Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity
Files
57c0f940a27d32fd2a433b7da39a8e859b5f28a7
breakpilot-compliance/backend-compliance/compliance/services/doc_checks/cookie_checks.py
T
Benjamin Admin 57c0f940a2
CI / detect-changes (push) Successful in 11s
Details
CI / branch-name (push) Has been skipped
Details
CI / nodejs-build (push) Successful in 2m19s
Details
CI / test-go (push) Has been skipped
Details
CI / test-python-document-crawler (push) Has been skipped
Details
CI / test-python-dsms-gateway (push) Has been skipped
Details
CI / guardrail-integrity (push) Has been skipped
Details
CI / secret-scan (push) Has been skipped
Details
CI / dep-audit (push) Has been skipped
Details
CI / sbom-scan (push) Has been skipped
Details
CI / validate-canonical-controls (push) Successful in 16s
Details
CI / loc-budget (push) Failing after 15s
Details
CI / go-lint (push) Has been skipped
Details
CI / python-lint (push) Has been skipped
Details
CI / nodejs-lint (push) Has been skipped
Details
CI / iace-gt-coverage (push) Has been skipped
Details
CI / test-python-backend (push) Successful in 37s
Details
feat(consent+report): P56-P67 Mercedes-Audit-Cycle (Anti-Audit, Phase G Vendors, Cookie-Behavior-Validator + 5 Mail-Polish-Items) [migration-approved] 
P56  Anti-Auditing-Detection als constructive Compliance-Finding (Audit-API-
     Empfehlung statt Anklage, weil Mercedes berechtigt Bots blockiert)
P57  Phase G vendor_details Union mit cmp_vendors -> 42 Anbieter sichtbar
P58  Anti-Audit-Detection robuster (Script-Domain-Check + Settings-spezifisch)
P59  Cookie-Behavior-Validator (4 Layer, 3-Tier-Severity: MEDIUM=Kategorie-
     Mismatch / HIGH=Zweck-Mismatch / CRITICAL=beide=Vorsatz-Indiz)
     + Open Cookie Database (CC0) als Library-Seed (2264 Cookies)
P59b Cookie-Behavior in Banner-Check verdrahtet + Mail-Block (BUGFIX:
     SessionLocal selbst oeffnen, db war im Background-Task nicht im Scope)

Mail-Polish nach Mercedes-Review:
P63  Banner-Footer-Links auch im wb7-link/role=link erkennen (Shadow-DOM-
     Walker label-based statt nur <a href>)
P64  Re-Access-Severity: MEDIUM statt HIGH, wenn Footer "Einstellungen" oder
     Mercedes-typisch existiert; OEM-Footer-Detection (wb7-footer)
P65  Text-Truncation: Word-Boundary statt Zeichen-Cut (kein "einfa"-Bruch
     mehr in Sofortmassnahmen)
P66  GF-Aktionen: Service-Zweck vs Cookie-Zweck explizit erklaert
     (haeufige Verwechslung Marketing/GF: "Akamai-Beschreibung" != Cookie-
     Zweck pro DSK-OH 2024)
P67  Stirring-Finding mit "Verlust-Framing"-Erklaerung + Alt-vs-Neutral-
     Beispiel, statt nur EDPB-Fachbegriff

Compliance-Advisor FAQ (admin agent-core/soul):
  + CNIL/EDPB Top-Bussgelder (Google 100M, Meta 60M, Amazon 35M)
  + Deutsche Praezedenz (LG Muenchen Google Fonts, EuGH Planet49, BGH I ZR 7/16)
  + 4 Risiko-Pfade (Bussgeld/Abmahnung/Sammelklage/NOYB) + Berechnungs-Methodik

Document-Generator Templates: AGB-DE (142), Impressum (140), Widerrufs-
formular-Anlage (143), DSR-Process-Dedup (139), Cookie-Library (144).

Architektur: doc_action_mappings.py + banner_dom_walkers.py +
cookie_behavior_validator.py + vendor_detail_extractor.py rausgezogen,
um die 500-LOC-Caps in agent_doc_check_report.py und
banner_text_checker.py einzuhalten.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-21 06:28:25 +02:00

295 lines
17 KiB
Python
Raw Blame History

"""
Cookie-Richtlinie checks — §25 TDDDG / ePrivacy.
