AGB



Allgemeine Geschäftsbedingungen für Schwachstellen- und Penetrationstests und allgemeine Beratungsleistungen der stoll professional software GmbH, Schwarzwaldstraße 9, 78549 Spaichingen
(nachfolgend „Auftragnehmer“)



I. Vertragsgegenstand und Vertragsbestandteile


1. Leistungen des Auftragnehmers


1.1. Der Auftragnehmer erbringt für den Auftraggeber IT-Beratungsleistungen („Leistungen“) im Bereich der IT-Sicherheit, vornehmlich
1.1.1. Penetrationstests und Scans von IT-Systemen auf Schwachstellen sowie
1.1.2. andere Beratungsleistungen allgemeiner Art, zum Beispiel generelle Einschätzungen der Sicherheitsstandards von IT-Systemen ohne gesonderte Tests.


1.2. Die Leistungserbringung erfolgt auf dienstvertraglicher Basis im Sinne der §§ 611 ff. BGB. Werkvertragliche Leistungen sind nicht Gegenstand dieses Vertrags. Der Auftragnehmer schuldet über die Erbringung der Leistungen hinaus keinen Erfolg.


1.3. Der Vertrag besteht aus dem Angebot des Auftragnehmers über die zu erbringenden Leistungen und diesen Allgemeinen Geschäftsbedingungen. Im Fall von Unklarheiten und Widersprüchen zwischen dem Angebot und diesen Allgemeinen Geschäftsbedingungen geht das Angebot vor.


1.4. Die verschiedenen Abschnitte dieser Allgemeinen Geschäftsbedingungen gelten wie folgt:
1.4.1. Die Allgemeinen Bestimmungen unter Ziffer IV gelten für sämtliche Leistungen, die der Auftragnehmer gemäß diesen allgemeinen Geschäftsbedingungen erbringt.
1.4.2. Die besonderen Bestimmungen für Penetrationstests und Scans von IT-Systemen auf Schwachstellen unter Ziffer II gelten für sämtliche Penetrationstests und Scans von IT-Systemen auf Schwachstellen, die der Auftragnehmer gemäß diesen allgemeinen Geschäftsbedingungen erbringt.
1.4.3. Die besonderen Bestimmungen für Beratungsleistungen gemäß Ziffer III gelten für sämtliche anderen Beratungsleistungen, die der Auftragnehmer gemäß diesen Allgemeinen Geschäftsbedingungen erbringt.


1.5. Allgemeine Geschäfts- oder Lieferbedingungen des Auftraggebers finden keine Anwendung. Dies gilt auch dann, wenn der Auftragnehmer Allgemeinen Geschäfts- oder Lieferbedingungen des Auftraggebers nicht ausdrücklich widerspricht.



II. Besondere Bestimmungen für Penetrationstests und Scans von IT-Systemen auf Schwachstellen


Die Regelungen dieses Abschnitts gelten für alle Penetrationstests Systeme und/oder Scans von IT-Systemen auf Schwachstellen, die der Auftragnehmer gemäß diesen Allgemeinen Geschäftsbedingungen durchführt.


2. Leistungen des Auftragnehmers bei Penetrationstests Systeme und Scans von IT-Systemen auf Schwachstellen


2.1. Der Auftragnehmer führt für den Auftraggeber Penetrationstests gegen IT-Systeme und Scans von IT-Systemen auf Schwachstellen durch. Einzelheiten der vom Auftragnehmer zu erbringenden Leistungen ergeben sich aus dem Angebot.


2.2. Durch Penetrationstest und Scans von IT-Systemen auf Schwachstellen sollen Sicherheitslücken in den zu überprüfenden Systemen identifiziert werden. Beim Penetrationstest wird unter kontrollierten Bedingungen versucht, von außerhalb oder innerhalb eines Netzwerkes in ein IT-System oder ein Netzwerk einzudringen oder Schwachstellen zu finden. Dabei kommen vergleichbare oder identische Werkzeuge und/oder Vorgehensweisen zum Einsatz, die auch bei einem echten Angriff auf das System verwendet werden könnten. Die dabei festgestellten Sicherheitslücken oder Schwachstellen können danach beseitigt werden, um zu verhindern, dass Dritte diese Sicherheitslücken oder Schwachstellen nutzen, um Zugang zum System und den darin gespeicherten Daten zu erlangen.


2.3. Die Parteien sind sich darüber einig, dass auch ein sachgerecht und nach dem Stand der Technik durchgeführter Penetrationstest oder ein Scan eines IT-Systems auf Schwachstellen nicht gewährleistet, dass Sicherheitslücken oder Schwachstellen eines IT-Systems tatsächlich aufgedeckt werden.
2.3.1. IT-Systeme können Sicherheitslücken oder Schwachstellen aufweisen, die zum Zeit-punkt der Leistungserbringung noch nicht aufgedeckt wurden bzw. auch sachkundigen Personen, die sich regelmäßig mit Fragen der IT-Sicherheit oder IT-Forensik beschäftigen, nicht bekannt sind und deshalb auch im Rahmen eines Penetrationstests oder eines Scans eines IT-Systems auf Schwachstellen nicht berücksichtigt werden können.
2.3.2. Auf Penetrationstests oder Scans eines IT-Systems auf Schwachstellen wirkt sich das Zusammenspiel aller für ein IT-System oder Netzwerk genutzten Komponenten und/oder Dienstleistungen aus. Deshalb kann auch für bekannte Sicherheitslücken oder Schwachstellen nicht gewährleistet werden, dass diese in jedem Fall durch einen Penetration Test oder einen Scan eines IT-Systems auf Schwachstellen aufgedeckt werden.


