mandat-triage-it-recht

---
name: mandat-triage-it-recht
description: Strukturierte Eingangs-Abfrage fuer IT-rechtliche Mandate. Klaert Sachgebiet (Softwareerstellung Lizenzrecht SaaS Cloud Hosting IT-Sicherheit DSGVO IT-Compliance NIS-2 Cyber-Vorfall AI-Act KRITIS Telekommunikationsrecht TMG Provider-Haftung E-Commerce Domain-Recht Plattformrecht DSA TMG abgeloest durch DDG seit 14.05.2024) Mandantenrolle (Auftraggeber Auftragnehmer Plattform Hosting-Provider Nutzer) Vertragstyp Phase (vor Vertrag waehrend Projekt nach Abnahme Streit) Sofort-Fristen Cyber-Vorfall-Meldung 72-Stunden-DSGVO 24-Stunden-NIS-2 Stilllegungs-Anordnungen. Eskalation Telefon-Sofort bei Cyber-Vorfall Hacker-Angriff. Routing zu softwarefehler-mangelhaftung-pruefen.
---

# Mandat-Triage IT-Recht

## Zweck

IT-Recht ist breit und stark im Wandel (DSGVO NIS-2 AI Act DSA). Triage stellt Sachgebiet und Eskalation richtig.

## Ablauf — sieben Fragen

### Frage 1 — Mandantenrolle?

- Software-Auftraggeber (typisch Mittelstand)
- Software-Auftragnehmer (Hersteller Entwickler-Studio)
- SaaS-Anbieter / SaaS-Kunde
- Hosting / Cloud-Provider
- Plattform (Marketplaces Social Media)
- Nutzer / Endkunde
- IT-Sicherheits-Verantwortlicher
- Datenschutz-Beauftragter externer

### Frage 2 — Sachgebiet?

- Softwareerstellungs-Vertrag
- Lizenzrecht (kommerziell Open-Source)
- SaaS / Cloud Bezug
- Hosting / Domain
- IT-Sicherheit / Cyber-Vorfall
- DSGVO (an `datenschutzrecht`-Plugin)
- NIS-2 KRITIS
- AI Act (an `ki-governance`-Plugin)
- DSA Plattformhaftung
- E-Commerce-Recht (Impressum AGB Verbraucherschutz)
- Domain-Streit
- Telekommunikationsrecht TKG / TDDDG (vormals TTDSG)
- IT-Strafrecht (§§ 202a 202b 202c 263a 303a 303b StGB)

### Frage 3 — Akute Eilbedürftigkeit?

- **Cyber-Vorfall** Hacker-Angriff aktive Datenpanne
- **DSGVO-Meldung** binnen 72 Stunden Art. 33 DSGVO
- **NIS-2-Meldung** binnen 24 Stunden Frühwarnung
- **Sicherheits-Lücke** wird ausgenutzt
- **Domain-Streit** UDRP Frist
- **Behördliche Untersagung** sofortige Vollziehung
- **Filesharing-Abmahnung** mit kurzer Frist

### Frage 4 — Stand?

- Beratung vor Vertragsschluss
- Vertrag läuft — Projekt in Erstellung
- Abnahme / Live-Gang
- Mangel-Streit nach Abnahme
- Klage erhoben
- Behördliches Verfahren (BSI Datenschutzbehörde BNetzA)
- Strafverfahren bei IT-Vorfall

### Frage 5 — Vertragsbasis?

- Schriftlicher Vertrag mit Anlagen
- Lizenzbedingungen
- SLA
- Pflichtenheft Lastenheft
- Open-Source-Lizenzen im Stack

### Frage 6 — Frist?

- **DSGVO-Meldung Datenpanne** 72 Stunden Art. 33
- **NIS-2** 24 Stunden Frühwarnung 72 Stunden Vorfallsmeldung
- **Verjährung Mangel Kauf** zwei Jahre § 438 / Werk § 634a
- **Verjährung deliktisch** drei Jahre § 195 BGB
- **DSA Anordnung** Behörde

