feat(consent+report): P56-P67 Mercedes-Audit-Cycle (Anti-Audit, Phase G Vendors, Cookie-Behavior-Validator + 5 Mail-Polish-Items) [migration-approved]

P56  Anti-Auditing-Detection als constructive Compliance-Finding (Audit-API-
     Empfehlung statt Anklage, weil Mercedes berechtigt Bots blockiert)
P57  Phase G vendor_details Union mit cmp_vendors -> 42 Anbieter sichtbar
P58  Anti-Audit-Detection robuster (Script-Domain-Check + Settings-spezifisch)
P59  Cookie-Behavior-Validator (4 Layer, 3-Tier-Severity: MEDIUM=Kategorie-
     Mismatch / HIGH=Zweck-Mismatch / CRITICAL=beide=Vorsatz-Indiz)
     + Open Cookie Database (CC0) als Library-Seed (2264 Cookies)
P59b Cookie-Behavior in Banner-Check verdrahtet + Mail-Block (BUGFIX:
     SessionLocal selbst oeffnen, db war im Background-Task nicht im Scope)

Mail-Polish nach Mercedes-Review:
P63  Banner-Footer-Links auch im wb7-link/role=link erkennen (Shadow-DOM-
     Walker label-based statt nur <a href>)
P64  Re-Access-Severity: MEDIUM statt HIGH, wenn Footer "Einstellungen" oder
     Mercedes-typisch existiert; OEM-Footer-Detection (wb7-footer)
P65  Text-Truncation: Word-Boundary statt Zeichen-Cut (kein "einfa"-Bruch
     mehr in Sofortmassnahmen)
P66  GF-Aktionen: Service-Zweck vs Cookie-Zweck explizit erklaert
     (haeufige Verwechslung Marketing/GF: "Akamai-Beschreibung" != Cookie-
     Zweck pro DSK-OH 2024)
P67  Stirring-Finding mit "Verlust-Framing"-Erklaerung + Alt-vs-Neutral-
     Beispiel, statt nur EDPB-Fachbegriff

Compliance-Advisor FAQ (admin agent-core/soul):
  + CNIL/EDPB Top-Bussgelder (Google 100M, Meta 60M, Amazon 35M)
  + Deutsche Praezedenz (LG Muenchen Google Fonts, EuGH Planet49, BGH I ZR 7/16)
  + 4 Risiko-Pfade (Bussgeld/Abmahnung/Sammelklage/NOYB) + Berechnungs-Methodik

Document-Generator Templates: AGB-DE (142), Impressum (140), Widerrufs-
formular-Anlage (143), DSR-Process-Dedup (139), Cookie-Library (144).

Architektur: doc_action_mappings.py + banner_dom_walkers.py +
cookie_behavior_validator.py + vendor_detail_extractor.py rausgezogen,
um die 500-LOC-Caps in agent_doc_check_report.py und
banner_text_checker.py einzuhalten.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

