOM (Technisch-Organisatorische Massnahmen)",
+                                "compliance_toms", tenant_id)
+        # VVT
+        self._add_count_section(story, ss, "VVT (Verarbeitungstaetigkeiten)",
+                                "compliance_vvt_activities", tenant_id)
+        # DSFA
+        self._add_count_section(story, ss, "Datenschutz-Folgenabschaetzungen",
+                                "compliance_dsfa_assessments", tenant_id)
+        # Risks
+        self._add_risk_section(story, ss, tenant_id)
+        # Vendors
+        self._add_count_section(story, ss, "Auftragsverarbeiter",
+                                "compliance_vendor_assessments", tenant_id)
+        # Incidents
+        self._add_count_section(story, ss, "Datenschutz-Vorfaelle",
+                                "compliance_notfallplan_incidents", tenant_id)
+        # Document Reviews
+        self._add_review_section(story, ss, tenant_id)
+        # Banner Consents
+        self._add_consent_section(story, ss, tenant_id)
+        # Org Roles
+        self._add_role_section(story, ss, tenant_id, project_id)
+        # Footer
+        story.append(Spacer(1, 15 * mm))
+        story.append(Paragraph("Erstellt mit BreakPilot Compliance SDK", ss["Small"]))
+
+        doc.build(story)
+        filename = f"compliance-report-{now.strftime('%Y%m%d')}.pdf"
+        return buf.getvalue(), filename
+
+    def _add_company_section(self, story, ss, tid, pid):
+        story.append(Paragraph("Unternehmensprofil", ss["Section"]))
+        try:
+            where = "tenant_id = :tid"
+            params: dict[str, Any] = {"tid": tid}
+            if pid:
+                where += " AND project_id = :pid"
+                params["pid"] = pid
+            row = self.db.execute(text(f"SELECT * FROM compliance_company_profiles WHERE {where} LIMIT 1"), params).fetchone()
+            if row:
+                d = dict(row._mapping)
+                data = [
+                    ["Feld", "Wert"],
+                    ["Firma", d.get("company_name", "-")],
+                    ["Branche", d.get("industry", "-")],
+                    ["Rechtsform", d.get("legal_form", "-")],
+                    ["Mitarbeiter", str(d.get("employee_count", "-"))],
+                ]
+                t = Table(data, colWidths=[60 * mm, 100 * mm])
+                t.setStyle(TableStyle([
+                    ("BACKGROUND", (0, 0), (-1, 0), LIGHT_PURPLE),
+                    ("TEXTCOLOR", (0, 0), (-1, 0), PURPLE),
+                    ("FONTSIZE", (0, 0), (-1, -1), 9),
+                    ("GRID", (0, 0), (-1, -1), 0.5, colors.lightgrey),
+                    ("VALIGN", (0, 0), (-1, -1), "TOP"),
+                ]))
+                story.append(t)
+            else:
+                story.append(Paragraph("Kein Unternehmensprofil hinterlegt.", ss["Body2"]))
+        except Exception as e:
+            story.append(Paragraph(f"Fehler beim Laden: {e}", ss["Small"]))
+        story.append(Spacer(1, 5 * mm))
+
+    def _add_count_section(self, story, ss, title, table_name, tid):
+        story.append(Paragraph(title, ss["Section"]))
+        try:
+            count = self.db.execute(text(f"SELECT COUNT(*) FROM {table_name} WHERE tenant_id = :tid"), {"tid": tid}).scalar()
+            story.append(Paragraph(f"Eintraege: <b>{count or 0}</b>", ss["Body2"]))
+        except Exception:
+            story.append(Paragraph("Tabelle nicht vorhanden oder leer.", ss["Small"]))
+        story.append(Spacer(1, 3 * mm))
+
+    def _add_risk_section(self, story, ss, tid):
+        story.append(Paragraph("Risikobewertung", ss["Section"]))
+        try:
+            q = text("""
+                SELECT severity, COUNT(*) as cnt FROM compliance_risks
+                WHERE tenant_id = :tid GROUP BY severity ORDER BY severity
+            """)
+            rows = self.db.execute(q, {"tid": tid}).fetchall()
+            if rows:
+                data = [["Schweregrad", "Anzahl"]]
+                for r in rows:
+                    data.append([r.severity or "UNKNOWN", str(r.cnt)])
+                t = Table(data, colWidths=[80 * mm, 40 * mm])
+                t.setStyle(TableStyle([
+                    ("BACKGROUND", (0, 0), (-1, 0), LIGHT_PURPLE),
+                    ("TEXTCOLOR", (0, 0), (-1, 0), PURPLE),
+                    ("FONTSIZE", (0, 0), (-1, -1), 9),
+                    ("GRID", (0, 0), (-1, -1), 0.5, colors.lightgrey),
+                ]))
+                story.append(t)
+            else:
+                story.append(Paragraph("Keine Risiken erfasst.", ss["Body2"]))
+        except Exception:
+            story.append(Paragraph("Risiko-Tabelle nicht vorhanden.", ss["Small"]))
+        story.append(Spacer(1, 3 * mm))
+
+    def _add_review_section(self, story, ss, tid):
+        story.append(Paragraph("Dokumenten-Reviews", ss["Section"]))
+        try:
+            q = text("SELECT status, COUNT(*) as cnt FROM compliance_document_reviews WHERE tenant_id = :tid GROUP BY status")
+            rows = self.db.execute(q, {"tid": tid}).fetchall()
+            if rows:
+                data = [["Status", "Anzahl"]]
+                for r in rows:
+                    data.append([r.status, str(r.cnt)])
+                t = Table(data, colWidths=[80 * mm, 40 * mm])
+                t.setStyle(TableStyle([
+                    ("BACKGROUND", (0, 0), (-1, 0), LIGHT_PURPLE),
+                    ("FONTSIZE", (0, 0), (-1, -1), 9),
+                    ("GRID", (0, 0), (-1, -1), 0.5, colors.lightgrey),
+                ]))
+                story.append(t)
+            else:
+                story.append(Paragraph("Keine Reviews vorhanden.", ss["Body2"]))
+        except Exception:
+            story.append(Paragraph("Review-Tabelle nicht vorhanden.", ss["Small"]))
+        story.append(Spacer(1, 3 * mm))
+
+    def _add_consent_section(self, story, ss, tid):
+        story.append(Paragraph("Banner-Consents", ss["Section"]))
+        try:
+            count = self.db.execute(text("SELECT COUNT(*) FROM compliance_banner_consents WHERE tenant_id = :tid"), {"tid": tid}).scalar()
+            story.append(Paragraph(f"Gesamte Consents: <b>{count or 0}</b>", ss["Body2"]))
+        except Exception:
+            story.append(Paragraph("Banner-Tabelle nicht vorhanden.", ss["Small"]))
+        story.append(Spacer(1, 3 * mm))
+
+    def _add_role_section(self, story, ss, tid, pid):
+        story.append(Paragraph("Rollenkonzept", ss["Section"]))
+        try:
+            where = "tenant_id = :tid"
+            params: dict[str, Any] = {"tid": tid}
+            if pid:
+                where += " AND (project_id = :pid OR project_id IS NULL)"
+                params["pid"] = pid
+            rows = self.db.execute(text(f"SELECT role_key, role_label, person_name, person_email FROM compliance_org_roles WHERE {where} ORDER BY role_key"), params).fetchall()
+            if rows:
+                data = [["Rolle", "Name", "E-Mail"]]
+                for r in rows:
+                    data.append([r.role_label or r.role_key, r.person_name or "-", r.person_email or "-"])
+                t = Table(data, colWidths=[60 * mm, 50 * mm, 50 * mm])
+                t.setStyle(TableStyle([
+                    ("BACKGROUND", (0, 0), (-1, 0), LIGHT_PURPLE),
+                    ("TEXTCOLOR", (0, 0), (-1, 0), PURPLE),
+                    ("FONTSIZE", (0, 0), (-1, -1), 9),
+                    ("GRID", (0, 0), (-1, -1), 0.5, colors.lightgrey),
+                ]))
+                story.append(t)
+            else:
+                story.append(Paragraph("Keine Rollen zugewiesen.", ss["Body2"]))
+        except Exception:
+            story.append(Paragraph("Rollen-Tabelle nicht vorhanden.", ss["Small"]))
diff --git a/backend-compliance/compliance/services/dse_service_extractor.py b/backend-compliance/compliance/services/dse_service_extractor.py
index e50e6d7..1363df9 100644
--- a/backend-compliance/compliance/services/dse_service_extractor.py
+++ b/backend-compliance/compliance/services/dse_service_extractor.py
@@ -87,9 +87,10 @@ def compare_services(
 
     for key, svc in detected_names.items():
         # Skip CMP — consent managers don't need DSE mention
-        if svc.get("category") == "other" and svc.get("id") == "cmp":
+        if svc.get("category") == "cmp" or (svc.get("category") == "other" and svc.get("id") == "cmp"):
             continue
         matched = False
+        # Method 1: Match against LLM-extracted service list
         for dse_key, dse_svc in dse_names.items():
             if key == dse_key or _fuzzy_match(svc["name"], dse_svc["name"]):
                 documented.append({"detected": svc, "dse": dse_svc, "status": "ok"})
diff --git a/backend-compliance/compliance/services/dsr_art11_service.py b/backend-compliance/compliance/services/dsr_art11_service.py
new file mode 100644
index 0000000..8215294
--- /dev/null
+++ b/backend-compliance/compliance/services/dsr_art11_service.py
@@ -0,0 +1,100 @@
+"""
+DSR Art. 11 Service — handles "data subject not identifiable" rejections.
+
+Art. 11 Abs. 1 DSGVO: If the controller is unable to identify the data
+subject, it is not obligated to obtain additional information solely to
+comply with Art. 15-20 requests.
+
+Common scenario: Website visitor requests access, but only anonymous
+cookies/IP-hashes are stored — no way to link to a person.
+"""
+
+import logging
+from datetime import datetime, timezone
+from typing import Any, Dict
+
+from sqlalchemy.orm import Session
+
+from compliance.domain import ValidationError
+
+logger = logging.getLogger(__name__)
+
+
+class DSRArt11Service:
+    """Handles Art. 11 DSGVO rejections for non-identifiable data subjects."""
+
+    def __init__(self, db: Session) -> None:
+        self._db = db
+
+    def reject_not_identifiable(
+        self, dsr_id: str, tenant_id: str, notes: str = "",
+    ) -> Dict[str, Any]:
+        """Reject DSR because data subject cannot be identified."""
+        from compliance.db.dsr_models import DSRRequestDB
+        from compliance.services.dsr_workflow_service import _dsr_to_dict, _record_history
+
+        dsr = (
+            self._db.query(DSRRequestDB)
+            .filter(DSRRequestDB.id == dsr_id, DSRRequestDB.tenant_id == tenant_id)
+            .first()
+        )
+        if not dsr:
+            raise ValidationError("DSR not found")
+        if dsr.status in ("completed", "rejected", "cancelled"):
+            raise ValidationError("DSR already closed")
+
+        now = datetime.now(timezone.utc)
+        reason = (
+            "Die bei uns gespeicherten Daten (anonymisierte Cookies, IP-Hashes, "
+            "Device-Fingerprints) erlauben keine Identifikation der betroffenen Person. "
+            "Gemaess Art. 11 Abs. 1 DSGVO sind wir nicht verpflichtet, zusaetzliche "
+            "Informationen zu erheben, um die betroffene Person zu identifizieren."
+        )
+        if notes:
+            reason += f" Ergaenzung: {notes}"
+
+        _record_history(self._db, dsr, "rejected",
+                        comment="Art. 11 DSGVO — Identifikation nicht moeglich")
+        dsr.status = "rejected"
+        dsr.rejection_reason = reason
+        dsr.rejection_legal_basis = "Art. 11 Abs. 1 DSGVO"
+        dsr.identity_verified = False
+        dsr.verification_method = "art11_not_identifiable"
+        dsr.verification_notes = "Daten erlauben keine Identifikation der betroffenen Person"
+        dsr.completed_at = now
+        dsr.updated_at = now
+        self._db.commit()
+        self._db.refresh(dsr)
+
+        # Send rejection notification
+        self._send_art11_notification(dsr)
+
+        return _dsr_to_dict(dsr)
+
+    def _send_art11_notification(self, dsr: Any) -> None:
+        if not dsr.requester_email:
+            return
+        try:
+            from compliance.services.email_delivery_service import EmailDeliveryService
+            delivery = EmailDeliveryService(self._db)
+            variables = {
+                "requester_name": dsr.requester_name or "Antragsteller/in",
+                "reference_number": dsr.request_number or "",
+                "rejection_reason": "Identifikation nicht moeglich — Art. 11 Abs. 1 DSGVO",
+                "legal_basis": "Art. 11 Abs. 1 DSGVO",
+                "sender_name": "Datenschutzbeauftragter",
+            }
+            # Use published dsr_rejection template, fallback to inline
+            delivery.send(
+                tenant_id=str(dsr.tenant_id),
+                template_type="dsr_rejection",
+                recipient=dsr.requester_email,
+                variables=variables,
+                fallback_subject=f"Zu Ihrer Anfrage {dsr.request_number} — Art. 11 DSGVO",
+                fallback_html=f"""<p>Sehr geehrte/r {dsr.requester_name or 'Antragsteller/in'},</p>
+                <p>wir koennen die bei uns gespeicherten Daten keiner identifizierbaren Person zuordnen.
+                Gemaess Art. 11 Abs. 1 DSGVO ist eine Auskunftserteilung nicht moeglich.</p>
+                <p>Mit freundlichen Gruessen<br/>Datenschutzbeauftragter</p>""",
+            )
+        except Exception as e:
+            logger.warning("Art. 11 notification failed: %s", e)
diff --git a/backend-compliance/compliance/services/dsr_export_service.py b/backend-compliance/compliance/services/dsr_export_service.py
new file mode 100644
index 0000000..0cf6b20
--- /dev/null
+++ b/backend-compliance/compliance/services/dsr_export_service.py
@@ -0,0 +1,273 @@
+"""
+DSR User Data Export Service — aggregates all CMP data about a user.
+
+Supports Art. 15 (access right, PDF) and Art. 20 (data portability, JSON/CSV).
+Collects from: Banner Consents, Einwilligungen, Consent Audit Trail, DSR History.
+"""
+
+import csv
+import io
+import json
+import logging
+import uuid
+from datetime import datetime, timezone
+from typing import Any, Optional
+
+from reportlab.lib import colors
+from reportlab.lib.pagesizes import A4
+from reportlab.lib.styles import getSampleStyleSheet, ParagraphStyle
+from reportlab.lib.units import mm
+from reportlab.platypus import SimpleDocTemplate, Paragraph, Spacer, Table, TableStyle
+
+from sqlalchemy import text
+from sqlalchemy.orm import Session
+
+from compliance.services.banner_dsr_service import BannerDSRService
+
+logger = logging.getLogger(__name__)
+
+PURPLE = colors.HexColor("#7c3aed")
+LIGHT_PURPLE = colors.HexColor("#f5f3ff")
+GRAY = colors.HexColor("#6b7280")
+
+
+class DSRExportService:
+    """Aggregates and exports all user data stored in the CMP."""
+
+    def __init__(self, db: Session) -> None:
+        self.db = db
+
+    def aggregate_user_data(self, tenant_id: str, email: str) -> dict[str, Any]:
+        """Collect ALL data about a user from all CMP sources."""
+        now = datetime.now(timezone.utc)
+        tid = tenant_id  # Keep as string — let PostgreSQL cast
+
+        # 1. Banner consents + audit trail
+        banner_data: dict[str, Any] = {"banner_consents": [], "audit_trail": []}
+        try:
+            banner_svc = BannerDSRService(self.db)
+            banner_data = banner_svc.export_for_dsr(tenant_id, email)
+        except Exception as e:
+            logger.warning("Banner DSR export failed: %s", e)
+            try:
+                self.db.rollback()
+            except Exception:
+                pass
+
+        # 2. Einwilligungen (user-based consents)
+        einwilligungen: list[dict] = []
+        try:
+            q = text("""
+                SELECT c.id, c.data_point_id, c.granted, c.granted_at, c.revoked_at,
+                       c.consent_version, c.source, c.ip_address, c.user_agent, c.created_at
+                FROM compliance_einwilligungen_consents c
+                WHERE c.tenant_id = CAST(:tid AS VARCHAR) AND c.user_id = :email
+                ORDER BY c.created_at DESC
+            """)
+            rows = self.db.execute(q, {"tid": tid, "email": email}).fetchall()
+            for r in rows:
+                entry = dict(r._mapping)
+                for k, v in entry.items():
+                    if isinstance(v, datetime):
+                        entry[k] = v.isoformat()
+                    elif isinstance(v, uuid.UUID):
+                        entry[k] = str(v)
+                # Get history
+                hist_q = text("""
+                    SELECT action, consent_version, ip_address, user_agent, source, created_at
+                    FROM compliance_einwilligungen_consent_history
+                    WHERE consent_id = :cid ORDER BY created_at
+                """)
+                hist = self.db.execute(hist_q, {"cid": entry["id"]}).fetchall()
+                entry["history"] = [
+                    {k: (v.isoformat() if isinstance(v, datetime) else str(v) if isinstance(v, uuid.UUID) else v)
+                     for k, v in dict(h._mapping).items()}
+                    for h in hist
+                ]
+                einwilligungen.append(entry)
+        except Exception as e:
+            logger.warning("Einwilligungen export failed: %s", e)
+            try:
+                self.db.rollback()
+            except Exception:
+                pass
+
+        # 3. DSR requests by this user
+        dsr_requests: list[dict] = []
+        try:
+            q = text("""
+                SELECT id, request_number, request_type, status, received_at, deadline_at, completed_at
+                FROM compliance_dsr_requests
+                WHERE tenant_id = :tid AND requester_email = :email
+                ORDER BY received_at DESC
+            """)
+            rows = self.db.execute(q, {"tid": tid, "email": email}).fetchall()
+            for r in rows:
+                entry = dict(r._mapping)
+                for k, v in entry.items():
+                    if isinstance(v, datetime):
+                        entry[k] = v.isoformat()
+                    elif isinstance(v, uuid.UUID):
+                        entry[k] = str(v)
+                dsr_requests.append(entry)
+        except Exception as e:
+            logger.warning("DSR requests export failed: %s", e)
+            try:
+                self.db.rollback()
+            except Exception:
+                pass
+
+        return {
+            "export_date": now.isoformat(),
+            "data_subject": {"email": email},
+            "banner_consents": banner_data.get("banner_consents", []),
+            "consent_audit_trail": banner_data.get("audit_trail", []),
+            "einwilligungen": einwilligungen,
+            "dsr_requests": dsr_requests,
+            "metadata": {
+                "tenant_id": tenant_id,
+                "data_categories": ["Banner-Consents", "Einwilligungen", "Audit-Trail", "DSR-Anfragen"],
+                "legal_basis": "Art. 15 / Art. 20 DSGVO",
+            },
+        }
+
+    def export_json(self, tenant_id: str, email: str) -> tuple[bytes, str]:
+        data = self.aggregate_user_data(tenant_id, email)
+        data["metadata"]["export_format"] = "json"
+        content = json.dumps(data, indent=2, ensure_ascii=False, default=str).encode("utf-8")
+        return content, f"dsr-export-{email.split('@')[0]}.json"
+
+    def export_csv(self, tenant_id: str, email: str) -> tuple[bytes, str]:
+        data = self.aggregate_user_data(tenant_id, email)
+        buf = io.StringIO()
+        writer = csv.writer(buf)
+        writer.writerow(["Kategorie", "Schluessel", "Wert", "Zeitpunkt", "Quelle"])
+
+        # Banner consents
+        for c in data.get("banner_consents", []):
+            writer.writerow(["Banner-Consent", "site_id", c.get("site_id", ""), c.get("created_at", ""), "CMP"])
+            writer.writerow(["Banner-Consent", "categories", ", ".join(c.get("categories", [])), c.get("updated_at", ""), "CMP"])
+            writer.writerow(["Banner-Consent", "ip_hash", c.get("ip_hash", ""), c.get("created_at", ""), "CMP"])
+
+        # Audit trail
+        for a in data.get("consent_audit_trail", []):
+            writer.writerow(["Audit-Trail", a.get("action", ""), ", ".join(a.get("categories", [])), a.get("created_at", ""), "CMP"])
+
+        # Einwilligungen
+        for e in data.get("einwilligungen", []):
+            status = "Erteilt" if e.get("granted") else "Widerrufen"
+            writer.writerow(["Einwilligung", e.get("data_point_id", ""), status, e.get("granted_at", ""), e.get("source", "")])
+
+        # DSR requests
+        for d in data.get("dsr_requests", []):
+            writer.writerow(["DSR-Anfrage", d.get("request_type", ""), d.get("status", ""), d.get("received_at", ""), ""])
+
+        content = buf.getvalue().encode("utf-8-sig")  # BOM for Excel
+        return content, f"dsr-export-{email.split('@')[0]}.csv"
+
+    def export_pdf(self, tenant_id: str, email: str) -> tuple[bytes, str]:
+        data = self.aggregate_user_data(tenant_id, email)
+        buf = io.BytesIO()
+        doc = SimpleDocTemplate(buf, pagesize=A4, leftMargin=20 * mm, rightMargin=20 * mm, topMargin=25 * mm, bottomMargin=20 * mm)
+        ss = getSampleStyleSheet()
+        ss.add(ParagraphStyle("Title2", parent=ss["Title"], fontSize=20, textColor=PURPLE, spaceAfter=6))
+        ss.add(ParagraphStyle("Section", parent=ss["Heading2"], fontSize=13, textColor=PURPLE, spaceBefore=10))
+        ss.add(ParagraphStyle("Body2", parent=ss["Normal"], fontSize=9, leading=13))
+        ss.add(ParagraphStyle("Small", parent=ss["Normal"], fontSize=8, textColor=GRAY))
+        story: list = []
+
+        # Cover
+        story.append(Paragraph("Datenauskunft gemaess Art. 15 DSGVO", ss["Title2"]))
+        story.append(Paragraph(f"Betroffene Person: {email}", ss["Body2"]))
+        story.append(Paragraph(f"Erstellt am: {data['export_date'][:10]}", ss["Small"]))
+        story.append(Spacer(1, 8 * mm))
+
+        tbl_style = TableStyle([
+            ("BACKGROUND", (0, 0), (-1, 0), LIGHT_PURPLE),
+            ("TEXTCOLOR", (0, 0), (-1, 0), PURPLE),
+            ("FONTSIZE", (0, 0), (-1, -1), 8),
+            ("GRID", (0, 0), (-1, -1), 0.5, colors.lightgrey),
+            ("VALIGN", (0, 0), (-1, -1), "TOP"),
+            ("TOPPADDING", (0, 0), (-1, -1), 3),
+            ("BOTTOMPADDING", (0, 0), (-1, -1), 3),
+        ])
+
+        # Section 1: Banner Consents
+        consents = data.get("banner_consents", [])
+        story.append(Paragraph(f"1. Banner-Consents ({len(consents)})", ss["Section"]))
+        if consents:
+            rows = [["Site", "Kategorien", "IP-Hash", "Erstellt", "Aktualisiert"]]
+            for c in consents:
+                rows.append([
+                    str(c.get("site_id", "")),
+                    ", ".join(c.get("categories", [])),
+                    str(c.get("ip_hash", ""))[:12] + "...",
+                    str(c.get("created_at", ""))[:10],
+                    str(c.get("updated_at", ""))[:10],
+                ])
+            t = Table(rows, colWidths=[30 * mm, 40 * mm, 30 * mm, 25 * mm, 25 * mm])
+            t.setStyle(tbl_style)
+            story.append(t)
+        else:
+            story.append(Paragraph("Keine Banner-Consents gespeichert.", ss["Body2"]))
+
+        # Section 2: Einwilligungen
+        einw = data.get("einwilligungen", [])
+        story.append(Paragraph(f"2. Einwilligungen ({len(einw)})", ss["Section"]))
+        if einw:
+            rows = [["Datenpunkt", "Status", "Erteilt am", "Widerrufen am", "IP-Adresse"]]
+            for e in einw:
+                rows.append([
+                    str(e.get("data_point_id", "")),
+                    "Erteilt" if e.get("granted") else "Widerrufen",
+                    str(e.get("granted_at", ""))[:10],
+                    str(e.get("revoked_at", ""))[:10] if e.get("revoked_at") else "-",
+                    str(e.get("ip_address", ""))[:15] if e.get("ip_address") else "-",
+                ])
+            t = Table(rows, colWidths=[35 * mm, 25 * mm, 25 * mm, 25 * mm, 35 * mm])
+            t.setStyle(tbl_style)
+            story.append(t)
+        else:
+            story.append(Paragraph("Keine Einwilligungen gespeichert.", ss["Body2"]))
+
+        # Section 3: Audit Trail
+        trail = data.get("consent_audit_trail", [])
+        story.append(Paragraph(f"3. Consent-Audit-Trail ({len(trail)})", ss["Section"]))
+        if trail:
+            rows = [["Aktion", "Kategorien", "Datum"]]
+            for a in trail[:50]:  # Limit to 50 for PDF
+                rows.append([
+                    str(a.get("action", "")),
+                    ", ".join(a.get("categories", [])),
+                    str(a.get("created_at", ""))[:19],
+                ])
+            t = Table(rows, colWidths=[40 * mm, 60 * mm, 45 * mm])
+            t.setStyle(tbl_style)
+            story.append(t)
+            if len(trail) > 50:
+                story.append(Paragraph(f"... und {len(trail) - 50} weitere Eintraege (im JSON-Export enthalten)", ss["Small"]))
+        else:
+            story.append(Paragraph("Kein Audit-Trail vorhanden.", ss["Body2"]))
+
+        # Section 4: DSR Requests
+        dsrs = data.get("dsr_requests", [])
+        story.append(Paragraph(f"4. Bisherige DSR-Anfragen ({len(dsrs)})", ss["Section"]))
+        if dsrs:
+            rows = [["Typ", "Status", "Eingegangen", "Abgeschlossen"]]
+            for d in dsrs:
+                rows.append([
+                    str(d.get("request_type", "")),
+                    str(d.get("status", "")),
+                    str(d.get("received_at", ""))[:10],
+                    str(d.get("completed_at", ""))[:10] if d.get("completed_at") else "-",
+                ])
+            t = Table(rows, colWidths=[35 * mm, 30 * mm, 35 * mm, 35 * mm])
+            t.setStyle(tbl_style)
+            story.append(t)
+
+        # Footer
+        story.append(Spacer(1, 15 * mm))
+        story.append(Paragraph("Erstellt mit BreakPilot Compliance SDK | Art. 15 DSGVO Datenauskunft", ss["Small"]))
+
+        doc.build(story)
+        return buf.getvalue(), f"dsr-export-{email.split('@')[0]}.pdf"
diff --git a/backend-compliance/compliance/services/email_delivery_service.py b/backend-compliance/compliance/services/email_delivery_service.py
new file mode 100644
index 0000000..313028a
--- /dev/null
+++ b/backend-compliance/compliance/services/email_delivery_service.py
@@ -0,0 +1,122 @@
+"""
+Email Template Delivery Service — the missing integration layer.
+
+Combines: template loading → published version → variable rendering → SMTP → audit log.
+Used by DSR workflow, document reviews, and other modules that need to send
+templated emails.
+"""
+
+import logging
+import uuid
+from typing import Any, Optional
+
+from sqlalchemy.orm import Session
+
+from compliance.db.email_template_models import (
+    EmailSendLogDB,
+    EmailTemplateDB,
+    EmailTemplateVersionDB,
+)
+
+logger = logging.getLogger(__name__)
+
+
+def _render(html: str, variables: dict[str, str]) -> str:
+    """Replace {{variable}} placeholders with values."""
+    result = html
+    for key, value in variables.items():
+        result = result.replace(f"{{{{{key}}}}}", str(value))
+    return result
+
+
+class EmailDeliveryService:
+    """Load template → render → send via SMTP → log."""
+
+    def __init__(self, db: Session) -> None:
+        self.db = db
+
+    def get_published_version(
+        self, tenant_id: str, template_type: str,
+    ) -> Optional[EmailTemplateVersionDB]:
+        """Get the latest published version of a template by type."""
+        tid = uuid.UUID(tenant_id)
+        template = (
+            self.db.query(EmailTemplateDB)
+            .filter(EmailTemplateDB.tenant_id == tid, EmailTemplateDB.template_type == template_type)
+            .first()
+        )
+        if not template:
+            return None
+        return (
+            self.db.query(EmailTemplateVersionDB)
+            .filter(
+                EmailTemplateVersionDB.template_id == template.id,
+                EmailTemplateVersionDB.status == "published",
+            )
+            .order_by(EmailTemplateVersionDB.created_at.desc())
+            .first()
+        )
+
+    def send(
+        self,
+        tenant_id: str,
+        template_type: str,
+        recipient: str,
+        variables: dict[str, str],
+        fallback_subject: Optional[str] = None,
+        fallback_html: Optional[str] = None,
+    ) -> dict[str, Any]:
+        """Send a templated email. Falls back to inline HTML if no published template.
+
+        Args:
+            tenant_id: Tenant UUID string.
+            template_type: E.g. 'dsr_receipt', 'dsr_completion'.
+            recipient: Email address.
+            variables: Dict of {{key}}: value for rendering.
+            fallback_subject: Subject if no template found.
+            fallback_html: HTML body if no template found.
+        """
+        from compliance.services.smtp_sender import send_email
+
+        tid = uuid.UUID(tenant_id)
+        version = self.get_published_version(tenant_id, template_type)
+
+        if version:
+            subject = _render(version.subject, variables)
+            body_html = _render(version.body_html, variables)
+            version_id = version.id
+        elif fallback_subject and fallback_html:
+            subject = _render(fallback_subject, variables)
+            body_html = _render(fallback_html, variables)
+            version_id = None
+        else:
+            logger.warning("No published template for '%s' and no fallback provided", template_type)
+            return {"success": False, "error": f"No template for {template_type}"}
+
+        result = send_email(recipient=recipient, subject=subject, body_html=body_html)
+
+        # Audit log
+        try:
+            log = EmailSendLogDB(
+                tenant_id=tid,
+                template_type=template_type,
+                version_id=version_id,
+                recipient=recipient,
+                subject=subject,
+                status=result.get("status", "unknown"),
+                variables=variables,
+                error_message=result.get("error"),
+            )
+            self.db.add(log)
+            self.db.commit()
+        except Exception as e:
+            logger.warning("Failed to log email send: %s", e)
+
+        return {
+            "success": result.get("status") == "sent",
+            "template_type": template_type,
+            "recipient": recipient,
+            "subject": subject,
+            "used_template": version is not None,
+            "status": result.get("status"),
+        }
diff --git a/backend-compliance/compliance/services/intake_extractor.py b/backend-compliance/compliance/services/intake_extractor.py
new file mode 100644
index 0000000..4c0a49b
--- /dev/null
+++ b/backend-compliance/compliance/services/intake_extractor.py
@@ -0,0 +1,179 @@
+"""
+Intake Extractor — derives UCCA intake flags from DETECTED SERVICES,
+not from website text content.
+
+The actual data processing happens through APIs, scripts, and cookies —
+NOT through visible text on the page. A news website reporting about
+healthcare does NOT process health data.
+
+Flags are derived deterministically from:
+1. Which third-party services are embedded (Google Analytics → tracking)
+2. Which payment providers are used (Stripe → payment_data)
+3. Which CDN/fonts are loaded (Google Fonts → cross_border_transfer)
+"""
+
+import logging
+
+logger = logging.getLogger(__name__)
+
+# Service category → intake flags mapping
+# This is the ONLY source of truth for what a service implies
+SERVICE_TO_FLAGS: dict[str, dict[str, bool]] = {
+    # Tracking & Analytics → personal_data + tracking
+    "tracking": {
+        "personal_data": True,
+        "tracking": True,
+    },
+    # Marketing → marketing + tracking + third_party_sharing
+    "marketing": {
+        "personal_data": True,
+        "tracking": True,
+        "marketing": True,
+        "third_party_sharing": True,
+    },
+    # Heatmap/Session Recording → tracking + profiling
+    "heatmap": {
+        "personal_data": True,
+        "tracking": True,
+        "profiling": True,
+    },
+    # Payment → payment_data
+    "payment": {
+        "personal_data": True,
+        "payment_data": True,
+    },
+    # Chatbot → personal_data (user sends messages)
+    "chatbot": {
+        "personal_data": True,
+        "customer_data": True,
+    },
+    # CRM → customer_data + profiling
+    "crm": {
+        "personal_data": True,
+        "customer_data": True,
+        "profiling": True,
+    },
+    # CDN from non-EU → cross_border_transfer (IP sent to US)
+    "cdn": {
+        "personal_data": True,
+    },
+}
+
+# Specific services with special flags
+SPECIFIC_SERVICE_FLAGS: dict[str, dict[str, bool]] = {
+    "klarna": {"automated_decisions": True, "payment_data": True},
+    "paypal": {"cross_border_transfer": True, "payment_data": True},
+    "stripe": {"cross_border_transfer": True, "payment_data": True},
+    "google_analytics": {"cross_border_transfer": True, "tracking": True},
+    "facebook_pixel": {"cross_border_transfer": True, "marketing": True, "profiling": True},
+    "hotjar": {"profiling": True, "tracking": True},
+    "ms_clarity": {"cross_border_transfer": True, "profiling": True},
+    "tiktok_pixel": {"cross_border_transfer": True, "marketing": True},
+    "intercom": {"cross_border_transfer": True, "ai_usage": True},
+}
+
+
+def extract_intake_flags_from_services(detected_services: list[dict]) -> dict:
+    """Derive intake flags from detected third-party services.
+
+    This is deterministic and 100% accurate — if Google Analytics is
+    embedded, tracking IS happening. No guessing needed.
+    """
+    flags = {
+        "personal_data": False,
+        "customer_data": False,
+        "payment_data": False,
+        "location_data": False,
+        "biometric_data": False,
+        "minor_data": False,
+        "health_data": False,
+        "marketing": False,
+        "profiling": False,
+        "automated_decisions": False,
+        "third_party_sharing": False,
+        "cross_border_transfer": False,
+        "tracking": False,
+        "ai_usage": False,
+    }
+
+    for svc in detected_services:
+        category = svc.get("category", "other")
+        service_id = svc.get("id", "")
+        eu_adequate = svc.get("eu_adequate", True)
+
+        # Apply category-level flags
+        cat_flags = SERVICE_TO_FLAGS.get(category, {})
+        for key, value in cat_flags.items():
+            if value:
+                flags[key] = True
+
+        # Apply service-specific flags
+        svc_flags = SPECIFIC_SERVICE_FLAGS.get(service_id, {})
+        for key, value in svc_flags.items():
+            if value:
+                flags[key] = True
+
+        # Non-EU service → cross_border_transfer
+        if not eu_adequate:
+            flags["cross_border_transfer"] = True
+            flags["third_party_sharing"] = True
+
+    # Any website with detected services processes personal data (IP at minimum)
+    if detected_services:
+        flags["personal_data"] = True
+
+    active = {k: v for k, v in flags.items() if v}
+    logger.info("Intake flags from %d services: %s", len(detected_services), active)
+    return flags
+
+
+# Keep backward compatibility
+async def extract_intake_flags(text: str) -> dict:
+    """DEPRECATED — use extract_intake_flags_from_services() instead.
+
+    This function used LLM to guess flags from text content.
+    Text content does NOT represent actual data processing.
+    """
+    logger.warning(
+        "extract_intake_flags(text) called — DEPRECATED. "
+        "Use extract_intake_flags_from_services(detected_services) instead."
+    )
+    # Return minimal flags — website exists = personal_data (IP)
+    return {"personal_data": True, "tracking": False}
+
+
+def flags_to_ucca_intake(flags: dict) -> dict:
+    """Convert extracted flags to UCCA intake format."""
+    return {
+        "data_types": {
+            "personal_data": flags.get("personal_data", False),
+            "customer_data": flags.get("customer_data", False),
+            "location_data": flags.get("location_data", False),
+            "biometric_data": flags.get("biometric_data", False),
+            "minor_data": flags.get("minor_data", False),
+            "images": False,
+            "audio": False,
+            "financial_data": flags.get("payment_data", False),
+            "employee_data": False,
+            "article_9_data": flags.get("health_data", False) or flags.get("biometric_data", False),
+        },
+        "purpose": {
+            "marketing": flags.get("marketing", False),
+            "analytics": flags.get("tracking", False),
+            "profiling": flags.get("profiling", False),
+            "automation": flags.get("ai_usage", False),
+            "customer_support": False,
+            "evaluation_scoring": flags.get("automated_decisions", False),
+            "decision_making": flags.get("automated_decisions", False),
+        },
+        "automation": "fully_automated" if flags.get("automated_decisions") else
+                      "partially_automated" if flags.get("ai_usage") else "manual",
+        "outputs": {
+            "recommendations_to_users": flags.get("profiling", False),
+            "data_export": flags.get("cross_border_transfer", False),
+            "legal_effects": flags.get("automated_decisions", False),
+        },
+        "hosting": {
+            "region": "non_eu" if flags.get("cross_border_transfer") else "eu",
+        },
+    }
diff --git a/backend-compliance/compliance/services/relevance_filter.py b/backend-compliance/compliance/services/relevance_filter.py
new file mode 100644
index 0000000..413c227
--- /dev/null
+++ b/backend-compliance/compliance/services/relevance_filter.py
@@ -0,0 +1,152 @@
+"""
+Control Relevance Filter — filters out controls that are not relevant
+for the analyzed document based on keyword matching.
+
+Prevents false positives like C_TRANSPARENCY being recommended when
+no AI usage is evident.
+"""
+
+import logging
+import re
+
+logger = logging.getLogger(__name__)
+
+# Top controls with their relevance conditions.
+# A control is only relevant if ANY keyword from 'requires_any' matches the text.
+# If 'requires_any' is empty, the control is always relevant.
+CONTROL_RELEVANCE: dict[str, dict] = {
+    "C_TRANSPARENCY": {
+        "description": "KI-Transparenz-Hinweis (Art. 52 AI Act)",
+        "requires_any": [
+            "künstliche intelligenz", "kuenstliche intelligenz",
+            "artificial intelligence", "machine learning", "maschinelles lernen",
+            "ki-gestützt", "ki-gestuetzt", "ai-powered", "ai system",
+            "chatbot", "neural", "deep learning", "algorithmus", "algorithmen",
+            "automatisierte entscheidung", "automated decision",
+        ],
+        "reason": "Nur relevant wenn KI/ML tatsaechlich eingesetzt wird",
+    },
+    "C_DSFA_REQUIRED": {
+        "description": "Datenschutz-Folgenabschaetzung durchfuehren",
+        "requires_any": [
+            "gesundheit", "biometrisch", "genetisch", "health", "biometric",
+            "scoring", "profiling", "systematisch", "umfangreich",
+            "videoüberwachung", "videoueberwachung", "kamera",
+            "minderjährig", "minderjaehrig", "kinder",
+        ],
+        "reason": "Nur bei hohem Risiko (Art. 9 Daten, Profiling, Ueberwachung)",
+    },
+    "C_ART22_INFO": {
+        "description": "Info ueber automatisierte Einzelentscheidung (Art. 22 DSGVO)",
+        "requires_any": [
+            "automatisierte entscheidung", "automated decision", "scoring",
+            "bonitaet", "kredit", "rating", "algorithmische entscheidung",
+            "profiling", "klarna", "ratenzahlung",
+        ],
+        "reason": "Nur bei automatisierten Einzelentscheidungen mit Rechtswirkung",
+    },
+    "C_DPO_REQUIRED": {
+        "description": "Datenschutzbeauftragten bestellen",
+        "requires_any": [],  # Always relevant — empty means no filter
+        "reason": "Generell relevant fuer Unternehmen",
+    },
+    "C_EXPLICIT_CONSENT": {
+        "description": "Explizite Einwilligung einholen",
+        "requires_any": [
+            "cookie", "tracking", "analytics", "pixel", "marketing",
+            "werbung", "newsletter", "remarketing", "retargeting",
+            "einwilligung", "consent", "opt-in",
+        ],
+        "reason": "Nur bei Tracking/Marketing das Einwilligung erfordert",
+    },
+    "C_CHILD_PROTECTION": {
+        "description": "Besonderer Schutz fuer Minderdjaehrige",
+        "requires_any": [
+            "kinder", "minderjährig", "minderjaehrig", "jugend",
+            "under 16", "unter 16", "schüler", "schueler", "child",
+        ],
+        "reason": "Nur wenn Daten von Minderjaehrigen verarbeitet werden",
+    },
+    "C_THIRD_COUNTRY_SAFEGUARDS": {
+        "description": "Drittlandtransfer absichern (Art. 44-49 DSGVO)",
+        "requires_any": [
+            "usa", "united states", "drittland", "drittst", "third countr",
+            "standardvertragsklausel", "sccs", "binding corporate",
+            "angemessenheitsbeschluss", "adequacy",
+            "google", "meta", "facebook", "amazon", "microsoft", "apple",
+            "cloudflare", "stripe", "paypal",
+        ],
+        "reason": "Nur bei Datentransfer in Drittlaender",
+    },
+}
+
+
+def filter_controls(
+    controls: list[str],
+    source_text: str,
+    intake_flags: dict | None = None,
+) -> list[str]:
+    """Filter controls based on relevance to the analyzed text.
+
+    Returns only controls that are relevant (keyword match or no filter defined).
+    """
+    if not controls:
+        return controls
+
+    text_lower = source_text.lower()
+    filtered = []
+    removed = []
+
+    for control in controls:
+        # Extract control ID from string like "[C_TRANSPARENCY] Nutzer informieren..."
+        control_id = _extract_control_id(control)
+
+        if control_id and control_id in CONTROL_RELEVANCE:
+            rules = CONTROL_RELEVANCE[control_id]
+            keywords = rules["requires_any"]
+
+            if not keywords:
+                # No filter = always relevant
+                filtered.append(control)
+                continue
+
+            # Check if any keyword matches
+            if any(kw in text_lower for kw in keywords):
+                filtered.append(control)
+            else:
+                # Also check intake flags as fallback
+                if intake_flags and _check_flags(control_id, intake_flags):
+                    filtered.append(control)
+                else:
+                    removed.append((control_id, rules["reason"]))
+        else:
+            # Unknown control — keep it (don't filter what we don't understand)
+            filtered.append(control)
+
+    if removed:
+        logger.info(
+            "Relevance filter removed %d controls: %s",
+            len(removed),
+            ", ".join(f"{cid} ({reason})" for cid, reason in removed),
+        )
+
+    return filtered
+
+
+def _extract_control_id(control: str) -> str | None:
+    """Extract control ID from '[C_XXX] description' format."""
+    match = re.match(r"\[([A-Z_0-9]+)\]", control)
+    return match.group(1) if match else None
+
+
+def _check_flags(control_id: str, flags: dict) -> bool:
+    """Check if intake flags make a control relevant."""
+    flag_map = {
+        "C_TRANSPARENCY": flags.get("ai_usage", False),
+        "C_DSFA_REQUIRED": flags.get("health_data", False) or flags.get("biometric_data", False),
+        "C_ART22_INFO": flags.get("automated_decisions", False),
+        "C_EXPLICIT_CONSENT": flags.get("tracking", False) or flags.get("marketing", False),
+        "C_CHILD_PROTECTION": flags.get("minor_data", False),
+        "C_THIRD_COUNTRY_SAFEGUARDS": flags.get("cross_border_transfer", False),
+    }
+    return flag_map.get(control_id, False)
diff --git a/backend-compliance/compliance/services/tcf_encoder_service.py b/backend-compliance/compliance/services/tcf_encoder_service.py
new file mode 100644
index 0000000..5eb2ae7
--- /dev/null
+++ b/backend-compliance/compliance/services/tcf_encoder_service.py
@@ -0,0 +1,209 @@
+"""
+TCF 2.2 TC String Encoder — generates IAB Transparency & Consent strings.
+
+Implements the TC String v2.2 format per IAB specification.
+The TC String is a base64url-encoded bitfield containing:
+- CMP metadata (ID, version, screen, consent language)
+- Purpose consents (12 standard IAB purposes)
+- Vendor consents (per IAB vendor ID)
+- Legitimate interest signals
+
+Reference: https://github.com/InteractiveAdvertisingBureau/GDPR-Transparency-and-Consent-Framework
+
+NOTE: This is a simplified encoder for CMP integration. For full GVL
+(Global Vendor List) support, integrate with the IAB GVL API.
+"""
+
+import base64
+import math
+from datetime import datetime, timezone
+from typing import Any
+
+
+# IAB TCF 2.2 Standard Purposes
+IAB_PURPOSES = {
+    1: {"name": "Store and/or access information on a device", "name_de": "Informationen auf Geraet speichern/abrufen"},
+    2: {"name": "Select basic ads", "name_de": "Einfache Anzeigen auswaehlen"},
+    3: {"name": "Create a personalised ads profile", "name_de": "Personalisiertes Anzeigenprofil erstellen"},
+    4: {"name": "Select personalised ads", "name_de": "Personalisierte Anzeigen auswaehlen"},
+    5: {"name": "Create a personalised content profile", "name_de": "Personalisiertes Inhaltsprofil erstellen"},
+    6: {"name": "Select personalised content", "name_de": "Personalisierte Inhalte auswaehlen"},
+    7: {"name": "Measure ad performance", "name_de": "Anzeigen-Leistung messen"},
+    8: {"name": "Measure content performance", "name_de": "Inhalte-Leistung messen"},
+    9: {"name": "Apply market research to generate audience insights", "name_de": "Marktforschung fuer Zielgruppen"},
+    10: {"name": "Develop and improve products", "name_de": "Produkte entwickeln und verbessern"},
+    11: {"name": "Use limited data to select content", "name_de": "Eingeschraenkte Daten fuer Inhalte nutzen"},
+    12: {"name": "Use limited data to select ads", "name_de": "Eingeschraenkte Daten fuer Anzeigen nutzen"},
+}
+
+# IAB Special Features
+IAB_SPECIAL_FEATURES = {
+    1: {"name": "Use precise geolocation data", "name_de": "Praezise Standortdaten verwenden"},
+    2: {"name": "Actively scan device characteristics for identification", "name_de": "Geraetemerkmale aktiv scannen"},
+}
+
+# Category-to-Purpose mapping (how our banner categories map to IAB purposes)
+CATEGORY_PURPOSE_MAP = {
+    "necessary": [],  # No consent needed
+    "functional": [1, 11],  # Device access + limited data for content
+    "statistics": [1, 7, 8, 9, 10],  # Device access + measurement + research
+    "marketing": [1, 2, 3, 4, 5, 6, 7, 12],  # Most purposes
+}
+
+
+def _int_to_bits(value: int, length: int) -> str:
+    """Convert integer to fixed-length bit string."""
+    return bin(value)[2:].zfill(length)
+
+
+def _datetime_to_deciseconds(dt: datetime) -> int:
+    """Convert datetime to deciseconds since epoch (IAB format)."""
+    epoch = datetime(2000, 1, 1, tzinfo=timezone.utc)
+    return int((dt - epoch).total_seconds() * 10)
+
+
+def _bits_to_base64url(bits: str) -> str:
+    """Convert bit string to base64url encoding (TC String format)."""
+    # Pad to multiple of 8
+    padding = (8 - len(bits) % 8) % 8
+    bits += "0" * padding
+    # Convert to bytes
+    byte_array = bytearray()
+    for i in range(0, len(bits), 8):
+        byte_array.append(int(bits[i:i+8], 2))
+    # Base64url encode (no padding)
+    return base64.urlsafe_b64encode(bytes(byte_array)).rstrip(b"=").decode("ascii")
+
+
+class TCFEncoderService:
+    """Generates TC Strings per IAB TCF 2.2 specification."""
+
+    def __init__(
+        self,
+        cmp_id: int = 1,
+        cmp_version: int = 1,
+        consent_screen: int = 1,
+        consent_language: str = "DE",
+    ):
+        self.cmp_id = cmp_id
+        self.cmp_version = cmp_version
+        self.consent_screen = consent_screen
+        self.consent_language = consent_language
+
+    def encode(
+        self,
+        purpose_consents: dict[int, bool],
+        vendor_consents: dict[int, bool],
+        purpose_li: dict[int, bool] | None = None,
+        special_features: dict[int, bool] | None = None,
+    ) -> str:
+        """Generate a TC String from consent decisions.
+
+        Args:
+            purpose_consents: {purpose_id: True/False} for purposes 1-12
+            vendor_consents: {vendor_id: True/False} for IAB vendor IDs
+            purpose_li: Legitimate interest signals per purpose
+            special_features: Special feature opt-ins
+        Returns:
+            Base64url-encoded TC String
+        """
+        now = datetime.now(timezone.utc)
+        created = _datetime_to_deciseconds(now)
+        updated = created
+
+        bits = ""
+        # Core TC String v2 fields
+        bits += _int_to_bits(2, 6)                    # Version (6 bits) = 2
+        bits += _int_to_bits(created, 36)              # Created (36 bits)
+        bits += _int_to_bits(updated, 36)              # LastUpdated (36 bits)
+        bits += _int_to_bits(self.cmp_id, 12)          # CmpId (12 bits)
+        bits += _int_to_bits(self.cmp_version, 12)     # CmpVersion (12 bits)
+        bits += _int_to_bits(self.consent_screen, 6)   # ConsentScreen (6 bits)
+
+        # ConsentLanguage (12 bits = 2 × 6-bit letters)
+        lang = self.consent_language.upper()[:2]
+        bits += _int_to_bits(ord(lang[0]) - ord("A"), 6)
+        bits += _int_to_bits(ord(lang[1]) - ord("A"), 6)
+
+        # VendorListVersion (12 bits) — use 0 if not fetching GVL
+        bits += _int_to_bits(0, 12)
+        # TcfPolicyVersion (6 bits) = 4 for TCF 2.2
+        bits += _int_to_bits(4, 6)
+        # IsServiceSpecific (1 bit) = 1
+        bits += "1"
+        # UseNonStandardTexts (1 bit) = 0
+        bits += "0"
+
+        # SpecialFeatureOptIns (12 bits)
+        sf = special_features or {}
+        for i in range(1, 13):
+            bits += "1" if sf.get(i, False) else "0"
+
+        # PurposesConsent (24 bits)
+        for i in range(1, 25):
+            bits += "1" if purpose_consents.get(i, False) else "0"
+
+        # PurposesLITransparency (24 bits)
+        li = purpose_li or {}
+        for i in range(1, 25):
+            bits += "1" if li.get(i, False) else "0"
+
+        # Purpose one treatment (1 bit) = 0, PublisherCC (12 bits) = DE
+        bits += "0"
+        bits += _int_to_bits(ord("D") - ord("A"), 6)
+        bits += _int_to_bits(ord("E") - ord("A"), 6)
+
+        # Vendor consents — Range encoding
+        max_vendor = max(vendor_consents.keys()) if vendor_consents else 0
+        bits += _int_to_bits(max_vendor, 16)  # MaxVendorId
+        # Use bitfield encoding (simpler than range)
+        bits += "0"  # IsRangeEncoding = 0 (bitfield)
+        for i in range(1, max_vendor + 1):
+            bits += "1" if vendor_consents.get(i, False) else "0"
+
+        # Vendor legitimate interests (same pattern)
+        bits += _int_to_bits(max_vendor, 16)
+        bits += "0"
+        for i in range(1, max_vendor + 1):
+            bits += "1" if vendor_consents.get(i, False) else "0"  # Simplified: same as consent
+
+        return _bits_to_base64url(bits)
+
+    def encode_from_categories(
+        self,
+        categories: list[str],
+        vendor_consents: dict[int, bool] | None = None,
+    ) -> str:
+        """Generate TC String from banner category selections.
+
+        Maps our banner categories (necessary, statistics, marketing, functional)
+        to IAB purposes and generates the TC String.
+        """
+        purpose_consents: dict[int, bool] = {}
+        for cat in categories:
+            for purpose_id in CATEGORY_PURPOSE_MAP.get(cat, []):
+                purpose_consents[purpose_id] = True
+
+        return self.encode(
+            purpose_consents=purpose_consents,
+            vendor_consents=vendor_consents or {},
+        )
+
+    @staticmethod
+    def get_purposes() -> list[dict[str, Any]]:
+        """Return all 12 IAB purposes with translations."""
+        return [
+            {"id": pid, "name": info["name"], "name_de": info["name_de"]}
+            for pid, info in IAB_PURPOSES.items()
+        ]
+
+    @staticmethod
+    def get_special_features() -> list[dict[str, Any]]:
+        return [
+            {"id": fid, "name": info["name"], "name_de": info["name_de"]}
+            for fid, info in IAB_SPECIAL_FEATURES.items()
+        ]
+
+    @staticmethod
+    def get_category_purpose_map() -> dict[str, list[int]]:
+        return CATEGORY_PURPOSE_MAP
diff --git a/backend-compliance/compliance/services/training_link_service.py b/backend-compliance/compliance/services/training_link_service.py
new file mode 100644
index 0000000..ef5013f
--- /dev/null
+++ b/backend-compliance/compliance/services/training_link_service.py
@@ -0,0 +1,159 @@
+"""
+Training Link Service — bridges document review approvals with the Academy.
+
+After a document is approved, checks which roles need training on that
+document type and identifies gaps (missing/overdue assignments).
+
+Gracefully handles missing training tables (Go service not migrated yet).
+"""
+
+import logging
+from typing import Any
+
+from sqlalchemy import text
+from sqlalchemy.orm import Session
+
+logger = logging.getLogger(__name__)
+
+
+class TrainingLinkService:
+    """Links document approvals to training requirements."""
+
+    def __init__(self, db: Session) -> None:
+        self.db = db
+
+    def _training_tables_exist(self) -> bool:
+        """Check if the Go-managed training tables exist."""
+        try:
+            self.db.execute(text("SELECT 1 FROM training_modules LIMIT 0"))
+            return True
+        except Exception:
+            self.db.rollback()
+            return False
+
+    def get_role_codes_for_document(self, tenant_id: str, document_type: str) -> list[dict]:
+        """Map document type → org roles → training role codes."""
+        try:
+            q = text("""
+                SELECT m.role_key, t.training_role_code
+                FROM compliance_document_role_mapping m
+                LEFT JOIN compliance_role_training_mapping t
+                  ON t.org_role_key = m.role_key
+                  AND (t.tenant_id = :tid OR t.tenant_id = '__default__')
+                WHERE m.tenant_id = :tid OR m.tenant_id = '__default__'
+                  AND m.document_type = :dt
+            """)
+            rows = self.db.execute(q, {"tid": tenant_id, "dt": document_type}).fetchall()
+            return [{"role_key": r.role_key, "training_role_code": r.training_role_code} for r in rows]
+        except Exception as e:
+            logger.warning("Failed to get role codes: %s", e)
+            return []
+
+    def get_training_requirements(self, tenant_id: str, document_type: str) -> dict[str, Any]:
+        """Get training modules required for roles associated with a document type."""
+        if not self._training_tables_exist():
+            return {
+                "academy_available": False,
+                "message": "Academy noch nicht eingerichtet. Training-Module werden nach Aktivierung automatisch verknuepft.",
+                "requirements": [],
+            }
+
+        role_mappings = self.get_role_codes_for_document(tenant_id, document_type)
+        if not role_mappings:
+            return {"academy_available": True, "message": "Keine Rollen-Zuordnung fuer diesen Dokumenttyp.", "requirements": []}
+
+        role_codes = [r["training_role_code"] for r in role_mappings if r.get("training_role_code")]
+        if not role_codes:
+            return {"academy_available": True, "message": "Keine Training-Codes konfiguriert.", "requirements": []}
+
+        try:
+            placeholders = ",".join(f":rc{i}" for i in range(len(role_codes)))
+            params: dict[str, Any] = {"tid": tenant_id}
+            for i, rc in enumerate(role_codes):
+                params[f"rc{i}"] = rc
+
+            q = text(f"""
+                SELECT tm.role_code, m.module_code, m.title, m.description,
+                       m.frequency_type, m.duration_minutes, tm.is_mandatory
+                FROM training_matrix tm
+                JOIN training_modules m ON m.id = tm.module_id
+                WHERE tm.tenant_id = :tid AND tm.role_code IN ({placeholders})
+                  AND m.is_active = TRUE
+                ORDER BY tm.role_code, m.sort_order
+            """)
+            rows = self.db.execute(q, params).fetchall()
+            reqs = [dict(r._mapping) for r in rows]
+            return {"academy_available": True, "requirements": reqs, "total": len(reqs)}
+        except Exception as e:
+            logger.warning("Failed to query training requirements: %s", e)
+            return {"academy_available": True, "requirements": [], "error": str(e)}
+
+    def check_training_gaps(
+        self, tenant_id: str, document_type: str, project_id: str | None = None,
+    ) -> dict[str, Any]:
+        """Check which persons assigned to roles have outstanding training."""
+        if not self._training_tables_exist():
+            return {"academy_available": False, "gaps": [], "total_gaps": 0}
+
+        role_mappings = self.get_role_codes_for_document(tenant_id, document_type)
+        if not role_mappings:
+            return {"academy_available": True, "gaps": [], "total_gaps": 0}
+
+        gaps = []
+        for rm in role_mappings:
+            role_key = rm["role_key"]
+            role_code = rm.get("training_role_code")
+            if not role_code:
+                continue
+
+            # Get person assigned to this role
+            where = "tenant_id = :tid AND role_key = :rk"
+            params: dict[str, Any] = {"tid": tenant_id, "rk": role_key}
+            if project_id:
+                where += " AND (project_id = :pid OR project_id IS NULL)"
+                params["pid"] = project_id
+
+            try:
+                person = self.db.execute(text(
+                    f"SELECT person_name, person_email, role_label FROM compliance_org_roles WHERE {where} LIMIT 1"
+                ), params).fetchone()
+            except Exception:
+                continue
+
+            if not person or not person.person_name:
+                continue
+
+            # Get required modules for this role code
+            try:
+                modules = self.db.execute(text("""
+                    SELECT m.id, m.module_code, m.title FROM training_matrix tm
+                    JOIN training_modules m ON m.id = tm.module_id
+                    WHERE tm.tenant_id = :tid AND tm.role_code = :rc AND m.is_active = TRUE AND tm.is_mandatory = TRUE
+                """), {"tid": tenant_id, "rc": role_code}).fetchall()
+            except Exception:
+                continue
+
+            for mod in modules:
+                # Check if assignment exists and is completed
+                try:
+                    assignment = self.db.execute(text("""
+                        SELECT status, progress_percent FROM training_assignments
+                        WHERE tenant_id = :tid AND module_id = :mid AND user_email = :email
+                        ORDER BY created_at DESC LIMIT 1
+                    """), {"tid": tenant_id, "mid": mod.id, "email": person.person_email}).fetchone()
+                except Exception:
+                    assignment = None
+
+                if not assignment or assignment.status not in ("completed", "passed"):
+                    gaps.append({
+                        "person_name": person.person_name,
+                        "person_email": person.person_email,
+                        "role": person.role_label,
+                        "role_key": role_key,
+                        "module_code": mod.module_code,
+                        "module_title": mod.title,
+                        "status": assignment.status if assignment else "nicht_begonnen",
+                        "progress": assignment.progress_percent if assignment else 0,
+                    })
+
+        return {"academy_available": True, "gaps": gaps, "total_gaps": len(gaps)}
diff --git a/backend-compliance/compliance/services/website_compliance_checks.py b/backend-compliance/compliance/services/website_compliance_checks.py
new file mode 100644
index 0000000..5a9dfaf
--- /dev/null
+++ b/backend-compliance/compliance/services/website_compliance_checks.py
@@ -0,0 +1,148 @@
+"""
+Website Compliance Checks — checks public website for consumer protection
+compliance (§312k BGB, §5 TMG, Art. 13 DSGVO, Cookie-Banner).
+
+Extracted from agent_analyze_routes.py to keep route files slim.
+"""
+
+import re
+
+import httpx
+
+
+class FollowUpQuestion:
+    def __init__(self, id: str, question: str, legal_basis: str, severity: str, finding_if_no: str):
+        self.id = id
+        self.question = question
+        self.legal_basis = legal_basis
+        self.severity = severity
+        self.finding_if_no = finding_if_no
+
+
+async def check_website_compliance(
+    client: httpx.AsyncClient, url: str, html: str,
+) -> tuple[list[str], list[FollowUpQuestion]]:
+    """Scan public website for consumer protection compliance."""
+    findings: list[str] = []
+    follow_ups: list[FollowUpQuestion] = []
+    html_lower = html.lower()
+    base_domain = re.sub(r"https?://([^/]+).*", r"\1", url)
+
+    # E-Commerce detection — §312k only applies to sites with online contracts
+    ecommerce_indicators = [
+        r"warenkorb", r"cart", r"shop", r"bestell", r"order",
+        r"checkout", r"kasse", r"kaufen", r"add.?to.?cart",
+        r"stripe|paypal|klarna|mollie|adyen",
+        r"abo", r"mitgliedschaft", r"subscription", r"premium",
+    ]
+    is_ecommerce = any(re.search(p, html_lower) for p in ecommerce_indicators)
+
+    # --- §312k BGB: Kündigungsbutton (NUR bei E-Commerce/Abo-Websites) ---
+    cancel_patterns = [
+        r'href="[^"]*(?:kuendig|kündig|cancel|vertrag.?beenden|abo.?beenden|mitgliedschaft.?beenden)[^"]*"',
+        r'(?:kündigen|kuendigen|vertrag beenden|abo beenden|mitgliedschaft kündigen)',
+    ]
+    has_cancel_link = any(re.search(p, html_lower) for p in cancel_patterns)
+
+    cancel_urls_to_probe = [
+        f"https://{base_domain}/kuendigen",
+        f"https://{base_domain}/cancel",
+        f"https://{base_domain}/vertrag-kuendigen",
+        f"https://{base_domain}/abo-kuendigen",
+        f"https://{base_domain}/account/cancel",
+    ]
+    if not has_cancel_link:
+        for probe_url in cancel_urls_to_probe:
+            try:
+                probe = await client.head(probe_url, follow_redirects=True, timeout=5.0)
+                if probe.status_code < 400:
+                    has_cancel_link = True
+                    break
+            except Exception:
+                continue
+
+    if not has_cancel_link and is_ecommerce:
+        findings.append(
+            "[§312k BGB] Kein oeffentlich sichtbarer Kuendigungsbutton gefunden. "
+            "Seit 01.07.2022 muessen online geschlossene Vertraege mit max. 2 Klicks kuendbar sein."
+        )
+        follow_ups.append(FollowUpQuestion(
+            id="cancel_button_312k",
+            question="Koennen Sie nach Login im Kundenbereich innerhalb von 2 Klicks Ihren Vertrag kuendigen?",
+            legal_basis="§ 312k BGB (Kuendigungsbutton), Omnibus-Richtlinie (EU) 2019/2161",
+            severity="high",
+            finding_if_no=(
+                "[§312k BGB] VERSTOSS: Kein funktionaler Kuendigungsbutton vorhanden. "
+                "Der Anbieter ist verpflichtet, einen leicht auffindbaren Kuendigungsbutton "
+                "bereitzustellen (max. 2 Klicks). Ein Zwang zur telefonischen Kuendigung "
+                "oder Kuendigung per Brief ist rechtswidrig."
+            ),
+        ))
+
+    # --- Impressumspflicht (§5 TMG / §18 MStV) ---
+    imprint_patterns = [
+        r'href="[^"]*(?:impressum|imprint|legal.?notice|about.?us/legal)[^"]*"',
+        r'>impressum<',
+    ]
+    has_imprint = any(re.search(p, html_lower) for p in imprint_patterns)
+    if not has_imprint:
+        findings.append(
+            "[§5 TMG] Kein Impressum-Link auf der Seite gefunden. "
+            "Geschaeftsmaessige Online-Dienste muessen ein leicht erreichbares Impressum bereitstellen."
+        )
+
+    # --- Datenschutzerklaerung verlinkt? ---
+    privacy_patterns = [
+        r'href="[^"]*(?:datenschutz|privacy|dsgvo)[^"]*"',
+        r'>datenschutz<',
+    ]
+    has_privacy = any(re.search(p, html_lower) for p in privacy_patterns)
+    if not has_privacy:
+        findings.append(
+            "[Art. 13 DSGVO] Kein Link zur Datenschutzerklaerung gefunden. "
+            "Nutzer muessen ueber die Verarbeitung personenbezogener Daten informiert werden."
+        )
+
+    # --- Cookie-Consent-Banner ---
+    cookie_patterns = [
+        r'(?:cookie.?consent|cookie.?banner|consent.?manager|didomi|cookiebot|onetrust|usercentrics)',
+        r'(?:gdpr|dsgvo).?(?:consent|einwilligung)',
+    ]
+    has_cookie_consent = any(re.search(p, html_lower) for p in cookie_patterns)
+    if not has_cookie_consent:
+        follow_ups.append(FollowUpQuestion(
+            id="cookie_consent",
+            question="Wird beim ersten Besuch der Website ein Cookie-Consent-Banner angezeigt?",
+            legal_basis="§ 25 TDDDG (ehem. TTDSG), Art. 5(3) ePrivacy-Richtlinie",
+            severity="medium",
+            finding_if_no=(
+                "[§25 TDDDG] Kein Cookie-Consent-Banner erkannt. "
+                "Vor dem Setzen nicht-essentieller Cookies ist eine Einwilligung erforderlich."
+            ),
+        ))
+
+    return findings, follow_ups
+
+
+def to_string_list(items: list) -> list[str]:
+    """Convert list of dicts or strings to list of strings."""
+    result = []
+    for item in (items or []):
+        if isinstance(item, dict):
+            desc = item.get("description", item.get("name", item.get("code", str(item))))
+            code = item.get("code", item.get("id", ""))
+            result.append(f"[{code}] {desc}" if code else str(desc))
+        else:
+            result.append(str(item))
+    return result
+
+
+def risk_to_escalation(risk_level: str) -> str:
+    """Map UCCA risk level to escalation level."""
