Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity

feat: All 138 hints rewritten as expert-level legal guidance
CI / loc-budget (push) Failing after 18s
Details
CI / secret-scan (push) Has been skipped
Details
CI / go-lint (push) Has been skipped
Details
Build + Deploy / build-admin-compliance (push) Successful in 9s
Details
Build + Deploy / build-backend-compliance (push) Successful in 10s
Details
Build + Deploy / build-ai-sdk (push) Successful in 9s
Details
Build + Deploy / build-developer-portal (push) Successful in 8s
Details
Build + Deploy / build-tts (push) Successful in 8s
Details
Build + Deploy / build-document-crawler (push) Successful in 8s
Details
Build + Deploy / build-dsms-gateway (push) Successful in 8s
Details
Build + Deploy / build-dsms-node (push) Successful in 8s
Details
CI / branch-name (push) Has been skipped
Details
CI / guardrail-integrity (push) Has been skipped
Details
CI / nodejs-build (push) Successful in 3m22s
Details
CI / dep-audit (push) Has been skipped
Details
CI / python-lint (push) Has been skipped
Details
CI / nodejs-lint (push) Has been skipped
Details
CI / sbom-scan (push) Has been skipped
Details
CI / test-go (push) Failing after 49s
Details
CI / test-python-backend (push) Successful in 43s
Details
CI / test-python-document-crawler (push) Successful in 32s
Details
CI / test-python-dsms-gateway (push) Successful in 26s
Details
CI / validate-canonical-controls (push) Successful in 18s
Details
Build + Deploy / trigger-orca (push) Successful in 2m10s
Details

Browse Source 
Every hint now reads like a mini-consultation from a data protection
lawyer — with specific legal references, court rulings, and common
mistakes. Examples:

- EuGH C-210/16 (Fanpage), C-298/17 (Kontaktpflicht), C-311/18 (Schrems II)
- BGH I ZR 228/03 (ladungsfaehige Anschrift), XI ZR 388/10 (AGB)
- EDSA Guidelines 2/2019 (lit. b misuse), WP 248 Rev.01 (DSFA)
- DSK-Orientierungshilfe, CNIL-Leitlinien, SDM, BSI-IT-Grundschutz
- §25 TDDDG, §38 BDSG, §309 BGB, §312k BGB, Art. 246a EGBGB

This is the core value proposition: no lawyer can deliver this level
of specific, actionable compliance feedback in 60 seconds.

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
This commit is contained in:
Benjamin Admin
2026-05-07 17:13:37 +02:00
parent a2f8366171
commit e50f3dfbee
7 changed files with 135 additions and 135 deletions
Download Patch File Download Diff File Expand all files Collapse all files
backend-compliance/compliance/services/doc_checks/cookie_checks.py
+15 -15
View File
@@ -16,7 +16,7 @@ COOKIE_CHECKLIST = [
r"cookie.*(?:art|typ|kategori)",
],
"severity": "HIGH",
"hint": "Ihre Cookie-Richtlinie muss die verschiedenen Arten von Cookies auflisten (z.B. notwendige, funktionale, Statistik-, Marketing-Cookies). Ergaenzen Sie eine Kategorisierung aller eingesetzten Cookie-Typen.",
"hint": "Gemaess §25 TDDDG und DSK-Orientierungshilfe muessen Cookie-Kategorien einzeln aufgeschluesselt werden (essentiell, funktional, Statistik, Marketing). Haeufiger Fehler: 'Wir verwenden Cookies' ohne Differenzierung genuegt nicht.",
