@aegis-scan/skills 0.5.0 → 0.5.1

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/StGB/relevante-paragraphen.md

@@ -0,0 +1,157 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/stgb/
+last-checked: 2026-05-02
+purpose: StGB §§ 202a-d + verwandte IT-Strafrechts-Tatbestaende.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+
+# StGB — IT-relevante Paragraphen
+
+> Volltext: https://www.gesetze-im-internet.de/stgb/
+
+## § 202a — Ausspaehen von Daten
+
+> „Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht fuer ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Ueberwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft."
+
+### Tatbestand
+
+- **Unbefugter Zugang** zu Daten
+- Daten nicht fuer Taeter bestimmt
+- Daten gegen unberechtigten Zugang **besonders gesichert** (= Verschluesselung, Passwort, Zugriffskontrolle)
+- **Ueberwindung der Zugangssicherung**
+
+### Praxis-Hinweis
+
+Wenn Daten KEINE Sicherung haben (z.B. Public-Endpoint ohne Auth) → KEIN § 202a-Vorfall (Schutzgebot der „Sicherung").
+Aber Datenpanne nach Art. 33 DSGVO + ggf. § 263 StGB (Computerbetrug) trotzdem moeglich.
+
+### Strafe
+
+- Bis **3 Jahre Freiheitsstrafe oder Geldstrafe**
+- Antragsdelikt (§ 205) — Strafverfolgung nur auf Antrag (ausser bei besonderem oeffentlichen Interesse)
+
+## § 202b — Abfangen von Daten
+
+> „Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nichtoeffentliche Datenuebermittlung oder die elektromagnetische Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft."
+
+### Tatbestand
+
+- WLAN-Sniffing, Man-in-the-Middle (MITM)
+- TLS-Bypass
+- Bluetooth/NFC-Abhoeren
+
+### Strafe
+
+- Bis 2 Jahre Freiheitsstrafe oder Geldstrafe.
+
+## § 202c — Vorbereiten des Ausspaehens und Abfangens („Hackertools-Paragraph")
+
+> „Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er Passwoerter (...) oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen ueberlasst, verbreitet oder sonst zugaenglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft."
+
+### Tatbestand
+
+- Tools deren Zweck die Begehung einer 202a/b-Tat ist
+- Strittig wegen Dual-Use-Tools (Pen-Test, Sicherheitsforschung)
+
+### Praxis-Hinweis (BVerfG 2009)
+
+BVerfG hat § 202c verfassungskonform reduziert: nur Tools mit **PRIMAERER** Tatzweck-Bestimmung sind strafbar. Dual-Use-Tools (Wireshark, nmap, metasploit) sind im legitimen Sicherheitskontext nicht erfasst.
+
+**Aber**: aktive Pen-Tests gegen Drittseite ohne Authorisierung = § 202a-Versuch (auch ohne erfolgreichen Zugriff).
+
+## § 202d — Datenhehlerei
+
+Hehlerei mit personenbezogenen Daten — Empfangen/Sich-Verschaffen ausgespaehter Daten ist strafbar.
+
+## § 263a — Computerbetrug
+
+> „Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermoegensvorteil zu verschaffen, das Vermoegen eines anderen dadurch beschaedigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollstaendiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst (...)."
+
+### Tatbestand
+
+- Manipulation Datenverarbeitungs-Vorgang
+- Vermoegen-Schaden
+
+### Beispiele
+
+- Manipulierte Online-Shop-Bestellung (Pricing-Bypass)
+- Identity-Theft + Auto-Bezahlung
+- ATM-/Kartenleser-Manipulation
+
+### Strafe
+
+- Bis 5 Jahre, in besonders schweren Faellen bis 10 Jahre.
+
+## § 269 — Faelschung beweiserheblicher Daten
+
+> „Wer zur Taeuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder veraendert, dass bei ihrer Wahrnehmung eine unechte oder verfaelschte Urkunde vorliegen wuerde (...)."
+
+### Tatbestand
+
+- Manipulation von Logs / E-Mail-Headers / Meta-Daten
+
+### Beispiele
+
+- Gefaelschte E-Mail-Header
+- Manipulierte Server-Logs
+- DKIM-Signature-Faelschung
+
+## § 303a — Datenveraenderung
+
+> „Wer rechtswidrig Daten loescht, unterdrueckt, unbrauchbar macht oder veraendert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft."
+
+### Tatbestand
+
+- Unbefugte Loeschung / Veraenderung fremder Daten
+
+### Beispiele
+
+- Server-Logs nach Datenpanne loeschen (zur Verschleierung)
+- Datenbank-Manipulation durch ehemaligen Mitarbeiter
+
+## § 303b — Computersabotage
+
+> „Wer eine Datenverarbeitung, die fuer einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stoert, dass er
+> 1. eine Tat nach § 303a Abs. 1 begeht oder
+> 2. Daten in der Absicht, einem anderen Nachteil zuzufuegen, eingibt oder uebermittelt oder
+> 3. eine Datenverarbeitungsanlage oder einen Datentraeger zerstoert, beschaedigt, unbrauchbar macht, beseitigt oder veraendert,
+> wird mit Freiheitsstrafe bis zu drei Jahren (...)."
+
+### Tatbestand
+
+- DDoS-Attacken
+- Ransomware
+- Stoerung kritischer IT-Infrastruktur
+
+### Strafe
+
+- Standard: bis 3 Jahre
+- Bei kritischer Infrastruktur (Versorgung, Hilfsdienste): bis 10 Jahre
+
+## Pen-Test-Grenzen (Cross-Reference zu AEGIS)
+
+AEGIS active probes (`aegis siege` / `aegis pentest`) sind Dual-Use Tools.
+Compliant nur bei:
+- Operator-Authorisierung (eigenes System)
+- Schriftliche Pen-Test-Vereinbarung
+- Bug-Bounty-Programm-Scope
+
+OHNE Authorisierung: § 202a/b/c-Versuch + § 202d (bei erfolgreicher Daten-Erfassung) + § 303a/b (bei Stoerung).
+
+## Audit-Relevanz fuer Skill
+
+| Audit-Surface | StGB-Pflicht |
+|---|---|
+| HTTPS auf gesamter Site | sonst § 202a / § 202b leichter zu erfuellen |
+| Brute-Force-Lockout auf Login | sonst Tatbestand-naehe Versuch |
+| Audit-Logs unveraenderbar | § 269 / § 303a-Schutz |
+| Pen-Test-Disclaimer auf Site | § 202c-Distance |
+| security.txt mit Coordinated Vulnerability Disclosure | de-eskalierende Info |
+
+## Source
+
+- [gesetze-im-internet.de — StGB](https://www.gesetze-im-internet.de/stgb/)
+- [BVerfG zu § 202c](https://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/2009/bvg09-058.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/TDDDG/audit-relevance.md