backend-compliance/compliance/services/doc_checks/agb_checks.py

@@ -39,6 +39,12 @@ AGB_CHECKLIST = [
         "patterns": [
             r"vertragsschluss", r"zustandekommen",
             r"contract\s+formation", r"angebot\s+und\s+annahme",
+            # P41: English synonyms
+            r"conclusion\s+of\s+(?:the\s+)?contract",
+            r"contract\s+(?:is\s+)?(?:concluded|formed)",
+            r"offer\s+and\s+acceptance",
+            r"how\s+the\s+contract\s+is\s+formed",
+            r"contracts?\s+(?:apply|between\s+the\s+provider)",
         ],
         "severity": "HIGH",
         "hint": "Haeufiger Fehler: Die Bestellung wird als Angebot des Kunden dargestellt, aber die Auftragsbestaetigung als Annahme — das ist nur wirksam, wenn klar zwischen Eingangsbestaetigung (§312i BGB) und Auftragsbestaetigung/Annahme unterschieden wird.",
@@ -140,6 +146,15 @@ AGB_CHECKLIST = [
             r"lieferung", r"leistungserbringung", r"delivery",
             r"lieferfrist", r"bereitstellung",
             r"(?:zugang|zugriff).*(?:dienst|leistung)",
+            # P41: English synonyms (SaaS-style)
+            r"provision\s+of\s+(?:the\s+)?(?:service|services)",
+            r"(?:performance|rendering)\s+of\s+(?:the\s+)?(?:service|services)",
+            r"availability\s+of\s+(?:the\s+)?service",
+            r"service\s+level\s+(?:agreement|description)",
+            r"access\s+to\s+(?:the\s+)?(?:service|platform)",
+            r"description\s+of\s+(?:the\s+)?services?",
+            r"(?:^|\n)\s*#+\s*[§\d\.\s]*availability\b",
+            r"(?:^|\n)\s*#+\s*[§\d\.\s]*description\s+of\s+services?",
         ],
         "severity": "MEDIUM",
         "hint": "Bei Fernabsatzvertraegen muss der Unternehmer spaetestens 30 Tage nach Vertragsschluss liefern (§475 Abs. 1 BGB). Formulierungen wie 'Lieferung in der Regel in...' oder 'voraussichtlich' sind nur als Richtwert zulaessig, nicht als verbindliche Frist.",
@@ -230,6 +245,12 @@ AGB_CHECKLIST = [
             r"(?:agb|bedingung).*datenschutz",
             r"personenbezogen.*daten.*(?:agb|vertrag)",
             r"dsgvo.*(?:agb|vertrag)",
+            # P41: English synonyms
+            r"data\s+protection.*(?:terms|contract)",
+            r"(?:terms|contract).*data\s+protection",
+            r"personal\s+data.*(?:terms|contract|agreement)",
+            r"gdpr.*(?:terms|contract|agreement)",
+            r"privacy\s+(?:policy|notice).*(?:see|refer)",
         ],
         "severity": "LOW",
         "hint": "AGB und Datenschutzerklaerung sind rechtlich getrennte Dokumente. Mischen Sie KEINE Datenschutzhinweise in die AGB ein — stattdessen genuegt ein Verweis: 'Details zur Datenverarbeitung finden Sie in unserer Datenschutzerklaerung [Link].'",
@@ -245,6 +266,11 @@ AGB_CHECKLIST = [
             r"(?:unwirksamkeit|nichtigkeit)\s+(?:einer|einzelner)\s+(?:bestimmung|klausel|regelung)",
             r"(?:sollte|sofern).*(?:bestimmung|klausel).*(?:unwirksam|nichtig)",
             r"(?:uebrigen|übrigen)\s+bestimmungen.*(?:unberuehrt|unberührt|wirksam|bestehen)",
+            # P41: English equivalents
+            r"severability",
+            r"(?:invalid|unenforceable).*(?:provision|clause)",
+            r"remaining\s+provisions\s+(?:shall\s+)?(?:remain|continue)",
+            r"(?:provision|clause)\s+(?:is\s+)?(?:invalid|unenforceable|void)",
         ],
         "severity": "LOW",
         "hint": "Die klassische salvatorische Klausel ('unwirksame Bestimmungen werden durch wirksame ersetzt') ist nach BGH-Rechtsprechung in AGB selbst unwirksam. Besser: Nur die Erhaltungsklausel verwenden ('Die uebrigen Bestimmungen bleiben wirksam').",
@@ -260,6 +286,12 @@ AGB_CHECKLIST = [
             r"(?:agb|bedingung).*(?:ae|ä)nder",
             r"(?:anpassung|aktualisierung).*(?:agb|bedingung|geschaeftsbedingung|geschäftsbedingung)",
             r"(?:neue\s+fassung|neufassung).*(?:agb|bedingung)",
+            # P41: English
+            r"amendments?.*(?:terms|conditions|agreement)",
+            r"(?:terms|conditions|agreement).*(?:may\s+be\s+)?amend",
+            r"changes?\s+to\s+(?:these\s+)?(?:terms|conditions)",
+            r"modification\s+of\s+(?:the\s+)?(?:terms|agreement)",
+            r"(?:revised|updated)\s+(?:terms|conditions|version)",
         ],
         "severity": "LOW",
         "hint": "AGB-Aenderungsklauseln bei B2C sind nur unter engen Voraussetzungen wirksam (BGH Az. XI ZR 388/10): Aenderungsgrund muss konkret benannt sein, Kunde muss angemessene Frist zur Kuendigung erhalten. Pauschale 'Wir koennen jederzeit aendern'-Klauseln sind unwirksam.",
@@ -275,6 +307,12 @@ AGB_CHECKLIST = [
             r"verbraucherrecht",
             r"(?:gesetzlich|zwingende)\w*\s+recht\w*.*(?:unberuehrt|unberührt|bestehen\s+bleiben)",
             r"(?:verbrauch|konsument).*(?:recht|anspruch|schutz)",
+            # P41: English equivalents — UCTA / Consumer Rights Act
+            r"consumer\s+(?:rights?|protection|laws?)",
+            r"statutory\s+rights?\s+(?:are|shall\s+be|remain)\s+unaffected",
+            r"mandatory\s+(?:law|rights?)\s+(?:remain|shall\s+remain)",
+            r"(?:nothing|no\s+provision)\s+(?:in\s+these\s+)?(?:terms|conditions)\s+(?:shall|limits?|excludes?)",
+            r"contracts?\s+with\s+consumers?\s+(?:are\s+not\s+concluded|excluded)",
         ],
         "severity": "LOW",
         "hint": "Haeufigste §309 BGB-Verstoesse: Pauschalierter Schadensersatz ohne Gegenbeweismoeglichkeit (Nr. 5), Haftungsausschluss bei Koerperschaeden (Nr. 7a), Schriftformerfordernis fuer Kuendigung (Nr. 13). Jede dieser Klauseln ist einzeln abmahnfaehig.",