3. Leistungen des Auftraggebers


3.1. Der Auftraggeber wird dem Auftragnehmer bei Bedarf Räume und Arbeitsplätze mit den erforderlichen Netzwerkanschlüssen für im Angebot festgelegte Anzahl an Personen zur Verfügung stellen. Darüber hinaus wird der Auftraggeber dem Auftragnehmer alle bei ihm vorhandenen und für die Leistungserbringung erforderlichen Unterlagen und Informationen rechtzeitig und vollständig pro-aktiv zur Verfügung stellen sowie dafür Sorge tragen, dass auf Seiten des Auftraggebers in ausreichender Anzahl geeignete Ansprechpersonen mit dem erforderlichen Fachwissen zur Verfügung stehen. Soweit nicht abweichend vereinbart, ist der Auftragnehmer nicht zur Überprüfung der ihm vom Auftraggeber bereitgestellten Unterlagen und Informationen hinsichtlich Vollständigkeit und Korrektheit verpflichtet.


3.2. Soweit es die durch den Auftragnehmer zu erbringenden Leistungen erfordern, stellt der Auftraggeber rechtzeitig vor dem im Angebot vereinbarten Termin zur Durchführung der Prüfungen insbesondere folgendes zur Verfügung:
3.2.1. entsprechenden Lizenzen, falls der Auftragnehmer auf Systeme zugreifen muss, für die spezielle Lizenzen für Zugriffe erforderlich sind;
3.2.2. Zugangsdaten mit den entsprechenden Berechtigungen.


3.3. Weitere spezielle Leistungen des Auftraggebers, die für die Leistungserbringung des Auftragnehmers von Bedeutung sind, ergeben sich aus dem Angebot.


4. Einwilligungen des Auftraggebers für Scans auf Schwachstellen und Penetrationstests


4.1. Der Auftraggeber willigt ausdrücklich darin ein, dass der Auftragnehmer die vereinbarten Leistungen durchführt und dazu erforderliche Maßnahmen ergreift, die dazu führen können, dass der Auftragnehmer
4.1.1. im Sinne der §§ 202ff StGB auf Daten, die gegen unberechtigten Zugang gesichert sind, zugreift und sich diese verschafft, dabei eine etwaige Zugangssicherung der zu überprüfenden Systeme überwindet, und/oder sich Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft; und/oder
4.1.2. im Sinne des § 303a StGB Daten löscht, unterdrückt, unbrauchbar macht oder verändert; und/oder
4.1.3. im Sinne des § 303 StGB Datenverarbeitungsanlagen oder Datenträger des Auftraggebers zerstört oder beschädigt; und/oder
4.1.4. ;durch die in den Ziffern 4.1.1 bis 4.1.3 aufgezählten Handlungen eine Datenverarbeitung, die für den Auftraggeber von wesentlicher Bedeutung ist, erheblich stört und/oder
4.1.5. im Sinne des § 23 Abs. 1 Nr. 1 iVm 4 Abs. 1 Nr. 1 GeschGehG ein Geschäftsgeheimnis erlangt, dass der Kontrolle des Auftraggebers als Inhaber unterliegt.


5. Zusicherungen und Garantien des Auftraggebers


5.1. Der Auftraggeber garantiert,
5.1.1. dass er berechtigt ist, über die IT-Systeme und Datenbestände zu verfügen, die durch den Auftragnehmer gemäß den im Angebot vereinbarten Leistungen überprüft werden sollen, und
5.1.2. die Einwilligung gemäß Ziffer 3.3 zu erteilen.


5.2. Insbesondere garantiert der Auftraggeber folgendes:
5.2.1. Das Angebot wurde von Auftraggeber sorgfältig geprüft. Falls bestimmte IT-Systeme, Netzwerke oder Teile von IT-Systemen oder Netzwerken nicht Gegenstand der durch den Auftragnehmer zu erbringenden Leistungen sein sollen, hat der Auftraggeber diese Ausschlüsse dem Auftragnehmer entsprechend mitgeteilt und im Angebot vermerken lassen.
5.2.2. Soweit im Angebot nicht Gegenteiliges vereinbart wurde, werden in den zu überprüfen-den Systemen keine gemäß § 203 StGB geschützten Privatgeheimnisse gespeichert oder verarbeitet.
5.2.3. Die zu überprüfenden Systeme unterliegen nicht dem Fernmeldegeheimnis gemäß § 88 TKG bzw. § 206 StGB.
5.2.4. Falls in den zu prüfenden Systemen personenbezogene Daten verarbeitet werden, hat der Auftraggeber den Auftragnehmer entsprechend informiert. Der Auftraggeber versichert, dass eine ausreichende Rechtsgrundlage besteht, um den Auftragnehmer mit der Durchführung der Leistungen zu beauftragen.
5.2.5. Falls in den zu prüfenden Systemen personenbezogene Daten verarbeitet werden, handelt es sich dabei nicht um besondere Arten personenbezogener Daten im Sinne des Art. 9 DSGVO.


