Allgemeine Geschäftsbedingungen (AGB)

eitisec
Inhaber: Björn Eitmann
Bertolt-Brecht-Weg 57
28279 Bremen
Deutschland

1. Geltungsbereich

(1) Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für alle Verträge zwischen eitisec, Inhaber Björn Eitmann (nachfolgend „Anbieter“) und seinen Kunden (nachfolgend „Kunde“) über Beratungsleistungen im Bereich IT-Sicherheit sowie die Durchführung von Penetrationstests („Pentests“), sofern nicht ausdrücklich etwas anderes vereinbart wurde.

(2) Die Leistungen des Anbieters richten sich ausschließlich an Unternehmer im Sinne von § 14 BGB (B2B). Gegenüber Verbrauchern finden diese AGB keine Anwendung.

(3) Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen des Kunden werden nur dann und insoweit Vertragsbestandteil, als der Anbieter ihrer Geltung ausdrücklich schriftlich zugestimmt hat.

2. Vertragsgegenstand

(1) Der Anbieter erbringt Beratungsleistungen im Bereich IT-Sicherheit sowie Pentests von IT-Systemen, Netzwerken oder Anwendungen des Kunden. Art und Umfang der konkreten Leistungen ergeben sich aus dem jeweiligen Angebot, der Leistungsbeschreibung oder der individuellen Vereinbarung mit dem Kunden.

(2) Ein Pentest wird ausschließlich auf den vom Kunden freigegebenen Systemen und in dem ausdrücklich vereinbarten Umfang durchgeführt. Der Anbieter ist nicht verpflichtet, über den vereinbarten Umfang hinaus Prüfungen vorzunehmen.

(3) Der Anbieter schuldet kein bestimmtes wirtschaftliches Ergebnis und keine Garantie für die vollständige Sicherheit der Systeme des Kunden. Insbesondere wird nicht garantiert, dass sämtliche existierenden Sicherheitslücken gefunden werden.

3. Mitwirkungspflichten des Kunden

(1) Der Kunde ist verpflichtet, dem Anbieter alle Informationen, Zugänge und Unterlagen zur Verfügung zu stellen, die zur ordnungsgemäßen Erbringung der Leistungen notwendig sind.

(2) Der Kunde hat vor Beginn eines Pentests angemessene und aktuelle Datensicherungen seiner Systeme zu erstellen und den ordnungsgemäßen Betrieb sicherzustellen. Datensicherungen haben den aktuellen Stand der Technik zu berücksichtigen.

(3) Der Kunde stellt sicher, dass alle internen Freigaben und gegebenenfalls erforderlichen Genehmigungen (z. B. durch Hosting-Provider, Konzern-IT, externe Dienstleister) für die Durchführung des Pentests vorliegen. Der Kunde trägt die Verantwortung dafür, dass die beauftragten Tests rechtlich zulässig sind.

4. Durchführung von Penetrationstests

(1) Pentests können, je nach Art und Umfang, Auswirkungen auf die Verfügbarkeit, Performance oder Stabilität der getesteten Systeme haben. Der Anbieter weist den Kunden hierauf hin; der Kunde trägt die Verantwortung für die Wahl des Testzeitraums (z. B. außerhalb produktiver Spitzenzeiten).

(2) Der Anbieter führt die Tests nach bestem Wissen und Gewissen sowie nach allgemein anerkannten Methoden durch. Der Anbieter ist berechtigt, Subunternehmer einzusetzen, bleibt jedoch gegenüber dem Kunden verantwortlich.

(3) Der Kunde erhält nach Abschluss des Pentests einen Bericht über die wesentlichen Ergebnisse sowie – soweit vereinbart – Handlungsempfehlungen. Die Umsetzung dieser Empfehlungen obliegt allein dem Kunden.

5. Geheimhaltung und Vertraulichkeit

(1) Der Anbieter behandelt alle Informationen und Unterlagen des Kunden vertraulich und verwendet sie ausschließlich zur Erfüllung der vertraglich vereinbarten Leistungen.

(2) Die Pflicht zur Vertraulichkeit gilt nicht für Informationen, die allgemein bekannt sind, dem Anbieter bereits rechtmäßig bekannt waren oder dem Anbieter von dritter Seite rechtmäßig ohne Geheimhaltungspflicht mitgeteilt wurden.

