Allgemeine Geschäftsbedingungen (AGB)

1. Geltungsbereich

1.1
Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für alle Verträge zwischen Mattis Elmering – IT-Security Consulting (im Folgenden: „Auftragnehmer“) und Unternehmern im Sinne des § 14 BGB (im Folgenden: „Kunde“) über:

• IT-Sicherheits-Checkups,
• IT-Security-Beratungsleistungen,
• projektbezogene oder laufende Unterstützung in IT- und Security-Teams,
• Workshops, Schulungen und Analysen sowie
• sonstige Dienstleistungen im Bereich Informationssicherheit.

1.2
Abweichende, entgegenstehende oder ergänzende AGB des Kunden werden nicht Vertragsbestandteil, es sei denn, deren Geltung wird vom Auftragnehmer ausdrücklich schriftlich bestätigt.

1.3
Diese AGB gelten auch für künftige Verträge zwischen Auftragnehmer und Kunde, ohne dass erneut auf sie hingewiesen werden muss.

2. Vertragsschluss und Vertragsgrundlagen

2.1
Angebote des Auftragnehmers sind freibleibend, sofern sie nicht ausdrücklich als verbindlich bezeichnet sind.

2.2
Der Vertrag kommt zustande durch

• schriftliche oder elektronische Annahme eines Angebots des Auftragnehmers durch den Kunden oder
• schriftliche/elektronische Auftragsbestätigung des Auftragnehmers.

2.3
Grundlage der Leistungserbringung sind insbesondere:

• das Angebot des Auftragnehmers,
• die jeweils zugehörige Leistungsbeschreibung (z. B. zum IT-Sicherheits-Checkup),
• diese AGB sowie
• etwaige ergänzende schriftliche Vereinbarungen.

2.4
Im Falle von Widersprüchen gilt folgende Rangfolge:

1. individuelle schriftliche Vereinbarungen,
2. Angebot / Auftragsbestätigung,
3. Leistungsbeschreibung,
4. diese AGB.

3. Leistungsarten und Leistungsumfang

3.1
Der Auftragnehmer erbringt Beratungs-, Analyse- und Unterstützungsleistungen im Bereich IT-Sicherheit und Informationssicherheit. Ein bestimmter technischer Erfolg oder ein bestimmter Sicherheitsgrad wird nicht geschuldet.

3.2
Der Leistungsumfang ergibt sich aus dem jeweils vereinbarten Angebot und der dazugehörigen Leistungsbeschreibung. Änderungen oder Erweiterungen des Leistungsumfangs bedürfen einer gesonderten Vereinbarung (Change Request) und können zu angepasster Vergütung und Terminen führen.

3.3
Technische Sicherheitstests (z. B. Penetrationstests, Schwachstellenscans, Red-Teaming) sind nur geschuldet, wenn sie ausdrücklich und gesondert vereinbart wurden.

3.4
Die Ergebnispräsentation von Analysen und Checkups erfolgt standardmäßig online. Auf Wunsch des Kunden kann eine Präsentation vor Ort erfolgen; in diesem Fall werden Reisezeiten sowie Reise- und Nebenkosten gesondert vergütet.

4. Mitwirkungspflichten des Kunden

4.1
Der Kunde hat alle zur ordnungsgemäßen Leistungserbringung erforderlichen Informationen, Unterlagen, Zugänge und Ansprechpartner vollständig und rechtzeitig bereitzustellen.

4.2
Der Kunde stellt sicher, dass fachlich geeignete Ansprechpartner (z. B. IT-Leitung, Administratoren, Management) für Interviews, Rückfragen und Abstimmungen zur Verfügung stehen.

4.3
Der Kunde ist verantwortlich für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen. Der Auftragnehmer ist nicht zur eigenständigen Nachforschung verpflichtet.

4.4
Unterbleiben Mitwirkungshandlungen oder verzögern sie sich, verlängern sich Fristen angemessen. Hierdurch entstehender Mehraufwand wird zusätzlich nach den vereinbarten Stundensätzen vergütet.