backend-compliance/compliance/services/doc_checks/avv_checks.py

@@ -259,6 +259,8 @@ AVV_CHECKLIST = [
             r"(?:l(?:oe|ö)schung|rueckgabe|r(?:ue|ü)ckgabe)\s+(?:nach|bei|zum)\s+(?:vertragsende|beendigung|ablauf)",
             r"(?:nach|bei)\s+(?:beendigung|ablauf|ende)\s+(?:des\s+)?(?:vertrag|auftrag)[\s\S]{0,100}(?:l(?:oe|ö)sch|rueckgabe|r(?:ue|ü)ckgabe|vernicht)",
             r"(?:alle|saemtliche)\s+(?:personenbezogenen?\s+)?daten\s+(?:l(?:oe|ö)sch|vernicht|zurueckgeb|zur(?:ue|ü)ckgeb)",
+            # P39: reverse order — "loescht/gibt ... nach Beendigung/Ablauf"
+            r"(?:l(?:oe|ö)sch|gibt|gibt\s+zur(?:ue|ü)ck|vernicht)\w*[\s\S]{0,150}(?:nach|bei|zum)\s+(?:beendigung|ablauf|ende|vertragsende)",
         ],
         "severity": "CRITICAL",
         "hint": "Art. 28(3)(g) DSGVO: Nach Ende der Verarbeitung muessen alle personenbezogenen Daten geloescht oder zurueckgegeben werden — nach Wahl des Verantwortlichen. Ausnahme nur bei gesetzlicher Aufbewahrungspflicht.",
@@ -336,6 +338,10 @@ AVV_CHECKLIST = [
             r"data\s+breach",
             r"(?:meld|benachrichtig|informier|unterricht)\w*[\s\S]{0,50}(?:verletzung|vorfall|sicherheit)",
             r"art(?:ikel)?\s*\.?\s*33\s+(?:dsgvo|ds-?gvo)",
+            # P39: "Datenpanne" als gleichwertiges Synonym (sehr verbreitet)
+            r"datenpanne",
+            r"meldung\s+von\s+datenpannen",
+            r"art\.?\s*33\s+abs\.?\s*\d",
         ],
         "severity": "CRITICAL",
         "hint": "Art. 33(2) DSGVO: Der Auftragsverarbeiter muss den Verantwortlichen UNVERZUEGLICH ueber jede Datenschutzverletzung informieren. Die 72-Stunden-Frist des Verantwortlichen gegenueber der Aufsichtsbehoerde laeuft ab Kenntnis — daher sollte die Meldefrist im AVV enger sein (z.B. 24h).",