5.3. Falls Dritte zustimmen oder einwilligen müssen, bevor der Auftragnehmer mit der Durchführung der Leistungen beginnt, garantiert der Auftraggeber, dass diese Dritten rechtzeitig vor dem im Angebot vereinbarten Termin zur Durchführung der Prüfungen zugestimmt haben und dass dem Auftraggeber entsprechende nachweisbare Zustimmungserklärungen vorliegen. Insbesondere, aber nicht ausschließlich, könnten Zustimmungserklärungen von folgenden Dritten erforderlich sein:

5.3.1. Mitarbeitervertretungen,
5.3.2. Mitarbeiter des Auftraggebers,
5.3.3. Dienstleister, die die zu prüfenden Systeme im Auftrag des Auftraggebers betreiben


5.4. Der Auftraggeber verpflichtet sich, sämtliche Daten, auf den Systemen, die der Auftragnehmer prüfen soll, rechtzeitig vor dem im Angebot vereinbarten Termin zur Durchführung der Prüfungen durch den Auftragnehmer in einem separaten Back-up zu sichern. Der Auftraggeber verpflichtet sich auch, sicherzustellen, dass bei Beeinträchtigungen durch die Prüfungen der vorherige Zustand der zu prüfenden Systeme wiederhergestellt werden kann.


5.5. Dem Auftraggeber ist bekannt, dass Penetrationstests, Scans auf Schwachstellen von Systemen und andere vergleichbare Leistungen durch den Auftragnehmer nur rechtssicher erbracht werden können, wenn die Zusicherungen und Garantien des Auftraggebers gültig sind. Falls der Auftraggeber keine natürliche Person ist und es sich nach Unterzeichnung des Vertrages herausstellt, dass die Personen, die den Vertrag mit dem Auftragnehmer unterzeichnet haben, weder dazu berechtigt noch in ausreichendem Umfang durch den Auftraggeber bevollmächtigt waren, den Auftraggeber entsprechend zu vertreten, ist der Auftragnehmer berechtigt, die Erbringung der Leistungen mit sofortiger Wirkung einzustellen. Eventuelle weitere gesetzliche oder vertragliche Ansprüche des Auftragnehmers bleiben unberührt.


6. Freistellung von Auftragnehmer


6.1. Aufgrund der besonderen Art der Dienstleistung, die der Auftragnehmer erbringt, werden der Auftragnehmer sowie dessen Erfüllungsgehilfen oder gesetzliche Vertreter von Auftraggeber von sämtlichen Ansprüchen, die Dritte aufgrund der Durchführung der vereinbarten Leistungen gegen Auftragnehmer geltend machen, freigestellt, soweit und solange der Auftragnehmer diese Leistungen vertragsgemäß erbracht hat. Der Auftraggeber übernimmt dabei auch bei der Verfolgung oder Abwehr von Ansprüchen sowie bei der Vertretung in behördlichen oder gerichtlichen Verfahren anfallende angemessene Rechtsanwaltskosten und Gebühren.


6.2. Insbesondere, aber nicht ausschließlich, stellt der Auftraggeber den Auftragnehmer von
6.2.1. Ansprüchen gemäß Artikel 82 DSGVO sowie
6.2.2. Ansprüchen gemäß den §§ 6, 8, 10, 12 und 13 GeschGehG frei.



III. Besondere Bestimmungen für Beratungsleistungen


Die Regelungen dieses Abschnitts gelten für alle Beratungsleistungen, die der Auftragnehmer gemäß diesen Allgemeinen Geschäftsbedingungen erbringt und bei denen es sich nicht um Penetrationstests Systeme und/oder Scans von IT-Systemen auf Schwachstellen handelt.


7. Leistungen des Auftragnehmers bei Beratungsleistungen


7.1. Der Auftragnehmer unterstützt den Auftraggeber durch die Erbringung der zwischen den Parteien vereinbarten Leistungen.


7.2. Der Auftragnehmer erbringt die Beratungsleistungen auf Grundlage der Informationen, die durch den Auftraggeber zur Verfügung gestellt werden.


7.3. Soweit nicht abweichend vereinbart, ist der Auftragnehmer nicht zur Überprüfung der ihm vom Auftraggeber bereitgestellten


8. Mitwirkungsleistungen des Auftraggebers


8.1. Die Projekt- und Erfolgsverantwortung verbleibt beim Auftraggeber. Davon unabhängig ist der Auftragnehmer jedoch für die vertragsgemäße Erbringung der von ihm geschuldeten Beratungsleistungen verantwortlich.


8.2. Dem Auftraggeber ist bekannt, dass Beratungsleistungen durch den Auftragnehmer nur einwandfrei und rechtssicher erbracht werden können, wenn dem Auftragnehmer alle notwendigen Informationen über den Beratungsgegenstand zur Verfügung stehen. Der Auftraggeber, hat dafür zu sorgen, dass dem Auftragnehmer alle notwendigen Informationen über den Beratungsgegenstand zur Verfügung stehen und gegebenenfalls darauf hinzuweisen, wenn ihm bekannt ist, dass die Informationen lückenhaft sind.