},
{
"id": "cookie_names_listed",
@@ -29,7 +29,7 @@ COOKIE_CHECKLIST = [
r"(?:name|bezeichnung)\s+.*(?:funktion|zweck|speicherdauer|laufzeit)",
],
"severity": "MEDIUM",
"hint": "Neben den Kategorien sollten auch die konkreten Cookie-Namen aufgefuehrt werden (z.B. _ga, _gid, PHPSESSID). Listen Sie jeden einzelnen Cookie mit seinem technischen Namen auf.",
"hint": "Die DSK fordert eine Auflistung jedes einzelnen Cookies mit technischem Namen (z.B. _ga, _gid, PHPSESSID). Tipp: Browser-DevTools > Application > Cookies zeigt alle aktiven Cookies — gleichen Sie diese mit Ihrer Liste ab.",
},
{
"id": "cookie_essential_justified",
@@ -43,7 +43,7 @@ COOKIE_CHECKLIST = [
r"(?:betrieb|funktion)\w*\s+(?:der|unserer)\s+(?:internetseite|website|webseite)",
],
"severity": "LOW",
"hint": "Fuer essenzielle/notwendige Cookies muss begruendet werden, warum sie technisch erforderlich sind (z.B. Warenkorb, Session, Sicherheit). Ergaenzen Sie eine kurze Begruendung je Cookie.",
"hint": "§25 Abs. 2 TDDDG erlaubt einwilligungsfreie Cookies nur wenn 'unbedingt erforderlich'. Jedes essentielle Cookie braucht eine konkrete Begruendung (z.B. 'Session-ID fuer Warenkorb-Zuordnung'). Pauschale Behauptungen ('fuer den Betrieb noetig') reichen nicht.",
},
# ── L1: Zwecke der Cookies ────────────────────────────────────────
@@ -60,7 +60,7 @@ COOKIE_CHECKLIST = [
r"cookies?\s+(?:dienen|helfen|erm(?:oe|ö)glichen)",
],
"severity": "HIGH",
"hint": "Die Cookie-Richtlinie muss erklaeren, zu welchem Zweck Cookies eingesetzt werden (z.B. Analyse, Marketing, Funktionalitaet). Beschreiben Sie den Zweck fuer jede Cookie-Kategorie.",
"hint": "Art. 13 Abs. 1 lit. c DSGVO verlangt die Zweckangabe je Verarbeitung. Jede Cookie-Kategorie braucht einen konkreten Zweck (z.B. 'Reichweitenmessung', 'Conversion-Tracking'), nicht nur 'zur Verbesserung unserer Website'.",
},
{
"id": "cookie_providers_named",
@@ -71,7 +71,7 @@ COOKIE_CHECKLIST = [
r"(?:anbieter|provider|dienst)\s*[:\|]\s*[A-Z]",
],
"severity": "MEDIUM",
"hint": "Die konkreten Anbieter und Dienste, die Cookies setzen, muessen namentlich genannt werden (z.B. Google Analytics, Meta Pixel, Hotjar). Ergaenzen Sie alle Drittanbieter-Dienste mit Namen.",
"hint": "Art. 13 Abs. 1 lit. e DSGVO verlangt die Nennung der Empfaenger. Jeder Dienst, der Cookies setzt, muss mit Firmenname und Sitz benannt werden (z.B. 'Google Ireland Limited, Dublin'). Anonyme Angaben wie 'Drittanbieter' genuegen nicht.",
},
{
"id": "cookie_analytics_named",
@@ -81,7 +81,7 @@ COOKIE_CHECKLIST = [
r"google\s+analytics|matomo|piwik|plausible|fathom|adobe\s+analytics|microsoft\s+clarity|hotjar|etracker",
],
"severity": "LOW",
"hint": "Falls Sie Analyse-/Statistik-Tools einsetzen, muessen diese konkret benannt werden (z.B. Google Analytics, Matomo, Hotjar). Fuehren Sie jedes eingesetzte Analysetool namentlich auf.",
