breakpilot-compliance/backend-compliance/compliance/services/doc_checks/cookie_checks.py

"""
Cookie-Richtlinie checks — §25 TDDDG / ePrivacy.

Level 1: Pflichtangabe erwaehnt?
Level 2: Pflichtangabe korrekt/vollstaendig?
"""

COOKIE_CHECKLIST = [
    # ── L1: Arten der Cookies ─────────────────────────────────────────
    {
        "id": "cookie_types",
        "label": "Arten der Cookies",
        "level": 1, "parent": None,
        "patterns": [
            r"(?:notwendig|essentiell|funktional|statistik|marketing|tracking)",
            r"cookie.*(?:art|typ|kategori)",
        ],
        "severity": "HIGH",
        "hint": "Ihre Cookie-Richtlinie muss die verschiedenen Arten von Cookies auflisten (z.B. notwendige, funktionale, Statistik-, Marketing-Cookies). Ergaenzen Sie eine Kategorisierung aller eingesetzten Cookie-Typen.",
    },
    {
        "id": "cookie_names_listed",
        "label": "Konkrete Cookie-Namen aufgelistet",
        "level": 2, "parent": "cookie_types",
        "patterns": [
            r"(?:_ga|_gid|_gat|_fbp|_gcl|phpsessid|jsessionid|csrf|xsrf)",
            r"cookie[\-_]?name\s*[:\|]",
            r"name\s+des\s+cookie",
        ],
        "severity": "MEDIUM",
        "hint": "Neben den Kategorien sollten auch die konkreten Cookie-Namen aufgefuehrt werden (z.B. _ga, _gid, PHPSESSID). Listen Sie jeden einzelnen Cookie mit seinem technischen Namen auf.",
    },
    {
        "id": "cookie_essential_justified",
        "label": "Essentiell/Notwendig-Cookies begruendet",
        "level": 2, "parent": "cookie_types",
        "patterns": [
            r"(?:essentiell|notwendig|technisch\s+(?:erforderlich|notwendig)).*(?:funktion|betrieb|sicherheit|warenkorb|session|anmeldung)",
            r"(?:unbedingt|zwingend)\s+erforderlich",
        ],
        "severity": "LOW",
        "hint": "Fuer essenzielle/notwendige Cookies muss begruendet werden, warum sie technisch erforderlich sind (z.B. Warenkorb, Session, Sicherheit). Ergaenzen Sie eine kurze Begruendung je Cookie.",
    },