+    mapping = {
+        "MINIMAL": "E0",
+        "LIMITED": "E1",
+        "HIGH": "E2",
+        "UNACCEPTABLE": "E3",
+    }
+    return mapping.get(risk_level.upper() if risk_level else "", "E0")
diff --git a/backend-compliance/compliance/services/website_scanner.py b/backend-compliance/compliance/services/website_scanner.py
index 1327b84..e3904bd 100644
--- a/backend-compliance/compliance/services/website_scanner.py
+++ b/backend-compliance/compliance/services/website_scanner.py
@@ -40,107 +40,8 @@ class ScanResult:
     missing_pages: dict = field(default_factory=dict)  # url -> status_code
 
 
-# ── Service Registry ──────────────────────────────────────────────────────────
-# Each entry: regex pattern -> service metadata
-SERVICE_REGISTRY: dict[str, dict] = {
-    # --- Tracking & Analytics ---
-    r"google.?analytics|gtag\(|UA-\d+|G-\w{5,}": {
-        "id": "google_analytics", "name": "Google Analytics", "category": "tracking",
-        "provider": "Google LLC", "country": "US", "eu_adequate": False,
-        "requires_consent": True, "legal_ref": "Art. 44-49 DSGVO, §25 TDDDG",
-    },
-    r"googletagmanager|gtm\.js": {
-        "id": "google_tag_manager", "name": "Google Tag Manager", "category": "tracking",
-        "provider": "Google LLC", "country": "US", "eu_adequate": False,
-        "requires_consent": True, "legal_ref": "Art. 44-49 DSGVO",
-    },
-    r"facebook\.net/.*fbevents|fbq\(": {
-        "id": "facebook_pixel", "name": "Meta/Facebook Pixel", "category": "marketing",
-        "provider": "Meta Platforms", "country": "US", "eu_adequate": False,
-        "requires_consent": True, "legal_ref": "Art. 44-49 DSGVO, §25 TDDDG",
-    },
-    r"hotjar\.com|_hjSettings": {
-        "id": "hotjar", "name": "Hotjar", "category": "tracking",
-        "provider": "Hotjar Ltd", "country": "MT", "eu_adequate": True,
-        "requires_consent": True, "legal_ref": "§25 TDDDG (Session Recording)",
-    },
-    r"clarity\.ms": {
-        "id": "ms_clarity", "name": "Microsoft Clarity", "category": "tracking",
-        "provider": "Microsoft", "country": "US", "eu_adequate": False,
-        "requires_consent": True, "legal_ref": "§25 TDDDG (Session Replay), Art. 44 DSGVO",
-    },
-    r"matomo|piwik": {
-        "id": "matomo", "name": "Matomo", "category": "tracking",
-        "provider": "InnoCraft/Self-hosted", "country": "EU/Self", "eu_adequate": True,
-        "requires_consent": False, "legal_ref": "Cookieless moeglich, §25 TDDDG",
-    },
-    r"plausible\.io": {
-        "id": "plausible", "name": "Plausible Analytics", "category": "tracking",
-        "provider": "Plausible Insights", "country": "EE", "eu_adequate": True,
-        "requires_consent": False, "legal_ref": "EU-Anbieter, cookieless",
-    },
-    # --- CDN & Fonts ---
-    r"fonts\.googleapis\.com|fonts\.gstatic\.com": {
-        "id": "google_fonts", "name": "Google Fonts (remote)", "category": "cdn",
-        "provider": "Google LLC", "country": "US", "eu_adequate": False,
-        "requires_consent": True, "legal_ref": "LG Muenchen I, Az. 3 O 17493/20",
-    },
-    r"cdn\.cloudflare\.com|cdnjs\.cloudflare\.com": {
-        "id": "cloudflare_cdn", "name": "Cloudflare CDN", "category": "cdn",
-        "provider": "Cloudflare Inc", "country": "US", "eu_adequate": False,
-        "requires_consent": False, "legal_ref": "Art. 44-49 DSGVO, berechtigtes Interesse",
-    },
-    # --- Chatbots ---
-    r"widget\.intercom\.io|intercomcdn": {
-        "id": "intercom", "name": "Intercom", "category": "chatbot",
-        "provider": "Intercom Inc", "country": "US", "eu_adequate": False,
-        "requires_consent": True, "legal_ref": "Art. 44-49 DSGVO, KI-gestuetzt",
-    },
-    r"tidio\.co|tidioChatApi": {
-        "id": "tidio", "name": "Tidio Chat", "category": "chatbot",
-        "provider": "Tidio LLC", "country": "PL", "eu_adequate": True,
-        "requires_consent": False, "legal_ref": "EU-Anbieter",
-    },
-    r"zendesk\.com/embeddable|zdassets": {
-        "id": "zendesk", "name": "Zendesk", "category": "chatbot",
-        "provider": "Zendesk Inc", "country": "US", "eu_adequate": False,
-        "requires_consent": True, "legal_ref": "Art. 44-49 DSGVO",
-    },
-    # --- Payment ---
-    r"js\.stripe\.com|stripe\.com/v3": {
-        "id": "stripe", "name": "Stripe", "category": "payment",
-        "provider": "Stripe Inc", "country": "US", "eu_adequate": False,
-        "requires_consent": False, "legal_ref": "Art. 6(1)(b) Vertragserfuellung, SCCs",
-    },
-    r"paypal\.com/sdk|paypalobjects": {
-        "id": "paypal", "name": "PayPal", "category": "payment",
-        "provider": "PayPal Holdings", "country": "US", "eu_adequate": False,
-        "requires_consent": False, "legal_ref": "Art. 6(1)(b) Vertragserfuellung",
-    },
-    r"klarna\.com|klarna-payments": {
-        "id": "klarna", "name": "Klarna", "category": "payment",
-        "provider": "Klarna AB", "country": "SE", "eu_adequate": True,
-        "requires_consent": False, "legal_ref": "EU, aber Art. 22 DSGVO bei Bonitaetspruefung!",
-    },
-    # --- Captcha ---
-    r"recaptcha|grecaptcha": {
-        "id": "recaptcha", "name": "Google reCAPTCHA", "category": "other",
-        "provider": "Google LLC", "country": "US", "eu_adequate": False,
-        "requires_consent": True, "legal_ref": "Art. 44-49 DSGVO, §25 TDDDG",
-    },
-    # --- Video ---
-    r"youtube\.com/embed|youtube-nocookie|ytimg": {
-        "id": "youtube", "name": "YouTube", "category": "other",
-        "provider": "Google LLC", "country": "US", "eu_adequate": False,
-        "requires_consent": True, "legal_ref": "Art. 44-49 DSGVO, 2-Klick empfohlen",
-    },
-    # --- Consent Management ---
-    r"didomi|cookiebot|onetrust|usercentrics|consentmanager|quantcast": {
-        "id": "cmp", "name": "Consent Management Platform", "category": "other",
-        "provider": "Various", "country": "EU", "eu_adequate": True,
-        "requires_consent": False, "legal_ref": "CMP vorhanden — gut",
-    },
-}
+# ── Service Registry (imported from master) ──────────────────────────────────
+from compliance.services.service_registry import SERVICE_REGISTRY  # noqa: E402
 
 AI_TEXT_PATTERNS = [
     r"k(?:ue|ü)nstliche.?intelligenz",
@@ -157,9 +58,13 @@ AI_TEXT_PATTERNS = [
 
 FOOTER_LINK_PATTERNS = [
     (r'href="([^"]*(?:impressum|imprint|legal-notice)[^"]*)"', "impressum"),
-    (r'href="([^"]*(?:datenschutz|privacy|dsgvo)[^"]*)"', "datenschutz"),
+    (r'href="([^"]*(?:datenschutz|privacy|dsgvo|hinweise.?zum.?datenschutz)[^"]*)"', "datenschutz"),
     (r'href="([^"]*(?:agb|terms|nutzungsbedingungen)[^"]*)"', "agb"),
     (r'href="([^"]*(?:cookie)[^"]*)"', "cookies"),
+    # Deep DSE links (regional pages, sub-pages, service marks)
+    (r'href="([^"]*(?:datenschutzinformation|datenschutzerklaerung|datenschutzerkl)[^"]*)"', "datenschutz_deep"),
+    # Navigation links often contain DSB/privacy sub-pages
+    (r'href="([^"]*(?:ueber.?uns.*datenschutz|servicemarken.*datenschutz|kontakt.*datenschutz)[^"]*)"', "datenschutz_nav"),
 ]
 
 
@@ -183,15 +88,46 @@ async def scan_website(base_url: str) -> ScanResult:
                 href = match.group(1)
                 if href.startswith("/"):
                     href = urljoin(origin, href)
-                if href.startswith(origin):
+                if href.startswith(origin) and not re.search(r"\.(css|js|png|jpg|gif|svg|pdf|zip)(\?|$)", href):
                     page_urls.add(href)
 
-        # 3. Scan all pages (max 10)
-        for url in list(page_urls)[:10]:
-            html = start_html if url == origin else await _fetch_page(client, url, result)
-            if html:
+        # 3. Scan all pages in PARALLEL (max 10)
+        import asyncio
+        other_urls = [u for u in list(page_urls)[:10] if u != origin]
+        fetch_tasks = [_fetch_page(client, u, result) for u in other_urls]
+        other_htmls = await asyncio.gather(*fetch_tasks, return_exceptions=True)
+
+        # Process start page
+        _detect_services(start_html, origin, result)
+        _detect_ai_mentions(start_html, origin, result)
+
+        # Process other pages + discover DSE-internal links
+        dse_internal_urls = set()
+        for url, html in zip(other_urls, other_htmls):
+            if isinstance(html, str) and html:
                 _detect_services(html, url, result)
                 _detect_ai_mentions(html, url, result)
+                # If this is a DSE page, find links within it (SAME DOMAIN only)
+                if re.search(r"datenschutz|privacy|dsgvo", url, re.IGNORECASE):
+                    for pattern, _ in FOOTER_LINK_PATTERNS:
+                        for match in re.finditer(pattern, html, re.IGNORECASE):
+                            href = match.group(1)
+                            if href.startswith("/"):
+                                href = urljoin(origin, href)
+                            # IMPORTANT: Only follow links on the SAME domain
+                            # External links (etracker.com, google.de) must NOT be scanned
+                            if href.startswith(origin) and href not in page_urls:
+                                dse_internal_urls.add(href)
+
+        # 4. Follow DSE-internal links (additional pages linked from privacy policy)
+        if dse_internal_urls:
+            extra_urls = [u for u in list(dse_internal_urls)[:5] if u not in page_urls]
+            if extra_urls:
+                extra_tasks = [_fetch_page(client, u, result) for u in extra_urls]
+                extra_htmls = await asyncio.gather(*extra_tasks, return_exceptions=True)
+                for url, html in zip(extra_urls, extra_htmls):
+                    if isinstance(html, str) and html:
+                        _detect_services(html, url, result)
 
     # Deduplicate services
     seen = set()
diff --git a/backend-compliance/main.py b/backend-compliance/main.py
index b94158a..1698af6 100644
--- a/backend-compliance/main.py
+++ b/backend-compliance/main.py
@@ -45,7 +45,9 @@ from compliance.api.company_profile_routes import router as company_profile_rout
 from compliance.api.agent_notification_routes import router as agent_notify_router
 from compliance.api.agent_analyze_routes import router as agent_analyze_router
 from compliance.api.agent_scan_routes import router as agent_scan_router
-from compliance.api.agent_doc_check_routes import router as agent_doc_check_router
+from compliance.api.agent_history_routes import router as agent_history_router
+from compliance.api.agent_recurring_routes import router as agent_recurring_router
+from compliance.api.agent_compare_routes import router as agent_compare_router
 
 # Middleware
 from middleware import (
@@ -145,7 +147,9 @@ app.include_router(company_profile_router, prefix="/api")
 app.include_router(agent_notify_router, prefix="/api")
 app.include_router(agent_analyze_router, prefix="/api")
 app.include_router(agent_scan_router, prefix="/api")
-app.include_router(agent_doc_check_router, prefix="/api")
+app.include_router(agent_history_router, prefix="/api")
+app.include_router(agent_recurring_router, prefix="/api")
+app.include_router(agent_compare_router, prefix="/api")
 
 
 if __name__ == "__main__":
diff --git a/backend-compliance/migrations/085_dsr_process_templates.sql b/backend-compliance/migrations/085_dsr_process_templates.sql
index af11839..fa35986 100644
--- a/backend-compliance/migrations/085_dsr_process_templates.sql
+++ b/backend-compliance/migrations/085_dsr_process_templates.sql
@@ -7,7 +7,7 @@ VALUES
 -- ============================================================================
 -- Art. 15 DSGVO — Auskunftsrecht
 -- ============================================================================
-(gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'dsr_process_art15',
+(gen_random_uuid(), '__default__', 'dsr_process_art15',
 'Prozessbeschreibung: Auskunftsrecht (Art. 15 DSGVO)', 'de', 'published',
 '<h1>Prozessbeschreibung: Auskunftsrecht nach Art. 15 DSGVO</h1>
 <p><strong>Verantwortliche Stelle:</strong> {{FIRMENNAME}}<br/>
@@ -88,7 +88,7 @@ NOW(), NOW()),
 -- ============================================================================
 -- Art. 16 DSGVO — Recht auf Berichtigung
 -- ============================================================================
-(gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'dsr_process_art16',
+(gen_random_uuid(), '__default__', 'dsr_process_art16',
 'Prozessbeschreibung: Recht auf Berichtigung (Art. 16 DSGVO)', 'de', 'published',
 '<h1>Prozessbeschreibung: Recht auf Berichtigung nach Art. 16 DSGVO</h1>
 <p><strong>Verantwortliche Stelle:</strong> {{FIRMENNAME}}<br/>
@@ -151,7 +151,7 @@ NOW(), NOW()),
 -- ============================================================================
 -- Art. 17 DSGVO — Recht auf Loeschung
 -- ============================================================================
-(gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'dsr_process_art17',
+(gen_random_uuid(), '__default__', 'dsr_process_art17',
 'Prozessbeschreibung: Recht auf Loeschung (Art. 17 DSGVO)', 'de', 'published',
 '<h1>Prozessbeschreibung: Recht auf Loeschung nach Art. 17 DSGVO</h1>
 <p><strong>Verantwortliche Stelle:</strong> {{FIRMENNAME}}<br/>
@@ -225,7 +225,7 @@ NOW(), NOW()),
 -- ============================================================================
 -- Art. 18 DSGVO — Recht auf Einschraenkung der Verarbeitung
 -- ============================================================================
-(gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'dsr_process_art18',
+(gen_random_uuid(), '__default__', 'dsr_process_art18',
 'Prozessbeschreibung: Einschraenkung der Verarbeitung (Art. 18 DSGVO)', 'de', 'published',
 '<h1>Prozessbeschreibung: Einschraenkung der Verarbeitung nach Art. 18 DSGVO</h1>
 <p><strong>Verantwortliche Stelle:</strong> {{FIRMENNAME}}<br/>
@@ -289,7 +289,7 @@ NOW(), NOW()),
 -- ============================================================================
 -- Art. 19 DSGVO — Mitteilungspflicht
 -- ============================================================================
-(gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'dsr_process_art19',
+(gen_random_uuid(), '__default__', 'dsr_process_art19',
 'Prozessbeschreibung: Mitteilungspflicht (Art. 19 DSGVO)', 'de', 'published',
 '<h1>Prozessbeschreibung: Mitteilungspflicht nach Art. 19 DSGVO</h1>
 <p><strong>Verantwortliche Stelle:</strong> {{FIRMENNAME}}<br/>
@@ -344,7 +344,7 @@ NOW(), NOW()),
 -- ============================================================================
 -- Art. 20 DSGVO — Recht auf Datenuebertragbarkeit
 -- ============================================================================
-(gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'dsr_process_art20',
+(gen_random_uuid(), '__default__', 'dsr_process_art20',
 'Prozessbeschreibung: Datenuebertragbarkeit (Art. 20 DSGVO)', 'de', 'published',
 '<h1>Prozessbeschreibung: Recht auf Datenuebertragbarkeit nach Art. 20 DSGVO</h1>
 <p><strong>Verantwortliche Stelle:</strong> {{FIRMENNAME}}<br/>
@@ -405,7 +405,7 @@ NOW(), NOW()),
 -- ============================================================================
 -- Art. 21 DSGVO — Widerspruchsrecht
 -- ============================================================================
-(gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'dsr_process_art21',
+(gen_random_uuid(), '__default__', 'dsr_process_art21',
 'Prozessbeschreibung: Widerspruchsrecht (Art. 21 DSGVO)', 'de', 'published',
 '<h1>Prozessbeschreibung: Widerspruchsrecht nach Art. 21 DSGVO</h1>
 <p><strong>Verantwortliche Stelle:</strong> {{FIRMENNAME}}<br/>
diff --git a/backend-compliance/migrations/086_agent_scans.sql b/backend-compliance/migrations/086_agent_scans.sql
new file mode 100644
index 0000000..9281735
--- /dev/null
+++ b/backend-compliance/migrations/086_agent_scans.sql
@@ -0,0 +1,33 @@
+-- Migration 086: Agent Scan Results persistence
+-- Stores scan results so they survive page reloads and can be reviewed later
+
+CREATE TABLE IF NOT EXISTS compliance_agent_scans (
+    id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
+    tenant_id UUID NOT NULL DEFAULT '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    user_id TEXT NOT NULL DEFAULT 'default',
+    url TEXT NOT NULL,
+    scan_type TEXT NOT NULL,  -- 'quick', 'scan', 'consent_test'
+    analysis_mode TEXT NOT NULL DEFAULT 'post_launch',  -- 'pre_launch', 'post_launch'
+    classification TEXT,
+    risk_level TEXT,
+    risk_score FLOAT DEFAULT 0,
+    escalation_level TEXT,
+    responsible_role TEXT,
+    services JSONB DEFAULT '[]',
+    findings JSONB DEFAULT '[]',
+    corrections JSONB DEFAULT '[]',
+    consent_test JSONB,
+    text_references JSONB DEFAULT '[]',
+    mandatory_checks JSONB DEFAULT '[]',
+    summary_html TEXT,
+    pages_scanned INT DEFAULT 0,
+    pages_list JSONB DEFAULT '[]',
+    email_sent BOOLEAN DEFAULT FALSE,
+    email_recipient TEXT,
+    created_at TIMESTAMPTZ DEFAULT now()
+);
+
+CREATE INDEX IF NOT EXISTS idx_agent_scans_tenant ON compliance_agent_scans(tenant_id);
+CREATE INDEX IF NOT EXISTS idx_agent_scans_url ON compliance_agent_scans(url);
+CREATE INDEX IF NOT EXISTS idx_agent_scans_created ON compliance_agent_scans(created_at DESC);
+CREATE INDEX IF NOT EXISTS idx_agent_scans_type ON compliance_agent_scans(scan_type);
diff --git a/backend-compliance/migrations/087_tom_documentation_v2.sql b/backend-compliance/migrations/087_tom_documentation_v2.sql
new file mode 100644
index 0000000..009f935
--- /dev/null
+++ b/backend-compliance/migrations/087_tom_documentation_v2.sql
@@ -0,0 +1,314 @@
+-- Migration 087: TOM-Dokumentation v2
+-- Ueberarbeitetes Template basierend auf Absatz-fuer-Absatz Review (2026-04-30)
+-- Aenderungen: Verhaeltnismaessigkeit, AVV-Kontext, erweiterte Einleitungstexte,
+--   konkrete Massnahmentabellen, neuer Abschnitt 5.11 Trennungskontrolle,
+--   Abschnitt 5.10 Ueberpruefung mit Patch Management
+
+UPDATE compliance_legal_templates
+SET
+    content = $template$# TOM-Dokumentation (Art. 32 DSGVO)
+
+## Dokumentenkontrolle
+
+| Feld | Wert |
+|------|------|
+| Unternehmen | {{COMPANY_NAME}} |
+| Dokumenttyp | Technische und Organisatorische Massnahmen |
+| Version | {{DOCUMENT_VERSION}} |
+| Datum | {{VERSION_DATE}} |
+| Klassifizierung | Vertraulich |
+| IT-Sicherheitsbeauftragter | {{ISB_NAME}} |
+| Datenschutzbeauftragter | {{DPO_NAME}} |
+| Geschaeftsfuehrung | {{GF_NAME}} |
+| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
+
+### Aenderungshistorie
+
+| Version | Datum | Autor | Aenderung |
+|---------|-------|-------|-----------|
+| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Aktuelle Fassung |
+
+---
+
+## 1. Ziel und Zweck
+
+Diese TOM-Dokumentation beschreibt die technischen und organisatorischen Massnahmen, die **{{COMPANY_NAME}}** zum Schutz personenbezogener Daten getroffen hat. Sie gilt sowohl als eigenstaendiges Compliance-Dokument als auch als Anlage zu Auftragsverarbeitungsvertraegen (Art. 28 Abs. 3 lit. h DSGVO).
+
+Bei der Auswahl und Umsetzung der Massnahmen wird der Grundsatz der Verhaeltnismaessigkeit beruecksichtigt: Art und Umfang richten sich nach dem Stand der Technik, den Implementierungskosten sowie der Art, dem Umfang und den Zwecken der Verarbeitung (Art. 32 Abs. 1 DSGVO).
+
+Die Massnahmen dienen der Umsetzung folgender DSGVO-Anforderungen:
+
+| Rechtsgrundlage | Inhalt |
+|-----------------|--------|
+| **Art. 32 Abs. 1 lit. a DSGVO** | Pseudonymisierung und Verschluesselung personenbezogener Daten |
+| **Art. 32 Abs. 1 lit. b DSGVO** | Vertraulichkeit, Integritaet, Verfuegbarkeit und Belastbarkeit der Systeme auf Dauer sicherstellen |
+| **Art. 32 Abs. 1 lit. c DSGVO** | Rasche Wiederherstellung der Verfuegbarkeit bei physischem oder technischem Zwischenfall |
+| **Art. 32 Abs. 1 lit. d DSGVO** | Regelmaessige Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit der Massnahmen |
+
+Die TOM-Dokumentation ist fester Bestandteil des Datenschutz-Managementsystems und wird regelmaessig ueberprueft und aktualisiert.
+
+---
+
+## 2. Geltungsbereich
+
+Diese TOM-Dokumentation gilt fuer alle IT-Systeme, Anwendungen und Verarbeitungsprozesse von **{{COMPANY_NAME}}**. Die dokumentierten Massnahmen stammen aus zwei Quellen:
+
+- **Embedded Library (TOM-xxx):** Integrierte Kontrollbibliothek mit spezifischen Massnahmen fuer Art. 32 DSGVO
+- **Canonical Control Library (CP-CLIB):** Uebergreifende Kontrollbibliothek mit framework-uebergreifenden Massnahmen
+
+---
+
+## 3. Grundprinzipien Art. 32
+
+- **Vertraulichkeit:** Schutz personenbezogener Daten vor unbefugter Kenntnisnahme durch Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle und Verschluesselung (Art. 32 Abs. 1 lit. b DSGVO).
+- **Integritaet:** Sicherstellung, dass personenbezogene Daten nicht unbefugt oder unbeabsichtigt veraendert werden koennen, durch Eingabekontrolle, Weitergabekontrolle und Protokollierung (Art. 32 Abs. 1 lit. b DSGVO).
+- **Verfuegbarkeit und Belastbarkeit:** Gewaehrleistung, dass Systeme und Dienste bei Lastspitzen und Stoerungen zuverlaessig funktionieren, durch Backup, Redundanz und Disaster Recovery (Art. 32 Abs. 1 lit. b DSGVO).
+- **Rasche Wiederherstellbarkeit:** Faehigkeit, nach einem physischen oder technischen Zwischenfall Daten und Systeme schnell wiederherzustellen, durch getestete Recovery-Prozesse (Art. 32 Abs. 1 lit. c DSGVO).
+- **Regelmaessige Wirksamkeitspruefung:** Verfahren zur regelmaessigen Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit aller technischen und organisatorischen Massnahmen (Art. 32 Abs. 1 lit. d DSGVO).
+- **Trennbarkeit:** Gewaehrleistung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden (Art. 5 Abs. 1 lit. b DSGVO).
+
+---
+
+## 4. Schutzbedarf und Risikoanalyse
+
+Die Schutzbedarfsanalyse bildet die Grundlage fuer die Auswahl und Priorisierung der Massnahmen.
+
+| Kriterium | Bewertung |
+|-----------|-----------|
+| Vertraulichkeit | *Wird vom TOM-Generator automatisch ermittelt* |
+| Integritaet | *Wird vom TOM-Generator automatisch ermittelt* |
+| Verfuegbarkeit | *Wird vom TOM-Generator automatisch ermittelt* |
+| Schutzniveau | *Basiert auf CIA-Bewertung* |
+| DSFA-Pflicht | *Wird automatisch berechnet* |
+
+**Hinweis:** Die detaillierte Schutzbedarfsanalyse wird im TOM-Modul ueber den Risiko-Wizard durchgefuehrt. Die Ergebnisse fliessen automatisch in die Massnahmenauswahl ein.
+
+---
+
+## 5. Massnahmenkatalog
+
+### 5.1 Zutrittskontrolle
+
+Der physische Zugang zu Raeumen und Gebaeuden, in denen personenbezogene Daten verarbeitet oder gespeichert werden, ist durch geeignete Massnahmen beschraenkt. Zutrittsberechtigungen werden nach dem Need-to-know-Prinzip vergeben, dokumentiert und regelmaessig ueberprueft. Zutritte zu gesicherten Bereichen (Serverraeume, Netzwerkinfrastruktur) werden protokolliert.
+
+| Massnahme | Typ | Status | Verantwortlich |
+|-----------|-----|--------|----------------|
+| Elektronisches Zutrittskontrollsystem (Chipkarte/Transponder) | Technisch | *automatisch* | |
+| Mechanische Schliesssysteme mit dokumentierter Schluesselausgabe | Technisch | *automatisch* | |
+| Videoueberwachung der Zugaenge (unter Beachtung der DSGVO) | Technisch | *automatisch* | |
+| Sicherheitsschloesser und abschliessbare Serverschraenke | Technisch | *automatisch* | |
+| Empfangskontrolle mit Besucherprotokollierung | Organisatorisch | *automatisch* | |
+| Tragepflicht von Zugangsausweisen | Organisatorisch | *automatisch* | |
+| Sorgfaeltige Auswahl und Verpflichtung von Fremdpersonal | Organisatorisch | *automatisch* | |
+| Automatische Protokollierung aller Zutrittsereignisse | Technisch | *automatisch* | |
+
+### 5.2 Zugangskontrolle
+
+Die unbefugte Nutzung von Datenverarbeitungssystemen wird durch ein mehrstufiges Authentifizierungskonzept verhindert. Jeder Benutzer erhaelt eine eindeutige Kennung mit persoenlichem Passwort. Passwoerter werden nach dem Stand der Technik gespeichert (gehashte Ablage) und unterliegen definierten Komplexitaetsanforderungen. Ein dokumentierter Prozess fuer Passwortzuruecksetzung ist etabliert.
+
+| Massnahme | Typ | Status | Verantwortlich |
+|-----------|-----|--------|----------------|
+| Eindeutige Benutzerkennungen mit persoenlicher Passwortvergabe | Technisch | *automatisch* | |
+| Multi-Faktor-Authentifizierung (MFA) fuer privilegierte und Remote-Zugaenge | Technisch | *automatisch* | |
+| Rollenbasierte Benutzerprofile mit Zuordnung zu IT-Systemen | Technisch | *automatisch* | |
+| Automatische Bildschirmsperre und Session-Timeout | Technisch | *automatisch* | |
+| Account-Sperrung nach definierten Fehlversuchen | Technisch | *automatisch* | |
+| VPN fuer externe Zugriffe | Technisch | *automatisch* | |
+| Regelung externer Schnittstellen (USB) gemaess IT-Richtlinie | Organisatorisch | *automatisch* | |
+| Intrusion-Detection-/Prevention-Systeme | Technisch | *automatisch* | |
+| Anti-Viren- und Anti-Malware-Software | Technisch | *automatisch* | |
+| Verschluesselung mobiler Endgeraete (Laptops, Smartphones) | Technisch | *automatisch* | |
+| Hardware- und Software-Firewall | Technisch | *automatisch* | |
+
+### 5.3 Zugriffskontrolle
+
+Der Zugriff auf personenbezogene Daten ist durch ein rollenbasiertes Berechtigungskonzept (RBAC) auf das erforderliche Minimum beschraenkt (Least-Privilege-Prinzip). Berechtigungen werden nicht personengebunden, sondern ueber definierte Rollen vergeben. Zugriffsrechte werden regelmaessig ueberprueft und bei Personalveraenderungen unverzueglich angepasst.
+
+| Massnahme | Typ | Status | Verantwortlich |
+|-----------|-----|--------|----------------|
+| Dokumentiertes Berechtigungskonzept mit Rollendefinitionen | Organisatorisch | *automatisch* | |
+| Least-Privilege-Prinzip fuer alle Datenzugriffe | Organisatorisch | *automatisch* | |
+| Anzahl administrativer Zugaenge auf das Notwendige reduziert | Technisch | *automatisch* | |
+| Protokollierung von Datenzugriffen (Lesen, Aendern, Loeschen) | Technisch | *automatisch* | |
+| Regelmaessige Rechte-Rezertifizierung (mind. jaehrlich + anlassbezogen) | Organisatorisch | *automatisch* | |
+| Sofortiger Berechtigungsentzug bei Ausscheiden von Mitarbeitenden | Organisatorisch | *automatisch* | |
+| Dokumentierte Vertretungsregelungen mit begrenzten Sonderzugriffen | Organisatorisch | *automatisch* | |
+| Ordnungsgemaesse Vernichtung von Datentraegern (Verweis Loeschkonzept) | Technisch | *automatisch* | |
+
+### 5.4 Weitergabekontrolle
+
+Personenbezogene Daten werden bei der elektronischen Uebertragung durch Verschluesselung nach dem Stand der Technik geschuetzt. Alle Uebertragungswege (Web, API, E-Mail, Datenbankverbindungen) sind transportverschluesselt. Datentransfers werden protokolliert, sodass nachvollziehbar ist, an welche Stellen personenbezogene Daten uebermittelt wurden.
+
+| Massnahme | Typ | Status | Verantwortlich |
+|-----------|-----|--------|----------------|
+| Transportverschluesselung fuer alle Uebertragungswege (TLS) | Technisch | *automatisch* | |
+| VPN fuer standortuebergreifende Verbindungen | Technisch | *automatisch* | |
+| Ende-zu-Ende-Verschluesselung fuer besonders schutzwuerdige Daten | Technisch | *automatisch* | |
+| Sichere Dateiuebertragung (SFTP/SCP, keine unverschluesselten Protokolle) | Technisch | *automatisch* | |
+| Pseudonymisierung/Anonymisierung bei Datenweitergabe wo moeglich | Technisch | *automatisch* | |
+| Protokollierung aller Datentransfers (Firewall-Logs, Anwendungsprotokolle) | Technisch | *automatisch* | |
+| {{#IF HAS_PHYSICAL_TRANSPORT}} Sichere Transportbehaelter und dokumentierte Uebergabe bei physischem Datentraegertransport {{/IF}} | Organisatorisch | *automatisch* | |
+| {{#IF HAS_THIRD_COUNTRY_TRANSFER}} Garantien fuer Drittlandtransfers gemaess Art. 44-49 DSGVO (SCC, Angemessenheitsbeschluss) {{/IF}} | Organisatorisch | *automatisch* | |
+
+### 5.5 Eingabekontrolle
+
+Durch individuelle Benutzerkennungen und systematische Protokollierung ist jederzeit nachvollziehbar, wer personenbezogene Daten eingegeben, veraendert oder geloescht hat. Sammelkennungen oder geteilte Benutzerkonten sind nicht zulaessig. Die Protokollierung beschraenkt sich auf das fuer die Nachvollziehbarkeit erforderliche Mass — eine anlasslose Verhaltens- oder Leistungskontrolle von Beschaeftigten findet nicht statt.
+
+| Massnahme | Typ | Status | Verantwortlich |
+|-----------|-----|--------|----------------|
+| Protokollierung aller Eingabe-, Aenderungs- und Loeschvorgaenge mit Benutzerkennung und Zeitstempel | Technisch | *automatisch* | |
+| Ausschliesslich individuelle Benutzerkennungen (keine Sammelaccounts) | Organisatorisch | *automatisch* | |
+| Differenzierte Rechte fuer Eingabe, Aenderung und Loeschung | Technisch | *automatisch* | |
+| Manipulationsschutz der Protokolldaten (zentrale, schreibgeschuetzte Log-Sammlung) | Technisch | *automatisch* | |
+| Vier-Augen-Prinzip fuer kritische Datenveraenderungen | Organisatorisch | *automatisch* | |
+| Definierte Aufbewahrungsfristen fuer Protokolldaten (Details im Logging-Konzept) | Organisatorisch | *automatisch* | |
+
+### 5.6 Auftragskontrolle
+
+Soweit personenbezogene Daten im Auftrag durch Dritte verarbeitet werden, ist dies durch einen Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO geregelt. Die Auswahl, Pruefung und laufende Ueberwachung von Auftragsverarbeitern erfolgt ueber das Vendor-Compliance-Verfahren. Fernwartungszugriffe mit moeglicher Einsichtnahme in personenbezogene Daten werden wie eine Auftragsverarbeitung behandelt.
+
+| Massnahme | Typ | Status | Verantwortlich |
+|-----------|-----|--------|----------------|
+| AVV mit allen Auftragsverarbeitern abgeschlossen (Art. 28 DSGVO) | Organisatorisch | *automatisch* | |
+| Sorgfaeltige Auswahl und Vorabpruefung der Sicherheitsmassnahmen | Organisatorisch | *automatisch* | |
+| Verpflichtung der Mitarbeitenden des Auftragsverarbeiters auf Vertraulichkeit | Organisatorisch | *automatisch* | |
+| Vereinbarte Kontrollrechte und regelmaessige Auditierung | Organisatorisch | *automatisch* | |
+| Regelung fuer Unterauftragnehmer (Genehmigungsvorbehalt) | Organisatorisch | *automatisch* | |
+| Fernwartungszugriffe vertraglich geregelt und protokolliert | Technisch | *automatisch* | |
+| Datenrueckgabe und -loeschung bei Auftragsende vertraglich gesichert | Organisatorisch | *automatisch* | |
+
+*Detaillierte Regelungen: siehe AVV-Vorlage und Vendor-Compliance-Modul*
+
+### 5.7 Pseudonymisierung und Verschluesselung (Art. 32 Abs. 1 lit. a DSGVO)
+
+Personenbezogene Daten werden, soweit der Verarbeitungszweck dies zulaesst, pseudonymisiert. Dadurch ist ohne Hinzuziehung gesondert aufbewahrter Zuordnungsinformationen kein Rueckschluss auf die betroffene Person moeglich. Zum Schutz vor unbefugtem Zugriff werden Daten sowohl bei der Uebertragung (Transport) als auch bei der Speicherung (Data at Rest) durch Verschluesselung nach dem Stand der Technik gesichert. Die eingesetzten Algorithmen und Protokolle werden regelmaessig anhand aktueller Empfehlungen (insb. BSI TR-02102) ueberprueft.
+
+| Massnahme | Typ | Status | Verantwortlich |
+|-----------|-----|--------|----------------|
+| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
+
+### 5.8 Verfuegbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
+
+Systeme und Dienste sind so ausgelegt, dass die Verfuegbarkeit personenbezogener Daten auch bei erhoehter Last, Teilausfaellen oder physischen Einwirkungen gewaehrleistet bleibt. Die Infrastruktur wird kontinuierlich ueberwacht; bei Stoerungen erfolgt eine automatische Alarmierung.
+
+| Massnahme | Typ | Status | Verantwortlich |
+|-----------|-----|--------|----------------|
+| Unterbrechungsfreie Stromversorgung (USV) fuer kritische Systeme | Technisch | *automatisch* | |
+| Klimatisierung der Serverraeume | Technisch | *automatisch* | |
+| Ueberspannungsschutz | Technisch | *automatisch* | |
+| Brand- und Rauchmeldeanlage mit Feuerloescheinrichtung | Technisch | *automatisch* | |
+| Schutz vor Wasserschaeden (Standortwahl, Leckage-Sensoren) | Technisch | *automatisch* | |
+| Redundante Systemauslegung fuer kritische Komponenten (N+1) | Technisch | *automatisch* | |
+| Monitoring und automatische Alarmierung bei Verfuegbarkeitsstoerungen | Technisch | *automatisch* | |
+| Dokumentiertes Backup-Konzept mit definierten Sicherungsintervallen | Organisatorisch | *automatisch* | |
+| Ausgelagerte Aufbewahrung von Datensicherungen | Technisch | *automatisch* | |
+
+*Wiederherstellungsverfahren und Notfallplan: siehe Abschnitt 5.9*
+
+### 5.9 Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
+
+Im Falle eines technischen Zwischenfalls oder eines Sicherheitsvorfalls (z.B. Ransomware-Angriff) ist die rasche Wiederherstellung der Verfuegbarkeit personenbezogener Daten gewaehrleistet. Hierzu werden dokumentierte Backup- und Recovery-Verfahren vorgehalten und deren Wirksamkeit durch regelmaessige Restore-Tests ueberprueft.
+
+Detaillierte Wiederherstellungszeitziele (RTO/RPO) sind im Backup-Recovery-Konzept definiert. Der Notfallplan regelt die organisatorischen Ablaeufe im Ernstfall.
+
+| Massnahme | Typ | Status | Verantwortlich |
+|-----------|-----|--------|----------------|
+| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
+
+### 5.10 Ueberpruefung und Bewertung (Art. 32 Abs. 1 lit. d DSGVO)
+
+Die Wirksamkeit aller technischen und organisatorischen Massnahmen wird regelmaessig ueberprueft und bewertet. Die Ergebnisse fliessen in die kontinuierliche Verbesserung des Datenschutz-Managementsystems ein.
+
+| Massnahme | Typ | Status | Verantwortlich |
+|-----------|-----|--------|----------------|
+| Regelmaessige interne Datenschutz-Audits | Organisatorisch | *automatisch* | |
+| Regelmaessiges Patch Management aller eingesetzten Systeme und Software | Technisch | *automatisch* | |
+| Penetrationstests und Schwachstellenanalysen (mind. jaehrlich) | Technisch | *automatisch* | |
+| Auswertung von Sicherheitsvorfaellen und Ableitung von Verbesserungsmassnahmen | Organisatorisch | *automatisch* | |
+| Regelmaessige Ueberpruefung der Berechtigungen und Zugriffsrechte | Organisatorisch | *automatisch* | |
+| Dokumentation aller Pruefergebnisse und Massnahmen | Organisatorisch | *automatisch* | |
+
+### 5.11 Trennungskontrolle
+
+Personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, werden getrennt verarbeitet (Art. 5 Abs. 1 lit. b DSGVO). Bei mandantenfaehigen Systemen ist gewaehrleistet, dass Mandanten ausschliesslich auf eigene Daten zugreifen koennen. Die Wirksamkeit der Trennung wird regelmaessig ueberprueft.
+
+| Massnahme | Typ | Status | Verantwortlich |
+|-----------|-----|--------|----------------|
+| Logische Mandantentrennung in allen Anwendungen und Datenbanken | Technisch | *automatisch* | |
+| Festlegung separater Datenbankrechte je Mandant/Zweck | Technisch | *automatisch* | |
+| Strikte Trennung von Produktiv-, Test- und Entwicklungsumgebungen | Technisch | *automatisch* | |
+| Keine personenbezogenen Echtdaten in Test- oder Entwicklungsumgebungen | Organisatorisch | *automatisch* | |
+| Regelmaessige Pruefung der Mandantentrennung (Soll-Ist-Abgleich) | Organisatorisch | *automatisch* | |
+| {{#IF HAS_CLOUD_SERVICES}} Nachweis der Mandantentrennung beim Cloud-Anbieter eingefordert und dokumentiert {{/IF}} | Organisatorisch | *automatisch* | |
+
+---
+
+## 6. SDM Gewaehrleistungsziele
+
+Das Standard-Datenschutzmodell (SDM) definiert sieben Gewaehrleistungsziele. Die implementierten Massnahmen decken folgende Ziele ab:
+
+| Gewaehrleistungsziel | Abgedeckt | Gesamt | Abdeckung (%) |
+|----------------------|-----------|--------|---------------|
+| Verfuegbarkeit | *automatisch* | | |
+| Integritaet | *automatisch* | | |
+| Vertraulichkeit | *automatisch* | | |
+| Nichtverkettung | *automatisch* | | |
+| Intervenierbarkeit | *automatisch* | | |
+| Transparenz | *automatisch* | | |
+| Datenminimierung | *automatisch* | | |
+
+---
+
+## 7. Verantwortlichkeiten
+
+| Rolle | Aufgabe |
+|-------|---------|
+| Geschaeftsfuehrung ({{GF_NAME}}) | Gesamtverantwortung, Freigabe der TOM-Dokumentation |
+| IT-Sicherheitsbeauftragter ({{ISB_NAME}}) | Pflege und Umsetzung technischer Massnahmen |
+| Datenschutzbeauftragter ({{DPO_NAME}}) | Ueberwachung, Beratung, Compliance-Check |
+| Fachabteilungen | Umsetzung organisatorischer Massnahmen, Meldepflicht |
+
+---
+
+## 8. Compliance-Status
+
+*Der aktuelle Compliance-Score wird vom TOM-Modul automatisch berechnet und enthaelt Befunde nach Schweregrad (Kritisch, Hoch, Mittel, Niedrig).*
+
+| Kennzahl | Wert |
+|----------|------|
+| Gepruefte Massnahmen | *automatisch* |
+| Bestanden | *automatisch* |
+| Beanstandungen | *automatisch* |
+
+---
+
+## 9. Pruef- und Revisionszyklus
+
+| Eigenschaft | Wert |
+|-------------|------|
+| Pruefintervall | Jaehrlich |
+| Letzte Pruefung | {{VERSION_DATE}} |
+| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
+| Aktuelle Version | {{DOCUMENT_VERSION}} |
+
+### Pruefpunkte
+
+- Vollstaendigkeit aller Massnahmen (neue Systeme oder Verarbeitungen erfasst?)
+- Aktualitaet des Umsetzungsstatus (Aenderungen seit letzter Pruefung?)
+- Wirksamkeit der technischen Massnahmen (Penetration-Tests, Audit-Ergebnisse)
+- Angemessenheit der organisatorischen Massnahmen (Schulungen, Richtlinien aktuell?)
+- Abdeckung aller SDM-Gewaehrleistungsziele
+- Zuordnung von Verantwortlichkeiten zu allen Massnahmen
+- Wirksamkeit der Mandantentrennung (Soll-Ist-Abgleich)
+
+---
+
+*Dieses Dokument wird automatisch vom TOM-Modul generiert und enthaelt alle erfassten technischen und organisatorischen Massnahmen nach Art. 32 DSGVO.*
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | Stand: {{VERSION_DATE}} | Version {{DOCUMENT_VERSION}}*
+$template$,
+    version = '2.0.0',
+    description = 'Dokumentation aller technischen und organisatorischen Massnahmen gemaess Art. 32 DSGVO. Erweitert um Verhaeltnismaessigkeitsgrundsatz, AVV-Kontext, konkrete Massnahmenkataloge mit 11 Kategorien (inkl. Trennungskontrolle), Abgrenzung zu IT-Sicherheitskonzept und Loeschkonzept.',
+    updated_at = NOW()
+WHERE document_type = 'tom_documentation'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
diff --git a/backend-compliance/migrations/088_avv_template.sql b/backend-compliance/migrations/088_avv_template.sql
new file mode 100644
index 0000000..0658a5d
--- /dev/null
+++ b/backend-compliance/migrations/088_avv_template.sql
@@ -0,0 +1,276 @@
+-- Migration 088: AVV-Template (Auftragsverarbeitungsvertrag Art. 28 DSGVO)
+-- Komplett neues Template basierend auf Absatz-fuer-Absatz Review (2026-04-30)
+-- Enthält {{#IF}} Bloecke fuer optionale Klauseln
+
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT
+    gen_random_uuid(),
+    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'dpa',
+    'Auftragsverarbeitungsvertrag (Art. 28 DSGVO)',
+    'Vollstaendiger Vertrag zur Auftragsverarbeitung gemaess Art. 28 DSGVO mit 11 Paragraphen und 3 Anlagen (TOM, Unterauftragnehmer, Weisungsberechtigte). Enthält optionale Klauseln fuer Drittlandtransfer, Haftungsschutz, Kuendigungsrechte und Kostenregelungen.',
+    $template$# Vertrag zur Auftragsverarbeitung gemaess Art. 28 DSGVO
+
+zwischen dem Verantwortlichen
+
+**{{AG_NAME}}**
+{{AG_STRASSE}}
+{{AG_PLZ_ORT}}
+
+(im Folgenden „Auftraggeber")
+
+und dem Auftragsverarbeiter
+
+**{{AN_NAME}}**
+{{AN_STRASSE}}
+{{AN_PLZ_ORT}}
+
+(im Folgenden „Auftragnehmer")
+
+(Auftraggeber und Auftragnehmer zusammen als „Parteien" bezeichnet)
+
+---
+
+## 1. Vertragsgegenstand und Rahmenbedingungen
+
+1.1 Fuer diesen Vertrag zur Auftragsverarbeitung gelten die Begriffe und Definitionen der Verordnung (EU) 2016/679 (DSGVO), insbesondere Art. 4 DSGVO.
+
+1.2 {{AN_NAME}} verarbeitet im Rahmen des zwischen den Parteien geschlossenen Hauptvertrags personenbezogene Daten im Auftrag des Auftraggebers gemaess Art. 28 DSGVO. Gegenstand, Art, Zweck und Dauer der Verarbeitung ergeben sich aus dem Hauptvertrag und den folgenden Festlegungen:
+
+| Festlegung | Beschreibung |
+|-----------|-------------|
+| **Gegenstand** | {{VERARBEITUNGSGEGENSTAND}} |
+| **Zweck** | {{VERARBEITUNGSZWECK}} |
+| **Art der Verarbeitung** | {{VERARBEITUNGSARTEN}} |
+| **Dauer** | Fuer die Laufzeit des Hauptvertrags, sofern nicht anders vereinbart |
+
+1.3 Folgende Kategorien personenbezogener Daten werden verarbeitet:
+
+{{DATENKATEGORIEN}}
+
+1.4 Folgende Kategorien betroffener Personen sind betroffen:
+
+{{PERSONENKATEGORIEN}}
+
+1.5 Die Verarbeitung findet ausschliesslich innerhalb der EU/des EWR statt. Eine Verlagerung in ein Drittland bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers und setzt die Erfuellung der Voraussetzungen nach Art. 44 ff. DSGVO voraus.
+
+{{#IF THIRD_COUNTRY_OBJECTION_PERIOD}}
+Alternativ: Der Auftragnehmer informiert den Auftraggeber ueber eine beabsichtigte Verlagerung in ein Drittland in Textform. Der Auftraggeber kann innerhalb von {{THIRD_COUNTRY_OBJECTION_WEEKS}} Wochen begruendet widersprechen. Die Verlagerung darf nur bei Erfuellung der Voraussetzungen nach Art. 44 ff. DSGVO erfolgen.
+{{/IF}}
+
+---
+
+## 2. Laufzeit und Kuendigung
+
+2.1 Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrags. Soweit nach Beendigung des Hauptvertrags personenbezogene Daten des Auftraggebers beim Auftragnehmer verbleiben, gilt dieser Vertrag bis zur vollstaendigen Loeschung oder Rueckgabe der Daten fort.
+
+2.2 Das Recht auf ausserordentliche fristlose Kuendigung aus wichtigem Grund bleibt hiervon unberuehrt. Ein wichtiger Grund liegt insbesondere vor, wenn der Auftragnehmer gegen wesentliche Bestimmungen dieses Vertrags oder datenschutzrechtliche Vorschriften verstoesst.
+
+2.3 Die Rechte und Pflichten zur Loeschung und Rueckgabe der Daten nach Vertragsende richten sich nach § 10 dieses Vertrags.
+
+---
+
+## 3. Rechte und Pflichten des Auftraggebers
+
+3.1 Die Verarbeitung der vertragsgegenstaendlichen Daten durch den Auftragnehmer erfolgt ausschliesslich auf Grundlage der vertraglichen Vereinbarungen und der Weisungen des Auftraggebers. Eine abweichende Verarbeitung ist nur aufgrund zwingender europaeischer oder mitgliedsstaatlicher Rechtsvorschriften zulaessig. Ist eine solche Verarbeitung erforderlich, teilt der Auftragnehmer dies dem Auftraggeber vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen oeffentlichen Interesses verbietet.
+
+3.2 Fuer die Beurteilung der Zulaessigkeit der Verarbeitung gemaess Art. 6 DSGVO sowie fuer die Wahrung der Rechte der betroffenen Personen nach Art. 12-22 DSGVO ist allein der Auftraggeber verantwortlich. Aenderungen des Verarbeitungsgegenstands oder der Verarbeitungstaetigkeiten sind gemeinsam abzustimmen und in Textform festzulegen.
+
+3.3 Der Auftraggeber stellt sicher, dass dem Auftragnehmer personenbezogene Daten nur im Rahmen der vereinbarten Leistungserbringung zukommen.
+
+3.4 Der Auftraggeber ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Datenschutzvorschriften vor Beginn und waehrend der Vertragslaufzeit — nach vorheriger Terminvereinbarung — im erforderlichen Umfang zu kontrollieren. Die Kontrollmassnahmen muessen verhaeltnismaessig sein und den Betrieb des Auftragnehmers nicht ueber das erforderliche Mass beeintraechtigen. Die Ergebnisse der Kontrollen werden protokolliert.
+
+3.5 Die Parteien behandeln alle im Rahmen des Vertragsverhaeltnisses erlangten Kenntnisse von Geschaeftsgeheimnissen und Datensicherheitsmassnahmen vertraulich. Diese Verpflichtung besteht auch nach Beendigung dieses Vertrags fort.
+
+---
+
+## 4. Weisungsbefugnisse des Auftraggebers
+
+4.1 Dem Auftraggeber steht ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Modalitaeten der Datenverarbeitung zu. Der Auftragnehmer informiert den Auftraggeber unverzueglich, falls eine Weisung nach Auffassung des Auftragnehmers gegen gesetzliche Vorschriften verstoesst. Der Auftragnehmer ist berechtigt, die Ausfuehrung einer solchen Weisung auszusetzen, bis der Auftraggeber diese ausdruecklich bestaetigt oder aendert.
+
+{{#IF LIABILITY_PROTECTION_CLAUSE}}
+4.1a Besteht die Moeglichkeit, dass der Auftragnehmer durch das Befolgen einer Weisung einem Haftungsrisiko ausgesetzt wird, kann die Durchfuehrung bis zur Klaerung der Haftung im Innenverhaeltnis ausgesetzt werden.
+{{/IF}}
+
+4.2 Weisungen sind grundsaetzlich in Textform (schriftlich oder per E-Mail) zu erteilen. Muendliche Weisungen sind in begruendeten Einzelfaellen zulaessig und vom Auftraggeber unverzueglich in Textform zu bestaetigen. In der Bestaetigung ist zu begruenden, warum keine Weisung in Textform erfolgen konnte. Beide Parteien dokumentieren jede Weisung in Textform. Weisungen sind fuer die Geltungsdauer dieses Vertrags und anschliessend noch fuer {{INSTRUCTION_RETENTION_YEARS}} Jahre aufzubewahren.
+
+4.3 Der Auftraggeber legt die weisungsberechtigten Personen fest. Der Auftragnehmer legt Weisungsempfaenger fest. Die Angaben sind Anlage 3 dieses Vertrags zu entnehmen. Bei einem Wechsel oder einer laengerfristigen Verhinderung sind dem Vertragspartner unverzueglich die Nachfolger oder Vertreter in Textform mitzuteilen.
+
+---
+
+## 5. Vertraulichkeit
+
+5.1 Der Auftragnehmer bestaetigt, dass ihm die fuer die Auftragsverarbeitung massgeblichen datenschutzrechtlichen Vorschriften bekannt sind.
+
+5.2 Der Auftragnehmer wahrt bei der Verarbeitung personenbezogener Daten des Auftraggebers die Vertraulichkeit. Diese Pflicht besteht auch nach Beendigung dieses Vertrags fort.
+
+5.3 Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung betrauten Beschaeftigten auf die Vertraulichkeit verpflichtet wurden (Art. 28 Abs. 3 S. 2 lit. b DSGVO) oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung besteht auch nach Beendigung des Beschaeftigungsverhaeltnisses fort. Die Beschaeftigten werden regelmaessig mit den fuer sie massgeblichen Datenschutzbestimmungen vertraut gemacht. Der Auftragnehmer ueberwacht die Einhaltung in seinem Unternehmen.
+
+5.4 Der Auftragnehmer erteilt Betroffenen oder Dritten ohne vorherige Zustimmung des Auftraggebers keine Auskuenfte ueber die vertragsgegenstaendlichen Daten. Anfragen von Betroffenen leitet der Auftragnehmer unverzueglich an den Auftraggeber weiter (Details siehe § 9.3).
+
+---
+
+## 6. Technische und organisatorische Massnahmen
+
+6.1 Der Auftragnehmer hat die in Anlage 1 beschriebenen technischen und organisatorischen Massnahmen unter Beachtung von Art. 32 DSGVO festgelegt. Sie gewaehrleisten ein dem Risiko der Verarbeitung angemessenes Schutzniveau.
+
+6.2 Die Massnahmen koennen im Laufe des Auftragsverhaeltnisses an den Stand der Technik angepasst werden. Das Schutzniveau darf dabei nicht unterschritten werden. Wesentliche Aenderungen teilt der Auftragnehmer dem Auftraggeber vorab mit.
+
+6.3 Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der vereinbarten Massnahmen zur Verfuegung (Art. 28 Abs. 3 S. 2 lit. h DSGVO).
+
+---
+
+## 7. Unterstuetzungspflichten des Auftragnehmers
+
+7.1 Der Auftragnehmer unterstuetzt den Auftraggeber bei der Erfuellung der Betroffenenrechte nach Art. 12-22 DSGVO (Art. 28 Abs. 3 S. 2 lit. e DSGVO). Dies umfasst insbesondere die Bereitstellung der fuer Auskuenfte erforderlichen Daten, die Durchfuehrung von Loeschungen, Berichtigungen und Einschraenkungen der Verarbeitung sowie die Bereitstellung von Datenexporten (Art. 20 DSGVO).
+
+7.2 Der Auftragnehmer unterstuetzt den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO (Art. 28 Abs. 3 S. 2 lit. f DSGVO), insbesondere bei:
+
+- der Sicherstellung geeigneter technischer und organisatorischer Massnahmen (Art. 32),
+- der Meldung von Datenschutzverletzungen an die Aufsichtsbehoerde (Art. 33),
+- der Benachrichtigung betroffener Personen (Art. 34),
+- der Durchfuehrung von Datenschutz-Folgenabschaetzungen (Art. 35),
+- der vorherigen Konsultation der Aufsichtsbehoerde (Art. 36).
+
+7.3 Die Reichweite der Unterstuetzungspflichten bestimmt sich nach der Art der Verarbeitung und den dem Auftragnehmer zur Verfuegung stehenden Informationen.
+
+{{#IF SUPPORT_COST_CLAUSE}}
+7.4 Unterstuetzungsleistungen, die ueber den vertraglich vereinbarten Umfang hinausgehen, erfolgen gegen angemessene Aufwandsentschaedigung.
+{{/IF}}
+
+---
+
+## 8. Einsatz von Unterauftragsverarbeitern
+
+8.1 Der Auftragnehmer ist zum Einsatz von Unterauftragsverarbeitern berechtigt. Die bei Vertragsschluss bestehenden Unterauftragsverhaeltnisse sind in Anlage 2 aufgefuehrt. Der Auftraggeber erteilt seine Zustimmung zu den dort genannten Unterauftragsverarbeitern.
+
+8.2 Der Auftragnehmer informiert den Auftraggeber ueber beabsichtigte Aenderungen bei Unterauftragsverarbeitern mindestens {{SUB_PROCESSOR_NOTICE_WEEKS}} Wochen vor deren Einsatz in Textform. Die Information umfasst Name, Sitz, Taetigkeit und getroffene Datenschutzmassnahmen des Unterauftragsverarbeiters. Der Auftraggeber kann der Hinzuziehung innerhalb von {{SUB_PROCESSOR_OBJECTION_WEEKS}} Wochen nach Zugang der Information begruendet widersprechen. Erfolgt ein fristgerechter begruendeter Widerspruch, duerfen die betroffenen Unterauftragsverarbeiter nicht eingesetzt werden.
+
+{{#IF SUB_PROCESSOR_SILENCE_APPROVAL}}
+8.2a Erfolgt innerhalb der Widerspruchsfrist kein Widerspruch, gilt die Hinzuziehung als genehmigt.
+{{/IF}}
+
+{{#IF SUB_PROCESSOR_TERMINATION_RIGHT}}
+8.3 Bei begruendetem Widerspruch, ueber den keine Einigung erzielt werden kann, sind beide Parteien berechtigt, den Hauptvertrag und diesen AVV mit einer Frist von {{TERMINATION_WEEKS}} Wochen zu kuendigen.
+{{/IF}}
+
+8.4 Der Auftragnehmer waehlt Unterauftragsverarbeiter unter Beruecksichtigung der Eignung ihrer technischen und organisatorischen Massnahmen sorgfaeltig aus. Alle Vertraege mit Unterauftragsverarbeitern genuegen den Anforderungen des Art. 28 DSGVO.
+
+8.5 Der Einsatz von Unterauftragsverarbeitern in Drittstaaten setzt die Erfuellung der Voraussetzungen nach Art. 44 ff. DSGVO voraus.
+
+8.6 Der Auftragnehmer haftet gegenueber dem Auftraggeber fuer die Einhaltung der Datenschutzpflichten durch seine Unterauftragsverarbeiter wie fuer eigenes Handeln (Art. 28 Abs. 4 DSGVO).
+
+8.7 Der Auftraggeber hat gegenueber dem Unterauftragsverarbeiter dieselben Weisungs- und Kontrollrechte wie gegenueber dem Auftragnehmer.
+
+---
+
+## 9. Informationspflichten des Auftragnehmers
+
+9.1 Der Auftragnehmer informiert den Auftraggeber unverzueglich ueber Verstoesse gegen diesen Vertrag, gegen Weisungen des Auftraggebers oder gegen datenschutzrechtliche Vorschriften. Dies gilt auch bei begruendetem Verdacht sowie unabhaengig davon, ob der Verstoss durch den Auftragnehmer selbst, dessen Beschaeftigte, Unterauftragsverarbeiter oder sonstige eingesetzte Personen verursacht wurde.
+
+9.2 Datenschutzverletzungen im Sinne von Art. 4 Nr. 12 DSGVO meldet der Auftragnehmer dem Auftraggeber unverzueglich, spaetestens jedoch innerhalb von **{{BREACH_NOTIFICATION_HOURS}} Stunden** nach Kenntniserlangung. Die Meldung umfasst mindestens:
+
+- die Art der Verletzung,
+- die betroffenen Datenkategorien und die ungefaehre Anzahl betroffener Personen,
+- die wahrscheinlichen Folgen der Verletzung,
+- die ergriffenen oder vorgeschlagenen Abhilfemassnahmen.
+
+9.3 Anfragen betroffener Personen, Behoerden oder Dritter, die sich auf die vertragsgegenstaendliche Datenverarbeitung beziehen, leitet der Auftragnehmer unverzueglich an den Auftraggeber weiter. Der Auftragnehmer erteilt ohne vorherige Abstimmung mit dem Auftraggeber keine inhaltlichen Auskuenfte.
+
+9.4 Der Auftragnehmer informiert den Auftraggeber unverzueglich ueber bevorstehende Aufsichtshandlungen oder Massnahmen einer Behoerde, soweit sie die vertragsgegenstaendliche Verarbeitung betreffen. Gleiches gilt fuer Ereignisse oder Massnahmen Dritter, durch die die vertragsgegenstaendlichen Daten gefaehrdet werden koennten.
+
+---
+
+## 10. Vertragsbeendigung, Loeschung und Rueckgabe der Daten
+
+{{#IF REACTIVATION_PERIOD}}
+10.1 Dieser Vertrag gilt nach Beendigung des Hauptvertrags fuer {{REACTIVATION_MONTHS}} Monate fort, um eine Reaktivierung zu ermoeglichen. Danach gelten die folgenden Loeschpflichten.
+{{/IF}}
+
+10.2 Nach Beendigung der Verarbeitung hat der Auftragnehmer saemtliche personenbezogene Daten des Auftraggebers nach dessen Wahl zu loeschen oder in einem gaengigen, maschinenlesbaren Format ({{DATA_EXPORT_FORMAT}}) zurueckzugeben (Art. 28 Abs. 3 S. 2 lit. g DSGVO). Der Auftraggeber teilt seine Wahl innerhalb von {{RETURN_CHOICE_WEEKS}} Wochen nach Vertragsende mit. Erfolgt keine Erklaerung, werden die Daten geloescht.
+
+10.3 Die Loeschung erfolgt spaetestens {{DELETION_DAYS}} Tage nach Vertragsende, sofern keine vorrangigen gesetzlichen Aufbewahrungspflichten bestehen. Eine fruehere Loeschung ist auf Wunsch des Auftraggebers moeglich.
+
+10.4 Der Auftragnehmer bestaetigt dem Auftraggeber die vollstaendige Loeschung in Textform und stellt auf Anfrage einen Loeschnachweis zur Verfuegung. Die Loeschpflicht erstreckt sich auch auf Daten bei Unterauftragsverarbeitern.
+
+{{#IF RETURN_COST_CLAUSE}}
+10.5 Die Uebersendung der Daten stellt eine zusaetzliche Unterstuetzungsleistung dar, fuer die der Auftragnehmer eine angemessene Verguetung verlangen darf.
+{{/IF}}
+
+---
+
+## 11. Schlussbestimmungen
+
+11.1 Es gilt das Recht der Bundesrepublik Deutschland. {{#IF GERICHTSSTAND_CLAUSE}} Gerichtsstand fuer alle Streitigkeiten aus diesem Vertrag ist {{GERICHTSSTAND}}, sofern beide Parteien Kaufleute oder juristische Personen des oeffentlichen Rechts sind. {{/IF}}
+
+11.2 Soweit die Verarbeitung personenbezogener Daten betroffen ist, gehen die Regelungen dieses Vertrags den Regelungen des Hauptvertrags vor.
+
+11.3 Aenderungen und Ergaenzungen dieses Vertrags beduerfender Schriftform oder eines dokumentierten elektronischen Formats. Dies gilt auch fuer den Verzicht auf dieses Formerfordernis.
+
+11.4 Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, so beruehrt dies die Wirksamkeit der uebrigen Bestimmungen nicht. Die Parteien werden die unwirksame Bestimmung durch eine wirksame ersetzen, die dem Vertragszweck am naechsten kommt.
+
+11.5 Datenschutzbeauftragter des Auftragnehmers: {{AN_DSB_NAME}}, erreichbar unter {{AN_DSB_EMAIL}}.
+
+{{#IF UNILATERAL_CHANGE_RIGHT}}
+*Hinweis: Dieses einseitige Aenderungsrecht ist AGB-rechtlich umstritten und sollte nur in begruendeten Faellen aktiviert werden.*
+
+11.6 Der Auftragnehmer ist berechtigt, diesen Vertrag aus sachlich gerechtfertigten Gruenden und unter Einhaltung einer Frist von {{CHANGE_NOTICE_WEEKS}} Wochen zu aendern. Der Auftraggeber wird hierueber in Textform benachrichtigt. Im Falle eines begruendeten Widerspruchs ist der Auftragnehmer berechtigt, den Vertrag zum Zeitpunkt des Inkrafttretens der Aenderung ausserordentlich zu kuendigen.
+{{/IF}}
+
+---
+
+{{AG_ORT}}, den {{VERTRAGSDATUM}}
+
+\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
+{{AG_UNTERZEICHNER_NAME}}
+({{AG_UNTERZEICHNER_FUNKTION}})
+fuer den Auftraggeber
+
+{{AN_ORT}}, den {{VERTRAGSDATUM}}
+
+\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
+{{AN_UNTERZEICHNER_NAME}}
+({{AN_UNTERZEICHNER_FUNKTION}})
+fuer den Auftragnehmer
+
+---
+
+## Anlagen
+
+| Nr. | Bezeichnung |
+|-----|-------------|
+| Anlage 1 | Technische und organisatorische Massnahmen (Art. 32 DSGVO) |
+| Anlage 2 | Unterauftragsverarbeiter |
+| Anlage 3 | Weisungsberechtigte und Weisungsempfaenger |
+
+*Erstellt mit BreakPilot Compliance — Stand: {{VERTRAGSDATUM}}*
+$template$,
+    '["AG_NAME","AG_STRASSE","AG_PLZ_ORT","AN_NAME","AN_STRASSE","AN_PLZ_ORT","VERARBEITUNGSGEGENSTAND","VERARBEITUNGSZWECK","VERARBEITUNGSARTEN","DATENKATEGORIEN","PERSONENKATEGORIEN","SUB_PROCESSOR_NOTICE_WEEKS","SUB_PROCESSOR_OBJECTION_WEEKS","BREACH_NOTIFICATION_HOURS","INSTRUCTION_RETENTION_YEARS","DATA_EXPORT_FORMAT","RETURN_CHOICE_WEEKS","DELETION_DAYS","AN_DSB_NAME","AN_DSB_EMAIL","AG_ORT","AN_ORT","VERTRAGSDATUM","AG_UNTERZEICHNER_NAME","AG_UNTERZEICHNER_FUNKTION","AN_UNTERZEICHNER_NAME","AN_UNTERZEICHNER_FUNKTION","GERICHTSSTAND","REACTIVATION_MONTHS","TERMINATION_WEEKS","CHANGE_NOTICE_WEEKS","THIRD_COUNTRY_OBJECTION_WEEKS"]'::jsonb,
+    'de', 'DE',
+    'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published',
+    NOW(), NOW()
+WHERE NOT EXISTS (
+    SELECT 1 FROM compliance_legal_templates
+    WHERE document_type = 'dpa'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+    AND version = '1.0.0'
+    AND content IS NOT NULL
+    AND length(content) > 1000
+);
+
+-- Falls ein leerer/minimaler dpa-Eintrag existiert, updaten statt insert
+UPDATE compliance_legal_templates
+SET
+    title = 'Auftragsverarbeitungsvertrag (Art. 28 DSGVO)',
+    description = 'Vollstaendiger Vertrag zur Auftragsverarbeitung gemaess Art. 28 DSGVO mit 11 Paragraphen und 3 Anlagen (TOM, Unterauftragnehmer, Weisungsberechtigte). Enthält optionale Klauseln fuer Drittlandtransfer, Haftungsschutz, Kuendigungsrechte und Kostenregelungen.',
+    version = '2.0.0',
+    updated_at = NOW()
+WHERE document_type = 'dpa'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+  AND (content IS NULL OR length(content) < 1000);
diff --git a/backend-compliance/migrations/089_template_cross_doc_updates.sql b/backend-compliance/migrations/089_template_cross_doc_updates.sql
new file mode 100644
index 0000000..e949faa
--- /dev/null
+++ b/backend-compliance/migrations/089_template_cross_doc_updates.sql
@@ -0,0 +1,90 @@
+-- Migration 089: Cross-Document Updates aus TOM/AVV-Review
+-- Verschiebungsliste: Inhalte die in andere Templates gehoeren
+-- Quelle: TOM-Review 2026-04-30
+
+-- ===========================================================================
+-- 1. Loeschkonzept: DIN 66399 Details + Backup-Aufbewahrung ergaenzen
+-- ===========================================================================
+
+-- Erweitert Abschnitt 4 (Loeschmethoden) um DIN 66399 Sicherheitsstufen
+-- Erweitert um neuen Abschnitt zur Backup-Einbeziehung in den Loeschzyklus
+
+UPDATE compliance_legal_templates
+SET content = REPLACE(
+    content,
+    '| **Physische Vernichtung** | Physische Zerstoerung der Datentraeger (Shredding, Degaussing) | Datentraeger-Entsorgung |',
+    '| **Physische Vernichtung** | Physische Zerstoerung der Datentraeger nach DIN 66399 (siehe Sicherheitsstufen unten) | Datentraeger-Entsorgung |'
+),
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'loeschkonzept'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- Fuege DIN 66399 Sicherheitsstufen nach der Loeschmethoden-Tabelle ein
+UPDATE compliance_legal_templates
+SET content = REPLACE(
+    content,
+    '| **Kryptographische Loeschung** | Vernichtung der Schluessel bei verschluesselten Daten | Cloud-Umgebungen, verschluesselte Backups |
+
+---',
+    '| **Kryptographische Loeschung** | Vernichtung der Schluessel bei verschluesselten Daten | Cloud-Umgebungen, verschluesselte Backups |
+
+### Sicherheitsstufen nach DIN 66399
+
+Die Vernichtung physischer Datentraeger erfolgt gemaess DIN 66399. Die Sicherheitsstufe richtet sich nach dem Schutzbedarf der gespeicherten Daten:
+
+| Stufe | Schutzbedarf | Anwendung |
+|-------|-------------|-----------|
+| 1-2 | Normal | Allgemeine interne Daten ohne Personenbezug |
+| 3 | Erhoehter Schutzbedarf | Personenbezogene Daten (Standard fuer DSGVO) |
+| 4-5 | Hoher Schutzbedarf | Besondere Kategorien (Art. 9 DSGVO), Gesundheitsdaten |
+| 6-7 | Sehr hoher Schutzbedarf | Geheimhaltungspflichtige Daten, nachrichtendienstliche Sicherheit |
+
+**Mindeststandard:** Fuer personenbezogene Daten wird grundsaetzlich mindestens Sicherheitsstufe 3 angewendet. Bei besonderen Kategorien nach Art. 9 DSGVO ist mindestens Stufe 4 erforderlich.
+
+### Einbeziehung von Backups in den Loeschzyklus
+
+Loeschpflichten erstrecken sich auch auf Datensicherungen (Backups). Die Loeschung in Backups erfolgt:
+
+- **Automatisch:** Durch rollierende Backup-Zyklen, bei denen aeltere Sicherungen nach Ablauf der Aufbewahrungsfrist ueberschrieben werden
+- **Manuell:** Bei Einzelloeschungsanfragen (Art. 17 DSGVO) wird die Loeschung in den Backup-Medien zum naechsten planmaessigen Ueberschreibungszeitpunkt durchgefuehrt
+- **Dokumentiert:** Aufbewahrungsfristen fuer Backups sind im Backup-Recovery-Konzept definiert und im Loeschfristen-Modul verknuepft
+
+**Hinweis:** Verschluesselte Backups koennen alternativ durch kryptographische Loeschung (Schluesselvernichtung) unwiderruflich unzugaenglich gemacht werden.
+
+---'
+)
+WHERE document_type = 'loeschkonzept'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+
+-- ===========================================================================
+-- 2. VVT-Register: Empfaenger-Dokumentation erweitern
+-- ===========================================================================
+
+-- Erweitert die Pflichtangaben-Tabelle um detailliertere Empfaenger-Dokumentation
+
+UPDATE compliance_legal_templates
+SET content = REPLACE(
+    content,
+    '| **Empfaengerkategorien** | Intern, extern, Auftragsverarbeiter, Behoerden |',
+    '| **Empfaengerkategorien** | Intern (Fachabteilungen), extern (Kunden, Partner), Auftragsverarbeiter (Art. 28), Behoerden (Art. 6 Abs. 1 lit. c/e) |'
+),
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'vvt_register'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- Erweitert die Detailkarten-Beschreibung um Empfaenger-Details
+UPDATE compliance_legal_templates
+SET content = REPLACE(
+    content,
+    '- Strukturierte TOMs nach Kategorie (Zugriffskontrolle, Vertraulichkeit, Integritaet, Verfuegbarkeit, Trennbarkeit)
+- Schutzniveau und Deployment-Modell',
+    '- Strukturierte TOMs nach Kategorie (Zugriffskontrolle, Vertraulichkeit, Integritaet, Verfuegbarkeit, Trennbarkeit)
+- Schutzniveau und Deployment-Modell
+- Empfaenger-Details: Name/Kategorie des Empfaengers, Rechtsgrundlage der Uebermittlung, vereinbarte Loeschfristen beim Empfaenger
+- Bei Auftragsverarbeitern: Verweis auf AVV und Vendor-Compliance-Eintrag'
+)
+WHERE document_type = 'vvt_register'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
diff --git a/backend-compliance/migrations/090_agb_saas_v2.sql b/backend-compliance/migrations/090_agb_saas_v2.sql
new file mode 100644
index 0000000..59fb1b4
--- /dev/null
+++ b/backend-compliance/migrations/090_agb_saas_v2.sql
@@ -0,0 +1,397 @@
+-- Migration 090: AGB SaaS v2
+-- Ueberarbeitetes Template basierend auf Absatz-fuer-Absatz Review (2026-04-30)
+-- Aenderungen: B2B-only Option, B2B2C Drei-Parteien, Testphase, Sperrung,
+--   Vertraulichkeit, Force Majeure, § 312k BGB, Fehlerkategorien,
+--   IP-Indemnification, § 536a BGB, Preisanpassung, Wartungszugang
+
+UPDATE compliance_legal_templates
+SET
+    content = $template$# Allgemeine Geschaeftsbedingungen (AGB)
+
+**{{COMPANY_LEGAL_NAME}}**
+Stand: {{VERSION_DATE}}
+
+---
+
+## § 1 Geltungsbereich
+
+(1) Diese AGB gelten fuer alle Vertraege zwischen {{COMPANY_LEGAL_NAME}} („Anbieter") und Kunden ueber die Nutzung von **{{SERVICE_NAME}}**.