"hint": "Statistik-Cookies erfordern gemaess §25 Abs. 1 TDDDG eine Einwilligung — auch bei 'anonymisierter' Nutzung (vgl. CNIL-Leitlinie zu Google Analytics, 2022). Ausnahme: Serverseitige Tools ohne Endgeraetezugriff (z.B. Matomo ohne Cookies).",
},
{
"id": "cookie_marketing_named",
@@ -91,7 +91,7 @@ COOKIE_CHECKLIST = [
r"(?:facebook|meta)\s+pixel|google\s+ads|linkedin\s+insight|tiktok\s+pixel|pinterest\s+tag|criteo|adroll|taboola",
],
"severity": "LOW",
"hint": "Falls Sie Marketing- oder Tracking-Tools einsetzen, muessen diese konkret benannt werden (z.B. Meta Pixel, Google Ads, LinkedIn Insight Tag). Listen Sie alle Marketing-Dienste namentlich auf.",
"hint": "Marketing-Cookies (Meta Pixel, Google Ads etc.) erfordern immer eine Einwilligung vor dem Setzen (§25 Abs. 1 TDDDG). Haeufiger Fehler: Pixel wird beim Seitenaufruf geladen bevor der Nutzer im Banner zustimmt — das ist ein Verstoss.",
},
# ── L1: Speicherdauer ─────────────────────────────────────────────
@@ -104,7 +104,7 @@ COOKIE_CHECKLIST = [
r"cookie.*(?:\d+\s+(?:tag|monat|jahr)|session)",
],
"severity": "MEDIUM",
"hint": "Die Cookie-Richtlinie muss Angaben zur Speicherdauer der Cookies enthalten. Ergaenzen Sie fuer jede Cookie-Kategorie oder jeden Cookie, wie lange er gespeichert wird (z.B. Session, 30 Tage, 1 Jahr).",
"hint": "Art. 13 Abs. 2 lit. a DSGVO verlangt die Speicherdauer oder Kriterien fuer deren Festlegung. Hinweis: Auch Session-Cookies muessen als solche gekennzeichnet werden ('wird beim Schliessen des Browsers geloescht').",
},
{
"id": "cookie_duration_values",
@@ -116,7 +116,7 @@ COOKIE_CHECKLIST = [
r"(?:ablauf|expiry|laufzeit)\s*[:\|]\s*\d+",
],
"severity": "LOW",
"hint": "Neben einer allgemeinen Angabe sollten konkrete Speicherdauern pro Cookie angegeben werden (z.B. _ga: 2 Jahre, Session-Cookie: bis Browser geschlossen). Ergaenzen Sie die exakte Laufzeit fuer jeden Cookie.",
"hint": "Die DSK-Orientierungshilfe verlangt die Speicherdauer pro Cookie (z.B. '_ga: 2 Jahre', '_gid: 24 Stunden'). Pruefen Sie die tatsaechlichen Werte in den Browser-DevTools — Anbieter-Dokumentation ist oft veraltet.",
},
# ── L1: Drittanbieter ─────────────────────────────────────────────
@@ -129,7 +129,7 @@ COOKIE_CHECKLIST = [
r"(?:google|facebook|meta|microsoft).*cookie",
],
"severity": "MEDIUM",
"hint": "Falls Drittanbieter-Cookies eingesetzt werden, muss dies in der Cookie-Richtlinie erwaehnt werden. Geben Sie an, welche Drittanbieter Cookies auf Ihrer Website setzen.",
"hint": "Bei Drittanbieter-Cookies liegt eine Datenuebermittlung an Dritte vor (Art. 13 Abs. 1 lit. e DSGVO). Bei US-Anbietern pruefen Sie zusaetzlich den Drittlandtransfer: EU-US Data Privacy Framework (DPF) oder Standardvertragsklauseln (Art. 46(2)(c) DSGVO) noetig.",
},
{
"id": "cookie_legal_basis",
@@ -144,7 +144,7 @@ COOKIE_CHECKLIST = [
r"(?:cookie|nutzung\s+von\s+cookie).*rechtsgrundlage",
],
"severity": "MEDIUM",
"hint": "Die Rechtsgrundlage fuer Cookies muss genannt werden: §25 TDDDG fuer nicht-essentielle Cookies (Einwilligung), oder Art. 6(1)(f) DSGVO fuer technisch notwendige Cookies (berechtigtes Interesse).",