8.3. Spezielle Leistungen des Auftraggebers, die für die Erbringung der Beratungsleistungen durch den Auftragnehmer von Bedeutung sind, ergeben sich aus dem Angebot.



IV. Allgemeine Bestimmungen


Die Regelungen dieses Abschnitts gelten für alle Leistungen, die der Auftragnehmer gemäß diesen Allgemeinen Geschäftsbedingungen erbringt.


9. Leistungsort und -zeit


9.1. Der Auftragnehmer erbringt die Leistungen nach vorheriger Absprache und soweit erforderlich in den Geschäftsräumen des Auftraggebers. Soweit eine Durchführung in den Geschäfts-räumen des Auftraggebers nicht erforderlich ist, ist der Auftragnehmer in der Auswahl des Leistungsorts frei.


9.2. Soweit die Parteien im Angebot keine abweichenden Zeiten vereinbart haben, wird der Auftragnehmer die Leistungen von Montag bis Freitag zwischen 8:00 Uhr und 17:00 Uhr erbringen.


10. Zusammenarbeit


10.1. Für die Leistungserbringung ist eine enge Zusammenarbeit der Vertragsparteien erforderlich. Die Vertragsparteien werden sich daher über alle Umstände aus ihrer Sphäre informieren, die eine Auswirkung auf die Leistungserbringung durch den Auftragnehmer haben können.


10.2. Die Vertragsparteien benennen jeweils eine verantwortliche Person (Ansprechpartner), die der anderen Vertragspartei im Zusammenhang mit der Leistungserbringung als Ansprechpartner zur Verfügung steht und die befugt ist, für die jeweilige Vertragspartei verbindliche Erklärungen abzugeben und Erklärungen der anderen Vertragspartei entgegenzunehmen.


10.3. Soweit im Einzelfall ein Ansprechpartner nicht zur Abgabe oder Entgegennahme einzelner Erklärungen berechtigt ist, wird er unverzüglich die entsprechend berechtigten Personen bzw. Gremien seiner Vertragspartei über den betreffenden Sachverhalt informieren und eine Entscheidung herbeiführen bzw. einen anderen zuständigen Ansprechpartner benennen.


10.4. Soweit nichts anderes vereinbart wurde, ergeben sich die Namen und Kontaktdaten der Ansprechpartner des Auftragnehmers aus dem Angebot.


10.5. Keine Vertragspartei ist zur rechtsgeschäftlichen Vertretung der anderen Vertragspartei berechtigt.


11. Verpflichtungen des Auftragnehmers


11.1. Der Auftragnehmer wird den Auftraggeber unverzüglich in Textform unterrichten, wenn Hindernisse oder Beeinträchtigungen auftreten, die Auswirkung auf die Leistungserbringung haben oder der Auftragnehmer Grund hat, mit dem Auftreten solcher Hindernisse oder Beeinträchtigungen ernsthaft zu rechnen. Die Pflicht des Auftragnehmers zur Leistungserbringung bleibt hiervon unberührt.


11.2. Soweit nicht explizit abweichend vereinbart, ist der Auftragnehmer nicht verpflichtet, die vom Auftraggeber erbrachten Leistungen auf Vollständigkeit oder Richtigkeit hin zu überprüfen. Erkennt der Auftragnehmer, dass die von ihm zu erbringenden Leistungen im Hinblick auf ihm in der Zwischenzeit bekannt gewordene Tatsachen oder Anforderungen modifiziert werden müssen, wird der Auftragnehmer den Auftraggeber hierauf unverzüglich in Textform hinweisen. Die gleiche Hinweispflicht besteht, wenn der Auftragnehmer erkennt, dass Angaben oder Anforderungen des Auftraggebers fehlerhaft, unvollständig, nicht eindeutig oder objektiv zur Ausführung nicht geeignet sind.


11.3. Der Auftragnehmer wird mit den anderen Dienstleistern und Lieferanten des Auftraggebers eng kooperieren. Soweit dem Auftragnehmer hierdurch ein nicht nur unerheblicher Aufwand entsteht, ist er berechtigt, diesen unter Zugrundelegung der bei Vertragsschluss vereinbarten Personentagessätze gemäß Ziffer 14.1 separat abzurechnen, vorausgesetzt, die Vertragsparteien haben diesbezüglich zuvor eine Vereinbarung über die einzelnen Modalitäten getroffen. Soweit der Auftragnehmer beabsichtigt, hiernach zusätzlichen Aufwand gegenüber dem Auftraggeber abzurechnen, wird er den Auftraggeber hierüber unverzüglich in Textform informieren.


11.4. Der Auftragnehmer erbringt die Leistungen auf professionelle Art und Weise, sorgfältig, unter Anwendung der bei Leistungserbringung allgemein anerkannten Regeln der Technik sowie unter Beachtung eventuell im Angebot vereinbarter Anforderungen.