+
+(2) Abweichende Kundenbedingungen werden nicht Vertragsbestandteil, es sei denn, der Anbieter stimmt ihnen ausdruecklich zu. Individuell vereinbarte Leistungen gehen den Regelungen dieser AGB vor.
+
+{{#IF B2B_ONLY}}
+(3) Diese AGB richten sich ausschliesslich an Unternehmer im Sinne von § 14 BGB. Vertraege mit Verbrauchern (§ 13 BGB) werden nicht geschlossen.
+{{/IF}}
+{{#IF_NOT B2B_ONLY}}
+(3) Diese AGB gelten gegenueber Unternehmern und Verbrauchern, soweit nicht ausdruecklich unterschieden.
+{{/IF_NOT}}
+
+---
+
+## § 2 Leistungsbeschreibung
+
+(1) Der Anbieter stellt **{{SERVICE_NAME}}** als webbasierte Software (Software as a Service) einschliesslich Wartung und Pflege zur Verfuegung: {{SERVICE_DESCRIPTION_SHORT}}.
+
+(2) Umfang und Systemvoraussetzungen ergeben sich aus der jeweils aktuellen Leistungsbeschreibung.
+
+{{#IF HAS_MODULAR_PACKAGES}}
+(3) Die Software wird in verschiedenen Leistungspaketen mit unterschiedlichem Funktionsumfang angeboten. Der konkrete Leistungsumfang und das Preismodell ergeben sich aus dem gewaehlten Paket.
+{{/IF}}
+
+{{#IF HAS_STORAGE}}
+(4) Im Rahmen der Nutzung wird dem Kunden Speicherplatz fuer seine Daten bereitgestellt. {{#IF HAS_STORAGE_LIMITS}} Umfang und Kontingente ergeben sich aus dem gewaehlten Leistungspaket. {{/IF}}
+{{/IF}}
+
+{{#IF HAS_END_USERS}}
+(5) Der Kunde kann die Software seinen Endkunden (nachfolgend „Nutzer") im Rahmen des Vertragszwecks zur Verfuegung stellen. Ein Vertragsverhaeltnis zwischen dem Anbieter und den Nutzern des Kunden entsteht hierdurch nicht.
+{{/IF}}
+
+(6) Der Anbieter prueft die vom Kunden oder dessen Nutzern eingegebenen Daten nicht auf inhaltliche Richtigkeit oder rechtliche Zulaessigkeit. Die inhaltliche Verantwortung liegt beim Kunden.
+
+(7) Der Anbieter ist berechtigt, den Dienst weiterzuentwickeln, sofern Kernfunktionen im Wesentlichen erhalten bleiben.
+
+---
+
+## § 3 Vertragsschluss
+
+(1) Die Darstellung des Dienstes auf der Website oder im Kundenportal ist kein verbindliches Angebot.
+
+(2) Der Vertrag kommt durch Bestaetigung der Bestellung oder Freischaltung des Dienstes zustande.
+
+{{#IF HAS_TRIAL}}
+(3) Der Anbieter stellt eine kostenfreie Testphase von {{TRIAL_DAYS}} Tagen zur Verfuegung. Wird das Abonnement nicht innerhalb der Testphase gekuendigt, wird der Vertrag ueber das gewaehlte Paket kostenpflichtig. Der Abschluss eines Auftragsverarbeitungsvertrags (AVV) ist bereits mit Beginn der Testphase erforderlich.
+{{/IF}}
+
+---
+
+## § 4 Preise, Abrechnung, Zahlung
+
+{{#IF HAS_PAID_PLANS}}
+(1) Es gelten die bei Vertragsschluss vereinbarten Preise: {{PRICES_TEXT}}.
+
+(2) Zahlungsbedingungen: {{PAYMENT_TERMS_TEXT}}.
+
+(3) Preise gegenueber Verbrauchern inkl. gesetzl. USt.; gegenueber Unternehmern zzgl. USt.
+
+(4) Bei Zahlungsverzug: gesetzliche Verzugszinsen; gegenueber Unternehmern 9 Prozentpunkte ueber Basiszinssatz (§ 288 Abs. 2 BGB).
+
+(5) Zusatzleistungen, die ueber den vereinbarten Leistungsumfang hinausgehen (z.B. Fehlerbeseitigung aufgrund unsachgemaesser Handhabung, individuelle Anpassungen), beduerfen einer gesonderten Beauftragung und Verguetung.
+
+{{#IF HAS_PRICE_ADJUSTMENT}}
+(6) Der Anbieter kann die vereinbarte Verguetung nach billigem Ermessen anpassen, wenn die auf den Vertrag entfallenden Kosten aufgrund von nach Vertragsschluss eingetretenen, nicht vorhersehbaren Umstaenden steigen oder fallen. Preiserhoehungen duerfen nur einmal pro Kalenderjahr erfolgen und nur soweit, als der Anbieter dadurch keine ueber die Kostendeckung hinausgehenden Gewinne erzielt. Bei nicht voruebergehenden Kostensenkungen ist der Anbieter zu entsprechenden Preissenkungen verpflichtet.
+
+(7) Der Kunde wird ueber Preisaenderungen mindestens {{PRICE_ADJUSTMENT_NOTICE_WEEKS}} Wochen vor Inkrafttreten in Textform informiert. Bei Preiserhoehungen steht dem Kunden ein Sonderkuendigungsrecht mit Wirkung zum Zeitpunkt des Inkrafttretens zu. Der Anbieter weist in der Mitteilung auf das Kuendigungsrecht und die Kuendigungsfrist hin.
+{{/IF}}
+{{/IF}}
+{{#IF_NOT HAS_PAID_PLANS}}
+(1) Der Dienst wird derzeit unentgeltlich angeboten. Der Anbieter behaelt sich vor, kostenpflichtige Leistungsstufen einzufuehren.
+{{/IF_NOT}}
+
+---
+
+## § 5 Pflichten des Kunden
+
+(1) Der Kunde hat bei Registrierung richtige Angaben zu machen und diese aktuell zu halten.
+
+(2) Zugangsdaten sind vertraulich zu behandeln. Der Kunde stellt sicher, dass unbefugte Dritte keinen Zugriff auf seinen Account erhalten. Verletzt der Kunde diese Pflicht, ist er fuer hieraus entstehende Schaeden verantwortlich.
+
+(3) Der Dienst darf nur im Rahmen der geltenden Gesetze und dieser AGB genutzt werden.
+
+(4) Der Kunde ist verantwortlich fuer eingestellte Inhalte und Daten und stellt sicher, dass Rechte Dritter nicht verletzt werden. {{#IF HAS_END_USERS}} Der Kunde verpflichtet seine Nutzer entsprechend. {{/IF}} Der Kunde stellt den Anbieter von saemtlichen Anspruechen Dritter frei, die auf einer rechtswidrigen Nutzung durch den Kunden oder dessen Nutzer beruhen.
+
+(5) Der Kunde ist verpflichtet, Zahlungsaufforderungen fristgerecht nachzukommen.
+
+(6) Der Anbieter kann zusaetzliche Sicherheitsmassnahmen einfuehren und wird den Kunden hierueber informieren. Der Kunde ist verpflichtet, zumutbare Sicherheitsmassnahmen umzusetzen.
+
+(7) Der Kunde ist ergaenzend selbst fuer die regelmaessige Sicherung seiner Daten im Rahmen der verfuegbaren Export-Funktionen verantwortlich.
+
+{{#IF HAS_UPLOAD}}
+(8) Der Kunde hat vor dem Hochladen von Dateien diese auf Viren oder sonstige schaedliche Komponenten zu pruefen und hierzu dem Stand der Technik entsprechende Schutzsoftware einzusetzen.
+{{/IF}}
+
+---
+
+## § 6 Nutzungsrechte
+
+(1) Der Anbieter raeumt dem Kunden ein einfaches, nicht uebertragbares, auf die Vertragsdauer beschraenktes Nutzungsrecht an der Software im Rahmen der jeweils aktuellen Leistungsbeschreibung ein. Zur Nutzung gehoert das Laden in den Arbeitsspeicher und die Installation auf den vom Kunden bzw. den Nutzern eingesetzten Endgeraeten und Servern.
+
+{{#IF HAS_END_USERS}}
+(2) Der Kunde darf die Software seinen Nutzern im Rahmen des Vertragszwecks zur Verfuegung stellen. Nutzer gelten nicht als Dritte im Sinne dieser Bestimmung.
+{{/IF}}
+
+(3) Eine Ueberlassung an sonstige Dritte, Unterlizenzierung oder oeffentliche Zugaenglichmachung ausserhalb der vorgesehenen Nutzung ist untersagt.
+
+(4) Die vom Anbieter bereitgestellten Leistungen sind durch gewerbliche Schutzrechte geschuetzt, insbesondere durch Urheberrecht{{#IF HAS_TRADEMARK}}, Markenrecht{{/IF}}{{#IF HAS_PATENTS}}, Patentrecht{{/IF}}{{#IF HAS_DESIGN_RIGHTS}}, Designrecht{{/IF}}{{#IF HAS_TRADE_SECRETS}} sowie den Schutz von Geschaeftsgeheimnissen (GeschGehG){{/IF}}. Urhebervermerke, Logos, Marken und sonstige Kennzeichnungen duerfen nicht veraendert oder entfernt werden.
+
+(5) Reverse Engineering, Dekompilierung und Umgehung von Sicherheitsmechanismen sind untersagt, soweit gesetzlich zulaessig.
+
+{{#IF HAS_TDM_OPTOUT}}
+(6) Die Nutzung der Leistungen fuer Text- und Data-Mining oder die Entwicklung, das Training oder die Anreicherung von KI-Systemen ist ohne ausdrueckliche Zustimmung des Anbieters untersagt.
+{{/IF}}
+
+{{#IF HAS_API_ACCESS}}
+(5) Die Nutzung der bereitgestellten API ist im Rahmen der dokumentierten Schnittstellen und der vereinbarten Rate-Limits gestattet.
+{{/IF}}
+
+{{#IF HAS_MAINTENANCE_ACCESS}}
+(6) Der Anbieter erhaelt fuer Wartungs- und Supportzwecke einen Fernzugang zu den vom Kunden betriebenen Installationen. Der Umfang ergibt sich aus dem Wartungsvertrag.
+{{/IF}}
+
+---
+
+## § 7 Verfuegbarkeit, Wartung und Support
+
+(1) Die Verfuegbarkeit der Software betraegt {{AVAILABILITY_PERCENT}} Prozent im Jahresdurchschnitt. {{#IF HAS_MAX_DOWNTIME}} Die Verfuegbarkeit darf nicht laenger als {{MAX_DOWNTIME_DAYS}} Kalendertage in Folge beeintraechtigt sein. {{/IF}} Hiervon ausgenommen sind geplante Wartungsarbeiten und Ereignisse hoeherer Gewalt.
+
+(2) Der Anbieter fuehrt regelmaessige Wartungsarbeiten durch und stellt Updates bereit. Die Software ist auf dem jeweils aktuellen Stand zu nutzen. Geplante Wartungsarbeiten werden {{MAINTENANCE_NOTICE_HOURS}} Stunden im Voraus angekuendigt und nach Moeglichkeit ausserhalb der Hauptnutzungszeiten durchgefuehrt.
+
+(3) Support ist erreichbar: {{SUPPORT_HOURS}}. Supportkanaele: {{SUPPORT_CHANNELS_TEXT}}.
+
+(4) Der Kunde meldet Softwarefehler mit einer moeglichst exakten Fehlerbeschreibung. Der Kunde ist zur Mitwirkung bei der Fehlerbehebung verpflichtet, insbesondere zur Erreichbarkeit fuer Rueckfragen.
+
+(5) Fehler werden nach folgender Kritikalitaet bearbeitet:
+
+| Kategorie | Auswirkung | Reaktionszeit |
+|-----------|-----------|---------------|
+| Normal | Keine oder geringe Auswirkung | {{RESPONSE_LOW_H}} Stunden |
+| Hoch | Einschraenkung des Geschaeftsbetriebs | {{RESPONSE_HIGH_H}} Stunden |
+| Kritisch | Drohender Vermoegens- oder Betriebsschaden | {{RESPONSE_CRITICAL_H}} Stunden |
+
+(6) Die Reaktionszeiten bezeichnen den Zeitraum bis zum Beginn der Bearbeitung, nicht bis zur Fehlerbehebung. Sie gelten ausschliesslich innerhalb der Servicezeiten.
+
+{{#IF HAS_SLA}}
+(7) Weitergehende Verfuegbarkeits- und Servicezusagen: {{SLA_URL}}.
+{{/IF}}
+
+---
+
+## § 8 Datenspeicherung und Datenexport
+
+(1) Der Anbieter trifft angemessene technische und organisatorische Massnahmen zum Schutz vor Datenverlust und unbefugtem Zugriff nach dem Stand der Technik. Regelmaessige Datensicherungen (Backups) sind Bestandteil dieser Massnahmen.
+
+{{#IF NO_AUDIT_PROOF_STORAGE}}
+(2) Der Anbieter stellt vorbehaltlich abweichender Vereinbarung keine revisionssichere Speicherung (z.B. GoBD-konform) zur Verfuegung.
+{{/IF}}
+
+(3) Der Kunde bleibt Alleinberechtigter an seinen Daten. Dem Anbieter stehen weder ein Zurueckbehaltungsrecht noch ein Pfandrecht an den Daten des Kunden zu.
+
+(4) Der Kunde kann jederzeit die Herausgabe seiner Daten in einem gaengigen, maschinenlesbaren Format verlangen.
+
+---
+
+{{#IF HAS_PHYSICAL_GOODS}}
+## § 8a Lieferung
+
+(1) Die Lieferung erfolgt an die vom Kunden angegebene Lieferadresse. Lieferzeiten sind im jeweiligen Angebot angegeben und beginnen mit Zahlungseingang.
+
+(2) Teillieferungen sind zulaessig, sofern dies fuer eine zuegige Abwicklung erforderlich und fuer den Kunden zumutbar ist. Zusaetzliche Versandkosten bei Teillieferungen traegt der Anbieter.
+
+(3) Ist ein Produkt dauerhaft nicht verfuegbar, kommt kein Vertrag zustande. Bereits geleistete Zahlungen werden unverzueglich erstattet.
+
+(4) Die Versandkosten ergeben sich aus der Bestelluebersicht und sind vom Kunden zu tragen. {{#IF_NOT B2B_ONLY}} Das Versandrisiko traegt der Anbieter, wenn der Kunde Verbraucher ist. {{/IF_NOT}} Im Falle eines Widerrufs traegt der Kunde die unmittelbaren Kosten der Ruecksendung.
+
+{{#IF HAS_RETENTION_OF_TITLE}}
+## § 8b Eigentumsvorbehalt
+
+(1) Gelieferte Waren bleiben bis zur vollstaendigen Bezahlung (einschliesslich Versandkosten) im Eigentum des Anbieters.
+
+(2) Der Kunde ist nicht berechtigt, unter Eigentumsvorbehalt stehende Waren ohne vorherige Zustimmung des Anbieters in Textform weiter zu veraeussern. {{#IF IS_B2B}} Unternehmern ist auch die Verpfaendung oder Sicherheitsuebereignung vor Eigentumsuebergang untersagt. {{/IF}}
+
+{{#IF ALLOWS_RESALE}}
+(3) Abweichend von Absatz 2 ist der Kunde zur Weiterveraeusserung der Vorbehaltsware im ordentlichen Geschaeftsgang berechtigt. Er tritt dem Anbieter bereits jetzt alle Forderungen in Hoehe des Rechnungsbetrags ab, die ihm aus der Weiterveraeusserung entstehen. Der Kunde bleibt zur Einziehung ermaechtigt, solange er seinen Zahlungspflichten nachkommt.
+{{/IF}}
+{{/IF}}
+{{/IF}}
+
+---
+
+## § 9 Datenschutz
+
+(1) Der Anbieter verarbeitet personenbezogene Daten, die der Kunde oder dessen Nutzer in die Software eingeben, als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die Einzelheiten der Auftragsverarbeitung regelt der separat geschlossene Auftragsverarbeitungsvertrag (AVV).
+
+(2) Der Anbieter verwendet die Daten nicht zu eigenen Zwecken und nimmt nur insoweit Einsicht, als dies zur Erfuellung seiner vertraglichen Verpflichtungen erforderlich ist.
+
+(3) Der Kunde ist eigenverantwortlich fuer die Erfuellung der ihm gegenueber betroffenen Personen obliegenden datenschutzrechtlichen Informationspflichten (Art. 13/14 DSGVO).
+
+(4) Die Datenschutzerklaerung des Anbieters ist abrufbar unter: {{PRIVACY_POLICY_URL}}.
+
+---
+
+## § 10 Sperrung
+
+(1) Der Anbieter ist zur Sperrung des Zugangs berechtigt, wenn der Kunde trotz Mahnung mit einer angemessenen Nachfrist in Zahlungsverzug ist.
+
+(2) Der Anbieter ist ferner zur Sperrung berechtigt, wenn der begruendete Verdacht besteht, dass die Software unter Verstoss gegen geltendes Recht, diese AGB oder die Nutzungsbedingungen eingesetzt wird. Der Anbieter informiert den Kunden in der Regel mindestens 24 Stunden vor der Sperrung und gibt ihm Gelegenheit zur Stellungnahme.
+
+(3) Waehrend einer Sperrung bleibt dem Kunden der Zugang zum Datenexport erhalten.
+
+(4) Eine Sperrung laesst die Vertragslaufzeit unberuehrt. Die Zahlungspflicht besteht waehrend der Sperrung fort, sofern die Sperrung nicht auf einem Verschulden des Anbieters beruht.
+
+---
+
+## § 11 Gewaehrleistung
+
+(1) Der Kunde hat Maengel der Software unverzueglich nach Entdeckung anzuzeigen. Die Maengelanzeige soll eine nachvollziehbare Fehlerbeschreibung enthalten.
+
+(2) Der Anbieter behebt Maengel nach seiner Wahl durch Nachbesserung oder Bereitstellung einer fehlerfreien Version. Dem Anbieter sind mindestens zwei Nachbesserungsversuche innerhalb angemessener Frist einzuraeumen.
+
+(3) Die Gewaehrleistung fuer nur unerhebliche Minderungen der Tauglichkeit wird ausgeschlossen.
+
+(4) Die verschuldensunabhaengige Haftung fuer bei Vertragsschluss bereits vorhandene Maengel gemaess § 536a Abs. 1 BGB wird ausgeschlossen.
+
+{{#IF HAS_DIGITAL_CONTENT}}
+(5) Der Anbieter stellt dem Kunden Aktualisierungen (Software-Updates) kostenlos zur Verfuegung. Die Gewaehrleistung fuer Maengel, die daraus resultieren, dass der Kunde erforderliche und kostenlos bereitgestellte Updates nicht oder nicht rechtzeitig installiert hat, ist ausgeschlossen.
+{{/IF}}
+
+{{#IF IS_B2B}}
+(6) Unternehmer haben offensichtliche Maengel innerhalb von einer Woche nach Erhalt schriftlich anzuzeigen (§ 377 HGB). Verdeckte Maengel sind unverzueglich nach Entdeckung anzuzeigen. Bei verspaeteter Anzeige ist die Gewaehrleistung ausgeschlossen.
+
+{{#IF HAS_PHYSICAL_GOODS}}
+(7) Bei Ruecksendung wegen Maengeln traegt der Anbieter die Versandkosten, sofern tatsaechlich ein Mangel vorliegt. Andernfalls traegt der Kunde die Kosten.
+{{/IF}}
+{{/IF}}
+
+{{#IF IS_B2C}}
+(8) Gegenueber Verbrauchern gelten die gesetzlichen Gewaehrleistungsrechte.
+{{/IF}}
+
+---
+
+## § 12 Haftung
+
+(1) Der Anbieter haftet unbeschraenkt bei Vorsatz, grober Fahrlaessigkeit und Schaeden aus Verletzung von Leib, Leben oder Gesundheit.
+
+(2) Bei leicht fahrlaessiger Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) ist die Haftung auf den typischen, vorhersehbaren Schaden begrenzt.
+
+(3) Im Uebrigen ist die Haftung ausgeschlossen, soweit gesetzlich zulaessig.
+
+(4) Fuer Datenverlust haftet der Anbieter nur, soweit der Schaden auch bei ordnungsgemaesser Datensicherung durch den Kunden eingetreten waere. Unzureichende Datensicherung kann ein Mitverschulden im Sinne von § 254 BGB begruenden.
+
+(5) Die gesetzliche Haftung nach dem Produkthaftungsgesetz bleibt unberuehrt.
+
+{{#IF IS_B2B}}
+(6) Die Haftung bei leichter Fahrlaessigkeit ist auf das {{LIABILITY_MULTIPLIER}}-fache der jaehrlichen Nettoverguetung begrenzt.
+
+(7) Ansprueche wegen Sach- und Rechtsmaengeln verjaehren in einem Jahr, sofern nicht zwingend laengere Fristen gelten (insb. Verletzung von Leben/Koerper/Gesundheit, Arglist, Vorsatz).
+{{/IF}}
+
+(8) Ist ein Schaden auf Mitverschulden des Kunden zurueckzufuehren, mindert sich der Anspruch entsprechend (§ 254 BGB).
+
+{{#IF HAS_IP_INDEMNIFICATION}}
+
+### Freistellung bei Schutzrechtsverletzungen
+
+(9) Der Anbieter steht dafuer ein, dass die vertragsmaessige Nutzung der Software frei von Schutzrechten Dritter ist. Macht ein Dritter gegenueber dem Kunden Ansprueche wegen einer Schutzrechtsverletzung geltend, verteidigt der Anbieter den Kunden auf eigene Kosten, sofern der Kunde den Anbieter unverzueglich benachrichtigt und ihm die Kontrolle ueber die Rechtsverteidigung ueberlaesst.
+
+(10) Wird die Nutzung aufgrund einer Schutzrechtsverletzung beeintraechtigt, kann der Anbieter nach seiner Wahl die Software so aendern, dass sie das Schutzrecht nicht mehr verletzt, oder dem Kunden die erforderlichen Nutzungsrechte verschaffen.
+{{/IF}}
+
+---
+
+## § 13 Vertragslaufzeit und Kuendigung
+
+(1) Die Vertragslaufzeit richtet sich nach dem gewaehlten Abrechnungszeitraum (monatlich oder jaehrlich). Der Vertrag kann zum Ende der jeweiligen Laufzeit gekuendigt werden.
+
+(2) Wird der Vertrag nicht fristgerecht gekuendigt, verlaengert er sich automatisch um den aktuell gebuchten Abrechnungszeitraum.
+
+{{#IF HAS_MODULAR_PACKAGES}}
+(3) Ein Wechsel in ein hoeherpreisiges Paket ist jederzeit moeglich; bereits gezahltes Entgelt wird anteilig angerechnet. Ein Wechsel in ein niedrigpreisigeres Paket ist zum Ende der laufenden Vertragslaufzeit moeglich.
+{{/IF}}
+
+(4) Das Recht zur ausserordentlichen fristlosen Kuendigung aus wichtigem Grund bleibt unberuehrt. Ein wichtiger Grund liegt insbesondere vor, wenn der Kunde trotz Mahnung und angemessener Nachfrist faellige Zahlungen nicht leistet oder wesentliche Vertragspflichten verletzt.
+
+(5) Bereits gezahlte Entgelte fuer nicht vollstaendig genutzte Buchungszeitraeume werden bei ordentlicher Kuendigung nicht erstattet. Gesetzlich zwingende Erstattungsansprueche bleiben unberuehrt.
+
+(6) Die Kuendigung kann in Textform oder ueber die im Kundenportal bereitgestellte Kuendigungsfunktion (§ 312k BGB) erfolgen.
+
+---
+
+## § 14 Daten bei Vertragsbeendigung
+
+(1) Der Kunde kann seine Daten waehrend der Vertragslaufzeit jederzeit ueber die verfuegbaren Export-Funktionen sichern.
+
+(2) Nach Vertragsbeendigung werden alle personenbezogenen Daten des Kunden gemaess den Regelungen des AVV geloescht oder zurueckgegeben. Die Loeschfrist betraegt {{DELETION_DAYS}} Tage nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
+
+(3) Vertragsdaten (Rechnungen, Korrespondenz) bleiben von der Loeschung ausgenommen, soweit gesetzliche Aufbewahrungspflichten bestehen.
+
+{{#IF HAS_RETURN_COST_CLAUSE}}
+(4) Unterstuetzungsleistungen des Anbieters beim Datenexport beduerfen einer gesonderten Verguetung.
+{{/IF}}
+
+---
+
+## § 15 Vertraulichkeit
+
+(1) Die Parteien verpflichten sich, alle im Rahmen des Vertragsverhaeltnisses erlangten vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und nicht an unbefugte Dritte weiterzugeben. Diese Pflicht gilt auch nach Vertragsbeendigung fort.
+
+(2) Vertrauliche Informationen duerfen nur denjenigen Mitarbeitern und Beauftragten zugaenglich gemacht werden, die sie zur Erfuellung der vertraglichen Pflichten benoetigen. Diese Personen sind entsprechend zur Vertraulichkeit zu verpflichten.
+
+(3) Die Vertraulichkeitspflicht gilt nicht fuer Informationen, die (a) oeffentlich bekannt sind oder werden, (b) der empfangenden Partei bereits rechtmaessig bekannt waren, (c) von einem Dritten ohne Vertraulichkeitsverpflichtung uebermittelt werden, oder (d) aufgrund gesetzlicher oder behoerdlicher Anordnung offenzulegen sind.
+
+---
+
+{{#IF HAS_REFERENCE_MARKETING}}
+## § 16 Referenzmarketing
+
+(1) Der Kunde gestattet dem Anbieter, den Firmennamen und das Logo des Kunden als Referenz auf der eigenen Website und in Marketingmaterialien zu verwenden.
+
+(2) Der Kunde kann diese Gestattung jederzeit mit Wirkung fuer die Zukunft widerrufen.
+
+{{#IF HAS_WHITELABEL}}
+(3) Bei Nutzung des Enterprise-/Whitelabel-Pakets entfaellt die Darstellung von Anbieter-Kennzeichen in der Software.
+{{/IF}}
+
+---
+{{/IF}}
+
+## § 17 Aenderungen der AGB
+
+(1) Der Anbieter kann diese AGB aus sachlichem Grund aendern (z.B. Gesetzesaenderung, Aenderung der Rechtsprechung). Dieser Aenderungsvorbehalt ist nicht auf Aenderungen anwendbar, die das Verhaeltnis von Leistung und Gegenleistung wesentlich veraendern, insbesondere nicht auf Preiserhoehungen.
+
+(2) Aenderungen werden in Textform mit einer Frist von mindestens einem Monat vor Inkrafttreten angekuendigt.
+
+(3) Ohne Widerspruch innerhalb der gesetzten Frist gelten Aenderungen als angenommen. {{#IF_NOT B2B_ONLY}} Verbraucher werden auf ihr Widerspruchsrecht ausdruecklich hingewiesen. {{/IF_NOT}}
+
+{{#IF HAS_PHYSICAL_GOODS}}
+(4) AEnderungen dieser AGB haben keinen Einfluss auf bereits abgeschlossene Kaufvertraege. Es gilt die zum Zeitpunkt des Erwerbs gueltige Fassung.
+{{/IF}}
+
+(5) Im Einzelfall getroffene Individualvereinbarungen gehen diesen AGB vor (§ 305b BGB).
+
+---
+
+## § 18 Schlussbestimmungen
+
+(1) Aenderungen und Ergaenzungen dieses Vertrages beduerfen der Textform.
+
+(2) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
+
+{{#IF IS_B2B}}
+(3) Gerichtsstand gegenueber Kaufleuten und juristischen Personen: {{JURISDICTION_CITY}}. Ausschliessliche Gerichtsstaende bleiben unberuehrt.
+{{/IF}}
+
+(4) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der uebrigen Bestimmungen unberuehrt.
+
+{{#IF HAS_PHYSICAL_GOODS}}
+(5) Erfuellungsort ist {{FULFILLMENT_LOCATION}}.
+{{/IF}}
+
+{{#IF HAS_EXTERNAL_LINKS}}
+(6) {{PLATFORM_NAME}} kann Links zu Internetseiten Dritter enthalten. Der Anbieter hat keinen Einfluss auf deren Inhalte und uebernimmt hierfuer keine Verantwortung.
+{{/IF}}
+
+(5) Bestandteile dieses Vertrages sind neben diesen AGB der Auftragsverarbeitungsvertrag (AVV) {{#IF HAS_COMMUNITY_GUIDELINES}} sowie die Nutzungsbedingungen (Community Guidelines) {{/IF}}.
+
+{{#IF HAS_FORCE_MAJEURE}}
+(6) Unvorhersehbare Ereignisse ausserhalb des Einflussbereichs der Parteien (hoehere Gewalt, insbesondere Epidemien, Naturkatastrophen, Krieg, Streik, behoerdliche Anordnungen), die die Leistungserbringung wesentlich erschweren oder unmoeglich machen, berechtigen die betroffene Partei, die Erfuellung fuer die Dauer der Behinderung zurueckzustellen. Zahlungspflichten bleiben hiervon unberuehrt. Die betroffene Partei unternimmt alle zumutbaren Anstrengungen zur Wiederaufnahme.
+{{/IF}}
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
+$template$,
+    version = '2.0.0',
+    description = 'Allgemeine Geschaeftsbedingungen fuer SaaS/Cloud-Dienste. 18 Paragraphen inkl. Sperrung, Vertraulichkeit, Force Majeure, IP-Indemnification, § 312k BGB Kuendigungsbutton, § 536a BGB Ausschluss. B2B/B2C ueber Conditions steuerbar. Optionale Abschnitte fuer Testphase, modulare Pakete, Preisanpassung, Referenzmarketing, Whitelabel.',
+    updated_at = NOW()
+WHERE document_type = 'agb'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
diff --git a/backend-compliance/migrations/091_community_guidelines_v2.sql b/backend-compliance/migrations/091_community_guidelines_v2.sql
new file mode 100644
index 0000000..465be16
--- /dev/null
+++ b/backend-compliance/migrations/091_community_guidelines_v2.sql
@@ -0,0 +1,340 @@
+-- Migration 091: Community Guidelines v2 — Modulares Template mit Detail-Bloecken
+-- Drei Ebenen: Einleitung (Ton-Wahl), Verbotskategorien (modular + Detail), Moderation (DSA)
+-- Jede Kategorie: Kurztext (immer) + DETAILED_* Block (optional) + EXCEPTIONS_* Block (optional)
+
+UPDATE compliance_legal_templates
+SET
+    title        = 'Gemeinschaftsrichtlinien (modular, DSA-konform)',
+    description  = 'Modulare Community Guidelines: 3 Tonarten, 11 Verbotskategorien mit optionalen Detaillisten und Ausnahmen, DSA-konformes Moderationsverfahren. Kunde waehlt per Checkbox welche Kategorien und Detailtiefe.',
+    content      = $template$# Gemeinschaftsrichtlinien fuer {{PLATFORM_NAME}}
+
+Stand: {{EFFECTIVE_DATE}} | Meldungen: {{REPORT_EMAIL}}
+
+---
+
+{{#IF TONE_FRIENDLY}}
+## Willkommen bei {{PLATFORM_NAME}}
+
+Wir freuen uns, dass Sie Teil unserer Gemeinschaft sind. {{PLATFORM_NAME}} lebt vom Austausch — und guter Austausch braucht klare Spielregeln. Diese Richtlinien beschreiben, wie wir miteinander umgehen und welche Inhalte hier keinen Platz haben.
+
+### Was gute Beitraege ausmacht
+
+- **Respektvoll:** Denken Sie darueber nach, wie sich Ihre Inhalte auf andere auswirken. Guter Austausch heisst, andere willkommen zu heissen und einzubeziehen.
+- **Relevant:** Bringen Sie etwas Neues ein — einen Einblick, eine Perspektive, konstruktive Kritik. Qualitaet vor Quantitaet.
+- **Sachlich fundiert:** Zeigen Sie, was Sie wissen, statt andere herabzusetzen. Gehaltvollere Beitraege entstehen durch eigenes Wissen, nicht durch Abwertung anderer.
+- **Hilfsbereit:** Melden Sie Inhalte, die gegen diese Richtlinien verstossen. Sie helfen damit allen.
+{{/IF}}
+
+{{#IF TONE_EDITORIAL}}
+## Ueber diese Richtlinien
+
+{{PLATFORM_NAME}} ist ein Ort fuer Austausch, Lernen und gemeinsames Entdecken. Menschen mit unterschiedlichen Hintergruenden und Perspektiven kommen hier zusammen. Das funktioniert nur, wenn alle Beteiligten einige Grundregeln beachten.
+
+Wir setzen auf Neugierde statt Rechthaberei, auf Substanz statt Lautstaerke. Wer hier Inhalte veroeffentlicht oder kommentiert, traegt zur Qualitaet der gesamten Gemeinschaft bei — im Guten wie im Schlechten.
+
+Diese Richtlinien beschreiben unsere Erwartungen und die Grenzen dessen, was auf {{PLATFORM_NAME}} zulaessig ist.
+{{/IF}}
+
+{{#IF TONE_FORMAL}}
+## Geltungsbereich
+
+Diese Gemeinschaftsrichtlinien gelten fuer alle Inhalte, die auf {{PLATFORM_NAME}} veroeffentlicht werden, unabhaengig von Form und Medium. Sie sind verbindlicher Bestandteil der Nutzungsbedingungen.
+
+{{COMPANY_NAME}} behaelt sich das Recht vor, gegen diese Richtlinien verstossende Inhalte zu entfernen sowie Nutzer zu verwarnen oder ihren Zugang zu sperren.
+{{/IF}}
+
+---
+
+## Verhaltensregeln
+
+Alle Nutzer von {{PLATFORM_NAME}} verpflichten sich zu einem respektvollen, sachlichen und gesetzeskonformen Umgang miteinander. Folgende Grundregeln gelten fuer jede Interaktion:
+
+- **Keine persoenlichen Angriffe:** Kritisieren Sie Inhalte und Argumente, nicht Personen.
+- **Keine Diskriminierung:** Herabwuerdigung aufgrund von Herkunft, Geschlecht, Religion, sexueller Orientierung, Behinderung, Alter oder anderer Merkmale wird nicht toleriert.
+- **Privatsphaere achten:** Veroeffentlichen Sie keine personenbezogenen Daten Dritter ohne deren Einwilligung.
+- **Quellenangaben:** Verwenden Sie nur Inhalte, an denen Sie Rechte besitzen. Kennzeichnen Sie Zitate und nennen Sie Quellen.
+- **Kein Trolling:** Beitraege, die erkennbar darauf abzielen, Diskussionen zu entgleisen oder andere zu provozieren, werden entfernt.
+
+---
+
+## Verbotene Inhalte
+
+Die folgenden Inhaltskategorien sind auf {{PLATFORM_NAME}} verboten. Verstossende Inhalte werden gesperrt und nach Abschluss des Pruefverfahrens geloescht.
+
+### Rechtswidrige Inhalte
+
+Inhalte, die gegen geltendes Recht verstossen, sind nicht zulaessig. Dies umfasst alle Informationen, die als solche oder durch ihre Bezugnahme auf eine Taetigkeit nicht im Einklang mit dem anwendbaren Recht stehen.
+
+{{#IF DETAILED_ILLEGAL}}
+Dazu zaehlen insbesondere:
+
+- Strafbare Aeusserungen (z.B. Beleidigung, Volksverhetzung)
+- Nicht genehmigte Verwendung urheberrechtlich geschuetzten Materials
+- Inhalte, die gegen behoerdliche Anordnungen verstossen
+- Verbreitung terroristischer Inhalte
+{{/IF}}
+
+### Hassrede und Diskriminierung
+
+Inhalte, die Personen oder Gruppen aufgrund geschuetzter Merkmale herabwuerdigen, verleumden, einschuechtern oder zu Hass aufrufen, sind verboten. Dies umfasst auch die Leugnung, Billigung oder Verharmlosung von Voelkermord und Verbrechen gegen die Menschlichkeit.
+
+{{#IF DETAILED_HATE_SPEECH}}
+Als hasserfuelltes Verhalten gelten insbesondere:
+
+- Hassrede und Diskriminierung jeglicher Art
+- Beleidigungen oder Diffamierungen von Personen oder Gruppen
+- Verleumderische Aeusserungen, die auf die Schaedigung der Reputation oder Wuerde einer Person abzielen
+- Belaestigung, einschliesslich Online-Stalking und Mobbing
+- Demuetigende, spoettische oder herabsetzende Kommentare und Aktivitaeten
+- Einschuechterung oder Noetigung, sowohl verbal als auch physisch
+- Denunziationen, falsche Anschuldigungen und Unterstellungen
+- Soziale Ausgrenzung oder oeffentliche Blossstellung von Personen
+- Aufrufe zu Hass oder Willkuermassnahmen gegen Personen oder Gruppen
+- Leugnung des Holocaust oder anderer historisch belegter Voelkermorde
+{{/IF}}
+
+### Betrug und Falschinformationen
+
+Inhalte, die der vorsaetzlichen Taeuschung oder Irrefuehrung dienen, werden entfernt. Dazu zaehlen erwiesen falsche Tatsachenbehauptungen, manipulierte Darstellungen ohne Kennzeichnung, Spam und betruegerische Angebote.
+
+{{#IF DETAILED_FRAUD}}
+Als Betrug und Falschinformation gelten insbesondere:
+
+- Finanzieller oder materieller Betrug (z.B. Anlagebetrug, Versicherungsbetrug)
+- Identitaetsbetrug oder Identitaetstaueschung
+- Irrefuehrende Werbung (z.B. Darstellungen von uebermaessig hohen Renditen)
+- Falsche oder irrefuehrende Behauptungen, insbesondere im medizinischen Bereich oder zu demokratischen Prozessen
+- Kuenstlich erzeugte oder manipulierte Inhalte (Deepfakes), die Nutzern faelschlicherweise als echt erscheinen, sofern nicht eindeutig als solche gekennzeichnet
+- Spam, Bots und vergleichbare umfangreiche oder wiederholende irrefuehrende Inhalte
+- Gefaelschte Dokumente oder Zahlungsmittel
+- Verschwoerungstheorien, die als Tatsachen dargestellt werden
+{{/IF}}
+
+{{#IF EXCEPTIONS_FRAUD}}
+*Ausnahme: Parodie, Satire und Kunst sind zulaessig, sofern sie keine Persoenlichkeitsrechte verletzen und als solche erkennbar sind. Journalistische Berichterstattung ueber Betrug oder Falschinformationen ist zulaessig, wenn der journalistische Charakter erkennbar ist.*
+{{/IF}}
+
+### Sicherheit und Privatsphaere
+
+Die Veroeffentlichung persoenlicher Informationen ohne Einwilligung der betroffenen Person (Doxing), die De-Anonymisierung von Nutzern, Identitaetsdiebstahl sowie Aktivitaeten, die die Sicherheit der Plattform oder ihrer Nutzer gefaehrden, sind verboten.
+
+{{#IF DETAILED_PRIVACY}}
+In diesem Sinne sind insbesondere verboten:
+
+- Veroeffentlichung persoenlicher Daten ohne Einverstaendnis (Anschrift, Telefonnummer, E-Mail)
+- Veroeffentlichung vertraulicher Informationen (medizinische Daten, Finanzdaten, religioese/sexuelle Identitaet)
+- Veroeffentlichung von Passwoertern, Zugangsdaten oder Zahlungsmittel-Details
+- Offenlegung der Identitaet, De-Anonymisierung oder De-Pseudonymisierung einer Person
+- Veroeffentlichung von Abbildungen, Audio- oder Videoaufnahmen ohne Einwilligung der betroffenen Personen
+- Identitaetsdiebstahl und Imitieren von Personen oder Gruppen
+- Anlegen mehrerer Nutzeraccounts durch einen Nutzer
+- Links zu unsicheren, irrefuehrenden oder schaedigenden Seiten (Phishing, Malware)
+- Gefaehrdung der Stabilitaet oder Sicherheit der Plattform (z.B. Hacking, DoS-Angriffe)
+{{/IF}}
+
+{{#IF HAS_MEDIA_UPLOADS}}
+
+### Gewalt und Gewaltverherrlichung
+
+Darstellungen von Gewalt, Gewaltandrohungen und Aufrufe zur Gewalt sind verboten.
+
+{{#IF DETAILED_VIOLENCE}}
+Als inakzeptabel gelten insbesondere:
+
+- Darstellungen von Gewalt oder gewalttaetigen Szenen, einschliesslich versuchter Gewaltanwendung
+- Darstellungen von Unfaellen, Katastrophen oder Anschlaegen, die verletzte oder getoetete Menschen zeigen
+- Schockierende und verstoerende Darstellungen im Zusammenhang mit Gewalt
+- Androhung von Gewalt, gleich welcher Art und Haerte
+- Einschuechterung mittels Gewaltandrohung
+- Anstiftung oder Aufruf zu jeglicher Form von Gewalt
+- Verwendung von gewaltverherrlichender Sprache oder Symbolen in einem Kontext, der erkennbar der Einschuechterung dient
+{{/IF}}
+
+{{#IF EXCEPTIONS_VIOLENCE}}
+*Ausnahmen: Selbstverteidigungstraining oder Kampfsport; militaerisches oder polizeiliches Training; Darstellungen in Videospielen, Filmen oder als Teil von Kunst; journalistische Berichterstattung mit erkennbarem journalistischem Charakter; Informationen zu medizinischen, wissenschaftlichen oder paedagogischen Zwecken.*
+{{/IF}}
+
+### Pornografische und sexuell explizite Inhalte
+
+Sexuell explizite Inhalte, einschliesslich digital erzeugter Darstellungen, sind nicht zulaessig.
+
+{{#IF DETAILED_PORNOGRAPHY}}
+Verboten sind insbesondere:
+
+- Darstellungen sexueller Handlungen oder Aufforderungen dazu
+- Exhibitionistische oder voyeuristische Inhalte
+- Anzuegliche Darstellungen, die nackte Personen oder entbloesste Geschlechtsmerkmale zeigen
+- Kuenstlich erstellte oder manipulierte Inhalte mit sexuellen Darstellungen
+- Angebote und Werbung fuer sexuelle Dienstleistungen
+- Links zu Seiten mit pornografischen Inhalten
+{{/IF}}
+
+{{#IF EXCEPTIONS_PORNOGRAPHY}}
+*Ausnahmen: Koerperkunst (Bodypainting) mit blickdichter Abdeckung; Nacktheit als Teil einer Protestform; journalistische Berichterstattung; medizinische, wissenschaftliche oder paedagogische Inhalte; Darstellungen, die das Stillen oder Momente nach der Geburt zeigen.*
+{{/IF}}
+
+### Suizid und Selbstverletzung
+
+Inhalte, die Suizid oder Selbstverletzung darstellen, verherrlichen oder dazu anleiten, werden entfernt. Nach wissenschaftlichen Erkenntnissen kann die Darstellung selbstverletzenden Verhaltens zur Nachahmung fuehren (Imitationseffekt).
+
+{{#IF DETAILED_SELF_HARM}}
+Verboten sind insbesondere:
+
+- Darstellung oder Beschreibung von Suizid, Suizidgedanken oder Selbstverletzung
+- Androhung, Anstiftung, Aufforderung oder Anleitung zu Suizid oder Selbstverletzung
+- Inhalte, die koerperliche Folgen von Essstoerungen verharmlosen oder anpreisen
+- Inhalte, die zu extremen oder ungesunden Diaeten anstiften
+- Produkte oder Dienstleistungen, die fuer Suizid oder Selbstverletzung bestimmt sind
+- Diffamierung von Personen nach Suizid oder Selbstverletzung
+{{/IF}}
+
+{{#IF EXCEPTIONS_SELF_HARM}}
+*Ausnahmen: Journalistische Berichterstattung mit erkennbarem journalistischem Charakter; medizinische, wissenschaftliche oder paedagogische Inhalte; Inhalte zu Heilung, Praevention und Bewaeltigungsstrategien; gekennzeichnete Stunts mit Warnhinweis; Darstellungen in Videospielen, Filmen oder Kunst.*
+{{/IF}}
+
+Wenn Sie oder jemand, den Sie kennen, sich in einer Krise befinden, wenden Sie sich bitte an eine Krisenberatungsstelle: [https://findahelpline.com]
+
+### Ausbeutung und Missbrauch
+
+Inhalte, die Ausbeutung oder Missbrauch von Menschen zeigen oder foerdern, sind verboten. Insbesondere gilt dies fuer Darstellungen sexuellen Missbrauchs von Kindern (CSAM).
+
+{{#IF DETAILED_EXPLOITATION}}
+Unter Ausbeutung und Missbrauch fallen insbesondere:
+
+- Sklaverei, Zwangsarbeit, Menschenhandel und Organhandel
+- Kinderarbeit, Kindersoldaten und illegale Adoption
+- Zwangsehen und jegliches Handeln, das unter Zwang gefordert wird
+- Darstellungen von sexuellem Missbrauch
+- Sexuelle Handlungen an Kindern oder Darstellungen von Kindern mit sexuellen Elementen
+- Anzuegliche Kommentare gegenueber Minderjaehrigen
+{{/IF}}
+
+{{/IF}}
+
+{{#IF HAS_MESSAGING}}
+
+### Sexuelle Belaestigung und unerwuenschte Kontaktaufnahme
+
+Sexuelle Belaestigung, sexuelle Objektivierung und unerwuenschte Kontaktaufnahmen sind verboten. Nutzer koennen unerwuenschte Nachrichten selbststaendig sperren.
+
+{{#IF DETAILED_HARASSMENT}}
+Verboten sind insbesondere:
+
+- Sexuelle Belaestigung und sexuelle Objektivierung
+- Angebot oder Aufforderung zu sexuellen Handlungen oder gewerblichen sexuellen Dienstleistungen
+- Versenden von anzueglichen und sexuell orientierten Inhalten einschliesslich Nacktbildern
+- Sexuelle Annaeherungsversuche oder Anzueglichkeiten
+- Verwendung von Symbolen, Bildern oder Emojis in einem sexualisierten Kontext
+- Kontaktaufnahmen, bei denen der Adressat zuvor mitgeteilt hat, dass eine Kontaktaufnahme unerwuenscht ist
+{{/IF}}
+
+{{/IF}}
+
+{{#IF HAS_MARKETPLACE}}
+
+### Gefaehrliche und verbotene Produkte
+
+Das Anbieten, Verkaufen oder Nachfragen von Produkten und Dienstleistungen, die gesetzlichen Beschraenkungen unterliegen oder verboten sind, ist nicht zulaessig. Dies gilt auch fuer die Anbahnung von Transaktionen ausserhalb der Plattform.
+
+{{#IF DETAILED_DANGEROUS_PRODUCTS}}
+Gefaehrliche Produkte und Dienstleistungen umfassen insbesondere:
+
+- Regulierte Produkte und Dienstleistungen (z.B. geschuetzte Tiere oder Pflanzen)
+- Waffen und Munition, Sprengstoff
+- Anleitungen zur Herstellung von Waffen oder Sprengstoff
+- Drogen, einschliesslich Alkohol, Tabak und E-Zigaretten
+- Rezeptpflichtige oder nicht zugelassene Medikamente
+- Toxische oder toedliche Substanzen und Gefahrgueter
+- Gestohlene Produkte oder Hehlerware
+- Prostitution und vergleichbare sexuelle Dienstleistungen
+{{/IF}}
+
+{{/IF}}
+
+### Gefaehrliche Personen und Terrorismus
+
+Inhalte, die von oder zugunsten terroristischer Organisationen, verfassungsfeindlicher Vereinigungen oder krimineller Gruppen verbreitet werden, sind verboten. Dies schliesst Propaganda, Rekrutierung und Symbole ein.
+
+{{#IF DETAILED_TERRORISM}}
+Als gefaehrliche Personen und Gruppen gelten insbesondere:
+
+- Terroristische Gruppierungen gemaess der EU-Terrorliste oder UN-Einstufung
+- Verfassungsfeindliche oder verbotene Organisationen
+- Militante oder paramilitaerische Gruppen und vergleichbare gewalttaetige Organisationen
+- Kriminelle Vereinigungen und Banden
+- Rassistische, diskriminierende oder extremistische Gruppen
+- Sympathisanten und Unterstuetzer der vorgenannten Personen und Gruppen
+{{/IF}}
+
+### Gefaehrdende Aktivitaeten
+
+Inhalte, die zu gefaehrlichen oder schaedigenden Aktivitaeten aufrufen, diese ankuendigen oder befuerworten, werden entfernt.
+
+{{#IF DETAILED_DANGEROUS_ACTIVITIES}}
+Als gefaehrdende Aktivitaeten gelten insbesondere:
+
+- Mutproben oder Flashmobs, die Gesundheit oder Eigentum gefaehrden
+- Missbrauch von Notrufeinrichtungen (z.B. Swatting)
+- Stoerung demokratischer Prozesse (z.B. Wahlmanipulation)
+- Anschlaege, Pluenderungen und Sachbeschaedigungen
+- Angriffe auf physische und digitale Infrastrukturen
+- Illegales Gluecksspiel und Schneeballsysteme
+- Verharmlosung von Gefahren oder gezielte Falschinformationen ueber Gesundheitsrisiken
+- Inhalte, die ungerechfertigte Panik ausloesen (z.B. falsche Anschlagswarnungen)
+{{/IF}}
+
+---
+
+## Urheberrecht
+
+Nutzer duerfen nur Inhalte veroeffentlichen, an denen sie die erforderlichen Rechte besitzen. Bei Verwendung fremder Inhalte sind Quellenangaben erforderlich. {{COMPANY_NAME}} entfernt Inhalte, die Urheberrechte verletzen, und informiert den betroffenen Nutzer.
+
+---
+
+## Moderation und Durchsetzung
+
+### Erkennung von Verstoessen
+
+{{COMPANY_NAME}} ueberprueft Inhalte sowohl proaktiv (automatisierte Erkennung und manuelle Stichproben) als auch reaktiv (Nutzer-Meldungen). Meldungen koennen unter {{REPORT_EMAIL}} eingereicht werden.
+
+### Massnahmen bei Verstoessen
+
+Bei Verstoessen gegen diese Richtlinien kann {{COMPANY_NAME}} folgende Massnahmen ergreifen:
+
+- Entfernung oder Sperrung des betroffenen Inhalts
+- Verwarnung des Nutzers
+- Voruebergehende Einschraenkung von Funktionen
+- Voruebergehende oder dauerhafte Sperrung des Nutzerkontos
+
+Bei schwerwiegenden Verstoessen (insbesondere rechtswidrige Inhalte, Gewaltandrohungen, CSAM) koennen Massnahmen ohne Vorwarnung ergriffen werden.
+
+### Benachrichtigung
+
+Nach einer Sperrung oder Entfernung informiert {{COMPANY_NAME}} den betroffenen Nutzer unverzueglich per E-Mail ueber die Massnahme und deren Begruendung.
+
+### Beschwerde und Ueberpruefung
+
+Der betroffene Nutzer kann innerhalb von 14 Tagen nach Zugang der Benachrichtigung eine Stellungnahme an {{REPORT_EMAIL}} uebermitteln. {{COMPANY_NAME}} prueft den Sachverhalt unter Beruecksichtigung der Stellungnahme durch einen Menschen und teilt die Entscheidung mit einzelfallbezogener Begruendung mit.
+
+Wird festgestellt, dass der Inhalt nicht gegen diese Richtlinien verstoesst, wird die Sperre aufgehoben. Andernfalls wird der Inhalt endgueltig geloescht.
+
+### Aussergerichtliche Streitbeilegung
+
+Unabhaengig vom internen Beschwerdeverfahren steht Nutzern der Weg zu einer zertifizierten aussergerichtlichen Streitbeilegungsstelle offen (Art. 21 Verordnung (EU) 2022/2065).
+
+---
+
+## Aenderungen
+
+{{COMPANY_NAME}} kann diese Richtlinien bei Bedarf anpassen und informiert ueber wesentliche Aenderungen. Die jeweils aktuelle Fassung ist unter {{GUIDELINES_URL}} abrufbar.
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | Stand: {{EFFECTIVE_DATE}}*
+$template$,
+    placeholders = '["PLATFORM_NAME", "EFFECTIVE_DATE", "REPORT_EMAIL", "COMPANY_NAME", "CONTACT_EMAIL", "GUIDELINES_URL"]'::jsonb,
+    version      = '3.0.0',
+    updated_at   = NOW()
+WHERE document_type = 'community_guidelines'
+  AND language      = 'de'
+  AND tenant_id     = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
diff --git a/backend-compliance/migrations/092_media_content_modules.sql b/backend-compliance/migrations/092_media_content_modules.sql
new file mode 100644
index 0000000..24d1d67
--- /dev/null
+++ b/backend-compliance/migrations/092_media_content_modules.sql
@@ -0,0 +1,207 @@
+-- Migration 092: Media & Content Module — 4 zusaetzliche Bloecke
+-- Fuer Nutzungsbedingungen und Community Guidelines
+-- Module: Journalistische Medien, KI-Kennzeichnung, Werbekennzeichnung, Pressekodex
+-- Rechtsgrundlagen: MStV §§ 18-22, AI Act Art. 50, § 5a UWG, Presserat
+
+-- Diese Migration erstellt ein separates Template 'media_content_policy'
+-- das als Zusatzmodul zu den Nutzungsbedingungen oder eigenstaendig verwendet werden kann
+
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT
+    gen_random_uuid(),
+    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'media_content_policy',
+    'Medien- und Inhalte-Richtlinie (MStV, AI Act, UWG)',
+    'Ergaenzende Richtlinie fuer Plattformen mit journalistischen, KI-generierten oder werblichen Inhalten. 4 unabhaengige Module: Journalistische Sorgfalt (MStV), KI-Kennzeichnung (AI Act Art. 50), Werbekennzeichnung (UWG/MStV), Pressekodex. Einzeln oder kombiniert aktivierbar.',
+    $template$# Medien- und Inhalte-Richtlinie fuer {{PLATFORM_NAME}}
+
+Stand: {{EFFECTIVE_DATE}}
+
+Diese Richtlinie ergaenzt die Nutzungsbedingungen und Gemeinschaftsrichtlinien von {{PLATFORM_NAME}} um spezifische Regelungen fuer journalistische, KI-generierte und werbliche Inhalte.
+
+---
+
+{{#IF IS_JOURNALISTIC_MEDIA}}
+
+## Modul 1: Journalistische Sorgfalt und redaktionelle Verantwortung
+
+### Anwendungsbereich
+
+Dieses Modul gilt fuer alle Inhalte auf {{PLATFORM_NAME}}, die journalistisch-redaktionell gestaltet sind und regelmaessig Nachrichten oder politische Informationen enthalten (§ 18 Abs. 1 Medienstaatsvertrag — MStV).
+
+### Journalistische Grundsaetze
+
+(1) Nutzer, die journalistische oder redaktionelle Inhalte auf {{PLATFORM_NAME}} veroeffentlichen, sind verpflichtet, die anerkannten journalistischen Grundsaetze zu beachten (§ 19 Abs. 1 MStV). Dazu gehoeren insbesondere:
+
+- **Sorgfaltspflicht:** Nachrichten sind vor ihrer Veroeffentlichung mit der nach den Umstaenden gebotenen Sorgfalt auf Inhalt, Herkunft und Wahrheit zu pruefen (§ 19 Abs. 1 MStV).
+- **Trennungsgebot:** Redaktionelle Inhalte sind von werblichen Inhalten klar zu trennen. Werbung ist als solche eindeutig zu kennzeichnen (§ 22 Abs. 1 MStV).
+- **Quellenangaben:** Nachrichten und Informationen sollen nach ihrer Herkunft gekennzeichnet werden. Eigene Informationen sind von uebernommenen Meldungen zu unterscheiden.
+- **Richtigstellungspflicht:** Erweist sich eine veroeffentlichte Nachricht als falsch, ist unverzueglich eine Richtigstellung zu veroeffentlichen.
+
+### Gegendarstellungsrecht
+
+(2) Jede natuerliche oder juristische Person kann von {{COMPANY_NAME}} die Veroeffentlichung einer Gegendarstellung verlangen, wenn in einem auf {{PLATFORM_NAME}} veroeffentlichten journalistischen Inhalt Tatsachenbehauptungen ueber sie aufgestellt wurden (§ 20 MStV).
+
+(3) Anfragen zur Gegendarstellung sind in Textform an {{EDITORIAL_EMAIL}} zu richten. {{COMPANY_NAME}} prueft die Anfrage unverzueglich und veroeffentlicht die Gegendarstellung ohne schuldhaftes Zoegern, sofern die gesetzlichen Voraussetzungen vorliegen.
+
+### Verantwortliche Person
+
+(4) Verantwortlich fuer den redaktionellen Inhalt im Sinne von § 18 Abs. 2 MStV:
+
+**{{EDITORIAL_RESPONSIBLE_NAME}}**
+{{EDITORIAL_RESPONSIBLE_ADDRESS}}
+
+{{/IF}}
+
+---
+
+{{#IF HAS_AI_GENERATED_CONTENT}}
+
+## Modul 2: KI-generierte Inhalte und Kennzeichnungspflicht
+
+### Rechtsgrundlage
+
+Dieses Modul setzt die Transparenzpflichten fuer KI-generierte Inhalte gemaess Art. 50 der Verordnung (EU) 2024/1689 (KI-Verordnung / AI Act) um.
+
+### Kennzeichnungspflicht
+
+(1) Inhalte auf {{PLATFORM_NAME}}, die ganz oder teilweise durch Systeme der kuenstlichen Intelligenz erzeugt oder wesentlich veraendert wurden, muessen als solche gekennzeichnet werden. Dies gilt fuer:
+
+- KI-generierte Texte, die ueber oeffentliche Angelegenheiten informieren
+- KI-generierte oder KI-manipulierte Bilder, Audio- und Videoinhalte (Deepfakes)
+- Synthetische Inhalte, die realen Personen, Gegenstaenden, Orten oder Ereignissen aehneln
+
+(2) Die Kennzeichnung muss fuer den durchschnittlichen Nutzer **klar erkennbar** sein und erfolgt durch:
+
+- Einen deutlich sichtbaren Hinweis am Inhalt (z.B. „KI-generiert", „Mit KI erstellt")
+- Maschinenlesbare Metadaten gemaess dem Stand der Technik (z.B. C2PA Content Credentials)
+
+{{#IF DETAILED_AI_LABELING}}
+(3) Im Einzelnen gelten folgende Kennzeichnungsregeln:
+
+| Inhaltstyp | Kennzeichnung erforderlich | Beispiel |
+|-----------|:---:|---|
+| Vollstaendig KI-generierter Text | Ja | ChatGPT-Artikel, KI-Zusammenfassung |
+| KI-unterstuetzter Text mit menschlicher Redaktion | Nein* | Menschlicher Autor nutzt KI als Schreibhilfe |
+| KI-generiertes Bild | Ja | DALL-E, Midjourney, Stable Diffusion |
+| KI-bearbeitetes Foto (wesentliche Aenderung) | Ja | Hintergrund ersetzt, Person hinzugefuegt |
+| KI-bearbeitetes Foto (Standard-Bearbeitung) | Nein | Filter, Farbkorrektur, Zuschnitt |
+| KI-generiertes Audio / Stimme | Ja | Text-to-Speech, Stimmklonung |
+| KI-generiertes Video / Deepfake | Ja | Gesichts-Swap, synthetische Person |
+| KI-generierte Untertitel / Transkripte | Nein | Assistenzfunktion |
+
+*Sofern eine natuerliche oder juristische Person die redaktionelle Verantwortung fuer den Inhalt traegt.
+{{/IF}}
+
+### Ausnahmen
+
+(4) Keine Kennzeichnungspflicht besteht fuer:
+
+- KI-Systeme, die reine Assistenzfunktionen ausueben (z.B. Rechtschreibpruefung, Autokorrektur)
+- Inhalte, bei denen ein Mensch die redaktionelle Verantwortung traegt und der KI-Einsatz den Inhalt nicht wesentlich veraendert
+- Offensichtlich kuenstlerische, satirische oder fiktionale Werke, sofern die KI-Erzeugung die Darbietung nicht beeintraechtigt
+
+### Verantwortlichkeit
+
+(5) Die Pflicht zur Kennzeichnung trifft den Nutzer, der den KI-generierten Inhalt auf {{PLATFORM_NAME}} veroeffentlicht. {{COMPANY_NAME}} stellt Werkzeuge zur Kennzeichnung bereit und kann nicht gekennzeichnete KI-Inhalte entfernen.
+
+(6) {{COMPANY_NAME}} setzt nach Moeglichkeit automatisierte Erkennungssysteme ein, um nicht gekennzeichnete KI-generierte Inhalte zu identifizieren.
+
+{{/IF}}
+
+---
+
+{{#IF HAS_SPONSORED_CONTENT}}
+
+## Modul 3: Werbekennzeichnung und bezahlte Inhalte
+
+### Rechtsgrundlage
+
+Dieses Modul setzt die Kennzeichnungspflichten fuer werbliche Inhalte gemaess § 5a Abs. 4 UWG (Gesetz gegen den unlauteren Wettbewerb) und § 22 MStV (Medienstaatsvertrag) um.
+
+### Grundsatz der Transparenz
+
+(1) Inhalte auf {{PLATFORM_NAME}}, die ganz oder teilweise werblichen Charakter haben, muessen als Werbung gekennzeichnet werden. Der kommerzielle Zweck muss fuer den durchschnittlichen Nutzer erkennbar sein.
+
+(2) Ein kommerzieller Zweck liegt insbesondere vor, wenn der Nutzer fuer die Veroeffentlichung eine Gegenleistung erhaelt oder erhalten hat. Als Gegenleistung gelten:
+
+- Geldzahlungen (Honorare, Provisionen, Affiliate-Verguetungen)
+- Sachleistungen (Produkte, Reisen, Einladungen, Rabatte)
+- Dienstleistungen (kostenlose Accounts, Premium-Zugaenge)
+- Sonstige geldwerte Vorteile
+
+### Kennzeichnungsregeln
+
+(3) Werbliche Inhalte sind wie folgt zu kennzeichnen:
+
+| Inhaltstyp | Kennzeichnung | Platzierung |
+|-----------|-------------|------------|
+| Bezahlte Kooperation | „Werbung" oder „Anzeige" | Am Anfang des Inhalts, deutlich sichtbar |
+| Affiliate-Links | „Affiliate-Link" oder „Werbelink" | Unmittelbar beim Link |
+| Kostenlose Produktueberlassung | „Werbung" | Am Anfang des Inhalts |
+| Eigenwerbung | „Eigenwerbung" (empfohlen) | Am Anfang des Inhalts |
+| Redaktionell unabhaengiger Test | Keine Kennzeichnung | — |
+
+(4) Die Kennzeichnung muss **vor** dem werblichen Inhalt stehen, nicht am Ende. Hashtags wie „#ad" oder „#sponsored" am Ende eines Beitrags genuegen nicht.
+
+### Trennung redaktioneller und werblicher Inhalte
+
+(5) Redaktionelle Inhalte und Werbung sind klar voneinander zu trennen (§ 22 Abs. 1 MStV). Eine Vermischung, die den Eindruck redaktioneller Unabhaengigkeit erweckt, ist unzulaessig.
+
+### Verantwortlichkeit
+
+(6) Die Pflicht zur Werbekennzeichnung trifft den Nutzer, der den werblichen Inhalt veroeffentlicht. {{COMPANY_NAME}} kann nicht gekennzeichnete werbliche Inhalte nachtraeglich kennzeichnen oder entfernen.
+
+{{/IF}}
+
+---
+
+{{#IF HAS_PRESS_COUNCIL}}
+
+## Modul 4: Pressekodex-Selbstverpflichtung
+
+### Selbstverpflichtung
+
+(1) {{COMPANY_NAME}} hat sich dem Deutschen Presserat angeschlossen und verpflichtet sich zur Einhaltung der Publizistischen Grundsaetze (Pressekodex) des Deutschen Presserats.
+
+(2) Der Pressekodex ist abrufbar unter: [https://www.presserat.de/pressekodex.html]
+
+### Wirkungen der Selbstverpflichtung
+
+(3) Durch die Anerkennung des Pressekodex unterliegen die journalistischen Inhalte auf {{PLATFORM_NAME}}:
+
+- Der Selbstregulierung durch den Deutschen Presserat (statt Regulierung durch die Landesmedienanstalten)
+- Dem datenschutzrechtlichen Medienprivileg (§ 12 MStV), das Erleichterungen bei der Verarbeitung personenbezogener Daten zu journalistischen Zwecken vorsieht
+
+### Beschwerden
+
+(4) Beschwerden ueber journalistische Inhalte auf {{PLATFORM_NAME}} koennen direkt beim Deutschen Presserat eingereicht werden:
+
+Deutscher Presserat
+Fritschestraße 27/28
+10585 Berlin
+https://www.presserat.de/beschwerde-einreichen.html
+
+(5) Unabhaengig davon koennen Beschwerden auch ueber das interne Beschwerdeverfahren (siehe Gemeinschaftsrichtlinien) eingereicht werden.
+
+{{/IF}}
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | Stand: {{EFFECTIVE_DATE}}*
+$template$,
+    '["PLATFORM_NAME","EFFECTIVE_DATE","COMPANY_NAME","EDITORIAL_EMAIL","EDITORIAL_RESPONSIBLE_NAME","EDITORIAL_RESPONSIBLE_ADDRESS"]'::jsonb,
+    'de', 'DE',
+    'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published',
+    NOW(), NOW()
+WHERE NOT EXISTS (
+    SELECT 1 FROM compliance_legal_templates
+    WHERE document_type = 'media_content_policy'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+);
diff --git a/backend-compliance/migrations/093_privacy_policy_v2.sql b/backend-compliance/migrations/093_privacy_policy_v2.sql
new file mode 100644
index 0000000..484055f
--- /dev/null
+++ b/backend-compliance/migrations/093_privacy_policy_v2.sql
@@ -0,0 +1,322 @@
+-- Migration 093: Datenschutzinformation (DSI) v2
+-- Ueberarbeitet basierend auf Absatz-fuer-Absatz Review (2026-04-30)
+-- Neue Pflichtabschnitte: Datenkategorien-Tabelle, Bereitstellungspflicht (Art. 13 Abs. 2 lit. e),
+--   Speicherdauer-Tabelle, Empfaenger (AV + Verantwortliche), Widerspruchsrecht hervorgehoben
+
+UPDATE compliance_legal_templates
+SET
+    content = $template$# {{DSI_TITLE}}
+
+**Stand:** {{VERSION_DATE}}
+**Gueltig fuer:** {{SERVICE_SCOPE_DESCRIPTION}}
+
+---
+
+## 1. Verantwortlicher
+
+Verantwortlich fuer die in dieser {{DSI_TITLE}} beschriebene Verarbeitung personenbezogener Daten:
+
+**{{COMPANY_LEGAL_NAME}} {{COMPANY_LEGAL_FORM}}**
+{{COMPANY_ADDRESS_LINE}}
+{{COMPANY_POSTAL_CODE}} {{COMPANY_CITY}}, {{COMPANY_COUNTRY}}
+{{#IF REPRESENTED_BY_NAME}}Gesetzlich vertreten durch: {{REPRESENTED_BY_NAME}}{{/IF}}
+
+E-Mail: {{CONTACT_EMAIL}}
+{{#IF CONTACT_PHONE}}Telefon: {{CONTACT_PHONE}}{{/IF}}
+
+---
+
+## 2. Datenschutzbeauftragter
+
+{{#IF HAS_DPO}}
+{{#IF DPO_NAME}}Unser Datenschutzbeauftragter: **{{DPO_NAME}}**{{/IF}}
+E-Mail: {{DPO_EMAIL}}
+{{/IF}}
+{{#IF_NOT HAS_DPO}}
+Fragen zum Datenschutz richten Sie bitte an: {{CONTACT_EMAIL}}
+{{/IF_NOT}}
+
+---
+
+## 3. Grundsaetze der Verarbeitung
+
+Wir verarbeiten personenbezogene Daten ausschliesslich im Einklang mit der DSGVO. Wir beachten Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integritaet/Vertraulichkeit und Transparenz.
+
+---
+
+## 4. Welche Daten verarbeiten wir?
+
+Die folgende Uebersicht zeigt die Kategorien personenbezogener Daten, die wir im Zusammenhang mit {{SERVICE_SCOPE_DESCRIPTION}} verarbeiten:
+
+| Kategorie | Beispiele | Details |
+|-----------|----------|---------|
+| Protokolldaten | IP-Adresse, Geraetetyp, Betriebssystem, Zeitstempel | § 5 |
+| Accountdaten | E-Mail, Nutzername, Passwort (gehasht), Profilbild | § 5 |
+| Identifikatoren | Nutzer-ID, Geraete-ID, Session-ID | § 5 |
+{{#IF HAS_UGC}} | Inhaltsdaten | Veroeffentlichte Texte, Bilder, Videos, Kommentare, Likes | § 5 | {{/IF}}
+{{#IF HAS_MESSAGING}} | Kommunikationsdaten | Nachrichten zwischen Nutzern {{#IF HAS_E2E_ENCRYPTION}}(Ende-zu-Ende-verschluesselt — Anbieter kann Inhalt nicht einsehen){{/IF}} | § 5 | {{/IF}}
+{{#IF HAS_LOCATION}} | Standortdaten | Geographischer Standort bei Nutzung, Aufnahmeort von Inhalten | § 5 | {{/IF}}
+| Nutzungsdaten | Funktionsnutzung, Verweildauer, Abrufe, Absturzberichte | § 5 |
+{{#IF HAS_PAYMENTS}} | Zahlungs-/Stammdaten | Name, Anschrift, Zahlungsmethode | § 5 | {{/IF}}
+{{#IF HAS_CRYPTO_PAYMENTS}} | Transaktionsdaten | Wallet-Adresse, Guthaben, Transaktionshistorie | § 5 | {{/IF}}
+{{#IF HAS_IDENTITY_VERIFICATION}} | Identifizierungsdaten | Name, Geburtsdatum, Ausweisdokument, Gesichtsbild | § 5 | {{/IF}}
+| Moderationsdaten | Beschwerden, Verstoesse, Sperrinformationen | § 5 |
+| Korrespondenzdaten | Inhalt der Kommunikation mit dem Anbieter | § 5 |
+
+---
+
+## 5. Zwecke und Rechtsgrundlagen der Verarbeitung
+
+### 5.1 Bereitstellung der Plattform und Kernfunktionen
+
+Fuer die Bereitstellung von {{PLATFORM_NAME}} und der angebotenen Funktionen verarbeiten wir Protokolldaten, Accountdaten, Identifikatoren und Einstellungsdaten.
