Mandat-Triage IT-Recht

Mandat-Triage IT-Recht

Zweck

IT-Recht ist breit und stark im Wandel (DSGVO NIS-2 AI Act DSA). Triage stellt Sachgebiet und Eskalation richtig.

Ablauf — sieben Fragen

Frage 1 — Mandantenrolle?

• Software-Auftraggeber (typisch Mittelstand)
• Software-Auftragnehmer (Hersteller Entwickler-Studio)
• SaaS-Anbieter / SaaS-Kunde
• Hosting / Cloud-Provider
• Plattform (Marketplaces Social Media)
• Nutzer / Endkunde
• IT-Sicherheits-Verantwortlicher
• Datenschutz-Beauftragter externer

Frage 2 — Sachgebiet?

• Softwareerstellungs-Vertrag
• Lizenzrecht (kommerziell Open-Source)
• SaaS / Cloud Bezug
• Hosting / Domain
• IT-Sicherheit / Cyber-Vorfall
• DSGVO (an datenschutzrecht-Plugin)
• NIS-2 KRITIS
• AI Act (an ki-governance-Plugin)
• DSA Plattformhaftung
• E-Commerce-Recht (Impressum AGB Verbraucherschutz)
• Domain-Streit
• Telekommunikationsrecht TKG / TDDDG (vormals TTDSG)
• IT-Strafrecht (§§ 202a 202b 202c 263a 303a 303b StGB)

Frage 3 — Akute Eilbedürftigkeit?

• Cyber-Vorfall Hacker-Angriff aktive Datenpanne
• DSGVO-Meldung binnen 72 Stunden Art. 33 DSGVO
• NIS-2-Meldung binnen 24 Stunden Frühwarnung
• Sicherheits-Lücke wird ausgenutzt
• Domain-Streit UDRP Frist
• Behördliche Untersagung sofortige Vollziehung
• Filesharing-Abmahnung mit kurzer Frist

Frage 4 — Stand?

• Beratung vor Vertragsschluss
• Vertrag läuft — Projekt in Erstellung
• Abnahme / Live-Gang
• Mangel-Streit nach Abnahme
• Klage erhoben
• Behördliches Verfahren (BSI Datenschutzbehörde BNetzA)
• Strafverfahren bei IT-Vorfall

Frage 5 — Vertragsbasis?

• Schriftlicher Vertrag mit Anlagen
• Lizenzbedingungen
• SLA
• Pflichtenheft Lastenheft
• Open-Source-Lizenzen im Stack

Frage 6 — Frist?

• DSGVO-Meldung Datenpanne 72 Stunden Art. 33
• NIS-2 24 Stunden Frühwarnung 72 Stunden Vorfallsmeldung
• Verjährung Mangel Kauf zwei Jahre § 438 / Werk § 634a
• Verjährung deliktisch drei Jahre § 195 BGB
• DSA Anordnung Behörde

Frage 7 — Wirtschaftliche Verhältnisse?

• Versicherung Cyber Berufshaftpflicht IT
• Berufshaftpflicht Anwalt für Beratung
• Streitwert sehr variabel
• Was will der Mandant wirklich erreichen? (Nicht: was steht im Standardweg, sondern: welches Ergebnis ist fuer den Mandanten persoenlich/wirtschaftlich das beste? Manchmal ist der schnellere Vergleich besser als der formal "richtige" Weg.)

Routing-Matrix

Sachgebiet	Folge-Skill
Softwarefehler Mangelhaftung	softwarefehler-mangelhaftung-pruefen
Lizenzrechts-Streit	softwarefehler-mangelhaftung-pruefen plus Lizenzfokus
Cyber-Vorfall	EILMODUS sofort (Skill cyber-incident-response — perspektivisch)
DSGVO-Datenpanne	weiter an datenschutzrecht-Plugin
NIS-2 KRITIS	(Skill nis-2-compliance — perspektivisch)
AI Act	weiter an ki-governance-Plugin
DSA Plattform	weiter an mandat-triage-urheber-medienrecht
E-Commerce-AGB	weiter an produktrecht-Plugin
Domain-Streit	(Skill domain-streit-udrp — perspektivisch)

Cyber-Incident-Eilmodus

Bei aktivem Hacker-Angriff:

1. Sofortmaßnahmen: Netzwerk-Trennung Forensik-Sicherung
2. DSGVO-Meldung 72 Stunden Art. 33
3. NIS-2 Meldung wenn KRITIS
4. Strafanzeige § 202a § 303a § 303b StGB
5. Versicherer informieren
6. Kommunikationsstrategie (Kunden Mitarbeiter Öffentlichkeit)
7. Rechtssicherung Beweismittel
8. Lessons Learned und Verfahren nachschärfen

Mandatsannahme

• Konflikt-Check — keine doppelte Vertretung Auftraggeber/Auftragnehmer
• Streitwert bei IT-Großprojekten oft sehr hoch — sechs- bis siebenstellig
• Sachverständigen-Bedarf IT-Forensik
• Versicherungs-Deckung Cyber-Versicherung BHV IT

Eskalation

• Telefon-Sofort Cyber-Vorfall Datenpanne 72-Stunden-Lauf
• Binnen einer Stunde Untersagungs-Anordnung sofortige Vollziehung
• Heute DSGVO-Meldung Domain-Sperre Filesharing-Antwort
• Diese Woche Mangel-Klage Vertragsentwurf

Strategische Optionen (vor dem Template entscheiden)

Bevor das Template eins-zu-eins gefuellt wird, ist zu pruefen welche Variante zur Mandantenkonstellation passt. Das Template ist eine moegliche Form — nicht die einzige.