12. Leistungen des Auftraggebers


12.1. Der Auftraggeber hat dem Auftragnehmer und dessen Personal bei Bedarf zu den üblichen Geschäftszeiten Zutritt zu seinen Geschäftsräumen zu gewähren.


12.2. Die vom Auftraggeber zu erbringenden Leistungen stellen eine echte vertragliche Verpflichtung gegenüber dem Auftragnehmer und nicht nur eine Obliegenheit dar. Erbringt der Auftraggeber die von ihm zu erbringenden Leistungen nicht oder nicht vertragsgemäß und hat dies Auswirkungen auf die vom Auftragnehmer zu erbringenden Leistungen, so kann der Auftragnehmer – unbeschadet weitergehender Rechte – eine entsprechende angemessene Anpassung der vertraglichen Vereinbarungen (bspw. Änderungen des Zeitplans und der Vergütung) verlangen. Sofern dem Auftragnehmer durch nicht vertragsgemäße Erbringung der Leistungen des Auftraggebers ein Mehraufwand entsteht, kann er dem Auftraggeber diesen Mehraufwand unter Anwendung der im Angebot vereinbarten Personenstundensätze gesondert in Rechnung stellen.


13. Vom Auftragnehmer eingesetzte Personen, Scheinselbständigkeit


13.1. Der Auftragnehmer trägt dafür Sorge, dass die von ihm für die Leistungserbringung eingesetzten Personen ausreichend qualifiziert sind.


13.2. Der Auftragnehmer ist bei der Wahl der Personen, die er zur Leistungserbringung einsetzt, frei. Sofern sich die Vertragsparteien auf den Einsatz spezieller Personen geeinigt haben, er-geben sich diese aus dem Angebot.


13.3. Sofern das Verhalten oder die Qualifikation der vom Auftragnehmer eingesetzten Personen nicht den vertraglich vereinbarten Anforderungen entspricht, wird der Auftraggeber den Auftragnehmer hierüber unverzüglich informieren. Der Auftragnehmer wird unverzüglich geeignete Maßnahmen, die gegebenenfalls auch in einem Austausch der betreffenden Person bestehen können, ergreifen.


13.4. Der Auftragnehmer wird sich um Kontinuität bei den für den Auftraggeber tätigen Personen bemühen. Ein Austausch ist dem Auftraggeber frühzeitig vorab anzuzeigen und erfolgt nur durch eine Person, deren Qualifikation mindestens der der zu ersetzenden Person entspricht. Kosten und Aufwendungen, die mit dem Austausch einer Person verbunden sind, insbesondere im Zusammenhang mit der Einarbeitung einer neuen Person, trägt der Auftragnehmer.


13.5. Die vom Auftragnehmer eingesetzten Personen treten in kein Arbeitsverhältnis zum Auftraggeber und unterliegen nicht dessen Weisungsbefugnis. Die Vertragsparteien werden durch organisatorische Maßnahmen gewährleisten, dass die im Rahmen der Leistungserbringung eingesetzten Personen des Auftragnehmers ausschließlich dessen Direktionsrecht und Disziplinargewalt unterstehen. Dies gilt insbesondere, soweit vom Auftragnehmer eingesetzte Personen die Leistungen in den Räumen des Auftraggebers erbringen. Es erfolgt keine Eingliederung der zur Leistungserbringung eingesetzten Personen in die Organisation des Auftraggebers.


13.6. Der Auftragnehmer ist berechtigt, nach vorheriger schriftlicher Zustimmung des Auftraggebers für die Leistungserbringung Subunternehmer einzusetzen. Der Auftragnehmer wird die Zustimmung nicht unbillig verweigern. Eine Liste der Subunternehmer, denen der Auftraggeber bereits zum Zeitpunkt des Vertragsschlusses zugestimmt hat, ist im Angebot aufgeführt. Der Auftragnehmer trägt dafür Sorge, dass sämtliche Anforderungen des Vertrags, die auf den vom Subunternehmer auszuführenden Teil Anwendung finden, Bestandteil des Vertrags werden, den der Auftragnehmer mit dem jeweiligen Subunternehmer abschließt. Dies gilt insbesondere für die Vertraulichkeitsvereinbarung gemäß Ziffer 16.6.


14. Vergütung


14.1. Soweit nichts Weiteres vereinbart wurde, vergütet der Auftraggeber die Leistungen nach Aufwand unter Zugrundelegung der im Angebot vereinbarten Personenstundensätze. Materialaufwand wird gegen Nachweis gesondert in tatsächlich angefallener Höhe vergütet.


14.2. Leistungen außerhalb der in Ziffer 9.2 vereinbarten Zeiten sind nach vorheriger Abstimmung mit dem Auftraggeber gesondert gemäß den Regelungen im Angebot zu vergüten.


14.3. Reisekosten und Spesen sind gesondert in einem angemessenen Umfang in tatsächlich angefallener Höhe zu vergüten.


14.4. Reisezeiten sind zu 50% Arbeitszeiten. Dies gilt insbesondere dann, wenn Reisen auf ausdrückliche Veranlassung des Auftraggebers erfolgen.


14.5. Alle Preise verstehen sich zuzüglich der jeweils gültigen gesetzlichen Umsatzsteuer, die gesondert auszuweisen ist.