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung).
+
+### 5.2 Hosting und Infrastruktur
+
+{{PLATFORM_NAME}} wird gehostet bei: **{{HOSTING_PROVIDER_NAME}}**, {{HOSTING_PROVIDER_COUNTRY}}. Mit dem Hosting-Provider besteht ein Vertrag zur Auftragsverarbeitung ({{HOSTING_PROVIDER_CONTRACT_TYPE}}).
+
+{{#IF HAS_UGC}}
+### 5.3 Veroeffentlichung und Moderation von Nutzer-Inhalten
+
+Fuer die Bereitstellung der Inhaltsfunktionen und die Moderation verarbeiten wir Inhaltsdaten, Moderationsdaten und ggf. Standortdaten.
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung) fuer die Bereitstellung; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) fuer die Moderation und Vermeidung rechtswidriger Nutzung.
+{{/IF}}
+
+### 5.4 IT-Sicherheit und Missbrauchserkennung
+
+Fuer die Gewaehrleistung der IT-Sicherheit verarbeiten wir Protokolldaten, Accountdaten und Identifikatoren.
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der IT-Infrastruktur).
+
+{{#IF HAS_ANALYTICS}}
+### 5.5 Nutzungsanalyse und Verbesserung
+
+Fuer die Verbesserung von {{PLATFORM_NAME}} verarbeiten wir — sofern Sie einwilligen — Nutzungsdaten und Identifikatoren.
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
+**Details:** {{ANALYTICS_TOOLS_DETAIL}}
+{{/IF}}
+
+{{#IF HAS_PAYMENTS}}
+### 5.6 Zahlungsabwicklung
+
+Fuer kostenpflichtige Leistungen verarbeiten wir Stamm- und Transaktionsdaten.
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) fuer steuer- und handelsrechtliche Aufbewahrung.
+
+**Hinweis:** Zahlungsdienstleister (z.B. Stripe, PayPal) verarbeiten Ihre Zahlungsdaten als eigenstaendige Verantwortliche — nicht als unsere Auftragsverarbeiter. Deren Datenschutzinformationen finden Sie in der Empfaenger-Uebersicht (§ 7).
+{{PAYMENT_PROVIDER_DETAIL}}
+{{/IF}}
+
+{{#IF HAS_ONLINE_SHOP}}
+### 5.7 Bestell- und Lieferfunktionen
+
+Fuer die Bearbeitung von Bestellungen, die Berechnung von Versandkosten und Lieferzeiten sowie die Lieferung verarbeiten wir Stamm- und Protokolldaten.
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) fuer steuer- und handelsrechtliche Anforderungen.
+{{/IF}}
+
+{{#IF HAS_SUBSCRIPTION}}
+### 5.8 Abo-Verwaltung und Kuendigung
+
+Fuer die Verwaltung und Kuendigung von Abonnements verarbeiten wir Protokoll- und Stammdaten.
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht, insb. § 312k BGB).
+{{/IF}}
+
+{{#IF HAS_IDENTITY_VERIFICATION}}
+### 5.9 Identitaetspruefung
+
+Fuer die Verifizierung Ihrer Identitaet verarbeiten wir — sofern Sie einwilligen — Identifizierungsdaten.
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
+{{/IF}}
+
+### 5.8 Kontaktanfragen und Support
+
+Bei Kontaktaufnahme verarbeiten wir Ihre Korrespondenzdaten.
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b oder f DSGVO.
+
+### 5.9 Gesetzliche Aufbewahrungspflichten und Rechtsverteidigung
+
+Fuer die Erfuellung gesetzlicher Aufbewahrungspflichten und zur Geltendmachung, Ausuebung oder Verteidigung von Rechtsanspruechen verarbeiten wir die jeweils erforderlichen Datenkategorien.
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) fuer EU-/EWR-Recht; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) fuer die Erfuellung rechtlicher Pflichten in Drittstaaten sowie fuer die Rechtsverteidigung.
+
+### 5.10 Kooperation mit Behoerden
+
+Soweit wir gesetzlich zur Herausgabe von Daten an Behoerden oder Gerichte verpflichtet sind, verarbeiten wir die jeweils erforderlichen Datenkategorien.
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht).
+
+{{#IF HAS_NEWSLETTER}}
+### 5.11 Newsletter
+
+Fuer den Newsletter-Versand verarbeiten wir Ihre E-Mail-Adresse (Double-Opt-In).
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Widerruf: Abmeldelink oder {{CONTACT_EMAIL}}.
+{{NEWSLETTER_PROVIDER_DETAIL}}
+{{/IF}}
+
+{{#IF HAS_MARKETING}}
+### 5.12 Marketing und Tracking
+
+Wir setzen — sofern Sie einwilligen — Marketing-Tools ein.
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
+{{MARKETING_TOOLS_DETAIL}}
+{{/IF}}
+
+---
+
+## 6. Sind Sie zur Bereitstellung von Daten verpflichtet?
+
+Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Bestimmte Daten sind jedoch fuer die Nutzung von {{PLATFORM_NAME}} technisch erforderlich:
+
+| Daten | Erforderlichkeit | Folge bei Nichtbereitstellung |
+|-------|:---:|---|
+| Protokolldaten, Accountdaten, Identifikatoren | Fuer Grundnutzung erforderlich | Nutzung nicht moeglich |
+{{#IF HAS_UGC}} | Inhaltsdaten | Fuer Veroeffentlichung | Inhalte-Funktionen nicht nutzbar | {{/IF}}
+{{#IF HAS_LOCATION}} | Standortdaten | Fuer standortbezogene Funktionen | Eingeschraenkte Funktionalitaet | {{/IF}}
+{{#IF HAS_PAYMENTS}} | Zahlungs-/Transaktionsdaten | Fuer Zahlungsfunktionen | Zahlungsfunktionen nicht nutzbar | {{/IF}}
+{{#IF HAS_IDENTITY_VERIFICATION}} | Identifizierungsdaten | Fuer verifizierte Funktionen | Verifizierte Funktionen nicht nutzbar | {{/IF}}
+| Nutzungsdaten, Korrespondenzdaten | Optional | Keine Einschraenkung |
+
+---
+
+## 7. Empfaenger personenbezogener Daten
+
+### 7.1 Auftragsverarbeiter
+
+Wir setzen Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten. Mit allen Auftragsverarbeitern bestehen Vertraege gemaess Art. 28 DSGVO.
+
+{{PROCESSOR_LIST}}
+
+{{#IF HAS_PARENT_COMPANY}}
+### 7.1a Verbundene Unternehmen (Konzernstruktur)
+
+{{COMPANY_LEGAL_NAME}} uebermittelt personenbezogene Daten an folgende verbundene Unternehmen, die als Auftragsverarbeiter taetig sind:
+
+{{AFFILIATED_COMPANIES_LIST}}
+
+Diese verbundenen Unternehmen uebermitteln im Rahmen ihrer Leistungserbringung ggf. Daten an weitere Auftragsverarbeiter:
+
+{{AFFILIATED_SUB_PROCESSORS_LIST}}
+{{/IF}}
+
+### 7.2 Sonstige Empfaenger (eigene Verantwortliche)
+
+In bestimmten Faellen uebermitteln wir personenbezogene Daten an Empfaenger, die diese zu eigenen Zwecken verarbeiten:
+
+{{THIRD_PARTY_RECIPIENTS}}
+
+**Hinweis:** Zahlungsdienstleister, Banken und Identifizierungsdienste verarbeiten Ihre Daten als eigenstaendige Verantwortliche aufgrund eigener gesetzlicher Pflichten (KYC, AML, PSD2). Weitere Informationen entnehmen Sie deren Datenschutzinformationen.
+
+Darueber hinaus uebermitteln wir Daten an Behoerden und Gerichte, soweit wir gesetzlich hierzu verpflichtet sind, sowie an andere Nutzer und Dritte zur Unterstuetzung bei der Geltendmachung ihrer Rechte.
+
+---
+
+## 8. Drittlanduebermittlungen
+
+{{#IF HAS_THIRD_COUNTRY}}
+Uebermittlungen ausserhalb der EU/des EWR koennen bei einzelnen Dienstleistern nicht ausgeschlossen werden. Wir stellen ein angemessenes Schutzniveau durch {{TRANSFER_GUARDS}} sicher.
+{{/IF}}
+{{#IF_NOT HAS_THIRD_COUNTRY}}
+Uebermittlungen in Drittlaender ausserhalb der EU/des EWR finden nicht statt.
+{{/IF_NOT}}
+
+---
+
+## 9. Speicherdauer
+
+| Datenkategorie | Speicherdauer |
+|---------------|--------------|
+| Protokolldaten, Session-Identifikatoren | Dauer der Nutzungssession |
+| Accountdaten, Einstellungen | Bis 1 Woche nach Accountloeschung |
+{{#IF HAS_UGC}} | Inhaltsdaten | Bis zur Entfernung durch Nutzer/Moderation, spaetestens 1 Woche nach Accountloeschung | {{/IF}}
+{{#IF HAS_LOCATION}} | Standortdaten (Echtzeit) | Dauer der Nutzungssession | {{/IF}}
+| Nutzungsdaten | 4 Wochen nach Session-Ende |
+{{#IF HAS_PAYMENTS}} | Stamm-, Transaktions-, Identifizierungsdaten | 6 bzw. 10 Jahre (§ 147 AO, § 257 HGB) | {{/IF}}
+| Moderationsdaten | 3 Jahre nach Abschluss des Vorgangs |
+| Korrespondenzdaten | 3 Jahre (allgemein), 6 Jahre (Handelsbriefe) |
+
+**Ausnahme:** Bei sicherheits- oder rechtlich relevanten Ereignissen speichern wir die betroffenen Daten bis zur vollstaendigen Aufklaerung. Bei Rechtsstreitigkeiten bis zu deren rechtskraeftiger Beendigung.
+
+---
+
+## 10. Cookies und Einwilligungsmanagement
+
+Details zu Cookies, Speicherdauern und eingesetzten Tools: {{COOKIE_POLICY_URL}}.
+Einwilligung verwalten/widerrufen: {{CONSENT_WITHDRAWAL_PATH}}.
+
+---
+
+## 11. Sicherheit
+
+Wir setzen technische und organisatorische Massnahmen zum Schutz Ihrer Daten ein: {{SECURITY_MEASURES_SUMMARY}}.
+
+---
+
+## 12. Ihre Rechte
+
+Sie haben folgende Rechte bezueglich Ihrer personenbezogenen Daten:
+
+{{#IF DETAILED_RIGHTS}}
+- **Auskunft (Art. 15 DSGVO):** Sie haben das Recht zu erfahren, welche Daten wir verarbeiten, einschliesslich Zweck, Rechtsgrundlage und Empfaenger. Sie koennen eine Kopie Ihrer Daten anfordern.
+- **Berichtigung (Art. 16 DSGVO):** Sie koennen die Berichtigung unrichtiger oder die Vervollstaendigung unvollstaendiger Daten verlangen.
+- **Loeschung (Art. 17 DSGVO):** Sie koennen die Loeschung Ihrer Daten verlangen, wenn diese nicht mehr erforderlich sind oder unrechtmaessig verarbeitet werden.
+- **Einschraenkung (Art. 18 DSGVO):** Sie koennen die Einschraenkung der Verarbeitung verlangen, z.B. wenn Sie die Richtigkeit bestreiten.
+- **Datenuebertragbarkeit (Art. 20 DSGVO):** Sie haben das Recht, Ihre Daten in einem strukturierten, gaengigen und maschinenlesbaren Format zu erhalten.
+{{/IF}}
+{{#IF_NOT DETAILED_RIGHTS}}
+- Auskunft (Art. 15 DSGVO)
+- Berichtigung (Art. 16 DSGVO)
+- Loeschung (Art. 17 DSGVO)
+- Einschraenkung der Verarbeitung (Art. 18 DSGVO)
+- Datenuebertragbarkeit (Art. 20 DSGVO)
+{{/IF_NOT}}
+
+Zur Ausuebung Ihrer Rechte: {{DATA_SUBJECT_REQUEST_CHANNEL}}
+
+### Widerrufsrecht
+
+Sie haben das Recht, eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmaessigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberuehrt.
+
+### Widerspruchsrecht
+
+**Sie haben das Recht, aus Gruenden, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) Widerspruch einzulegen (Art. 21 Abs. 1 DSGVO). Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, es liegen zwingende schutzwuerdige Gruende vor.**
+
+{{#IF HAS_MARKETING}}
+**Gegen die Verarbeitung Ihrer Daten fuer Zwecke der Direktwerbung koennen Sie jederzeit ohne Angabe von Gruenden Widerspruch einlegen.**
+{{/IF}}
+
+---
+
+## 13. Beschwerderecht
+
+Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehoerde zu beschweren (Art. 77 DSGVO):
+
+**{{SUPERVISORY_AUTHORITY_NAME}}**
+{{SUPERVISORY_AUTHORITY_ADDRESS}}
+
+---
+
+## 14. Aenderungen
+
+Wir koennen diese {{DSI_TITLE}} anpassen. Die aktuelle Version finden Sie unter {{WEBSITE_URL}}.
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
+$template$,
+    title = 'Datenschutzinformation / Datenschutzerklaerung (DSGVO, modular)',
+    description = 'Vollstaendige Datenschutzinformation nach DSGVO Art. 13/14 mit modularen Abschnitten. Inkl. Datenkategorien-Tabelle, Zweck-Rechtsgrundlage-Zuordnung, Bereitstellungspflicht (Art. 13 Abs. 2 lit. e), Speicherdauer-Tabelle, Empfaenger (AV + Verantwortliche mit Stripe-Hinweis), hervorgehobenes Widerspruchsrecht (Art. 21 Abs. 4). DSI/DSE Titel waehlbar.',
+    version = '2.0.0',
+    updated_at = NOW()
+WHERE document_type = 'privacy_policy'
+  AND language = 'de'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
diff --git a/backend-compliance/migrations/094_terms_of_use.sql b/backend-compliance/migrations/094_terms_of_use.sql
new file mode 100644
index 0000000..2c3a9e5
--- /dev/null
+++ b/backend-compliance/migrations/094_terms_of_use.sql
@@ -0,0 +1,263 @@
+-- Migration 094: Nutzungsbedingungen (Terms of Use) — Neues Template
+-- Separates Dokument von AGB (B2B) — richtet sich an Endnutzer
+-- Module: Registrierung, Identitaetspruefung, Zugangsdaten, UGC, Tipping,
+--   Wallet, Content Auth, CC-Lizenzen, TDM-Opt-out, Sperrung, Kuendigung
+
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT
+    gen_random_uuid(),
+    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'terms_of_use',
+    'Nutzungsbedingungen (Endnutzer, modular)',
+    'Nutzungsbedingungen fuer Endnutzer von Apps und Plattformen. 10 Paragraphen mit modularen Bloecken fuer UGC, Tipping, Wallet, Content Authenticity, Creative Commons, KI-Kennzeichnung, Sperrung/Kuendigung. Ergaenzt AGB (B2B) und Community Guidelines.',
+    $template$# Nutzungsbedingungen fuer {{PLATFORM_NAME}}
+
+**{{COMPANY_LEGAL_NAME}}**
+Stand: {{VERSION_DATE}}
+
+---
+
+## § 1 Anwendungsbereich
+
+(1) Diese Nutzungsbedingungen regeln die Nutzung von {{PLATFORM_NAME}} (die „Plattform"). Die Plattform wird von {{COMPANY_LEGAL_NAME}}, {{COMPANY_ADDRESS_FULL}} („Anbieter") betrieben.
+
+(2) Mit der Registrierung oder Nutzung der Plattform erklaert sich der Nutzer mit diesen Nutzungsbedingungen einverstanden.
+
+(3) Diese Nutzungsbedingungen gelten ergaenzend zu den Allgemeinen Geschaeftsbedingungen und den Gemeinschaftsrichtlinien des Anbieters.
+
+---
+
+## § 2 Registrierung und Nutzerkonto
+
+(1) Die Nutzung von {{PLATFORM_NAME}} setzt eine Registrierung voraus. Mit der Bestaetigung der Registrierung durch den Anbieter kommt ein Nutzungsvertrag nach Massgabe dieser Nutzungsbedingungen und der Gemeinschaftsrichtlinien zustande. Ein Anspruch auf Bestaetigung der Registrierung besteht nicht.
+
+(2) Natuerliche Personen muessen zum Zeitpunkt der Registrierung mindestens {{MIN_AGE}} Jahre alt und voll geschaeftsfaehig sein. {{#IF ALLOWS_MINORS}} Minderjaehrige ab {{MIN_AGE}} Jahren benoetigen die Einwilligung eines Erziehungsberechtigten. {{/IF}} Die Registrierung einer juristischen Person darf nur durch eine vertretungsberechtigte Person erfolgen.
+
+(3) Jeder Nutzer darf nur ein Nutzerkonto fuehren. Das Nutzerkonto ist nicht uebertragbar.
+
+(4) Die im Registrierungsprozess abgefragten Pflichtangaben sind vollstaendig und korrekt anzugeben und bei Aenderungen unverzueglich zu aktualisieren.
+
+{{#IF HAS_IDENTITY_VERIFICATION}}
+
+### Identitaetspruefung
+
+(5) Bestimmte Funktionen von {{PLATFORM_NAME}} ({{VERIFICATION_REQUIRED_FEATURES}}) setzen eine erfolgreiche Identitaetspruefung voraus. Der Anbieter schaltet diese Funktionen frei, sobald die Identitaet des Nutzers ueber das angebotene Identifizierungsverfahren verifiziert wurde.
+
+(6) Informationen zur Verarbeitung personenbezogener Daten im Rahmen der Identitaetspruefung sind in der Datenschutzerklaerung unter {{PRIVACY_POLICY_URL}} abrufbar.
+{{/IF}}
+
+---
+
+## § 3 Zugangsdaten und Kontosicherheit
+
+(1) Der Nutzer ist verpflichtet, seine Zugangsdaten geheim zu halten und den Zugang zu seinem Nutzerkonto vor unbefugter Nutzung durch Dritte zu schuetzen.
+
+(2) Hat der Nutzer den begruendeten Verdacht, dass Dritte von seinen Zugangsdaten Kenntnis erlangt haben, ist er verpflichtet, den Anbieter unverzueglich zu informieren und sein Passwort zu aendern.
+
+(3) Der Nutzer ist fuer Aktivitaeten verantwortlich, die unter seinen Zugangsdaten ausgefuehrt werden, sofern er die Kompromittierung nicht unverzueglich gemeldet und seine Sorgfaltspflichten erfuellt hat.
+
+{{#IF HAS_MFA}}
+(4) {{#IF MFA_REQUIRED}} Die Nutzung der Zwei-Faktor-Authentifizierung ist fuer alle Nutzer verpflichtend. {{/IF}} {{#IF_NOT MFA_REQUIRED}} Der Anbieter empfiehlt die Aktivierung der Zwei-Faktor-Authentifizierung. {{/IF_NOT}}
+{{/IF}}
+
+---
+
+## § 4 Funktionen und Inhalte
+
+(1) Die verfuegbaren Funktionen von {{PLATFORM_NAME}} ergeben sich aus der jeweils aktuellen Leistungsbeschreibung. Der Anbieter kann Funktionen weiterentwickeln, sofern Kernfunktionen im Wesentlichen erhalten bleiben.
+
+(2) Der Anbieter prueft die vom Nutzer eingegebenen Daten nicht auf inhaltliche Richtigkeit oder rechtliche Zulaessigkeit. Die inhaltliche Verantwortung liegt beim Nutzer.
+
+{{#IF HAS_UGC}}
+(3) Nutzer koennen eigene Inhalte (Text, Bilder, Videos, Audio) auf {{PLATFORM_NAME}} veroeffentlichen. Bei der Veroeffentlichung gelten die Gemeinschaftsrichtlinien. Der Anbieter kann Inhalte ablehnen oder entfernen, die gegen die Nutzungsbedingungen, die Gemeinschaftsrichtlinien oder geltendes Recht verstossen.
+{{/IF}}
+
+{{#IF HAS_MESSAGING}}
+(4) Nutzer koennen veroeffentlichte Inhalte kommentieren und untereinander Nachrichten austauschen. Fuer Kommentare und Nachrichten gelten die Gemeinschaftsrichtlinien.
+{{/IF}}
+
+{{#IF HAS_TIPPING}}
+### Anerkennungsfunktion (Tipping)
+
+(5) Nutzer koennen anderen Nutzern fuer veroeffentlichte Inhalte eine Anerkennung aussprechen. Mit der Anerkennung kann optional eine Zuwendung in {{SUPPORTED_CURRENCIES}} verbunden werden.
+
+(6) Fuer Zuwendungen wird eine Nutzungsgebuehr in Hoehe von {{TIPPING_FEE_PERCENT}} % erhoben, die automatisch von der Zuwendung abgezogen wird.
+
+(7) Die Anerkennungsfunktion darf ausschliesslich fuer freiwillige Zuwendungen genutzt werden. Die Abwicklung von Geschaeften ausserhalb von {{PLATFORM_NAME}} ist ueber diese Funktion nicht gestattet.
+{{/IF}}
+
+{{#IF HAS_CONTENT_AUTHENTICITY}}
+### Authentizitaetspruefung von Inhalten
+
+(8) {{PLATFORM_NAME}} bietet ein Verfahren zur Verifizierung der Urheberschaft von Inhalten an. Bei erfolgreicher Verifizierung werden den Metadaten des Inhalts automatisch kryptographische Herkunftsinformationen hinzugefuegt.
+{{/IF}}
+
+---
+
+{{#IF HAS_CRYPTO_PAYMENTS}}
+## § 4a Transaktionen mit Kryptowerten
+
+(1) Transaktionen auf {{PLATFORM_NAME}} koennen in {{SUPPORTED_CURRENCIES}} abgewickelt werden. Kryptowerte sind digitale Darstellungen eines Wertes, die nicht von einer Zentralbank emittiert oder garantiert werden und nicht den gesetzlichen Status einer Waehrung besitzen.
+
+(2) **Risikohinweis:** Der Wert von Kryptowerten unterliegt Schwankungen. Es ist nicht gewaehrleistet, dass Kryptowerte von Dritten als Zahlungsmittel akzeptiert oder in gesetzliche Waehrungen getauscht werden koennen.
+
+(3) Betraege werden in {{SUPPORTED_CURRENCIES}} sowie informationshalber in Euro angezeigt. Die Umrechnung erfolgt auf Basis des zuletzt festgestellten Wechselkurses.
+
+(4) {{COMPANY_NAME}} ist nicht als Zahlungsdienstleister oder Kryptowerte-Dienstleister taetig, sondern stellt lediglich die technische Infrastruktur fuer Transaktionen zwischen Nutzern bereit.
+
+{{#IF HAS_INTEGRATED_WALLET}}
+### Wallet
+
+(5) Fuer die Abwicklung von Transaktionen stellt {{PLATFORM_NAME}} dem Nutzer ein integriertes Wallet zur Verfuegung. Das Wallet wird lokal auf dem Endgeraet des Nutzers gespeichert. {{COMPANY_NAME}} hat keinen Zugriff auf das Wallet oder die darin gespeicherten Guthaben.
+
+(6) Der Nutzer sichert sein Wallet durch einen geheimen Schluessel (Seed/Recovery-Phrase), den ausschliesslich der Nutzer kennt. {{COMPANY_NAME}} kann diesen weder einsehen noch wiederherstellen.
+
+(7) **Wichtiger Hinweis:** Bei Verlust des Endgeraets, Deinstallation der Software oder Vergessen des Schluessels kann {{COMPANY_NAME}} das Wallet und das darin gespeicherte Guthaben nicht wiederherstellen. Der Nutzer traegt die alleinige Verantwortung fuer die sichere Aufbewahrung seines Schluessels.
+{{/IF}}
+{{/IF}}
+
+---
+
+## § 5 Nutzungsrechte und Urheberrecht
+
+### Nutzungsrecht des Nutzers
+
+(1) Der Anbieter raeumt dem Nutzer ein einfaches, nicht uebertragbares, auf die Vertragsdauer beschraenktes Nutzungsrecht an {{PLATFORM_NAME}} im Rahmen der jeweils aktuellen Leistungsbeschreibung ein. Zur Nutzung gehoert das Laden in den Arbeitsspeicher und die Installation auf den vom Nutzer eingesetzten Endgeraeten. Gesetzliche Nutzungsrechte (insb. §§ 69d, 69e UrhG) bleiben unberuehrt.
+
+{{#IF HAS_END_USERS}}
+(2) Nutzer im Sinne dieser Nutzungsbedingungen gelten nicht als Dritte. Eine Ueberlassung an sonstige Dritte, Unterlizenzierung oder oeffentliche Zugaenglichmachung ist untersagt.
+{{/IF}}
+
+(3) Reverse Engineering, Dekompilierung und Umgehung von Sicherheitsmechanismen sind untersagt, soweit gesetzlich zulaessig.
+
+{{#IF HAS_UGC}}
+### Nutzungsrecht des Anbieters an Nutzer-Inhalten
+
+(4) An Inhalten, die der Nutzer auf {{PLATFORM_NAME}} veroeffentlicht, raeumt der Nutzer dem Anbieter ein einfaches, nicht uebertragbares Nutzungsrecht ein, das sachlich auf den Betrieb von {{PLATFORM_NAME}} und zeitlich auf die vom Nutzer bestimmte Veroeffentlichungsdauer beschraenkt ist.
+{{/IF}}
+
+{{#IF HAS_CONTENT_LICENSING}}
+### Lizenzierung von Nutzer-Inhalten (Creative Commons)
+
+(5) Der Nutzer kann bei der Veroeffentlichung eines Inhalts festlegen, unter welcher Lizenz andere Nutzer diesen Inhalt verwenden duerfen. Ohne ausdrueckliche Lizenzwahl gilt: Alle Rechte vorbehalten.
+
+(6) Verfuegbare Lizenzen: CC0, CC BY, CC BY-SA, CC BY-NC, CC BY-NC-SA, CC BY-ND, CC BY-NC-ND (jeweils Version 4.0 International). Der vollstaendige Lizenztext ist unter [https://creativecommons.org/licenses/] abrufbar.
+
+(7) Die Lizenzwahl ist verbindlich und kann fuer bereits veroeffentlichte Inhalte nicht nachtraeglich eingeschraenkt werden. Der Nutzer kann einen Inhalt jederzeit entfernen; bereits erteilte Lizenzen bleiben hiervon unberuehrt.
+
+(8) Der Nutzer versichert, dass er ueber die erforderlichen Rechte verfuegt, um den Inhalt unter der gewaehlten Lizenz zu veroeffentlichen.
+{{/IF}}
+
+{{#IF HAS_TDM_OPTOUT}}
+### Text- und Data-Mining
+
+(9) Die Vervielfaeltigung und Entnahme von Inhalten auf {{PLATFORM_NAME}} zum Zwecke des Text- und Data-Mining (Art. 4 Richtlinie (EU) 2019/790) ist untersagt. {{#IF HAS_CONTENT_LICENSING}} Hiervon ausgenommen sind Inhalte, deren Lizenzbestimmungen dies ausdruecklich gestatten. {{/IF}}
+{{/IF}}
+
+### Rechte Dritter und Freistellung
+
+(10) Der Nutzer ist verpflichtet, bei der Veroeffentlichung von Inhalten alle gesetzlichen Vorschriften und Rechte Dritter zu beachten.
+
+(11) Macht ein Dritter gegenueber dem Anbieter Ansprueche wegen einer Rechtsverletzung durch Nutzer-Inhalte geltend, stellt der Nutzer den Anbieter von diesen Anspruechen einschliesslich der Kosten einer angemessenen Rechtsverteidigung frei, sofern der Nutzer die Rechtsverletzung zu vertreten hat.
+
+{{#IF HAS_COPYRIGHT_TAKEDOWN}}
+(12) Rechteinhaber koennen die Entfernung rechtsverletzender Inhalte unter {{REPORT_EMAIL}} beantragen. Der Anbieter prueft die Berechtigung und informiert den betroffenen Nutzer, der innerhalb von 14 Tagen eine Gegendarstellung einreichen kann.
+{{/IF}}
+
+---
+
+## § 6 Sperrung und Einschraenkung des Zugangs
+
+(1) Der Anbieter kann den Zugang des Nutzers voruebergehend ganz oder teilweise einschraenken oder sperren, wenn der begruendete Verdacht besteht, dass der Nutzer gegen diese Nutzungsbedingungen, die Gemeinschaftsrichtlinien oder geltendes Recht verstoesst und ein unmittelbares Handeln zur Schadensabwehr erforderlich ist.
+
+(2) Der Anbieter kann den Zugang ferner voruebergehend sperren, wenn Tatsachen die Annahme rechtfertigen, dass Dritte den Zugang unbefugt nutzen.
+
+(3) Die Einschraenkung oder Sperrung wird auf den zur Schadensabwehr erforderlichen Zeitraum begrenzt. Der Anbieter informiert den Nutzer nach Moeglichkeit vor, jedenfalls aber unverzueglich nach einer Sperrung per E-Mail. Nach Wegfall des Sperrgrundes wird der Zugang automatisch reaktiviert.
+
+(4) Bei wiederholten oder fortgesetzten Verstoessen trotz Abmahnung kann der Anbieter den Zugang dauerhaft sperren. {{#IF DATA_EXPORT_BEFORE_DELETION}} Der Nutzer erhaelt eine Frist von {{EXPORT_BEFORE_DELETION_DAYS}} Tagen zum Export seiner Inhalte, bevor das Nutzerkonto endgueltig geloescht wird. {{/IF}} Ein dauerhaft gesperrtes Konto kann nicht reaktiviert werden.
+
+(5) Der Nutzer kann gegen eine Sperrung im Rahmen des in den Gemeinschaftsrichtlinien beschriebenen Beschwerdeverfahrens Einspruch einlegen.
+
+---
+
+## § 7 Kuendigung
+
+(1) Der Nutzer kann den Nutzungsvertrag jederzeit ohne Angabe von Gruenden kuendigen. Die Kuendigung kann in Textform oder ueber die im Nutzerkonto bereitgestellte Kuendigungsfunktion (§ 312k BGB) erfolgen.
+
+(2) Der Anbieter kann den Nutzungsvertrag mit einer Frist von 14 Tagen zum Monatsende kuendigen.
+
+(3) Das Recht beider Parteien zur Kuendigung aus wichtigem Grund bleibt unberuehrt.
+
+(4) Nach Kuendigung kann der Nutzer seine Inhalte und Daten innerhalb von {{EXPORT_BEFORE_DELETION_DAYS}} Tagen exportieren. Nach Ablauf dieser Frist werden die Daten gemaess den Regelungen des AVV geloescht.
+
+{{#IF HAS_CONTENT_LICENSING}}
+(5) Bereits erteilte Lizenzen an Nutzer-Inhalten bleiben von der Kuendigung unberuehrt, soweit die jeweilige Lizenz dies vorsieht.
+{{/IF}}
+
+(6) Nutzern, deren Zugang wegen wiederholter Verstoesse dauerhaft gesperrt wurde (§ 6 Abs. 4), ist eine erneute Registrierung untersagt.
+
+---
+
+## § 8 Haftung
+
+(1) Der Anbieter haftet fuer Schaeden nur bei Vorsatz, grober Fahrlaessigkeit oder bei leicht fahrlaessiger Verletzung wesentlicher Vertragspflichten. Wesentliche Vertragspflichten sind solche, deren Erfuellung die ordnungsgemaesse Durchfuehrung des Nutzungsvertrages erst ermoeglicht und auf deren Einhaltung der Nutzer regelmaessig vertrauen darf.
+
+(2) Bei leicht fahrlaessiger Verletzung wesentlicher Vertragspflichten ist die Haftung auf den vorhersehbaren, vertragstypischen Schaden begrenzt.
+
+(3) Die vorstehenden Beschraenkungen gelten nicht fuer Schaeden aus der Verletzung von Leben, Koerper oder Gesundheit, fuer Ansprueche aus Garantien sowie fuer Ansprueche nach dem Produkthaftungsgesetz.
+
+(4) Die verschuldensunabhaengige Haftung fuer bei Vertragsschluss vorhandene Maengel (§ 536a Abs. 1 BGB) ist ausgeschlossen.
+
+(5) Fuer Datenverlust haftet der Anbieter nur, soweit der Schaden auch bei ordnungsgemaesser Datensicherung durch den Nutzer eingetreten waere.
+
+{{#IF HAS_PAID_USER_ACCOUNTS}}
+## § 8a Aufrechnung und Abtretung
+
+(1) Der Nutzer kann gegenueber dem Anbieter nur mit unbestrittenen oder rechtskraeftig festgestellten Forderungen aufrechnen.
+{{/IF}}
+
+---
+
+## § 9 Schlussbestimmungen
+
+### Aenderungen
+
+(1) Der Anbieter kann diese Nutzungsbedingungen und die Gemeinschaftsrichtlinien aus sachlichem Grund aendern. Aenderungen werden dem Nutzer mindestens 30 Tage vor Inkrafttreten in Textform mitgeteilt. Widerspricht der Nutzer nicht vor Inkrafttreten in Textform, gelten die Aenderungen als angenommen. Der Anbieter weist ausdruecklich auf das Ablehnungsrecht und die Folgen des Schweigens hin.
+
+### Kommunikation und Form
+
+(2) Erklaerungen des Nutzers gegenueber dem Anbieter beduerfen der Textform. Die Kuendigung kann auch ueber die im Nutzerkonto bereitgestellte Kuendigungsfunktion (§ 312k BGB) erfolgen.
+
+(3) Der Anbieter kommuniziert mit dem Nutzer per E-Mail an die im Nutzerkonto hinterlegte Adresse.
+
+### Anwendbares Recht
+
+(4) Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. {{#IF HAS_EU_USERS}} Fuer Verbraucher mit Wohnsitz in der EU gelten zusaetzlich die zwingenden Verbraucherschutzbestimmungen ihres Wohnsitzstaates. {{/IF}}
+
+### Streitbeilegung
+
+(5) Der Anbieter ist nicht verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen (§ 36 VSBG). Das Recht auf aussergerichtliche Streitbeilegung bei Content-Moderation-Entscheidungen gemaess den Gemeinschaftsrichtlinien bleibt hiervon unberuehrt.
+
+### Salvatorische Klausel
+
+(6) Die Unwirksamkeit einzelner Bestimmungen beruehrt die Gueltigkeit der uebrigen Bestimmungen nicht.
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
+$template$,
+    '["PLATFORM_NAME","COMPANY_LEGAL_NAME","COMPANY_ADDRESS_FULL","VERSION_DATE","MIN_AGE","PRIVACY_POLICY_URL","SUPPORTED_CURRENCIES","TIPPING_FEE_PERCENT","REPORT_EMAIL","EXPORT_BEFORE_DELETION_DAYS","VERIFICATION_REQUIRED_FEATURES","COMPANY_NAME"]'::jsonb,
+    'de', 'DE',
+    'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published',
+    NOW(), NOW()
+WHERE NOT EXISTS (
+    SELECT 1 FROM compliance_legal_templates
+    WHERE document_type = 'terms_of_use'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+);
diff --git a/backend-compliance/migrations/095_widerrufsbelehrung_v2.sql b/backend-compliance/migrations/095_widerrufsbelehrung_v2.sql
new file mode 100644
index 0000000..8c2c173
--- /dev/null
+++ b/backend-compliance/migrations/095_widerrufsbelehrung_v2.sql
@@ -0,0 +1,124 @@
+-- Migration 095: Widerrufsbelehrung v2
+-- Gesetzlich vorgeschriebenes Muster (Art. 246a EGBGB) mit Bloecken fuer:
+--   SaaS/digitale Inhalte (§ 356 Abs. 5 BGB)
+--   Physische Waren (Ruecksendung)
+--   Kombi-Paket (Hardware + Software)
+-- Nur relevant fuer B2C — bei B2B_ONLY nicht anwendbar
+
+UPDATE compliance_legal_templates
+SET
+    title = 'Widerrufsbelehrung (B2C, SaaS/Waren/Kombi)',
+    description = 'Gesetzliche Widerrufsbelehrung nach Art. 246a EGBGB mit modularen Bloecken fuer SaaS/digitale Inhalte, physische Waren und Kombi-Pakete. Inkl. Muster-Widerrufsformular. Nur fuer B2C-Vertraege.',
+    content = $template$# Widerrufsbelehrung
+
+## 1. Allgemeine Informationen
+
+Verbraucher haben bei Abschluss eines Fernabsatzgeschaefts ein gesetzliches Widerrufsrecht, ueber das {{COMPANY_LEGAL_NAME}} nachfolgend informiert.
+
+---
+
+## 2. Widerrufsrecht
+
+(1) Sie haben das Recht, binnen 14 Tagen ohne Angabe von Gruenden diesen Vertrag zu widerrufen.
+
+{{#IF HAS_PHYSICAL_GOODS}}
+(2) Die Widerrufsfrist betraegt 14 Tage ab dem Tag, an dem Sie oder ein von Ihnen benannter Dritter, der nicht der Befoerderer ist, die Waren in Besitz genommen haben bzw. hat. Bei mehreren Waren in getrennten Lieferungen beginnt die Frist mit Besitznahme der letzten Ware.
+{{/IF}}
+{{#IF_NOT HAS_PHYSICAL_GOODS}}
+(2) Die Widerrufsfrist betraegt 14 Tage ab dem Tag des Vertragsschlusses.
+{{/IF_NOT}}
+
+(3) Um Ihr Widerrufsrecht auszuueben, muessen Sie uns
+
+**{{COMPANY_LEGAL_NAME}}**
+{{COMPANY_ADDRESS_LINE}}
+{{COMPANY_POSTAL_CODE}} {{COMPANY_CITY}}
+{{#IF CONTACT_PHONE}}Telefon: {{CONTACT_PHONE}}{{/IF}}
+E-Mail: {{CONTACT_EMAIL}}
+
+mittels einer eindeutigen Erklaerung (z.B. per Post oder E-Mail) ueber Ihren Entschluss, diesen Vertrag zu widerrufen, informieren. Sie koennen dafuer das Muster-Widerrufsformular (Abschnitt 5) verwenden, dies ist jedoch nicht vorgeschrieben.
+
+(4) Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung ueber die Ausuebung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.
+
+---
+
+## 3. Folgen des Widerrufs
+
+(1) Wenn Sie diesen Vertrag widerrufen, haben wir Ihnen alle Zahlungen, die wir von Ihnen erhalten haben, einschliesslich etwaiger Lieferkosten (mit Ausnahme zusaetzlicher Kosten durch eine von Ihnen gewaehlte andere als die guenstigste Standardlieferung), unverzueglich und spaetestens binnen 14 Tagen ab dem Tag zurueckzuzahlen, an dem die Mitteilung ueber Ihren Widerruf bei uns eingegangen ist.
+
+(2) Fuer die Rueckzahlung verwenden wir dasselbe Zahlungsmittel, das Sie bei der urspruenglichen Transaktion eingesetzt haben, es sei denn, es wurde ausdruecklich etwas anderes vereinbart. In keinem Fall werden Ihnen wegen dieser Rueckzahlung Entgelte berechnet.
+
+{{#IF HAS_PHYSICAL_GOODS}}
+(3) Wir koennen die Rueckzahlung verweigern, bis wir die Waren zurueckerhalten haben oder bis Sie den Nachweis der Ruecksendung erbracht haben, je nachdem, welches der fruehere Zeitpunkt ist.
+
+(4) Sie haben die Waren unverzueglich und in jedem Fall spaetestens binnen 14 Tagen ab dem Tag, an dem Sie uns ueber den Widerruf informieren, an {{RETURN_ADDRESS}} zurueckzusenden. Die Frist ist gewahrt, wenn Sie die Waren vor Ablauf der 14-Tage-Frist absenden.
+
+(5) Sie tragen die unmittelbaren Kosten der Ruecksendung der Waren.
+
+(6) Sie muessen fuer einen etwaigen Wertverlust der Waren nur aufkommen, wenn dieser auf einen zur Pruefung der Beschaffenheit, Eigenschaften und Funktionsweise nicht notwendigen Umgang zurueckzufuehren ist.
+{{/IF}}
+
+{{#IF HAS_COMBO_PACKAGE}}
+(7) Fuer den Kauf eines Kombi-Pakets (Hardware und Software) gelten die vorstehenden Regelungen zur Ruecksendung der physischen Ware entsprechend.
+{{/IF}}
+
+---
+
+## 4. Ausschluss- und Erloeschengruende
+
+Das Widerrufsrecht besteht nicht oder erlischt vorzeitig in folgenden Faellen:
+
+{{#IF HAS_DIGITAL_CONTENT}}
+(a) Bei Vertraegen ueber die Bereitstellung digitaler Inhalte, die nicht auf einem koerperlichen Datentraeger geliefert werden, erlischt das Widerrufsrecht, wenn der Anbieter mit der Ausfuehrung des Vertrags begonnen hat, nachdem der Verbraucher ausdruecklich zugestimmt hat, dass der Anbieter mit der Ausfuehrung vor Ablauf der Widerrufsfrist beginnt, und der Verbraucher seine Kenntnis davon bestaetigt hat, dass er durch seine Zustimmung sein Widerrufsrecht verliert (§ 356 Abs. 5 BGB).
+{{/IF}}
+
+{{#IF HAS_SAAS_SERVICE}}
+(b) Bei Vertraegen ueber die Erbringung von Dienstleistungen erlischt das Widerrufsrecht, wenn der Anbieter die Dienstleistung vollstaendig erbracht hat und mit der Ausfuehrung erst begonnen hat, nachdem der Verbraucher dazu seine ausdrueckliche Zustimmung gegeben und gleichzeitig seine Kenntnis davon bestaetigt hat, dass er sein Widerrufsrecht bei vollstaendiger Vertragsererfuellung verliert (§ 356 Abs. 4 BGB).
+{{/IF}}
+
+{{#IF HAS_PHYSICAL_GOODS}}
+(c) Bei Vertraegen zur Lieferung von Ton- und Videoaufnahmen oder Computersoftware in einer versiegelten Packung erlischt das Widerrufsrecht, wenn die Versiegelung nach der Lieferung entfernt wurde.
+{{/IF}}
+
+{{#IF HAS_IOT_BUNDLE}}
+(d) Bei Vertraegen ueber ein verbundenes Produkt (Hardware mit zugehoeriger App und/oder Cloud-Dienst) erstreckt sich der Widerruf auf das gesamte Produkt. Bei Rueckgabe der Hardware endet der Zugang zu den verbundenen digitalen Diensten. {{#IF IOT_SEPARATE_CONTRACTS}} Abweichend hiervon koennen Hardware-Kaufvertrag und Cloud-Dienstvertrag unabhaengig voneinander widerrufen werden, sofern die Produkte auch einzeln nutzbar sind. {{/IF}}
+{{/IF}}
+
+(e) Unternehmer im Sinne von § 14 BGB haben kein Widerrufsrecht.
+
+---
+
+## 5. Muster-Widerrufsformular
+
+*(Wenn Sie den Vertrag widerrufen wollen, fuellen Sie bitte dieses Formular aus und senden Sie es zurueck.)*
+
+An:
+{{COMPANY_LEGAL_NAME}}
+{{COMPANY_ADDRESS_LINE}}
+{{COMPANY_POSTAL_CODE}} {{COMPANY_CITY}}
+E-Mail: {{CONTACT_EMAIL}}
+
+Hiermit widerrufe(n) ich/wir (*) den von mir/uns (*) abgeschlossenen Vertrag ueber den Kauf der folgenden Waren (*) / die Erbringung der folgenden Dienstleistung (*):
+
+\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
+
+Bestellt am (*) / erhalten am (*): \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
+
+Name des/der Verbraucher(s): \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
+
+Anschrift des/der Verbraucher(s): \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
+
+\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
+
+Datum: \_\_\_\_\_\_\_\_\_\_  Unterschrift: \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
+
+(*) Unzutreffendes streichen.
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
+$template$,
+    version = '2.0.0',
+    updated_at = NOW()
+WHERE document_type = 'widerruf'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
diff --git a/backend-compliance/migrations/096_social_media_dsi.sql b/backend-compliance/migrations/096_social_media_dsi.sql
new file mode 100644
index 0000000..289936c
--- /dev/null
+++ b/backend-compliance/migrations/096_social_media_dsi.sql
@@ -0,0 +1,199 @@
+-- Migration 096: Social Media Datenschutzinformation
+-- Separater Dokumenttyp fuer DSI der Social-Media-Praesenz
+-- Art. 26 DSGVO Joint Controllership, plattform-modular
+
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT
+    gen_random_uuid(),
+    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'social_media_dsi',
+    'Datenschutzinformation — Social Media (Art. 26 DSGVO)',
+    'Datenschutzinformation fuer Social-Media-Praesenz des Unternehmens. Modulare Plattform-Bloecke (Facebook/Instagram, YouTube, LinkedIn, TikTok, X). Art. 26 Joint Controllership, Page Insights, Meta Pixel, Drittlanduebermittlung (DPF).',
+    $template$# Datenschutzinformation — Social Media
+
+Informationen zum Datenschutz bei Nutzung unserer Social-Media-Kanaele
+gemaess Art. 13, 14 DSGVO
+
+**Stand:** {{VERSION_DATE}}
+
+---
+
+Im Folgenden informieren wir Sie ueber die Verarbeitung Ihrer personenbezogenen Daten beim Besuch und bei der Nutzung unserer Social-Media-Kanaele auf {{SOCIAL_MEDIA_PLATFORMS_LIST}} (im Folgenden „Social-Media-Plattformen") sowie ueber Ihre Rechte im Datenschutz.
+
+## 1. Grundsaetze
+
+Bitte pruefen Sie sorgfaeltig, welche personenbezogenen Daten Sie ueber Social-Media-Plattformen mit uns teilen. Wenn Sie vermeiden moechten, dass der Plattformbetreiber von Ihnen uebermittelte Daten verarbeitet, kontaktieren Sie uns bitte auf anderem Wege (z.B. per E-Mail oder Post).
+
+Sie koennen sich ueber uns und unsere Angebote auch ueber {{WEBSITE_URL}} informieren — in diesem Fall erhalten die Plattformbetreiber keinerlei Informationen.
+
+---
+
+## 2. Verantwortliche
+
+Verantwortlich gemaess Art. 4 Nr. 7 DSGVO sind:
+
+**(a) {{COMPANY_LEGAL_NAME}}**
+{{COMPANY_ADDRESS_FULL}}
+{{#IF CONTACT_PHONE}}Telefon: {{CONTACT_PHONE}}{{/IF}}
+E-Mail: {{CONTACT_EMAIL}}
+
+**(b) der jeweilige Plattformbetreiber:**
+
+{{#IF HAS_FACEBOOK}}
+- **Facebook & Instagram:** Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland
+{{/IF}}
+{{#IF HAS_YOUTUBE}}
+- **YouTube:** Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland
+{{/IF}}
+{{#IF HAS_LINKEDIN}}
+- **LinkedIn:** LinkedIn Ireland Unlimited Company, Wilton Plaza, Wilton Place, Dublin 2, Irland
+{{/IF}}
+{{#IF HAS_TIKTOK}}
+- **TikTok:** TikTok Technology Limited, 10 Earlsfort Terrace, Dublin 2, D02 T380, Irland
+{{/IF}}
+{{#IF HAS_X_TWITTER}}
+- **X (Twitter):** Twitter International Unlimited Company, One Cumberland Place, Dublin 2, D02 AP32, Irland
+{{/IF}}
+
+### Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
+
+Wenn Nutzer unsere Social-Media-Kanaele besuchen, erheben die Plattformbetreiber Daten, die insbesondere in Statistiken (sog. Seiten-Insights/Page Insights) fliessen. Fuer diese Verarbeitungen haben wir mit den Plattformbetreibern Vereinbarungen ueber die gemeinsame Verantwortlichkeit gemaess Art. 26 DSGVO geschlossen:
+
+{{#IF HAS_FACEBOOK}}
+- Facebook & Instagram: [Page Controller Addendum](https://facebook.com/legal/terms/page_controller_addendum)
+{{/IF}}
+{{#IF HAS_YOUTUBE}}
+- YouTube: [YouTube Analytics Controller Terms](https://support.google.com/youtube/answer/9002587)
+{{/IF}}
+
+---
+
+## 3. Datenschutzbeauftragter
+
+Unseren Datenschutzbeauftragten erreichen Sie unter:
+{{COMPANY_LEGAL_NAME}} | z.Hd. Datenschutzbeauftragter | {{DPO_EMAIL}}
+
+Datenschutzbeauftragte der Plattformbetreiber:
+{{#IF HAS_FACEBOOK}}
+- Facebook & Instagram: [Kontakt](https://www.facebook.com/help/contact/540977946302970)
+{{/IF}}
+{{#IF HAS_YOUTUBE}}
+- YouTube: [Kontakt](https://support.google.com/policies/contact/general_privacy_form)
+{{/IF}}
+
+---
+
+## 4. Cookies und Tracking
+
+Die Plattformbetreiber setzen Cookies und vergleichbare Technologien ein, auf die wir keinen Einfluss haben. Informationen zu den eingesetzten Cookies finden Sie bei den jeweiligen Anbietern:
+
+{{#IF HAS_FACEBOOK}}
+- Facebook & Instagram: [Cookie-Richtlinie](https://facebook.com/policies/cookies/)
+{{/IF}}
+{{#IF HAS_YOUTUBE}}
+- YouTube: [Cookie-Einstellungen](https://consent.youtube.com/)
+{{/IF}}
+
+**Empfehlung:** Loggen Sie sich aus Ihren Social-Media-Konten aus, bevor Sie unsere Kanaele besuchen, und loeschen Sie vorhandene Cookies. Sie koennen auch die Cookie-Einstellungen Ihres Browsers anpassen.
+
+---
+
+## 5. Verarbeitung personenbezogener Daten
+
+**Betroffene:** Besucher und Nutzer unserer Social-Media-Kanaele
+
+**Datenkategorien:** Interaktionsdaten (Likes, Kommentare, Shares, Follows), Profilinformationen, die Sie oeffentlich teilen, Insights-Daten (aggregierte Statistiken)
+
+**Seiten-Insights:** Wir erhalten vom Plattformbetreiber aggregierte, anonymisierte oder pseudonymisierte Statistiken ueber die Nutzung unserer Kanaele. Ein Rueckschluss auf Sie als individualisierbare Person ist fuer uns nicht moeglich. Eine Zusammenfuehrung mit bei uns gespeicherten Daten nehmen wir nicht vor.
+
+**Zwecke:**
+- Bereitstellung und Betreuung unserer Social-Media-Kanaele
+- Kommunikation und Interaktion mit Nutzern
+- Beantwortung von Kontaktanfragen
+- Analyse und Optimierung unserer Inhalte anhand von Insights-Daten
+- Durchfuehrung von Marketingaktivitaeten
+{{#IF HAS_RECRUITING_VIA_SOCIAL}} - Personalgewinnung und Bearbeitung von Bewerbungen {{/IF}}
+
+**Rechtsgrundlagen:**
+- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — fuer Kommunikation, Analyse und Marketing
+{{#IF HAS_RECRUITING_VIA_SOCIAL}} - Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen) — fuer Bewerbungsverfahren {{/IF}}
+- Art. 9 Abs. 2 lit. e DSGVO — soweit Sie von sich aus besondere Kategorien von Daten (z.B. Gesundheitsdaten) oeffentlich machen
+
+Datenschutzinformationen der Plattformbetreiber:
+{{#IF HAS_FACEBOOK}} - Facebook & Instagram: [Datenschutzrichtlinie](https://facebook.com/privacy/center/) {{/IF}}
+{{#IF HAS_YOUTUBE}} - YouTube: [Datenschutzerklaerung](https://policies.google.com/privacy?hl=de) {{/IF}}
+{{#IF HAS_LINKEDIN}} - LinkedIn: [Datenschutzrichtlinie](https://www.linkedin.com/legal/privacy-policy) {{/IF}}
+
+---
+
+{{#IF HAS_META_PIXEL}}
+## 5a. Meta Pixel (Konversionsmessung)
+
+Auf unserer Website setzen wir — sofern Sie einwilligen — das Meta Pixel zur Konversionsmessung ein. Anbieter: Meta Platforms Ireland Limited.
+
+**Zweck:** Nachverfolgung des Nutzerverhaltens nach Klick auf eine Meta-Werbeanzeige, Auswertung der Wirksamkeit fuer statistische und Marktforschungszwecke, Optimierung zukuenftiger Werbemassnahmen.
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und § 25 Abs. 1 TDDDG. Die Einwilligung ist jederzeit widerrufbar.
+
+**Gemeinsame Verantwortlichkeit:** Fuer die Erfassung und Weitergabe der Daten an Meta sind wir und Meta gemeinsam verantwortlich (Art. 26 DSGVO). Die Vereinbarung: [Controller Addendum](https://www.facebook.com/legal/controller_addendum).
+
+**Drittlanduebermittlung:** Meta ist nach dem EU-US Data Privacy Framework (DPF) [zertifiziert](https://dataprivacyframework.gov). Zusaetzlich werden EU-Standardvertragsklauseln eingesetzt.
+
+**Opt-out:** [Einstellungen fuer Werbeanzeigen](https://www.facebook.com/ads/preferences/) (Facebook-Konto erforderlich) oder [youronlinechoices.com](http://www.youronlinechoices.com/de/praferenzmanagement/).
+{{/IF}}
+
+---
+
+## 6. Drittlanduebermittlung
+
+Eine Uebermittlung personenbezogener Daten in Laender ausserhalb der EU/des EWR durch uns findet nur statt, soweit dies fuer das Betreiben des Social-Media-Kanals oder die Kommunikation mit Ihnen erforderlich ist. Soweit Plattformbetreiber Daten an Konzerngesellschaften in den USA uebermitteln, stuetzen sich diese auf das EU-US Data Privacy Framework (DPF) und/oder EU-Standardvertragsklauseln.
+
+---
+
+## 7. Speicherdauer
+
+Wir loeschen personenbezogene Daten auf den Social-Media-Plattformen, sobald die Speicherung nicht mehr erforderlich ist. Ausnahmen bestehen bei gesetzlichen Aufbewahrungspflichten oder zur Durchsetzung und Abwehr von Rechtsanspruechen.
+
+Informationen zur Speicherdauer bei den Plattformbetreibern:
+{{#IF HAS_FACEBOOK}} - Facebook & Instagram: [Datenschutzrichtlinie](https://facebook.com/privacy/center/) {{/IF}}
+{{#IF HAS_YOUTUBE}} - YouTube: [Datenschutzerklaerung](https://policies.google.com/privacy?hl=de) {{/IF}}
+
+---
+
+## 8. Ihre Rechte
+
+Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17), Einschraenkung (Art. 18), Datenuebertragbarkeit (Art. 20) und das Recht, keiner automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO).
+
+**Sie koennen Ihre Rechte sowohl gegenueber uns als auch gegenueber dem jeweiligen Plattformbetreiber geltend machen.**
+
+Soweit Sie Ihre Rechte uns gegenueber geltend machen, leiten wir Ihre Anfrage an den betreffenden Plattformbetreiber weiter.
+
+### Widerspruchsrecht
+
+**Sie haben das Recht, aus Gruenden Ihrer besonderen Situation jederzeit gegen die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO Widerspruch einzulegen (Art. 21 DSGVO).**
+
+### Beschwerderecht
+
+Sie haben das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehoerde (Art. 77 DSGVO):
+**{{SUPERVISORY_AUTHORITY_NAME}}**
+{{SUPERVISORY_AUTHORITY_ADDRESS}}
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_LEGAL_NAME","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","CONTACT_PHONE","WEBSITE_URL","DPO_EMAIL","VERSION_DATE","SUPERVISORY_AUTHORITY_NAME","SUPERVISORY_AUTHORITY_ADDRESS","SOCIAL_MEDIA_PLATFORMS_LIST"]'::jsonb,
+    'de', 'DE',
+    'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published',
+    NOW(), NOW()
+WHERE NOT EXISTS (
+    SELECT 1 FROM compliance_legal_templates
+    WHERE document_type = 'social_media_dsi'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+);
diff --git a/backend-compliance/migrations/097_cookie_policy_v2.sql b/backend-compliance/migrations/097_cookie_policy_v2.sql
new file mode 100644
index 0000000..a7e055c
--- /dev/null
+++ b/backend-compliance/migrations/097_cookie_policy_v2.sql
@@ -0,0 +1,128 @@
+-- Migration 097: Cookie-Richtlinie v2
+-- Ausfuehrliches Erklaerungsdokument zu Cookies, Skripten, Web-Beacons
+-- TDDDG § 25, DSGVO Art. 6, Consent-Banner, Browser-Verwaltung
+
+UPDATE compliance_legal_templates
+SET
+    title = 'Cookie-Richtlinie (TDDDG § 25 / DSGVO)',
+    description = 'Ausfuehrliche Cookie-Richtlinie mit Erklaerung der Technologien (Cookies, Skripte, Web-Beacons), Rechtsgrundlagen (TDDDG § 25, Art. 6 DSGVO), Consent-Banner-Verweis, Widerrufsrecht und Browser-Verwaltungslinks.',
+    content = $template$# Cookie-Richtlinie
+
+**{{COMPANY_LEGAL_NAME}}**
+Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Verantwortlicher
+
+{{COMPANY_LEGAL_NAME}}, {{COMPANY_ADDRESS_FULL}}, ist fuer die in dieser Cookie-Richtlinie beschriebene Verarbeitung personenbezogener Daten gemaess Art. 4 Nr. 7 DSGVO verantwortlich.
+
+Kontakt: {{CONTACT_EMAIL}}
+{{#IF DPO_NAME}}Datenschutzbeauftragter: {{DPO_NAME}} — {{DPO_EMAIL}}{{/IF}}
+
+---
+
+## 2. Was sind Cookies und andere Technologien?
+
+Beim Betrieb von Webseiten und Apps kommen Technologien zum Einsatz, die personenbezogene Daten verarbeiten koennen:
+
+- **Cookies** sind kleine Textdateien, die vom Webbrowser auf Ihrem Endgeraet hinterlegt werden. Sie ermoeglichen es, Informationen zwischen Seitenaufrufen zu speichern und Sie bei einem erneuten Besuch wiederzuerkennen.
+- **Skripte** sind Programmcode-Fragmente, die auf unseren Servern oder auf Ihrem Endgeraet ausgefuehrt werden und der Website Funktionalitaet und Interaktivitaet ermoeglichen.
+- **Web-Beacons** (auch Pixel-Tags) sind kleine, unsichtbare Elemente auf einer Website, die zur Ueberwachung des Nutzerverhaltens eingesetzt werden.
+
+Cookies koennen keine Programme ausfuehren und keine Viren auf Ihr Endgeraet uebertragen.
+
+---
+
+## 3. Wozu werden diese Technologien eingesetzt?
+
+Durch Cookies und vergleichbare Technologien koennen Informationen auf Ihrem Endgeraet gespeichert und abgerufen werden. Anhand eindeutiger Kennungen (z.B. IP-Adresse, Geraete-ID) ist eine Zuordnung zu Ihnen moeglich.
+
+Wir unterscheiden folgende Kategorien:
+
+| Kategorie | Zweck | Einwilligung erforderlich |
+|-----------|-------|:---:|
+| **Technisch notwendig** | Grundfunktionen, Sicherheit, Spracheinstellungen, Warenkorb | Nein |
+| **Funktional** | Komfortfunktionen, Personalisierung, Praeferenzen | Ja |
+| **Analyse/Statistik** | Reichweitenmessung, Nutzungsanalyse, Optimierung | Ja |
+| **Marketing/Tracking** | Werbemessung, Remarketing, Profiling | Ja |
+
+Welche Technologie welchen Zweck verfolgt, entnehmen Sie bitte unserem Consent-Banner.
+
+{{COOKIE_TABLE}}
+
+---
+
+## 4. Rechtsgrundlagen
+
+### Technisch notwendige Cookies
+
+Der Einsatz technisch notwendiger Cookies erfolgt auf Grundlage von § 25 Abs. 2 TDDDG (unbedingt erforderlich fuer den vom Nutzer ausdruecklich gewuenschten Dienst) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stoerungsfreien Betrieb).
+
+### Einwilligungspflichtige Cookies und Dienste
+
+Fuer alle uebrigen Technologien (funktional, Analyse, Marketing) ist Ihre Einwilligung erforderlich. Rechtsgrundlage: § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO.
+
+Die Einwilligung wird ueber unser Consent-Banner eingeholt, das beim ersten Besuch der Website automatisch erscheint. Sie haben folgende Optionen:
+
+- **Alle akzeptieren** — Einwilligung in alle Kategorien
+- **Auswahl erlauben** — individuelle Auswahl pro Kategorie
+- **Nur essenzielle** — nur technisch notwendige Cookies
+
+---
+
+## 5. Consent-Banner und Widerruf
+
+Sie koennen Ihre Einwilligung jederzeit unentgeltlich und mit Wirkung fuer die Zukunft widerrufen, indem Sie das Consent-Banner erneut aufrufen und Ihre Einstellungen aendern.
+
+**So rufen Sie das Consent-Banner auf:** {{CONSENT_WITHDRAWAL_PATH}}
+
+Die Entscheidung ueber die Verwendung von Technologien wird in einem eigenen Cookie gespeichert. Wird dieses Cookie geloescht, oeffnet sich das Banner beim naechsten Besuch erneut.
+
+Durch den Widerruf der Einwilligung wird die Rechtmaessigkeit der bis zum Widerruf erfolgten Verarbeitung nicht beruehrt. Nach erfolgtem Widerruf koennen einzelne Funktionen eingeschraenkt sein.
+
+---
+
+## 6. Drittanbieter und Drittlanduebermittlung
+
+Durch die Einbindung von Drittanbieterdiensten koennen Server ausserhalb der EU/des EWR aufgerufen werden.
+
+{{#IF HAS_THIRD_COUNTRY}}
+Fuer Uebermittlungen in die USA achten wir darauf, dass sich Drittanbieter nach dem EU-US Data Privacy Framework (DPF) zertifiziert haben. In allen anderen Faellen stellen wir sicher, dass ein angemessenes Datenschutzniveau durch Angemessenheitsbeschluss der EU-Kommission oder andere geeignete Garantien (z.B. EU-Standardvertragsklauseln) besteht.
+{{/IF}}
+
+---
+
+## 7. Cookies in Ihrem Browser verwalten
+
+Sie koennen Cookies auch ueber die Einstellungen Ihres Browsers verwalten:
+
+- [Chrome](https://support.google.com/accounts/answer/61416?hl=de)
+- [Firefox](https://support.mozilla.org/de/kb/cookies-erlauben-und-ablehnen)
+- [Safari](https://support.apple.com/de-de/guide/safari/manage-cookies-and-website-data-sfri11471/mac)
+- [Edge](https://support.microsoft.com/de-de/help/17442/windows-internet-explorer-delete-manage-cookies)
+- [Opera](https://help.opera.com/de/latest/web-preferences/)
+
+Auf mobilen Endgeraeten koennen Sie Tracking ueber die Geraeteeinstellungen (z.B. Werbe-ID) beschraenken.
+
+---
+
+## 8. Loeschung von Cookies
+
+Session-Cookies werden automatisch geloescht, wenn Sie den Browser schliessen oder sich ausloggen. Persistente Cookies loeschen sich nach Ablauf ihrer definierten Lebensdauer. Sie koennen alle Cookies jederzeit manuell ueber Ihre Browser-Einstellungen loeschen.
+
+---
+
+## 9. Weitere Informationen
+
+Alle Informationen zur Verarbeitung Ihrer personenbezogenen Daten, zu Ihren Betroffenenrechten und zum Verantwortlichen finden Sie in unserer {{DSI_TITLE}}: {{PRIVACY_POLICY_URL}}
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
+$template$,
+    version = '2.0.0',
+    updated_at = NOW()
+WHERE document_type = 'cookie_policy'
+  AND language = 'de'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
diff --git a/backend-compliance/migrations/098_whistleblower_policy.sql b/backend-compliance/migrations/098_whistleblower_policy.sql
new file mode 100644
index 0000000..1b1aee5
--- /dev/null
+++ b/backend-compliance/migrations/098_whistleblower_policy.sql
@@ -0,0 +1,198 @@
+-- Migration 098: Whistleblower-Richtlinie (HinSchG)
+-- Neues Template fuer das /sdk/whistleblower Modul
+-- Pflicht ab 50 MA (seit Dez 2023), anonyme Meldungen ab 2025
+
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT
+    gen_random_uuid(),
+    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'whistleblower_policy',
+    'Hinweisgeberrichtlinie (HinSchG)',
+    'Interne Richtlinie zum Hinweisgeberschutz gemaess Hinweisgeberschutzgesetz (HinSchG). Meldestelle, Verfahren, Vertraulichkeit, Schutz vor Repressalien, Fristen. Pflicht ab 50 Mitarbeitende.',
+    $template$# Hinweisgeberrichtlinie
+
+Interne Richtlinie zum Schutz hinweisgebender Personen gemaess Hinweisgeberschutzgesetz (HinSchG)
+
+**{{COMPANY_LEGAL_NAME}}**
+Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Zweck und Geltungsbereich
+
+(1) Diese Richtlinie regelt das Verfahren zur Meldung von Verstoessen und den Schutz hinweisgebender Personen bei **{{COMPANY_LEGAL_NAME}}** gemaess dem Hinweisgeberschutzgesetz (HinSchG).
+
+(2) Die Richtlinie gilt fuer alle Beschaeftigten, Leiharbeitnehmer, Praktikanten, Bewerber, ehemalige Beschaeftigte sowie Personen, die im Rahmen ihrer beruflichen Taetigkeit mit {{COMPANY_LEGAL_NAME}} in Kontakt stehen (Lieferanten, Auftragnehmer, Anteilseigner).
+
+(3) Die Richtlinie ergaenzt bestehende Compliance-Regelungen und ersetzt diese nicht.
+
+---
+
+## 2. Sachlicher Anwendungsbereich
+
+(1) Meldungen ueber folgende Verstoesse werden entgegengenommen und bearbeitet:
+
+- Verstoesse gegen Strafvorschriften
+- Verstoesse gegen bussgeldbewehrte Vorschriften (Ordnungswidrigkeiten), soweit die verletzte Vorschrift dem Schutz von Leben, Leib, Gesundheit oder dem Schutz der Rechte von Beschaeftigten oder ihrer Vertretungsorgane dient
+- Verstoesse gegen Rechtsvorschriften des Bundes und der Laender, die zur Umsetzung von EU-Richtlinien erlassen wurden, insbesondere in den Bereichen:
+  - Datenschutz und IT-Sicherheit
+  - Umweltschutz
+  - Verbraucherschutz
+  - Produktsicherheit
+  - Vergaberecht
+  - Geldwaeschebekaempfung
+  - Lebensmittel- und Futtermittelsicherheit
+  - Steuerbetrug
+
+(2) Nicht erfasst sind Meldungen, die ausschliesslich persoenliche Beschwerden oder arbeitsrechtliche Streitigkeiten betreffen, sofern diese keine Verstoesse im Sinne von Absatz 1 darstellen.
+
+---
+
+## 3. Interne Meldestelle
+
+(1) {{COMPANY_LEGAL_NAME}} hat eine interne Meldestelle eingerichtet. Die Meldestelle ist besetzt durch:
+
+**{{WHISTLEBLOWER_CONTACT_NAME}}**
+{{WHISTLEBLOWER_CONTACT_ROLE}}
+E-Mail: {{WHISTLEBLOWER_EMAIL}}
+{{#IF WHISTLEBLOWER_PHONE}}Telefon: {{WHISTLEBLOWER_PHONE}}{{/IF}}
+{{#IF WHISTLEBLOWER_URL}}Online-Meldeformular: {{WHISTLEBLOWER_URL}}{{/IF}}
+
+(2) Die mit den Aufgaben der internen Meldestelle betraute Person ist bei der Ausuebung ihrer Taetigkeit unabhaengig und weisungsfrei. Sie verfuegt ueber die erforderliche Fachkunde.
+
+{{#IF HAS_EXTERNAL_REPORTING}}
+(3) Alternativ oder ergaenzend steht die externe Meldestelle des Bundes beim Bundesamt fuer Justiz (BfJ) zur Verfuegung:
+Bundesamt fuer Justiz
+Adenauerallee 99-103, 53113 Bonn
+https://www.bundesjustizamt.de/DE/MeldestelledesHinweisgeberschutzgesetzes
+
+Hinweisgebende Personen koennen frei waehlen, ob sie sich an die interne oder externe Meldestelle wenden. {{COMPANY_LEGAL_NAME}} ermutigt jedoch, zunaechst die interne Meldestelle zu nutzen, sofern dem Verstoss intern wirksam abgeholfen werden kann.
