1.1 Anwendungsbereich

Diese Allgemeinen Geschäftsbedingungen (nachfolgend „die AGB“) gelten für alle Verträge über IT- und Cybersecurity-Dienstleistungen (nachfolgend „Leistungen“) zwischen der DACH-DIGITALISIERUNG UG (haftungsbeschränkt), Fritz-Ehrmann-Str. 57, 71540 Murrhardt, Deutschland (nachfolgend „Auftragnehmer“) und ihren Kunden (nachfolgend „Auftraggeber“).

1.2 Abweichende Bedingungen

Abweichende Bedingungen des Auftraggebers werden nicht anerkannt, es sei denn, der Auftragnehmer hat ihrer Geltung ausdrücklich schriftlich zugestimmt.

2.1 Leistungsumfang

Gegenstand des Vertrages ist die Erbringung folgender IT- und Cybersecurity-Dienstleistungen, beispielsweise:

• Penetrationstests & Sicherheitsaudits
• IT-Beratung & Strategieentwicklung
• Digitalisierungsberatung & -umsetzung
• IT-Infrastruktur-Implementierung
• Laufender Support & Wartung
• Datenschutzberatung & externe Datenschutzbeauftragte
• IT-Schulung & Personalentwicklung

2.2 Leistungsdetails

Leistungsumfang, -zeitraum und -ort ergeben sich aus dem jeweiligen Angebot bzw. der Leistungsbeschreibung. Im Falle von Abweichungen zwischen dieser AGB, dem Dienstleistungsvertrag und dem Angebot gilt folgende Rangfolge:

3.1 Verbindlichkeit von Angeboten

Angebote des Auftragnehmers sind freibleibend und unverbindlich, sofern nicht ausdrücklich als verbindlich bezeichnet.

3.2 Vertragsabschluss

Ein Vertrag kommt durch eine der folgenden Formen zustande:

• a) Unterschriebener Dienstleistungsvertrag
  Per Post, E-Mail (PDF mit Unterschrift) oder persönlich
• b) Schriftliche Auftragsbestätigung per E-Mail
  Betreffzeile: „Auftragsbestätigung”
  Mit: Referenznummer, Leistung, Preis, Zeitfenster
  Zustimmung durch: Kein Widerspruch (48h) ODER explizites OK
• c) Explizite schriftliche Zustimmung
  E-Mail: „Akzeptiert”
  WhatsApp: „OK, macht das” (mit Angebotsreferenz)
  Sprachnachricht: z.B. „Ja, bitte machen Sie das”

4.1 Erforderliche Informationen und Zugänge

Der Auftraggeber stellt alle zur Leistungserbringung erforderlichen Informationen, Zugänge und Ressourcen rechtzeitig (spätestens 48 Stunden vor Projektstart) zur Verfügung, darunter:

• Hardware- und Admin-Zugänge
• VPN, SSH-Keys oder Credentials
• Ansprechperson vor Ort (falls Vor-Ort-Leistung)
• Dokumentationen und Schnittstellen-Spezifikationen
• Testdaten (fiktive, nicht-sensitive Daten bevorzugt)
• Notfall-Kontaktpersonen (Name, Mobil, E-Mail)
• Genehmigungen von Dritten (z.B. Hosting-Provider)

4.2 Verzögerungen durch mangelnde Mitwirkung

Verzögerungen, die auf fehlende oder mangelhafte Mitwirkung zurückzuführen sind, berechtigen den Auftragnehmer:

• Den Zeitplan entsprechend anzupassen (schriftlich per E-Mail bestätigt)
• Zusätzliche Stunden/Aufwendungen mit vereinbarten Stundensätzen zu berechnen
• Das Projekt nach 10 Tagen Verzug auszusetzen

4.3 Außerordentliche Kündigung bei fehlender Mitwirkung

Reagiert der Auftraggeber trotz zweimaliger schriftlicher Aufforderung (jeweils mit 7 Tagen Frist) nicht auf notwendige Rückfragen oder Maßnahmen, ist der Auftragnehmer berechtigt:

• a) Den Vertrag außerordentlich (fristlos) zu kündigen, UND
• b) Aufwendungen zu berechnen:
  • 25% des vereinbarten Auftragswertes (Minimum 150€), ODER
  • Tatsächlich geleistete Stunden (wenn höher)

Beispiel: Projekt 5.000€ → Pauschale 1.250€ (oder geleistete Stunden, je nachdem was höher)

5.1 Preisgestaltung

Es gelten die im Angebot genannten Preise. Diese verstehen sich – sofern nicht anders angegeben – als Nettopreise zzgl. der jeweils geltenden gesetzlichen Umsatzsteuer. Bei Angeboten an Privatkunden wird der Bruttopreis (inklusive Umsatzsteuer) ausgewiesen.

5.2 Unterschiedliche Stundensätze

Der Auftragnehmer kann für verschiedene Leistungstypen unterschiedliche Stundensätze in Rechnung stellen:

5.3 Reisekosten und Spesen

Falls nicht im Angebot ausgeschlossen, werden folgende Reisekosten erstattet:

• Fahrtkosten: 0,30€ pro Kilometer (oder Bahnfahrkarte Erstattung)
• Übernachtung: Tatsächliche Kosten (bis 100€ pro Nacht)
• Verpflegung: Pauschal 15€ pro Tag
• Parkgebühren: Tatsächliche Kosten (Belege erforderlich)
• Alternative: Pauschale 50€ pro Vor-Ort-Einsatz (wenn < 50km)

5.4 Zahlungsfrist

Zahlungsziel: 14 Tage netto nach Rechnungsdatum, ohne Abzug.