6. Vergütung und Zahlungsbedingungen

(1) Die Vergütung des Anbieters ergibt sich aus dem jeweiligen Angebot oder der individuellen Vereinbarung mit dem Kunden. Alle Preisangaben verstehen sich, sofern nicht anders angegeben, netto zuzüglich gesetzlicher Umsatzsteuer.

(2) Rechnungen sind, sofern nichts anderes vereinbart, innerhalb von 14 Tagen nach Rechnungsdatum ohne Abzug zur Zahlung fällig.

(3) Gerät der Kunde in Zahlungsverzug, ist der Anbieter berechtigt, Verzugszinsen in gesetzlicher Höhe zu verlangen sowie weitere Leistungen bis zur vollständigen Zahlung zurückzuhalten.

7. Nutzungsrechte

(1) Der Kunde erhält an den vom Anbieter erstellten Berichten, Analysen, Dokumentationen und sonstigen Arbeitsergebnissen ein einfaches, nicht übertragbares Nutzungsrecht zum internen Gebrauch im Unternehmen des Kunden.

(2) Eine Weitergabe an Dritte oder eine über den vereinbarten Zweck hinausgehende Nutzung bedarf der vorherigen schriftlichen Zustimmung des Anbieters, sofern nicht gesetzlich zwingend etwas anderes vorgeschrieben ist (z. B. gegenüber Behörden).

8. Haftung

(1) Der Anbieter haftet auf Schadensersatz – gleich aus welchem Rechtsgrund – nur bei Vorsatz und grober Fahrlässigkeit.

(2) Bei einfacher Fahrlässigkeit haftet der Anbieter nur:

• für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, und
• für Schäden aus der Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht), d. h. einer Pflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf. In diesem Fall ist die Haftung des Anbieters jedoch auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens begrenzt.

(3) Eine weitergehende Haftung des Anbieters auf Schadensersatz als in dieser Ziffer vorgesehen ist ausgeschlossen. Dies gilt insbesondere für entgangenen Gewinn, Produktionsausfälle, Betriebsunterbrechungen, mittelbare oder Folgeschäden, es sei denn, es liegt Vorsatz oder grobe Fahrlässigkeit vor.

(4) Die Haftung des Anbieters für Datenverluste wird auf den typischen Wiederherstellungsaufwand beschränkt, der bei ordnungsgemäßer und regelmäßiger Datensicherung durch den Kunden entstanden wäre.

(5) Eine Haftung für Schäden, die daraus resultieren, dass der Kunde seine Mitwirkungspflichten (insbesondere zur Datensicherung und Bereitstellung von Informationen) nicht oder nicht ordnungsgemäß erfüllt hat, ist ausgeschlossen.

(6) Die vorstehenden Haftungsbeschränkungen gelten nicht, soweit der Anbieter eine Garantie übernommen hat oder nach zwingenden gesetzlichen Vorschriften, insbesondere nach dem Produkthaftungsgesetz, gehaftet wird.

9. Keine Garantie vollständiger Sicherheit

(1) Pentests und Beratungsleistungen im Bereich IT-Sicherheit können Schwachstellen aufzeigen, bieten jedoch keine Garantie dafür, dass sämtliche bestehenden oder zukünftigen Sicherheitslücken erkannt werden.

(2) Der Kunde bleibt für den laufenden Betrieb, die Aktualisierung, Konfiguration und Überwachung seiner Systeme selbst verantwortlich. Der Anbieter schuldet keine permanente Überwachung der Systeme des Kunden.

10. Verzug, Abnahme und Kündigung

(1) Vereinbarte Termine und Fristen sind nur dann verbindlich, wenn sie ausdrücklich als solche bezeichnet wurden. Kommt der Anbieter mit der Leistung in Verzug, hat der Kunde zunächst eine angemessene Nachfrist zu setzen.

(2) Sofern eine förmliche Abnahme vereinbart ist, gilt die Leistung spätestens als abgenommen, wenn der Kunde die Leistung produktiv nutzt oder nicht innerhalb von 14 Tagen nach Zugang der Abnahmeaufforderung wesentliche Mängel rügt.

(3) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Die Kündigung bedarf der Schriftform (z. B. Brief, E-Mail).

11. Datenschutz

(1) Der Anbieter verarbeitet personenbezogene Daten des Kunden ausschließlich im Rahmen der geltenden Datenschutzbestimmungen. Näheres ergibt sich aus der auf der Website des Anbieters abrufbaren Datenschutzerklärung.

12. Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

(2) Ist der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, ist Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag der Sitz des Anbieters (Bremen).

(3) Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt diejenige wirksame Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.