Unsere Allgemeinen Geschäftsbedigungen
Allgemeine Geschäftsbedingungen (AGB) für die Durchführung von Audits und Beratungsleistungen im Bereich Managementsysteme, Informationssicherheit und Cybersecurity
§ 1 Geltungsbereich und Vertragsgegenstand
(1) Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für alle Verträge, die zwischen der Threat-Informed Cybersecurity Solutions GmbH (im Folgenden „Auftragnehmer“) und dem Kunden (im Folgenden „Auftraggeber“) über die Durchführung von Audits, Beratungsleistungen und anderen Dienstleistungen im Bereich Managementsysteme, Informationssicherheit und Cybersecurity abgeschlossen werden.
(2) Gegenstand des Vertrages sind insbesondere:
-
Audits von Managementsystemen (z.B. Qualitätsmanagement, Informationssicherheit, Umweltmanagement)
-
Beratung und Unterstützung bei der Einführung, Optimierung und Zertifizierung von Managementsystemen
-
Beratung und Unterstützung im Bereich Informationssicherheit und Cybersecurity, einschließlich Risikomanagement, Schwachstellenanalysen und Sicherheitsberatung.
§ 2 Vertragsschluss
(1) Die Angebote des Auftragnehmers sind freibleibend und unverbindlich, sofern nicht ausdrücklich etwas anderes vereinbart wurde.
(2) Der Vertrag kommt entweder durch die schriftliche Bestätigung des Auftrags oder durch die ausdrückliche Zusage des Auftraggebers, z.B. per E-Mail oder auf andere Weise, zustande.
(3) Der Vertrag tritt mit der Bestätigung durch den Auftragnehmer oder der Durchführung der vereinbarten Leistung in Kraft.
§ 3 Leistungsumfang und -durchführung
(1) Der genaue Umfang der durch den Auftragnehmer zu erbringenden Leistungen ergibt sich aus dem jeweiligen Vertrag oder Angebot.
(2) Der Auftragnehmer verpflichtet sich, die vereinbarten Leistungen nach besten Kräften und gemäß den allgemein anerkannten Standards der Informationssicherheit und Cybersecurity durchzuführen.
(3) Der Auftraggeber verpflichtet sich, alle notwendigen Informationen und Unterlagen rechtzeitig zur Verfügung zu stellen, die für die ordnungsgemäße Durchführung des Audits oder der Beratung erforderlich sind.
§ 4 Vergütung und Zahlungsbedingungen
(1) Die Vergütung für die erbrachten Leistungen ergibt sich aus dem Angebot oder dem Vertrag.
(2) Sofern nichts anderes vereinbart wurde, ist die Zahlung der Vergütung innerhalb von 14 Tagen nach Rechnungsstellung ohne Abzüge fällig.
(3) Sollte der Auftraggeber mit der Zahlung in Verzug geraten, ist der Auftragnehmer berechtigt, Verzugszinsen in Höhe von 8 % über dem Basiszinssatz gemäß § 288 BGB zu verlangen.
(4) Alle angegebenen Preise verstehen sich zuzüglich der gesetzlichen Umsatzsteuer.
§ 5 Mitwirkungspflichten des Auftraggebers
(1) Der Auftraggeber verpflichtet sich, dem Auftragnehmer alle für die Durchführung des Audits oder der Beratung relevanten Unterlagen und Informationen vollständig und rechtzeitig zur Verfügung zu stellen.
(2) Der Auftraggeber stellt sicher, dass der Auftragnehmer Zugang zu den relevanten Räumlichkeiten, Systemen und Dokumentationen erhält, die für die Durchführung der Audits oder Beratungsleistungen erforderlich sind.
(3) Der Auftraggeber ist verpflichtet, alle für die Informationssicherheit relevanten Risiken und Schwachstellen zu offenbaren, die dem Auftraggeber bekannt sind.
§ 6 Datenschutz und Informationssicherheit
(1) Datenschutz
(1.1) Der Auftragnehmer verpflichtet sich, alle personenbezogenen Daten, die im Rahmen der vertraglichen Leistungserbringung verarbeitet werden, gemäß der Datenschutz-Grundverordnung (DSGVO) und anderer relevanter Datenschutzgesetze zu verarbeiten.
(1.2) Sofern der Auftragnehmer im Rahmen der vertraglichen Leistungen personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, wird eine Auftragsverarbeitungsvereinbarung (AVV) abgeschlossen. Die Bestimmungen der Auftragsverarbeitung werden in einem separaten Dokument geregelt.
(1.3) Der Auftragnehmer verpflichtet sich, alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um den Schutz der personenbezogenen Daten sicherzustellen und mögliche Risiken (z. B. durch Datenverlust, unbefugten Zugriff oder unrechtmäßige Verarbeitung) zu minimieren.
(2) Informationssicherheit und Cybersecurity
(2.1) Der Auftragnehmer verpflichtet sich, alle Leistungen im Bereich der Informationssicherheit und Cybersecurity unter Einhaltung anerkannter Standards durchzuführen.
(2.2) Der Auftragnehmer ergreift technische und organisatorische Maßnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT-Systemen, die im Rahmen der Leistungserbringung verarbeitet oder gespeichert werden, zu gewährleisten.