backend-compliance/compliance/services/doc_checks/cookie_checks.py

@@ -66,6 +66,10 @@ COOKIE_CHECKLIST = [
             r"(?:setzen|verwenden|nutzen)\s+.*cookies?\s+.*(?:um|fuer|für)",
             r"(?:analyse|marketing|tracking|funktional)\w*\s*cookies?\s*\.?\s*(?:um|damit|diese|sie)",
             r"cookies?\s+(?:dienen|helfen|erm(?:oe|ö)glichen)",
+            # P39: cookie purpose table column "| Zweck |" + "Kategorie"
+            r"kategorie\s*\|\s*zweck",
+            r"\|\s*zweck\s*\|",
+            r"welche\s+technologie\s+welchen\s+zweck",
         ],
         "severity": "HIGH",
         "hint": "Art. 13 Abs. 1 lit. c DSGVO verlangt die Zweckangabe je Verarbeitung. Jede Cookie-Kategorie braucht einen konkreten Zweck (z.B. 'Reichweitenmessung', 'Conversion-Tracking'), nicht nur 'zur Verbesserung unserer Website'.",
@@ -207,6 +211,10 @@ COOKIE_CHECKLIST = [
             r"(?:datenschutz[\-]?rechtlich(?:er)?\s+)?verantwortlich\w*\s*[:\|]",
             r"daten(?:schutz)?[\-]?(?:rechtlich(?:er)?\s+)?(?:verantwortl|controller)",
             r"\bcontroller\b.*\b(?:art\.?\s*13|art\.?\s*14|gdpr|dsgvo)",
+            # P39: heading variant — common in cookie policies
+            r"(?:^|\n)\s*#+\s*\d*\.?\s*verantwortlich\w*",
+            r"(?:^|\n)\s*\d+\.\s+verantwortlich\w*",
+            r"verantwortlich\w*\s+(?:fuer|für|ist|im\s+sinne)",
         ],
         "severity": "MEDIUM",
         "hint": "Art. 13(1)(a) DSGVO verlangt die Nennung des Verantwortlichen in der Cookie-Richtlinie. Pflicht: Firmenname + Anschrift + Kontaktdaten (E-Mail/Telefon). Akzeptabel: knapper Verweis 'Details zum Verantwortlichen siehe Datenschutzerklaerung [Link]' wenn die DSI verlinkt ist.",