+{{/IF}}
+
+---
+
+## 4. Meldevorgaenge
+
+### 4.1 Meldewege
+
+(1) Meldungen koennen auf folgenden Wegen abgegeben werden:
+
+- **Schriftlich:** per E-Mail an {{WHISTLEBLOWER_EMAIL}} oder ueber das Meldeformular ({{WHISTLEBLOWER_URL}})
+- **Muendlich:** per Telefon unter {{WHISTLEBLOWER_PHONE}} oder auf Wunsch in einem persoenlichen Gespraech
+{{#IF HAS_ANONYMOUS_REPORTING}}
+- **Anonym:** Anonyme Meldungen werden entgegengenommen und bearbeitet. Die Meldestelle stellt einen anonymen Kommunikationskanal zur Verfuegung, ueber den auch Rueckfragen moeglich sind, ohne die Identitaet preiszugeben.
+{{/IF}}
+
+### 4.2 Inhalt einer Meldung
+
+(2) Eine Meldung sollte nach Moeglichkeit folgende Angaben enthalten:
+
+- Beschreibung des gemeldeten Verstosses
+- Beteiligte Personen (soweit bekannt)
+- Zeitpunkt und Ort des Verstosses
+- Vorhandene Belege oder Beweismittel
+- Angabe, ob die meldende Person bereits anderweitig Meldung erstattet hat
+
+### 4.3 Verfahrensablauf
+
+(3) Die Meldestelle bestaetigt den Eingang der Meldung **innerhalb von 7 Tagen**.
+
+(4) Die Meldestelle prueft die Stichhaltigkeit der Meldung und ergreift angemessene Folgemassnahmen. Dies kann insbesondere umfassen:
+
+- Interne Untersuchungen
+- Weiterleitung an zustaendige interne Stellen (unter Wahrung der Vertraulichkeit)
+- Weiterleitung an zustaendige Behoerden
+- Abschluss des Verfahrens bei fehlender Stichhaltigkeit
+
+(5) Die Meldestelle gibt der hinweisgebenden Person **innerhalb von 3 Monaten** nach Eingangsbestaetigung eine Rueckmeldung ueber die ergriffenen oder geplanten Folgemassnahmen sowie die Gruende hierfuer.
+
+---
+
+## 5. Vertraulichkeit
+
+(1) Die Identitaet der hinweisgebenden Person wird von der Meldestelle vertraulich behandelt. Sie darf ohne deren ausdrueckliche Zustimmung nicht an Dritte weitergegeben werden.
+
+(2) Ausnahmen bestehen nur, wenn die Weitergabe:
+- durch Rechtsvorschrift oder gerichtliche Entscheidung angeordnet ist
+- fuer die Durchfuehrung eines Strafverfahrens zwingend erforderlich ist
+
+(3) In diesen Faellen wird die hinweisgebende Person vorab informiert, sofern dies die Ermittlungen nicht gefaehrdet.
+
+(4) Alle an der Bearbeitung einer Meldung beteiligten Personen sind zur Vertraulichkeit verpflichtet.
+
+---
+
+## 6. Schutz vor Repressalien
+
+(1) Hinweisgebende Personen duerfen wegen einer Meldung keine Repressalien erleiden. Repressalien sind insbesondere:
+
+- Kuendigung oder Suspendierung
+- Herabstufung, Versetzung oder Verweigerung einer Befoerderung
+- Gehaltsminderung oder Entzug von Leistungen
+- Abmahnung, Disziplinarmassnahmen
+- Einschuechterung, Belaestigung, Diskriminierung
+- Schaedigung des Ansehens, insbesondere in sozialen Medien
+- Nichtverlaengerung oder vorzeitige Beendigung eines befristeten Vertrags
+
+(2) Erleidet eine hinweisgebende Person nach einer Meldung eine Benachteiligung, wird vermutet, dass diese Benachteiligung eine Repressalie ist (Beweislastumkehr gemaess § 36 HinSchG).
+
+(3) Personen, die Repressalien gegenueber hinweisgebenden Personen ausueben, koennen disziplinar- und schadensersatzrechtlich zur Verantwortung gezogen werden.
+
+---
+
+## 7. Datenschutz
+
+(1) Die Verarbeitung personenbezogener Daten im Rahmen des Meldeverfahrens erfolgt gemaess den Bestimmungen der DSGVO und des BDSG.
+
+(2) Personenbezogene Daten werden nur erhoben, verarbeitet und gespeichert, soweit dies fuer die Bearbeitung der Meldung und die Durchfuehrung von Folgemassnahmen erforderlich ist.
+
+(3) Die Dokumentation einer Meldung wird **3 Jahre** nach Abschluss des Verfahrens geloescht, sofern keine laengere Aufbewahrung gesetzlich vorgeschrieben oder fuer die Durchsetzung von Rechtsanspruechen erforderlich ist.
+
+(4) Weitere Informationen zur Datenverarbeitung finden sich in der Datenschutzerklaerung unter {{PRIVACY_POLICY_URL}}.
+
+---
+
+## 8. Dokumentation und Berichterstattung
+
+(1) Die Meldestelle dokumentiert alle eingehenden Meldungen unter Wahrung der Vertraulichkeit. Die Dokumentation umfasst:
+
+- Eingangsdatum und Art der Meldung
+- Gegenstand des gemeldeten Verstosses
+- Ergriffene Folgemassnahmen
+- Ergebnis und Abschlussdatum
+
+(2) Die Meldestelle erstellt einen jaehrlichen Bericht ueber die Anzahl der eingegangenen Meldungen, die Art der gemeldeten Verstoesse und die ergriffenen Massnahmen. Dieser Bericht enthaelt keine Angaben, die Rueckschluesse auf die Identitaet von Hinweisgebern oder beschuldigten Personen ermoeglichen.
+
+---
+
+## 9. Schulung und Information
+
+(1) {{COMPANY_LEGAL_NAME}} informiert alle Beschaeftigten ueber die Existenz und den Zweck dieser Richtlinie sowie ueber die verfuegbaren Meldewege.
+
+(2) Die mit den Aufgaben der Meldestelle betrauten Personen erhalten regelmaessige Schulungen zu den Anforderungen des HinSchG und zum Umgang mit Meldungen.
+
+---
+
+## 10. Inkrafttreten und Aenderungen
+
+Diese Richtlinie tritt am {{EFFECTIVE_DATE}} in Kraft. {{COMPANY_LEGAL_NAME}} behaelt sich vor, diese Richtlinie bei Aenderungen der Rechtslage oder des internen Verfahrens anzupassen.
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_LEGAL_NAME","VERSION_DATE","EFFECTIVE_DATE","WHISTLEBLOWER_CONTACT_NAME","WHISTLEBLOWER_CONTACT_ROLE","WHISTLEBLOWER_EMAIL","WHISTLEBLOWER_PHONE","WHISTLEBLOWER_URL","PRIVACY_POLICY_URL"]'::jsonb,
+    'de', 'DE',
+    'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published',
+    NOW(), NOW()
+WHERE NOT EXISTS (
+    SELECT 1 FROM compliance_legal_templates
+    WHERE document_type = 'whistleblower_policy'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+);
diff --git a/backend-compliance/migrations/099_cookie_banner_impressum_v2.sql b/backend-compliance/migrations/099_cookie_banner_impressum_v2.sql
new file mode 100644
index 0000000..07d8fce
--- /dev/null
+++ b/backend-compliance/migrations/099_cookie_banner_impressum_v2.sql
@@ -0,0 +1,36 @@
+-- Migration 099: Cookie-Banner + Impressum Updates
+-- Cookie-Banner: Bereits TDDDG-konform (Migration 023), nur Feinschliff
+-- Impressum: OS-Plattform seit Juli 2025 abgeschaltet — Hinweis aktualisieren
+
+-- ===========================================================================
+-- 1. Impressum: Streitbeilegungstext aktualisieren (OS-Plattform abgeschaltet)
+-- ===========================================================================
+
+-- Fuer alle Impressum-Templates den Standard-Streitbeilegungstext setzen,
+-- der die abgeschaltete OS-Plattform nicht mehr erwaehnt
+
+-- Keine strukturellen Aenderungen am Impressum noetig — DDG § 5 bereits korrekt.
+-- Nur der Hinweis: Kunden die noch einen OS-Plattform-Link haben, muessen ihn entfernen.
+
+-- Wir fuegen einen Hinweis als Kommentar in die description ein:
+UPDATE compliance_legal_templates
+SET
+    description = 'Impressum nach § 5 DDG mit optionalen Abschnitten. WICHTIG: Die EU-OS-Plattform wurde am 20.07.2025 abgeschaltet — Links zur OS-Plattform muessen entfernt werden (wettbewerbsrechtliches Risiko). § 36 VSBG Hinweis bleibt erforderlich.',
+    version = '2.1.0',
+    updated_at = NOW()
+WHERE document_type = 'impressum'
+  AND language = 'de'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 2. Cookie-Banner: Version-Bump + Description aktualisieren
+-- ===========================================================================
+
+UPDATE compliance_legal_templates
+SET
+    description = 'Cookie-Banner Texte mit Erst-/Zweitlayer, 4 Kategorien (notwendig/funktional/analyse/marketing), TDDDG § 25 konform. Consent-Protokollierung optional. Drittlanduebermittlungshinweis bei Analytics/Marketing.',
+    version = '2.1.0',
+    updated_at = NOW()
+WHERE document_type = 'cookie_banner'
+  AND language = 'de'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
diff --git a/backend-compliance/migrations/100_employee_applicant_dsi.sql b/backend-compliance/migrations/100_employee_applicant_dsi.sql
new file mode 100644
index 0000000..59d4916
--- /dev/null
+++ b/backend-compliance/migrations/100_employee_applicant_dsi.sql
@@ -0,0 +1,295 @@
+-- Migration 100: Bewerber-DSI + Mitarbeiter-DSI
+-- Zwei neue Templates fuer den HR-Bereich
+-- Jedes Unternehmen mit Stellenanzeigen oder Mitarbeitern braucht diese
+
+-- ===========================================================================
+-- Template 1: Bewerber-Datenschutzinformation (Art. 13 DSGVO)
+-- ===========================================================================
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT
+    gen_random_uuid(),
+    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'applicant_dsi',
+    'Datenschutzinformation fuer Bewerber (Art. 13 DSGVO)',
+    'Datenschutzinformation fuer Bewerberinnen und Bewerber gemaess Art. 13 DSGVO. Verarbeitung im Bewerbungsverfahren, Rechtsgrundlagen (§ 26 BDSG / Art. 88 DSGVO), Aufbewahrungsfristen (6 Monate), Betroffenenrechte.',
+    $template$# Datenschutzinformation fuer Bewerberinnen und Bewerber
+
+Informationen gemaess Art. 13 DSGVO ueber die Verarbeitung personenbezogener Daten im Bewerbungsverfahren
+
+**{{COMPANY_LEGAL_NAME}}**
+Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Verantwortlicher
+
+**{{COMPANY_LEGAL_NAME}} {{COMPANY_LEGAL_FORM}}**
+{{COMPANY_ADDRESS_FULL}}
+E-Mail: {{CONTACT_EMAIL}}
+{{#IF CONTACT_PHONE}}Telefon: {{CONTACT_PHONE}}{{/IF}}
+
+{{#IF DPO_NAME}}
+**Datenschutzbeauftragter:** {{DPO_NAME}} — {{DPO_EMAIL}}
+{{/IF}}
+
+---
+
+## 2. Welche Daten verarbeiten wir?
+
+Im Rahmen Ihres Bewerbungsverfahrens verarbeiten wir folgende Kategorien personenbezogener Daten:
+
+| Kategorie | Beispiele |
+|-----------|----------|
+| Stammdaten | Name, Vorname, Anschrift, Geburtsdatum |
+| Kontaktdaten | E-Mail-Adresse, Telefonnummer |
+| Bewerbungsunterlagen | Anschreiben, Lebenslauf, Zeugnisse, Zertifikate, Arbeitsproben |
+| Qualifikationsdaten | Ausbildung, Berufserfahrung, Sprachkenntnisse, Faehigkeiten |
+| Gehaltsvorstellungen | Gewuenschtes Gehalt, fruehester Eintrittstermin |
+{{#IF HAS_VIDEO_INTERVIEW}} | Videointerview-Daten | Videoaufnahme, Audio, Metadaten | {{/IF}}
+{{#IF HAS_ASSESSMENT}} | Assessment-Daten | Testergebnisse, Bewertungen | {{/IF}}
+| Korrespondenzdaten | Inhalt der Kommunikation waehrend des Bewerbungsverfahrens |
+
+{{#IF HAS_SPECIAL_CATEGORIES}}
+**Besondere Kategorien (Art. 9 DSGVO):** Soweit Sie uns im Rahmen Ihrer Bewerbung freiwillig besondere Kategorien personenbezogener Daten mitteilen (z.B. Schwerbehinderung, Gesundheitsdaten), verarbeiten wir diese ausschliesslich auf Grundlage Ihrer ausdruecklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) oder soweit dies zur Ausuebung oder Erfuellung arbeitsrechtlicher Pflichten erforderlich ist (Art. 9 Abs. 2 lit. b DSGVO).
+{{/IF}}
+
+---
+
+## 3. Zwecke und Rechtsgrundlagen
+
+| Zweck | Rechtsgrundlage |
+|-------|----------------|
+| Durchfuehrung des Bewerbungsverfahrens | § 26 Abs. 1 BDSG i.V.m. Art. 88 DSGVO (Anbahnung eines Beschaeftigungsverhaeltnisses) |
+| Beurteilung der Eignung fuer die ausgeschriebene Stelle | § 26 Abs. 1 BDSG |
+| Kommunikation mit Ihnen waehrend des Verfahrens | Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen) |
+| Aufbewahrung nach Ablehnung (Frist fuer AGG-Ansprueche) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr von Anspruechen) |
+{{#IF HAS_TALENT_POOL}} | Aufnahme in den Talentpool (bei Einwilligung) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | {{/IF}}
+| Erfuellung gesetzlicher Pflichten (z.B. AGG) | Art. 6 Abs. 1 lit. c DSGVO |
+
+---
+
+## 4. Datenquellen
+
+Wir verarbeiten personenbezogene Daten, die:
+- Sie uns im Rahmen Ihrer Bewerbung uebermitteln
+- Aus oeffentlich zugaenglichen Quellen stammen (z.B. berufliche Netzwerke wie LinkedIn, XING), soweit dies fuer die Beurteilung Ihrer Eignung relevant und zulaessig ist
+{{#IF HAS_RECRUITING_AGENCY}} - Von beauftragten Personalvermittlern an uns uebermittelt werden {{/IF}}
+{{#IF HAS_EMPLOYEE_REFERRAL}} - Im Rahmen von Mitarbeiterempfehlungen an uns gelangen {{/IF}}
+
+---
+
+## 5. Empfaenger
+
+Ihre Bewerbungsdaten werden ausschliesslich den am Bewerbungsverfahren beteiligten Personen zugaenglich gemacht:
+
+- Personalabteilung (HR)
+- Fachvorgesetzte der ausgeschriebenen Stelle
+- Geschaeftsfuehrung (bei Fuehrungspositionen)
+{{#IF HAS_RECRUITING_SOFTWARE}} - Anbieter unserer Bewerbermanagement-Software (Auftragsverarbeiter gemaess Art. 28 DSGVO) {{/IF}}
+{{#IF HAS_RECRUITING_AGENCY}} - Beauftragte Personalvermittler (Auftragsverarbeiter oder eigene Verantwortliche) {{/IF}}
+
+Eine Weitergabe an sonstige Dritte erfolgt nicht.
+
+---
+
+## 6. Speicherdauer
+
+| Szenario | Speicherdauer | Begruendung |
+|----------|:---:|---|
+| Ablehnung | **6 Monate** nach Ende des Verfahrens | Frist fuer AGG-Ansprueche (§ 15 Abs. 4 AGG: 2 Monate + Sicherheitszuschlag) |
+| Einstellung | Uebernahme in die Personalakte | § 26 BDSG |
+{{#IF HAS_TALENT_POOL}} | Talentpool (bei Einwilligung) | Bis zum Widerruf, max. {{TALENT_POOL_MONTHS}} Monate | Art. 6 Abs. 1 lit. a DSGVO | {{/IF}}
+
+Nach Ablauf der Aufbewahrungsfrist werden Ihre Daten vollstaendig geloescht oder vernichtet.
+
+---
+
+## 7. Ihre Rechte
+
+Sie haben folgende Rechte:
+
+- Auskunft (Art. 15 DSGVO)
+- Berichtigung (Art. 16 DSGVO)
+- Loeschung (Art. 17 DSGVO)
+- Einschraenkung der Verarbeitung (Art. 18 DSGVO)
+- Datenuebertragbarkeit (Art. 20 DSGVO)
+- Widerspruch (Art. 21 DSGVO)
+- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
+- Beschwerde bei der Aufsichtsbehoerde (Art. 77 DSGVO): **{{SUPERVISORY_AUTHORITY_NAME}}**
+
+Zur Ausuebung Ihrer Rechte: {{DATA_SUBJECT_REQUEST_CHANNEL}}
+
+---
+
+## 8. Pflicht zur Bereitstellung
+
+Die Bereitstellung Ihrer personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die erforderlichen Angaben (insb. Kontaktdaten, Qualifikationsnachweise) kann Ihre Bewerbung jedoch nicht beruecksichtigt werden.
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_LEGAL_NAME","COMPANY_LEGAL_FORM","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","CONTACT_PHONE","DPO_NAME","DPO_EMAIL","VERSION_DATE","DATA_SUBJECT_REQUEST_CHANNEL","SUPERVISORY_AUTHORITY_NAME","TALENT_POOL_MONTHS"]'::jsonb,
+    'de', 'DE',
+    'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published',
+    NOW(), NOW()
+WHERE NOT EXISTS (
+    SELECT 1 FROM compliance_legal_templates
+    WHERE document_type = 'applicant_dsi'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+);
+
+-- ===========================================================================
+-- Template 2: Mitarbeiter-Datenschutzinformation (Art. 13 DSGVO)
+-- ===========================================================================
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT
+    gen_random_uuid(),
+    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'employee_dsi',
+    'Datenschutzinformation fuer Beschaeftigte (Art. 13 DSGVO)',
+    'Datenschutzinformation fuer Mitarbeiterinnen und Mitarbeiter gemaess Art. 13 DSGVO. Verarbeitung im Beschaeftigungsverhaeltnis, Rechtsgrundlagen (§ 26 BDSG), Datenkategorien (Personal, Gehaltsabrechnung, Zeiterfassung, IT-Nutzung), Empfaenger, Aufbewahrungsfristen.',
+    $template$# Datenschutzinformation fuer Beschaeftigte
+
+Informationen gemaess Art. 13 DSGVO ueber die Verarbeitung personenbezogener Daten im Beschaeftigungsverhaeltnis
+
+**{{COMPANY_LEGAL_NAME}}**
+Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Verantwortlicher
+
+**{{COMPANY_LEGAL_NAME}} {{COMPANY_LEGAL_FORM}}**
+{{COMPANY_ADDRESS_FULL}}
+E-Mail: {{CONTACT_EMAIL}}
+
+{{#IF DPO_NAME}}
+**Datenschutzbeauftragter:** {{DPO_NAME}} — {{DPO_EMAIL}}
+{{/IF}}
+
+---
+
+## 2. Welche Daten verarbeiten wir?
+
+Im Rahmen des Beschaeftigungsverhaeltnisses verarbeiten wir folgende Kategorien personenbezogener Daten:
+
+| Kategorie | Beispiele |
+|-----------|----------|
+| Stammdaten | Name, Adresse, Geburtsdatum, Familienstand, Staatsangehoerigkeit |
+| Kontaktdaten | Telefon, E-Mail (privat/dienstlich), Notfallkontakte |
+| Vertragsdaten | Arbeitsvertrag, Position, Abteilung, Eintrittsdatum, Verguetung |
+| Steuer- und Sozialversicherungsdaten | Steuer-ID, SV-Nummer, Steuerklasse, Krankenkasse |
+| Bankdaten | IBAN, BIC (fuer Gehaltsabrechnung) |
+| Zeiterfassungsdaten | Arbeitszeiten, Ueberstunden, Urlaub, Krankheitstage |
+| Qualifikationsdaten | Zeugnisse, Zertifikate, Weiterbildungen |
+{{#IF HAS_IT_USAGE_MONITORING}} | IT-Nutzungsdaten | Anmeldedaten, E-Mail-Nutzung (Metadaten), Internetzugriff (Protokolldaten) | {{/IF}}
+{{#IF HAS_COMPANY_VEHICLE}} | Fahrzeugdaten | Fuhrpark-Zuordnung, Fahrtenbuch, Tankkartendaten | {{/IF}}
+{{#IF HAS_ACCESS_CONTROL}} | Zutrittsdaten | Chipkarten-Protokolle, Zutrittszeiten | {{/IF}}
+{{#IF HAS_VIDEO_SURVEILLANCE}} | Videoueberwachungsdaten | Aufnahmen aus ueberwachten Bereichen | {{/IF}}
+| Leistungsdaten | Beurteilungen, Zielvereinbarungen, Feedbackgespraeche |
+| Disziplinarische Daten | Abmahnungen, Verwarnungen |
+
+{{#IF HAS_SPECIAL_CATEGORIES_EMPLOYEES}}
+**Besondere Kategorien (Art. 9 DSGVO):** Gesundheitsdaten (Arbeitsunfaehigkeitsbescheinigungen, BEM-Verfahren), Schwerbehinderteneigenschaft, Religionszugehoerigkeit (fuer Kirchensteuer). Rechtsgrundlage: § 26 Abs. 3 BDSG.
+{{/IF}}
+
+---
+
+## 3. Zwecke und Rechtsgrundlagen
+
+| Zweck | Rechtsgrundlage |
+|-------|----------------|
+| Begruendung, Durchfuehrung und Beendigung des Beschaeftigungsverhaeltnisses | § 26 Abs. 1 BDSG |
+| Gehaltsabrechnung und Sozialversicherungsmeldungen | Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) |
+| Steuerliche Pflichten (Lohnsteuer) | Art. 6 Abs. 1 lit. c DSGVO |
+| Arbeitszeiterfassung (ArbZG) | Art. 6 Abs. 1 lit. c DSGVO |
+| Betriebliche Altersvorsorge | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
+{{#IF HAS_IT_USAGE_MONITORING}} | IT-Sicherheit und Missbrauchserkennung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | {{/IF}}
+{{#IF HAS_COMPANY_VEHICLE}} | Fuhrparkverwaltung und Fahrtenbuch | Art. 6 Abs. 1 lit. c/f DSGVO | {{/IF}}
+| Weiterbildung und Personalentwicklung | Art. 6 Abs. 1 lit. b/f DSGVO |
+| Arbeitssicherheit und Gesundheitsschutz | Art. 6 Abs. 1 lit. c DSGVO (ArbSchG) |
+| Betriebliches Eingliederungsmanagement (BEM) | § 167 Abs. 2 SGB IX |
+
+---
+
+## 4. Empfaenger
+
+| Empfaenger | Zweck | Rolle |
+|-----------|-------|------|
+| Personalabteilung (HR) | Personalverwaltung | Intern |
+| Vorgesetzte/Fachabteilung | Arbeitsorganisation | Intern |
+| Gehaltsabrechnungsdienstleister | Lohn-/Gehaltsabrechnung | Auftragsverarbeiter |
+| Finanzamt | Lohnsteuer | Gesetzliche Pflicht |
+| Sozialversicherungstraeger | SV-Meldungen | Gesetzliche Pflicht |
+| Krankenkasse | Krankmeldungen | Gesetzliche Pflicht |
+| Berufsgenossenschaft | Unfallversicherung | Gesetzliche Pflicht |
+{{#IF HAS_COMPANY_PENSION}} | Pensionskasse/Versorgungswerk | Betriebliche Altersvorsorge | Vertrag | {{/IF}}
+{{#IF HAS_EXTERNAL_HR_SOFTWARE}} | HR-Software-Anbieter | Personalverwaltung | Auftragsverarbeiter | {{/IF}}
+
+---
+
+## 5. Speicherdauer
+
+| Datenkategorie | Speicherdauer | Rechtsgrundlage |
+|---------------|:---:|---|
+| Personalakte (allgemein) | 3 Jahre nach Austritt | § 195 BGB (Verjaehrung) |
+| Lohn-/Gehaltsunterlagen | 6 Jahre | § 257 HGB |
+| Steuerunterlagen | 10 Jahre | § 147 AO |
+| Sozialversicherungsnachweise | 5 Jahre | §§ 28f, 110 SGB IV |
+| Zeugnisse (Erstellung) | Bis 3 Jahre nach Austritt | § 195 BGB |
+| BEM-Dokumentation | 3 Jahre nach Abschluss | § 195 BGB |
+{{#IF HAS_IT_USAGE_MONITORING}} | IT-Protokolldaten | {{LOG_RETENTION_DAYS}} Tage | Berechtigtes Interesse | {{/IF}}
+{{#IF HAS_VIDEO_SURVEILLANCE}} | Videoueberwachungsdaten | Max. 72 Stunden | Berechtigtes Interesse | {{/IF}}
+
+---
+
+## 6. Ihre Rechte
+
+Sie haben folgende Rechte:
+
+- Auskunft (Art. 15 DSGVO)
+- Berichtigung (Art. 16 DSGVO)
+- Loeschung (Art. 17 DSGVO)
+- Einschraenkung der Verarbeitung (Art. 18 DSGVO)
+- Datenuebertragbarkeit (Art. 20 DSGVO)
+- Widerspruch (Art. 21 DSGVO)
+- Beschwerde bei der Aufsichtsbehoerde (Art. 77 DSGVO): **{{SUPERVISORY_AUTHORITY_NAME}}**
+
+Zur Ausuebung Ihrer Rechte: {{DATA_SUBJECT_REQUEST_CHANNEL}}
+
+{{#IF HAS_WORKS_COUNCIL}}
+**Hinweis:** Bei Fragen zum Beschaeftigtendatenschutz koennen Sie sich auch an den Betriebsrat wenden.
+{{/IF}}
+
+---
+
+## 7. Pflicht zur Bereitstellung
+
+Die Bereitstellung der fuer die Begruendung und Durchfuehrung des Beschaeftigungsverhaeltnisses sowie zur Erfuellung gesetzlicher Pflichten erforderlichen Daten ist notwendig. Ohne diese Daten kann das Beschaeftigungsverhaeltnis nicht begruendet oder durchgefuehrt werden.
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_LEGAL_NAME","COMPANY_LEGAL_FORM","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","DPO_NAME","DPO_EMAIL","VERSION_DATE","DATA_SUBJECT_REQUEST_CHANNEL","SUPERVISORY_AUTHORITY_NAME","LOG_RETENTION_DAYS"]'::jsonb,
+    'de', 'DE',
+    'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published',
+    NOW(), NOW()
+WHERE NOT EXISTS (
+    SELECT 1 FROM compliance_legal_templates
+    WHERE document_type = 'employee_dsi'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+);
diff --git a/backend-compliance/migrations/101_security_concepts_v2.sql b/backend-compliance/migrations/101_security_concepts_v2.sql
new file mode 100644
index 0000000..95e3c4b
--- /dev/null
+++ b/backend-compliance/migrations/101_security_concepts_v2.sql
@@ -0,0 +1,130 @@
+-- Migration 101: Security Concepts v2 — Updates fuer alle 7 Templates aus Migration 051
+-- Keine strukturellen Aenderungen — die Templates sind bereits auf gutem Niveau
+-- Updates: NIS2UmsuCG Referenz, BSI Grundschutz++ Hinweis, AI Act, Version-Bump
+-- Cross-Document-Verweise auf TOM (087), AVV (088), DSI (093)
+
+-- ===========================================================================
+-- 1. IT-Sicherheitskonzept: NIS2UmsuCG + BSI Grundschutz++ + AI Act
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'IT-Sicherheitskonzept nach ISO/IEC 27001:2022, BSI IT-Grundschutz (inkl. Grundschutz++ Modernisierung), DSGVO Art. 32, NIS2-Richtlinie/NIS2UmsuCG und AI Act. Definiert Sicherheitsziele, Organisation, technische und organisatorische Massnahmen.',
+    content = REPLACE(
+        REPLACE(
+            content,
+            '- NIS2-Richtlinie Art. 21 (Risikomanagementmassnahmen)',
+            '- NIS2-Richtlinie Art. 21 / NIS2UmsuCG (Risikomanagementmassnahmen, seit Dez. 2025)
+- KI-Verordnung (EU) 2024/1689 Art. 9, 15 (falls KI-Systeme eingesetzt werden)'
+        ),
+        'NIS2 Art. 21: Risikomanagementmassnahmen',
+        'NIS2 Art. 21 / NIS2UmsuCG: Risikomanagementmassnahmen (seit Dez. 2025)
+- AI Act Art. 9/15: Risikomanagement fuer KI-Systeme (falls zutreffend)
+- Verweis: TOM-Dokumentation (Art. 32 DSGVO) fuer detaillierte Massnahmen'
+    ),
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'it_security_concept'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 2. Datenschutzkonzept: NIS2 + Verweis auf TOM/AVV/DSI
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Datenschutzkonzept gemaess DSGVO Art. 5, 6, 12-22, 24, 25, 28, 32-35 mit NIS2-Bezug. Beschreibt Datenschutzstrategie, Betroffenenrechte, TOMs und Auftragsverarbeitung. Verweist auf TOM-Dokumentation, AVV und DSI.',
+    content = REPLACE(
+        content,
+        '## 7. Technisch-Organisatorische Massnahmen (Art. 32 DSGVO)',
+        '## 7. Technisch-Organisatorische Massnahmen (Art. 32 DSGVO)
+
+*Detaillierte Massnahmenbeschreibung: siehe TOM-Dokumentation (Art. 32 DSGVO)*'
+    ),
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'data_protection_concept'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 3. Backup-Recovery-Konzept: Ransomware-Schutz ergaenzen
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Backup- und Recovery-Konzept nach BSI IT-Grundschutz CON.3 und ISO 27001. Definiert Backup-Strategie (3-2-1), RTO/RPO, Speicherorte, Verschluesselung und Testplan. Inkl. Ransomware-Schutz.',
+    content = REPLACE(
+        content,
+        '- **1** Kopie offsite',
+        '- **1** Kopie offsite (air-gapped oder immutable fuer Ransomware-Schutz)'
+    ),
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'backup_recovery_concept'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 4. Logging-Konzept: NIS2 Meldepflicht-Verweis
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Logging-Konzept nach BSI IT-Grundschutz OPS.1.1.5, ISO 27001 A.8.15 und BSI TR-03161. Definiert zu protokollierende Ereignisse, Speicherung, SIEM-Integration und NIS2-Nachweispflichten.',
+    content = REPLACE(
+        content,
+        '| ISO 27001 A.8.15 | Logging |',
+        '| ISO 27001 A.8.15 | Logging |
+| NIS2 Art. 23 | Nachweispflicht bei Sicherheitsvorfaellen |'
+    ),
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'logging_concept'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 5. Incident-Response-Plan: NIS2UmsuCG Fristen bestaetigen
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Incident-Response-Plan fuer Sicherheitsvorfaelle und Datenpannen. DSGVO Art. 33/34, NIS2 Art. 23 / NIS2UmsuCG. Klassifizierung, Response-Team, Meldepflichten (72h DSGVO, 24h NIS2) und Kommunikationsplan.',
+    content = REPLACE(
+        content,
+        '### NIS2 Art. 23 — BSI',
+        '### NIS2 Art. 23 / NIS2UmsuCG — BSI (seit Dez. 2025)'
+    ),
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'incident_response_plan'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 6. Zugriffskonzept: Zero-Trust-Verweis
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Zugriffskonzept nach ISO 27001 und BSI IT-Grundschutz ORP.4. Definiert RBAC, Benutzerlebenszyklus (On-/Offboarding), Authentifizierung (MFA/FIDO2), privilegierten Zugriff (PAM) und Rezertifizierung. Zero-Trust-Ansatz.',
+    content = REPLACE(
+        content,
+        '## 1. Grundsaetze
+
+- **Need-to-Know**: Zugriff nur bei Erforderlichkeit
+- **Least Privilege**: Minimal notwendige Berechtigungen
+- **Separation of Duties**: Kritische Vorgaenge erfordern mehrere Personen',
+        '## 1. Grundsaetze
+
+- **Need-to-Know**: Zugriff nur bei Erforderlichkeit
+- **Least Privilege**: Minimal notwendige Berechtigungen
+- **Separation of Duties**: Kritische Vorgaenge erfordern mehrere Personen
+- **Zero Trust**: Kein implizites Vertrauen — jeder Zugriff wird verifiziert, unabhaengig vom Netzwerkstandort'
+    ),
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'access_control_concept'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 7. Risikomanagement-Konzept: AI Act + NIS2 Risikobezug
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Risikomanagement-Konzept nach ISO 31000:2018, ISO 27005:2022, BSI-Standard 200-3, DSGVO Art. 32 und NIS2/AI Act. Definiert Risikoprozess, 5x5-Matrix, Behandlungsoptionen und KPIs.',
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'risk_management_concept'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
diff --git a/backend-compliance/migrations/102_dsfa_pflichten_dsr_v2.sql b/backend-compliance/migrations/102_dsfa_pflichten_dsr_v2.sql
new file mode 100644
index 0000000..6c76f4e
--- /dev/null
+++ b/backend-compliance/migrations/102_dsfa_pflichten_dsr_v2.sql
@@ -0,0 +1,43 @@
+-- Migration 102: DSFA + Pflichtenregister + DSR-Prozesse — v2 Updates
+-- Alle drei Template-Gruppen sind bereits auf gutem Niveau
+-- Updates: AI Act Bezug (DSFA), NIS2 (Pflichten), Tenant-ID Fix (DSR), Version-Bump
+
+-- ===========================================================================
+-- 1. DSFA: AI Act Art. 9 Bezug + Konsultationspflicht Art. 36 klarstellen
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO mit IF-Bloecken. Fuer Hochrisiko-Verarbeitungen, KI-Systeme (EU AI Act Art. 9), automatisierte Entscheidungen (Art. 22). Inkl. Risikomatrix, TOM-Verweis und Unterschriftenblock.',
+    version = '1.1',
+    updated_at = NOW()
+WHERE document_type = 'dsfa'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 2. Pflichtenregister: NIS2UmsuCG + AI Act als Rechtsrahmen
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    description = 'Vollstaendiges Pflichtenregister fuer alle regulatorischen Pflichten aus DSGVO, AI Act (EU 2024/1689), NIS2/NIS2UmsuCG und BDSG. Dokumentiert Pflichten, Verantwortlichkeiten, Fristen, Nachweise und Compliance-Status.',
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'pflichtenregister'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 3. DSR-Prozesse: Tenant-ID auf Standard setzen (war '__default__')
+-- ===========================================================================
+UPDATE compliance_legal_templates
+SET
+    tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    updated_at = NOW()
+WHERE document_type LIKE 'dsr_process_art%'
+  AND tenant_id = '__default__';
+
+-- Version-Bump fuer alle DSR-Prozesse
+UPDATE compliance_legal_templates
+SET
+    version = '1.1',
+    updated_at = NOW()
+WHERE document_type LIKE 'dsr_process_art%'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
diff --git a/backend-compliance/migrations/103_security_policies_new.sql b/backend-compliance/migrations/103_security_policies_new.sql
new file mode 100644
index 0000000..828747a
--- /dev/null
+++ b/backend-compliance/migrations/103_security_policies_new.sql
@@ -0,0 +1,429 @@
+-- Migration 103: 4 neue Security Policies + Updates fuer 056 + 072
+-- Neue Templates: information_security_policy, access_control_policy,
+--   password_policy, encryption_policy
+-- Updates: CRA (056) + alle 15 HR/Vendor/BCM (072) — AI Act + NIS2UmsuCG
+
+-- ===========================================================================
+-- NEUE TEMPLATES
+-- ===========================================================================
+
+-- Template 1: Informationssicherheitsrichtlinie
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'information_security_policy',
+    'Informationssicherheitsrichtlinie (ISMS-Leitlinie)',
+    'Uebergeordnete Leitlinie fuer Informationssicherheit nach ISO 27001:2022. Definiert Sicherheitsziele, Geltungsbereich, Rollen, Verantwortlichkeiten und Grundsaetze des ISMS.',
+    $template$# Informationssicherheitsrichtlinie
+
+**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Zweck und Stellenwert
+
+Diese Richtlinie definiert die uebergeordneten Grundsaetze und Ziele der Informationssicherheit bei {{COMPANY_NAME}}. Sie bildet die Grundlage des Informationssicherheits-Managementsystems (ISMS) und ist fuer alle Beschaeftigten, Auftragnehmer und Dienstleister verbindlich.
+
+Die Geschaeftsfuehrung bekennt sich zur Informationssicherheit und stellt die erforderlichen Ressourcen bereit.
+
+---
+
+## 2. Geltungsbereich
+
+Diese Richtlinie gilt fuer alle Informationswerte (Daten, Systeme, Anwendungen, Infrastruktur), Geschaeftsprozesse und Standorte von {{COMPANY_NAME}} sowie fuer alle Personen, die auf diese Informationswerte zugreifen.
+
+---
+
+## 3. Sicherheitsziele
+
+| Schutzziel | Beschreibung |
+|-----------|-------------|
+| **Vertraulichkeit** | Informationen sind nur fuer autorisierte Personen zugaenglich |
+| **Integritaet** | Informationen sind vollstaendig, korrekt und vor unbefugter Aenderung geschuetzt |
+| **Verfuegbarkeit** | Informationen und Systeme stehen bei Bedarf zur Verfuegung |
+
+---
+
+## 4. Grundsaetze
+
+- **Risikoorientierung:** Sicherheitsmassnahmen orientieren sich am Schutzbedarf und der Risikoanalyse
+- **Angemessenheit:** Massnahmen stehen im Verhaeltnis zum Schutzbedarf (Verhaeltnismaessigkeit)
+- **Kontinuierliche Verbesserung:** Das ISMS wird regelmaessig ueberprueft und verbessert (PDCA-Zyklus)
+- **Compliance:** Alle anwendbaren gesetzlichen und vertraglichen Anforderungen werden eingehalten
+- **Awareness:** Alle Mitarbeitenden werden geschult und sensibilisiert
+
+---
+
+## 5. Rollen und Verantwortlichkeiten
+
+| Rolle | Verantwortung |
+|-------|-------------|
+| Geschaeftsfuehrung ({{GF_NAME}}) | Gesamtverantwortung, Ressourcenbereitstellung, Freigabe |
+| Informationssicherheitsbeauftragter ({{ISB_NAME}}) | Operative Steuerung des ISMS, Risikomanagement, Audits |
+| Datenschutzbeauftragter ({{DPO_NAME}}) | Datenschutz-Compliance, Beratung |
+| Fuehrungskraefte | Umsetzung in ihrem Verantwortungsbereich |
+| Alle Mitarbeitenden | Einhaltung der Richtlinien, Meldung von Vorfaellen |
+
+---
+
+## 6. Untergeordnete Richtlinien
+
+Diese Leitlinie wird durch folgende Einzelrichtlinien konkretisiert:
+
+- Passwortrichtlinie
+- Zugriffskontrollrichtlinie
+- Verschluesselungsrichtlinie
+- IT-Nutzungsrichtlinie
+- Remote-Work-Richtlinie
+- Datenschutzrichtlinie
+- Incident-Response-Plan
+- Backup- und Recovery-Konzept
+- Logging-Konzept
+
+---
+
+## 7. Normative Referenzen
+
+| Standard | Relevanz |
+|----------|----------|
+| ISO/IEC 27001:2022 | ISMS-Anforderungen |
+| ISO/IEC 27002:2022 | Controls-Katalog |
+| BSI IT-Grundschutz | Nationale Umsetzung |
+| DSGVO Art. 32 | Sicherheit der Verarbeitung |
+| NIS2 / NIS2UmsuCG | Cybersicherheitspflichten |
+
+---
+
+## 8. Durchsetzung und Sanktionen
+
+Verstoesse gegen diese Richtlinie koennen arbeitsrechtliche Konsequenzen nach sich ziehen. Bei Verdacht auf Verstoesse ist der ISB unverzueglich zu informieren.
+
+---
+
+## 9. Revision
+
+Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_NAME","GF_NAME","ISB_NAME","DPO_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb,
+    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published', NOW(), NOW()
+WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'information_security_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
+
+-- Template 2: Passwortrichtlinie
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'password_policy',
+    'Passwortrichtlinie',
+    'Passwortrichtlinie nach BSI IT-Grundschutz ORP.4 und NIST SP 800-63B. Passwortkomplexitaet, MFA, Sperrung, Speicherung, Service-Accounts.',
+    $template$# Passwortrichtlinie
+
+**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Geltungsbereich
+
+Diese Richtlinie gilt fuer alle Systeme, Anwendungen und Dienste von {{COMPANY_NAME}} sowie fuer alle Nutzer dieser Systeme (Mitarbeitende, Auftragnehmer, Dienstleister).
+
+---
+
+## 2. Passwortanforderungen
+
+| Anforderung | Wert |
+|-------------|------|
+| Mindestlaenge | 12 Zeichen (Administratoren: 16 Zeichen) |
+| Komplexitaet | Mind. 3 von 4 Kategorien (Gross-, Kleinbuchstaben, Ziffern, Sonderzeichen) |
+| Passworthistorie | Letzte 10 Passwoerter duerfen nicht wiederverwendet werden |
+| Maximale Gueltigkeit | Kein erzwungener Wechsel (NIST-Empfehlung), ausser bei Kompromittierungsverdacht |
+| Sperrung | Nach 5 aufeinanderfolgenden Fehlversuchen fuer 15 Minuten |
+
+**Verboten:** Woerterbuch-Woerter, persoenliche Daten (Name, Geburtsdatum), Firmenname, Tastaturmuster (qwerty, 12345).
+
+---
+
+## 3. Multi-Faktor-Authentifizierung (MFA)
+
+| System | MFA Pflicht | Empfohlene Methode |
+|--------|:---:|---|
+| E-Mail | Ja | TOTP oder FIDO2 |
+| VPN/Remote | Ja | TOTP oder FIDO2 |
+| Cloud-Dienste | Ja | TOTP oder FIDO2 |
+| Admin-Zugaenge | Ja | FIDO2 (Hardware-Token) |
+| Interne Anwendungen | Empfohlen | TOTP |
+
+---
+
+## 4. Passwortspeicherung
+
+- Passwoerter werden ausschliesslich als **salted Hash** gespeichert (bcrypt, scrypt oder Argon2)
+- Klartext-Speicherung ist **verboten**
+- Die Verwendung eines Passwort-Managers wird empfohlen
+
+---
+
+## 5. Service-Accounts und technische Zugaenge
+
+- Individuelle Credentials pro Service-Account
+- Passwoerter fuer Service-Accounts mind. 24 Zeichen, zufaellig generiert
+- Rotation alle 12 Monate oder bei Personalwechsel
+- Dokumentation in einem Secrets-Management-System
+
+---
+
+## 6. Kompromittierung
+
+Bei Verdacht auf Kompromittierung eines Passworts:
+1. Sofortige Aenderung des betroffenen Passworts
+2. Meldung an IT-Support und ISB
+3. Pruefung ob das Passwort in Breach-Datenbanken auftaucht (z.B. haveibeenpwned)
+4. Pruefung aller Systeme, fuer die dasselbe Passwort verwendet wurde
+
+---
+
+## 7. Revision
+
+Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb,
+    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published', NOW(), NOW()
+WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'password_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
+
+-- Template 3: Verschluesselungsrichtlinie
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'encryption_policy',
+    'Verschluesselungsrichtlinie',
+    'Verschluesselungsrichtlinie nach BSI TR-02102 und ISO 27001 A.8.24. Zugelassene Algorithmen, Schluesselmanagement, TLS-Konfiguration, Datenverschluesselung.',
+    $template$# Verschluesselungsrichtlinie
+
+**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Geltungsbereich
+
+Diese Richtlinie regelt den Einsatz kryptographischer Massnahmen bei {{COMPANY_NAME}} zum Schutz der Vertraulichkeit, Integritaet und Authentizitaet von Informationen.
+
+---
+
+## 2. Zugelassene Algorithmen
+
+### 2.1 Symmetrische Verschluesselung
+
+| Algorithmus | Schluessellaenge | Status | Verwendung |
+|------------|:---:|:---:|---|
+| AES-256 | 256 Bit | Zugelassen | Datenverschluesselung at-rest + in-transit |
+| AES-128 | 128 Bit | Zugelassen | Nur fuer Performance-kritische Anwendungen |
+| ChaCha20-Poly1305 | 256 Bit | Zugelassen | Alternative zu AES (mobile Geraete) |
+
+### 2.2 Asymmetrische Verschluesselung
+
+| Algorithmus | Schluessellaenge | Status |
+|------------|:---:|:---:|
+| RSA | >= 3072 Bit | Zugelassen (4096 empfohlen) |
+| ECDSA | >= 256 Bit (P-256) | Zugelassen (P-384 empfohlen) |
+| Ed25519 | 256 Bit | Zugelassen (bevorzugt fuer Signaturen) |
+
+### 2.3 Hash-Funktionen
+
+| Algorithmus | Status |
+|------------|:---:|
+| SHA-256 / SHA-384 / SHA-512 | Zugelassen |
+| SHA-3 | Zugelassen |
+| SHA-1 | **Verboten** (nur Legacy-Kompatibilitaet) |
+| MD5 | **Verboten** |
+
+### 2.4 Verbotene Algorithmen
+
+DES, 3DES, RC4, MD5, SHA-1 (ausser Legacy), RSA < 2048 Bit
+
+---
+
+## 3. Verschluesselung in der Praxis
+
+### 3.1 Transport (in-transit)
+
+| Protokoll | Mindestversion | Empfehlung |
+|-----------|:---:|:---:|
+| TLS | 1.2 | TLS 1.3 |
+| SSH | 2.0 | Aktuelle Version |
+| IPsec | — | Fuer Site-to-Site VPN |
+
+TLS 1.0 und TLS 1.1 sind **verboten**.
+
+### 3.2 Speicherung (at-rest)
+
+- Datenbanken: Transparent Data Encryption (TDE) oder Spalten-Verschluesselung
+- Dateisysteme: Festplattenverschluesselung (BitLocker, FileVault, LUKS)
+- Cloud: Server-seitige Verschluesselung mit kundenverwaltetem Schluessel (BYOK)
+- Backups: Verschluesselung vor Uebertragung
+
+---
+
+## 4. Schluesselmanagement
+
+| Aspekt | Regelung |
+|--------|---------|
+| Erzeugung | Kryptographisch sichere Zufallsgeneratoren (CSPRNG) |
+| Speicherung | Hardware Security Module (HSM) oder Secrets Manager |
+| Rotation | Alle 12 Monate oder bei Kompromittierungsverdacht |
+| Zugriff | Streng limitiert, 4-Augen-Prinzip fuer Master-Keys |
+| Vernichtung | Kryptographisches Loeschen (Key Zeroization) |
+| Backup | Separates Key-Backup, nicht zusammen mit verschluesselten Daten |
+
+---
+
+## 5. Zertifikatsmanagement
+
+- TLS-Zertifikate: Automatische Erneuerung (Let's Encrypt / ACME)
+- Monitoring: Alerting 30 Tage vor Ablauf
+- Certificate Transparency Logs: Ueberwachung auf unautorisierte Ausstellung
+
+---
+
+## 6. Normative Referenzen
+
+| Standard | Relevanz |
+|----------|----------|
+| BSI TR-02102-1 | Kryptographische Verfahren: Empfehlungen und Schluessellaengen |
+| BSI TR-02102-2 | TLS-Konfiguration |
+| ISO 27001 A.8.24 | Einsatz kryptographischer Massnahmen |
+| DSGVO Art. 32 Abs. 1 lit. a | Verschluesselung als TOM |
+
+---
+
+## 7. Revision
+
+Jaehrliche Pruefung durch ISB anhand aktueller BSI-Empfehlungen. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb,
+    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published', NOW(), NOW()
+WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'encryption_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
+
+-- Template 4: Zugriffskontrollrichtlinie (ergaenzt das Zugriffskonzept aus 051)
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'access_control_policy',
+    'Zugriffskontrollrichtlinie',
+    'Kurzfassung der Zugriffsregeln fuer Mitarbeitende. Abgeleitet vom detaillierten Zugriffskonzept (access_control_concept). RBAC, MFA, Least Privilege, Rezertifizierung.',
+    $template$# Zugriffskontrollrichtlinie
+
+**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Geltungsbereich
+
+Diese Richtlinie regelt den Zugriff auf IT-Systeme, Anwendungen und Daten bei {{COMPANY_NAME}}. Sie gilt fuer alle Mitarbeitenden, Auftragnehmer und externen Dienstleister.
+
+Detaillierte technische Vorgaben finden sich im Zugriffskonzept.
+
+---
+
+## 2. Grundsaetze
+
+- **Need-to-Know:** Zugriff nur bei dienstlicher Erforderlichkeit
+- **Least Privilege:** Nur die minimal notwendigen Berechtigungen
+- **Separation of Duties:** Kritische Vorgaenge erfordern mehrere Personen
+- **Zero Trust:** Jeder Zugriff wird verifiziert, unabhaengig vom Standort
+
+---
+
+## 3. Berechtigungsvergabe
+
+- Berechtigungen werden ueber den Vorgesetzten beantragt
+- IT setzt die Berechtigungen innerhalb von 2 Werktagen um
+- Aenderungen bei Versetzung: alte Rechte entziehen, neue beantragen
+- Bei Austritt: alle Zugaenge am letzten Arbeitstag deaktivieren
+
+---
+
+## 4. Authentifizierung
+
+- Mindestens 12 Zeichen, komplexes Passwort (siehe Passwortrichtlinie)
+- Multi-Faktor-Authentifizierung fuer alle externen Zugaenge und privilegierten Accounts
+- Gemeinsam genutzte Accounts sind **verboten**
+
+---
+
+## 5. Rezertifizierung
+
+- Standard-Berechtigungen: halbjaehrlich
+- Privilegierte Zugaenge: quartalsweise
+- Service-Accounts: jaehrlich
+
+---
+
+## 6. Pflichten der Nutzer
+
+- Zugangsdaten geheim halten und nicht weitergeben
+- Bildschirmsperre bei Verlassen des Arbeitsplatzes
+- Verdacht auf Missbrauch sofort an IT-Support und ISB melden
+
+---
+
+## 7. Revision
+
+Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb,
+    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published', NOW(), NOW()
+WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'access_control_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
+
+-- ===========================================================================
+-- UPDATES fuer bestehende Templates (056 + 072)
+-- ===========================================================================
+
+-- CRA Cybersecurity Policy: AI Act Referenz
+UPDATE compliance_legal_templates
+SET
+    description = 'CRA Cybersecurity Policy nach Cyber Resilience Act (EU 2024/2847), ISO 27001, NIS2/NIS2UmsuCG, DSGVO Art. 32 und AI Act (EU 2024/1689). SSDLC, Vulnerability Management, SBOM, Supply Chain Security.',
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type = 'cybersecurity_policy'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- Alle 15 HR/Vendor/BCM Policies: NIS2UmsuCG + AI Act in Description
+UPDATE compliance_legal_templates
+SET
+    version = '1.1.0',
+    updated_at = NOW()
+WHERE document_type IN (
+    'data_protection_policy', 'data_classification_policy', 'data_retention_policy',
+    'data_transfer_policy', 'privacy_incident_policy', 'employee_security_policy',
+    'security_awareness_policy', 'remote_work_policy', 'offboarding_policy',
+    'vendor_risk_management_policy', 'third_party_security_policy',
+    'supplier_security_policy', 'business_continuity_policy',
+    'disaster_recovery_policy', 'crisis_management_policy'
+)
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
diff --git a/backend-compliance/migrations/104_special_templates.sql b/backend-compliance/migrations/104_special_templates.sql
new file mode 100644
index 0000000..ba5028d
--- /dev/null
+++ b/backend-compliance/migrations/104_special_templates.sql
@@ -0,0 +1,577 @@
+-- Migration 104: Spezial-Templates — Phase 5
+-- 5 neue Templates: KI-Nutzungsrichtlinie, BYOD, ISMS-Leitfaden,
+--   Consent-Texte (Double-Opt-In), Videokonferenz-DSI
+
+-- ===========================================================================
+-- Template 1: KI-Nutzungsrichtlinie (AI Act + interne Governance)
+-- ===========================================================================
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'ai_usage_policy',
+    'KI-Nutzungsrichtlinie (AI Act / interne Governance)',
+    'Interne Richtlinie fuer den Einsatz von KI-Systemen (ChatGPT, Copilot, etc.). AI Act Schulungspflicht (Art. 4, seit Feb 2025), erlaubte/verbotene Nutzung, Datenschutz, Qualitaetspruefung, Kennzeichnungspflicht.',
+    $template$# KI-Nutzungsrichtlinie
+
+Interne Richtlinie fuer den Einsatz von Systemen der kuenstlichen Intelligenz
+
+**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Zweck und Geltungsbereich
+
+(1) Diese Richtlinie regelt den Einsatz von KI-Systemen bei {{COMPANY_NAME}}. Sie gilt fuer alle Beschaeftigten, Auftragnehmer und Dienstleister, die im Rahmen ihrer Taetigkeit KI-Werkzeuge nutzen.
+
+(2) Als KI-Systeme gelten insbesondere: Generative KI (ChatGPT, Claude, Gemini, Copilot), Bild-/Video-Generatoren (DALL-E, Midjourney), Code-Assistenten (GitHub Copilot), Uebersetzungstools und sonstige automatisierte Entscheidungssysteme.
+
+---
+
+## 2. Rechtsrahmen
+
+| Vorschrift | Relevanz |
+|-----------|----------|
+| **AI Act (EU) 2024/1689** | Risikoklassifizierung, Verbote, Transparenz, Schulungspflicht (Art. 4) |
+| **DSGVO** | Verarbeitung personenbezogener Daten durch KI |
+| **UrhG** | Urheberrecht an KI-generierten Inhalten |
+| **GeschGehG** | Schutz von Geschaeftsgeheimnissen |
+
+**Schulungspflicht (Art. 4 AI Act):** Seit Februar 2025 muessen alle Personen, die KI-Systeme einsetzen, ueber ausreichende KI-Kompetenz verfuegen. {{COMPANY_NAME}} stellt die erforderlichen Schulungen bereit.
+
+---
+
+## 3. Freigegebene KI-Systeme
+
+{{#IF HAS_APPROVED_AI_LIST}}
+Folgende KI-Systeme sind fuer die dienstliche Nutzung freigegeben:
+
+{{APPROVED_AI_SYSTEMS}}
+
+Die Nutzung nicht freigegebener KI-Systeme fuer dienstliche Zwecke ist untersagt. Vorschlaege zur Freigabe weiterer Systeme koennen beim ISB eingereicht werden.
+{{/IF}}
+{{#IF_NOT HAS_APPROVED_AI_LIST}}
+Die Nutzung von KI-Systemen fuer dienstliche Zwecke bedarf der vorherigen Freigabe durch den ISB. Ohne Freigabe duerfen keine KI-Systeme fuer die Verarbeitung dienstlicher Daten eingesetzt werden.
+{{/IF_NOT}}
+
+---
+
+## 4. Verbotene Eingaben
+
+Folgende Daten duerfen **niemals** in externe KI-Systeme eingegeben werden:
+
+- **Personenbezogene Daten** (Namen, Adressen, E-Mail-Adressen von Kunden, Mitarbeitenden oder Dritten)
+- **Geschaeftsgeheimnisse** (Strategien, Finanzdaten, unveroeffenlichte Produkte, Quellcode)
+- **Vertrauliche Kundendaten** (Vertraege, Angebote, Korrespondenz)
+- **Passwoerter, Zugangsdaten, API-Keys**
+- **Gesundheitsdaten, Bewerberdaten, Personaldaten**
+
+**Faustregel:** Wenn Sie die Information nicht an eine fremde Person per E-Mail senden wuerden, geben Sie sie nicht in ein KI-System ein.
+
+---
+
+## 5. Erlaubte Nutzung
+
+KI-Systeme duerfen fuer folgende Zwecke eingesetzt werden:
+
+- Formulierungshilfe fuer allgemeine Texte (ohne vertrauliche Inhalte)
+- Recherche und Zusammenfassung oeffentlich verfuegbarer Informationen
+- Ideengenerierung und Brainstorming
+- Code-Unterstuetzung (ohne proprietaeren Quellcode)
+- Uebersetzung nicht-vertraulicher Texte
+
+---
+
+## 6. Qualitaetspruefung (Human-in-the-Loop)
+
+(1) **Alle KI-generierten Inhalte muessen vor der Verwendung durch einen Menschen geprueft werden.** KI-Ausgaben koennen fehlerhaft, veraltet oder voreingenommen sein.
+
+(2) Insbesondere ist zu pruefen:
+- Sachliche Richtigkeit (Faktencheck)
+- Vollstaendigkeit
+- Urheberrechtliche Unbedenklichkeit
+- Diskriminierungsfreiheit
+
+(3) KI-generierte Inhalte duerfen nicht als eigene Leistung ausgegeben werden, wenn dies taeuschend waere.
+
+---
+
+## 7. Kennzeichnungspflicht
+
+{{#IF HAS_AI_LABELING_INTERNAL}}
+(1) Intern: KI-unterstuetzte Dokumente, Praesentationen und Analysen sind als solche zu kennzeichnen (z.B. Fussnote "Mit KI-Unterstuetzung erstellt").
+
+(2) Extern: KI-generierte Inhalte, die veroeffentlicht oder an Kunden uebermittelt werden, unterliegen der Kennzeichnungspflicht nach Art. 50 AI Act (ab August 2026). Bis dahin empfiehlt {{COMPANY_NAME}} eine freiwillige Kennzeichnung.
+{{/IF}}
+
+---
+
+## 8. Datenschutz
+
+(1) Die Nutzung von KI-Systemen, die personenbezogene Daten verarbeiten, erfordert eine Datenschutz-Folgenabschaetzung (Art. 35 DSGVO), sofern ein hohes Risiko fuer die Rechte und Freiheiten betroffener Personen besteht.
+
+(2) Bei der Nutzung externer KI-Dienste ist zu pruefen, ob ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) erforderlich ist und ob Daten in Drittlaender uebermittelt werden.
+
+(3) KI-Systeme, die automatisierte Einzelentscheidungen treffen (Art. 22 DSGVO), beduerfen besonderer Pruefung und Dokumentation.
+
+---
+
+## 9. Urheberrecht
+
+(1) KI-generierte Inhalte geniessen nach aktueller Rechtslage in der Regel keinen urheberrechtlichen Schutz (kein menschlicher Schoepfer).
+
+(2) Bei der Eingabe von Inhalten in KI-Systeme ist sicherzustellen, dass keine Urheberrechte Dritter verletzt werden.
+
+(3) Der TDM-Opt-out (Art. 4 Richtlinie (EU) 2019/790) ist fuer Inhalte von {{COMPANY_NAME}} aktiviert — unsere Inhalte duerfen nicht fuer KI-Training verwendet werden.
+
+---
+
+## 10. Verstoesse
+
+Verstoesse gegen diese Richtlinie koennen arbeitsrechtliche Konsequenzen nach sich ziehen. Bei Verdacht auf einen Verstoss ist der ISB unverzueglich zu informieren.
+
+---
+
+## 11. Revision
+
+Diese Richtlinie wird aufgrund der dynamischen Entwicklung im KI-Bereich **halbjaehrlich** ueberprueft. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","APPROVED_AI_SYSTEMS"]'::jsonb,
+    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published', NOW(), NOW()
+WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'ai_usage_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
+
+-- ===========================================================================
+-- Template 2: BYOD-Richtlinie
+-- ===========================================================================
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'byod_policy',
+    'BYOD-Richtlinie (Bring Your Own Device)',
+    'Richtlinie fuer die Nutzung privater Endgeraete im Unternehmenskontext. DSGVO-konform, Container-Loesung, Remote-Loeschung, On-/Offboarding, DSFA-Hinweis.',
+    $template$# BYOD-Richtlinie (Bring Your Own Device)
+
+**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Zweck und Geltungsbereich
+
+Diese Richtlinie regelt die Nutzung privater Endgeraete (Smartphones, Tablets, Laptops) fuer dienstliche Zwecke bei {{COMPANY_NAME}} (Bring Your Own Device — BYOD).
+
+Sie gilt fuer alle Beschaeftigten, die private Geraete fuer den Zugriff auf Unternehmensdaten, E-Mail, Kalender oder interne Systeme nutzen moechten.
+
+---
+
+## 2. Teilnahme und Freigabe
+
+(1) Die Teilnahme am BYOD-Programm ist **freiwillig**. Es besteht kein Anspruch auf Nutzung privater Geraete.
+
+(2) Die Teilnahme setzt voraus:
+- Schriftliche Vereinbarung zwischen Mitarbeitendem und {{COMPANY_NAME}}
+- Installation der vorgeschriebenen Sicherheitssoftware (MDM/Container)
+- Teilnahme an der BYOD-Sicherheitsschulung
+
+(3) {{COMPANY_NAME}} behaelt sich vor, die BYOD-Berechtigung jederzeit zu widerrufen.
+
+---
+
+## 3. Technische Anforderungen
+
+### 3.1 Mindestanforderungen
+
+| Anforderung | Beschreibung |
+|-------------|-------------|
+| Betriebssystem | Aktuelle oder vorletzte Version (iOS/Android/Windows/macOS) |
+| Sicherheitsupdates | Automatische Installation aktiviert |
+| Bildschirmsperre | PIN (mind. 6 Zeichen) oder biometrisch |
+| Verschluesselung | Geraeteverschluesselung aktiviert |
+| Jailbreak/Root | **Verboten** — gerootete/gejailbreakte Geraete sind ausgeschlossen |
+
+### 3.2 Container-Loesung
+
+Unternehmensdaten werden in einem verschluesselten Container auf dem Geraet gespeichert. Der Container ist vom privaten Bereich des Geraets getrennt. {{COMPANY_NAME}} hat **keinen Zugriff** auf private Daten, Apps oder Inhalte ausserhalb des Containers.
+
+---
+
+## 4. Datenschutz und Datentrennung
+
+(1) **Strikte Trennung:** Unternehmensdaten und private Daten werden technisch getrennt (Container). Ein Zugriff privater Apps auf Unternehmensdaten ist nicht moeglich.
+
+(2) **Kein Zugriff auf Privatdaten:** {{COMPANY_NAME}} greift nicht auf private Daten, Fotos, Nachrichten, Standortdaten oder Apps zu. Die MDM-Loesung verwaltet ausschliesslich den Unternehmens-Container.
+
+(3) **Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Unternehmensdaten), abgestuetzt durch die freiwillige BYOD-Vereinbarung.
+
+(4) **DSFA:** Eine Datenschutz-Folgenabschaetzung wurde fuer das BYOD-Programm durchgefuehrt.
+
+---
+
+## 5. Remote-Loeschung
+
+(1) {{COMPANY_NAME}} kann den Unternehmens-Container im Verlust- oder Diebstahlfall **fernloeschen** (Selective Wipe). Private Daten werden dabei **nicht** geloescht.
+
+(2) Der Mitarbeitende ist verpflichtet, den Verlust oder Diebstahl eines BYOD-Geraets **unverzueglich** dem IT-Support zu melden.
+
+---
+
+## 6. Offboarding
+
+Bei Beendigung des Beschaeftigungsverhaeltnisses:
+- Unternehmens-Container wird geloescht
+- MDM-Profil wird entfernt
+- Alle Unternehmensdaten werden vom Geraet entfernt
+- Private Daten bleiben unberuehrt
+
+---
+
+## 7. Pflichten der Mitarbeitenden
+
+- Sicherheitsupdates zeitnah installieren
+- Geraet nicht an Dritte weitergeben (mit aktivem Container)
+- Verlust oder Diebstahl unverzueglich melden
+- Keine Unternehmensdaten ausserhalb des Containers speichern
+- Keine Screenshots von vertraulichen Unternehmensdaten
+
+---
+
+## 8. Kosten
+
+{{#IF BYOD_COST_SHARING}}
+{{COMPANY_NAME}} beteiligt sich an den Kosten fuer die dienstliche Nutzung des privaten Geraets: {{BYOD_COST_DETAILS}}
+{{/IF}}
+{{#IF_NOT BYOD_COST_SHARING}}
+Die Kosten fuer das private Geraet und den Mobilfunkvertrag traegt der Mitarbeitende. {{COMPANY_NAME}} stellt die erforderliche Sicherheitssoftware kostenlos bereit.
+{{/IF_NOT}}
+
+---
+
+## 9. Revision
+
+Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","BYOD_COST_DETAILS"]'::jsonb,
+    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published', NOW(), NOW()
+WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'byod_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
+
+-- ===========================================================================
+-- Template 3: Consent-Texte (Double-Opt-In fuer E-Mail-Marketing)
+-- ===========================================================================
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'consent_texts',
+    'Einwilligungstexte (Double-Opt-In, Newsletter, Marketing)',
+    'Sammlung von Einwilligungstexten fuer Newsletter, E-Mail-Marketing, Tracking und Profiling. DSGVO Art. 6 Abs. 1 lit. a, Art. 7, UWG § 7 Abs. 2 Nr. 3. Mit Double-Opt-In Bestaetigungsmail.',
+    $template$# Einwilligungstexte
+
+Vorlagen fuer DSGVO-konforme Einwilligungserklaerungen
+
+**{{COMPANY_NAME}}** | Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Newsletter-Anmeldung (Checkbox-Text)
+
+> Ich moechte den Newsletter von {{COMPANY_NAME}} erhalten und willige in die Verarbeitung meiner E-Mail-Adresse zum Versand des Newsletters ein. Ich kann die Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen, z.B. ueber den Abmeldelink in jeder E-Mail. Datenschutzinformation: {{PRIVACY_POLICY_URL}}
+
+---
+
+## 2. Double-Opt-In Bestaetigungsmail
+
+**Betreff:** Bitte bestaetigen Sie Ihre Newsletter-Anmeldung
+
+**Text:**
+
+> Vielen Dank fuer Ihr Interesse am Newsletter von {{COMPANY_NAME}}.
+>
+> Bitte bestaetigen Sie Ihre Anmeldung durch Klick auf den folgenden Link:
+>
+> [Anmeldung bestaetigen]
+>
+> Falls Sie diese Anmeldung nicht angefordert haben, ignorieren Sie bitte diese E-Mail. Ihre E-Mail-Adresse wird dann nicht gespeichert.
+>
+> Mit freundlichen Gruessen
+> {{COMPANY_NAME}}
+
+---
+
+## 3. Marketing-Einwilligung (erweitert)
+
+> Ich willige ein, dass {{COMPANY_NAME}} meine E-Mail-Adresse nutzt, um mir Informationen zu Produkten, Angeboten und Neuigkeiten per E-Mail zuzusenden. Ich kann die Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen. Datenschutzinformation: {{PRIVACY_POLICY_URL}}
+
+---
+
+{{#IF HAS_TRACKING_CONSENT}}
+## 4. Tracking in E-Mails (Oeffnungs-/Klicktracking)
+
+> Ich willige ein, dass {{COMPANY_NAME}} mein Oeffnungs- und Klickverhalten in E-Mails analysiert, um die Inhalte an meine Interessen anzupassen. Die Analyse erfolgt ueber eingebettete Tracking-Pixel und Link-Weiterleitungen. Ich kann diese Einwilligung jederzeit widerrufen.
+{{/IF}}
+
+---
+
+{{#IF HAS_PROFILING_CONSENT}}
+## 5. Profiling/Personalisierung
+
+> Ich willige ein, dass {{COMPANY_NAME}} mein Nutzungsverhalten auf {{PLATFORM_NAME}} analysiert, um mir personalisierte Inhalte und Empfehlungen anzuzeigen. Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung statt (Art. 22 DSGVO). Ich kann diese Einwilligung jederzeit widerrufen.
+{{/IF}}
+
+---
+
+## 6. Abmeldebestaetigung
+
+**Betreff:** Ihre Newsletter-Abmeldung
+
+**Text:**
+
+> Sie wurden erfolgreich vom Newsletter von {{COMPANY_NAME}} abgemeldet.
+>
+> Ihre E-Mail-Adresse wird innerhalb von 7 Tagen aus unserem Verteiler geloescht.
+>
+> Falls Sie sich erneut anmelden moechten: {{NEWSLETTER_SIGNUP_URL}}
+
+---
+
+## 7. Hinweise zur Implementierung
+
+- Die Einwilligung muss **aktiv** erfolgen (Checkbox nicht vorausgewaehlt)
+- Die Einwilligung muss **dokumentiert** werden (Zeitpunkt, IP-Adresse, Text)
+- **Koppelungsverbot** (Art. 7 Abs. 4 DSGVO): Die Einwilligung darf nicht an eine Vertragsbedingung gekoppelt werden
+- **Double-Opt-In** ist in Deutschland fuer E-Mail-Marketing **zwingend** (UWG § 7 Abs. 2 Nr. 3)
+- Der Widerruf muss ebenso einfach sein wie die Erteilung (Abmeldelink in jeder E-Mail)
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_NAME","VERSION_DATE","PRIVACY_POLICY_URL","PLATFORM_NAME","NEWSLETTER_SIGNUP_URL"]'::jsonb,
+    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published', NOW(), NOW()
+WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'consent_texts' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
+
+-- ===========================================================================
+-- Template 4: Videokonferenz-DSI
+-- ===========================================================================
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'video_conference_dsi',
+    'Datenschutzinformation — Videokonferenzen',
+    'Datenschutzinformation fuer Teilnehmer von Videokonferenzen (Zoom, Teams, Meet). Art. 13 DSGVO, Aufzeichnungshinweis, Drittlanduebermittlung.',
+    $template$# Datenschutzinformation — Videokonferenzen
+
+Informationen gemaess Art. 13 DSGVO fuer Teilnehmer von Videokonferenzen
+
+**{{COMPANY_NAME}}** | Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Verantwortlicher
+
+**{{COMPANY_NAME}}**, {{COMPANY_ADDRESS_FULL}}
+E-Mail: {{CONTACT_EMAIL}}
+{{#IF DPO_NAME}}DSB: {{DPO_NAME}} — {{DPO_EMAIL}}{{/IF}}
+
+---
+
+## 2. Eingesetztes Tool
+
+| Eigenschaft | Angabe |
+|-------------|--------|
+| Anbieter | {{VIDEO_PROVIDER_NAME}} |
+| Sitz | {{VIDEO_PROVIDER_COUNTRY}} |
+| Rolle | {{VIDEO_PROVIDER_ROLE}} |
+| Datenschutzinformationen | {{VIDEO_PROVIDER_PRIVACY_URL}} |
+
+{{#IF VIDEO_PROVIDER_IS_US}}
+**Drittlanduebermittlung:** Der Anbieter ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusaetzlich werden EU-Standardvertragsklauseln eingesetzt.