@@ -0,0 +1,33 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: TDDDG Audit-Relevance — Cookie-/Endgeraet-Layer.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+
+# TDDDG — Audit-Relevance
+
+## Auto-Loading-Trigger
+
+Bei JEDER Site mit:
+- Cookie-Banner
+- LocalStorage / SessionStorage / IndexedDB
+- Browser-Fingerprinting
+- Service-Worker
+- Tracking-Scripts (GA, Matomo, Plausible, etc.)
+
+## Pflicht-Surfaces
+
+| Surface | TDDDG-§ |
+|---|---|
+| Cookie-Banner | § 25 Abs. 1 |
+| LocalStorage-Tracking | § 25 Abs. 1 |
+| Funktionale Cookies (Session) | § 25 Abs. 2 Nr. 2 |
+| Pre-Tick-Boxen | § 25 Abs. 1 + EuGH C-673/17 |
+| Reject-All-Button | § 25 Abs. 1 + EDPB Guidelines 03/2022 |
+
+## Cross-Reference
+
+- ePrivacy-RL: `gesetze/ePrivacy-RL-2002-58/`
+- Audit-Pattern Cookie: `audit-patterns.md` Phase 5

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/TDDDG/paragraphs.md

@@ -1,6 +1,6 @@
 ---
 license: gemeinfrei nach § 5 UrhG (DE)
-source: https://www.gesetze-im-internet.de/tdddg/
+source: https://www.gesetze-im-internet.de/ttdsg/
 last-checked: 2026-05-01
 purpose: TDDDG (vormals TTDSG) — relevante Paragraphen mit Audit-Mapping. Gilt seit 14.05.2024 (vorher TTDSG seit 01.12.2021).
 ---
@@ -9,7 +9,8 @@ purpose: TDDDG (vormals TTDSG) — relevante Paragraphen mit Audit-Mapping. Gilt
 
 > Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).
 > Vormals TTDSG, umbenannt zum 14.05.2024 (DSA-Anpassungsgesetz).
-> Volltext: https://www.gesetze-im-internet.de/tdddg/
+> Volltext: https://www.gesetze-im-internet.de/ttdsg/ (kanonischer URL bleibt
+> der Legacy-Slug; `/tdddg/` und `/tddg/` sind 404)
 
 ## § 25 — Schutz der Privatsphäre bei Endeinrichtungen (Cookies)
 

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/TKG/articles.md

@@ -0,0 +1,73 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/tkg_2021/
+last-checked: 2026-05-02
+purpose: TKG (Telekommunikationsgesetz) — TK-Anbieter-Pflichten.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+
+# TKG — Audit-relevante Paragraphen
+
+> TKG 2021 (in Kraft seit 01.12.2021).
+> Volltext: https://www.gesetze-im-internet.de/tkg_2021/
+
+## Anwendungsbereich (§ 3)
+
+TKG gilt fuer:
+- Klassische Telekom-Anbieter (Festnetz / Mobilfunk)
+- VoIP-Provider (Skype, RingCentral)
+- Email-Provider mit Massentaetigkeit
+- Cloud-Communication-APIs (Twilio, MessageBird)
+
+NICHT erfasst:
+- Dienste ueber Telekom-Layer (Webseiten, Apps) — diese unterliegen TDDDG / DDG
+
+## § 9 — Anzeigepflicht
+
+Anzeige bei BNetzA bei Aufnahme des Geschaefts.
+
+## § 22 — Pflichten zur Telekommunikations-Sicherheit
+
+- Mind. State-of-the-art TOMs
+- Verschluesselungs-Pflicht
+- Notruf-Routing zu 110/112
+
+## § 109 — Vertraulichkeit
+
+Vertraulichkeit der Kommunikation Pflicht.
+
+## § 169 — Datenschutz-spezifisch
+
+Verkehrsdaten / Standortdaten / Inhaltsdaten — strenge Loesch-Pflichten.
+
+## §§ 178-180 — Vorratsdatenspeicherung
+
+Status 2026: ausgesetzt nach BVerfG-Urteilen + EuGH-Folgen.
+BNetzA hat Aussetzung verkuendet, EU-RL ist offen.
+
+## Notrufpflichten (§§ 164-167)
+
+- Notruf 110 + 112 immer kostenfrei
+- Notruf-Routing zu naechstem Leitstand
+- Standortuebermittlung Pflicht (e911-Aequivalent)
+
+## Sanktionen
+
+BNetzA-Bussgeld:
+- bis 500.000 EUR pro Verstoss
+- bei Vertraulichkeits-Verletzung bis 100.000 EUR
+
+## Audit-Trigger
+
+Wenn Site VoIP / Messaging / Email-Massentaetigkeit anbietet:
+- BNetzA-Anzeige?
+- Notruf-Pflicht (bei VoIP)?
+- TLS-Verschluesselung?
+- Vorratsdatenspeicherung-Status pruefen
+
+## Source
+
+- [gesetze-im-internet.de — TKG](https://www.gesetze-im-internet.de/tkg_2021/)
+- [BNetzA TKG-Page](https://www.bundesnetzagentur.de/DE/Fachthemen/Telekommunikation/start.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/UWG/audit-relevance.md