backend-compliance/compliance/services/doc_checks/dse_checks.py

@@ -17,6 +17,11 @@ ART13_CHECKLIST = [
             r"name\s+(?:und|&)\s+kontaktdaten\s+des",
             r"controller", r"verantwortliche\s+stelle",
             r"responsible\s+(?:party|for)",
+            # P39: Heading-style "## 1. Verantwortlicher", "## Verantwortlicher",
+            # "1. Verantwortlicher" — common template structure that wasn't matched.
+            r"(?:^|\n)\s*#+\s*\d*\.?\s*verantwortlich\w*",
+            r"(?:^|\n)\s*\d+\.\s+verantwortlich\w*",
+            r"\bverantwortlich\w*\s*[:\n]",
         ],
         "severity": "HIGH",
         "hint": "Art. 13(1)(a) DSGVO verlangt vollstaendige Identifizierung: Firmenname mit Rechtsform (z.B. 'Muster GmbH'), ladungsfaehige Anschrift, E-Mail und Telefon. Haeufiger Fehler: Nur Markenname ohne Rechtsform — das genuegt nicht zur Zustellung.",
@@ -93,6 +98,11 @@ ART13_CHECKLIST = [
             r"zu\s+welch\w+\s+zweck",
             r"welche\s+daten\s+werden.*verarbeitet",
             r"daten\s+werden\s+(?:zu|fuer|für)\s+(?:folgende|diese)",
+            # P39: heading variants
+            r"(?:^|\n)\s*#+\s*\d*\.?\s*zwecke?\b",
+            r"\*\*zwecke?:?\*\*",
+            r"purposes?\s+and\s+(?:legal|legal\s+bases?)",
+            r"purposes?\s*[:\n]",
         ],
         "severity": "HIGH",
         "hint": "Art. 13(1)(c) verlangt konkrete Zweckangaben — nicht nur 'Wir verarbeiten Ihre Daten'. Jeder Dienst braucht einen eigenen Zweck: z.B. 'Webanalyse via Matomo', 'Newsletter-Versand', 'Kontaktanfragen'. Pauschalformulierungen verstiessen laut DSK gegen den Transparenzgrundsatz (Art. 5(1)(a)).",
@@ -223,6 +233,13 @@ ART13_CHECKLIST = [
             r"(?:ueber|über)mittlung.*(?:ausserhalb|außerhalb)",
             r"(?:europ(?:ae|ä)ischen\s+wirtschaftsraum|ewr|eea)",
             r"privacy\s+shield", r"data\s+privacy\s+framework",
+            # P39: Art. 13(1)(f) verlangt nur Erwaehnung — "keine
+            # Uebermittlung in Drittlaender" / "kein Drittlandtransfer"
+            # / "alle Verarbeitung innerhalb der EU" sind explizite,
+            # konforme Negations-Aussagen.
+            r"(?:kein|keine)\s+(?:uebermittlung|übermittlung|transfer|drittland)",
+            r"verarbeitung\s+(?:erfolgt\s+)?(?:ausschliesslich|ausschließlich|nur)\s+(?:in|innerhalb)\s+(?:der\s+)?(?:eu|europ(?:ae|ä)ischen\s+union|ewr)",
+            r"alle\s+daten\s+(?:bleiben|verbleiben)\s+(?:in|innerhalb)\s+(?:der\s+)?(?:eu|deutschland)",
         ],
         "severity": "MEDIUM",
         "hint": "Art. 13(1)(f) DSGVO: Bei jedem Drittlandtransfer muessen Empfaengerland und Schutzgarantien genannt werden. Pruefen Sie: Google Fonts, reCAPTCHA, YouTube-Embeds, CDNs — all das sind USA-Transfers. Fehlende Angabe war Grundlage zahlreicher DSGVO-Bussgelder.",

backend-compliance/compliance/services/doc_checks/dsfa_checks.py

@@ -192,6 +192,11 @@ DSFA_CHECKLIST = [
             r"landes.?datenschutz",
             r"richtlinie.*(?:land|lfdi|landes)",
             r"(?:aufsichtsbeh(?:oe|ö)rde|beh(?:oe|ö)rde).*(?:richtlinie|empfehlung|vorgabe)",
+            # P39: DSK Liste/Blacklist + spezifische Landesbehoerden
+            r"(?:dsk|datenschutzkonferenz)\s+(?:positiv|black)?liste",
+            r"art\.?\s*35\s*\(?\s*4\s*\)?\s*dsgvo",
+            r"(?:berliner|hamburgische|saechsisch|bayerisch|nordrhein|baden)\w*\s+beauftragt",
+            r"(?:bfdi|bvfd|ldsbw|ldsh)",
         ],
         "severity": "MEDIUM",
         "hint": "Die DSK hat eine Positivliste (Blacklist) nach Art. 35(4) DSGVO veroeffentlicht, die DSFA-pflichtige Verarbeitungen auflistet. Zusaetzlich hat jedes Bundesland eigene LfDI-Empfehlungen — z.B. der LfDI BaWue zu Social-Media-Fanpages. Pruefen und zitieren Sie die fuer Sie zustaendige Behoerde.",