Level 1: Pflichtangabe erwaehnt?
Level 2: Pflichtangabe korrekt/vollstaendig?
"""
COOKIE_CHECKLIST = [
# ── L1: Arten der Cookies ─────────────────────────────────────────
{
"id": "cookie_types",
"label": "Arten der Cookies",
"level": 1, "parent": None,
"patterns": [
r"(?:notwendig|essentiell|funktional|statistik|marketing|tracking)",
r"cookie.*(?:art|typ|kategori)",
],
"severity": "HIGH",
"hint": "Gemaess §25 TDDDG und DSK-Orientierungshilfe muessen Cookie-Kategorien einzeln aufgeschluesselt werden (essentiell, funktional, Statistik, Marketing). Haeufiger Fehler: 'Wir verwenden Cookies' ohne Differenzierung genuegt nicht.",
},
{
"id": "cookie_names_listed",
"label": "Konkrete Cookie-Namen aufgelistet",
"level": 2, "parent": "cookie_types",
"patterns": [
# Standard cookie names
r"(?:_ga|_gid|_gat|_fbp|_gcl|phpsessid|php\s+session\s+id|jsessionid|csrf|xsrf|cookieinfo|et_id|bt_\w+|cntcookie|shophk)",
# CMP-placeholder notation (e.g. BMW: Adfpc###, CT###, EBFC###)
r"\b[a-z][a-z0-9_\-]*#{2,}\b",
# "Diese Datenverarbeitung verwendet die folgenden Cookies..."
# (BMW/ePaaS pattern — strong signal that a list follows)
r"folgende(?:n)?\s+cookies?\s+oder\s+(?:aehnliche|ähnliche)\s+technologien",
r"diese\s+datenverarbeitung\s+verwendet\s+(?:die\s+)?folgende(?:n)?\s+cookies?",
# Header-row signals (Name | Zweck | Ablauf / "Name des Cookie")
r"cookie[\-_]?name\s*[:\|]",
r"name\s+des\s+cookie",
r"(?:name|bezeichnung)\s+.*(?:funktion|zweck|speicherdauer|laufzeit)",
],
"severity": "MEDIUM",
"hint": "Die DSK fordert eine Auflistung jedes einzelnen Cookies mit technischem Namen (z.B. _ga, _gid, PHPSESSID). Cryptic Vendor-IDs (audience, adformfrpid) oder Platzhalter-Notation (Adfpc###) sind ebenfalls zulaessig, solange klar ist welches Cookie gemeint ist. Browser-DevTools > Application > Cookies zeigt die echten Namen — gleichen Sie diese mit Ihrer Liste ab.",
},
{
"id": "cookie_essential_justified",
"label": "Essentiell/Notwendig-Cookies begruendet",
"level": 2, "parent": "cookie_types",
"patterns": [
r"(?:essentiell|notwendig|technisch\s+(?:erforderlich|notwendig)).*(?:funktion|betrieb|sicherheit|warenkorb|session|anmeldung)",
r"(?:unbedingt|zwingend)\s+erforderlich",
r"session[\-\s]?(?:id|cookie).*(?:sitzung|zuordnen|identifiz|wiedererkenn)",
r"(?:sitzung|session).*(?:zuordnen|identifiz|wiedererkenn|erfordert)",
r"(?:betrieb|funktion)\w*\s+(?:der|unserer)\s+(?:internetseite|website|webseite)",
],
"severity": "LOW",
"hint": "§25 Abs. 2 TDDDG erlaubt einwilligungsfreie Cookies nur wenn 'unbedingt erforderlich'. Jedes essentielle Cookie braucht eine konkrete Begruendung (z.B. 'Session-ID fuer Warenkorb-Zuordnung'). Pauschale Behauptungen ('fuer den Betrieb noetig') reichen nicht.",
},
# ── L1: Zwecke der Cookies ────────────────────────────────────────
{
"id": "purposes",
"label": "Zwecke der Cookies",
"level": 1, "parent": None,
"patterns": [
r"zweck.*cookie", r"cookie.*zweck",
