Allgemeine Geschäftsbedingungen

§ 1 Geltungsbereich

(1) Diese Allgemeinen Geschäftsbedingungen (nachfolgend "AGB") gelten für alle Verträge zwischen Net-Evolution, Inhaber Marvin Henrich, Weinbergstraße 17, 55452 Dorsheim (nachfolgend "Auftragnehmer") und dem jeweiligen Auftraggeber (nachfolgend "Auftraggeber") über die Erbringung von IT-Sicherheitsdienstleistungen.

(2) Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen des Auftraggebers werden nur dann Vertragsbestandteil, wenn und soweit der Auftragnehmer ihrer Geltung ausdrücklich schriftlich zugestimmt hat. Dieses Zustimmungserfordernis gilt in jedem Fall, beispielsweise auch dann, wenn der Auftragnehmer in Kenntnis der AGB des Auftraggebers die Leistung vorbehaltlos erbringt.

(3) Diese AGB gelten ausschließlich gegenüber Unternehmern im Sinne von § 14 BGB, juristischen Personen des öffentlichen Rechts oder öffentlich-rechtlichen Sondervermögen.

§ 2 Vertragsgegenstand

(1) Gegenstand des Vertrages ist die Erbringung von IT-Sicherheitsdienstleistungen durch den Auftragnehmer. Der genaue Umfang der Leistungen ergibt sich aus dem jeweiligen Angebot, der Leistungsbeschreibung oder dem individuellen Vertrag.

(2) Der Auftragnehmer erbringt seine Leistungen nach dem aktuellen Stand der Technik und unter Beachtung der einschlägigen gesetzlichen Vorschriften, insbesondere des IT-Sicherheitsrechts und des Datenschutzrechts.

(3) Die Leistungen des Auftragnehmers stellen Dienstleistungen dar, sofern nicht ausdrücklich ein bestimmter Erfolg geschuldet wird. Der Auftragnehmer schuldet die sorgfältige und fachgerechte Durchführung der vereinbarten Tätigkeiten.

§ 3 Leistungskatalog

Der Auftragnehmer bietet insbesondere folgende IT-Sicherheitsdienstleistungen an:

• Security Audits und Schwachstellenanalysen: Systematische Überprüfung von IT-Systemen, Netzwerken und Anwendungen auf Sicherheitslücken und Schwachstellen, einschließlich der Erstellung detaillierter Berichte mit Handlungsempfehlungen.
• Penetration Testing (Webanwendungen, APIs, Infrastruktur): Simulierte Angriffe auf IT-Systeme zur Identifizierung von Sicherheitslücken, die von Angreifern ausgenutzt werden könnten. Umfasst externe und interne Tests, Black-Box-, Grey-Box- und White-Box-Ansätze.
• NIS2- und Compliance-Beratung (ISO 27001, SOC 2): Beratung und Unterstützung bei der Umsetzung regulatorischer Anforderungen, einschließlich NIS2-Richtlinie, ISO 27001 und SOC 2. Gap-Analysen, Maßnahmenpläne und Begleitung bei Zertifizierungsprozessen.
• Security Retainer (laufende Sicherheitsbegleitung): Kontinuierliche Sicherheitsbetreuung mit festem Stundenkontingent, regelmäßigen Reviews und priorisierten Reaktionszeiten bei Sicherheitsvorfällen.
• IT-Sicherheitsberatung für Unternehmen: Individuelle Beratung zu Sicherheitsstrategien, Architektur-Reviews, Risikoanalysen und Erstellung von Sicherheitskonzepten.

Der konkrete Leistungsumfang wird im jeweiligen Angebot individuell festgelegt.

§ 4 Angebot und Vertragsschluss

(1) Die Darstellung der Leistungen auf der Website des Auftragnehmers stellt kein rechtlich bindendes Angebot, sondern eine unverbindliche Aufforderung zur Abgabe eines Angebots dar.

(2) Nach Eingang einer Anfrage erstellt der Auftragnehmer ein individuelles Angebot. Dieses Angebot ist, sofern nicht anders angegeben, 30 Kalendertage gültig.

(3) Der Vertrag kommt durch schriftliche Auftragsbestätigung des Auftragnehmers oder durch Beginn der Leistungserbringung zustande. Die Schriftform ist auch durch E-Mail gewahrt.

(4) Nachträgliche Änderungen oder Erweiterungen des Leistungsumfangs bedürfen einer gesonderten schriftlichen Vereinbarung. Der Auftragnehmer wird dem Auftraggeber hierfür ein separates Angebot unterbreiten.