15. Zahlungsmodalitäten


15.1. Die Rechnungsstellung erfolgt, nachdem die vereinbarten Teilleistungen oder Leistungen erbracht wurden. Sind keine gesonderten Teilleistungen oder Leistungen vereinbart worden oder werden die Leistungen über längere Zeit erbracht, erfolgt die Rechnungsstellung auf Zeit- und Materialbasis jeweils monatlich nachträglich für die im Vormonat erbrachten Leistungen.


15.2. Die Vergütung ist mit Zugang der Rechnung fällig und innerhalb von 14 Tagen nach Zugang der Rechnung zahlbar.


16. Haftung


16.1. Soweit sich aus den Bestimmungen des Angebotes oder dieser Allgemeinen Geschäftsbedingungen nichts Abweichendes ergibt, haften die Vertragsparteien einander nach Maßgabe der gesetzlichen Bestimmungen.


16.2. Die Haftung für Schäden, die von einer Vertragspartei oder einem ihrer Erfüllungsgehilfen oder gesetzlichen Vertreter vorsätzlich oder grob fahrlässig verursacht werden, sowie für Schäden aus der Verletzung des Lebens, des Körpers, der Gesundheit oder aus einer Garantie ist unbeschränkt.


16.3. In allen anderen Fällen haften die Vertragsparteien nur, soweit es sich dabei um die Verletzung einer wesentlichen Pflicht handelt, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung die jeweils andere Vertragspartei vertrauen durfte, jedoch stets nur in Höhe des typischen, vorhersehbaren Schadens. Dem Auftraggeber ist bekannt, dass Penetrationstests oder Scans auf Schwachstellen Störungen und Schäden der betroffenen IT-Systeme verursachen können. Diese Risiken sind unvermeidbar, wenn die beauftragten Leistungen sorgfältig durchgeführt werden. Der Auftragnehmer haftet nicht für Schäden, die durch eine ordnungsgemäße Leistungserbringung verursacht werden.


16.4. Der Auftraggeber ist für die regelmäßige Sicherung seiner Daten verantwortlich. Bei einem vom Auftragnehmer zu vertretenden und nicht durch die Leistungserbringung verursachten Verlust von Daten haftet der Auftragnehmer nur für denjenigen Aufwand, der bei ordnungs-gemäßer Datensicherung durch den Auftraggeber für die Wiederherstellung der Daten erforderlich ist.


16.5. Die vertraglichen Haftungsansprüche verjähren nach einem Jahr ab dem gesetzlichen Verjährungsbeginn. Dies gilt nicht bei Vorsatz oder grober Fahrlässigkeit des Auftragnehmers, dessen gesetzlichen Vertreters oder Erfüllungsgehilfen sowie der Verletzung des Lebens, des Körpers oder der Gesundheit. In diesen Fällen gilt die gesetzliche Verjährungsfrist.


16.6. Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt.


17. Vertraulichkeit


17.1. Vertrauliche Informationen sind alle Informationen und Unterlagen, einschließlich des Ange-bots und dieser Allgemeinen Geschäftsbedingungen, die entweder als vertraulich gekennzeichnet sind oder deren Vertraulichkeit sich aus den Umständen bzw. ihrer Natur ergibt. Vertrauliche Informationen sind insbesondere technische, geschäftliche und sonstige Informationen, beispielsweise Informationen in Bezug auf Technologien, Produkte, Dienstleistungen, Preise, Kunden, Mitarbeiter, Strategien.


17.2. Nicht als vertrauliche Informationen gelten Informationen, die
17.2.1. der empfangenden Vertragspartei bekannt waren, bevor sie sie von der anderen Vertragspartei im Zusammenhang mit diesem Vertrag erhalten hat;
17.2.2. die empfangende Vertragspartei ohne Rückgriff auf vertrauliche Informationen der an-deren Vertragspartei selbständig entwickelt hat;
17.2.3. die empfangende Vertragspartei von Dritten erworben hat, die in Bezug auf die Nutzung und Weitergabe nicht an Beschränkungen gebunden sind;
17.2.4. ohne Verschulden oder Zutun der empfangenden Vertragspartei allgemein bekannt sind oder werden.


17.3. Die Vertragsparteien haben alle vertraulichen Informationen, die eine Vertragspartei der an-deren Vertragspartei unter diesem Vertrag mitteilt oder von der anderen Vertragspartei erhält, vertraulich zu behandeln und ausschließlich zum Zweck der Leistungserbringung unter diesem Vertrag zu nutzen. Zur Klarstellung sei festgehalten, dass auch Informationen, auf die Auftragnehmer durch die Durchführung der vertragsgegenständlichen Leistungen Zugriff er-hält, zu den vertraulichen Informationen gehören. Die Vertragsparteien werden vertrauliche Informationen vor unbefugtem Zugriff schützen und mit der gleichen Sorgfalt behandeln, die sie bei ihren eigenen, gleichermaßen vertraulichen Informationen anwenden, mindestens je-doch die Sorgfalt eines ordentlichen Kaufmanns. Die Weitergabe vertraulicher Informationen darf nur an Personen der jeweiligen Vertragspartei erfolgen und dies nur, wenn die betreffenden Personen aufgrund einer vertraglichen Regelung zur Geheimhaltung verpflichtet sind, die der Geheimhaltungspflicht dieser Ziffer 16.6 entspricht und soweit dies zur Durchführung dieses Vertrags erforderlich ist („need to know“); Ziffer 17.4 bleibt hiervon unberührt.