Konstellation	Empfohlener Weg
Standard — IT-Recht Mandat triage und routen	Triage-Protokoll; Template unten
Variante A — Datenschutz-Schwerpunkt	DSGVO-Skills pruefen; DPA als erstes
Variante B — Strafrecht-Beruehrer	§ 202a ff. StGB; Strafrecht-Skill einbeziehen
Variante C — Eilsituation Datenpanne	72h-Frist DSGVO Art. 33; Skill cyber-incident-response

Wenn die Mandantenkonstellation nicht ins Standardschema passt, ist das Template anzupassen oder durch ein anderes Skill abzuloesen — nicht das Mandat in das Schema zu pressen.

Ausgabe

• triage-protokoll-it-recht.md
• Aktenanlage
• Frist im Fristenbuch (kurzfristig DSGVO 72h NIS-2 24h)
• Mandatsvereinbarung mit Honorar
• Bei Cyber-Incident: Sofort-Checkliste als Anhang
• Empfehlung Folge-Skill

--- vor Versand klaeren ---

1. Welches Verhandlungsziel hat der Mandant? [Bestand / Abfindung / Reputation / Schnelle Loesung]
2. Welche Kompromisslinien sind absolut? [Mindestabfindung / Freistellung / Zeugnisformulierung]
3. Sind Anschlusswege erwuenscht? [Mediation / Direktgespraech / Settlement vor Klageerhebung]

Quellen

• BGB §§ 433 ff. 535 ff. 611 631 ff.
• StGB §§ 202a 202b 202c 263a 303a 303b
• DSGVO Art. 33 34
• NIS-2-RL (in DE umgesetzt durch NIS2UmsuCG in Kraft seit 06.12.2025 — Hauptnorm § 32 BSIG n.F.)
• AI Act
• DSA
• BGH VIII. Zivilsenat
• Marly Softwarerecht
• Schneider IT-Recht

Aktuelle Rechtsprechung (v14.2)

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Zentrale Normen (Paragrafenkette)

• § 43a BRAO — Anwaltliche Grundpflichten: Interessenkonflikt-Verbot
• § 45 BRAO — Verbotene Taetigkeit (frueherer Mandant / Gegenpartei)
• Art. 33 DSGVO — 72-Stunden-Meldepflicht Datenpanne
• § 32 BSIG n. F. — NIS-2-Meldepflicht 24 Stunden / 72 Stunden
• Art. 19 NIS-2-RL (EU 2022/2555) — Haftung Geschaeftsleitungsorgane

Quellenregel

Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.

Triage zu Beginn

1. Besteht ein Interessenkonflikt — wurde dieselbe Partei oder Gegenseite bereits beraten (§ 43a BRAO)?
2. Liegt ein Cyber-Vorfall oder eine Datenpanne vor — laeuft die 72-Stunden-Frist (Art. 33 DSGVO)?
3. Handelt es sich um eine NIS-2-relevante Einrichtung — laeuft die 24-Stunden-Fruhwarnung (§ 32 BSIG n. F.)?
4. Welches Sachgebiet ist einschlaegig (Softwarerecht, Datenschutz, KI-VO, DSA, Plattformrecht)?
5. Wie hoch ist der Streitwert — sechsstellig oder mehr erfordert fruehs Sachverstaendigen-Bedarf klaeren?

Output-Template — Triage-Protokoll IT-Recht

Adressat: Kanzlei intern (Akte) — Tonfall: strukturiert-knapp

TRIAGE-PROTOKOLL IT-RECHT
[DATUM] — [AKTENZEICHEN] — [NAME MANDANT]

1. Mandantenrolle: [Auftraggeber / Auftragnehmer / Plattform / Nutzer]
2. Sachgebiet: [Softwareerstellung / SaaS / DSGVO / NIS-2 / AI Act / DSA / ...]
3. Eilbeduerftigkeit:
   - Cyber-Vorfall: [Ja / Nein] — Entdeckungszeitpunkt: [DATUM UHRZEIT]
   - DSGVO-Meldung 72h laeuft ab: [DATUM UHRZEIT] (Art. 33 DSGVO)
   - NIS-2-Fruehwarnung 24h laeuft ab: [DATUM UHRZEIT] (§ 32 BSIG n. F.)
4. Konflikt-Check: [Durchgefuehrt — kein Konflikt / KONFLIKT: BESCHREIBUNG]
5. Streitwert-Schaetzung: EUR [BETRAG]
6. Naechste Schritte:
   - [MASSNAHME 1] bis [DATUM]
   - [MASSNAHME 2] bis [DATUM]
7. Routing: [FOLGE-SKILL]

Bearbeiter: [NAME RA/RAin]

<!-- AUDIT 27.05.2026: BGH VII ZR 198/15 (26.01.2017) NOT_FOUND auf dejure.org – Eintrag "Eilbeduerftigkeit im IT-Projektstreit, NJW 2017, 1534" gelöscht. Thema passt nicht zu IT-Recht-Triage (VII ZR ist Baurechtssenat). Kein verifizierter Ersatz recherchiert; bei Zweifel löschen. -->