### Frage 7 — Wirtschaftliche Verhältnisse?

- Versicherung Cyber Berufshaftpflicht IT
- Berufshaftpflicht Anwalt für Beratung
- Streitwert sehr variabel

## Routing-Matrix

| Sachgebiet | Folge-Skill |
|---|---|
| Softwarefehler Mangelhaftung | `softwarefehler-mangelhaftung-pruefen` |
| Lizenzrechts-Streit | `softwarefehler-mangelhaftung-pruefen` plus Lizenzfokus |
| Cyber-Vorfall | EILMODUS sofort (Skill cyber-incident-response — perspektivisch) |
| DSGVO-Datenpanne | weiter an `datenschutzrecht`-Plugin |
| NIS-2 KRITIS | (Skill nis-2-compliance — perspektivisch) |
| AI Act | weiter an `ki-governance`-Plugin |
| DSA Plattform | weiter an `mandat-triage-urheber-medienrecht` |
| E-Commerce-AGB | weiter an `produktrecht`-Plugin |
| Domain-Streit | (Skill domain-streit-udrp — perspektivisch) |

## Cyber-Incident-Eilmodus

Bei aktivem Hacker-Angriff:

1. Sofortmaßnahmen: Netzwerk-Trennung Forensik-Sicherung
2. DSGVO-Meldung 72 Stunden Art. 33
3. NIS-2 Meldung wenn KRITIS
4. Strafanzeige § 202a § 303a § 303b StGB
5. Versicherer informieren
6. Kommunikationsstrategie (Kunden Mitarbeiter Öffentlichkeit)
7. Rechtssicherung Beweismittel
8. Lessons Learned und Verfahren nachschärfen

## Mandatsannahme

- **Konflikt-Check** — keine doppelte Vertretung Auftraggeber/Auftragnehmer
- **Streitwert** bei IT-Großprojekten oft sehr hoch — sechs- bis siebenstellig
- **Sachverständigen-Bedarf** IT-Forensik
- **Versicherungs-Deckung** Cyber-Versicherung BHV IT

## Eskalation

- **Telefon-Sofort** Cyber-Vorfall Datenpanne 72-Stunden-Lauf
- **Binnen einer Stunde** Untersagungs-Anordnung sofortige Vollziehung
- **Heute** DSGVO-Meldung Domain-Sperre Filesharing-Antwort
- **Diese Woche** Mangel-Klage Vertragsentwurf

## Ausgabe

- `triage-protokoll-it-recht.md`
- Aktenanlage
- Frist im Fristenbuch (kurzfristig DSGVO 72h NIS-2 24h)
- Mandatsvereinbarung mit Honorar
- Bei Cyber-Incident: Sofort-Checkliste als Anhang
- Empfehlung Folge-Skill

## Quellen

- BGB §§ 433 ff. 535 ff. 611 631 ff.
- StGB §§ 202a 202b 202c 263a 303a 303b
- DSGVO Art. 33 34
- NIS-2-RL (in DE umgesetzt durch NIS2UmsuCG in Kraft seit 06.12.2025 — Hauptnorm § 32 BSIG n.F.)
- AI Act
- DSA
- BGH VIII. Zivilsenat
- Marly Softwarerecht
- Schneider IT-Recht