17.4. Vertrauliche Informationen dürfen von der empfangenden Vertragspartei Dritten nicht ohne vorherige schriftliche Zustimmung der anderen Vertragspartei offengelegt werden, es sei denn
17.4.1. dies ist aufgrund von zwingenden rechtlichen Anforderungen oder einer gerichtlichen oder behördlichen Anordnung erforderlich und die empfangende Vertragspartei hat die andere Vertragspartei unverzüglich über die jeweilige Verpflichtung schriftlich informiert und ihr die Möglichkeit gegeben, gegen die Offenlegung einzuschreiten, oder
17.4.2. die vertraulichen Informationen werden Beratern der empfangenden Vertragspartei im Zusammenhang mit der Durchführung dieses Vertrags zugänglich gemacht und der jeweilige Berater hat sich zuvor entsprechend den Regelungen dieser Ziffer 16.6 schriftlich gegenüber der empfangenden Vertragspartei zur Verschwiegenheit verpflichtet oder ist bereits von Berufs wegen zur Verschwiegenheit verpflichtet
17.4.3. berechtigt eingesetzte Subunternehmer des Auftragnehmers benötigen vertrauliche Informationen des Auftraggebers zur Erbringung ihrer Leistungen und der jeweilige Subunternehmer hat sich zuvor schriftlich gegenüber dem Auftragnehmer entsprechend den Regelungen dieser Ziffer 16.6 zur Verschwiegenheit verpflichtet.


17.5. Die Parteien verpflichten sich gegenseitig, nicht geltend zu machen, dass eine bestimmte Vertrauliche Information der jeweils anderen Partei im Sinne dieser Vereinbarung kein Geschäftsgeheimnis im Sinne des § 2 Nr. 1 lit. b) GeschGehG darstellt, weil die andere Partei, deren verbundene Unternehmen oder ein dritter Inhaber dieser Vertraulichen Information die betreffende Vertrauliche Information nicht zum Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen im Sinne des § 2 Nr. 1 lit. b) GeschGehG gemacht haben. Die Parteien verzichten wechselseitig darauf, geltend zu machen, dass entsprechende Geheimhaltungsverpflichtungen entfallen seien.


17.6. Bei Vertragsende geben die Vertragsparteien einander die von der jeweils anderen Vertragspartei erhaltenen vertraulichen Informationen zurück bzw. vernichten diese auf angemessene Weise.
17.6.1. Der Auftragnehmer ist berechtigt, sämtliche Erklärungen des Auftraggebers sowie sonstige Vertrauliche Informationen, die die vertragsgegenständlichen Leistungen und deren Durchführung durch den Auftragnehmer betreffen, zurückzubehalten, bis sämtliche Rechtsverstöße, die durch die Durchführung der vertragsgegenständlichen Leistungen verwirklicht worden sein könnten, verjährt sind.
17.6.2. Soweit der Auftragnehmer bei der Durchführung der vertragsgegenständlichen Leistungen Zugriff auf personenbezogene Daten erlangt hat, gilt insoweit die Vereinbarung zur Auftragsverarbeitung zwischen den Parteien.
17.6.3. Soweit der Auftragnehmer bei der Durchführung der vertragsgegenständlichen Leistungen Zugriff auf andere geschützte Daten erlangt hat, ist der Auftragnehmer nur berechtigt, solche geschützten Daten zurückzubehalten, wenn er darlegen kann, dass er diese Daten benötigt, um sich gegen Ansprüche Dritter oder in einen behördlichen oder gerichtlichen Verfahren zu verteidigen. In diesem Fall wird der Auftragnehmer den Auftraggeber gesondert informieren und begründen, warum die geschützten Daten zurück-behalten werden.


17.7. Die Vertragsparteien sind weiter berechtigt, in dem jeweils erforderlichen Umfang Vertrauliche Informationen zurückzubehalten, soweit
17.7.1. die Vertragsparteien aufgrund zwingender Rechtsvorschriften, zum Beispiel handels- oder steuerrechtlicher Bestimmungen zur Archivierung vertraulicher Informationen der anderen Vertragspartei verpflichtet sind, oder
17.7.2. soweit diese Vertraulichen Informationen in einem automatisierten elektronischen Backupsystem gespeichert sind und die Löschung einen unverhältnismäßigen Aufwand er-fordern würde.


17.8. Vorbehaltlich weitergehender Vertraulichkeitsverpflichtungen aufgrund zwingender rechtlicher Anforderungen, besteht diese Vertraulichkeitsverpflichtung bis fünf (5) Jahre nach Beendigung dieses Vertrags fort oder solange eine der beiden Parteien noch Vertrauliche Informationen der jeweils anderen Partei besitzt.