@@ -0,0 +1,39 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: UWG Audit-Relevance — Wettbewerbsrecht / Werbung / Cold-Outreach.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+
+# UWG — Audit-Relevance
+
+## Auto-Loading-Trigger
+
+Bei B2C-Werbung + Cold-Outreach + Affiliate-Sites.
+
+## Pflicht-Surfaces
+
+| Surface | UWG-§ |
+|---|---|
+| Allgemeine unlautere Geschaeftspraktiken | § 3 |
+| Rechtsbruch (z.B. DSGVO/Cookie-Verstoss als UWG-Hebel) | § 3a |
+| Irrefuehrende Werbung | § 5 |
+| Aussortierende Geschaeftspraktiken | § 5a |
+| Vergleichende Werbung | § 6 |
+| Belaestigung / Cold-Outreach | § 7 |
+| Unterlassungsanspruch | § 8 |
+| Abmahnberechtigte | § 13 |
+
+## Az.-Anker
+
+- BGH I ZR 218/07 (Cold-Outreach-Klassiker, 10.02.2011)
+- BGH I ZR 12/22 (Bestandskunden-Mehrfach-Werbung, 07.06.2023)
+- BGH I ZR 90/20 Cathy Hummels (09.09.2021) — Influencer-Werbung
+- BGH I ZR 35/21 Pamela Reif (09.09.2021) — Influencer-Werbung
+
+## Cross-Reference
+
+- Audit-Pattern Email-Outbound: `audit-patterns.md` Phase 5g
+- Branchen Influencer / Affiliate: `branchenrecht.md`
+- Checkliste 3c Affiliate: `checklisten.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/UWG/paragraphs.md

@@ -93,9 +93,73 @@ Abmahnung darf nicht missbräuchlich sein. Indizien Abs. 2:
 
 - Abs. 1: Pflicht zur Abmahnung VOR Klage (Inanspruchnahme)
 - Abs. 2: Inhaltsanforderungen (Identität, Sachverhalt, geforderte Unterlassung)
-- Abs. 4: Aufwendungsersatz NUR wenn Abmahnung berechtigt + erforderlich
+- Abs. 3 Nr. 1-4: Aufwendungsersatz-Voraussetzung — Mitbewerber, Wirtschaftsverband, Verbraucherverband, IHK/HwK (parallel zu § 8 Abs. 3)
+- **Abs. 4 Nr. 1-2: Aufwendungsersatz-AUSSCHLUSS-Norm (post 02.12.2020 Novelle)**
+- **Abs. 5: Reverse-Anspruch des Abgemahnten bei unberechtigter Abmahnung**
 