r"(?:wofuer|wozu|warum).*cookie",
r"cookies?\s+(?:ein|ver)?\s*,?\s*um\s+",
r"(?:setzen|verwenden|nutzen)\s+.*cookies?\s+.*(?:um|fuer|für)",
r"(?:analyse|marketing|tracking|funktional)\w*\s*cookies?\s*\.?\s*(?:um|damit|diese|sie)",
r"cookies?\s+(?:dienen|helfen|erm(?:oe|ö)glichen)",
# P39: cookie purpose table column "| Zweck |" + "Kategorie"
r"kategorie\s*\|\s*zweck",
r"\|\s*zweck\s*\|",
r"welche\s+technologie\s+welchen\s+zweck",
],
"severity": "HIGH",
"hint": "Art. 13 Abs. 1 lit. c DSGVO verlangt die Zweckangabe je Verarbeitung. Jede Cookie-Kategorie braucht einen konkreten Zweck (z.B. 'Reichweitenmessung', 'Conversion-Tracking'), nicht nur 'zur Verbesserung unserer Website'.",
},
{
"id": "cookie_providers_named",
"label": "Konkrete Anbieter/Dienste benannt",
"level": 2, "parent": "purposes",
"patterns": [
r"(?:google\s+(?:analytics|tag\s+manager|ads)|matomo|piwik|hotjar|hubspot|facebook\s+pixel|meta\s+pixel|linkedin\s+insight|microsoft\s+clarity)",
r"(?:anbieter|provider|dienst)\s*[:\|]\s*[A-Z]",
# BMW/ePaaS pattern: "Gesetzt von: <Firma>" — per-cookie vendor naming
r"gesetzt\s+von\s*[:\|]\s*[A-Z]",
# Vendor full names with legal form ("Adform A/S", "BMW AG", ...)
r"\b[A-Z][a-zA-ZÀ-ž]+(?:\s+[A-Z][a-zA-ZÀ-ž]+)*\s+(?:GmbH|AG|A/S|S\.A\.|Inc\.|Ltd\.|LLC|B\.V\.|Limited|Corp\.)\b",
],
"severity": "MEDIUM",
"hint": "Art. 13 Abs. 1 lit. e DSGVO verlangt die Nennung der Empfaenger. Jeder Dienst, der Cookies setzt, muss mit Firmenname und Sitz benannt werden (z.B. 'Google Ireland Limited, Dublin' oder 'Gesetzt von: Adobe Systems Software Ireland Limited'). Anonyme Angaben wie 'Drittanbieter' genuegen nicht.",
},
{
"id": "cookie_analytics_named",
"label": "Analytics-/Statistik-Tools konkret benannt",
"level": 2, "parent": "purposes",
"patterns": [
r"google\s+analytics|matomo|piwik|plausible|fathom|adobe\s+analytics|microsoft\s+clarity|hotjar|etracker",
],
"severity": "LOW",
"hint": "Statistik-Cookies erfordern gemaess §25 Abs. 1 TDDDG eine Einwilligung — auch bei 'anonymisierter' Nutzung (vgl. CNIL-Leitlinie zu Google Analytics, 2022). Ausnahme: Serverseitige Tools ohne Endgeraetezugriff (z.B. Matomo ohne Cookies).",
},
{
"id": "cookie_marketing_named",
"label": "Marketing-/Tracking-Tools konkret benannt",
"level": 2, "parent": "purposes",
"patterns": [
r"(?:facebook|meta)\s+pixel|google\s+ads|linkedin\s+insight|tiktok\s+pixel|pinterest\s+tag|criteo|adroll|taboola",
],
"severity": "LOW",
"hint": "Marketing-Cookies (Meta Pixel, Google Ads etc.) erfordern immer eine Einwilligung vor dem Setzen (§25 Abs. 1 TDDDG). Haeufiger Fehler: Pixel wird beim Seitenaufruf geladen bevor der Nutzer im Banner zustimmt — das ist ein Verstoss.",
},
# ── L1: Speicherdauer ─────────────────────────────────────────────
{
"id": "retention",
"label": "Speicherdauer der Cookies",
"level": 1, "parent": None,
"patterns": [
r"(?:speicherdauer|laufzeit|g(?:ue|ü)ltigk|ablauf).*cookie",