§ 5 Leistungsumfang und Durchführung

(1) Der Auftragnehmer erbringt die vertraglich vereinbarten Leistungen nach bestem Wissen und Gewissen unter Anwendung anerkannter Methoden und Standards der IT-Sicherheit (insbesondere OWASP, BSI-Grundschutz, PTES, OSSTMM).

(2) Der Auftragnehmer bestimmt die Art und Weise der Leistungserbringung nach eigenem fachlichem Ermessen, soweit nicht im Einzelvertrag abweichende Vereinbarungen getroffen wurden.

(3) Leistungstermine und -fristen sind nur dann verbindlich, wenn sie ausdrücklich als solche vereinbart wurden. Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn absehbar ist, dass vereinbarte Termine nicht eingehalten werden können.

(4) Die Ergebnisse der Leistungserbringung werden dem Auftraggeber in Form eines schriftlichen Berichts (Abschlussbericht) übergeben, sofern nicht anders vereinbart. Der Bericht enthält eine Zusammenfassung der Ergebnisse, eine Risikoeinschätzung sowie konkrete Handlungsempfehlungen.

(5) Teilleistungen sind zulässig, soweit sie für den Auftraggeber zumutbar sind.

§ 6 Mitwirkungspflichten des Auftraggebers

(1) Der Auftraggeber ist verpflichtet, die für die Durchführung der Leistungen erforderlichen Mitwirkungshandlungen rechtzeitig und vollständig zu erbringen. Insbesondere hat der Auftraggeber:

• alle für die Leistungserbringung erforderlichen Informationen, Unterlagen und Zugänge rechtzeitig und unentgeltlich zur Verfügung zu stellen;
• Ansprechpartner zu benennen, die fachlich qualifiziert und entscheidungsbefugt sind;
• vor Beginn der Tests eine schriftliche Autorisierung (Permission to Test) zu erteilen;
• sicherzustellen, dass die zu prüfenden Systeme in einem Zustand vorliegen, der eine sinnvolle Prüfung ermöglicht;
• den Auftragnehmer unverzüglich über Änderungen an den zu prüfenden Systemen zu informieren, die während der Testdurchführung vorgenommen werden.

(2) Kommt der Auftraggeber seinen Mitwirkungspflichten nicht oder nicht rechtzeitig nach, verlängern sich vereinbarte Leistungsfristen entsprechend. Der Auftragnehmer ist berechtigt, den durch die Verzögerung entstehenden Mehraufwand nach den vereinbarten Konditionen in Rechnung zu stellen.

(3) Für Schäden, die auf die Verletzung der Mitwirkungspflichten zurückzuführen sind, haftet der Auftragnehmer nicht.

§ 7 Vergütung und Zahlung

(1) Die Vergütung richtet sich nach dem individuellen Angebot. Alle genannten Preise verstehen sich als Nettopreise zuzüglich der gesetzlichen Umsatzsteuer.

(2) Sofern nicht anders vereinbart, wird die Vergütung nach Abschluss der Leistung und Übergabe des Abschlussberichts in Rechnung gestellt. Bei umfangreicheren Projekten kann eine Abschlagszahlung oder Aufteilung in Teilrechnungen vereinbart werden.

(3) Rechnungen sind innerhalb von 14 Kalendertagen nach Rechnungserhalt ohne Abzug zur Zahlung fällig, sofern nicht anders vereinbart.

(4) Im Falle des Zahlungsverzugs ist der Auftragnehmer berechtigt, Verzugszinsen in Höhe von 9 Prozentpunkten über dem Basiszinssatz gemäß § 288 Abs. 2 BGB zu verlangen. Die Geltendmachung eines weitergehenden Verzugsschadens bleibt vorbehalten.

(5) Reise- und Übernachtungskosten werden, sofern nicht im Angebot enthalten, gesondert nach tatsächlichem Aufwand abgerechnet.

§ 8 Vertraulichkeit und Geheimhaltung

(1) Beide Vertragsparteien verpflichten sich, alle im Rahmen der Vertragsanbahnung und -durchführung erlangten Kenntnisse von vertraulichen Informationen und Geschäftsgeheimnissen der jeweils anderen Partei zeitlich unbegrenzt vertraulich zu behandeln und nur für die Zwecke der Vertragsdurchführung zu verwenden.

(2) Vertrauliche Informationen im Sinne dieser AGB sind sämtliche Informationen, die als vertraulich gekennzeichnet sind oder nach den Umständen als vertraulich anzusehen sind. Hierzu gehören insbesondere Sicherheitsberichte, Schwachstellenanalysen, Penetrationstestergebnisse, technische Dokumentationen, Netzwerkpläne, Zugangsdaten und sonstige sicherheitsrelevante Informationen.