-**Audit-Relevanz:** Abmahn-Brief-Templates (`references/abmahn-templates.md`) folgen § 13 Abs. 2 Pflichtinhalt.
+> **WICHTIG (Abgrenzung):** Die 1.000-EUR-Vertragsstrafen-Cap und die < 100-MA-Schwelle stehen **NICHT** in § 13, sondern in **§ 13a Abs. 2 + Abs. 3 UWG** — separater Paragraph (siehe weiter unten). Häufige Verwechslung in Sekundärliteratur. Quelle: gesetze-im-internet.de + dejure.org.
+
+### § 13 Abs. 4 Nr. 1 — Aufwendungsersatz-Ausschluss bei E-Commerce-/Telemedien-Informationspflichten (KEINE MA-Schwelle)
+
+> "Der Anspruch [auf Aufwendungsersatz] aus § 8 Abs. 3 Nr. 1 ist ausgeschlossen bei Mitbewerbern wegen [...] **im elektronischen Geschäftsverkehr oder in digitalen Diensten nach § 1 Abs. 4 Nr. 1 des Digitale-Dienste-Gesetzes** begangenen Verstößen gegen gesetzliche Informations- und Kennzeichnungspflichten."
+
+**Konkret:** Mitbewerber-Abmahnungen wegen reiner Impressum-/Widerruf-/Preisangabe-Verstösse im E-Commerce ⇒ Mitbewerber kann KEINEN Aufwendungsersatz mehr abrechnen. **KEINE Mitarbeiter-Schwelle** — gilt für jeden Abgemahnten unabhängig von Größe.
+
+**Audit-Relevanz:** Mandant erhält Mitbewerber-Abmahnung wegen Impressum/Widerruf/Preisangabe-Pflicht? **§ 13 Abs. 4 Nr. 1 UWG zitieren + Aufwendungsersatz-Forderung verweigern.** MA-Anzahl irrelevant.
+
+### § 13 Abs. 4 Nr. 2 — Aufwendungsersatz-Ausschluss bei DSGVO/BDSG-Verstößen (< 250 MA)
+
+> "Der Anspruch ist ausgeschlossen bei Mitbewerbern wegen [...] **sonstigen Verstößen gegen die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und das Bundesdatenschutzgesetz** durch Unternehmen sowie gewerblich tätige Vereine, **sofern sie in der Regel weniger als 250 Mitarbeiter beschäftigen**."
+
+**Voraussetzungen kumulativ:**
+- Verstoss gegen DSGVO oder BDSG (NICHT TDDDG/DDG — die fallen unter Nr. 1 wenn E-Commerce, sonst nicht)
+- Mitbewerber-Abmahnung (NICHT Behörde, NICHT Wettbewerbszentrale, NICHT Verbraucherverband)
+- Abgemahnter ist Unternehmen oder gewerblich tätiger Verein
+- Abgemahnter beschäftigt **i.d.R. weniger als 250 Mitarbeiter** (NICHT 100 — häufige Sekundärliteratur-Verwechslung mit § 13a)
+
+**Audit-Relevanz fuer Skill-Output:** bei Mandant **< 250 MA** auf der Empfänger-Seite einer Mitbewerber-Abmahnung wegen DSGVO/BDSG: **§ 13 Abs. 4 Nr. 2 UWG-Schutzschild explizit zitieren** + Aufwendungsersatz-Forderung verweigern. Pflicht-Element jedes Antwort-Schreibens. **100-249 MA-Mandanten profitieren ebenfalls** — übliche Verwechslung mit § 13a wäre hier ein vermeidbarer Verteidigungs-Fehler.
+
+### § 13 Abs. 5 — Reverse-Aufwendungsersatz (Abgemahnter gegen Abmahnenden)
+
+> "Soweit die Abmahnung unberechtigt ist oder nicht den Anforderungen des Absatzes 2 entspricht oder soweit entgegen Absatz 4 ein Anspruch auf Aufwendungsersatz geltend gemacht wird, hat der Abgemahnte gegen den Abmahnenden einen Anspruch auf Ersatz der für seine Rechtsverteidigung erforderlichen Aufwendungen. Der Anspruch nach Satz 1 ist beschränkt auf die Höhe des Aufwendungsersatzanspruchs, die der Abmahnende geltend macht. Bei einer unberechtigten Abmahnung ist der Anspruch nach Satz 1 ausgeschlossen, wenn die fehlende Berechtigung der Abmahnung für den Abmahnenden zum Zeitpunkt der Abmahnung nicht erkennbar war. Weitergehende Ersatzansprüche bleiben unberührt."
+
+**Konkret:** Abs. 5 ist KEIN Vertragsstrafen-Cap — Abs. 5 ist ein **Reverse-Schadensersatzanspruch** des Abgemahnten gegen den Abmahnenden, wenn die Abmahnung unberechtigt war oder Abs. 4 verletzt wurde. Höhen-Limit = die Höhe des vom Abmahnenden behaupteten Aufwendungsersatzanspruchs. Keine MA-Schwelle.
+