+{{/IF}}
+
+---
+
+## 3. Verarbeitete Daten
+
+| Kategorie | Beispiele |
+|-----------|----------|
+| Accountdaten | Name, E-Mail (bei registrierten Nutzern) |
+| Meetingdaten | Datum, Uhrzeit, Dauer, Teilnehmer, Meeting-ID |
+| Inhaltsdaten | Audio, Video, Chat-Nachrichten, geteilte Inhalte |
+| Technische Daten | IP-Adresse, Geraetetyp, Browserversion |
+{{#IF HAS_RECORDING}} | Aufzeichnungen | Audio-/Videoaufzeichnung des Meetings | {{/IF}}
+
+---
+
+## 4. Zwecke und Rechtsgrundlagen
+
+| Zweck | Rechtsgrundlage |
+|-------|----------------|
+| Durchfuehrung der Videokonferenz | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) oder lit. f (berechtigtes Interesse) |
+| IT-Sicherheit und Stoerungsbehebung | Art. 6 Abs. 1 lit. f DSGVO |
+{{#IF HAS_RECORDING}} | Aufzeichnung (bei Einwilligung) | Art. 6 Abs. 1 lit. a DSGVO | {{/IF}}
+
+{{#IF HAS_RECORDING}}
+**Hinweis Aufzeichnung:** Videokonferenzen werden nur mit **vorheriger Einwilligung aller Teilnehmer** aufgezeichnet. Die Einwilligung wird zu Beginn des Meetings eingeholt. Teilnehmer, die nicht einwilligen, koennen ohne Aufzeichnung teilnehmen oder das Meeting verlassen.
+{{/IF}}
+
+---
+
+## 5. Speicherdauer
+
+| Daten | Speicherdauer |
+|-------|:---:|
+| Meeting-Metadaten | 30 Tage |
+| Chat-Nachrichten | Bis Meeting-Ende (nicht gespeichert) |
+{{#IF HAS_RECORDING}} | Aufzeichnungen | {{RECORDING_RETENTION_DAYS}} Tage | {{/IF}}
+| Technische Logs | 7 Tage |
+
+---
+
+## 6. Ihre Rechte
+
+Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17), Einschraenkung (Art. 18), Widerspruch (Art. 21), Beschwerde bei der Aufsichtsbehoerde (Art. 77 DSGVO).
+
+Kontakt: {{DATA_SUBJECT_REQUEST_CHANNEL}}
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_NAME","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","DPO_NAME","DPO_EMAIL","VERSION_DATE","VIDEO_PROVIDER_NAME","VIDEO_PROVIDER_COUNTRY","VIDEO_PROVIDER_ROLE","VIDEO_PROVIDER_PRIVACY_URL","DATA_SUBJECT_REQUEST_CHANNEL","RECORDING_RETENTION_DAYS"]'::jsonb,
+    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published', NOW(), NOW()
+WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'video_conference_dsi' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
+
+-- ===========================================================================
+-- Template 5: ISMS-Leitfaden (Kurzfassung fuer /sdk/isms Modul)
+-- ===========================================================================
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'isms_manual',
+    'ISMS-Handbuch (ISO 27001)',
+    'ISMS-Handbuch als uebergeordnetes Dokument des Informationssicherheits-Managementsystems nach ISO 27001:2022. Verweist auf alle untergeordneten Konzepte und Richtlinien.',
+    $template$# ISMS-Handbuch
+
+Informationssicherheits-Managementsystem nach ISO/IEC 27001:2022
+
+**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
+
+---
+
+## 1. ISMS-Leitlinie
+
+Siehe: **Informationssicherheitsrichtlinie** (information_security_policy)
+
+---
+
+## 2. Geltungsbereich (Scope)
+
+### 2.1 Eingeschlossene Bereiche
+{{SCOPE_DESCRIPTION}}
+
+### 2.2 Interessierte Parteien
+| Partei | Erwartungen |
+|--------|-----------|
+| Geschaeftsfuehrung | Schutz der Geschaeftswerte, Compliance |
+| Kunden | Vertraulichkeit ihrer Daten, Verfuegbarkeit |
+| Mitarbeitende | Klare Regeln, Schulung |
+| Aufsichtsbehoerden | Gesetzeskonformitaet (DSGVO, NIS2) |
+| Lieferanten | Faire Sicherheitsanforderungen |
+
+---
+
+## 3. Dokumentenstruktur
+
+### 3.1 Uebergeordnete Dokumente
+| Dokument | Zweck |
+|----------|-------|
+| ISMS-Handbuch (dieses Dokument) | Gesamtueberblick, Scope, Dokumentenstruktur |
+| Informationssicherheitsrichtlinie | Sicherheitsziele, Grundsaetze, Rollen |
+| Risikomanagement-Konzept | Risikoprozess, Bewertungsmatrix |
+| Statement of Applicability (SoA) | Anwendbarkeit der ISO 27001 Controls |
+
+### 3.2 Konzepte und Plaene
+| Dokument | Verweis |
+|----------|--------|
+| IT-Sicherheitskonzept | it_security_concept |
+| Datenschutzkonzept | data_protection_concept |
+| Zugriffskonzept | access_control_concept |
+| Backup-Recovery-Konzept | backup_recovery_concept |
+| Logging-Konzept | logging_concept |
+| Incident-Response-Plan | incident_response_plan |
+
+### 3.3 Richtlinien
+| Dokument | Verweis |
+|----------|--------|
+| Passwortrichtlinie | password_policy |
+| Verschluesselungsrichtlinie | encryption_policy |
+| BYOD-Richtlinie | byod_policy |
+| KI-Nutzungsrichtlinie | ai_usage_policy |
+| Remote-Work-Richtlinie | remote_work_policy |
+| Alle weiteren Richtlinien | Siehe Document Generator |
+
+### 3.4 Compliance-Dokumente
+| Dokument | Verweis |
+|----------|--------|
+| TOM-Dokumentation | tom_documentation |
+| VVT (Art. 30 DSGVO) | vvt_register |
+| Loeschkonzept | loeschkonzept |
+| Pflichtenregister | pflichtenregister |
+| DSFA (Art. 35 DSGVO) | dsfa |
+
+---
+
+## 4. PDCA-Zyklus
+
+| Phase | Aktivitaeten | Verantwortlich |
+|-------|-------------|---------------|
+| **Plan** | Risikoanalyse, Massnahmenplanung, Schulungsplanung | ISB |
+| **Do** | Massnahmen umsetzen, Schulungen durchfuehren | Alle |
+| **Check** | Interne Audits, KPI-Auswertung, Management-Review | ISB + GF |
+| **Act** | Korrekturmassnahmen, kontinuierliche Verbesserung | ISB |
+
+---
+
+## 5. Management-Review
+
+Jaehrliches Management-Review durch die Geschaeftsfuehrung. Inhalt:
+
+- Ergebnisse der internen Audits
+- Status der Korrekturmassnahmen
+- Risikobewertung und -behandlung
+- KPI-Auswertung
+- Aenderungen im Kontext der Organisation
+- Verbesserungsvorschlaege
+
+---
+
+## 6. Revision
+
+Jaehrliche Pruefung. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","SCOPE_DESCRIPTION"]'::jsonb,
+    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published', NOW(), NOW()
+WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'isms_manual' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
diff --git a/backend-compliance/migrations/105_scc_tia_templates.sql b/backend-compliance/migrations/105_scc_tia_templates.sql
new file mode 100644
index 0000000..1ab0e8f
--- /dev/null
+++ b/backend-compliance/migrations/105_scc_tia_templates.sql
@@ -0,0 +1,309 @@
+-- Migration 105: SCC + TIA Templates
+-- Standardvertragsklauseln (EU 2021/914) + Transfer Impact Assessment (Schrems II)
+-- Logisch dem Vendor-Compliance-Modul zugeordnet (pro Drittland-Anbieter generiert)
+
+-- ===========================================================================
+-- Template 1: Transfer Impact Assessment (TIA)
+-- ===========================================================================
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'transfer_impact_assessment',
+    'Transfer Impact Assessment (TIA) — Drittlandtransfer-Risikobewertung',
+    'Risikobewertung fuer Datenuebermittlungen in Drittlaender nach EuGH Schrems II (C-311/18) und EDPB Empfehlungen 01/2020. Bewertet Rechtslage im Empfaengerstaat, Zugriffsbefugnisse von Behoerden, ergaenzende Massnahmen.',
+    $template$# Transfer Impact Assessment (TIA)
+
+Risikobewertung fuer die Uebermittlung personenbezogener Daten in ein Drittland
+
+---
+
+## Dokumentenkontrolle
+
+| Feld | Wert |
+|------|------|
+| Verantwortlicher (Exporteur) | {{COMPANY_NAME}} |
+| Datenimporteur | {{RECIPIENT_NAME}} |
+| Empfaengerstaat | {{RECIPIENT_COUNTRY}} |
+| Transfermechanismus | {{TRANSFER_MECHANISM}} |
+| Erstellt von | {{DPO_NAME}} |
+| Datum | {{VERSION_DATE}} |
+| Version | {{DOCUMENT_VERSION}} |
+| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
+
+---
+
+## 1. Beschreibung der Datenuebermittlung
+
+### 1.1 Gegenstand und Zweck
+
+| Aspekt | Beschreibung |
+|--------|-------------|
+| **Zweck der Uebermittlung** | {{TRANSFER_PURPOSE}} |
+| **Art der uebermittelten Daten** | {{DATA_CATEGORIES_TRANSFERRED}} |
+| **Betroffene Personengruppen** | {{DATA_SUBJECTS}} |
+| **Haeufigkeit der Uebermittlung** | {{TRANSFER_FREQUENCY}} |
+| **Rolle des Importeurs** | {{RECIPIENT_ROLE}} |
+
+### 1.2 Transfermechanismus
+
+| Mechanismus | Status |
+|-------------|:---:|
+| Angemessenheitsbeschluss (Art. 45 DSGVO) | {{HAS_ADEQUACY_DECISION}} |
+| EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) | {{HAS_SCC}} |
+| Binding Corporate Rules (Art. 47) | {{HAS_BCR}} |
+| Einwilligung der Betroffenen (Art. 49 Abs. 1 lit. a) | {{HAS_CONSENT_TRANSFER}} |
+| EU-US Data Privacy Framework (DPF) | {{HAS_DPF}} |
+
+---
+
+## 2. Bewertung der Rechtslage im Empfaengerstaat
+
+### 2.1 Allgemeine Datenschutzgesetzgebung
+
+| Frage | Bewertung |
+|-------|-----------|
+| Existiert ein umfassendes Datenschutzgesetz? | {{DS_LAW_EXISTS}} |
+| Ist eine unabhaengige Datenschutzbehoerde eingerichtet? | {{DS_AUTHORITY_EXISTS}} |
+| Sind Betroffenenrechte (Auskunft, Loeschung, etc.) gesetzlich verankert? | {{DS_RIGHTS_EXIST}} |
+| Gibt es Sanktionsmechanismen bei Verstoessen? | {{DS_SANCTIONS_EXIST}} |
+
+### 2.2 Zugriffsbefugnisse staatlicher Behoerden
+
+| Frage | Bewertung |
+|-------|-----------|
+| Koennen Behoerden auf die uebermittelten Daten zugreifen? | {{GOV_ACCESS_POSSIBLE}} |
+| Ist der Zugriff auf das notwendige Mass beschraenkt (Verhaeltnismaessigkeit)? | {{GOV_ACCESS_PROPORTIONAL}} |
+| Unterliegt der Zugriff einer richterlichen Genehmigung? | {{GOV_ACCESS_JUDICIAL}} |
+| Gibt es wirksame Rechtsbehelfe fuer Betroffene gegen behoerdlichen Zugriff? | {{GOV_ACCESS_REMEDIES}} |
+| Existieren Massenueberwachungsprogramme, die die Daten betreffen koennten? | {{GOV_MASS_SURVEILLANCE}} |
+
+### 2.3 Gesamtbewertung der Rechtslage
+
+| Bewertung | Erlaeuterung |
+|-----------|-------------|
+| {{LEGAL_ASSESSMENT_RESULT}} | {{LEGAL_ASSESSMENT_REASONING}} |
+
+**Bewertungsskala:**
+- **Im Wesentlichen gleichwertig:** Die Rechtslage bietet ein dem EU-Recht im Wesentlichen gleichwertiges Schutzniveau
+- **Eingeschraenkt gleichwertig:** Es bestehen Defizite, die durch ergaenzende Massnahmen kompensiert werden koennen
+- **Nicht gleichwertig:** Die Rechtslage bietet kein angemessenes Schutzniveau — Uebermittlung nur mit starken ergaenzenden Massnahmen oder gar nicht moeglich
+
+---
+
+## 3. Ergaenzende Massnahmen (Supplementary Measures)
+
+### 3.1 Technische Massnahmen
+
+| Massnahme | Implementiert | Details |
+|-----------|:---:|---|
+| Verschluesselung der Daten bei der Uebermittlung (TLS 1.2+) | {{TM_ENCRYPTION_TRANSIT}} | |
+| Verschluesselung der Daten im Ruhezustand (AES-256) | {{TM_ENCRYPTION_REST}} | |
+| Pseudonymisierung vor der Uebermittlung | {{TM_PSEUDONYMIZATION}} | |
+| Schluessel verbleiben ausschliesslich beim Exporteur | {{TM_KEY_CONTROL}} | |
+| Zugriff des Importeurs auf das fuer den Zweck erforderliche Minimum beschraenkt | {{TM_ACCESS_LIMITATION}} | |
+
+### 3.2 Organisatorische Massnahmen
+
+| Massnahme | Implementiert | Details |
+|-----------|:---:|---|
+| Transparenzbericht des Importeurs ueber Behoerdenanfragen | {{OM_TRANSPARENCY_REPORT}} | |
+| Verpflichtung zur Benachrichtigung bei Behoerdenzugriff | {{OM_NOTIFICATION}} | |
+| Regelmässige Audits beim Importeur | {{OM_AUDITS}} | |
+| Dokumentierte Datenschutzschulung beim Importeur | {{OM_TRAINING}} | |
+
+### 3.3 Vertragliche Massnahmen
+
+| Massnahme | Implementiert | Details |
+|-----------|:---:|---|
+| EU-Standardvertragsklauseln (aktueller Durchfuehrungsbeschluss 2021/914) | {{CM_SCC}} | |
+| Zusaetzliche vertragliche Garantien ueber SCC hinaus | {{CM_ADDITIONAL_CLAUSES}} | |
+| Pflicht des Importeurs, Behoerdenanfragen anzufechten | {{CM_CHALLENGE_OBLIGATION}} | |
+| Kuendigungsrecht bei Aenderung der Rechtslage | {{CM_TERMINATION_RIGHT}} | |
+
+---
+
+## 4. Risikobewertung
+
+### 4.1 Wahrscheinlichkeit eines behoerdlichen Zugriffs
+
+| Faktor | Bewertung |
+|--------|-----------|
+| Branche des Importeurs | {{RISK_INDUSTRY}} |
+| Art der uebermittelten Daten | {{RISK_DATA_TYPE}} |
+| Volumen der uebermittelten Daten | {{RISK_DATA_VOLUME}} |
+| Bisherige Erfahrungen des Importeurs mit Behoerdenanfragen | {{RISK_PRIOR_REQUESTS}} |
+| **Gesamtwahrscheinlichkeit** | {{RISK_PROBABILITY}} |
+
+### 4.2 Schwere eines moeglichen Eingriffs
+
+| Faktor | Bewertung |
+|--------|-----------|
+| Sensibilitaet der Daten | {{RISK_DATA_SENSITIVITY}} |
+| Auswirkungen auf Betroffene bei Zugriff | {{RISK_IMPACT}} |
+| **Gesamtschwere** | {{RISK_SEVERITY}} |
+
+### 4.3 Gesamtrisikobewertung
+
+| Gesamtrisiko | Bewertung |
+|-------------|-----------|
+| **{{OVERALL_RISK_LEVEL}}** | {{OVERALL_RISK_REASONING}} |
+
+---
+
+## 5. Ergebnis und Entscheidung
+
+### 5.1 Fazit
+
+{{#IF TRANSFER_APPROVED}}
+Die Datenuebermittlung an {{RECIPIENT_NAME}} in {{RECIPIENT_COUNTRY}} kann unter Einhaltung der beschriebenen ergaenzenden Massnahmen durchgefuehrt werden. Das Restrisiko wird als **akzeptabel** bewertet.
+{{/IF}}
+
+{{#IF TRANSFER_CONDITIONAL}}
+Die Datenuebermittlung ist nur unter der Bedingung zulaessig, dass die in Abschnitt 3 beschriebenen ergaenzenden Massnahmen **vollstaendig** implementiert werden. Vor Beginn der Uebermittlung ist die Implementierung zu bestätigen.
+{{/IF}}
+
+{{#IF TRANSFER_DENIED}}
+Die Datenuebermittlung an {{RECIPIENT_NAME}} in {{RECIPIENT_COUNTRY}} kann **nicht** durchgefuehrt werden. Die Rechtslage im Empfaengerstaat bietet kein dem EU-Recht im Wesentlichen gleichwertiges Schutzniveau, und die verfuegbaren ergaenzenden Massnahmen koennen die Defizite nicht ausreichend kompensieren.
+
+**Empfehlung:** Alternative Verarbeitungsmoeglichkeiten innerhalb der EU/des EWR pruefen.
+{{/IF}}
+
+### 5.2 Ueberpruefungsintervall
+
+Dieses TIA ist bei wesentlichen Aenderungen der Rechtslage im Empfaengerstaat, spaetestens jedoch alle **12 Monate**, zu ueberpruefen.
+
+---
+
+## 6. Unterschriften
+
+| Rolle | Name | Datum |
+|-------|------|-------|
+| Datenschutzbeauftragter | {{DPO_NAME}} | {{VERSION_DATE}} |
+| Verantwortlicher | {{GF_NAME}} | |
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | Stand: {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_NAME","RECIPIENT_NAME","RECIPIENT_COUNTRY","TRANSFER_MECHANISM","TRANSFER_PURPOSE","DATA_CATEGORIES_TRANSFERRED","DATA_SUBJECTS","TRANSFER_FREQUENCY","RECIPIENT_ROLE","DPO_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb,
+    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published', NOW(), NOW()
+WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'transfer_impact_assessment' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
+
+-- ===========================================================================
+-- Template 2: Standardvertragsklauseln (SCC) — Begleitdokument
+-- ===========================================================================
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'scc_companion',
+    'Standardvertragsklauseln (SCC) — Begleitdokument und Anhaenge',
+    'Begleitdokument zu den EU-Standardvertragsklauseln (Durchfuehrungsbeschluss 2021/914). Enthaelt die auszufuellenden Anhaenge (Parteien, Beschreibung der Uebermittlung, TOMs) und Modulauswahl (C2C, C2P, P2P, P2C). Der SCC-Kerntext ist EU-vorgegeben und wird nicht geaendert.',
+    $template$# Standardvertragsklauseln (SCC) — Begleitdokument
+
+Anhaenge zum Durchfuehrungsbeschluss (EU) 2021/914 der Kommission
+
+---
+
+## Hinweis
+
+Der Kerntext der Standardvertragsklauseln ist durch den EU-Durchfuehrungsbeschluss 2021/914 vorgegeben und darf **nicht veraendert** werden. Dieses Dokument enthaelt die individuell auszufuellenden **Anhaenge** zu den SCC.
+
+Den vollstaendigen SCC-Text finden Sie unter:
+[EU-Durchfuehrungsbeschluss 2021/914](https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj)
+
+---
+
+## Modulauswahl
+
+| Modul | Beschreibung | Gewaehlt |
+|-------|-------------|:---:|
+| **Modul 1** | Verantwortlicher → Verantwortlicher (C2C) | {{SCC_MODULE_1}} |
+| **Modul 2** | Verantwortlicher → Auftragsverarbeiter (C2P) | {{SCC_MODULE_2}} |
+| **Modul 3** | Auftragsverarbeiter → Auftragsverarbeiter (P2P) | {{SCC_MODULE_3}} |
+| **Modul 4** | Auftragsverarbeiter → Verantwortlicher (P2C) | {{SCC_MODULE_4}} |
+
+---
+
+## Anhang I — Verzeichnis der Parteien
+
+### A. Datenexporteur
+
+| Feld | Angabe |
+|------|--------|
+| Name | {{COMPANY_NAME}} |
+| Anschrift | {{COMPANY_ADDRESS_FULL}} |
+| Kontaktperson | {{DPO_NAME}} |
+| E-Mail | {{DPO_EMAIL}} |
+| Rolle | {{EXPORTER_ROLE}} |
+| Taetigkeiten | {{EXPORTER_ACTIVITIES}} |
+
+### B. Datenimporteur
+
+| Feld | Angabe |
+|------|--------|
+| Name | {{RECIPIENT_NAME}} |
+| Anschrift | {{RECIPIENT_ADDRESS}} |
+| Kontaktperson | {{RECIPIENT_CONTACT}} |
+| E-Mail | {{RECIPIENT_EMAIL}} |
+| Rolle | {{RECIPIENT_ROLE}} |
+| Taetigkeiten | {{RECIPIENT_ACTIVITIES}} |
+| Land | {{RECIPIENT_COUNTRY}} |
+
+---
+
+## Anhang I — Beschreibung der Uebermittlung
+
+### C. Beschreibung der Uebermittlung
+
+| Aspekt | Beschreibung |
+|--------|-------------|
+| **Kategorien betroffener Personen** | {{DATA_SUBJECTS}} |
+| **Kategorien personenbezogener Daten** | {{DATA_CATEGORIES_TRANSFERRED}} |
+| **Besondere Datenkategorien (Art. 9)** | {{SPECIAL_CATEGORIES}} |
+| **Haeufigkeit der Uebermittlung** | {{TRANSFER_FREQUENCY}} |
+| **Art der Verarbeitung** | {{PROCESSING_NATURE}} |
+| **Zweck der Uebermittlung** | {{TRANSFER_PURPOSE}} |
+| **Aufbewahrungsfrist** | {{RETENTION_PERIOD}} |
+| **Unterauftragsverarbeiter** | {{SUB_PROCESSORS}} |
+
+---
+
+## Anhang II — Technische und organisatorische Massnahmen
+
+*Die vom Datenimporteur getroffenen TOMs gemaess Klausel 8.6 (Modul 2) bzw. Klausel 9 (Module 1/3):*
+
+{{RECIPIENT_TOMS}}
+
+**Hinweis:** Die detaillierten TOMs des Datenexporteurs sind in der TOM-Dokumentation beschrieben.
+
+---
+
+## Anhang III — Unterauftragsverarbeiter
+
+*Liste der vom Datenimporteur eingesetzten Unterauftragsverarbeiter (nur bei Modul 2 und 3):*
+
+{{SUB_PROCESSOR_LIST}}
+
+---
+
+## Verweis auf Transfer Impact Assessment
+
+Fuer diese Datenuebermittlung wurde ein Transfer Impact Assessment (TIA) durchgefuehrt. Das TIA ist als separates Dokument verfuegbar und bewertet die Rechtslage im Empfaengerstaat sowie die Wirksamkeit der ergaenzenden Massnahmen.
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | Stand: {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_NAME","COMPANY_ADDRESS_FULL","DPO_NAME","DPO_EMAIL","RECIPIENT_NAME","RECIPIENT_ADDRESS","RECIPIENT_CONTACT","RECIPIENT_EMAIL","RECIPIENT_COUNTRY","RECIPIENT_ROLE","RECIPIENT_ACTIVITIES","EXPORTER_ROLE","EXPORTER_ACTIVITIES","DATA_SUBJECTS","DATA_CATEGORIES_TRANSFERRED","SPECIAL_CATEGORIES","TRANSFER_FREQUENCY","PROCESSING_NATURE","TRANSFER_PURPOSE","RETENTION_PERIOD","SUB_PROCESSORS","RECIPIENT_TOMS","SUB_PROCESSOR_LIST","VERSION_DATE","DOCUMENT_VERSION"]'::jsonb,
+    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published', NOW(), NOW()
+WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'scc_companion' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
diff --git a/backend-compliance/migrations/106_cleanup_agb_duplicates.sql b/backend-compliance/migrations/106_cleanup_agb_duplicates.sql
new file mode 100644
index 0000000..63f3a32
--- /dev/null
+++ b/backend-compliance/migrations/106_cleanup_agb_duplicates.sql
@@ -0,0 +1,51 @@
+-- Migration 106: AGB-Bereinigung — Duplikate und veraltete Templates entfernen
+--
+-- Entfernt:
+-- 1. AGB Duplikat (zweiter Eintrag aus Migration 023, identischer Inhalt wie 090)
+-- 2. terms_of_service DE v1.0.0 (allererste Version aus Migration 018, ersetzt durch agb v2)
+-- 3. terms_of_service EN v1.0.0 (alte englische Version aus Migration 019, wird durch agb EN v2 ersetzt)
+-- 4. clause/liability_clause EN (redundant — AGB v2 § 12 deckt Haftung vollstaendig ab)
+
+-- Sicherheitshalber: Nur loeschen wenn die neuen Templates existieren
+DO $$
+BEGIN
+  -- Pruefe ob unser AGB v2 existiert
+  IF EXISTS (
+    SELECT 1 FROM compliance_legal_templates
+    WHERE document_type = 'agb' AND version = '2.0.0'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+    AND length(content) > 20000
+  ) THEN
+
+    -- 1. AGB Duplikat loeschen (behalte nur das neueste)
+    DELETE FROM compliance_legal_templates
+    WHERE document_type = 'agb'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+    AND id != (
+      SELECT id FROM compliance_legal_templates
+      WHERE document_type = 'agb'
+      AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+      ORDER BY updated_at DESC
+      LIMIT 1
+    );
+
+    RAISE NOTICE 'AGB Duplikat entfernt';
+
+    -- 2. Veraltete terms_of_service loeschen
+    DELETE FROM compliance_legal_templates
+    WHERE document_type = 'terms_of_service'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+    RAISE NOTICE 'terms_of_service (DE+EN v1) entfernt';
+
+    -- 3. Liability Clause loeschen (redundant zu AGB § 12)
+    DELETE FROM compliance_legal_templates
+    WHERE document_type = 'clause'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+    RAISE NOTICE 'clause (Liability) entfernt';
+
+  ELSE
+    RAISE NOTICE 'AGB v2 nicht gefunden — keine Bereinigung durchgefuehrt';
+  END IF;
+END $$;
diff --git a/backend-compliance/migrations/107_agb_en_v2.sql b/backend-compliance/migrations/107_agb_en_v2.sql
new file mode 100644
index 0000000..9037cfd
--- /dev/null
+++ b/backend-compliance/migrations/107_agb_en_v2.sql
@@ -0,0 +1,299 @@
+-- Migration 107: AGB EN v2 — English Terms and Conditions
+-- English version of the AGB SaaS/Shop template (Migration 090)
+-- EU/UK law compatible, same structure and IF-blocks as DE version
+
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT
+    gen_random_uuid(),
+    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'agb',
+    'Terms and Conditions (SaaS/Shop, EU-compliant)',
+    'General Terms and Conditions for SaaS/Cloud services and online shops. 18 sections with modular IF-blocks for B2B/B2C, trial period, physical goods, IoT bundles, IP indemnification, force majeure. EU/UK law compatible.',
+    $template$# General Terms and Conditions
+
+**{{COMPANY_LEGAL_NAME}}**
+Effective: {{VERSION_DATE}}
+
+---
+
+## § 1 Scope
+
+(1) These Terms and Conditions ("Terms") apply to all contracts between {{COMPANY_LEGAL_NAME}} ("Provider") and the customer regarding the use of **{{SERVICE_NAME}}**.
+
+(2) Any deviating terms of the customer shall not become part of the contract unless the Provider expressly agrees in writing.
+
+{{#IF B2B_ONLY}}
+(3) These Terms are exclusively directed at entrepreneurs within the meaning of applicable commercial law. Contracts with consumers are not concluded.
+{{/IF}}
+{{#IF_NOT B2B_ONLY}}
+(3) These Terms apply to both businesses and consumers unless expressly stated otherwise.
+{{/IF_NOT}}
+
+---
+
+## § 2 Description of Services
+
+(1) The Provider makes **{{SERVICE_NAME}}** available as web-based software (Software as a Service) including maintenance and support: {{SERVICE_DESCRIPTION_SHORT}}.
+
+(2) The scope of services and system requirements are set out in the current service description.
+
+{{#IF HAS_MODULAR_PACKAGES}}
+(3) The software is offered in various packages with different feature sets. The specific scope of services is determined by the selected package.
+{{/IF}}
+
+{{#IF HAS_END_USERS}}
+(4) The customer may make the software available to its end users within the scope of the contractual purpose. No contractual relationship is established between the Provider and the customer's end users.
+{{/IF}}
+
+(5) The Provider does not review the content entered by the customer for accuracy or legal compliance. Content responsibility lies with the customer.
+
+(6) The Provider is entitled to further develop the service, provided that core functionalities are essentially maintained.
+
+---
+
+## § 3 Conclusion of Contract
+
+(1) The presentation of the service on the website does not constitute a binding offer.
+
+(2) The contract is concluded upon confirmation of the order or activation of the service.
+
+{{#IF HAS_TRIAL}}
+(3) The Provider offers a free trial period of {{TRIAL_DAYS}} days. If the subscription is not cancelled during the trial period, the contract becomes chargeable. A Data Processing Agreement (DPA) is required from the start of the trial.
+{{/IF}}
+
+---
+
+## § 4 Prices, Billing, Payment
+
+{{#IF HAS_PAID_PLANS}}
+(1) The prices agreed at the time of contract conclusion apply: {{PRICES_TEXT}}.
+
+(2) Payment terms: {{PAYMENT_TERMS_TEXT}}.
+
+(3) All prices are exclusive of applicable VAT.
+
+(4) In the event of late payment, statutory default interest shall apply.
+
+(5) Additional services beyond the agreed scope of services (e.g. error correction due to improper use, individual customisations) require separate commissioning and remuneration.
+
+{{#IF HAS_PRICE_ADJUSTMENT}}
+(6) The Provider may adjust the agreed fees at its reasonable discretion if costs attributable to the contract increase or decrease due to unforeseeable circumstances arising after conclusion of the contract. Price increases may only occur once per calendar year and only to the extent that the Provider does not generate profits exceeding cost coverage. Where cost reductions are not temporary, the Provider is obliged to reduce prices accordingly.
+
+(7) The customer shall be notified of price changes at least {{PRICE_ADJUSTMENT_NOTICE_WEEKS}} weeks before they take effect. In the event of price increases, the customer has a special right of termination effective as of the date the increase takes effect.
+{{/IF}}
+{{/IF}}
+{{#IF_NOT HAS_PAID_PLANS}}
+(1) The service is currently offered free of charge. The Provider reserves the right to introduce paid service tiers.
+{{/IF_NOT}}
+
+---
+
+## § 5 Customer Obligations
+
+(1) The customer shall provide accurate information upon registration and keep it up to date.
+
+(2) Access credentials shall be kept confidential. The customer shall ensure that unauthorised third parties do not gain access to the account.
+
+(3) The service may only be used in accordance with applicable law and these Terms.
+
+(4) The customer is responsible for uploaded content and data and shall ensure that third-party rights are not infringed. {{#IF HAS_END_USERS}} The customer shall obligate its end users accordingly. {{/IF}} The customer shall indemnify the Provider against all third-party claims arising from unlawful use.
+
+(5) The customer is obliged to make payments on time.
+
+(6) The Provider may introduce additional security measures and shall inform the customer accordingly. The customer is obliged to implement reasonable security measures.
+
+(7) The customer is additionally responsible for regular backup of its data using the available export functions.
+
+---
+
+## § 6 Rights of Use
+
+(1) The Provider grants the customer a simple, non-transferable, time-limited right of use for the software within the scope of the current service description. Use includes loading into working memory and installation on the customer's devices and servers.
+
+(2) The services provided by the Provider are protected by intellectual property rights, in particular copyright{{#IF HAS_TRADEMARK}}, trademark law{{/IF}}{{#IF HAS_PATENTS}}, patent law{{/IF}}. Copyright notices, logos, trademarks and other identifying features must not be altered or removed.
+
+(3) Any transfer to third parties, sublicensing or making publicly available beyond the intended use is prohibited.
+
+(4) Reverse engineering, decompilation and circumvention of security mechanisms are prohibited to the extent permitted by law.
+
+{{#IF HAS_TDM_OPTOUT}}
+(5) The use of the services for text and data mining or the development, training or enrichment of AI systems is prohibited without the Provider's express consent.
+{{/IF}}
+
+{{#IF HAS_API_ACCESS}}
+(6) Use of the provided API is permitted within the scope of the documented interfaces and agreed rate limits.
+{{/IF}}
+
+{{#IF HAS_MAINTENANCE_ACCESS}}
+(7) The Provider shall have remote access to customer-operated installations for maintenance and support purposes.
+{{/IF}}
+
+---
+
+## § 7 Availability, Maintenance and Support
+
+(1) The availability of the software is {{AVAILABILITY_PERCENT}} percent on an annual average. {{#IF HAS_MAX_DOWNTIME}} Availability shall not be impaired for more than {{MAX_DOWNTIME_DAYS}} consecutive calendar days. {{/IF}} Scheduled maintenance and force majeure events are excluded.
+
+(2) The Provider performs regular maintenance and provides updates. The software shall be used in its current version. Scheduled maintenance shall be announced {{MAINTENANCE_NOTICE_HOURS}} hours in advance.
+
+(3) Support is available: {{SUPPORT_HOURS}}. Support channels: {{SUPPORT_CHANNELS_TEXT}}.
+
+(4) The customer shall report software errors with as precise a description as possible and shall cooperate in error resolution.
+
+(5) Errors are processed according to the following criticality levels:
+
+| Category | Impact | Response Time |
+|----------|--------|:---:|
+| Normal | No or minor impact | {{RESPONSE_LOW_H}} hours |
+| High | Business operations impaired | {{RESPONSE_HIGH_H}} hours |
+| Critical | Imminent financial or operational damage | {{RESPONSE_CRITICAL_H}} hours |
+
+(6) Response times refer to the period until processing begins, not until the error is resolved. They apply exclusively within service hours.
+
+---
+
+## § 8 Data Storage and Export
+
+(1) The Provider takes appropriate technical and organisational measures to protect against data loss and unauthorised access in accordance with the state of the art.
+
+(2) The customer remains the sole owner of its data. The Provider has neither a right of retention nor a lien on the customer's data.
+
+(3) The customer may request the return of its data in a common, machine-readable format at any time.
+
+---
+
+## § 9 Data Protection
+
+(1) The Provider processes personal data entered by the customer or its users as a processor within the meaning of Art. 28 GDPR. The details are governed by the separately concluded Data Processing Agreement (DPA).
+
+(2) The Provider shall not use the data for its own purposes.
+
+(3) The customer is independently responsible for fulfilling its data protection information obligations (Art. 13/14 GDPR).
+
+(4) The Provider's privacy policy is available at: {{PRIVACY_POLICY_URL}}.
+
+---
+
+## § 10 Suspension
+
+(1) The Provider is entitled to suspend access if the customer is in default of payment despite a reminder with a reasonable grace period.
+
+(2) The Provider may also suspend access if there is a reasonable suspicion that the software is being used in violation of applicable law, these Terms or the terms of use.
+
+(3) During a suspension, the customer retains access to data export.
+
+---
+
+## § 11 Warranty
+
+(1) The customer shall report defects without undue delay after discovery.
+
+(2) The Provider shall remedy defects at its discretion by repair or provision of a defect-free version. The Provider shall be granted at least two attempts at remedy.
+
+(3) Warranty for merely insignificant reductions in fitness is excluded.
+
+{{#IF HAS_DIGITAL_CONTENT}}
+(4) Warranty for defects resulting from the customer's failure to install required and freely provided updates is excluded.
+{{/IF}}
+
+---
+
+## § 12 Liability
+
+(1) The Provider shall have unlimited liability for intent, gross negligence and injury to life, body or health.
+
+(2) For slightly negligent breach of material contractual obligations (cardinal obligations), liability is limited to the typical, foreseeable damage.
+
+(3) Otherwise, liability is excluded to the extent permitted by law.
+
+(4) For data loss, the Provider shall only be liable to the extent that the damage would also have occurred with proper data backup by the customer.
+
+(5) Statutory liability under product liability law remains unaffected.
+
+{{#IF IS_B2B}}
+(6) Liability for slight negligence is limited to {{LIABILITY_MULTIPLIER}} times the annual net remuneration.
+{{/IF}}
+
+{{#IF HAS_IP_INDEMNIFICATION}}
+(9) The Provider warrants that the contractual use of the software is free from third-party intellectual property rights. If a third party asserts claims against the customer due to an IP infringement, the Provider shall defend the customer at its own expense.
+{{/IF}}
+
+---
+
+## § 13 Term and Termination
+
+(1) The contract term is determined by the selected billing period (monthly or annual). The contract may be terminated at the end of the respective term.
+
+(2) If the contract is not terminated in due time, it shall automatically renew for the current billing period.
+
+(3) The right to extraordinary termination for good cause remains unaffected.
+
+(4) Fees already paid for unused billing periods are not refunded upon ordinary termination. Mandatory statutory refund claims remain unaffected.
+
+(5) Termination may be made in text form or via the cancellation function provided in the customer portal.
+
+---
+
+## § 14 Data Upon Termination
+
+(1) After termination, all personal data of the customer shall be deleted or returned in accordance with the DPA. The deletion period is {{DELETION_DAYS}} days after contract end.
+
+(2) Contract data (invoices, correspondence) are exempt from deletion to the extent that statutory retention obligations exist.
+
+---
+
+## § 15 Confidentiality
+
+(1) The parties undertake to treat all confidential information of the other party obtained in the course of the contractual relationship as confidential. This obligation shall survive termination.
+
+(2) The confidentiality obligation does not apply to information that (a) is or becomes publicly known, (b) was already lawfully known to the receiving party, (c) is transmitted by a third party without confidentiality obligations, or (d) must be disclosed by law or official order.
+
+---
+
+## § 16 Amendments
+
+(1) The Provider may amend these Terms for objective reasons (e.g. changes in legislation). This amendment mechanism does not apply to changes that materially alter the balance of performance and consideration, in particular not to price increases.
+
+(2) Amendments shall be announced in text form at least one month before they take effect.
+
+(3) If no objection is raised within the specified period, the amendments shall be deemed accepted.
+
+---
+
+## § 17 Final Provisions
+
+(1) Amendments and supplements to this contract require text form.
+
+(2) The law of the Federal Republic of Germany shall apply, excluding the UN Convention on Contracts for the International Sale of Goods (CISG). {{#IF HAS_EU_USERS}} For consumers resident in the EU, the mandatory consumer protection provisions of their country of residence shall additionally apply. {{/IF}}
+
+{{#IF IS_B2B}}
+(3) The place of jurisdiction for merchants and legal entities is {{JURISDICTION_CITY}}.
+{{/IF}}
+
+(4) Should individual provisions be invalid, the validity of the remaining provisions shall remain unaffected.
+
+(5) Components of this contract include, in addition to these Terms, the Data Processing Agreement (DPA) {{#IF HAS_COMMUNITY_GUIDELINES}} and the Community Guidelines {{/IF}}.
+
+{{#IF HAS_FORCE_MAJEURE}}
+(6) Unforeseeable events beyond the control of the parties (force majeure) that materially impede or render impossible the performance of obligations shall entitle the affected party to postpone performance for the duration of the impediment. Payment obligations remain unaffected.
+{{/IF}}
+
+---
+
+*Generated with BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_LEGAL_NAME","VERSION_DATE","SERVICE_NAME","SERVICE_DESCRIPTION_SHORT","PRIVACY_POLICY_URL","AVAILABILITY_PERCENT","MAINTENANCE_NOTICE_HOURS","SUPPORT_HOURS","SUPPORT_CHANNELS_TEXT","RESPONSE_LOW_H","RESPONSE_HIGH_H","RESPONSE_CRITICAL_H","PRICES_TEXT","PAYMENT_TERMS_TEXT","PRICE_ADJUSTMENT_NOTICE_WEEKS","TRIAL_DAYS","DELETION_DAYS","LIABILITY_MULTIPLIER","JURISDICTION_CITY","SLA_URL"]'::jsonb,
+    'en', 'EU',
+    'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '2.0.0', 'published',
+    NOW(), NOW()
+WHERE NOT EXISTS (
+    SELECT 1 FROM compliance_legal_templates
+    WHERE document_type = 'agb' AND language = 'en' AND version = '2.0.0'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+);
diff --git a/backend-compliance/migrations/108_privacy_policy_cleanup_en.sql b/backend-compliance/migrations/108_privacy_policy_cleanup_en.sql
new file mode 100644
index 0000000..117fc4c
--- /dev/null
+++ b/backend-compliance/migrations/108_privacy_policy_cleanup_en.sql
@@ -0,0 +1,316 @@
+-- Migration 108: DSI Bereinigung + Englische Version
+-- 1. Duplikat entfernen (Migration 023 + 093 haben beide privacy_policy DE geschrieben)
+-- 2. Veraltete EN v1 entfernen
+-- 3. Englische DSI v2 erstellen
+
+-- ===========================================================================
+-- 1. DSI Duplikat loeschen (behalte nur das neueste)
+-- ===========================================================================
+DELETE FROM compliance_legal_templates
+WHERE document_type = 'privacy_policy'
+  AND language = 'de'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+  AND id != (
+    SELECT id FROM compliance_legal_templates
+    WHERE document_type = 'privacy_policy'
+      AND language = 'de'
+      AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+    ORDER BY updated_at DESC
+    LIMIT 1
+  );
+
+-- ===========================================================================
+-- 2. Veraltete EN v1 loeschen
+-- ===========================================================================
+DELETE FROM compliance_legal_templates
+WHERE document_type = 'privacy_policy'
+  AND language = 'en'
+  AND version = '1.0.0'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 3. Englische DSI v2
+-- ===========================================================================
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'privacy_policy',
+    'Privacy Notice (GDPR, modular)',
+    'Comprehensive privacy notice pursuant to Art. 13/14 GDPR with modular sections. Data categories table, purpose-legal basis mapping, retention periods, recipient categories (processors vs. controllers incl. payment provider guidance), data subject rights with highlighted right to object (Art. 21).',
+    $template$# Privacy Notice
+
+**Effective:** {{VERSION_DATE}}
+**Applies to:** {{SERVICE_SCOPE_DESCRIPTION}}
+
+---
+
+## 1. Controller
+
+The controller responsible for the processing described in this privacy notice:
+
+**{{COMPANY_LEGAL_NAME}} {{COMPANY_LEGAL_FORM}}**
+{{COMPANY_ADDRESS_LINE}}
+{{COMPANY_POSTAL_CODE}} {{COMPANY_CITY}}, {{COMPANY_COUNTRY}}
+{{#IF REPRESENTED_BY_NAME}}Represented by: {{REPRESENTED_BY_NAME}}{{/IF}}
+
+Email: {{CONTACT_EMAIL}}
+{{#IF CONTACT_PHONE}}Phone: {{CONTACT_PHONE}}{{/IF}}
+
+---
+
+## 2. Data Protection Officer
+
+{{#IF HAS_DPO}}
+{{#IF DPO_NAME}}Our Data Protection Officer: **{{DPO_NAME}}**{{/IF}}
+Email: {{DPO_EMAIL}}
+{{/IF}}
+{{#IF_NOT HAS_DPO}}
+For data protection enquiries, please contact: {{CONTACT_EMAIL}}
+{{/IF_NOT}}
+
+---
+
+## 3. Principles of Processing
+
+We process personal data exclusively in accordance with the GDPR and applicable national data protection legislation. We observe purpose limitation, data minimisation, accuracy, storage limitation, integrity/confidentiality and transparency.
+
+---
+
+## 4. Categories of Data We Process
+
+| Category | Examples | Details |
+|----------|---------|---------|
+| Log data | IP address, device type, operating system, timestamp | § 5 |
+| Account data | Email, username, password (hashed), profile image | § 5 |
+| Identifiers | User ID, device ID, session ID | § 5 |
+{{#IF HAS_UGC}} | Content data | Published texts, images, videos, comments, likes | § 5 | {{/IF}}
+{{#IF HAS_MESSAGING}} | Communication data | Messages between users {{#IF HAS_E2E_ENCRYPTION}}(end-to-end encrypted — provider cannot access content){{/IF}} | § 5 | {{/IF}}
+{{#IF HAS_LOCATION}} | Location data | Geographic location during use, content capture location | § 5 | {{/IF}}
+| Usage data | Feature usage, time spent, page views, crash reports | § 5 |
+{{#IF HAS_PAYMENTS}} | Payment/master data | Name, address, payment method | § 5 | {{/IF}}
+{{#IF HAS_IDENTITY_VERIFICATION}} | Identification data | Name, date of birth, identity document, facial image | § 5 | {{/IF}}
+| Moderation data | Complaints, violations, suspension information | § 5 |
+| Correspondence data | Content of communication with the provider | § 5 |
+
+---
+
+## 5. Purposes and Legal Bases
+
+### 5.1 Provision of Platform and Core Functions
+
+We process log data, account data and identifiers to provide {{PLATFORM_NAME}} and its functions.
+
+**Legal basis:** Art. 6(1)(b) GDPR (performance of contract).
+
+### 5.2 Hosting and Infrastructure
+
+{{PLATFORM_NAME}} is hosted by: **{{HOSTING_PROVIDER_NAME}}**, {{HOSTING_PROVIDER_COUNTRY}}. A data processing agreement is in place ({{HOSTING_PROVIDER_CONTRACT_TYPE}}).
+
+{{#IF HAS_UGC}}
+### 5.3 Publication and Moderation of User Content
+
+We process content data and moderation data to provide content functions and ensure compliance.
+
+**Legal basis:** Art. 6(1)(b) GDPR (contract); Art. 6(1)(f) GDPR (legitimate interest) for moderation.
+{{/IF}}
+
+### 5.4 IT Security and Abuse Detection
+
+We process log data and identifiers to ensure the security of our IT infrastructure.
+
+**Legal basis:** Art. 6(1)(f) GDPR (legitimate interest in IT security).
+
+{{#IF HAS_ANALYTICS}}
+### 5.5 Usage Analysis and Improvement
+
+With your consent, we process usage data and identifiers to improve {{PLATFORM_NAME}}.
+
+**Legal basis:** Art. 6(1)(a) GDPR (consent).
+**Details:** {{ANALYTICS_TOOLS_DETAIL}}
+{{/IF}}
+
+{{#IF HAS_PAYMENTS}}
+### 5.6 Payment Processing
+
+We process master and transaction data for chargeable services.
+
+**Legal basis:** Art. 6(1)(b) GDPR (contract); Art. 6(1)(c) GDPR (legal obligation) for tax/commercial retention.
+
+**Note:** Payment service providers (e.g. Stripe, PayPal) process your payment data as independent controllers — not as our processors. Their privacy notices are listed in the recipients section (§ 7).
+{{/IF}}
+
+{{#IF HAS_ONLINE_SHOP}}
+### 5.7 Order and Delivery Functions
+
+We process master and log data for order processing, shipping cost calculation and delivery.
+
+**Legal basis:** Art. 6(1)(b) GDPR (contract); Art. 6(1)(c) GDPR (legal obligation).
+{{/IF}}
+
+### 5.8 Contact Enquiries and Support
+
+We process correspondence data when you contact us.
+
+**Legal basis:** Art. 6(1)(b) or (f) GDPR.
+
+### 5.9 Legal Retention and Legal Defence
+
+We process the respectively required data categories for statutory retention and for establishing, exercising or defending legal claims.
+
+**Legal basis:** Art. 6(1)(c) GDPR (legal obligation); Art. 6(1)(f) GDPR (legitimate interest) for legal defence.
+
+{{#IF HAS_NEWSLETTER}}
+### 5.10 Newsletter
+
+We process your email address for newsletter delivery (double opt-in).
+
+**Legal basis:** Art. 6(1)(a) GDPR (consent). Revocation: unsubscribe link or {{CONTACT_EMAIL}}.
+{{/IF}}
+
+---
+
+## 6. Are You Obliged to Provide Data?
+
+The provision of personal data is neither legally nor contractually required. However, certain data is technically necessary for the use of {{PLATFORM_NAME}}:
+
+| Data | Necessity | Consequence of Non-Provision |
+|------|:---:|---|
+| Log data, account data, identifiers | Required for basic use | Use not possible |
+{{#IF HAS_UGC}} | Content data | Required for publishing | Content functions unavailable | {{/IF}}
+{{#IF HAS_PAYMENTS}} | Payment/transaction data | Required for payment | Payment functions unavailable | {{/IF}}
+| Usage data, correspondence data | Optional | No restriction |
+
+---
+
+## 7. Recipients of Personal Data
+
+### 7.1 Processors
+
+We use service providers who process personal data on our behalf. Data processing agreements pursuant to Art. 28 GDPR are in place with all processors.
+
+{{PROCESSOR_LIST}}
+
+{{#IF HAS_PARENT_COMPANY}}
+### 7.1a Affiliated Companies
+
+{{COMPANY_LEGAL_NAME}} transfers personal data to affiliated companies acting as processors:
+
+{{AFFILIATED_COMPANIES_LIST}}
+{{/IF}}
+
+### 7.2 Other Recipients (Independent Controllers)
+
+In certain cases, we transfer personal data to recipients who process it for their own purposes:
+
+{{THIRD_PARTY_RECIPIENTS}}
+
+**Note:** Payment service providers, banks and identification services process your data as independent controllers due to their own legal obligations (KYC, AML, PSD2).
+
+We also transfer data to authorities and courts where legally required, and to other users and third parties to support the exercise of their rights.
+
+---
+
+## 8. International Transfers
+
+{{#IF HAS_THIRD_COUNTRY}}
+Transfers outside the EU/EEA may occur with certain service providers. We ensure an adequate level of protection through {{TRANSFER_GUARDS}}.
+{{/IF}}
+{{#IF_NOT HAS_THIRD_COUNTRY}}
+Transfers to third countries outside the EU/EEA do not take place.
+{{/IF_NOT}}
+
+---
+
+## 9. Retention Periods
+
+| Data Category | Retention Period |
+|--------------|----------------|
+| Log data, session identifiers | Duration of usage session |
+| Account data, settings | Until 1 week after account deletion |
+{{#IF HAS_UGC}} | Content data | Until removal by user/moderation, latest 1 week after account deletion | {{/IF}}
+| Usage data | 4 weeks after session end |
+{{#IF HAS_PAYMENTS}} | Master, transaction, identification data | 6 or 10 years (Sec. 147 AO, Sec. 257 HGB) | {{/IF}}
+| Moderation data | 3 years after case closure |
+| Correspondence data | 3 years (general), 6 years (commercial correspondence) |
+
+**Exception:** In the event of security or legally relevant incidents, affected data is retained until the matter is fully resolved.
+
+---
+
+## 10. Cookies and Consent Management
+
+Details on cookies, retention periods and tools: {{COOKIE_POLICY_URL}}.
+Manage/revoke consent: {{CONSENT_WITHDRAWAL_PATH}}.
+
+---
+
+## 11. Security
+
+We employ technical and organisational measures to protect your data: {{SECURITY_MEASURES_SUMMARY}}.
+
+---
+
+## 12. Your Rights
+
+{{#IF DETAILED_RIGHTS}}
+- **Access (Art. 15 GDPR):** You have the right to know which data we process, including purpose, legal basis and recipients. You may request a copy of your data.
+- **Rectification (Art. 16 GDPR):** You may request the correction of inaccurate or the completion of incomplete data.
+- **Erasure (Art. 17 GDPR):** You may request erasure of your data where it is no longer necessary or is unlawfully processed.
+- **Restriction (Art. 18 GDPR):** You may request restriction of processing, e.g. where you contest accuracy.
+- **Data portability (Art. 20 GDPR):** You have the right to receive your data in a structured, commonly used and machine-readable format.
+{{/IF}}
+{{#IF_NOT DETAILED_RIGHTS}}
+- Access (Art. 15 GDPR)
+- Rectification (Art. 16 GDPR)
+- Erasure (Art. 17 GDPR)
+- Restriction of processing (Art. 18 GDPR)
+- Data portability (Art. 20 GDPR)
+{{/IF_NOT}}
+
+To exercise your rights: {{DATA_SUBJECT_REQUEST_CHANNEL}}
+
+### Right of Withdrawal
+
+You have the right to withdraw any consent at any time (Art. 7(3) GDPR). The lawfulness of processing carried out prior to withdrawal remains unaffected.
+
+### Right to Object
+
+**You have the right to object at any time, on grounds relating to your particular situation, to the processing of your data based on Art. 6(1)(f) GDPR (legitimate interest) (Art. 21(1) GDPR). We will then no longer process your data unless there are compelling legitimate grounds.**
+
+{{#IF HAS_MARKETING}}
+**You may object to the processing of your data for direct marketing purposes at any time without giving reasons.**
+{{/IF}}
+
+---
+
+## 13. Right to Lodge a Complaint
+
+You have the right to lodge a complaint with a supervisory authority (Art. 77 GDPR):
+
+**{{SUPERVISORY_AUTHORITY_NAME}}**
+{{SUPERVISORY_AUTHORITY_ADDRESS}}
+
+---
+
+## 14. Changes
+
+We may update this privacy notice. The current version is available at {{WEBSITE_URL}}.
+
+---
+
+*Generated with BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_LEGAL_NAME","COMPANY_LEGAL_FORM","COMPANY_ADDRESS_LINE","COMPANY_POSTAL_CODE","COMPANY_CITY","COMPANY_COUNTRY","CONTACT_EMAIL","CONTACT_PHONE","DPO_NAME","DPO_EMAIL","VERSION_DATE","WEBSITE_URL","PLATFORM_NAME","SERVICE_SCOPE_DESCRIPTION","HOSTING_PROVIDER_NAME","HOSTING_PROVIDER_COUNTRY","HOSTING_PROVIDER_CONTRACT_TYPE","COOKIE_POLICY_URL","CONSENT_WITHDRAWAL_PATH","SECURITY_MEASURES_SUMMARY","DATA_SUBJECT_REQUEST_CHANNEL","SUPERVISORY_AUTHORITY_NAME","SUPERVISORY_AUTHORITY_ADDRESS","ANALYTICS_TOOLS_DETAIL","REPRESENTED_BY_NAME"]'::jsonb,
+    'en', 'EU',
+    'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '2.0.0', 'published',
+    NOW(), NOW()
+WHERE NOT EXISTS (
+    SELECT 1 FROM compliance_legal_templates
+    WHERE document_type = 'privacy_policy' AND language = 'en' AND version = '2.0.0'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+);
diff --git a/backend-compliance/migrations/109_full_template_cleanup.sql b/backend-compliance/migrations/109_full_template_cleanup.sql
new file mode 100644
index 0000000..03ecc6b
--- /dev/null
+++ b/backend-compliance/migrations/109_full_template_cleanup.sql
@@ -0,0 +1,78 @@
+-- Migration 109: Vollstaendige Template-Bereinigung
+-- Entfernt Duplikate, behaelt jeweils die neueste/groesste Version
+
+-- ===========================================================================
+-- 1. DPA: Behalte v2 DE (unseres aus 088), loesche v1 DE + v1 EN
+-- ===========================================================================
+DELETE FROM compliance_legal_templates
+WHERE document_type = 'dpa'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+  AND version != '2.0'
+  AND language = 'de';
+
+DELETE FROM compliance_legal_templates
+WHERE document_type = 'dpa'
+  AND language = 'en'
+  AND version = '1.0.0'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 2. Cookie-Banner: Behalte das groessere (IF-Bloecke), loesche das kleinere
+-- ===========================================================================
+DELETE FROM compliance_legal_templates
+WHERE document_type = 'cookie_banner'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+  AND id != (
+    SELECT id FROM compliance_legal_templates
+    WHERE document_type = 'cookie_banner'
+      AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+    ORDER BY length(content) DESC
+    LIMIT 1
+  );
+
+-- ===========================================================================
+-- 3. Impressum: Behalte das groessere (IF-Bloecke), loesche das kleinere
+-- ===========================================================================
+DELETE FROM compliance_legal_templates
+WHERE document_type = 'impressum'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+  AND id != (
+    SELECT id FROM compliance_legal_templates
+    WHERE document_type = 'impressum'
+      AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+    ORDER BY length(content) DESC
+    LIMIT 1
+  );
+
+-- ===========================================================================
+-- 4. TOM: Behalte das neueste, loesche Duplikat
+-- ===========================================================================
+DELETE FROM compliance_legal_templates
+WHERE document_type = 'tom_documentation'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+  AND id != (
+    SELECT id FROM compliance_legal_templates
+    WHERE document_type = 'tom_documentation'
+      AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+    ORDER BY updated_at DESC
+    LIMIT 1
+  );
+
+-- ===========================================================================
+-- 5. DSFA: Behalte v2 (groesser), loesche v1
+-- ===========================================================================
+DELETE FROM compliance_legal_templates
+WHERE document_type = 'dsfa'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+  AND id != (
+    SELECT id FROM compliance_legal_templates
+    WHERE document_type = 'dsfa'
+      AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+    ORDER BY length(content) DESC
+    LIMIT 1
+  );
+
+-- ===========================================================================
+-- 6. VVT: NICHT loeschen — alle 7 behalten (Branchenvorlagen sind wertvoll)
+-- ===========================================================================
+-- Keine Aktion
diff --git a/backend-compliance/migrations/110_unreviewed_policies_v2.sql b/backend-compliance/migrations/110_unreviewed_policies_v2.sql
new file mode 100644
index 0000000..9ee308d
--- /dev/null
+++ b/backend-compliance/migrations/110_unreviewed_policies_v2.sql
@@ -0,0 +1,87 @@
+-- Migration 110: Review + Update der 12 bisher ungeprüften Policy-Templates
+-- Alle Templates sind bereits auf gutem Niveau (7-14 Abschnitte, ISO/BSI/DSGVO)
+-- Updates: AI Act Referenz, CRA, NIS2UmsuCG, Version-Bump
+-- Zusaetzlich: informationspflichten + verpflichtungserklaerung pruefen
+
+-- ===========================================================================
+-- IT Security Policies (Migration 071) — 10 Templates
+-- ===========================================================================
+
+-- 1. Asset-Management-Richtlinie
+UPDATE compliance_legal_templates SET
+    description = 'Asset-Management-Richtlinie nach ISO 27001 A.5.9. CMDB, Lebenszyklus, Klassifizierung, sichere Entsorgung (DIN 66399), Verantwortlichkeiten. Inkl. virtuelle Assets (APIs, KI-Modelle).',
+    version = '1.1.0', updated_at = NOW()
+WHERE document_type = 'asset_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- 2. Datensicherungsrichtlinie
+UPDATE compliance_legal_templates SET
+    description = 'Datensicherungsrichtlinie nach BSI CON.3. 3-2-1-Regel, RTO/RPO, Backup-Zyklen, Verschluesselung, Restore-Tests. Immutable Backups fuer Ransomware-Schutz.',
+    version = '1.1.0', updated_at = NOW()
+WHERE document_type = 'backup_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- 3. Change-Management-Richtlinie
+UPDATE compliance_legal_templates SET
+    description = 'Change-Management-Richtlinie nach ITIL/ISO 20000. Change-Klassen (Standard/Normal/Emergency), CAB, Risikobewertung, Rollback, Dokumentation.',
+    version = '1.1.0', updated_at = NOW()
+WHERE document_type = 'change_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- 4. Cloud-Security-Richtlinie
+UPDATE compliance_legal_templates SET
+    description = 'Cloud-Security-Richtlinie nach ISO 27017/27018. Shared Responsibility, Vendor-Assessment, Datenresidenz, Verschluesselung (BYOK), Exit-Strategie. NIS2/CRA-konform.',
+    version = '1.1.0', updated_at = NOW()
+WHERE document_type = 'cloud_security_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- 5. DevSecOps-Richtlinie
+UPDATE compliance_legal_templates SET
+    description = 'DevSecOps-Richtlinie fuer sichere Softwareentwicklung. SDLC, CI/CD-Gates (SAST/SCA/Container-Scan), Code-Review, Secrets Management. CRA Art. 21 konform.',
+    version = '1.1.0', updated_at = NOW()
+WHERE document_type = 'devsecops_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- 6. Incident-Response-Richtlinie (ergaenzt den Incident-Response-Plan aus 051)
+UPDATE compliance_legal_templates SET
+    description = 'Incident-Response-Richtlinie: Kurzfassung der Reaktionsprozesse fuer Mitarbeitende. Klassifizierung (P1-P4), Eskalation, Meldepflichten (DSGVO 72h, NIS2 24h). Ergaenzt den detaillierten Incident-Response-Plan.',
+    version = '1.1.0', updated_at = NOW()
+WHERE document_type = 'incident_response_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- 7. Protokollierungsrichtlinie (ergaenzt das Logging-Konzept aus 051)
+UPDATE compliance_legal_templates SET
+    description = 'Protokollierungsrichtlinie: Kurzfassung der Logging-Anforderungen fuer Mitarbeitende und Entwickler. Pflicht-Events, Log-Format, Aufbewahrung, SIEM. Ergaenzt das detaillierte Logging-Konzept.',
+    version = '1.1.0', updated_at = NOW()
+WHERE document_type = 'logging_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- 8. Patch-Management-Richtlinie
+UPDATE compliance_legal_templates SET
+    description = 'Patch-Management-Richtlinie nach BSI OPS.1.1.3. Scan-Zyklen, CVSS-Klassifizierung, SLAs (72h-90d), Ausnahmen, Automatisierung. NIS2/CRA-konform.',
+    version = '1.1.0', updated_at = NOW()
+WHERE document_type = 'patch_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- 9. Secrets-Management-Richtlinie
+UPDATE compliance_legal_templates SET
+    description = 'Secrets-Management-Richtlinie: Vault-basierte zentrale Verwaltung, Rotation (90d DB, 180d API), kein Hardcoding, Break-Glass-Verfahren.',
+    version = '1.1.0', updated_at = NOW()
+WHERE document_type = 'secrets_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- 10. Schwachstellenmanagement-Richtlinie
+UPDATE compliance_legal_templates SET
+    description = 'Schwachstellenmanagement-Richtlinie nach ISO 27001 A.8.8. Scan-Schedule, CVSS-Klassifizierung, SLAs, Triage, Responsible Disclosure (90d), Metriken. CRA-konform.',
+    version = '1.1.0', updated_at = NOW()
+WHERE document_type = 'vulnerability_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- Altbestand aus Migration 021 — 2 Templates
+-- ===========================================================================
+
+-- 11. Informationspflichten — evtl. Duplikat zu privacy_policy
+-- Entscheidung: BEHALTEN als separates, kuerzeres Dokument fuer interne Zwecke
+-- (privacy_policy ist die ausfuehrliche DSI fuer externe Kommunikation)
+UPDATE compliance_legal_templates SET
+    description = 'Kompakte Uebersicht der Informationspflichten gemaess Art. 13/14 DSGVO. Kurzfassung fuer interne Verwendung (Checkliste). Die ausfuehrliche Datenschutzinformation fuer Kunden/Nutzer ist das privacy_policy Template.',
+    version = '1.1', updated_at = NOW()
+WHERE document_type = 'informationspflichten' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- 12. Verpflichtungserklaerung auf das Datengeheimnis
+-- Eigenstaendiges HR-Dokument: Mitarbeiter unterschreiben bei Eintritt
+UPDATE compliance_legal_templates SET
+    description = 'Verpflichtungserklaerung auf das Datengeheimnis fuer Mitarbeitende. Wird bei Eintritt unterschrieben. Bezieht sich auf DSGVO, BDSG und betriebliche Datenschutzrichtlinien. Eigenstaendiges HR-Dokument.',
+    version = '1.1', updated_at = NOW()
+WHERE document_type = 'verpflichtungserklaerung' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
diff --git a/backend-compliance/migrations/111_org_roles_reviews.sql b/backend-compliance/migrations/111_org_roles_reviews.sql
new file mode 100644
index 0000000..4628849
--- /dev/null
+++ b/backend-compliance/migrations/111_org_roles_reviews.sql
@@ -0,0 +1,177 @@
+-- Migration 111: Organizational Compliance Roles + Document Review Workflow
+-- Creates tables for:
+--   1. compliance_org_roles — role assignments per project (DSB, GF, IT-Leiter, etc.)
+--   2. compliance_document_reviews — review tracking for generated documents
+--   3. compliance_document_role_mapping — which roles review which document types
+
+BEGIN;
+
+-- =============================================================================
+-- Table 1: Organizational Compliance Roles
+-- =============================================================================
+
+CREATE TABLE IF NOT EXISTS compliance_org_roles (
+    id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
+    tenant_id UUID NOT NULL,
+    project_id UUID,
+    role_key VARCHAR(50) NOT NULL,
+    role_label VARCHAR(200) NOT NULL,
+    person_name VARCHAR(300),
+    person_email VARCHAR(300),
+    department VARCHAR(200),
+    is_active BOOLEAN NOT NULL DEFAULT TRUE,
+    created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+    updated_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+    UNIQUE(tenant_id, project_id, role_key)
+);
+
+CREATE INDEX IF NOT EXISTS idx_org_roles_tenant ON compliance_org_roles(tenant_id);
+CREATE INDEX IF NOT EXISTS idx_org_roles_project ON compliance_org_roles(tenant_id, project_id);
+
+-- =============================================================================
+-- Table 2: Document Reviews
+-- =============================================================================
+
+CREATE TABLE IF NOT EXISTS compliance_document_reviews (
+    id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
+    tenant_id UUID NOT NULL,
+    project_id UUID,
+    document_type VARCHAR(100) NOT NULL,
+    document_title VARCHAR(500) NOT NULL,
+    document_content_hash VARCHAR(64),
+    reviewer_role_key VARCHAR(50) NOT NULL,
+    reviewer_name VARCHAR(300),
+    reviewer_email VARCHAR(300),
+    status VARCHAR(20) NOT NULL DEFAULT 'pending'
+        CHECK (status IN ('pending', 'in_review', 'approved', 'rejected')),
+    submitted_at TIMESTAMPTZ,
+    submitted_by VARCHAR(200),
+    reviewed_at TIMESTAMPTZ,
+    review_comment TEXT,
+    review_link TEXT,
+    email_sent BOOLEAN NOT NULL DEFAULT FALSE,
+    email_sent_at TIMESTAMPTZ,
+    created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+    updated_at TIMESTAMPTZ NOT NULL DEFAULT NOW()
+);
+
+CREATE INDEX IF NOT EXISTS idx_doc_reviews_tenant ON compliance_document_reviews(tenant_id);
+CREATE INDEX IF NOT EXISTS idx_doc_reviews_status ON compliance_document_reviews(tenant_id, status);
+CREATE INDEX IF NOT EXISTS idx_doc_reviews_doctype ON compliance_document_reviews(document_type);
+
+-- =============================================================================
+-- Table 3: Document-to-Role Mapping (seed defaults)
+-- =============================================================================
+
+CREATE TABLE IF NOT EXISTS compliance_document_role_mapping (
+    id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
+    tenant_id UUID NOT NULL,
+    document_type VARCHAR(100) NOT NULL,
+    role_key VARCHAR(50) NOT NULL,
+    is_primary BOOLEAN NOT NULL DEFAULT TRUE,
+    created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+    UNIQUE(tenant_id, document_type, role_key)
+);
+
+CREATE INDEX IF NOT EXISTS idx_role_mapping_tenant ON compliance_document_role_mapping(tenant_id);
+
+-- =============================================================================
+-- Seed: Default document-to-role mapping (tenant_id = '__default__')
+-- Every document type has at least one primary reviewer.
+-- Tenants get a copy on first use; editable per tenant.