(3) Die Geheimhaltungspflicht gilt nicht für Informationen, die:

• zum Zeitpunkt der Mitteilung bereits öffentlich bekannt waren oder danach ohne Verschulden der empfangenden Partei öffentlich bekannt werden;
• der empfangenden Partei vor Erhalt von der offenlegenden Partei bereits nachweislich bekannt waren;
• von der empfangenden Partei unabhängig entwickelt wurden;
• aufgrund gesetzlicher Verpflichtung oder behördlicher bzw. gerichtlicher Anordnung offengelegt werden müssen.

(4) Der Auftragnehmer ist berechtigt, den Auftraggeber als Referenzkunden zu nennen, sofern der Auftraggeber dem nicht ausdrücklich widerspricht. Inhaltliche Details der Zusammenarbeit werden dabei nicht offengelegt.

§ 9 Haftung

(1) Der Auftragnehmer haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer vorsätzlichen oder fahrlässigen Pflichtverletzung des Auftragnehmers beruhen, sowie für Schäden, die auf vorsätzlichem oder grob fahrlässigem Verhalten beruhen.

(2) Für leichte Fahrlässigkeit haftet der Auftragnehmer nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten). Wesentliche Vertragspflichten sind solche, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen darf.

(3) Bei Verletzung wesentlicher Vertragspflichten durch leichte Fahrlässigkeit ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt. Die Haftung ist in jedem Fall auf die Höhe der vereinbarten Vergütung für den jeweiligen Einzelauftrag beschränkt.

(4) Der Auftragnehmer haftet nicht für Schäden, die durch die Ausnutzung der im Rahmen von Penetrationstests aufgedeckten Schwachstellen durch Dritte entstehen, sofern der Auftragnehmer die Schwachstellen ordnungsgemäß dokumentiert und dem Auftraggeber mitgeteilt hat.

(5) Der Auftragnehmer haftet nicht für Betriebsunterbrechungen oder Datenverluste, die im Rahmen von vereinbarten und autorisierten Sicherheitstests auftreten, sofern der Auftraggeber zuvor über die möglichen Risiken informiert wurde und seine Zustimmung erteilt hat.

(6) Die vorstehenden Haftungsbeschränkungen gelten auch zugunsten der Erfüllungsgehilfen des Auftragnehmers.

§ 10 Datenschutz

(1) Beide Vertragsparteien verpflichten sich, die anwendbaren datenschutzrechtlichen Bestimmungen, insbesondere die DSGVO und das BDSG, einzuhalten.

(2) Soweit der Auftragnehmer im Rahmen der Leistungserbringung Zugang zu personenbezogenen Daten des Auftraggebers erhält, wird der Auftragnehmer diese Daten nur im Rahmen des Auftrags und nach Weisung des Auftraggebers verarbeiten.

(3) Sofern eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vorliegt, schließen die Parteien einen gesonderten Auftragsverarbeitungsvertrag ab. Ein Muster hierfür wird vom Auftragnehmer bereitgestellt.

(4) Weitere Informationen zur Datenverarbeitung finden Sie in unserer Datenschutzerklärung.

§ 11 Laufzeit und Kündigung

(1) Die Laufzeit des Vertrages ergibt sich aus dem jeweiligen Angebot bzw. der individuellen Vereinbarung.

(2) Einzelaufträge (z. B. einzelne Penetrationstests oder Security Audits) enden mit der Erbringung der vereinbarten Leistung und Übergabe des Abschlussberichts.

(3) Dauerschuldverhältnisse (z. B. Security Retainer) können von beiden Parteien mit einer Frist von drei Monaten zum Monatsende ordentlich gekündigt werden, sofern im Einzelvertrag keine abweichende Regelung getroffen wurde.

(4) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn:

• eine Vertragspartei trotz Mahnung und angemessener Nachfristsetzung wesentliche Vertragspflichten verletzt;
• über das Vermögen einer Vertragspartei ein Insolvenzverfahren eröffnet oder die Eröffnung mangels Masse abgelehnt wird;
• der Auftraggeber die Autorisierung für die Sicherheitstests widerruft.

(5) Die Kündigung bedarf der Schriftform. Die Schriftform ist auch durch E-Mail gewahrt.

§ 12 Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

(2) Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dem Vertragsverhältnis ist, soweit gesetzlich zulässig, der Geschäftssitz des Auftragnehmers (Amtsgericht Bad Kreuznach).

(3) Änderungen und Ergänzungen dieser AGB bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.

(4) Der Auftragnehmer behält sich das Recht vor, diese AGB mit angemessener Vorankündigung zu ändern. Bestehende Verträge bleiben von Änderungen unberührt.

§ 13 Salvatorische Klausel

(1) Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt.

(2) Anstelle der unwirksamen Bestimmung gilt diejenige wirksame Bestimmung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt für etwaige Regelungslücken.