18. Datenschutz


18.1. Die Vertragsparteien werden beim Umgang mit personenbezogenen Daten die jeweils einschlägigen Bestimmungen, insbesondere die der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und anderer anwendbarer datenschutzrechtlicher Vorschriften einhalten. Die Vertragsparteien werden im Zusammenhang mit der Begründung, Durchführung und Beendigung dieses Vertrags personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie werden Personen, die sie im Zusammenhang mit der Begründung, Durchführung und Beendigung dieses Vertrags einsetzen, entsprechend verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.


18.2. Der Auftraggeber ist verpflichtet, dem Auftragnehmer mitzuteilen, ob bei der Durchführung des Auftrags auch personenbezogene Daten verarbeitet werden müssen. Soweit erforderlich, werden die Vertragsparteien eine Vereinbarung über eine Auftragsverarbeitung gemäß Art. 28 DSGVO abschließen.


19. Inkrafttreten und Kündigung


19.1. Der Vertrag tritt mit Unterzeichnung des Angebotes durch beide Vertragsparteien in Kraft.


19.2. Das Recht für beide Vertragsparteien zur Kündigung aus wichtigem Grund bleibt unberührt. Besteht der wichtige Grund in einer Vertragspflichtverletzung der anderen Vertragspartei, so ist die Kündigung aus wichtigem Grund schriftlich anzudrohen. Die vertragsbrüchige Vertragspartei ist schriftlich abzumahnen und ihr ist Gelegenheit zu geben, innerhalb von zehn Kalendertagen nach Erhalt der Abmahnung die den wichtigen Grund begründenden Missstände zu beheben. Einer Abmahnung bedarf es nicht, wenn
19.2.1. die vertragsbrüchige Vertragspartei die von ihr zu erbringende Leistung ernsthaft und endgültig verweigert,
19.2.2. der Auftraggeber eine Rechnung des Auftragnehmers innerhalb von vier Wochen nach dem in Ziffer 15.2 festgelegten Zahlungsziel nicht bezahlt hat,
19.2.3. der Auftragnehmer die Leistung zu einem im Vertrag bestimmten Termin oder innerhalb einer im Angebot bestimmten Frist nicht bewirkt und der Auftraggeber im Angebot den Fortbestand seines Leistungsinteresses an die Rechtzeitigkeit der Leistung gebunden hat oder
19.2.4. besondere Umstände vorliegen, die unter Abwägung der beiderseitigen Interessen die sofortige Kündigung rechtfertigen.


19.3. Im Fall einer Kündigung aus wichtigem Grund hat der Auftragnehmer einen Anspruch auf Vergütung der bis zum Wirksamwerden der Kündigung erbrachten Leistungen und Aufwendungen. Soweit die Vertragsparteien einen Festpreis vereinbart haben, werden die bis zur Wirksamkeit der Kündigung vom Auftragnehmer erbrachten Leistungen nach Aufwand unter Zugrundelegung der im Angebot vereinbarten Personentagessätze abgerechnet. Für den Fall, dass der Auftragnehmer den Grund für die Kündigung aus wichtigem Grund zu vertreten hat, gilt die Regelung allerdings mit der Maßgabe, dass die Vergütungspflicht für solche Leistungen entfällt, die für den Auftraggeber in Folge der Kündigung ohne Interesse sind. Der Auftraggeber hat dem Auftragnehmer binnen drei Wochen nach Zugang der Kündigung substantiiert schriftlich darzulegen, auf welche Leistungen dies zutrifft.


19.4. Schadensersatzansprüche bleiben von dem Recht zur Kündigung aus wichtigem Grund unberührt.


19.5. Die Kündigung bedarf der Textform.


20. Schlussbestimmungen
20.1. Die Rechte und Pflichten aus diesem Vertrag können ohne vorherige schriftliche Zustimmung der anderen Vertragspartei nicht an Dritte abgetreten werden.


20.2. Aufrechnungsrechte stehen einer Vertragspartei nur zu, wenn ihre Gegenansprüche rechtskräftig festgestellt, unbestritten oder schriftlich von der jeweils anderen Vertragspartei anerkannt sind.


20.3. Ein Zurückbehaltungsrecht der Vertragsparteien ist ausgeschlossen, es sei denn, die Gegenforderung der jeweils anderen Vertragspartei stammt aus demselben Vertragsverhältnis und ist rechtskräftig festgestellt oder entscheidungsreif, unbestritten oder schriftlich anerkannt.


20.4. Es bestehen keine mündlichen Nebenabreden.


20.5. Diese Vereinbarung kann nur schriftlich geändert, aufgehoben oder ergänzt werden. Das gilt auch für die Änderung des Schriftformerfordernisses.


20.6. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).


20.7. Ist der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, so ist – vorbehaltlich eines anderweitigen zwingenden Gerichtsstands – ausschließlicher Gerichtsstand für alle etwaigen Rechtsstreitigkeiten im Zusammen-hang mit diesem Vertrag Stuttgart.


20.8. Sollte sich eine Bestimmung dieses Vertrags als unwirksam erweisen, bleiben die übrigen Bestimmungen davon unberührt. In einem solchen Fall gilt statt der unwirksamen Bestimmung eine Bestimmung als vereinbart, die dem angestrebten Zweck der unwirksamen Bestimmung am nächsten kommt. Gleiches gilt im Fall einer Regelungslücke.