Brachflächen-Dialog API nicht verfügbar
Hoch
USP wird schwächer; eigene Datensammlung wird nötig.
Maßnahme: Frühe schriftliche Klärung durch Magnus, Fallback-Produkt definieren.
BEV / NÖGIS-Exportrechte unklar
Hoch
Planer-Abo und DXF/GeoJSON-Export können rechtlich blockiert sein.
Maßnahme: Rechtsprüfung vor Exportmodul; notfalls nur eigene Bewertung exportieren.
ALSAG falsch vermarktet
Hoch
Haftungsversprechen wäre fachlich und rechtlich riskant.
Maßnahme: Nur Hinweis auf veröffentlichte Flächen; klarer Disclaimer.
Szenario-Engine bleibt unscharf
Hoch
Produkt wirkt wie ein generischer KI-Bericht.
Maßnahme: Domain-Workshop und Regelkatalog vor MVP-Sprint.
GesbR-Haftung unterschätzt
Hoch
Persönliche Haftung bei Kunden, Daten, Subprozessoren, Verbindlichkeiten.
Maßnahme: GesbR eng begrenzen; GmbH/FlexKapG früh prüfen.
Fördermatching nicht wartbar
Mittel
Scraping und Regelpflege binden laufend Zeit.
Maßnahme: Kuratierter Katalog. Automatisierung erst später.
Single-Tech-Founder-Bottleneck
Mittel-Hoch
Eine Person wird Engpass für Produkt, Betrieb, Support und Daten.
Maßnahme: Ab Phase 3/4 Tech-Hire oder Budget einplanen — konkret ab Monat 18.
Behörden-API-Reliability
Mittel
BEV-WFS, NÖGIS, HORA-WMS sind nicht für 99,9 %-SLA gebaut. Wenn die Plattform live ist und die Quelle ausfällt, ist der Report leer oder falsch.
Maßnahme: Aggressive Caching-Strategie (PostGIS pre-warm pro Pilotgemeinde), Stale-While-Revalidate, klarer „Datenquelle aktuell nicht erreichbar"-Status statt Silent Failure. Abhängigkeitsmatrix pro Layer pflegen.
White-Label-Architektur erst spät bedacht
Mittel
Im PDF kommt White Label erst in Phase 5. Wenn das zweite Bundesland einsteigt, ist es zu spät, Tenant-Trennung nachträglich einzubauen.
Maßnahme: Tenant-/Mandanten-Schema und Konfig-Layer schon in Sprint 1 mitdenken — auch wenn nur ein Tenant aktiv ist.
HORA / LFRZ — kommerzielle Lizenz unklar
Hoch
HORA-Hochwasser-Layer über das LFRZ kann für kommerzielle Akteure einen kostenpflichtigen Reseller-Vertrag erfordern — die OGD-Lizenz deckt nicht zwingend B2B-Abos ab. Verstoß bedeutet Unterlassungsklage und Nachforderungen.
Maßnahme: Reseller-Status beim BML / LFRZ schriftlich klären vor Phase-3-Launch. Notfalls nur WFS-Vektoren ziehen, eigene Intersection berechnen, keine WMS-Bilddaten reproduzieren.
Schema-Drift bei Behörden-XML
Mittel
BEV/HORA/ALSAG liefern OGC-XML/GML ohne saubere API-Versionierung. Unangekündigte Schema-Updates lassen Parser still scheitern → leere Felder → halluzinierte LLM-Reports, die niemand bemerkt.
Maßnahme: Schema-Validierung in der Ingest-Pipeline + Alert bei null-Feldern + automatischer Quality-Check im Report (nicht nur „Daten geladen", sondern „Daten plausibel").
Gemeinderatsprotokolle — DSGVO & Datenqualität
Mittel
Protokolle enthalten Klarnamen von Bürgern, Eigentümern, Antragstellern. Heterogene Formate (HTML, PDF, gescannt) erschweren strukturierte Extraktion; falsche Zuordnung „Beschluss → Parzelle" kann zu rechtlich problematischen Aussagen im Report führen.
Maßnahme: NER-basierte Anonymisierung vor dem RAG-Index, Sub-Prozessor-AVV mit OCR-Anbieter, Output nur als „indikativer Planungshinweis" mit Quellenangabe und Zeitstempel — kein Direktbezug auf benannte Personen.
Google / Bing AGB für Karten- und Bilderdienste
Hoch
Maps Platform ToS verbieten Bulk-Download, dauerhaftes Caching (> 30 Tage), ML-Training auf Inhalten und Aufbau konkurrierender Datenbanken. Street-View-AI-Auswertung fällt direkt darunter. Verstoß führt zu sofortiger API-Konto-Sperre (betrifft auch Geocoding, Maps Embed) plus zivilrechtliche Schritte.
Maßnahme: Street-View-Bilder nur als Embed-Player im Report, keine AI-Auswertung. Für Fassaden-Analyse: Mapillary (CC BY-SA) oder eigene Fassaden-Erfassung beim Beratungstermin (siehe §05 Phasierungskarte „Eigene Fassaden-Daten"). Lizenz-Compliance-Audit vor Phase-3-Launch.
Tenant-Isolation und Account-Takeover
Mittel-Hoch
Multi-Tenant-Plattform mit B2C-, B2B- und B2G-Personas gleichzeitig — ein vergessener Tenant-Filter in einer Query leakt Gemeinde-Daten zu Planungsbüro oder Privat-User. Platform-Admin-Account-Übernahme würde Vollzugriff auf alle Tenants bedeuten (Impersonation, Sync-State-Manipulation).
Maßnahme: Zwei-Stufen-RLS ab Tag 1 (App-Ebene Drizzle-Helper + Postgres Row-Level Security mit Org-Isolation-Policies), TOTP-2FA für platform_admin ab Tag 1, Audit-Log für Admin-Aktionen, periodische DSGVO-Löschung von Anonymous-Sessions. Details: ADR-0006 + ADR-0007 in docs/decisions/.