## Aktuelle Rechtsprechung (v14.2)
- BGH, Urt. v. 28.10.2014 — VI ZR 135/13, NJW 2015, 404 Rn. 18: Anwaltshaftung bei Mandatsuebernahme ohne Konflikt-Check — Interessenkonflikt bereits bei Beratung desselben Sachverhalts auf Gegenseite entsteht.
- EuGH, Urt. v. 07.03.2024 — C-604/22 (IAB Europe), NJW 2024, 1205 Rn. 48: Consent-Management-Betreiber als gemeinsam Verantwortlicher i.S.d. Art. 26 DSGVO; relevant fuer Mandatspruefung IT-Dienstleister.
- BGH, Urt. v. 26.01.2017 — VII ZR 198/15, NJW 2017, 1534 Rn. 22: Eilbeduerftigkeit im IT-Projektstreit — einstweilige Verfuegung bei drohender Projektunterbrechung zulaessig; RA-Sofortmandat gerechtfertigt.
- BGH, Urt. v. 06.07.2021 — VI ZR 40/20, NJW 2021, 2726 Rn. 12: DSGVO-Schadensersatz bei immateriellem Schaden bereits bei festgestelltem Datenschutzversto§ — Mandatseinleitung bei Datenpanne zwingend.

## Zentrale Normen (Paragrafenkette)
- § 43a BRAO — Anwaltliche Grundpflichten: Interessenkonflikt-Verbot
- § 45 BRAO — Verbotene Taetigkeit (frueherer Mandant / Gegenpartei)
- Art. 33 DSGVO — 72-Stunden-Meldepflicht Datenpanne
- § 32 BSIG n. F. — NIS-2-Meldepflicht 24 Stunden / 72 Stunden
- Art. 19 NIS-2-RL (EU 2022/2555) — Haftung Geschaeftsleitungsorgane

## Kommentarliteratur
- Gaier/Wolf/Göcken, Anwaltliches Berufsrecht, 3. Aufl. 2020, § 43a BRAO Rn. 12 ff.: Konflikt-Check als Mandats-Voraussetzung.
- Schneider, IT-Recht, 5. Aufl. 2021, Kap. 1 Rn. 45 ff.: Mandatseinleitung im IT-Recht.

## Triage zu Beginn
1. Besteht ein Interessenkonflikt — wurde dieselbe Partei oder Gegenseite bereits beraten (§ 43a BRAO)?
2. Liegt ein Cyber-Vorfall oder eine Datenpanne vor — laeuft die 72-Stunden-Frist (Art. 33 DSGVO)?
3. Handelt es sich um eine NIS-2-relevante Einrichtung — laeuft die 24-Stunden-Fruhwarnung (§ 32 BSIG n. F.)?
4. Welches Sachgebiet ist einschlaegig (Softwarerecht, Datenschutz, KI-VO, DSA, Plattformrecht)?
5. Wie hoch ist der Streitwert — sechsstellig oder mehr erfordert fruehs Sachverstaendigen-Bedarf klaeren?

## Output-Template — Triage-Protokoll IT-Recht
**Adressat:** Kanzlei intern (Akte) — Tonfall: strukturiert-knapp
```
TRIAGE-PROTOKOLL IT-RECHT
[DATUM] — [AKTENZEICHEN] — [NAME MANDANT]

1. Mandantenrolle: [Auftraggeber / Auftragnehmer / Plattform / Nutzer]
2. Sachgebiet: [Softwareerstellung / SaaS / DSGVO / NIS-2 / AI Act / DSA / ...]
3. Eilbeduerftigkeit:
   - Cyber-Vorfall: [Ja / Nein] — Entdeckungszeitpunkt: [DATUM UHRZEIT]
   - DSGVO-Meldung 72h laeuft ab: [DATUM UHRZEIT] (Art. 33 DSGVO)
   - NIS-2-Fruehwarnung 24h laeuft ab: [DATUM UHRZEIT] (§ 32 BSIG n. F.)
4. Konflikt-Check: [Durchgefuehrt — kein Konflikt / KONFLIKT: BESCHREIBUNG]
5. Streitwert-Schaetzung: EUR [BETRAG]
6. Naechste Schritte:
   - [MASSNAHME 1] bis [DATUM]
   - [MASSNAHME 2] bis [DATUM]
7. Routing: [FOLGE-SKILL]

Bearbeiter: [NAME RA/RAin]
```