r"cookie.*(?:\d+\s+(?:tag|monat|jahr)|session)",
],
"severity": "MEDIUM",
"hint": "Art. 13 Abs. 2 lit. a DSGVO verlangt die Speicherdauer oder Kriterien fuer deren Festlegung. Hinweis: Auch Session-Cookies muessen als solche gekennzeichnet werden ('wird beim Schliessen des Browsers geloescht').",
},
{
"id": "cookie_duration_values",
"label": "Konkrete Speicherdauern pro Cookie",
"level": 2, "parent": "retention",
"patterns": [
r"\d+\s+(?:tag|monat|jahr|minute|stunde|day|month|year)",
r"session[\-\s]?cookie",
# BMW/ePaaS pattern: "Ablauf: 1 Jahr", "Ablauf: 30 Tage", "Speicherdauer: 60 Tage"
r"(?:ablauf|expiry|laufzeit|speicherdauer)\s*[:\|\s]+\d+\s*(?:tag|monat|jahr|minute|stunde|day|month|year)",
],
"severity": "LOW",
"hint": "Die DSK-Orientierungshilfe verlangt die Speicherdauer pro Cookie (z.B. '_ga: 2 Jahre', '_gid: 24 Stunden' oder 'Ablauf: 1 Jahr'). Pruefen Sie die tatsaechlichen Werte in den Browser-DevTools — Anbieter-Dokumentation ist oft veraltet.",
},
# ── L1: Drittanbieter ─────────────────────────────────────────────
{
"id": "third_party",
"label": "Drittanbieter-Cookies",
"level": 1, "parent": None,
"patterns": [
r"drittanbieter", r"third.?party",
r"(?:google|facebook|meta|microsoft).*cookie",
],
"severity": "MEDIUM",
"hint": "Bei Drittanbieter-Cookies liegt eine Datenuebermittlung an Dritte vor (Art. 13 Abs. 1 lit. e DSGVO). Bei US-Anbietern pruefen Sie zusaetzlich den Drittlandtransfer: EU-US Data Privacy Framework (DPF) oder Standardvertragsklauseln (Art. 46(2)(c) DSGVO) noetig.",
},
{
"id": "cookie_legal_basis",
"label": "Rechtsgrundlage fuer Cookies (§25 TDDDG / Art. 6(1)(a))",
"level": 2, "parent": "third_party",
"patterns": [
r"§\s*25\s*(?:abs\.)?\s*(?:1|2)?\s*tdddg",
r"art\.\s*6\s*(?:abs\.\s*)?1\s*(?:lit\.\s*)?[af].*(?:cookie|einwilligung|notwendig)",
r"einwilligung.*(?:cookie|tracking|marketing)",
r"ttdsg|tdddg|§\s*25",
r"rechtsgrundlage.*(?:art\.\s*6|cookie|nutzung\s+von\s+cookie)",
r"(?:cookie|nutzung\s+von\s+cookie).*rechtsgrundlage",
],
"severity": "MEDIUM",
"hint": "Zweistufige Rechtsgrundlage beachten: §25 Abs. 1 TDDDG (Einwilligung fuer Endgeraetezugriff) + Art. 6(1)(a) DSGVO (Datenverarbeitung). Fuer technisch notwendige Cookies: §25 Abs. 2 TDDDG + Art. 6(1)(f) DSGVO. Haeufiger Fehler: Nur DSGVO ohne TDDDG angeben.",
},
# ── L1: Widerspruch ───────────────────────────────────────────────
{
"id": "opt_out",
"label": "Widerspruchsmoeglichkeit",
"level": 1, "parent": None,
"patterns": [
r"(?:widerspruch|opt.?out|ablehnen|deaktivieren).*cookie",
r"cookie.*(?:ablehnen|deaktivieren|l(?:oe|ö)schen)",
],
"severity": "MEDIUM",
"hint": "Art. 7 Abs. 3 DSGVO: Die Einwilligung muss jederzeit widerrufbar sein, und der Widerruf muss so einfach sein wie die Erteilung. Konkret: Ein 'Cookies verwalten'-Link im Footer genuegt; ein versteckter Link in der Datenschutzerklaerung reicht nicht.",
},
{
"id": "cookie_consent_mechanism",
