Allgemeine Geschäftsbedingungen

Der Auftragnehmer erbringt Dienstleistungen zur Eindämmung (Containment) von IT-Sicherheitsvorfällen.

Das primäre Ziel der Leistung ist die Unterbrechung der Angriffskette und die Verhinderung der weiteren Ausbreitung von Schadsoftware oder unberechtigten Zugriffen innerhalb der Infrastruktur des Auftraggebers sowie die Analyse der unmittelbaren Ursache, sofern diese für die Eindämmung erforderlich ist.

Ausdrücklicher Ausschluss: Die Leistungen umfassen ausdrücklich keine IT-Forensik (gerichtsfeste Beweissicherung) und keine Wiederherstellung des regulären Betriebs (Recovery). Für die Wiederherstellung des regulären Betriebs kann bei Bedarf ein externer Dienstleister vermittelt werden.

Dem Auftraggeber ist bekannt, dass Maßnahmen zur Eindämmung (z. B. Trennung von Netzwerkverbindungen, Abschalten von Servern, Sperren von Konten) unter hohem Zeitdruck erfolgen müssen.

Der Auftraggeber nimmt zur Kenntnis, dass durch diese Maßnahmen flüchtige Daten, Logfiles oder andere digitale Spuren verändert oder gelöscht werden können. Eine spätere forensische Aufarbeitung kann dadurch erschwert oder unmöglich gemacht werden.

Der Auftraggeber priorisiert die Schadensminimierung und die Unterbrechung des Angriffs ausdrücklich gegenüber der Beweissicherung.

Um eine effektive Eindämmung zu gewährleisten, erteilt der Auftraggeber dem Auftragnehmer die Vollmacht, im Falle von "Gefahr im Verzug" unmittelbar folgende Maßnahmen zu ergreifen:

• Trennung betroffener Segmente oder Systeme vom internen/externen Netzwerk.
• Herunterfahren oder Pausieren virtueller und physischer Maschinen.
• Temporäre Deaktivierung von Benutzerkonten und Administrator-Privilegien.

Der Auftragnehmer wird den Auftraggeber über solche Maßnahmen unverzüglich informieren.

Der Auftraggeber stellt sicher, dass dem Auftragnehmer alle notwendigen administrativen Zugänge, Netzwerkpläne und Ansprechpartner sofort zur Verfügung stehen.

Verzögerungen, die durch fehlende Mitwirkung oder nicht erreichbare Ansprechpartner beim Auftraggeber entstehen, gehen nicht zu Lasten des Auftragnehmers und entbinden nicht von der Vergütungspflicht.

Der Auftragnehmer haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer vorsätzlichen oder fahrlässigen Pflichtverletzung beruhen, sowie für sonstige Schäden, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung sowie Arglist beruhen.

Bei einfacher Fahrlässigkeit haftet der Auftragnehmer nur, sofern eine Pflicht verletzt wird, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen darf (Kardinalpflicht). In diesem Fall ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt.

Für Schäden, die aus einer notwendigen Unterbrechung des Geschäftsbetriebs resultieren, die zur Eindämmung des Vorfalls vorgenommen wurde (z. B. Downtime), ist die Haftung ausgeschlossen, sofern der Auftragnehmer nicht grob fahrlässig oder vorsätzlich gehandelt hat.

Die Haftung für Datenverlust wird auf den Wiederherstellungsaufwand begrenzt, der bei regelmäßiger und gefahrentsprechender Datensicherung durch den Auftraggeber angefallen wäre.

Die Gesamthaftung des Auftragnehmers aus oder im Zusammenhang mit diesem Vertrag ist – mit Ausnahme der in § 5 Abs. 1 genannten Fälle – auf die Deckungssumme der Betriebshaftpflichtversicherung des Auftragnehmers in Höhe von maximal 125.000,00 € begrenzt.

Die Abrechnung erfolgt nach Zeitaufwand gemäß der aktuellen Preisliste.

Gemäß § 19 UStG wird keine Umsatzsteuer erhoben (Kleinunternehmerregelung). Die angegebenen Preise sind Endpreise zzgl. eventueller Auslagen.

Rechnungen sind innerhalb von 7 Tagen nach Erhalt ohne Abzug zur Zahlung fällig.

Gerät der Auftraggeber mit der Zahlung in Verzug, gelten die gesetzlichen Verzugsregeln. Der Auftragnehmer behält sich das Recht vor, weitere Leistungen bis zum Ausgleich offener Forderungen einzustellen.

Die Parteien vereinbaren, dass es sich um einen Dienstvertrag im Sinne der §§ 611 ff. BGB handelt. Ein konkreter Erfolg (z. B. die vollständige Entfernung aller Schadsoftware oder die Wiederherstellung der Integrität) wird nicht geschuldet.

Der Auftragnehmer führt die Leistungen mit der Sorgfalt eines ordentlichen IT-Sicherheitsdienstleisters aus. Soweit Leistungen mit Mängeln behaftet sind, hat der Auftraggeber Anspruch auf Nachbesserung. Schlägt diese zweimal fehl, kann der Auftraggeber die Vergütung angemessen mindern.

Das Vertragsverhältnis endet mit dem Abschluss der vereinbarten Eindämmungsmaßnahmen oder der Übergabe eines Protokolls.

Der Auftraggeber kann den Vertrag jederzeit kündigen. In diesem Fall ist die bis zum Zeitpunkt der Kündigung erbrachte Leistung zeitanteilig zu vergüten.

Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

Sofern der Auftraggeber Kaufmann ist, ist der Sitz des Auftragnehmers ausschließlicher Gerichtsstand.

Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt (Salvatorische Klausel).

Die Aufrechnung durch den Kunden ist nur mit unbestrittenen oder rechtskräftig festgestellten Gegenforderungen möglich.

Sämtliche Ansprüche des Kunden verjähren 24 Monate nach ihrer Entstehung, sofern nicht gesetzlich zwingend längere Fristen vorgeschrieben sind.