"hint": "Zweistufige Rechtsgrundlage beachten: §25 Abs. 1 TDDDG (Einwilligung fuer Endgeraetezugriff) + Art. 6(1)(a) DSGVO (Datenverarbeitung). Fuer technisch notwendige Cookies: §25 Abs. 2 TDDDG + Art. 6(1)(f) DSGVO. Haeufiger Fehler: Nur DSGVO ohne TDDDG angeben.",
},
# ── L1: Widerspruch ───────────────────────────────────────────────
@@ -157,7 +157,7 @@ COOKIE_CHECKLIST = [
r"cookie.*(?:ablehnen|deaktivieren|l(?:oe|ö)schen)",
],
"severity": "MEDIUM",
"hint": "Die Cookie-Richtlinie muss eine Widerspruchsmoeglichkeit beschreiben — also wie Nutzer Cookies ablehnen, deaktivieren oder loeschen koennen. Ergaenzen Sie einen Abschnitt zum Opt-out.",
"hint": "Art. 7 Abs. 3 DSGVO: Die Einwilligung muss jederzeit widerrufbar sein, und der Widerruf muss so einfach sein wie die Erteilung. Konkret: Ein 'Cookies verwalten'-Link im Footer genuegt; ein versteckter Link in der Datenschutzerklaerung reicht nicht.",
},
{
"id": "cookie_consent_mechanism",
@@ -169,7 +169,7 @@ COOKIE_CHECKLIST = [
r"einwilligung\s+(?:jederzeit|widerrufen|zurueckziehen|zur(?:ue|ü)ckziehen)",
],
"severity": "LOW",
"hint": "Beschreiben Sie das eingesetzte Consent-Tool oder Cookie-Banner und erklaeren Sie, wie Nutzer ihre Einwilligung jederzeit widerrufen koennen (z.B. ueber das Cookie-Banner oder eine Einstellungsseite).",
"hint": "Das Consent-Tool muss namentlich erwaehnt werden (z.B. Cookiebot, Usercentrics, Borlabs). Die DSK verlangt: Ablehnen muss auf derselben Ebene wie Akzeptieren moeglich sein — kein 'Ablehnen' erst auf Unterseite (sog. Dark Patterns).",
},
{
"id": "cookie_browser_settings",
@@ -181,7 +181,7 @@ COOKIE_CHECKLIST = [
r"(?:chrome|firefox|safari|edge).*(?:cookie|einstellung)",
],
"severity": "LOW",
"hint": "Weisen Sie Nutzer darauf hin, dass sie Cookies auch ueber die Browser-Einstellungen verwalten, blockieren oder loeschen koennen. Nennen Sie idealerweise die gaengigen Browser (Chrome, Firefox, Safari, Edge).",
"hint": "Ergaenzen Sie einen Hinweis auf Browser-Einstellungen mit konkreten Links zu den Hilfeseiten (Chrome, Firefox, Safari, Edge). Achtung: Browser-Einstellungen allein ersetzen nicht das Consent-Banner — §25 TDDDG verlangt aktive Einwilligung.",
},
# ── Neue L1: Cookie-Tabelle ───────────────────────────────────────
@@ -198,6 +198,6 @@ COOKIE_CHECKLIST = [
r"(?:funktionale|session|analyse|tracking)\s+cookies?\s+\w+",
],
"severity": "LOW",
"hint": "Eine strukturierte Cookie-Tabelle oder -Liste mit Spalten wie Name, Anbieter, Zweck und Speicherdauer erleichtert die Uebersichtlichkeit und wird von Aufsichtsbehoerden empfohlen. Ergaenzen Sie eine tabellarische Uebersicht aller Cookies.",
"hint": "Die DSK-Orientierungshilfe empfiehlt eine Tabelle mit 5 Spalten: Name, Anbieter, Zweck, Speicherdauer, Typ (First-/Third-Party). Viele Consent-Tools (Cookiebot, Usercentrics) generieren diese Tabelle automatisch — binden Sie sie ein.",
},
]