"label": "Consent-Tool/Banner beschrieben",
"level": 2, "parent": "opt_out",
"patterns": [
r"(?:cookie|consent)\s*[\-\s]?(?:banner|hinweis|tool|management|einstellung)",
r"(?:cookiebot|usercentrics|onetrust|borlabs|complianz|klaro|tarteaucitron)",
r"einwilligung\s+(?:jederzeit|widerrufen|zurueckziehen|zur(?:ue|ü)ckziehen)",
],
"severity": "LOW",
"hint": "Das Consent-Tool muss namentlich erwaehnt werden (z.B. Cookiebot, Usercentrics, Borlabs). Die DSK verlangt: Ablehnen muss auf derselben Ebene wie Akzeptieren moeglich sein — kein 'Ablehnen' erst auf Unterseite (sog. Dark Patterns).",
},
{
"id": "cookie_browser_settings",
"label": "Browser-Einstellungen zum Cookie-Management",
"level": 2, "parent": "opt_out",
"patterns": [
r"browser[\-\s]?einstellung",
r"(?:in\s+ihrem|im)\s+browser.*(?:cookie|deaktivieren|l(?:oe|ö)schen|blockieren)",
r"(?:chrome|firefox|safari|edge).*(?:cookie|einstellung)",
],
"severity": "LOW",
"hint": "Ergaenzen Sie einen Hinweis auf Browser-Einstellungen mit konkreten Links zu den Hilfeseiten (Chrome, Firefox, Safari, Edge). Achtung: Browser-Einstellungen allein ersetzen nicht das Consent-Banner — §25 TDDDG verlangt aktive Einwilligung.",
},
# ── L1: Verantwortlicher in der Cookie-Richtlinie ────────────────
{
"id": "cookie_controller",
"label": "Verantwortlicher (Art. 13(1)(a) DSGVO)",
"level": 1, "parent": None,
"patterns": [
r"verantwortlich\w*\s+(?:im\s+)?(?:datenschutzrechtlich|datenschutzrelevant|sinne?|sinn)",
r"(?:datenschutz[\-]?rechtlich(?:er)?\s+)?verantwortlich\w*\s*[:\|]",
r"daten(?:schutz)?[\-]?(?:rechtlich(?:er)?\s+)?(?:verantwortl|controller)",
r"\bcontroller\b.*\b(?:art\.?\s*13|art\.?\s*14|gdpr|dsgvo)",
# P39: heading variant — common in cookie policies
r"(?:^|\n)\s*#+\s*\d*\.?\s*verantwortlich\w*",
r"(?:^|\n)\s*\d+\.\s+verantwortlich\w*",
r"verantwortlich\w*\s+(?:fuer|für|ist|im\s+sinne)",
],
"severity": "MEDIUM",
"hint": "Art. 13(1)(a) DSGVO verlangt die Nennung des Verantwortlichen in der Cookie-Richtlinie. Pflicht: Firmenname + Anschrift + Kontaktdaten (E-Mail/Telefon). Akzeptabel: knapper Verweis 'Details zum Verantwortlichen siehe Datenschutzerklaerung [Link]' wenn die DSI verlinkt ist.",
},
{
"id": "cookie_controller_address",
"label": "Anschrift des Verantwortlichen (PLZ + Ort)",
"level": 2, "parent": "cookie_controller",
"patterns": [
# German postal code + city (5 digits + word)
r"\b\d{5}\s+[A-Z][a-zA-ZÀ-ž\-]+",
# Address keywords near PLZ
r"(?:anschrift|adresse|sitz|hauptsitz|petuelring|strasse|str\.|platz)",
],
"severity": "LOW",
"hint": "Die Adresse des Verantwortlichen (Strasse + PLZ + Ort) sollte in der Cookie-Richtlinie genannt werden, oder es muss ein klarer Link zur Datenschutzerklaerung mit vollstaendigen Kontaktdaten vorhanden sein. Nur 'Firma XY' ohne Anschrift erfuellt Art. 13(1)(a) DSGVO nicht.",
},
{
"id": "cookie_controller_contact_or_link",
"label": "Kontakt (E-Mail/Telefon) oder Verweis zur Datenschutzerklaerung",