+-- =============================================================================
+
+-- DSB — Datenschutzbeauftragter
+INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key) VALUES
+('__default__', 'privacy_policy', 'dsb'), ('__default__', 'vvt_register', 'dsb'),
+('__default__', 'tom_documentation', 'dsb'), ('__default__', 'dsfa', 'dsb'),
+('__default__', 'loeschkonzept', 'dsb'), ('__default__', 'dpa', 'dsb'),
+('__default__', 'pflichtenregister', 'dsb'), ('__default__', 'data_protection_concept', 'dsb'),
+('__default__', 'data_protection_policy', 'dsb'), ('__default__', 'data_retention_policy', 'dsb'),
+('__default__', 'data_transfer_policy', 'dsb'), ('__default__', 'data_classification_policy', 'dsb'),
+('__default__', 'privacy_incident_policy', 'dsb'), ('__default__', 'informationspflichten', 'dsb'),
+('__default__', 'verpflichtungserklaerung', 'dsb'), ('__default__', 'consent_texts', 'dsb'),
+('__default__', 'dsr_process_art15', 'dsb'), ('__default__', 'dsr_process_art16', 'dsb'),
+('__default__', 'dsr_process_art17', 'dsb'), ('__default__', 'dsr_process_art18', 'dsb'),
+('__default__', 'dsr_process_art19', 'dsb'), ('__default__', 'dsr_process_art20', 'dsb'),
+('__default__', 'dsr_process_art21', 'dsb')
+ON CONFLICT DO NOTHING;
+
+-- GF — Geschaeftsfuehrung
+INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key) VALUES
+('__default__', 'agb', 'gf'), ('__default__', 'terms_of_use', 'gf'),
+('__default__', 'nda', 'gf'), ('__default__', 'sla', 'gf'),
+('__default__', 'impressum', 'gf'), ('__default__', 'widerruf', 'gf'),
+('__default__', 'whistleblower_policy', 'gf'),
+('__default__', 'cloud_service_agreement', 'gf'),
+('__default__', 'standard_operating_procedure', 'gf'),
+('__default__', 'data_usage_clause', 'gf')
+ON CONFLICT DO NOTHING;
+
+-- IT-Leiter / CISO
+INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key) VALUES
+('__default__', 'it_security_concept', 'it_leiter'),
+('__default__', 'isms_manual', 'it_leiter'),
+('__default__', 'backup_recovery_concept', 'it_leiter'),
+('__default__', 'logging_concept', 'it_leiter'),
+('__default__', 'incident_response_plan', 'it_leiter'),
+('__default__', 'access_control_concept', 'it_leiter'),
+('__default__', 'risk_management_concept', 'it_leiter'),
+('__default__', 'information_security_policy', 'it_leiter'),
+('__default__', 'access_control_policy', 'it_leiter'),
+('__default__', 'password_policy', 'it_leiter'),
+('__default__', 'encryption_policy', 'it_leiter'),
+('__default__', 'logging_policy', 'it_leiter'),
+('__default__', 'backup_policy', 'it_leiter'),
+('__default__', 'incident_response_policy', 'it_leiter'),
+('__default__', 'change_management_policy', 'it_leiter'),
+('__default__', 'patch_management_policy', 'it_leiter'),
+('__default__', 'asset_management_policy', 'it_leiter'),
+('__default__', 'cloud_security_policy', 'it_leiter'),
+('__default__', 'devsecops_policy', 'it_leiter'),
+('__default__', 'secrets_management_policy', 'it_leiter'),
+('__default__', 'vulnerability_management_policy', 'it_leiter'),
+('__default__', 'cybersecurity_policy', 'it_leiter'),
+('__default__', 'business_continuity_policy', 'it_leiter'),
+('__default__', 'disaster_recovery_policy', 'it_leiter'),
+('__default__', 'crisis_management_policy', 'it_leiter')
+ON CONFLICT DO NOTHING;
+
+-- HR-Leitung
+INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key) VALUES
+('__default__', 'employee_dsi', 'hr_leitung'),
+('__default__', 'applicant_dsi', 'hr_leitung'),
+('__default__', 'employee_security_policy', 'hr_leitung'),
+('__default__', 'security_awareness_policy', 'hr_leitung'),
+('__default__', 'remote_work_policy', 'hr_leitung'),
+('__default__', 'offboarding_policy', 'hr_leitung'),
+('__default__', 'byod_policy', 'hr_leitung')
+ON CONFLICT DO NOTHING;
+
+-- Marketing-Leitung
+INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key) VALUES
+('__default__', 'cookie_banner', 'marketing_leitung'),
+('__default__', 'cookie_policy', 'marketing_leitung'),
+('__default__', 'social_media_dsi', 'marketing_leitung'),
+('__default__', 'community_guidelines', 'marketing_leitung'),
+('__default__', 'acceptable_use', 'marketing_leitung'),
+('__default__', 'media_content_policy', 'marketing_leitung'),
+('__default__', 'copyright_policy', 'marketing_leitung'),
+('__default__', 'video_conference_dsi', 'marketing_leitung')
+ON CONFLICT DO NOTHING;
+
+-- Compliance-Beauftragter
+INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key) VALUES
+('__default__', 'ai_usage_policy', 'compliance_beauftragter')
+ON CONFLICT DO NOTHING;
+
+-- Einkauf / Vendor Management
+INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key) VALUES
+('__default__', 'vendor_risk_management_policy', 'einkauf'),
+('__default__', 'third_party_security_policy', 'einkauf'),
+('__default__', 'supplier_security_policy', 'einkauf'),
+('__default__', 'transfer_impact_assessment', 'einkauf'),
+('__default__', 'scc_companion', 'einkauf')
+ON CONFLICT DO NOTHING;
+
+COMMIT;
diff --git a/backend-compliance/migrations/112_sop_template.sql b/backend-compliance/migrations/112_sop_template.sql
new file mode 100644
index 0000000..b23bead
--- /dev/null
+++ b/backend-compliance/migrations/112_sop_template.sql
@@ -0,0 +1,137 @@
+-- Migration 112: Standard Operating Procedure (SOP) Template
+-- ISO 9001-konforme Struktur, eigene Formulierung (kein Normtext)
+
+INSERT INTO compliance_legal_templates (
+    tenant_id, document_type, template_type, language, jurisdiction,
+    document_title, description, version, status,
+    text, placeholders,
+    license_id, license_name, source_name, attribution_required
+) VALUES (
+    '__default__',
+    'standard_operating_procedure',
+    'standard_operating_procedure',
+    'de',
+    'DE',
+    'Standard Operating Procedure (SOP)',
+    'Vorlage fuer standardisierte Verfahrensanweisungen mit Rollen-Matrix, Ablaufbeschreibung und Freigabeprozess',
+    '1.0',
+    'published',
+    $template$# Standard Operating Procedure (SOP)
+
+**{{COMPANY_NAME}}** | SOP-Nr.: {{SOP_NUMBER}} | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Zweck
+
+{{SOP_PURPOSE}}
+
+## 2. Geltungsbereich
+
+{{SOP_SCOPE}}
+
+## 3. Verantwortlichkeiten
+
+| Rolle | Verantwortung | Name |
+|-------|---------------|------|
+| Ersteller | Erstellung und Pflege dieser SOP | {{SOP_AUTHOR_NAME}} |
+| Pruefer/in | Fachliche Pruefung auf Richtigkeit | {{SOP_REVIEWER_NAME}} |
+| Freigebende/r | Formale Freigabe und Inkraftsetzung | {{SOP_APPROVER_NAME}} |
+| Durchfuehrende/r | Operative Umsetzung des Verfahrens | {{SOP_EXECUTOR_NAME}} |
+
+### Zusaetzliche Rollen
+
+{{#IF HAS_ADDITIONAL_ROLES}}
+| Rolle | Verantwortung | Kontakt |
+|-------|---------------|---------|
+{{SOP_ADDITIONAL_ROLES}}
+{{/IF}}
+
+## 4. Begriffe und Abkuerzungen
+
+{{SOP_DEFINITIONS}}
+
+## 5. Ablaufbeschreibung
+
+### 5.1 Voraussetzungen
+
+{{SOP_PREREQUISITES}}
+
+### 5.2 Durchfuehrung
+
+{{SOP_PROCEDURE_STEPS}}
+
+### 5.3 Nachbereitung und Qualitaetskontrolle
+
+{{SOP_POST_STEPS}}
+
+### 5.4 Eskalation
+
+{{#IF HAS_ESCALATION}}
+Bei Abweichungen vom Standardprozess gilt folgender Eskalationsweg:
+
+{{SOP_ESCALATION_PATH}}
+{{/IF}}
+{{#IF_NOT HAS_ESCALATION}}
+Abweichungen sind dem/der Freigebenden ({{SOP_APPROVER_NAME}}) unverzueglich zu melden.
+{{/IF_NOT}}
+
+## 6. Dokumentation und Nachweise
+
+{{SOP_DOCUMENTATION_REQUIREMENTS}}
+
+**Aufbewahrungsfrist:** {{SOP_RETENTION_PERIOD}}
+
+**Speicherort:** {{SOP_STORAGE_LOCATION}}
+
+## 7. Abweichungsbehandlung
+
+{{SOP_DEVIATION_HANDLING}}
+
+## 8. Referenzen
+
+{{SOP_REFERENCES}}
+
+## 9. Revisionshistorie
+
+| Version | Datum | Autor | Aenderungen |
+|---------|-------|-------|-------------|
+| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{SOP_AUTHOR_NAME}} | Erstversion |
+
+## 10. Freigabe
+
+| Rolle | Name | Datum | Unterschrift |
+|-------|------|-------|-------------|
+| Erstellt von | {{SOP_AUTHOR_NAME}} | {{VERSION_DATE}} | _______________ |
+| Geprueft von | {{SOP_REVIEWER_NAME}} | | _______________ |
+| Freigegeben von | {{SOP_APPROVER_NAME}} | | _______________ |
+
+---
+
+*Dieses Dokument wurde mit dem BreakPilot Compliance SDK erstellt.*
+$template$,
+    '[
+        {"key": "{{COMPANY_NAME}}", "label": "Firmenname", "required": true, "section": "PROVIDER"},
+        {"key": "{{SOP_NUMBER}}", "label": "SOP-Nummer (z.B. SOP-DS-001)", "required": true, "section": "LEGAL"},
+        {"key": "{{DOCUMENT_VERSION}}", "label": "Version (z.B. 1.0)", "required": true, "section": "LEGAL"},
+        {"key": "{{VERSION_DATE}}", "label": "Datum (YYYY-MM-DD)", "required": true, "section": "LEGAL"},
+        {"key": "{{SOP_PURPOSE}}", "label": "Zweck der SOP", "required": true, "section": "LEGAL"},
+        {"key": "{{SOP_SCOPE}}", "label": "Geltungsbereich", "required": true, "section": "LEGAL"},
+        {"key": "{{SOP_AUTHOR_NAME}}", "label": "Ersteller (Name)", "required": true, "section": "PROVIDER"},
+        {"key": "{{SOP_REVIEWER_NAME}}", "label": "Pruefer/in (Name)", "required": true, "section": "PROVIDER"},
+        {"key": "{{SOP_APPROVER_NAME}}", "label": "Freigebende/r (Name)", "required": true, "section": "PROVIDER"},
+        {"key": "{{SOP_EXECUTOR_NAME}}", "label": "Durchfuehrende/r (Name)", "required": true, "section": "PROVIDER"},
+        {"key": "{{SOP_ADDITIONAL_ROLES}}", "label": "Weitere Rollen (Markdown-Tabelle)", "required": false, "section": "PROVIDER"},
+        {"key": "{{SOP_DEFINITIONS}}", "label": "Begriffe und Abkuerzungen", "required": false, "section": "LEGAL"},
+        {"key": "{{SOP_PREREQUISITES}}", "label": "Voraussetzungen", "required": true, "section": "LEGAL"},
+        {"key": "{{SOP_PROCEDURE_STEPS}}", "label": "Ablaufbeschreibung (Schritte)", "required": true, "section": "LEGAL"},
+        {"key": "{{SOP_POST_STEPS}}", "label": "Nachbereitung / QS", "required": false, "section": "LEGAL"},
+        {"key": "{{SOP_ESCALATION_PATH}}", "label": "Eskalationsweg", "required": false, "section": "LEGAL"},
+        {"key": "{{SOP_DOCUMENTATION_REQUIREMENTS}}", "label": "Dokumentationspflichten", "required": true, "section": "LEGAL"},
+        {"key": "{{SOP_RETENTION_PERIOD}}", "label": "Aufbewahrungsfrist", "required": false, "section": "LEGAL"},
+        {"key": "{{SOP_STORAGE_LOCATION}}", "label": "Speicherort", "required": false, "section": "LEGAL"},
+        {"key": "{{SOP_DEVIATION_HANDLING}}", "label": "Abweichungsbehandlung", "required": true, "section": "LEGAL"},
+        {"key": "{{SOP_REFERENCES}}", "label": "Referenzen / Normen", "required": false, "section": "LEGAL"}
+    ]'::jsonb,
+    'mit', 'MIT License', 'BreakPilot Compliance', false
+) ON CONFLICT DO NOTHING;
diff --git a/backend-compliance/migrations/113_vendor_consent_granular.sql b/backend-compliance/migrations/113_vendor_consent_granular.sql
new file mode 100644
index 0000000..b36aaa5
--- /dev/null
+++ b/backend-compliance/migrations/113_vendor_consent_granular.sql
@@ -0,0 +1,9 @@
+-- Migration 113: Granularer Vendor-Level Consent
+-- Erweitert Banner-Consents um vendor_consents JSONB ({"vendor_id": true/false})
+-- Additiv und rueckwaerts-kompatibel
+
+ALTER TABLE compliance_banner_consents
+    ADD COLUMN IF NOT EXISTS vendor_consents JSONB DEFAULT '{}';
+
+ALTER TABLE compliance_banner_consent_audit_log
+    ADD COLUMN IF NOT EXISTS vendor_consents JSONB DEFAULT '{}';
diff --git a/backend-compliance/migrations/114_banner_analytics.sql b/backend-compliance/migrations/114_banner_analytics.sql
new file mode 100644
index 0000000..78af7cb
--- /dev/null
+++ b/backend-compliance/migrations/114_banner_analytics.sql
@@ -0,0 +1,8 @@
+-- Migration 114: Banner Analytics Enrichment
+-- Adds user_agent to audit log for device classification + time-series index
+
+ALTER TABLE compliance_banner_consent_audit_log
+    ADD COLUMN IF NOT EXISTS user_agent TEXT;
+
+CREATE INDEX IF NOT EXISTS idx_banner_audit_timeseries
+    ON compliance_banner_consent_audit_log(tenant_id, site_id, action, created_at);
diff --git a/backend-compliance/migrations/115_role_training_mapping.sql b/backend-compliance/migrations/115_role_training_mapping.sql
new file mode 100644
index 0000000..f410fdb
--- /dev/null
+++ b/backend-compliance/migrations/115_role_training_mapping.sql
@@ -0,0 +1,22 @@
+-- Migration 115: Mapping between organizational compliance roles and training role codes
+-- Bridges the Rollenkonzept (org_roles) with the Academy (training_matrix)
+
+CREATE TABLE IF NOT EXISTS compliance_role_training_mapping (
+    id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
+    tenant_id VARCHAR(100) NOT NULL DEFAULT '__default__',
+    org_role_key VARCHAR(50) NOT NULL,
+    training_role_code VARCHAR(10) NOT NULL,
+    created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+    UNIQUE(tenant_id, org_role_key)
+);
+
+-- Seed default mapping
+INSERT INTO compliance_role_training_mapping (tenant_id, org_role_key, training_role_code) VALUES
+('__default__', 'dsb', 'R3'),
+('__default__', 'gf', 'R1'),
+('__default__', 'it_leiter', 'R2'),
+('__default__', 'hr_leitung', 'R5'),
+('__default__', 'einkauf', 'R6'),
+('__default__', 'compliance_beauftragter', 'R4'),
+('__default__', 'marketing_leitung', 'R7')
+ON CONFLICT DO NOTHING;
diff --git a/backend-compliance/migrations/116_banner_ab_testing.sql b/backend-compliance/migrations/116_banner_ab_testing.sql
new file mode 100644
index 0000000..c6b68f6
--- /dev/null
+++ b/backend-compliance/migrations/116_banner_ab_testing.sql
@@ -0,0 +1,31 @@
+-- Migration 116: Banner A/B Testing
+-- Enables variant testing for consent rate optimization
+
+CREATE TABLE IF NOT EXISTS compliance_banner_variants (
+    id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
+    tenant_id UUID NOT NULL,
+    site_config_id UUID NOT NULL,
+    variant_name VARCHAR(100) NOT NULL,
+    variant_key VARCHAR(20) NOT NULL,
+    traffic_percent INT NOT NULL DEFAULT 50 CHECK (traffic_percent BETWEEN 0 AND 100),
+    is_control BOOLEAN NOT NULL DEFAULT FALSE,
+    banner_title TEXT,
+    banner_description TEXT,
+    position VARCHAR(20),
+    style VARCHAR(20),
+    primary_color VARCHAR(20),
+    show_decline_all BOOLEAN,
+    theme_overrides JSONB DEFAULT '{}',
+    is_active BOOLEAN NOT NULL DEFAULT TRUE,
+    created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+    updated_at TIMESTAMPTZ DEFAULT NOW(),
+    UNIQUE(site_config_id, variant_key)
+);
+
+CREATE INDEX IF NOT EXISTS idx_banner_variants_site
+    ON compliance_banner_variants(site_config_id);
+
+ALTER TABLE compliance_banner_consent_audit_log
+    ADD COLUMN IF NOT EXISTS variant_id UUID;
+ALTER TABLE compliance_banner_consent_audit_log
+    ADD COLUMN IF NOT EXISTS variant_key VARCHAR(20);
diff --git a/backend-compliance/migrations/117_dsr_email_templates_content.sql b/backend-compliance/migrations/117_dsr_email_templates_content.sql
new file mode 100644
index 0000000..42f05d7
--- /dev/null
+++ b/backend-compliance/migrations/117_dsr_email_templates_content.sql
@@ -0,0 +1,164 @@
+-- Migration 117: Professional DSR email template content
+-- Updates published versions with proper HTML for all 5 DSR template types
+
+-- Note: This updates existing template versions. If no versions exist yet,
+-- the email_delivery_service falls back to inline HTML.
+
+-- dsr_receipt: Eingangsbestaetigung
+UPDATE compliance_email_template_versions SET
+    subject = 'Eingangsbestaetigung Ihrer Anfrage {{reference_number}} ({{request_type}})',
+    body_html = '<div style="font-family:system-ui,sans-serif;max-width:600px;margin:0 auto;">
+<div style="background:#7c3aed;color:white;padding:20px 24px;border-radius:12px 12px 0 0;">
+<h1 style="margin:0;font-size:20px;">Eingangsbestaetigung</h1>
+<p style="margin:4px 0 0;opacity:0.9;font-size:14px;">Ihre Anfrage nach {{request_type}}</p>
+</div>
+<div style="background:white;padding:24px;border:1px solid #e5e7eb;border-top:none;border-radius:0 0 12px 12px;">
+<p>Sehr geehrte/r <strong>{{requester_name}}</strong>,</p>
+<p>wir bestaetigen den Eingang Ihrer Anfrage auf Datenauskunft gemaess DSGVO.</p>
+<table style="width:100%;border-collapse:collapse;margin:16px 0;">
+<tr><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;color:#6b7280;">Vorgangsnummer:</td><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;font-weight:bold;">{{reference_number}}</td></tr>
+<tr><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;color:#6b7280;">Art der Anfrage:</td><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;">{{request_type}}</td></tr>
+<tr><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;color:#6b7280;">Frist:</td><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;">{{deadline}}</td></tr>
+</table>
+<p>Wir werden Ihre Anfrage schnellstmoeglich bearbeiten und Ihnen die angeforderten Informationen innerhalb der gesetzlichen Frist zukommen lassen.</p>
+<p>Bei Rueckfragen wenden Sie sich bitte unter Angabe der Vorgangsnummer an unseren Datenschutzbeauftragten.</p>
+<p style="margin-top:24px;color:#6b7280;font-size:12px;">Mit freundlichen Gruessen<br/><strong>{{sender_name}}</strong></p>
+</div></div>',
+    body_text = 'Eingangsbestaetigung - {{reference_number}}
+
+Sehr geehrte/r {{requester_name}},
+
+wir bestaetigen den Eingang Ihrer Anfrage ({{reference_number}}) auf {{request_type}}.
+
+Frist: {{deadline}}
+
+Mit freundlichen Gruessen
+{{sender_name}}',
+    updated_at = NOW()
+WHERE template_id IN (
+    SELECT id FROM compliance_email_templates WHERE template_type = 'dsr_receipt'
+) AND status = 'published';
+
+-- dsr_completion: Abschluss / Datenauskunft
+UPDATE compliance_email_template_versions SET
+    subject = 'Ihre Datenauskunft {{reference_number}} — abgeschlossen',
+    body_html = '<div style="font-family:system-ui,sans-serif;max-width:600px;margin:0 auto;">
+<div style="background:#16a34a;color:white;padding:20px 24px;border-radius:12px 12px 0 0;">
+<h1 style="margin:0;font-size:20px;">Datenauskunft</h1>
+<p style="margin:4px 0 0;opacity:0.9;font-size:14px;">Vorgangsnummer {{reference_number}}</p>
+</div>
+<div style="background:white;padding:24px;border:1px solid #e5e7eb;border-top:none;border-radius:0 0 12px 12px;">
+<p>Sehr geehrte/r <strong>{{requester_name}}</strong>,</p>
+<p>Ihre Anfrage ({{reference_number}}) vom Typ <strong>{{request_type}}</strong> wurde am <strong>{{completion_date}}</strong> abgeschlossen.</p>
+<p>Die angeforderten Daten stehen Ihnen in folgenden Formaten zur Verfuegung:</p>
+<ul><li><strong>PDF</strong> — druckbare Uebersicht</li><li><strong>JSON</strong> — maschinenlesbar (Art. 20 DSGVO)</li><li><strong>CSV</strong> — tabellarisch</li></ul>
+<p>Sollten Sie Fragen haben oder weitere Rechte ausueben wollen (Berichtigung Art. 16, Loeschung Art. 17, Einschraenkung Art. 18), wenden Sie sich bitte erneut an uns.</p>
+<p style="margin-top:24px;color:#6b7280;font-size:12px;">Mit freundlichen Gruessen<br/><strong>{{sender_name}}</strong></p>
+</div></div>',
+    body_text = 'Datenauskunft - {{reference_number}}
+
+Sehr geehrte/r {{requester_name}},
+
+Ihre Anfrage ({{reference_number}}) wurde am {{completion_date}} abgeschlossen.
+
+Die Daten stehen als PDF, JSON und CSV zur Verfuegung.
+
+Mit freundlichen Gruessen
+{{sender_name}}',
+    updated_at = NOW()
+WHERE template_id IN (
+    SELECT id FROM compliance_email_templates WHERE template_type = 'dsr_completion'
+) AND status = 'published';
+
+-- dsr_rejection: Ablehnung
+UPDATE compliance_email_template_versions SET
+    subject = 'Zu Ihrer Anfrage {{reference_number}} — Entscheidung',
+    body_html = '<div style="font-family:system-ui,sans-serif;max-width:600px;margin:0 auto;">
+<div style="background:#6b7280;color:white;padding:20px 24px;border-radius:12px 12px 0 0;">
+<h1 style="margin:0;font-size:20px;">Mitteilung zu Ihrer Anfrage</h1>
+</div>
+<div style="background:white;padding:24px;border:1px solid #e5e7eb;border-top:none;border-radius:0 0 12px 12px;">
+<p>Sehr geehrte/r <strong>{{requester_name}}</strong>,</p>
+<p>wir haben Ihre Anfrage ({{reference_number}}) geprueft und muessen Ihnen leider mitteilen, dass wir dieser nicht nachkommen koennen.</p>
+<div style="background:#fef2f2;border:1px solid #fecaca;border-radius:8px;padding:16px;margin:16px 0;">
+<p style="margin:0;font-weight:bold;color:#991b1b;">Grund:</p>
+<p style="margin:4px 0 0;">{{rejection_reason}}</p>
+<p style="margin:8px 0 0;font-size:13px;color:#6b7280;">Rechtsgrundlage: {{legal_basis}}</p>
+</div>
+<p>Sie haben das Recht, eine Beschwerde bei der zustaendigen Aufsichtsbehoerde einzureichen.</p>
+<p style="margin-top:24px;color:#6b7280;font-size:12px;">Mit freundlichen Gruessen<br/><strong>{{sender_name}}</strong></p>
+</div></div>',
+    body_text = 'Mitteilung zu {{reference_number}}
+
+Sehr geehrte/r {{requester_name}},
+
+wir koennen Ihrer Anfrage leider nicht nachkommen.
+
+Grund: {{rejection_reason}}
+Rechtsgrundlage: {{legal_basis}}
+
+Mit freundlichen Gruessen
+{{sender_name}}',
+    updated_at = NOW()
+WHERE template_id IN (
+    SELECT id FROM compliance_email_templates WHERE template_type = 'dsr_rejection'
+) AND status = 'published';
+
+-- dsr_identity_request: Identitaetspruefung
+UPDATE compliance_email_template_versions SET
+    subject = 'Identitaetspruefung erforderlich — {{reference_number}}',
+    body_html = '<div style="font-family:system-ui,sans-serif;max-width:600px;margin:0 auto;">
+<div style="background:#ca8a04;color:white;padding:20px 24px;border-radius:12px 12px 0 0;">
+<h1 style="margin:0;font-size:20px;">Identitaetspruefung erforderlich</h1>
+</div>
+<div style="background:white;padding:24px;border:1px solid #e5e7eb;border-top:none;border-radius:0 0 12px 12px;">
+<p>Sehr geehrte/r <strong>{{requester_name}}</strong>,</p>
+<p>fuer die Bearbeitung Ihrer Anfrage ({{reference_number}}) benoetigen wir gemaess Art. 12 Abs. 6 DSGVO eine Bestaetigung Ihrer Identitaet.</p>
+<p>Bitte senden Sie uns <strong>eines</strong> der folgenden Dokumente:</p>
+<ul><li>Kopie Ihres Personalausweises (Vorder-/Rueckseite, Adresse + Foto duerfen geschwärzt werden)</li><li>Screenshot Ihres Kundenkontos mit sichtbarer E-Mail-Adresse</li><li>Antwort von der bei uns registrierten E-Mail-Adresse</li></ul>
+<p style="margin-top:24px;color:#6b7280;font-size:12px;">Mit freundlichen Gruessen<br/><strong>{{sender_name}}</strong></p>
+</div></div>',
+    body_text = 'Identitaetspruefung - {{reference_number}}
+
+Sehr geehrte/r {{requester_name}},
+
+fuer Ihre Anfrage ({{reference_number}}) benoetigen wir eine Identitaetsbestaetigung.
+
+Mit freundlichen Gruessen
+{{sender_name}}',
+    updated_at = NOW()
+WHERE template_id IN (
+    SELECT id FROM compliance_email_templates WHERE template_type = 'dsr_identity_request'
+) AND status = 'published';
+
+-- dsr_extension: Fristverlaengerung
+UPDATE compliance_email_template_versions SET
+    subject = 'Fristverlaengerung Ihrer Anfrage {{reference_number}}',
+    body_html = '<div style="font-family:system-ui,sans-serif;max-width:600px;margin:0 auto;">
+<div style="background:#2563eb;color:white;padding:20px 24px;border-radius:12px 12px 0 0;">
+<h1 style="margin:0;font-size:20px;">Fristverlaengerung</h1>
+</div>
+<div style="background:white;padding:24px;border:1px solid #e5e7eb;border-top:none;border-radius:0 0 12px 12px;">
+<p>Sehr geehrte/r <strong>{{requester_name}}</strong>,</p>
+<p>wir informieren Sie, dass die Bearbeitung Ihrer Anfrage ({{reference_number}}) mehr Zeit in Anspruch nimmt als urspruenglich geplant.</p>
+<p>Gemaess Art. 12 Abs. 3 DSGVO verlaengern wir die Frist:</p>
+<table style="width:100%;border-collapse:collapse;margin:16px 0;">
+<tr><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;color:#6b7280;">Neue Frist:</td><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;font-weight:bold;">{{new_deadline}}</td></tr>
+<tr><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;color:#6b7280;">Grund:</td><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;">{{extension_reason}}</td></tr>
+</table>
+<p style="margin-top:24px;color:#6b7280;font-size:12px;">Mit freundlichen Gruessen<br/><strong>{{sender_name}}</strong></p>
+</div></div>',
+    body_text = 'Fristverlaengerung - {{reference_number}}
+
+Sehr geehrte/r {{requester_name}},
+
+die Frist fuer Ihre Anfrage wurde verlaengert.
+Neue Frist: {{new_deadline}}
+Grund: {{extension_reason}}
+
+Mit freundlichen Gruessen
+{{sender_name}}',
+    updated_at = NOW()
+WHERE template_id IN (
+    SELECT id FROM compliance_email_templates WHERE template_type = 'dsr_extension'
+) AND status = 'published';
diff --git a/backend-compliance/migrations/118_whistleblower.sql b/backend-compliance/migrations/118_whistleblower.sql
new file mode 100644
index 0000000..9c4b301
--- /dev/null
+++ b/backend-compliance/migrations/118_whistleblower.sql
@@ -0,0 +1,58 @@
+-- Migration 118: Whistleblower (HinSchG) — Report + Message tables
+-- Meldestelle fuer Hinweisgeber gemaess HinSchG §§ 12-18
+
+CREATE TABLE IF NOT EXISTS compliance_whistleblower_reports (
+    id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
+    tenant_id UUID NOT NULL,
+    reference_number VARCHAR(50) NOT NULL,
+    access_key VARCHAR(20) NOT NULL,
+    category VARCHAR(30) NOT NULL DEFAULT 'other',
+    status VARCHAR(30) NOT NULL DEFAULT 'new',
+    priority VARCHAR(20) NOT NULL DEFAULT 'normal',
+    title VARCHAR(500) NOT NULL,
+    description TEXT NOT NULL,
+    is_anonymous BOOLEAN NOT NULL DEFAULT TRUE,
+    reporter_name VARCHAR(300),
+    reporter_email VARCHAR(300),
+    reporter_phone VARCHAR(100),
+    assigned_to VARCHAR(300),
+    received_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+    acknowledged_at TIMESTAMPTZ,
+    deadline_acknowledgment TIMESTAMPTZ,
+    deadline_feedback TIMESTAMPTZ,
+    closed_at TIMESTAMPTZ,
+    closure_reason TEXT,
+    created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+    updated_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+    UNIQUE(tenant_id, reference_number),
+    UNIQUE(tenant_id, access_key)
+);
+
+CREATE INDEX IF NOT EXISTS idx_wb_reports_tenant ON compliance_whistleblower_reports(tenant_id);
+CREATE INDEX IF NOT EXISTS idx_wb_reports_status ON compliance_whistleblower_reports(tenant_id, status);
+CREATE INDEX IF NOT EXISTS idx_wb_reports_access ON compliance_whistleblower_reports(access_key);
+
+CREATE TABLE IF NOT EXISTS compliance_whistleblower_messages (
+    id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
+    report_id UUID NOT NULL REFERENCES compliance_whistleblower_reports(id) ON DELETE CASCADE,
+    sender_type VARCHAR(20) NOT NULL DEFAULT 'reporter',
+    message TEXT NOT NULL,
+    is_internal BOOLEAN NOT NULL DEFAULT FALSE,
+    created_at TIMESTAMPTZ NOT NULL DEFAULT NOW()
+);
+
+CREATE INDEX IF NOT EXISTS idx_wb_messages_report ON compliance_whistleblower_messages(report_id);
+
+CREATE TABLE IF NOT EXISTS compliance_whistleblower_measures (
+    id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
+    report_id UUID NOT NULL REFERENCES compliance_whistleblower_reports(id) ON DELETE CASCADE,
+    title VARCHAR(500) NOT NULL,
+    description TEXT,
+    status VARCHAR(20) NOT NULL DEFAULT 'planned',
+    responsible VARCHAR(300),
+    due_date TIMESTAMPTZ,
+    completed_at TIMESTAMPTZ,
+    created_at TIMESTAMPTZ NOT NULL DEFAULT NOW()
+);
+
+CREATE INDEX IF NOT EXISTS idx_wb_measures_report ON compliance_whistleblower_measures(report_id);
diff --git a/backend-compliance/tests/test_lit_mapping_validation.py b/backend-compliance/tests/test_lit_mapping_validation.py
new file mode 100644
index 0000000..6e45ec8
--- /dev/null
+++ b/backend-compliance/tests/test_lit_mapping_validation.py
@@ -0,0 +1,316 @@
+"""
+Lit-Mapping Validation Test — verifies that BOTH the hardcoded dict AND
+the Control Library detect the same legal basis errors.
+
+If both produce the same results, we can safely delete the dict.
+
+Test cases use deliberately WRONG legal basis assignments that are
+common mistakes on real websites.
+"""
+
+import asyncio
+import json
+import os
+import sys
+
+# Add parent to path for imports
+sys.path.insert(0, os.path.dirname(os.path.dirname(os.path.abspath(__file__))))
+
+
+# ═══════════════════════════════════════════════════════════════
+# TEST CASES — Deliberately wrong DSE text blocks
+# ═══════════════════════════════════════════════════════════════
+
+TEST_CASES = [
+    {
+        "id": "cookie_tracking_wrong_litf",
+        "description": "Cookie-Tracking auf lit. f statt lit. a",
+        "dse_text": (
+            "Wir setzen Cookies und aehnliche Tracking-Technologien ein, "
+            "um die Nutzung unserer Website zu analysieren. Die Verarbeitung "
+            "erfolgt auf Grundlage unseres berechtigten Interesses gemaess "
+            "Art. 6 Abs. 1 lit. f DSGVO an der Optimierung unseres Angebots."
+        ),
+        "expected_finding": True,
+        "expected_purpose": "cookie_tracking",
+        "correct_basis": "lit. a (Einwilligung)",
+        "wrong_basis": "lit. f",
+    },
+    {
+        "id": "analytics_wrong_litb",
+        "description": "Google Analytics auf lit. b (Vertragserfuellung) statt lit. a",
+        "dse_text": (
+            "Wir nutzen Google Analytics zur Webanalyse. Die Datenverarbeitung "
+            "erfolgt auf Basis der Vertragserfuellung gemaess Art. 6 Abs. 1 lit. b DSGVO, "
+            "da die Analyse fuer die Erbringung unserer Dienste erforderlich ist."
+        ),
+        "expected_finding": True,
+        "expected_purpose": "web_analytics",
+        "correct_basis": "lit. a (Einwilligung)",
+        "wrong_basis": "lit. b",
+    },
+    {
+        "id": "newsletter_wrong_litf",
+        "description": "Newsletter auf lit. f statt lit. a",
+        "dse_text": (
+            "Wir versenden regelmaessig Newsletter mit Informationen zu unseren Produkten. "
+            "Die Verarbeitung Ihrer E-Mail-Adresse erfolgt auf Grundlage unseres "
+            "berechtigten Interesses gemaess Art. 6 Abs. 1 lit. f DSGVO an der "
+            "Direktwerbung fuer eigene aehnliche Produkte."
+        ),
+        "expected_finding": True,
+        "expected_purpose": "marketing_email",
+        "correct_basis": "lit. a (Einwilligung)",
+        "wrong_basis": "lit. f",
+    },
+    {
+        "id": "remarketing_wrong_litf",
+        "description": "Remarketing/Retargeting auf lit. f statt lit. a",
+        "dse_text": (
+            "Wir setzen Remarketing-Technologien ein, um Ihnen auf anderen Websites "
+            "personalisierte Werbung anzuzeigen. Die Verarbeitung basiert auf unserem "
+            "berechtigten Interesse an effektiver Werbung (Art. 6 Abs. 1 lit. f DSGVO)."
+        ),
+        "expected_finding": True,
+        "expected_purpose": "remarketing",
+        "correct_basis": "lit. a (Einwilligung)",
+        "wrong_basis": "lit. f",
+    },
+    {
+        "id": "klarna_missing_art22",
+        "description": "Klarna Bonitaetspruefung ohne Art. 22 Hinweis",
+        "dse_text": (
+            "Bei Auswahl der Zahlungsart Rechnung ueber Klarna wird eine "
+            "Bonitaetspruefung durchgefuehrt. Klarna AB, Stockholm, Schweden, "
+            "uebermittelt Ihre Daten an Auskunfteien. Rechtsgrundlage ist "
+            "Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung)."
+        ),
+        "expected_finding": True,
+        "expected_purpose": "credit_check",
+        "correct_basis": "lit. b/f + Art. 22 DSGVO Hinweis",
+        "wrong_basis": "(fehlt)",
+    },
+    {
+        "id": "session_recording_wrong_litf",
+        "description": "Session Recording (Hotjar) auf lit. f statt lit. a",
+        "dse_text": (
+            "Wir nutzen Hotjar zur Analyse des Nutzerverhaltens mittels Session Recording "
+            "und Heatmaps. Die Aufzeichnung der Nutzersitzungen erfolgt auf Grundlage "
+            "unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO)."
+        ),
+        "expected_finding": True,
+        "expected_purpose": "session_recording",
+        "correct_basis": "lit. a (Einwilligung)",
+        "wrong_basis": "lit. f",
+    },
+    {
+        "id": "payment_correct_litb",
+        "description": "Zahlung korrekt auf lit. b — sollte KEIN Finding sein",
+        "dse_text": (
+            "Die Verarbeitung Ihrer Zahlungsdaten durch unseren Zahlungsdienstleister "
+            "Stripe erfolgt auf Grundlage der Vertragserfuellung gemaess "
+            "Art. 6 Abs. 1 lit. b DSGVO."
+        ),
+        "expected_finding": False,
+        "expected_purpose": None,
+        "correct_basis": "lit. b (Vertragserfuellung)",
+        "wrong_basis": None,
+    },
+    {
+        "id": "analytics_correct_lita",
+        "description": "Analytics korrekt auf lit. a — sollte KEIN Finding sein",
+        "dse_text": (
+            "Wir setzen Google Analytics nur mit Ihrer ausdruecklichen Einwilligung "
+            "gemaess Art. 6 Abs. 1 lit. a DSGVO ein. Sie koennen Ihre Einwilligung "
+            "jederzeit widerrufen."
+        ),
+        "expected_finding": False,
+        "expected_purpose": None,
+        "correct_basis": "lit. a (Einwilligung)",
+        "wrong_basis": None,
+    },
+]
+
+
+def test_hardcoded_dict():
+    """Test the hardcoded CORRECT_BASIS dict against test cases."""
+    from compliance.services.legal_basis_validator import validate_legal_bases
+
+    print("\n" + "=" * 70)
+    print("TEST 1: Hartkodiertes Dict (legal_basis_validator.py)")
+    print("=" * 70)
+
+    passed = 0
+    failed = 0
+
+    for tc in TEST_CASES:
+        findings = validate_legal_bases(tc["dse_text"])
+        has_finding = len(findings) > 0
+
+        if has_finding == tc["expected_finding"]:
+            status = "PASS"
+            passed += 1
+        else:
+            status = "FAIL"
+            failed += 1
+
+        print(f"  [{status}] {tc['id']}: {tc['description']}")
+        if has_finding:
+            for f in findings:
+                print(f"         → {f.text[:80]}")
+        elif tc["expected_finding"]:
+            print(f"         → ERWARTET: Finding fuer {tc['expected_purpose']}, aber KEINS gefunden")
+
+    print(f"\n  Ergebnis: {passed} bestanden, {failed} fehlgeschlagen\n")
+    return passed, failed
+
+
+def test_control_library():
+    """Test the Control Library against the same test cases.
+
+    Queries canonical_controls for lit-mapping controls and checks
+    if they would detect the same errors.
+    """
+    try:
+        import asyncpg
+    except ImportError:
+        print("\n  SKIP: asyncpg nicht installiert — Control Library Test uebersprungen")
+        return 0, 0
+
+    db_url = os.environ.get(
+        "COMPLIANCE_DATABASE_URL",
+        os.environ.get("DATABASE_URL", ""),
+    )
+    if not db_url:
+        print("\n  SKIP: Keine DATABASE_URL — Control Library Test uebersprungen")
+        return 0, 0
+
+    print("\n" + "=" * 70)
+    print("TEST 2: Control Library (canonical_controls)")
+    print("=" * 70)
+
+    async def _run():
+        pool = await asyncpg.create_pool(db_url, min_size=1, max_size=2)
+        passed = 0
+        failed = 0
+
+        try:
+            async with pool.acquire() as conn:
+                # Fetch lit-mapping relevant controls
+                controls = await conn.fetch("""
+                    SELECT control_id, title, objective, requirements
+                    FROM compliance.canonical_controls
+                    WHERE (
+                        title ILIKE '%einwilligung%tracking%'
+                        OR title ILIKE '%rechtsgrundlage%cookie%'
+                        OR title ILIKE '%consent%cookie%'
+                        OR title ILIKE '%einwilligung%cookie%'
+                        OR title ILIKE '%art. 22%'
+                        OR title ILIKE '%automatisierte%entscheidung%'
+                        OR requirements ILIKE '%lit. a%tracking%'
+                        OR requirements ILIKE '%einwilligung%analytics%'
+                    )
+                    AND release_state = 'published'
+                    LIMIT 50
+                """)
+
+                print(f"  Gefundene Lit-Mapping Controls: {len(controls)}")
+                for c in controls[:10]:
+                    print(f"    [{c['control_id']}] {c['title'][:60]}")
+
+                if not controls:
+                    print("  WARNUNG: Keine Lit-Mapping Controls in der DB!")
+                    return 0, 0
+
+                # For each test case, check if a control would catch it
+                for tc in TEST_CASES:
+                    text_lower = tc["dse_text"].lower()
+                    matched_control = None
+
+                    for c in controls:
+                        title_lower = (c["title"] or "").lower()
+                        req_lower = (c["requirements"] or "").lower()
+                        obj_lower = (c["objective"] or "").lower()
+
+                        # Check if this control is relevant for this test case
+                        relevant = False
+                        if tc["expected_purpose"] == "cookie_tracking":
+                            relevant = "cookie" in title_lower or "tracking" in title_lower
+                        elif tc["expected_purpose"] == "web_analytics":
+                            relevant = "analytics" in title_lower or "tracking" in title_lower
+                        elif tc["expected_purpose"] == "marketing_email":
+                            relevant = "newsletter" in title_lower or "marketing" in title_lower
+                        elif tc["expected_purpose"] == "remarketing":
+                            relevant = "remarketing" in title_lower or "retargeting" in title_lower
+                        elif tc["expected_purpose"] == "credit_check":
+                            relevant = "art. 22" in title_lower or "bonitaet" in title_lower
+                        elif tc["expected_purpose"] == "session_recording":
+                            relevant = "recording" in title_lower or "heatmap" in title_lower
+
+                        if relevant:
+                            # Check if the control requires consent (lit. a)
+                            requires_consent = (
+                                "einwilligung" in req_lower
+                                or "consent" in req_lower
+                                or "lit. a" in req_lower
+                            )
+                            if requires_consent and tc["expected_finding"]:
+                                matched_control = c
+                                break
+
+                    has_match = matched_control is not None
+                    # For negative test cases (no finding expected), no match = correct
+                    if not tc["expected_finding"]:
+                        correct = not has_match
+                    else:
+                        correct = has_match
+
+                    if correct:
+                        status = "PASS"
+                        passed += 1
+                    else:
+                        status = "FAIL"
+                        failed += 1
+
+                    print(f"  [{status}] {tc['id']}: {tc['description']}")
+                    if matched_control:
+                        print(f"         → Control: [{matched_control['control_id']}] {matched_control['title'][:60]}")
+                    elif tc["expected_finding"]:
+                        print(f"         → KEIN passender Control gefunden!")
+
+        finally:
+            await pool.close()
+
+        print(f"\n  Ergebnis: {passed} bestanden, {failed} fehlgeschlagen\n")
+        return passed, failed
+
+    return asyncio.run(_run())
+
+
+def test_comparison():
+    """Compare results: Dict vs. Control Library."""
+    print("\n" + "=" * 70)
+    print("VERGLEICH: Dict vs. Control Library")
+    print("=" * 70)
+
+    dict_passed, dict_failed = test_hardcoded_dict()
+    ctrl_passed, ctrl_failed = test_control_library()
+
+    print("\n" + "=" * 70)
+    print("ZUSAMMENFASSUNG")
+    print("=" * 70)
+    print(f"  Dict:            {dict_passed}/{dict_passed + dict_failed} bestanden")
+    print(f"  Control Library: {ctrl_passed}/{ctrl_passed + ctrl_failed} bestanden")
+
+    if ctrl_passed >= dict_passed and ctrl_failed == 0:
+        print("\n  ✓ Control Library deckt alle Faelle ab → Dict kann entfernt werden")
+    elif ctrl_passed > 0:
+        print("\n  ⚠ Control Library deckt teilweise ab → Dict als Fallback behalten")
+    else:
+        print("\n  ✗ Control Library deckt nichts ab → Dict wird noch gebraucht")
+
+    print("=" * 70)
+
+
+if __name__ == "__main__":
+    test_comparison()
diff --git a/consent-tester/services/__init__.py b/consent-tester/services/__init__.py
new file mode 100644
index 0000000..e69de29
diff --git a/developer-portal/app/sdk/consent/cookie-banner/checklist/page.tsx b/developer-portal/app/sdk/consent/cookie-banner/checklist/page.tsx
new file mode 100644
index 0000000..06f0960
--- /dev/null
+++ b/developer-portal/app/sdk/consent/cookie-banner/checklist/page.tsx
@@ -0,0 +1,87 @@
+'use client'
+
+import React from 'react'
+import { SDKDocsSidebar } from '@/components/SDKDocsSidebar'
+
+const CHECKS = [
+  { id: 1, text: "Impressum-Link im oder hinter dem Banner erreichbar", ref: "§5 TMG", auto: true },
+  { id: 2, text: "Link zur Datenschutzerklaerung im Banner", ref: "Art. 13 DSGVO", auto: true },
+  { id: 3, text: "Keine 'Zustimmung zur DSE' — nur 'zur Kenntnis genommen'", ref: "Art. 13 DSGVO", auto: true },
+  { id: 4, text: "Ablehnen-Button sichtbar und gleichwertig", ref: "§25 TDDDG, EDPB", auto: true },
+  { id: 5, text: "Keine vorausgewaehlten Checkboxen (nur 'Notwendig')", ref: "EuGH Planet49", auto: true },
+  { id: 6, text: "Buttons gleich gross (kein Dark Pattern)", ref: "EDPB Guidelines", auto: true },
+  { id: 7, text: "Cookie-Einstellungen erneut erreichbar (Widerruf)", ref: "Art. 7(3) DSGVO", auto: true },
+  { id: 8, text: "Scripts blockiert bis Consent erteilt", ref: "§25 TDDDG", auto: true },
+  { id: 9, text: "Google Consent Mode v2 integriert (wenn Google Services)", ref: "Google EEA Policy", auto: true },
+  { id: 10, text: "Consent revisionssicher gespeichert (Server-Side)", ref: "Art. 7(1) DSGVO", auto: false },
+  { id: 11, text: "Barrierefreiheit (WCAG 2.2 Level AA)", ref: "European Accessibility Act", auto: false },
+  { id: 12, text: "Mehrsprachigkeit (min. DE + EN)", ref: "Best Practice", auto: false },
+]
+
+export default function ChecklistPage() {
+  return (
+    <div className="flex min-h-screen bg-white">
+      <SDKDocsSidebar />
+      <main className="flex-1 ml-64 p-8 max-w-4xl">
+        <div className="prose prose-gray max-w-none">
+          <h1>Compliance Checklist</h1>
+          <p className="text-lg text-gray-600">
+            12 Punkte die Ihr Cookie-Banner erfuellen muss. Der BreakPilot Banner
+            erfuellt 9 davon automatisch.
+          </p>
+
+          <div className="bg-green-50 border border-green-200 rounded-xl p-4 my-6">
+            <h4 className="text-green-900 mt-0">Automatische Pruefung verfuegbar</h4>
+            <p className="text-green-700 text-sm mb-0">
+              Nutzen Sie den <a href="/sdk/agent" className="text-green-800 font-medium">Compliance Agent</a> →
+              Cookie-Test Tab um Ihren Banner automatisch gegen alle 8 Playwright-Checks zu pruefen.
+            </p>
+          </div>
+
+          <div className="not-prose">
+            <div className="space-y-3">
+              {CHECKS.map(check => (
+                <div key={check.id} className="flex items-start gap-3 p-4 rounded-lg border border-gray-200 bg-white">
+                  <span className={`mt-0.5 w-6 h-6 rounded-full flex items-center justify-center text-xs font-bold ${
+                    check.auto ? 'bg-green-100 text-green-700' : 'bg-yellow-100 text-yellow-700'
+                  }`}>
+                    {check.auto ? '✓' : '!'}
+                  </span>
+                  <div className="flex-1">
+                    <p className="text-sm font-medium text-gray-900">{check.text}</p>
+                    <div className="flex items-center gap-2 mt-1">
+                      <span className="text-xs text-gray-500">{check.ref}</span>
+                      {check.auto && (
+                        <span className="text-[10px] px-2 py-0.5 rounded-full bg-green-100 text-green-700 font-medium">
+                          Automatisch
+                        </span>
+                      )}
+                    </div>
+                  </div>
+                </div>
+              ))}
+            </div>
+          </div>
+
+          <h2 className="mt-8">Legende</h2>
+          <ul>
+            <li><span className="text-green-600 font-bold">✓ Automatisch</span> — vom BreakPilot Banner automatisch erfuellt</li>
+            <li><span className="text-yellow-600 font-bold">! Manuell</span> — erfordert zusaetzliche Konfiguration/Pruefung</li>
+          </ul>
+
+          <h2>Selbst-Test</h2>
+          <p>
+            Nach der Integration koennen Sie Ihren Banner automatisch pruefen lassen:
+          </p>
+          <ol>
+            <li>Oeffnen Sie den <a href="/sdk/agent">Compliance Agent</a></li>
+            <li>Waehlen Sie den Tab &quot;Cookie-Test&quot;</li>
+            <li>Geben Sie Ihre Website-URL ein</li>
+            <li>Der Agent prueft mit einem echten Browser (Playwright/Chromium)</li>
+            <li>Sie erhalten einen detaillierten Report mit allen 8 Checks</li>
+          </ol>
+        </div>
+      </main>
+    </div>
+  )
+}
diff --git a/developer-portal/app/sdk/consent/cookie-banner/google-consent-mode/page.tsx b/developer-portal/app/sdk/consent/cookie-banner/google-consent-mode/page.tsx
new file mode 100644
index 0000000..a63c626
--- /dev/null
+++ b/developer-portal/app/sdk/consent/cookie-banner/google-consent-mode/page.tsx
@@ -0,0 +1,96 @@
+'use client'
+
+import React from 'react'
+import { SDKDocsSidebar } from '@/components/SDKDocsSidebar'
+
+export default function GoogleConsentModePage() {
+  return (
+    <div className="flex min-h-screen bg-white">
+      <SDKDocsSidebar />
+      <main className="flex-1 ml-64 p-8 max-w-4xl">
+        <div className="prose prose-gray max-w-none">
+          <h1>Google Consent Mode v2</h1>
+          <p className="text-lg text-gray-600">
+            Seit Maerz 2024 ist Google Consent Mode v2 Pflicht fuer alle Websites
+            die Google Analytics oder Google Ads im EWR nutzen.
+          </p>
+
+          <div className="bg-red-50 border border-red-200 rounded-xl p-4 my-6">
+            <h4 className="text-red-900 mt-0">Pflicht seit Maerz 2024</h4>
+            <p className="text-red-700 text-sm mb-0">
+              Ohne Google Consent Mode v2 verlieren Sie Messdaten von EWR-Besuchern.
+              Google Tags funktionieren moeglicherweise nicht mehr korrekt.
+            </p>
+          </div>
+
+          <h2>Was ist Google Consent Mode?</h2>
+          <p>
+            Google Consent Mode passt das Verhalten von Google Tags (Analytics, Ads)
+            automatisch an die Consent-Entscheidung des Nutzers an. Statt Tags komplett
+            zu blockieren, sendet Consent Mode anonymisierte Pings die Google fuer
+            Modellierung und Conversion-Tracking nutzen kann.
+          </p>
+
+          <h2>Automatische Integration</h2>
+          <p>
+            Der BreakPilot Cookie-Banner integriert Google Consent Mode v2 <strong>automatisch</strong>.
+            Sie muessen nichts zusaetzlich konfigurieren.
+          </p>
+
+          <h3>Was passiert im Hintergrund</h3>
+
+          <p><strong>Beim Laden der Seite (vor Banner):</strong></p>
+          <pre className="bg-gray-900 text-gray-100 p-4 rounded-lg overflow-x-auto">
+{`// Automatisch vom Banner gesetzt — alles "denied"
+gtag('consent', 'default', {
+  analytics_storage: 'denied',
+  ad_storage: 'denied',
+  ad_user_data: 'denied',
+  ad_personalization: 'denied',
+  functionality_storage: 'granted',
+  security_storage: 'granted',
+});`}
+          </pre>
+
+          <p><strong>Nach Consent-Entscheidung des Nutzers:</strong></p>
+          <pre className="bg-gray-900 text-gray-100 p-4 rounded-lg overflow-x-auto">
+{`// Automatisch nach Klick auf "Akzeptieren" oder "Auswahl speichern"
+gtag('consent', 'update', {
+  analytics_storage: 'granted',  // Wenn "Statistik" akzeptiert
+  ad_storage: 'granted',         // Wenn "Marketing" akzeptiert
+  ad_user_data: 'granted',
+  ad_personalization: 'granted',
+});`}
+          </pre>
+
+          <h2>Consent-Parameter Mapping</h2>
+          <table className="min-w-full">
+            <thead>
+              <tr>
+                <th>Google Parameter</th>
+                <th>Banner-Kategorie</th>
+                <th>Beschreibung</th>
+              </tr>
+            </thead>
+            <tbody>
+              <tr><td><code>analytics_storage</code></td><td>Statistik</td><td>Google Analytics Cookies</td></tr>
+              <tr><td><code>ad_storage</code></td><td>Marketing</td><td>Werbe-Cookies (Google Ads)</td></tr>
+              <tr><td><code>ad_user_data</code></td><td>Marketing</td><td>Nutzerdaten fuer Werbung</td></tr>
+              <tr><td><code>ad_personalization</code></td><td>Marketing</td><td>Personalisierte Werbung</td></tr>
+              <tr><td><code>functionality_storage</code></td><td>Notwendig</td><td>Immer granted</td></tr>
+              <tr><td><code>security_storage</code></td><td>Notwendig</td><td>Immer granted</td></tr>
+            </tbody>
+          </table>
+
+          <h2>Vorteile</h2>
+          <ul>
+            <li>Kein Datenverlust — Google modelliert fehlende Daten</li>
+            <li>DSGVO-konform — Tags feuern nur nach Consent</li>
+            <li>Automatisch — keine manuelle gtag()-Konfiguration noetig</li>
+            <li>EWR-konform — erfuellt Google-Anforderungen seit Maerz 2024</li>
+          </ul>
+        </div>
+      </main>
+    </div>
+  )
+}
diff --git a/developer-portal/app/sdk/consent/cookie-banner/integration/page.tsx b/developer-portal/app/sdk/consent/cookie-banner/integration/page.tsx
new file mode 100644
index 0000000..8df5ffd
--- /dev/null
+++ b/developer-portal/app/sdk/consent/cookie-banner/integration/page.tsx
@@ -0,0 +1,103 @@
+'use client'
+
+import React from 'react'
+import { SDKDocsSidebar } from '@/components/SDKDocsSidebar'
+
+export default function IntegrationGuidePage() {
+  return (
+    <div className="flex min-h-screen bg-white">
+      <SDKDocsSidebar />
+      <main className="flex-1 ml-64 p-8 max-w-4xl">
+        <div className="prose prose-gray max-w-none">
+          <h1>Cookie-Banner Integration Guide</h1>
+          <p className="text-lg text-gray-600">
+            Integrieren Sie den BreakPilot Cookie-Banner in 3 Schritten auf Ihrer Website.
+            DSGVO-konform, mit Script-Blocking und Google Consent Mode v2.
+          </p>
+
+          <div className="bg-violet-50 border border-violet-200 rounded-xl p-4 my-6">
+            <h4 className="text-violet-900 mt-0">Unser Banner ist rechtlich geprueft</h4>
+            <p className="text-violet-700 text-sm mb-0">
+              Der Banner erfuellt automatisch alle 8 Compliance-Checks die unser Agent prueft:
+              Impressum-Link, DSE-Link, gleichwertige Buttons, keine vorausgewaehlten Checkboxen,
+              Settings-Reopen, kein Dark Pattern, Google Consent Mode v2.
+            </p>
+          </div>
+
+          <h2>Schritt 1: Script-Tag einbinden</h2>
+          <p>Fuegen Sie eine einzige Zeile in den <code>&lt;head&gt;</code> Ihrer Website ein:</p>
+          <pre className="bg-gray-900 text-gray-100 p-4 rounded-lg overflow-x-auto">
+{`<!-- BreakPilot Cookie-Banner -->
+<script src="https://sdk.breakpilot.ai/cookie-banner.js"
+        data-tenant="IHRE-TENANT-ID"
+        data-language="de">
+</script>`}
+          </pre>
+
+          <h2>Schritt 2: Tracking-Scripts blockieren</h2>
+          <p>
+            Aendern Sie den <code>type</code> Ihrer Tracking-Scripts von
+            <code>text/javascript</code> zu <code>text/plain</code> und fuegen Sie
+            das <code>data-cookie-category</code> Attribut hinzu:
+          </p>
+          <pre className="bg-gray-900 text-gray-100 p-4 rounded-lg overflow-x-auto">
+{`<!-- VORHER (laedt sofort — DSGVO-Verstoss!): -->
+<script src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXX"></script>
+
+<!-- NACHHER (laedt erst nach Consent): -->
+<script type="text/plain"
+        data-cookie-category="statistics"
+        src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXX">
+</script>`}
+          </pre>
+
+          <h2>Schritt 3: Kategorien zuordnen</h2>
+          <table className="min-w-full">
+            <thead>
+              <tr>
+                <th>Kategorie</th>
+                <th>data-cookie-category</th>
+                <th>Beispiele</th>
+              </tr>
+            </thead>
+            <tbody>
+              <tr><td>Notwendig</td><td><code>necessary</code></td><td>Session-Cookies, CSRF-Token</td></tr>
+              <tr><td>Statistik</td><td><code>statistics</code></td><td>Google Analytics, Matomo, Hotjar</td></tr>
+              <tr><td>Marketing</td><td><code>marketing</code></td><td>Facebook Pixel, Google Ads, LinkedIn</td></tr>
+              <tr><td>Funktional</td><td><code>functional</code></td><td>Chat-Widget, Spracheinstellung</td></tr>
+            </tbody>
+          </table>
+
+          <h2>Schritt 4: Fertig — automatische Features</h2>
+          <ul>
+            <li><strong>Google Consent Mode v2</strong> — automatisch integriert, keine zusaetzliche Konfiguration</li>
+            <li><strong>Impressum + DSE Links</strong> — im Banner enthalten</li>
+            <li><strong>Settings-Reopen</strong> — schwebendes &quot;Cookie-Einstellungen&quot; Icon</li>
+            <li><strong>Gleichwertige Buttons</strong> — Akzeptieren und Ablehnen gleich gross</li>
+            <li><strong>Server-seitige Speicherung</strong> — Consent wird revisionssicher gespeichert</li>
+          </ul>
+
+          <h2>API-Integration (optional)</h2>
+          <p>Fuer programmatische Kontrolle:</p>
+          <pre className="bg-gray-900 text-gray-100 p-4 rounded-lg overflow-x-auto">
+{`// Consent-Status abfragen
+if (window.CookieConsent.hasConsent('statistics')) {
+  // Analytics-Code ausfuehren
+}
+
+// Banner erneut oeffnen
+window.CookieConsent.show();
+
+// Consent programmatisch setzen
+window.CookieConsent.saveConsent({
+  necessary: true,
+  statistics: false,
+  marketing: false,
+  functional: true,
+});`}
+          </pre>
+        </div>
+      </main>
+    </div>
+  )
+}
diff --git a/developer-portal/app/sdk/consent/cookie-banner/page.tsx b/developer-portal/app/sdk/consent/cookie-banner/page.tsx
new file mode 100644
index 0000000..03f485c
--- /dev/null
+++ b/developer-portal/app/sdk/consent/cookie-banner/page.tsx
@@ -0,0 +1,65 @@
+'use client'
+
+import React from 'react'
+import Link from 'next/link'
+import { SDKDocsSidebar } from '@/components/SDKDocsSidebar'
+import { FileCode, Shield, Zap, CheckCircle } from 'lucide-react'
+
+const PAGES = [
+  {
+    title: 'Integration Guide',
+    href: '/sdk/consent/cookie-banner/integration',
+    icon: <FileCode className="w-6 h-6" />,
+    desc: 'Banner in 3 Schritten auf Ihrer Website einbinden. Script-Tag, Script-Blocking, fertig.',
+  },
+  {
+    title: 'Google Consent Mode v2',
+    href: '/sdk/consent/cookie-banner/google-consent-mode',
+    icon: <Zap className="w-6 h-6" />,
+    desc: 'Pflicht seit Maerz 2024 fuer Google Services in EEA. Automatisch integriert.',
+  },
+  {
+    title: 'Script Blocking',
+    href: '/sdk/consent/cookie-banner/script-blocking',
+    icon: <Shield className="w-6 h-6" />,
+    desc: 'Tracking-Scripts erst nach Consent laden. Code-Beispiele fuer GA, FB, Hotjar.',
+  },
+  {
+    title: 'Compliance Checklist',
+    href: '/sdk/consent/cookie-banner/checklist',
+    icon: <CheckCircle className="w-6 h-6" />,
+    desc: '12 Punkte die Ihr Banner erfuellen muss. 9 davon automatisch.',
+  },
+]
+
+export default function CookieBannerOverviewPage() {
+  return (
+    <div className="flex min-h-screen bg-white">
+      <SDKDocsSidebar />
+      <main className="flex-1 ml-64 p-8 max-w-4xl">
+        <h1 className="text-3xl font-bold text-gray-900">Cookie-Banner</h1>
+        <p className="text-lg text-gray-600 mt-2 mb-8">
+          Rechtlich korrekter Cookie-Banner fuer Ihre Website — DSGVO-konform,
+          mit Script-Blocking, Google Consent Mode v2 und automatischer Compliance-Pruefung.
+        </p>
+
+        <div className="grid grid-cols-1 md:grid-cols-2 gap-4">
+          {PAGES.map(page => (
+            <Link key={page.href} href={page.href}
+              className="block p-6 rounded-xl border border-gray-200 hover:border-violet-300 hover:shadow-md transition-all group">
+              <div className="flex items-start gap-4">
+                <div className="p-2 rounded-lg bg-violet-50 text-violet-600 group-hover:bg-violet-100">
+                  {page.icon}
+                </div>
+                <div>
+                  <h3 className="font-semibold text-gray-900 group-hover:text-violet-700">{page.title}</h3>
+                  <p className="text-sm text-gray-500 mt-1">{page.desc}</p>
+                </div>
+              </div>
+            </Link>
+          ))}
+        </div>
+      </main>
+    </div>
+  )
+}
diff --git a/developer-portal/app/sdk/consent/cookie-banner/script-blocking/page.tsx b/developer-portal/app/sdk/consent/cookie-banner/script-blocking/page.tsx
new file mode 100644
index 0000000..0e4d539
--- /dev/null
+++ b/developer-portal/app/sdk/consent/cookie-banner/script-blocking/page.tsx
@@ -0,0 +1,118 @@
+'use client'
+
+import React from 'react'
+import { SDKDocsSidebar } from '@/components/SDKDocsSidebar'
+
+export default function ScriptBlockingPage() {
+  return (
+    <div className="flex min-h-screen bg-white">
+      <SDKDocsSidebar />
+      <main className="flex-1 ml-64 p-8 max-w-4xl">
+        <div className="prose prose-gray max-w-none">
+          <h1>Script Blocking</h1>
+          <p className="text-lg text-gray-600">
+            Tracking-Scripts duerfen erst nach Einwilligung des Nutzers laden (§25 TDDDG).
+            So blockieren Sie Scripts korrekt mit dem BreakPilot Cookie-Banner.
+          </p>
+
+          <h2>Das Problem</h2>
+          <p>
+            Wird ein Tracking-Script normal eingebunden, laedt es <strong>sofort</strong> —
+            bevor der Nutzer ueberhaupt den Cookie-Banner sieht. Das ist ein Verstoss
+            gegen §25 TDDDG und wird von unserem Compliance Agent als <strong>HIGH</strong>
+            Finding gemeldet.
+          </p>
+
+          <h2>Die Loesung: type=&quot;text/plain&quot;</h2>
+          <p>
+            Aendern Sie den <code>type</code> von <code>text/javascript</code> zu
+            <code>text/plain</code>. Der Browser ignoriert das Script bis unser Banner
+            es nach Consent aktiviert.
+          </p>
+
+          <h3>Google Analytics</h3>
+          <pre className="bg-gray-900 text-gray-100 p-4 rounded-lg overflow-x-auto">
+{`<!-- Blockiert bis "Statistik" akzeptiert wird -->
+<script type="text/plain"
+        data-cookie-category="statistics"
+        src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXX">
+</script>
+<script type="text/plain" data-cookie-category="statistics">
+  window.dataLayer = window.dataLayer || [];
+  function gtag(){dataLayer.push(arguments);}
+  gtag('js', new Date());
+  gtag('config', 'G-XXXXXX');
+</script>`}
+          </pre>
+
+          <h3>Facebook / Meta Pixel</h3>
+          <pre className="bg-gray-900 text-gray-100 p-4 rounded-lg overflow-x-auto">
+{`<!-- Blockiert bis "Marketing" akzeptiert wird -->
+<script type="text/plain" data-cookie-category="marketing">
+  !function(f,b,e,v,n,t,s){/*...Facebook Pixel Code...*/}
+  fbq('init', 'IHRE_PIXEL_ID');
+  fbq('track', 'PageView');
+</script>`}
+          </pre>
+
+          <h3>Hotjar</h3>
+          <pre className="bg-gray-900 text-gray-100 p-4 rounded-lg overflow-x-auto">
+{`<!-- Blockiert bis "Statistik" akzeptiert wird -->
+<script type="text/plain" data-cookie-category="statistics">
+  (function(h,o,t,j,a,r){/*...Hotjar Code...*/})(window,document,
+  'https://static.hotjar.com/c/hotjar-','js?sv=');
+</script>`}
+          </pre>
+
+          <h3>Google Maps / YouTube Embeds</h3>
+          <pre className="bg-gray-900 text-gray-100 p-4 rounded-lg overflow-x-auto">
+{`<!-- Blockiert bis "Funktional" akzeptiert wird -->
+<iframe type="text/plain"
+        data-cookie-category="functional"
+        data-src="https://www.google.com/maps/embed?pb=...">
+</iframe>
+
+<!-- YouTube mit Platzhalter -->
+<div data-cookie-category="marketing"
+     data-cookie-placeholder="Bitte akzeptieren Sie Marketing-Cookies um dieses Video zu sehen.">
+  <iframe data-src="https://www.youtube-nocookie.com/embed/VIDEO_ID"></iframe>
+</div>`}
+          </pre>
+
+          <h2>Kategorie-Referenz</h2>
+          <table className="min-w-full">
+            <thead>
+              <tr>
+                <th>data-cookie-category</th>
+                <th>Dienste</th>
+                <th>Consent erforderlich</th>
+              </tr>
+            </thead>
+            <tbody>
+              <tr><td><code>necessary</code></td><td>Session, CSRF, CMP</td><td>Nein (immer aktiv)</td></tr>
+              <tr><td><code>statistics</code></td><td>GA, Matomo, Hotjar, Clarity</td><td>Ja</td></tr>
+              <tr><td><code>marketing</code></td><td>FB Pixel, Google Ads, LinkedIn, TikTok</td><td>Ja</td></tr>
+              <tr><td><code>functional</code></td><td>Chat, Maps, Spracheinstellungen</td><td>Ja</td></tr>
+            </tbody>
+          </table>
+
+          <h2>Programmatische Abfrage</h2>
+          <pre className="bg-gray-900 text-gray-100 p-4 rounded-lg overflow-x-auto">
+{`// Pruefen ob Kategorie akzeptiert wurde
+if (window.CookieConsent.hasConsent('statistics')) {
+  // Analytics initialisieren
+}
+
+// Auf Consent-Aenderung reagieren
+window.addEventListener('cookieConsentUpdated', (e) => {
+  const consent = e.detail;
+  if (consent.marketing) {
+    // Marketing-Scripts aktivieren
+  }
+});`}
+          </pre>
+        </div>
+      </main>
+    </div>
+  )
+}
diff --git a/developer-portal/components/SDKDocsSidebar.tsx b/developer-portal/components/SDKDocsSidebar.tsx
index ca8fbf3..550573a 100644
--- a/developer-portal/components/SDKDocsSidebar.tsx
+++ b/developer-portal/components/SDKDocsSidebar.tsx
@@ -52,6 +52,17 @@ const navigation: NavItem[] = [
       { title: 'Flutter', href: '/sdk/consent/mobile/flutter' },
     ],
   },
+  {
+    title: 'Cookie-Banner',
+    href: '/sdk/consent/cookie-banner',
+    icon: <Shield className="w-4 h-4" />,
+    children: [
+      { title: 'Integration Guide', href: '/sdk/consent/cookie-banner/integration' },
+      { title: 'Google Consent Mode', href: '/sdk/consent/cookie-banner/google-consent-mode' },
+      { title: 'Script Blocking', href: '/sdk/consent/cookie-banner/script-blocking' },
+      { title: 'Compliance Checklist', href: '/sdk/consent/cookie-banner/checklist' },
+    ],
+  },
   {
     title: 'Sicherheit',
     href: '/sdk/consent/security',
diff --git a/docker-compose.yml b/docker-compose.yml
index 22397e5..3af0dc3 100644
--- a/docker-compose.yml
+++ b/docker-compose.yml
@@ -244,6 +244,28 @@ services:
   # =========================================================
   # DOCUMENT CRAWLER & AUTO-ONBOARDING
   # =========================================================
+  consent-tester:
+    build:
+      context: ./consent-tester
+      dockerfile: Dockerfile
+    container_name: bp-compliance-consent-tester
+    platform: linux/arm64
+    ports:
+      - "8094:8094"
+    mem_limit: 2g
+    depends_on:
+      core-health-check:
+        condition: service_completed_successfully
+    healthcheck:
+      test: ["CMD", "curl", "-f", "http://127.0.0.1:8094/health"]
+      interval: 30s
+      timeout: 10s
+      start_period: 30s
+      retries: 3
+    restart: unless-stopped
+    networks:
+      - breakpilot-network
+
   document-crawler:
     build:
       context: ./document-crawler
diff --git a/zeroclaw/INSTRUCTION-hardcoded-knowledge-migration.md b/zeroclaw/INSTRUCTION-hardcoded-knowledge-migration.md
new file mode 100644
index 0000000..32da3a7
--- /dev/null
+++ b/zeroclaw/INSTRUCTION-hardcoded-knowledge-migration.md
@@ -0,0 +1,153 @@
+# Instruktion: Hartkodiertes Wissen → Control Library Migration
+
+**Branch:** `feat/zeroclaw-compliance-agent`
+**Repo:** `/Users/benjaminadmin/Projekte/breakpilot-compliance/`
+**Erstellt:** 2026-04-29
+**Review-Deadline:** 2026-07-01
+
+## Problem
+
+Der Compliance Agent hat 6 Dateien mit hartkodiertem Rechtswissen in Python-Dicts.