+**Audit-Relevanz:** Mandant erhält unberechtigte Mitbewerber-Abmahnung (z.B. Aufwendungsersatz nach § 13 Abs. 4 Nr. 1/2 ausgeschlossen)? **§ 13 Abs. 5 = Mandant kann seinerseits eigene Anwalts-Kosten von Abmahnenden einfordern**. Massiver Verteidigungs-Hebel.
+
+## § 13a — Vertragsstrafe (separater Paragraph)
+
+§ 13a regelt die Vertragsstrafen-Bemessung im Zusammenhang mit Unterlassungserklärungen. **Hier** liegen die KMU-Schutz-Mechaniken < 100 MA + 1.000-EUR-Cap.
+
+### § 13a Abs. 1 — Bemessungs-Kriterien
+
+> Bei Bemessung angemessener Vertragsstrafen sind zu berücksichtigen: Art/Umfang/Folgen der Zuwiderhandlung, Verschulden, Größe/Marktstärke/Wettbewerbsfähigkeit des Abgemahnten, wirtschaftliches Interesse an früheren/zukünftigen Verstößen.
+
+### § 13a Abs. 2 — Vertragsstrafe-Ausschluss bei Erst-Abmahnung (< 100 MA)
+
+> "Bei einer erstmaligen Abmahnung wegen Verstößen nach § 13 Absatz 4 Nummer 1 oder 2 ist die Vereinbarung einer Vertragsstrafe nach § 8 Absatz 3 Nummer 1 berechtigten Anspruchstellern ausgeschlossen, sofern der Abgemahnte in der Regel weniger als 100 Mitarbeiter beschäftigt."
+
+**Voraussetzungen kumulativ:**
+- Erstmalige Abmahnung (keine Wiederholung — Wiederholungs-Abmahnung erlaubt Vertragsstrafe)
+- Verstoss nach § 13 Abs. 4 Nr. 1 ODER Nr. 2 (E-Commerce-Info-Pflichten oder DSGVO/BDSG)
+- Mitbewerber-Abmahnung (nach § 8 Abs. 3 Nr. 1)
+- Abgemahnter **< 100 MA** (nicht 250 — andere Schwelle als § 13 Abs. 4 Nr. 2)
+
+**Audit-Relevanz:** Mandant ist Erst-Abmahnungs-Empfänger + < 100 MA + Verstoss fällt unter § 13 Abs. 4? **Vertragsstrafe-Klausel in Unterlassungserklärung verweigern unter § 13a Abs. 2**. Mandant muss Unterlassung erklären, aber OHNE Vertragsstrafe.
+
+### § 13a Abs. 3 — 1.000-EUR-Vertragsstrafen-Cap (< 100 MA + Bagatell-Schaden)
+
+> "Eine Vertragsstrafe darf bei Abmahnungen, durch die nur in unerheblichem Maße Verbraucher-, Mitbewerber- und sonstige Marktteilnehmer-Interessen beeinträchtigt werden, **1.000 Euro nicht überschreiten**, sofern der Abgemahnte in der Regel **weniger als 100 Mitarbeiter** beschäftigt."
+
+**Voraussetzungen kumulativ:**
+- Bagatell-Verstoss (geringfügige Interessen-Beeinträchtigung — eng auszulegen, keine wettbewerbserheblichen Verstöße)
+- Abgemahnter **< 100 MA**
+
+**Konkret:** Klausel "30.000 EUR Vertragsstrafe je weiterer Verstoss" in der vorgegebenen Unterlassungserklärung ist bei Bagatell + < 100 MA **auf 1.000 EUR/Verstoss zu reduzieren**.
+
+**Audit-Relevanz:** Mandant ist Abmahnungs-Empfänger + Bagatell-Verstoss + < 100 MA? **Pflicht-Check der Vertragsstrafe-Höhe in der vorgegebenen Unterlassungserklärung**. Bei Überschreitung 1.000 EUR-Cap: gegnerischen Anwalt auf **§ 13a Abs. 3** hinweisen (NICHT § 13 Abs. 5 — häufige Falsch-Citation in Sekundärliteratur).
+
+**Audit-Relevanz:** Abmahn-Brief-Templates (`references/abmahn-templates.md`) folgen § 13 Abs. 2 Pflichtinhalt + Abwehr-Templates müssen **§ 13 Abs. 4 Nr. 1/2 + § 13a Abs. 2 + Abs. 3** als Standard-Verteidigungs-Linie zitieren (nicht § 13 Abs. 5 für Vertragsstrafen-Cap).
 
 ---
 
@@ -114,4 +178,8 @@ Abmahnung darf nicht missbräuchlich sein. Indizien Abs. 2:
 | Cold-Anruf | § 7 Abs. 2 Nr. 2 |
 | Bestandskunden-Werbung | § 7 Abs. 3 |
 | Abmahn-Brief-Pflichten | § 13 Abs. 2 |
-| Aufwendungsersatz-Limit | § 13 Abs. 4 |
+| Aufwendungsersatz-Ausschluss E-Commerce-Info-Pflichten (KEINE MA-Schwelle) | § 13 Abs. 4 Nr. 1 |
+| **Aufwendungsersatz-Ausschluss DSGVO/BDSG (< 250 MA Mandant)** | **§ 13 Abs. 4 Nr. 2** — Schutzschild bei Mitbewerber-Abmahnung |
+| Reverse-Aufwendungsersatz Abgemahnter ⇒ Abmahnender (unberechtigt) | § 13 Abs. 5 |
+| Vertragsstrafe-Ausschluss Erst-Abmahnung (< 100 MA + § 13 Abs. 4) | § 13a Abs. 2 |
+| Vertragsstrafe-Cap 1.000 EUR (< 100 MA + Bagatell) | § 13a Abs. 3 |