    # ── L1: Zwecke der Cookies ────────────────────────────────────────
    {
        "id": "purposes",
        "label": "Zwecke der Cookies",
        "level": 1, "parent": None,
        "patterns": [
            r"zweck.*cookie", r"cookie.*zweck",
            r"(?:wofuer|wozu|warum).*cookie",
            r"cookies?\s+(?:ein|ver)?\s*,?\s*um\s+",
            r"(?:setzen|verwenden|nutzen)\s+.*cookies?\s+.*(?:um|fuer|für)",
            r"(?:analyse|marketing|tracking|funktional)\w*\s*cookies?\s*\.?\s*(?:um|damit|diese|sie)",
            r"cookies?\s+(?:dienen|helfen|erm(?:oe|ö)glichen)",
        ],
        "severity": "HIGH",
        "hint": "Die Cookie-Richtlinie muss erklaeren, zu welchem Zweck Cookies eingesetzt werden (z.B. Analyse, Marketing, Funktionalitaet). Beschreiben Sie den Zweck fuer jede Cookie-Kategorie.",
    },
    {
        "id": "cookie_providers_named",
        "label": "Konkrete Anbieter/Dienste benannt",
        "level": 2, "parent": "purposes",
        "patterns": [
            r"(?:google\s+(?:analytics|tag\s+manager|ads)|matomo|piwik|hotjar|hubspot|facebook\s+pixel|meta\s+pixel|linkedin\s+insight|microsoft\s+clarity)",
            r"(?:anbieter|provider|dienst)\s*[:\|]\s*[A-Z]",
        ],
        "severity": "MEDIUM",
        "hint": "Die konkreten Anbieter und Dienste, die Cookies setzen, muessen namentlich genannt werden (z.B. Google Analytics, Meta Pixel, Hotjar). Ergaenzen Sie alle Drittanbieter-Dienste mit Namen.",
    },
    {
        "id": "cookie_analytics_named",
        "label": "Analytics-/Statistik-Tools konkret benannt",
        "level": 2, "parent": "purposes",
        "patterns": [
            r"google\s+analytics|matomo|piwik|plausible|fathom|adobe\s+analytics|microsoft\s+clarity|hotjar|etracker",
        ],
        "severity": "LOW",
        "hint": "Falls Sie Analyse-/Statistik-Tools einsetzen, muessen diese konkret benannt werden (z.B. Google Analytics, Matomo, Hotjar). Fuehren Sie jedes eingesetzte Analysetool namentlich auf.",
    },
    {
        "id": "cookie_marketing_named",
        "label": "Marketing-/Tracking-Tools konkret benannt",
        "level": 2, "parent": "purposes",
        "patterns": [
            r"(?:facebook|meta)\s+pixel|google\s+ads|linkedin\s+insight|tiktok\s+pixel|pinterest\s+tag|criteo|adroll|taboola",
        ],
        "severity": "LOW",
        "hint": "Falls Sie Marketing- oder Tracking-Tools einsetzen, muessen diese konkret benannt werden (z.B. Meta Pixel, Google Ads, LinkedIn Insight Tag). Listen Sie alle Marketing-Dienste namentlich auf.",
    },

    # ── L1: Speicherdauer ─────────────────────────────────────────────
    {
        "id": "retention",
        "label": "Speicherdauer der Cookies",
        "level": 1, "parent": None,
        "patterns": [
            r"(?:speicherdauer|laufzeit|g(?:ue|ü)ltigk|ablauf).*cookie",
            r"cookie.*(?:\d+\s+(?:tag|monat|jahr)|session)",
        ],
        "severity": "MEDIUM",
        "hint": "Die Cookie-Richtlinie muss Angaben zur Speicherdauer der Cookies enthalten. Ergaenzen Sie fuer jede Cookie-Kategorie oder jeden Cookie, wie lange er gespeichert wird (z.B. Session, 30 Tage, 1 Jahr).",
    },
    {
        "id": "cookie_duration_values",
        "label": "Konkrete Speicherdauern pro Cookie",
        "level": 2, "parent": "retention",
        "patterns": [
            r"\d+\s+(?:tag|monat|jahr|minute|stunde|day|month|year)",
            r"session[\-\s]?cookie",
            r"(?:ablauf|expiry|laufzeit)\s*[:\|]\s*\d+",
        ],
        "severity": "LOW",
        "hint": "Neben einer allgemeinen Angabe sollten konkrete Speicherdauern pro Cookie angegeben werden (z.B. _ga: 2 Jahre, Session-Cookie: bis Browser geschlossen). Ergaenzen Sie die exakte Laufzeit fuer jeden Cookie.",
    },

    # ── L1: Drittanbieter ─────────────────────────────────────────────
    {
        "id": "third_party",
        "label": "Drittanbieter-Cookies",
        "level": 1, "parent": None,
        "patterns": [
            r"drittanbieter", r"third.?party",
            r"(?:google|facebook|meta|microsoft).*cookie",
        ],
        "severity": "MEDIUM",
        "hint": "Falls Drittanbieter-Cookies eingesetzt werden, muss dies in der Cookie-Richtlinie erwaehnt werden. Geben Sie an, welche Drittanbieter Cookies auf Ihrer Website setzen.",
    },
    {
        "id": "cookie_legal_basis",
        "label": "Rechtsgrundlage fuer Cookies (§25 TDDDG / Art. 6(1)(a))",
        "level": 2, "parent": "third_party",
        "patterns": [
            r"§\s*25\s*(?:abs\.)?\s*(?:1|2)?\s*tdddg",
            r"art\.\s*6\s*(?:abs\.\s*)?1\s*(?:lit\.\s*)?a.*(?:cookie|einwilligung)",
            r"einwilligung.*(?:cookie|tracking|marketing)",
            r"ttdsg|tdddg|§\s*25",
        ],
        "severity": "MEDIUM",
        "hint": "Fuer nicht-essentielle Cookies muss die Rechtsgrundlage genannt werden (§25 TDDDG bzw. Art. 6 Abs. 1 lit. a DSGVO — Einwilligung). Ergaenzen Sie die Rechtsgrundlage, insbesondere den Verweis auf die Einwilligung.",
    },