backend-compliance/compliance/services/doc_checks/loeschkonzept_checks.py

@@ -16,6 +16,11 @@ LOESCHKONZEPT_CHECKLIST = [
             r"(?:geltungsbereich|anwendungsbereich)",
             r"verantwortlich\w*\s+(?:fuer|für)\s+(?:das\s+)?l(?:oe|ö)schkonzept",
             r"(?:datenschutzbeauftragt\w*|dpo|dsb)\s+(?:verantwort|zustaendig|zuständig)",
+            # P39: heading variants + Verantwortlichkeiten table
+            r"(?:^|\n)\s*#+\s*\d*\.?\s*verantwortlichkeit",
+            r"(?:^|\n)\s*#+\s*\d*\.?\s*geltungsbereich",
+            r"verantwortlichkeiten\s*\|",
+            r"\|\s*verantwortlich\s*\|",
         ],
         "severity": "HIGH",
         "hint": "DIN 66398 verlangt einen klaren Geltungsbereich (welche Systeme, Datenarten, Standorte) und die Benennung des Verantwortlichen fuer Erstellung + Wartung des Loeschkonzepts.",
@@ -98,6 +103,10 @@ LOESCHKONZEPT_CHECKLIST = [
             r"l(?:oe|ö)sch(?:prozess|vorgang|verfahren|workflow|routine)",
             r"(?:wie|wann)\s+(?:wird|werden)\s+(?:die\s+daten\s+)?gel(?:oe|ö)scht",
             r"automatisierte?\s+l(?:oe|ö)schung",
+            # P39: more generic — "Verfahren fuer die Loeschung", "Loeschmethode"
+            r"verfahren\s+(?:fuer|für|zur?)\s+(?:die\s+)?l(?:oe|ö)sch",
+            r"l(?:oe|ö)sch(?:methode|frist|regel)",
+            r"systematische?\s+(?:regeln?|verfahren)[\s\S]{0,80}l(?:oe|ö)sch",
         ],
         "severity": "HIGH",
         "hint": "Beschreiben wie Loeschung erfolgt: automatisch per Cron-Job, manuell durch Admin, Loeschungs-Workflow im CRM, Backup-Loeschung etc.",
@@ -154,6 +163,10 @@ LOESCHKONZEPT_CHECKLIST = [
             r"sperr\w+\s+(?:statt|anstelle)\s+l(?:oe|ö)sch",
             r"l(?:oe|ö)sch(?:beschr|sperr|ausnahme|hindernis)",
             r"(?:rechtsstreit|gerichtsverfahren|prozessrelevant)",
+            # P39: gesetzliche Aufbewahrungspflichten als legitime Loeschausnahme
+            r"(?:gesetzliche|handelsrechtlich|steuerrechtlich)\w*\s+aufbewahrungs?(?:pflicht|frist)",
+            r"aufbewahrungspflicht[\s\S]{0,80}(?:setzt|bleib|gilt)",
+            r"(?:hgb|ao|abgabenordnung)\s*§?\s*\d",
         ],
         "severity": "MEDIUM",
         "hint": "Wenn Loeschung nicht moeglich ist (laufender Prozess, gesetzliche Aufbewahrung, Streitfall) muss stattdessen Sperrung/Einschraenkung (Art. 18 DSGVO) erfolgen. Sperrkonzept dokumentieren.",