+Das Wissen veraltet und wird nicht von der Pipeline aktualisiert. Langfristig muss
+alles aus der Control Library kommen (166k+ Controls in `compliance.canonical_controls`).
+
+## Inventar (alle im Backend: `backend-compliance/compliance/services/`)
+
+| Datei | Hartkodiert | Zeilen | Prioritaet |
+|-------|------------|--------|-----------|
+| `legal_basis_validator.py` | `CORRECT_BASIS` dict — 7 Lit-Zuordnungen (Art. 6 lit. a-f pro Zweck) | ~50 LOC | HOCH |
+| `service_registry.py` | `SERVICE_REGISTRY` dict — 82 Services mit Legal Refs | ~500 LOC | MITTEL |
+| `mandatory_content_checker.py` | `MANDATORY_DSE_CONTENT` (9 Felder) + `MANDATORY_IMPRESSUM_CONTENT` (5 Felder) | ~80 LOC | MITTEL |
+| `relevance_filter.py` | `CONTROL_RELEVANCE` dict — 7 Controls mit Keyword-Listen | ~60 LOC | MITTEL |
+| `consent-tester/services/script_analyzer.py` | `SERVICE_PATTERNS` — 19 Services (Duplikat von Registry) | ~70 LOC | NIEDRIG |
+| `consent-tester/services/banner_detector.py` | `CMP_SELECTORS` — 10 CMPs | PERMANENT (technisch) | — |
+
+## Migrationspfad pro Datei
+
+### Schritt 1: Controls in der Pipeline generieren
+
+Fuer jedes Dict-Entry einen entsprechenden Control in der Pipeline generieren lassen.
+
+Beispiel fuer `legal_basis_validator.py`:
+
+```sql
+-- Neuer Control in canonical_controls:
+INSERT INTO compliance.canonical_controls (title, objective, requirements, scope_conditions, tags)
+VALUES (
+  'Cookie-Tracking erfordert Einwilligung (lit. a)',
+  'Cookie-Tracking und Webanalyse duerfen nur mit ausdruecklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) erfolgen.',
+  'Rechtsgrundlage fuer Cookie-Tracking muss Art. 6(1)(a) sein. Art. 6(1)(f) (berechtigtes Interesse) ist nach EuGH C-673/17 (Planet49) nicht zulaessig.',
+  '{"applies_when": "cookie_tracking OR web_analytics"}',
+  ARRAY['legal_basis', 'lit_mapping', 'cookie', 'planet49']
+);
+```
+
+Benoetigte Controls (aus legal_basis_validator.py CORRECT_BASIS):
+1. `cookie_tracking` → lit. a (Planet49)
+2. `web_analytics` → lit. a (DSK Orientierungshilfe, §25 TDDDG)
+3. `marketing_email` → lit. a (Art. 7 DSGVO, §7 UWG)
+4. `remarketing` → lit. a (§25 TDDDG)
+5. `credit_check` → lit. b/f + Art. 22 Pflichthinweis
+6. `social_media_embed` → lit. a (Fashion ID Urteil)
+7. `session_recording` → lit. a (§25 TDDDG)
+
+Benoetigte Controls (aus mandatory_content_checker.py):
+1. DSE muss Verantwortlichen nennen (Art. 13(1)(a))
+2. DSE muss DSB-Kontakt nennen (Art. 13(1)(b))
+3. DSE muss Zwecke nennen (Art. 13(1)(c))
+4. DSE muss Rechtsgrundlagen nennen (Art. 13(1)(c))
+5. DSE muss Speicherdauer nennen (Art. 13(2)(a))
+6. DSE muss Betroffenenrechte nennen (Art. 13(2)(b-d))
+7. DSE muss Beschwerderecht nennen (Art. 13(2)(d))
+8. DSE muss Drittlandtransfer nennen (Art. 13(1)(f))
+9. DSE muss automatisierte Entscheidungen nennen (Art. 13(2)(f))
+
+### Schritt 2: Agent-Code aendern — Control Library first, Dict as Fallback
+
+```python
+# VORHER (hartkodiert):
+CORRECT_BASIS = {"cookie_tracking": {"correct": "lit. a", ...}}
+
+# NACHHER (Control Library first):
+async def get_legal_basis_rule(purpose: str) -> dict | None:
+    controls = await query_controls(tags=["lit_mapping", purpose])
+    if controls:
+        return controls[0]  # Control Library hat Vorrang
+    logger.warning("No control found for %s — using hardcoded fallback", purpose)
+    return CORRECT_BASIS.get(purpose)  # Fallback
+```
+
+### Schritt 3: Dicts entfernen
+
+Wenn alle Controls in der Library sind und der Agent sie zuverlaessig findet:
+- Dicts loeschen
+- Warning-Logs entfernen
+- Tests aktualisieren
+
+## Welche Datei NICHT migriert wird
+
+`banner_detector.py` — die CMP-Selektoren sind technische CSS-Patterns, kein
+Rechtswissen. Die bleiben hartkodiert und werden aktualisiert wenn CMPs ihre UI aendern.
+
+## Erkennungszeichen im Code
+
+Alle betroffenen Dateien haben:
+- `⚠️ TECHNISCHE SCHULD` im Docstring
+- `Review-Datum: 2026-07-01` im Header
+- `logger.warning("... HARDCODED rules ...")` bei Nutzung
+
+## Zusaetzliches Problem: Keyword-basierte Pflichtinhalte-Pruefung
+
+### Problem (identifiziert beim IHK Konstanz Test, 2026-04-29)
+
+Der `mandatory_content_checker.py` prueft ob DSE-Pflichtangaben vorhanden sind
+per Keyword-Matching: `"zweck" in text.lower()`. Das bricht wenn:
+
+- Andere Formulierung: "Verarbeitungszwecke" statt "Zwecke"
+- Andere Sprache: Englische DSE auf deutscher Website
+- Umschreibung: "Wozu wir Ihre Daten nutzen" statt "Zwecke"
+
+Gleiches Problem bei `ECOMMERCE_INDICATORS` in der gleichen Datei — hartkodierte
+Shop-Erkennung die neue Shop-Systeme nicht kennt.
+
+### Betroffene Stellen
+
+| Datei | Dict/Liste | Zeilen |
+|-------|-----------|--------|
+| `mandatory_content_checker.py` | `MANDATORY_DSE_CONTENT` keywords (9 Felder) | ~60 LOC |
+| `mandatory_content_checker.py` | `MANDATORY_IMPRESSUM_CONTENT` keywords (5 Felder) | ~30 LOC |
+| `mandatory_content_checker.py` | `ECOMMERCE_INDICATORS` | ~10 LOC |
+
+### Loesung: LLM-basierte Pflichtinhalte-Pruefung
+
+Statt hartkodierter Keywords → Qwen fragen:
+
+```python
+# VORHER (hartkodiert, bricht bei neuer Formulierung):
+found = any(kw in text_lower for kw in ["zweck", "purpose", "verarbeitungszweck"])
+
+# NACHHER (LLM-basiert, sprachunabhaengig):
+prompt = f"""
+Pruefe ob der folgende Text Angaben zu den Zwecken der Datenverarbeitung
+enthaelt (Art. 13 Abs. 1 lit. c DSGVO).
+Antworte NUR mit: JA (mit kurzem Zitat) oder NEIN.
+Text: {dse_text[:2000]}
+"""
+result = await query_qwen(prompt)
+found = result.startswith("JA")
+```
+
+### Aufwand
+
+- 9 Pflichtfelder × 1 LLM-Call = 9 Calls (parallelisierbar)
+- ~100 LOC Umbau
+- Fallback auf Keywords wenn LLM nicht verfuegbar
+
+### Prioritaet
+
+MITTEL — die erweiterten Keywords funktionieren fuer 90% der Faelle.
+LLM-Pruefung ist robuster aber langsamer (~30s statt <1s).
+
+## Memory-Datei
+
+Details: `/Users/benjaminadmin/.claude/projects/-Users-benjaminadmin-Projekte-breakpilot-lehrer/memory/hardcoded_knowledge_debt.md`
diff --git a/zeroclaw/PLAN-compliance-agent-product.md b/zeroclaw/PLAN-compliance-agent-product.md
new file mode 100644
index 0000000..2a523ac
--- /dev/null
+++ b/zeroclaw/PLAN-compliance-agent-product.md
@@ -0,0 +1,560 @@
+# Plan: Compliance Agent — Vom PoC zum Produkt
+
+## Kontext
+
+Der Compliance Agent PoC funktioniert: URL scannen, Qwen klassifiziert,
+UCCA bewertet, Dienstleister erkannt, Korrekturvorschlaege generiert, Email gesendet.
+
+Aber: Scores sind zu niedrig, zu viele False-Positive Controls, kein Consent-Test,
+keine Persistenz, keine PDF-Exports. Dieser Plan macht das PoC produktreif.
+
+**Strategische Bedeutung:** Erstmalig wird das RAG (166k Controls) gegen echte
+Webseiten getestet. Der Consent-Test (vor/nach Cookie-Einwilligung) waere ein
+Alleinstellungsmerkmal das kein Wettbewerber hat.
+
+---
+
+## Phase 0: UCCA Score-Kalibrierung (P0, 2-3 Tage)
+
+### Problem
+
+Der UCCA-Score fuer Opodo war LOW (20/100). Realistisch waere MEDIUM (40-50).
+Die Intake-Flags werden aus dem Text extrahiert, aber zu wenige werden gesetzt.
+
+### Loesung
+
+**0.1 Intelligentere Intake-Flag-Erkennung**
+
+Aktuell: einfache Keyword-Suche (`"werbung" in text.lower()`).
+Neu: LLM-gestuetzte Extraktion der Intake-Flags.
+
+```python
+# Statt:
+"marketing": "werbung" in text.lower()
+
+# Neu: Qwen extrahiert strukturiert
+prompt = """
+Analysiere diesen Text und setze folgende Flags auf true/false:
+- personal_data: Werden personenbezogene Daten verarbeitet?
+- customer_data: Werden Kundendaten gespeichert?
+- marketing: Werden Daten fuer Werbung/Marketing genutzt?
+- profiling: Findet Profiling oder Personalisierung statt?
+- minor_data: Werden Daten von Minderjaehrigen verarbeitet?
+- biometric_data: Werden biometrische Daten verarbeitet?
+- location_data: Werden Standortdaten erhoben?
+- third_party_sharing: Werden Daten an Dritte weitergegeben?
+- automated_decisions: Werden automatisierte Entscheidungen getroffen?
+- cross_border_transfer: Findet Drittlandtransfer statt?
+Antworte als JSON.
+"""
+```
+
+**0.2 Score-Gewichtung anpassen**
+
+Die UCCA-Engine (Go, `ai-compliance-sdk/internal/ucca/`) hat die Score-Berechnung.
+Pruefen ob die Gewichte realistisch sind:
+- Personenbezogene Daten allein = 10 Punkte (zu wenig)
+- Marketing + Drittlandtransfer + Profiling sollte mindestens +30 geben
+- Zahlungsdaten + Passdaten sollte +20 geben
+
+**Dateien:**
+- `backend-compliance/compliance/api/agent_analyze_routes.py` — Flag-Extraktion
+- `ai-compliance-sdk/internal/ucca/engine.go` — Score-Berechnung (Go)
+- `ai-compliance-sdk/internal/ucca/rules.go` — Regel-Definitionen
+
+**Testfaelle:**
+- Opodo: Soll MEDIUM (40-50) ergeben
+- Google: Soll HIGH (60-70) ergeben
+- Einfacher Blog ohne Tracking: Soll MINIMAL (0-10) ergeben
+
+---
+
+## Phase 1: Control Relevance Filter (P0, 1 Tag)
+
+### Bereits geplant in PLAN-control-relevance-filter.md
+
+Nur Phase 1 (regelbasiert) hier umsetzen:
+
+1. Neues `relevance_conditions` JSONB-Feld auf `canonical_controls`
+2. Top-20 generische Controls mit Keywords versehen
+3. Filter-Funktion im Agent: Control nur empfehlen wenn Keywords im Text vorkommen
+4. Test: C_TRANSPARENCY faellt bei Opodo weg (kein KI-Nachweis)
+
+**Datei:** `backend-compliance/compliance/services/relevance_filter.py` (~200 LOC)
+
+---
+
+## Phase 2: Headless Browser Consent-Test (P1, 2-3 Tage)
+
+### Das Killer-Feature
+
+Automatischer 3-Phasen-Test:
+
+```
+Phase A: Erster Besuch (ohne Interaktion)
+  → Welche Scripts/Cookies laden VOR dem Consent-Banner?
+  → Finding: "Script X laedt ohne Einwilligung"
+
+Phase B: Consent ablehnen ("Nur notwendige")
+  → Button klicken, 3 Sek warten
+  → Welche Scripts/Cookies laden NACH Ablehnung?
+  → Finding: "Google Analytics laedt trotz Ablehnung" = schwerer Verstoss
+
+Phase C: Consent akzeptieren ("Alle akzeptieren")
+  → Neuer Browser-Kontext, akzeptieren klicken
+  → Welche Scripts/Cookies laden NACH Zustimmung?
+  → Abgleich mit Cookie-Policy: "TikTok Pixel laedt, ist aber nicht dokumentiert"
+```
+
+### Technische Implementierung
+
+**2.1 Playwright im Backend-Container**
+
+```dockerfile
+# Ergaenzung im backend-compliance Dockerfile
+RUN pip install playwright && playwright install chromium
+```
+
+Alternativ: eigener `consent-tester` Service (besser isoliert, ~200MB Image).
+
+**2.2 Consent Test Service**
+
+```python
+# backend-compliance/compliance/services/consent_tester.py (~250 LOC)
+
+class ConsentTester:
+    async def test(self, url: str) -> ConsentTestResult:
+        async with async_playwright() as p:
+            browser = await p.chromium.launch(headless=True)
+
+            # Phase A: Ohne Consent
+            pre = await self._scan_phase(browser, url, action=None)
+
+            # Phase B: Ablehnen
+            reject = await self._scan_phase(browser, url, action="reject")
+
+            # Phase C: Akzeptieren
+            accept = await self._scan_phase(browser, url, action="accept")
+
+            await browser.close()
+
+        return ConsentTestResult(
+            banner_detected=pre.banner_visible,
+            banner_type=pre.banner_provider,  # Didomi, OneTrust, Cookiebot etc.
+            scripts_before_consent=pre.scripts,
+            cookies_before_consent=pre.cookies,
+            violations_before_consent=self._find_violations(pre),
+            scripts_after_reject=reject.scripts,
+            cookies_after_reject=reject.cookies,
+            violations_after_reject=self._find_violations(reject),
+            scripts_after_accept=accept.scripts,
+            cookies_after_accept=accept.cookies,
+            undocumented_after_accept=self._find_undocumented(accept, dse_text),
+        )
+```
+
+**2.3 Banner-Button-Erkennung**
+
+```python
+# Typische Consent-Banner Button-Patterns
+ACCEPT_PATTERNS = [
+    'button:has-text("Alle akzeptieren")',
+    'button:has-text("Alles akzeptieren")',
+    'button:has-text("Accept all")',
+    'button:has-text("Alle Cookies akzeptieren")',
+    '[class*="accept-all"]',
+    '[data-action="accept-all"]',
+    '#didomi-notice-agree-button',  # Didomi
+    '.cky-btn-accept',              # CookieYes
+    '#onetrust-accept-btn-handler',  # OneTrust
+    '#CybotCookiebotDialogBodyLevelButtonLevelOptinAllowAll', # Cookiebot
+]
+
+REJECT_PATTERNS = [
+    'button:has-text("Nur notwendige")',
+    'button:has-text("Ablehnen")',
+    'button:has-text("Reject")',
+    'button:has-text("Nur essentielle")',
+    '[class*="reject"]',
+    '#didomi-notice-disagree-button',
+    '#onetrust-reject-all-handler',
+    '#CybotCookiebotDialogBodyButtonDecline',
+]
+```
+
+**2.4 Violation-Erkennung**
+
+```python
+def _find_violations(self, phase: ScanPhase) -> list[Violation]:
+    violations = []
+
+    for script in phase.scripts:
+        service = match_service(script)  # Gegen SERVICE_REGISTRY
+        if service and service.requires_consent:
+            if phase.action is None:
+                # Script laedt VOR Consent → Verstoss
+                violations.append(Violation(
+                    severity="HIGH",
+                    service=service.name,
+                    legal_ref="§25 TDDDG",
+                    text=f"{service.name} laedt OHNE vorherige Einwilligung",
+                ))
+            elif phase.action == "reject":
+                # Script laedt NACH Ablehnung → schwerer Verstoss
+                violations.append(Violation(
+                    severity="CRITICAL",
+                    service=service.name,
+                    legal_ref="§25 TDDDG, Art. 5(3) ePrivacy",
+                    text=f"{service.name} laedt TROTZ Ablehnung — Dark Pattern",
+                ))
+
+    return violations
+```
+
+**2.5 Frontend: Consent-Test Tab**
+
+Dritter Tab im Agent: "Schnellanalyse | Website-Scan | Cookie-Test"
+
+Anzeige:
+```
+Cookie-Consent-Test: opodo.de
+═══════════════════════════════
+
+Banner erkannt: Ja (Didomi)
+
+Phase A: Vor Einwilligung
+  ✗ Google Analytics — laedt ohne Einwilligung (§25 TDDDG)
+  ✓ Didomi CMP — notwendig, OK
+  ✗ Google Tag Manager — laedt ohne Einwilligung
+
+Phase B: Nach Ablehnung ("Nur notwendige")
+  ✗ Google Analytics — laedt TROTZ Ablehnung (KRITISCH!)
+  ✓ Keine neuen Tracking-Cookies gesetzt
+
+Phase C: Nach Zustimmung ("Alle akzeptieren")
+  ✓ Google Analytics — jetzt aktiv (mit Consent OK)
+  ✓ Didomi Consent Cookie gesetzt
+  ✗ TikTok Pixel — nicht in Cookie-Policy dokumentiert
+
+Zusammenfassung:
+  2 kritische Verstoesse (Tracking ohne/trotz Ablehnung)
+  1 Dokumentationsluecke (TikTok nicht in Policy)
+```
+
+**2.6 Neuer Endpoint**
+
+```
+POST /api/compliance/agent/consent-test
+Body: { "url": "https://www.opodo.de" }
+Response: ConsentTestResult (3 Phasen + Violations)
+```
+
+**Dateien:**
+- `backend-compliance/compliance/services/consent_tester.py` — Playwright Test (~250 LOC)
+- `backend-compliance/compliance/api/agent_consent_routes.py` — Endpoint (~100 LOC)
+- `admin-compliance/app/sdk/agent/_components/ConsentTestResult.tsx` — UI (~150 LOC)
+- `admin-compliance/app/api/sdk/v1/agent/consent-test/route.ts` — Proxy (~35 LOC)
+
+**Aufwand:** 2-3 Tage (inkl. Playwright Setup + Button-Erkennung)
+
+---
+
+## Phase 3: Dienstleister-Registry erweitern (P1, 1 Tag)
+
+### Aktuell: ~20 Services in website_scanner.py
+
+### Ziel: 80+ Services
+
+Neue Kategorien:
+- **Newsletter/Email Marketing** — Mailchimp, Brevo, CleverReach, ActiveCampaign, HubSpot, Rapidmail
+- **Social Media Embeds** — Twitter/X, Instagram, LinkedIn, Pinterest, TikTok
+- **A/B Testing** — Optimizely, VWO, Google Optimize (Legacy)
+- **Heatmaps/Session Recording** — FullStory, Mouseflow, Crazy Egg, Lucky Orange
+- **Werbenetwerke** — Google Ads, Meta Ads, TikTok Ads, Criteo, Taboola, Outbrain
+- **Tag Manager** — Google, Tealium, Segment
+- **CRM** — HubSpot, Salesforce Pardot, Pipedrive
+- **Push Notifications** — OneSignal, Pushwoosh, Firebase
+- **Customer Support** — Freshdesk, Zendesk (erweitern), HelpScout
+- **Cloud/CDN** — AWS CloudFront, Azure CDN, Vercel, Netlify
+- **Error Tracking** — Sentry, Bugsnag, Datadog RUM, New Relic
+
+Jeder Eintrag: Regex, Provider, Land, EU-Adaequanz, Consent-Pflicht, Rechtsgrundlage.
+
+**Datei:** `backend-compliance/compliance/services/website_scanner.py` — SERVICE_REGISTRY erweitern
+Evtl. in eigene Datei auslagern: `service_registry.py` (~300 LOC, reine Daten)
+
+---
+
+## Phase 4: Scan beschleunigen (P2, 1 Tag)
+
+### Problem
+
+Aktuell: Seiten sequentiell fetchen + 3-4 LLM-Calls = 3-5 Minuten.
+
+### Loesung
+
+**4.1 Parallel Fetchen**
+```python
+# Statt sequentiell:
+for url in pages:
+    html = await fetch(url)
+
+# Parallel:
+htmls = await asyncio.gather(*[fetch(url) for url in pages])
+```
+
+**4.2 Qwen-Calls reduzieren**
+- DSE-Extraktion: Nur wenn Datenschutzseite gefunden
+- Korrekturvorschlaege: Nur fuer HIGH-Severity Findings (nicht fuer alle)
+- Batch: Alle Korrekturen in einem LLM-Call statt einzeln
+
+**4.3 Kleineres Modell fuer Klassifizierung**
+- Qwen 2.5:14b statt 3.5:35b fuer einfache Klassifizierung (~5x schneller)
+- 3.5:35b nur fuer Korrekturvorschlaege und DSE-Extraktion
+
+**Ziel:** Scan in <60 Sekunden statt 3-5 Minuten.
+
+---
+
+## Phase 5: Persistenz — Ergebnisse in DB speichern (P2, 1 Tag)
+
+### Problem
+
+Ergebnisse sind aktuell nur im Browser-Session-State und in Mailpit-Emails.
+Bei Seitenreload oder neuem Tab: alles weg.
+
+### Loesung
+
+**5.1 Neue DB-Tabelle**
+
+```sql
+CREATE TABLE compliance_agent_scans (
+    id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
+    tenant_id UUID NOT NULL,
+    user_id TEXT NOT NULL,
+    url TEXT NOT NULL,
+    mode TEXT NOT NULL,  -- 'quick', 'scan', 'consent_test'
+    analysis_mode TEXT NOT NULL,  -- 'pre_launch', 'post_launch'
+    classification TEXT,
+    risk_level TEXT,
+    risk_score FLOAT,
+    escalation_level TEXT,
+    services JSONB DEFAULT '[]',
+    findings JSONB DEFAULT '[]',
+    corrections JSONB DEFAULT '[]',
+    consent_test JSONB,  -- Phase 2 Ergebnisse
+    summary_html TEXT,
+    email_sent BOOLEAN DEFAULT FALSE,
+    created_at TIMESTAMPTZ DEFAULT now()
+);
+
+CREATE INDEX idx_agent_scans_tenant ON compliance_agent_scans(tenant_id);
+CREATE INDEX idx_agent_scans_url ON compliance_agent_scans(url);
+```
+
+**5.2 Frontend: Scan-Verlauf aus DB laden**
+
+Statt Session-basierter History → API-Call: `GET /api/compliance/agent/scans`
+Sortiert nach Datum, filterbar nach URL/Risiko/Typ.
+
+**Dateien:**
+- `backend-compliance/compliance/api/agent_scan_routes.py` — DB-Save nach jedem Scan
+- `backend-compliance/compliance/db/agent_scan_models.py` — SQLAlchemy Model (~40 LOC)
+- Migration SQL
+
+---
+
+## Phase 6: PDF-Export (P2, 0.5 Tage)
+
+### Nutzen
+
+Manager wollen druckbare Reports, nicht nur Emails.
+
+### Implementierung
+
+ReportLab oder WeasyPrint (bereits im Backend vorhanden fuer andere PDF-Exports).
+
+```python
+# Neuer Endpoint
+GET /api/compliance/agent/scans/{id}/pdf
+
+# Generiert PDF mit:
+# - Deckblatt (Firmenlogo, Datum, URL)
+# - Executive Summary (Risiko-Ampel, Rolle)
+# - Findings-Tabelle
+# - Dienstleister-Abgleich (SOLL/IST)
+# - Consent-Test Ergebnisse (wenn vorhanden)
+# - Korrekturvorschlaege
+# - Anhang: Gescannte Seiten, Rechtsgrundlagen
+```
+
+**Datei:** `backend-compliance/compliance/services/agent_pdf_export.py` (~200 LOC)
+
+---
+
+## Phase 7: Recurring Scans / ZeroClaw (P3, 1 Tag)
+
+### Nutzen
+
+Website aendert sich → neue Dienstleister eingebunden → automatisches Alert.
+
+### Implementierung
+
+ZeroClaw SOP mit Cron-Trigger:
+
+```toml
+[[triggers]]
+type = "cron"
+schedule = "0 6 * * 1"  # Jeden Montag 06:00
+```
+
+Der Agent:
+1. Laedt alle gespeicherten URLs aus der DB
+2. Scannt jede URL
+3. Vergleicht mit letztem Scan-Ergebnis
+4. Bei Aenderungen: Email an DSB mit Diff
+
+**Oder:** Einfacher Cron-Job im Backend (kein ZeroClaw noetig):
+```python
+# backend-compliance/compliance/services/recurring_scan.py
+async def run_weekly_scans():
+    scans = await db.get_all_monitored_urls()
+    for scan in scans:
+        result = await analyze(scan.url, scan.mode)
+        if has_changes(result, scan.last_result):
+            await send_change_alert(scan, result)
+```
+
+---
+
+## Phase 8: Multi-Website Vergleich (P3, 1 Tag)
+
+### Nutzen
+
+"Wie steht mein Unternehmen im Vergleich zu 5 Wettbewerbern?"
+
+### Implementierung
+
+Frontend: Mehrere URLs eingeben → paralleler Scan → Vergleichstabelle:
+
+```
+                    | Meine Firma | Opodo   | Booking | Expedia |
+Datenschutzerkl.    | ✓           | ✓       | ✓       | ✓       |
+Impressum           | ✓           | ✗ (404) | ✓       | ✓       |
+Cookie-Banner       | ✓           | ✓       | ✓       | ✗       |
+Google Fonts lokal  | ✓           | ✗       | ✓       | ✗       |
+Kuendigungsbutton   | ✓           | ✗       | n/a     | n/a     |
+Tracking vor Consent| ✗           | ✗       | ✓       | ✗       |
+Risiko-Score        | 15/100      | 45/100  | 20/100  | 55/100  |
+```
+
+**Endpoint:** `POST /api/compliance/agent/compare`
+**Body:** `{ "urls": ["url1", "url2", "url3"] }`
+
+---
+
+## Implementierungsreihenfolge
+
+| Woche | Phase | Was | Ergebnis |
+|-------|-------|-----|----------|
+| 1 | Phase 0 | UCCA Score-Kalibrierung | Realistische Risiko-Scores |
+| 1 | Phase 1 | Control Relevance Filter | Keine False Positives mehr |
+| 2 | Phase 2 | Consent-Test (Playwright) | Killer-Feature, vor/nach Einwilligung |
+| 2 | Phase 3 | Registry 80+ Services | Umfassende Dienstleister-Erkennung |
+| 3 | Phase 4 | Scan beschleunigen | <60 Sekunden statt 3-5 Minuten |
+| 3 | Phase 5 | DB-Persistenz | Scan-Verlauf, keine verlorenen Ergebnisse |
+| 4 | Phase 6 | PDF-Export | Druckbare Reports fuer Management |
+| 4 | Phase 7 | Recurring Scans | Automatische Ueberwachung |
+| 5 | Phase 8 | Multi-Website Vergleich | Wettbewerber-Benchmark |
+| 6 | Phase 9 | Authenticated Testing | Login-Bereich pruefen (§312k, Art. 17, 20) |
+
+---
+
+## Phase 9: Authenticated Website Testing (P3, 2 Tage)
+
+### Konzept
+
+Ein DSB gibt seine eigenen Credentials im SDK ein. Playwright loggt sich ein
+und prueft den Kundenbereich auf Pflichtfunktionen:
+
+### Pruefbare Rechte nach Login
+
+| Pruefung | Rechtsgrundlage | Methode |
+|----------|----------------|---------|
+| Kuendigungsbutton (2 Klicks) | §312k BGB | Navigation suchen, Klicks zaehlen |
+| Konto loeschen | Art. 17 DSGVO | "Konto loeschen" Button suchen |
+| Daten exportieren | Art. 20 DSGVO | "Daten herunterladen" suchen |
+| Einwilligungen widerrufen | Art. 7(3) DSGVO | Consent-Einstellungen suchen |
+| Profildaten einsehen | Art. 15 DSGVO | Profil-/Kontobereich pruefen |
+
+### Sicherheit
+
+- Credentials werden NUR fuer die Dauer des Tests im Browser-Kontext gehalten
+- Kein Speichern in DB, kein Logging, kein Senden an Dritte
+- Nach Test: Browser-Kontext wird zerstoert, Credentials verworfen
+- HTTPS-only (kein HTTP-Login)
+
+### Implementierung
+
+- Erweiterung des `consent-tester` Service um Login-Flow
+- Neuer Tab im Frontend: "Authentifizierter Test"
+- Credential-Eingabe als einmalige Formularfelder (nicht gespeichert)
+- Screenshots als Belege fuer den Report
+
+### Dateien
+
+| Datei | LOC | Zweck |
+|-------|-----|-------|
+| `consent-tester/services/authenticated_scanner.py` | ~200 | Login + Kundenbereich-Checks |
+| `consent-tester/main.py` | +30 | Neuer /authenticated-scan Endpoint |
+| Frontend: AuthenticatedTestTab | ~150 | Credential-Eingabe + Ergebnis |
+
+---
+
+## Phase 10: Website-Scan auf Playwright umstellen (P3, 1-2 Tage)
+
+### Problem
+
+Der Website-Scan nutzt httpx (wie curl) — bekommt nur initiales HTML.
+SPAs (React, Angular, Vue) die Inhalte per JavaScript nachladen werden
+unvollstaendig gescannt. Opodo-Stil Seiten liefern nur Shell-HTML.
+
+### Loesung
+
+Website-Scanner auf Playwright umstellen — gleicher Headless Browser
+wie der Consent-Tester. Dann sieht der Scan ALLES was der Browser sieht.
+
+| Technologie | Aktuell (httpx) | Nach Phase 10 (Playwright) |
+|------------|-----------------|---------------------------|
+| Statisches HTML | ✓ | ✓ |
+| WordPress | ✓ | ✓ |
+| React/Vue SPA | ✗ (nur Shell) | ✓ (rendert JS) |
+| Angular SSR | ✗/✓ | ✓ |
+| JS-heavy (Opodo) | ✗ | ✓ |
+
+### Implementierung
+
+- `consent-tester` Service um `/website-scan` Endpoint erweitern
+- Playwright navigiert zu jeder Seite, wartet auf JS, extrahiert HTML
+- Backend-Scanner ruft consent-tester statt httpx auf
+- Gleicher Output (DetectedService, ScanResult) — nur bessere Eingabedaten
+
+## Investoren-Demo Szenario
+
+Nach Phase 2 (Woche 2) koennen wir folgende Demo zeigen:
+
+1. **URL eingeben:** `https://www.opodo.de`
+2. **Website-Scan:** 6 Seiten gescannt, Google Analytics + Fonts + GTM erkannt
+3. **SOLL/IST:** 3 Dienste NICHT in DSE dokumentiert → Art. 13 Verstoss
+4. **Consent-Test:** Google Analytics laedt VOR Einwilligung → §25 TDDDG Verstoss
+5. **Consent ablehnen:** Analytics laedt TROTZ Ablehnung → KRITISCH
+6. **Score:** MEDIUM (45/100) mit 5 Findings
+7. **Korrekturvorschlag:** Einbaufertige DSE-Textbausteine per Qwen
+8. **Email an DSB:** Formatierter HTML-Report mit Handlungsanweisung
+9. **Vergleich:** Opodo vs. Booking.com — wer ist besser aufgestellt?
+
+Das demonstriert:
+- RAG funktioniert gegen echte Systeme (166k Controls)
+- LLM generiert juristische Textbausteine
+- Automatisierte Compliance-Pruefung in <60 Sekunden
+- Consent-Test den kein Wettbewerber hat
diff --git a/zeroclaw/docs/agent-architecture.md b/zeroclaw/docs/agent-architecture.md
new file mode 100644
index 0000000..7d4f9fb
--- /dev/null
+++ b/zeroclaw/docs/agent-architecture.md
@@ -0,0 +1,367 @@
+# ZeroClaw Agent-Architektur — Referenzdokumentation
+
+Dieses Dokument beschreibt die vollstaendige Architektur des Compliance-Agenten,
+damit sie als Blaupause fuer weitere Agenten (z.B. Sales, HR, Finance) genutzt werden kann.
+
+---
+
+## 1. Ueberblick
+
+```
+┌─────────────────────────────────────────────────────────────────┐
+│                     FRONTEND (Next.js)                          │
+│  admin-compliance/app/sdk/agent/page.tsx                        │
+│  5 Tabs: Quick | Scan | Cookie-Test | Vergleich | Login-Test    │
+│                                                                 │
+│  Proxy-Routes: /api/sdk/v1/agent/*                              │
+│  → leiten an Backend weiter (vermeidet SSL-Cert-Probleme)       │
+└──────────────────────┬──────────────────────────────────────────┘
+                       │ POST /api/sdk/v1/agent/{mode}
+                       ▼
+┌─────────────────────────────────────────────────────────────────┐
+│                   BACKEND (Python/FastAPI)                       │
+│  backend-compliance:8002                                        │
+│                                                                 │
+│  Orchestriert den gesamten Flow:                                │
+│  1. Ruft Playwright-Service fuer Website-Crawling               │
+│  2. Erkennt Services via Regex (82+ Patterns)                   │
+│  3. Ruft LLM fuer Klassifikation/Korrekturen                   │
+│  4. Prueft Pflichtfelder (Art. 13, §355, §305ff)                │
+│  5. Sendet E-Mail-Report                                        │
+│                                                                 │
+│  Routes:                                                        │
+│  - agent_analyze_routes.py (Schnellanalyse)                     │
+│  - agent_scan_routes.py (Website-Scan + DSI Discovery)          │
+│  - agent_compare_routes.py (Multi-Website-Vergleich)            │
+│  - agent_notification_routes.py (E-Mail)                        │
+│  - agent_history_routes.py (Scan-Verlauf + PDF)                 │
+└──────────┬──────────────────────┬───────────────────────────────┘
+           │                      │
+           ▼                      ▼
+┌─────────────────────┐  ┌──────────────────────────────────────┐
+│   OLLAMA (LLM)      │  │   CONSENT-TESTER (Playwright)        │
+│   Mac Mini lokal    │  │   consent-tester:8094                 │
+│                     │  │                                      │
+│   Qwen 3.5:35b-a3b │  │   Headless Chromium Browser:         │
+│   Port: 11434       │  │   - /scan (3-Phasen Cookie-Test)     │
+│                     │  │   - /website-scan (JS-Rendering)     │
+│   Endpunkte:        │  │   - /dsi-discovery (Dokumentensuche) │
+│   /api/chat         │  │   - /authenticated-scan (Login-Test) │
+│   /api/generate     │  │                                      │
+│   /api/embeddings   │  │   20 Banner-Checks (rechtlich)       │
+└─────────────────────┘  └──────────────────────────────────────┘
+```
+
+---
+
+## 2. Request-Flow (am Beispiel Website-Scan)
+
+```
+User klickt "Scan starten" im Frontend
+  │
+  ▼
+POST /api/sdk/v1/agent/scan { url, mode, recipient }
+  │
+  ├── Next.js API Route (Proxy)
+  │   admin-compliance/app/api/sdk/v1/agent/scan/route.ts
+  │   → Leitet an backend-compliance:8002 weiter
+  │   → Timeout: 5 Minuten
+  │
+  ▼
+Backend: agent_scan_routes.py :: scan_website_endpoint()
+  │
+  ├── Schritt 1: Playwright Website-Scan
+  │   POST http://consent-tester:8094/website-scan
+  │   → Chromium oeffnet URL, rendert JavaScript
+  │   → Klickt Navigations-Menues, entdeckt Unterseiten
+  │   → Gibt HTML aller Seiten zurueck (max 50 Seiten, 3 Min Timeout)
+  │
+  ├── Schritt 1b: DSI Document Discovery
+  │   POST http://consent-tester:8094/dsi-discovery
+  │   → Findet alle rechtlichen Dokumente (DSI, AGB, Widerruf, Cookie)
+  │   → Oeffnet Accordions, Tabs, Sidebars
+  │   → Folgt Cross-Domain-Links (z.B. help.instagram.com)
+  │   → Extrahiert Text aus jedem Dokument
+  │   → Backend prueft Vollstaendigkeit (Art. 13 Checkliste)
+  │
+  ├── Schritt 2: Service-Erkennung (deterministisch, kein LLM)
+  │   service_registry.py: 82+ Regex-Patterns gegen HTML
+  │   → Google Analytics, Facebook Pixel, Stripe, Hotjar, etc.
+  │   → Jeder Service hat: Kategorie, Anbieter, Land, Rechtsgrundlage
+  │
+  ├── Schritt 3: DSE-Extraktion (LLM)
+  │   POST http://ollama:11434/api/generate
+  │   Prompt: "Extrahiere alle erwahnten Dienste aus dieser DSE..."
+  │   → Qwen 3.5 liest den DSE-Text und gibt JSON zurueck
+  │   → Fallback: Regex-Suche wenn LLM fehlschlaegt
+  │
+  ├── Schritt 4: SOLL/IST-Vergleich
+  │   SOLL = Services aus DSE (was dokumentiert ist)
+  │   IST = Services auf Website (was tatsaechlich laeuft)
+  │   → "undocumented": auf Website, nicht in DSE (Verstoss!)
+  │   → "documented": beides OK
+  │   → "outdated": in DSE, nicht mehr auf Website
+  │
+  ├── Schritt 5: Pflichtfeld-Pruefung
+  │   mandatory_content_checker.py: 9 Art. 13 DSGVO Felder
+  │   legal_basis_validator.py: Rechtsgrundlage korrekt?
+  │   dsi_document_checker.py: Jedes gefundene Dokument pruefen
+  │
+  ├── Schritt 6: Korrekturen generieren (LLM, nur bei Findings)
+  │   POST http://ollama:11434/api/generate
+  │   Prompt: "Erstelle DSE-Textbaustein fuer Google Analytics..."
+  │   → Qwen 3.5 generiert einbaufertigen Text
+  │
+  ├── Schritt 7: E-Mail senden
+  │   smtp_sender.py → Mailpit (SMTP :1025)
+  │   HTML-Report mit allen Findings + Korrekturen
+  │
+  └── Response zurueck an Frontend
+      ScanResponse { pages_scanned, services[], findings[],
+                     discovered_documents[], summary }
+```
+
+---
+
+## 3. Komponenten im Detail
+
+### 3.1 Frontend (Next.js)
+
+**Seite:** `admin-compliance/app/sdk/agent/page.tsx`
+**Hooks:** `admin-compliance/app/sdk/agent/_hooks/`
+**Komponenten:** `admin-compliance/app/sdk/agent/_components/`
+
+| Komponente | Aufgabe |
+|---|---|
+| ScanResult.tsx | Service-Tabelle, Findings, PDF-Download |
+| ConsentTestResult.tsx | 3-Phasen-Anzeige + Banner-Checks |
+| CompareResult.tsx | Side-by-Side Vergleich |
+| AuthTestResult.tsx | 5 Login-Checks |
+| TextReference.tsx | Originaltext + Korrekturvorschlag |
+| FollowUpQuestions.tsx | Ja/Nein Fragen |
+
+**Proxy-Pattern:** Jeder API-Call geht ueber eine Next.js API Route
+(`app/api/sdk/v1/agent/*/route.ts`) die serverseitig an das Backend weiterleitet.
+Das vermeidet CORS- und SSL-Probleme.
+
+### 3.2 Backend (Python/FastAPI)
+
+**Service:** `backend-compliance:8002`
+**Prefix:** `/api/compliance/agent/`
+
+| Route-Datei | Endpunkt | Aufgabe |
+|---|---|---|
+| agent_analyze_routes.py | POST /analyze | Schnellanalyse (1 URL) |
+| agent_scan_routes.py | POST /scan | Deep Scan + DSI Discovery |
+| agent_compare_routes.py | POST /compare | Multi-URL Vergleich |
+| agent_notification_routes.py | POST /notify | E-Mail senden |
+| agent_history_routes.py | GET/POST /scans | Scan-Verlauf |
+| agent_recurring_routes.py | */monitored-urls | Wiederkehrende Scans |
+
+**Wichtiges Design-Prinzip:** Das Backend orchestriert, macht aber keine
+Browser-Operationen. Alles was einen Browser braucht → consent-tester.
+
+### 3.3 Consent-Tester (Playwright/FastAPI)
+
+**Service:** `consent-tester:8094`
+**Dockerfile:** Chromium als appuser installiert (Permission-Fix)
+
+| Endpunkt | Aufgabe | Dateien |
+|---|---|---|
+| POST /scan | 3-Phasen Cookie-Test | consent_scanner.py, banner_text_checker.py, banner_advanced_checks.py |
+| POST /website-scan | JS-gerendertes Crawling | playwright_scanner.py |
+| POST /dsi-discovery | Dokumenten-Suche | dsi_discovery.py |
+| POST /authenticated-scan | Login + Rechte-Check | authenticated_scanner.py |
+| GET /health | Healthcheck | main.py |
+
+**20 Banner-Checks** in 3 Dateien:
+- banner_text_checker.py (Checks 1-11)
+- banner_advanced_checks.py (Checks 12-20)
+
+### 3.4 LLM (Ollama)
+
+**Modell:** Qwen 3.5:35b-a3b (23.9 GB, lokal auf Mac Mini)
+**Port:** 11434 (erreichbar als `host.docker.internal:11434`)
+
+**Zwei Aufruf-Patterns:**
+
+```python
+# Pattern 1: /api/generate (einfache Completion)
+resp = await client.post(f"{OLLAMA_URL}/api/generate", json={
+    "model": "qwen3.5:35b-a3b",
+    "prompt": "Erstelle einen DSE-Textbaustein...",
+    "stream": False,
+})
+text = resp.json()["response"]
+
+# Pattern 2: /api/chat (Chat mit System-Prompt)
+resp = await client.post(f"{OLLAMA_URL}/api/chat", json={
+    "model": "qwen3.5:35b-a3b",
+    "messages": [
+        {"role": "system", "content": "Du bist ein DSGVO-Experte..."},
+        {"role": "user", "content": prompt},
+    ],
+    "stream": False,
+    "format": "json",  # Erzwingt JSON-Ausgabe
+})
+text = resp.json()["message"]["content"]
+```
+
+**Think-Mode beachten:** Qwen 3.5 gibt `<think>...</think>` Tags aus.
+Diese muessen aus der Antwort entfernt werden:
+```python
+raw = re.sub(r"<think>.*?</think>", "", raw, flags=re.DOTALL).strip()
+```
+
+### 3.5 Soul Files (Agent-Persoenlichkeiten)
+
+**Pfad:** `admin-compliance/agent-core/soul/`
+
+| Datei | Agent | Aufgabe |
+|---|---|---|
+| compliance-advisor.soul.md | Compliance Advisor | Rechtsfragen beantworten (RAG) |
+| drafting-agent.soul.md | Drafting Agent | DSGVO-Dokumente generieren |
+
+**Aufbau einer Soul-Datei:**
+1. Identitaet (Wer bin ich?)
+2. Kompetenzbereich (Was kann ich?)
+3. RAG-Nutzung (Welche Quellen?)
+4. Kommunikationsstil (Wie antworte ich?)
+5. Einschraenkungen (Was darf ich nicht?)
+6. Produktwissen (Features des Tools)
+7. FAQ (Haeufige Fragen + Antworten)
+8. Eskalation (Wann verweise ich weiter?)
+
+---
+
+## 4. Blaupause: Neuen Agenten erstellen
+
+### Schritt 1: Soul-Datei erstellen
+
+```markdown
+# Mein Agent
+
+## Identitaet
+Du bist der [Name]-Agent. Du hilfst bei [Aufgabe].
+
+## Kompetenzbereich
+- [Thema 1]
+- [Thema 2]
+
+## Kommunikationsstil
+- Sachlich, verstaendlich
+- Quellenangaben
+
+## Einschraenkungen
+- Keine [X]-Beratung
+```
+
+### Schritt 2: Backend-Route erstellen
+
+```python
+# backend-compliance/compliance/api/mein_agent_routes.py
+from fastapi import APIRouter
+router = APIRouter(prefix="/compliance/mein-agent", tags=["mein-agent"])
+
+@router.post("/analyze")
+async def analyze(req: AnalyzeRequest):
+    # 1. Daten holen (Playwright, API, DB)
+    # 2. LLM aufrufen (Ollama)
+    # 3. Ergebnis aufbereiten
+    # 4. E-Mail senden
+    return result
+```
+
+### Schritt 3: Frontend-Page erstellen
+
+```
+admin-compliance/app/sdk/mein-agent/
+├── page.tsx          # Hauptseite mit Tabs
+├── _hooks/           # State + API-Calls
+└── _components/      # Ergebnis-Anzeige
+```
+
+### Schritt 4: Next.js Proxy-Route
+
+```typescript
+// admin-compliance/app/api/sdk/v1/mein-agent/[[...path]]/route.ts
+const BACKEND_URL = 'http://backend-compliance:8002'
+
+export async function POST(req, { params }) {
+  const path = (await params).path?.join('/') || ''
+  const resp = await fetch(`${BACKEND_URL}/api/compliance/mein-agent/${path}`, {
+    method: 'POST',
+    headers: { 'Content-Type': 'application/json' },
+    body: await req.text(),
+  })
+  return NextResponse.json(await resp.json())
+}
+```
+
+### Schritt 5: In docker-compose.yml registrieren
+
+Der Agent laeuft als Teil des Backend-Services (kein eigener Container noetig,
+es sei denn er braucht Playwright — dann eigenen Service wie consent-tester).
+
+---
+
+## 5. Timeouts
+
+| Komponente | Timeout | Grund |
+|---|---|---|
+| Frontend → Backend Proxy | 300s (5 Min) | Scan kann lange dauern |
+| Backend → Playwright | 180s (3 Min) | Browser-Rendering + Crawling |
+| Backend → Ollama LLM | 180s (3 Min) | Grosse Modelle sind langsam |
+| Playwright → Website | 20s pro Seite | Einzelne Seite laden |
+| Exhaustive Crawl | 180-300s | Safety-Limit fuer rekursives Crawling |
+
+---
+
+## 6. Environment-Variablen
+
+| Variable | Default | Beschreibung |
+|---|---|---|
+| OLLAMA_URL | http://host.docker.internal:11434 | Ollama LLM Endpunkt |
+| OLLAMA_MODEL | qwen3.5:35b-a3b | Standard-Modell |
+| BACKEND_URL | http://backend-compliance:8002 | Backend API |
+| CONSENT_SERVICE_URL | http://consent-tester:8094 | Playwright-Service |
+| RAG_SERVICE_URL | http://rag-service:8097 | RAG/Embedding Service |
+| QDRANT_URL | https://qdrant-dev.breakpilot.ai | Vektor-Datenbank |
+| SMTP_HOST | mailpit | E-Mail Server |
+| SMTP_PORT | 1025 | SMTP Port |
+
+---
+
+## 7. Dateien (Referenz)
+
+### Backend
+| Datei | LOC | Aufgabe |
+|---|---|---|
+| agent_scan_routes.py | 448 | Scan-Orchestrierung |
+| agent_scan_helpers.py | 109 | Summary + Korrekturen |
+| agent_analyze_routes.py | 309 | Schnellanalyse |
+| agent_compare_routes.py | 94 | Multi-Vergleich |
+| agent_notification_routes.py | 111 | E-Mail |
+| service_registry.py | 508 | 82+ Service-Patterns |
+| dsi_document_checker.py | 229 | Dokument-Checklisten |
+| mandatory_content_checker.py | 274 | Art. 13 Pflichtfelder |
+| legal_basis_validator.py | 155 | Rechtsgrundlagen |
+
+### Consent-Tester
+| Datei | LOC | Aufgabe |
+|---|---|---|
+| main.py | 321 | FastAPI + Endpunkte |
+| consent_scanner.py | 213 | 3-Phasen-Test |
+| banner_text_checker.py | 407 | Banner-Checks 1-11 |
+| banner_advanced_checks.py | 396 | Banner-Checks 12-20 |
+| dsi_discovery.py | 488 | Dokumenten-Suche |
+| playwright_scanner.py | 266 | Website-Crawling |
+| authenticated_scanner.py | 230 | Login-Tests |
+
+### Frontend
+| Datei | LOC | Aufgabe |
+|---|---|---|
+| agent/page.tsx | 207 | 5-Tab Agent UI |
+| ScanResult.tsx | 241 | Scan-Ergebnis |
+| ConsentTestResult.tsx | 207 | Cookie-Test-Ergebnis |
+| TextReference.tsx | 108 | Korrekturvorschlaege |
diff --git a/zeroclaw/docs/compliance-agent.md b/zeroclaw/docs/compliance-agent.md
new file mode 100644
index 0000000..cf5a728
--- /dev/null
+++ b/zeroclaw/docs/compliance-agent.md
@@ -0,0 +1,114 @@
+# Compliance Agent — Dokumentation
+
+## Uebersicht
+
+Der Compliance Agent analysiert Websites und Dokumente automatisch auf DSGVO-Konformitaet.
+Er kombiniert Website-Scanning, LLM-Analyse, Control Library und Playwright Browser-Tests
+zu einem umfassenden Compliance-Audit.
+
+## 5 Analyse-Modi
+
+### 1. Schnellanalyse
+Einzelne URL klassifizieren und bewerten.
+- Qwen klassifiziert Dokumenttyp (DSE, Cookie-Banner, AGB, Impressum)
+- LLM extrahiert Intake-Flags (14 Kategorien)
+- UCCA Assessment bewertet Risiko
+- Relevance Filter entfernt False-Positive Controls
+- Email-Benachrichtigung an zustaendige Rolle
+
+### 2. Website-Scan
+Multi-Page Crawl mit Dienstleister-Abgleich.
+- Playwright-Browser scannt 5-15 Seiten (JS-Rendering, Menue-Klicks)
+- 82+ Dienste erkannt (Tracking, CDN, Chatbots, Payment, Marketing)
+- SOLL/IST-Abgleich: DSE-Text vs. tatsaechlich eingebundene Dienste
+- Pflichtinhalte-Check: Art. 13 DSGVO (9 Felder) + §5 TMG (5 Felder)
+- Textblock-Referenzierung: Originaltext, Position, Korrekturvorschlag
+- Lit-Mapping: Prueft ob korrekte Rechtsgrundlage (lit. a-f) verwendet wird
+
+### 3. Cookie-Test
+3-Phasen Consent-Test mit echtem Chromium-Browser.
+- Phase A: Was laedt VOR Einwilligung? (§25 TDDDG Verstoss)
+- Phase B: Was laedt NACH Ablehnung? (KRITISCH wenn Tracking weiterlaeuft)
+- Phase C: Was laedt NACH Zustimmung? (Abgleich mit Cookie-Policy)
+- Phase D-F: Einzelne Kategorien testen (Statistik, Marketing, Funktional)
+- 10 CMP-spezifische Selektoren (Cookiebot, OneTrust, Didomi, etc.)
+
+### 4. Vergleich
+2-5 Websites parallel scannen und Compliance vergleichen.
+- Vergleichstabelle: Risiko, Findings, Services, Impressum, Cookie-Banner
+
+### 5. Login-Test
+Kundenbereich nach Login pruefen.
+- §312k BGB: Kuendigungsbutton (2 Klicks)
+- Art. 17 DSGVO: Konto loeschen
+- Art. 20 DSGVO: Daten exportieren
+- Art. 7(3) DSGVO: Einwilligungen widerrufen
+- Art. 15 DSGVO: Profildaten einsehen
+
+## API Endpoints
+
+### Backend (Port 8002)
+
+| Method | Endpoint | Beschreibung |
+|--------|----------|-------------|
+| POST | `/api/compliance/agent/analyze` | Schnellanalyse |
+| POST | `/api/compliance/agent/scan` | Website-Scan |
+| POST | `/api/compliance/agent/notify` | Email senden |
+| POST | `/api/compliance/agent/scans` | Scan speichern |
+| GET | `/api/compliance/agent/scans` | Scan-Verlauf |
+| POST | `/api/compliance/agent/scans/pdf` | PDF-Export |
+| POST | `/api/compliance/agent/compare` | Multi-Website Vergleich |
+| POST | `/api/compliance/agent/monitored-urls` | URL zur Ueberwachung |
+| POST | `/api/compliance/agent/run-scheduled` | Scheduled Scans triggern |
+
+### Consent-Tester (Port 8094)
+
+| Method | Endpoint | Beschreibung |
+|--------|----------|-------------|
+| POST | `/scan` | 3-Phasen Cookie-Test |
+| POST | `/website-scan` | Playwright Website-Scan |
+| POST | `/authenticated-scan` | Login-Test |
+| GET | `/health` | Health Check |
+
+## Service-Registry
+
+82+ Dienste in 15 Kategorien:
+Tracking, Marketing, Newsletter, CDN, Chatbots, Payment, Heatmaps,
+A/B Testing, Tag Manager, Push, Video, Social, Error Tracking, CRM, Accessibility.
+
+Datei: `backend-compliance/compliance/services/service_registry.py`
+
+## Pre-Launch vs. Post-Launch
+
+| Modus | Tonfall | Empfehlung |
+|-------|---------|------------|
+| Pre-Launch | "Vor Veroeffentlichung korrigieren" | Einbaufertige DSE-Textbausteine |
+| Post-Launch | "ACHTUNG: Oeffentlich sichtbar!" | Sofortige Nachbesserung |
+
+## Architektur
+
+```
+Browser (Frontend)
+  |
+  ├── /sdk/agent (Next.js, 5 Tabs)
+  |
+  ├── Next.js API Proxies (/api/sdk/v1/agent/*)
+  |     |
+  |     ├── Backend (FastAPI, Port 8002)
+  |     |     ├── agent_analyze_routes.py
+  |     |     ├── agent_scan_routes.py (+ Playwright integration)
+  |     |     ├── agent_history_routes.py
+  |     |     ├── agent_recurring_routes.py
+  |     |     └── agent_compare_routes.py
+  |     |
+  |     └── Consent-Tester (FastAPI + Playwright, Port 8094)
+  |           ├── consent_scanner.py (3-Phasen + Kategorien)
+  |           ├── playwright_scanner.py (Website-Scan)
+  |           ├── authenticated_scanner.py (Login-Test)
+  |           ├── banner_detector.py (10 CMPs)
+  |           ├── category_tester.py (Kategorie-Toggles)
+  |           └── script_analyzer.py (Service-Erkennung)
+  |
+  ├── Qwen 3.5:35b-a3b (Ollama, Port 11434)
+  └── Mailpit (SMTP 1025, Web 8025)
+```
diff --git a/zeroclaw/tests/reference-cases/README.md b/zeroclaw/tests/reference-cases/README.md
new file mode 100644
index 0000000..e5e44cb
--- /dev/null
+++ b/zeroclaw/tests/reference-cases/README.md
@@ -0,0 +1,13 @@
+# Compliance Agent — Reference Test Cases
+
+Reale Befunde von echten Websites. Jeder Case dokumentiert:
+- Was gefunden wurde
+- Welche Rechtsgrundlage verletzt ist
+- Was der Agent erkennen sollte
+- Wie die Korrektur aussehen muss
+
+## Cases
+
+| Case | Website | Typ | Schwere |
+|------|---------|-----|---------|
+| [EUIPO Registration + Chat](euipo-registration-consent.md) | login.euipo.europa.eu + euipo.europa.eu | 10 Findings: Consent-Text, Koppelungsverbot, Unblu Chat, Dismiss-as-Consent, Dark Pattern | HIGH |
diff --git a/zeroclaw/tests/reference-cases/euipo-registration-consent.md b/zeroclaw/tests/reference-cases/euipo-registration-consent.md
new file mode 100644
index 0000000..318724f
--- /dev/null
+++ b/zeroclaw/tests/reference-cases/euipo-registration-consent.md
@@ -0,0 +1,196 @@
+# Test Case: EUIPO Registration — Consent-Formulierung
+
+**Quelle:** EU-Behoerde (Amt der Europaeischen Union fuer geistiges Eigentum)
+**URL:** https://login.euipo.europa.eu (Registrierungsseite)
+**Entdeckt:** 2026-05-04
+**Typ:** Consent-Text-Fehler + Koppelungsverbot
+**Schwere:** HIGH
+
+---
+
+## Befund
+
+Auf der Registrierungsseite des EUIPO steht (vollstaendiger Text):
+
+> "Wenn Sie auf Anmelden klicken, stimmen Sie unseren zu
+> Nutzungsbedingungen und Datenschutz-Bestimmungen gelesen und verstanden
+> Registrieren
+> Haben Sie bereits ein Konto? Anmelden
+> Datenschutz-Bestimmungen gelesen und verstanden
+> Nutzungsbedingungen
+> Deutsch"
+
+Der Text "Datenschutz-Bestimmungen gelesen und verstanden" und
+"Nutzungsbedingungen" erscheinen als separate Links unterhalb des
+Registrieren-Buttons — vermutlich soll der obere Satz darauf verweisen,
+aber die Verknuepfung ist kaputt (Links nach dem Button statt inline).
+
+### Fehler
+
+| # | Typ | Beschreibung | Rechtsgrundlage |
+|---|-----|-------------|-----------------|
+| 1 | Sprachfehler | Satz grammatisch unvollstaendig ("stimmen Sie unseren zu" ergibt keinen Sinn) | Art. 12(1) DSGVO (klare und verstaendliche Sprache) |
+| 2 | Zwangs-Consent | Login = automatische Zustimmung, kein separater Opt-in | Art. 7(4) DSGVO (Koppelungsverbot) |
+| 3 | Keine Ablehnung | Kein Button um NICHT zuzustimmen (nur Login oder Seite verlassen) | Art. 7(3) DSGVO (Widerruf so einfach wie Erteilung) |
+| 4 | Keine Granularitaet | Nutzungsbedingungen und Datenschutz werden in einer Zustimmung zusammengefasst | EDPB Guidelines 05/2020 Rn. 43 (Granularitaet) |
+| 5 | Kein aktiver Consent | Kein Checkbox oder aktive Handlung — blosse Nutzung gilt als Zustimmung | EuGH C-673/17 Planet49 (aktive Einwilligung) |
+| 6 | Kaputtes Link-Layout | Links zu DSE und Nutzungsbedingungen erscheinen NACH dem Registrieren-Button statt inline im Consent-Text — der Satz oben verweist ins Leere | Art. 12(1) DSGVO (leicht zugaenglich) |
+| 7 | Uebersetzungsfehler | Offensichtlich maschinell aus EN uebersetzt ("stimmen Sie unseren zu" ist kein korrektes Deutsch) — widerspricht Anforderung an Muttersprache des Nutzers | Art. 12(1) DSGVO (klare und einfache Sprache) |
+| 8 | Unblu Chat Drittanbieter-DSE | Chat-Consent verweist auf Datenschutzerklaerung von unblu.com (Drittanbieter) statt auf EUIPO-eigene Cookie-/Chat-Richtlinie. EUIPO ist Verantwortlicher (Art. 4 Nr. 7 DSGVO), muss eigene DSE bereitstellen. | Art. 13 DSGVO (Informationspflichten), Art. 26 DSGVO (gemeinsame Verantwortlichkeit) |
+| 9 | Unblu Chat Cookies ohne eigene Rechtsgrundlage | "Unblu-Cookies muessen heruntergeladen werden" — EUIPO delegiert Cookie-Einwilligung an Drittanbieter-DSE statt eigene Rechtsgrundlage zu benennen | § 25 TDDDG / Art. 5(3) ePrivacy-RL |
+| 10 | Dismiss-by-Click = Consent | Klick neben das Chat-Consent-Fenster wird als "Akzeptieren" gewertet. Versehentlicher Klick ist KEINE aktive Einwilligung. Modal muss echte Wahl erzwingen. | EuGH C-673/17 Planet49 (aktive Handlung), Art. 7(1) DSGVO (Nachweispflicht) |
+
+---
+
+## Befund 2: Unblu Chat Consent (nach Login)
+
+Nach Registrierung und Login erscheint ein Chat-Fenster:
+
+> "Personenbezogene Daten werden gemaess der Datenschutzerklaerung fuer den Online-Chat
+> erhoben und verarbeitet. Fuer den Online-Chat muessen Unblu-Cookies heruntergeladen
+> werden, damit er ordnungsgemaess funktioniert und damit die Chat-Operatoren wissen,
+> wann Sie zuletzt per Chat mit dem Amt kommuniziert haben. Diese Cookies unterliegen
+> den Datenschutzbestimmungen des Unblu Chats und werden nur eingesetzt, wenn Sie sich
+> fuer die Nutzung des Chats entscheiden."
+>
+> [Abbrechen] [Akzeptieren]
+
+### Was positiv ist:
+- Es gibt tatsaechlich einen "Abbrechen"-Button (besser als die Registrierung)
+- Der Text erklaert den Zweck der Cookies (Chat-Funktionalitaet + Verlauf)
+
+### Was falsch ist:
+
+**1. Drittanbieter-DSE statt eigener:**
+Die Datenschutzerklaerung verlinkt auf unblu.com — aber EUIPO ist der Verantwortliche
+fuer die Datenverarbeitung, nicht Unblu. Unblu ist Auftragsverarbeiter. Die EUIPO muesste
+eine eigene Chat-Datenschutzerklaerung haben die beschreibt:
+- Welche Daten erhoben werden
+- Rechtsgrundlage (Art. 6(1)(a) Einwilligung)
+- Speicherdauer
+- Rechte des Betroffenen
+- Kontakt zum DSB
+
+**2. Klick daneben = Akzeptieren:**
+Das Chat-Fenster ist NICHT modal — ein Klick auf den Hintergrund neben dem Fenster
+schliesst es UND wertet dies als Einwilligung. Das verletzt:
+- **Art. 7(1) DSGVO**: Einwilligung muss nachweisbar sein (versehentlicher Klick ist kein Nachweis)
+- **EuGH Planet49**: Einwilligung erfordert eine eindeutige bestaetigende Handlung
+- **EDPB Guidelines 05/2020 Rn. 77**: "Silence, pre-ticked boxes or inactivity should not constitute consent"
+
+Ein Klick neben ein Fenster ist "inactivity" im Sinne der EDPB-Leitlinien — keine
+aktive Entscheidung.
+
+**3. "muessen heruntergeladen werden":**
+Die Formulierung suggeriert technische Notwendigkeit ("muessen"), obwohl die Cookies
+fuer den Zweck "wann Sie zuletzt per Chat kommuniziert haben" nicht technisch notwendig
+sind. Das ist eine Dunkle-Muster-Formulierung die den Nutzer zur Zustimmung draengt.
+
+---
+
+## Erwartete Agent-Erkennung
+
+Der Compliance Agent sollte folgende Checks ausfuehren:
+
+### 1. Consent-Text-Analyse (consent_scanner.py)
+- `banner_text_violations`: Grammatisch fehlerhafte Consent-Formulierung erkennen
+- Severity: HIGH
+- Finding: "Consent-Text ist grammatisch unvollstaendig und nicht verstaendlich (Art. 12(1) DSGVO)"
+
+### 2. Koppelungs-Check (authenticated_scanner.py)
+- Login-Button darf nicht gleichzeitig Consent erteilen
+- Finding: "Einwilligung wird an Registrierung/Login gekoppelt (Art. 7(4) DSGVO)"
+
+### 3. Ablehn-Button-Check (consent_scanner.py)
+- `reject_button_check`: Kein gleichwertiger Ablehn-Button vorhanden
+- Finding: "Keine Moeglichkeit die Einwilligung abzulehnen"
+
+### 4. Granularitaets-Check (NEU — zu implementieren)
+- Nutzungsbedingungen ≠ Datenschutz-Einwilligung
+- Muessen separat zustimmbar sein
+- Finding: "Nutzungsbedingungen und Datenschutz in einer Zustimmung zusammengefasst"
+
+### 5. Drittanbieter-DSE-Check (NEU — zu implementieren)
+- Consent-Dialog verweist auf DSE eines Drittanbieters statt auf eigene DSE
+- Pruefe ob href in Consent-Text auf andere Domain zeigt als die aktuelle Website
+- Finding: "Consent verweist auf Datenschutzerklaerung von {domain} — Verantwortlicher
+  muss eigene DSE bereitstellen (Art. 13 DSGVO)"
+
+### 6. Modal-Dismiss-Check (NEU — zu implementieren)
+- Pruefe ob Consent-Dialog durch Klick auf Hintergrund geschlossen wird
+- Wenn dismiss = accept → Verstoss
+- Playwright: Klick auf Overlay-Backdrop, pruefe ob Consent gesetzt wurde
+- Finding: "Consent-Dialog kann durch Klick neben das Fenster geschlossen werden,
+  was als Einwilligung gewertet wird (Art. 7(1) DSGVO, Planet49)"
+
+### 7. Dark-Pattern-Sprache (NEU — zu implementieren)
+- "muessen heruntergeladen werden" suggeriert technische Notwendigkeit
+- Pruefe auf Formulierungen die Zwang suggerieren: "muessen", "erforderlich",
+  "notwendig" fuer nicht-essentielle Cookies
+- Finding: "Formulierung suggeriert technische Notwendigkeit fuer nicht-essentielle
+  Cookies (Dark Pattern, EDPB Guidelines 05/2020 Rn. 70)"
+
+---
+
+## Korrekturvorschlag
+
+### Korrekte Formulierung
+
+```
+☐ Ich habe die Nutzungsbedingungen gelesen und stimme ihnen zu. (Pflichtfeld)
+
+☐ Ich habe die Datenschutzerklaerung gelesen und erklaere mich mit der
+  Verarbeitung meiner personenbezogenen Daten gemaess Art. 6(1)(a) DSGVO
+  einverstanden. (Freiwillig — Registrierung auch ohne moeglich)
+
+[Registrieren]   [Abbrechen]
+```
+
+### Warum korrekt:
+- Zwei separate Checkboxen (Granularitaet)
+- Aktive Handlung noetig (Checkbox ankreuzen, nicht nur Button klicken)
+- Datenschutz-Consent ist freiwillig (Koppelungsverbot)
+- Klare Sprache, vollstaendige Saetze
+- Abbrechen-Button als Alternativhandlung
+
+---
+
+## Technische Implementierung als Agent-Check
+
+### Neuer Check: `consent_text_quality`
+
+```python
+# In consent_scanner.py oder neuer Check
+CONSENT_TEXT_PATTERNS = [
+    # Zwangs-Consent bei Login/Registrierung
+    r"(?:klicken|anmelden|registrieren).*stimmen\s+(?:Sie|sie|du).*zu",
+    r"(?:login|sign.?up|register).*(?:agree|accept|consent)",
+    # Grammatisch unvollstaendige Saetze
+    r"stimmen\s+(?:Sie|sie|du)\s+unseren?\s+zu",
+    # Fehlende Granularitaet
+    r"(?:nutzungsbedingungen|terms).*(?:und|and).*(?:datenschutz|privacy).*(?:zu|agree|accept)",
+]
+
+MISSING_ELEMENTS = [
+    "checkbox",           # Aktive Zustimmung (nicht nur Button)
+    "button.*ablehnen",   # Ablehn-Option
+    "button.*cancel",     # Abbrechen-Option
+]
+```
+
+### Neuer Check: `coupling_prohibition`
+
+Prueft ob Einwilligung an Registrierung/Login/Kauf gekoppelt ist:
+- Login-Button text enthalt "zustimmen/agree/accept" → Koppelungsverbot
+- Kein separater Consent-Checkbox vor Login-Button → Koppelungsverbot
+- Einwilligung als Pflichtfeld bei Registrierung → Koppelungsverbot (wenn Service auch ohne nutzbar)
+
+---
+
+## Relevanz
+
+Dieser Case ist besonders relevant weil:
+1. **EU-Behoerde** — wenn selbst das EUIPO es falsch macht, wie sollen KMUs es richtig machen?
+2. **OIDC-Registrierung** — sehr haeufiges Pattern bei SaaS-Produkten
+3. **Mehrsprachig** — der deutsche Text ist offensichtlich schlecht uebersetzt
+4. **Systemisch** — WSO2 Identity Server Templates enthalten dieses Pattern standardmaessig