    # ── L1: Widerspruch ───────────────────────────────────────────────
    {
        "id": "opt_out",
        "label": "Widerspruchsmoeglichkeit",
        "level": 1, "parent": None,
        "patterns": [
            r"(?:widerspruch|opt.?out|ablehnen|deaktivieren).*cookie",
            r"cookie.*(?:ablehnen|deaktivieren|l(?:oe|ö)schen)",
        ],
        "severity": "MEDIUM",
        "hint": "Die Cookie-Richtlinie muss eine Widerspruchsmoeglichkeit beschreiben — also wie Nutzer Cookies ablehnen, deaktivieren oder loeschen koennen. Ergaenzen Sie einen Abschnitt zum Opt-out.",
    },
    {
        "id": "cookie_consent_mechanism",
        "label": "Consent-Tool/Banner beschrieben",
        "level": 2, "parent": "opt_out",
        "patterns": [
            r"(?:cookie|consent)\s*[\-\s]?(?:banner|hinweis|tool|management|einstellung)",
            r"(?:cookiebot|usercentrics|onetrust|borlabs|complianz|klaro|tarteaucitron)",
            r"einwilligung\s+(?:jederzeit|widerrufen|zurueckziehen|zur(?:ue|ü)ckziehen)",
        ],
        "severity": "LOW",
        "hint": "Beschreiben Sie das eingesetzte Consent-Tool oder Cookie-Banner und erklaeren Sie, wie Nutzer ihre Einwilligung jederzeit widerrufen koennen (z.B. ueber das Cookie-Banner oder eine Einstellungsseite).",
    },
    {
        "id": "cookie_browser_settings",
        "label": "Browser-Einstellungen zum Cookie-Management",
        "level": 2, "parent": "opt_out",
        "patterns": [
            r"browser[\-\s]?einstellung",
            r"(?:in\s+ihrem|im)\s+browser.*(?:cookie|deaktivieren|l(?:oe|ö)schen|blockieren)",
            r"(?:chrome|firefox|safari|edge).*(?:cookie|einstellung)",
        ],
        "severity": "LOW",
        "hint": "Weisen Sie Nutzer darauf hin, dass sie Cookies auch ueber die Browser-Einstellungen verwalten, blockieren oder loeschen koennen. Nennen Sie idealerweise die gaengigen Browser (Chrome, Firefox, Safari, Edge).",
    },

    # ── Neue L1: Cookie-Tabelle ───────────────────────────────────────
    {
        "id": "cookie_table",
        "label": "Strukturierte Cookie-Tabelle/Liste",
        "level": 1, "parent": None,
        "patterns": [
            r"(?:cookie[\-\s])?(?:tabelle|uebersicht|übersicht|liste|aufstellung)",
            r"(?:name|bezeichnung)\s*[\|\t]\s*(?:anbieter|zweck|dauer|laufzeit)",
            r"(?:first[\-\s]?party|third[\-\s]?party)\s*[\|\t]",
        ],
        "severity": "LOW",
        "hint": "Eine strukturierte Cookie-Tabelle oder -Liste mit Spalten wie Name, Anbieter, Zweck und Speicherdauer erleichtert die Uebersichtlichkeit und wird von Aufsichtsbehoerden empfohlen. Ergaenzen Sie eine tabellarische Uebersicht aller Cookies.",
    },
]