(2.3) Der Auftragnehmer gewährleistet, dass alle Mitarbeitenden, die Zugang zu sicherheitsrelevanten Informationen oder IT-Systemen haben, regelmäßig in Bezug auf Datenschutz und Informationssicherheit geschult werden und dass die eingesetzten IT-Systeme regelmäßig auf Sicherheitslücken überprüft werden.
(2.4) Der Auftraggeber ist verpflichtet, den Auftragnehmer unverzüglich über Sicherheitslücken oder Datenschutzverletzungen zu informieren, die während der Durchführung der Leistungen festgestellt werden.
(2.5) Der Auftraggeber verpflichtet sich, den Auftragnehmer unverzüglich über Cyberangriffe oder Sicherheitsvorfälle zu informieren, die möglicherweise Auswirkungen auf die IT-Systeme oder Daten des Auftragnehmers haben könnten, insbesondere, wenn diese Angriffe die Verfügbarkeit oder Integrität von IT-Systemen oder die Vertraulichkeit von Daten betreffen. Der Auftragnehmer muss in solchen Fällen schnellstmöglich über die potenziellen Auswirkungen auf seine eigenen Systeme und Prozesse informiert werden, um erforderliche Gegenmaßnahmen zu ergreifen.
§ 7 Haftung und Gewährleistung
(1) Der Auftragnehmer haftet nach den gesetzlichen Bestimmungen für Schäden, die auf vorsätzlichem oder grob fahrlässigem Verhalten beruhen.
(2) Für leichte Fahrlässigkeit haftet der Auftragnehmer nur bei der Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht), deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und deren Verletzung den Vertragszweck gefährdet. Die Haftung ist auf den typischen, vorhersehbaren Schaden begrenzt.
(3) Der Auftragnehmer übernimmt keine Haftung für Folgeschäden, Datenverlust, Sicherheitslücken oder Schäden durch Cyberangriffe, es sei denn, der Schaden wurde durch vorsätzliches oder grob fahrlässiges Verhalten des Auftragnehmers verursacht.
(4) Der Auftragnehmer übernimmt keine Haftung für den Erfolg der Beratung oder des Audits hinsichtlich der Zertifizierung von Managementsystemen oder der Umsetzung von Sicherheitsmaßnahmen.
(5) Der Auftraggeber haftet für die ordnungsgemäße Bereitstellung aller erforderlichen Unterlagen und Informationen sowie für die Sicherheit der zugrunde liegenden Systeme und Daten, die dem Auftragnehmer im Rahmen der Leistungen zugänglich gemacht werden.
§ 8 Vertraulichkeit
(1) Beide Parteien verpflichten sich, alle im Rahmen der Zusammenarbeit erhaltenen vertraulichen Informationen (einschließlich Daten, Berichte, Analysen) geheim zu halten und nur für die Zwecke der Vertragsdurchführung zu verwenden.
(2) Diese Verpflichtung zur Geheimhaltung bleibt auch nach Beendigung des Vertragsverhältnisses bestehen.
§ 9 Rechte an Arbeitsergebnissen
(1) Alle Rechte an den Arbeitsergebnissen (z. B. Berichte, Gutachten, Präsentationen) bleiben, sofern nicht anders vereinbart, beim Auftragnehmer.
(2) Der Auftraggeber erhält ein einfaches, nicht übertragbares Nutzungsrecht an den Arbeitsergebnissen für den vertraglich vereinbarten Zweck.
§ 10 Höhere Gewalt
(1) Der Auftragnehmer haftet nicht für Verzögerungen oder Nichterfüllung der vertraglichen Leistungen, die durch Ereignisse höherer Gewalt (z. B. Naturkatastrophen, Krieg, Streik, Pandemien) verursacht werden.
(2) Im Fall höherer Gewalt sind beide Parteien von der Erfüllung ihrer Verpflichtungen während der Dauer des Ereignisses befreit.
§ 11 Vertragsdauer und Kündigung
(1) Der Vertrag tritt gemäß § 2 Vertragsschluss in Kraft und endet mit der vollständigen Erbringung der vereinbarten Leistungen, sofern keine andere Vereinbarung getroffen wird.
(2) Der Vertrag kann von beiden Parteien aus wichtigem Grund gekündigt werden.
Ein wichtiger Grund liegt insbesondere vor, wenn eine Partei ihre vertraglichen Pflichten erheblich verletzt oder wenn die Fortsetzung der Zusammenarbeit für eine der Parteien unzumutbar ist.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen bedürfen der Schriftform. Die Schriftform ist gewahrt, wenn die Änderungen oder Ergänzungen in einem schriftlichen Dokument (einschließlich E-Mail) festgehalten und von beiden Parteien unterzeichnet oder bestätigt werden.
(2) Mündliche Absprachen oder Änderungen sind nur dann wirksam, wenn sie von beiden Parteien schriftlich bestätigt werden.
(3) Sollte eine Bestimmung dieses Vertrages ganz oder teilweise unwirksam oder undurchführbar sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(4) Es gilt deutsches Recht. Gerichtsstand für alle Streitigkeiten aus diesem Vertrag ist der Sitz des Auftragnehmers.