"level": 2, "parent": "cookie_controller",
"patterns": [
# E-mail
r"\b[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}\b",
# Phone (German format)
r"(?:tel\.?|telefon|fon)[:\s\.]*(?:\+?\d[\d\s\-\/\(\)]{7,})",
# Link to Datenschutzerklaerung (within cookie policy)
r"(?:datenschutzerkl(?:ae|ä)rung|datenschutzhinweis|datenschutzinformation|privacy.?policy|privacy.?notice).*(?:href|http|www\.|/de/)",
r"(?:siehe|details|weitere\s+informationen).*datenschutz",
],
"severity": "LOW",
"hint": "Pflicht aus Art. 13(1)(b) DSGVO: entweder E-Mail/Telefon des Verantwortlichen direkt in der Cookie-Richtlinie ODER expliziter Hinweis 'Details in der Datenschutzerklaerung' mit klickbarem Link.",
},
# ── L1: Opt-Out-Mechanismen pro Anbieter ──────────────────────────
{
"id": "cookie_optout_links",
"label": "Opt-Out-Links pro Drittanbieter (Art. 7(3) DSGVO)",
"level": 2, "parent": "opt_out",
"patterns": [
r"opt[\-\s]?out[\-\s]?(?:link|url)",
r"(?:opt[\-\s]?out|widerruf|abmelden).*https?://",
r"https?://[^\s]+(?:opt[\-\s]?out|optout|abmeld|widerruf)",
],
"severity": "MEDIUM",
"hint": "Art. 7(3) DSGVO: Der Widerruf der Einwilligung muss so einfach wie die Erteilung sein. Pro Drittanbieter (Adobe, Adform, Meta, etc.) muss ein direkter Opt-Out-Link angegeben sein. Tipp: Konsolidiert ueber das Consent-Banner ('Einstellungen aendern') ist optimal; einzelne Provider-Opt-Out-Links sind als Backup wichtig.",
},
{
"id": "cookie_privacy_policy_links",
"label": "Privacy-Policy-Links pro Drittanbieter",
"level": 2, "parent": "opt_out",
"patterns": [
r"link\s+zur?\s+(?:privacy|datenschutz)",
r"datenschutzerkl(?:ae|ä)rung\s+(?:von|des|der)\s+\w+",
r"(?:privacy\s+policy|privacy\s+notice)\s*[:\|]?\s*https?://",
],
"severity": "LOW",
"hint": "Pro Drittanbieter sollte ein Link zur jeweiligen Datenschutzerklaerung des Anbieters gesetzt sein. Erlaubt dem Nutzer, die Datenverarbeitung beim Drittanbieter eigenverantwortlich nachzuvollziehen — Art. 13(2)(f) DSGVO Transparenzgebot.",
},
# ── Neue L1: Cookie-Tabelle ───────────────────────────────────────
{
"id": "cookie_table",
"label": "Strukturierte Cookie-Tabelle/Liste",
"level": 1, "parent": None,
"patterns": [
r"(?:cookie[\-\s])?(?:tabelle|uebersicht|übersicht|liste|aufstellung)",
r"(?:name|bezeichnung)\s*[\|\t]\s*(?:anbieter|zweck|dauer|laufzeit|funktion)",
r"(?:first[\-\s]?party|third[\-\s]?party)\s*[\|\t]",
r"(?:typ(?:en)?|name|funktion|speicherdauer)\s+(?:typ(?:en)?|name|funktion|speicherdauer)",
r"folgende\s+cookies",
r"(?:funktionale|session|analyse|tracking)\s+cookies?\s+\w+",
],
"severity": "LOW",
"hint": "Die DSK-Orientierungshilfe empfiehlt eine Tabelle mit 5 Spalten: Name, Anbieter, Zweck, Speicherdauer, Typ (First-/Third-Party). Viele Consent-Tools (Cookiebot, Usercentrics) generieren diese Tabelle automatisch — binden Sie sie ein.",
},
]
Reference in New Issue View Git Blame Copy Permalink