5. Leistungszeit, Verzug und höhere Gewalt

5.1
Termine und Fristen sind nur verbindlich, wenn sie ausdrücklich als verbindlich bezeichnet wurden.

5.2
Kommt der Auftragnehmer mit der Leistung in Verzug, hat der Kunde ihm zunächst eine angemessene Nachfrist zu setzen. Erst nach fruchtlosem Ablauf der Nachfrist kann der Kunde vom Vertrag zurücktreten oder Schadensersatz verlangen, soweit die gesetzlichen Voraussetzungen vorliegen.

5.3
Ereignisse höherer Gewalt oder sonstige unvorhersehbare, vom Auftragnehmer nicht zu vertretende Umstände (z. B. Ausfall von Schlüsselpersonen durch Krankheit, Stromausfall, Ausfall von Netzinfrastrukturen, behördliche Maßnahmen) verlängern Leistungsfristen um die Dauer der Beeinträchtigung zuzüglich einer angemessenen Wiederanlaufzeit. Schadensersatzansprüche des Kunden sind in diesen Fällen ausgeschlossen.

6. Vergütung, zusätzliche Stunden und Zahlungsbedingungen

6.1
Die Vergütung des Auftragnehmers ergibt sich aus dem jeweiligen Angebot bzw. der Auftragsbestätigung. Alle Preise verstehen sich zuzüglich gesetzlicher Umsatzsteuer.

6.2
Soweit im Angebot nichts anderes vereinbart ist, werden Leistungen nach Zeitaufwand abgerechnet. Alle zusätzlich anfallenden Stunden werden mit 150,00 € netto pro Stunde vergütet.

6.3
Beim IT-Sicherheits-Checkup gilt: Die im Angebot genannte Pauschale umfasst bis zu 16 Stunden Gesamtaufwand (inkl. Vorbereitung, Informationsgewinnung, Bewertung, Report-Erstellung und Ergebnispräsentation), sofern nichts Abweichendes vereinbart wurde. Ein darüber hinaus erforderlicher Aufwand wird nach vorheriger Abstimmung mit dem Kunden gemäß Ziffer 6.2 abgerechnet.

6.4
Reisezeiten, Reise- und Übernachtungskosten sowie sonstige Nebenkosten (z. B. Spesen) werden – sofern Vor-Ort-Leistungen gewünscht sind – zusätzlich nach den im Angebot genannten oder marktüblichen Konditionen berechnet.

6.5
Rechnungen sind innerhalb von 14 Tagen nach Rechnungsdatum ohne Abzug zur Zahlung fällig. Bei Zahlungsverzug ist der Auftragnehmer berechtigt, Verzugszinsen in gesetzlicher Höhe sowie Mahnkosten zu berechnen.

6.6
Der Auftragnehmer ist berechtigt, bei längerfristigen Projekten angemessene Abschlags- oder Teilrechnungen zu stellen.

7. Nutzungsrechte und Schutz interner Arbeitsmittel

7.1
Der Kunde erhält an den im Rahmen des Vertrages erstellten Ergebnisberichten (PDF), Präsentationen und sonstigen Auswertungen ein einfaches, zeitlich und räumlich unbeschränktes Nutzungsrecht für eigene Zwecke.

7.2
Der Kunde darf diese Ergebnisse insbesondere

• intern verwenden,
• gegenüber Dienstleistern, Auditoren, Partnern und Behörden nutzen und
• als Grundlage für weitere Projekte einsetzen.

Dies umfasst auch die Weitergabe der Berichte und Präsentationen an Dritte.

7.3
Vom Nutzungsrecht ausdrücklich nicht erfasst und nicht herauszugeben sind insbesondere:

• interne Bewertungsmodelle (z. B. Excel-Sheets, Scoring-Modelle),
• interne Berechnungen und Auswertungslogiken,
• Fragenkataloge, Templates und Methodendokumente,
• Notizen, Rohdaten und sonstige interne Arbeitsunterlagen des Auftragnehmers.

Diese verbleiben vollständig im Eigentum des Auftragnehmers und dürfen vom Kunden nicht vervielfältigt, verbreitet oder Dritten zugänglich gemacht werden.

7.4
Der Kunde ist nicht berechtigt, die Ergebnisse in einer Weise zu verändern oder aus dem Kontext zu reißen, die geeignet ist, einen falschen Eindruck über Inhalt, Urheber oder Aussage des Berichts zu erwecken.

8. Vertraulichkeit und Referenzen

8.1
Beide Parteien behandeln alle im Rahmen der Zusammenarbeit bekannt werdenden Geschäfts- und Betriebsgeheimnisse sowie sonstigen vertraulichen Informationen streng vertraulich und verwenden sie nur für Zwecke der Vertragsdurchführung.

8.2
Die Vertraulichkeitspflicht gilt zeitlich unbefristet über das Vertragsende hinaus.

8.3
Der Auftragnehmer ist berechtigt, den Kunden nach Abschluss eines Projekts in allgemeiner Form (z. B. Firmenname, Branche, Art der Leistung) als Referenz zu nennen, sofern der Kunde dem nicht widerspricht. Inhalte konkreter Reports oder vertrauliche Details werden dabei nicht offengelegt.

9. Datenschutz und Auftragsverarbeitung

9.1
Die Parteien beachten die jeweils geltenden datenschutzrechtlichen Bestimmungen, insbesondere die DSGVO.

9.2
Soweit der Auftragnehmer im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Kunden verarbeitet, schließen die Parteien vor Beginn der entsprechenden Tätigkeiten einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

9.3
Ohne AVV erbringt der Auftragnehmer keine Leistungen, die eine Auftragsverarbeitung im Sinne der DSGVO darstellen würden.

10. Haftung

10.1
Der Auftragnehmer haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer vorsätzlichen oder fahrlässigen Pflichtverletzung beruhen, sowie für Schäden, die auf Vorsatz oder grober Fahrlässigkeit beruhen.

10.2
Bei einfacher Fahrlässigkeit haftet der Auftragnehmer nur für Schäden aus der Verletzung wesentlicher Vertragspflichten (Kardinalpflichten). In diesen Fällen ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt.

10.3
Die Haftung für mittelbare Schäden, Folgeschäden, entgangenen Gewinn, ausgebliebene Einsparungen oder Produktionsausfälle ist ausgeschlossen, soweit gesetzlich zulässig.

10.4
Der Auftragnehmer haftet nicht für IT-Sicherheitsvorfälle, Datenverluste oder sonstige Sicherheitsverletzungen, die trotz oder nach Durchführung der Beratungsleistungen oder des Checkups eintreten.

10.5
Die Gesamthaftung des Auftragnehmers aus oder im Zusammenhang mit dem jeweiligen Vertrag ist – soweit gesetzlich zulässig – der Höhe nach auf die Gesamtvergütung des jeweiligen Auftrags begrenzt.

10.6
Zwingende gesetzliche Haftungsvorschriften bleiben unberührt.

11. Keine Arbeitnehmerüberlassung

11.1
Der Auftragnehmer erbringt seine Leistungen ausschließlich als selbstständiger Dienstleister. Es wird kein Arbeitsverhältnis mit dem Kunden begründet.

11.2
Es findet keine Arbeitnehmerüberlassung im Sinne des Arbeitnehmerüberlassungsgesetzes (AÜG) statt. Der Kunde stellt sicher, dass der Einsatz des Auftragnehmers nicht wie eine Eingliederung in die betriebliche Organisation des Kunden erfolgt und keine arbeitnehmertypische Weisungsgebundenheit entsteht.

12. Aufrechnung, Zurückbehaltung, Abtretung

12.1
Der Kunde kann nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen aufrechnen.

12.2
Ein Zurückbehaltungsrecht steht dem Kunden nur zu, soweit es auf demselben Vertragsverhältnis beruht.

12.3
Der Kunde darf Ansprüche aus dem Vertragsverhältnis nur mit vorheriger schriftlicher Zustimmung des Auftragnehmers abtreten.

13. Vertragslaufzeit und Kündigung

13.1
Der Vertrag endet mit vollständiger Erbringung der vereinbarten Leistungen.

13.2
Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn

• eine Partei trotz Abmahnung nachhaltig gegen wesentliche Vertragspflichten verstößt oder
• über das Vermögen einer Partei das Insolvenzverfahren eröffnet wird.

14. Schlussbestimmungen

14.1
Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

14.2
Ist der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, ist Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag der Sitz des Auftragnehmers.

14.3
Änderungen und Ergänzungen dieses Vertrages einschließlich dieser AGB bedürfen der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses.

14.4
Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Regelung tritt die gesetzliche Regelung; im Übrigen gilt § 306 BGB.