5.5 Zahlungsverzug und Mahngebühren

Bei Zahlungsverzug:

• Es gelten die gesetzlichen Verzugszinsen (§288 BGB)
• Mahnpauschale: 10 EUR pro Mahnung
• Bei Zahlungsverzug > 30 Tage: Auftragnehmer darf weitere Leistungen einstellen
• Bei Zahlungsrückstand > 30 Tage: Außerordentliche Kündigung ohne Frist ist möglich

5.6 Hardware und Softwarelizenzen Dritter

Bestellt der Auftraggeber ein Projekt, das die Lieferung von Hardware oder Softwarelizenzen Dritter durch den Auftragnehmer beinhaltet:

• Der Auftraggeber finanziert Hardware und einmalig zu erwerbende Softwarelizenzen vorab
• Bei abonnementbasierten Softwarelizenzen erfolgt die Zahlung gemäß den jeweiligen Lizenzbedingungen

6.1 Änderungswünsche

Änderungswünsche des Auftraggebers sind schriftlich zu verlangen. Mehraufwand wird nach tatsächlichem Aufwand berechnet:

7.1 Lizenzen und Schutzrechte

Soweit im Rahmen der Leistung Softwarelizenzen oder sonstige Schutzrechte übertragen werden, erhält der Auftraggeber einfache, nicht ausschließliche Nutzungsrechte. Der Auftragnehmer behält sich alle weiteren Rechte vor.

8.1 Mängelanzeige

Mängel müssen schriftlich und konkretisiert angezeigt werden innerhalb von 14 Tagen nach Leistungsabnahme.

8.2 Ausschluss von mittelbaren Schäden

Der Auftragnehmer weist jegliche Haftung für mittelbare Schäden und Folgeschäden (z.B. Betriebsunterbrechung, entgangene Gewinne, verlorene Chancen) soweit gesetzlich zulässig, zurück.

8.3 Haftung bei Vorsatz und grober Fahrlässigkeit

Für Schäden durch Vorsatz oder grobe Fahrlässigkeit haftet der Auftragnehmer unbeschränkt.

8.4 Haftung bei leichter Fahrlässigkeit

Die Haftung für leicht fahrlässige Pflichtverletzungen ist begrenzt auf:

8.5 Datenverlust-Haftung

Eine Haftung für Datenverlust wird ausgeschlossen, wenn dieser durch folgende Ursachen entsteht:

• Mangelhafte, unvollständige oder abgelaufene Backups des Auftraggebers
• Nicht-Mitwirkung des Auftraggebers (fehlende Backups)
• Hardware-Defekte (außer durch grobe Fahrlässigkeit des Auftragnehmers)

Der Auftraggeber trägt die Verantwortung für regelmäßige Backups und Wiederherstellungstests.

8.6 Fremdsoftware-Haftung

Für Schäden durch Nutzung von Fremdsoftware übernimmt der Auftragnehmer keine Haftung, sofern nicht ausdrücklich anders vereinbart.

8.7 DSGVO-Haftung

Für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) und Datenschutzpflichten haftet der Auftragnehmer nach den gesetzlichen Regelungen (Art. 82 DSGVO). Die Haftungsbegrenzungen aus §8.4 gelten hier NICHT.

8.8 Versicherung

Der Auftragnehmer trägt eine Berufshaftpflicht-Versicherung (Errors & Omissions) mit einer Deckungssumme von mindestens 125.000€ (ausbaubar auf 500.000€ bei größeren Projekten). Im Schadensfall haftet zunächst die Versicherung bis zur geltenden Deckungssumme.

9.1 Vertrauliche Informationen

Beide Parteien verpflichten sich, alle im Zusammenhang mit dem Vertrag erhaltenen vertraulichen Informationen geheim zu halten und nur für Zwecke der Leistungserbringung zu verwenden:

• Pentest-Reports, Schwachstellen-Listen, PoC-Code
• Kundenspezifische IT-Infrastrukturen & Systemkonfigurationen
• Geschäftsprozesse, Kundendaten, Benutzerkonten
• Alle technischen Details, die nicht öffentlich sind

9.2 Geltungsdauer

• Während Vertragslaufzeit: Unbegrenzt
• Nach Vertragsende:
  • Allgemeine Daten: 2 Jahre
  • Sicherheitskritische Daten: 5 Jahre

9.3 Ausnahmen für Offenlegung

Der Auftragnehmer darf Informationen weitergeben an:

• Behörden (auf Anforderung)
• Versicherungen (Schadensfall)
• Rechtsanwälte & Steuerberater (geschäftliche Zwecke)
• Mit vorheriger schriftlicher Zustimmung des Auftraggebers

9.4 Portfolio und Referenzen

Der Auftragnehmer darf den Auftraggeber als Referenzkunde nennen und anonymisierte Case Studies (ohne sensible Details) verwenden, es sei denn, der Auftraggeber widerspricht schriftlich.

Erlaubt: „IT-Security-Projekt für mittelständischen Dienstleister in Baden-Württemberg (anonymisiert)”

Nicht erlaubt: „Beispiel GmbH – Wir haben 15 kritische Schwachstellen gefunden”

10.1 Datenschutzrechtliche Grundlagen

Der Auftragnehmer verarbeitet personenbezogene Daten im Rahmen der Auftragsausführung gemäß:

• Datenschutz-Grundverordnung (DSGVO)
• Bundesdatenschutzgesetz (BDSG)
• Sonstige anwendbare Datenschutzgesetze

10.2 Auftragsverarbeitungsvertrag (AVV)

Falls eine Auftragsverarbeitung nach Art. 28 DSGVO vorliegt, schließen die Parteien einen separaten Auftragsverarbeitungsvertrag ab. Dieser regelt insbesondere:

• Zweck, Dauer und Art der Datenverarbeitung
• Technische und organisatorische Maßnahmen (TOM)
• Dokumentation und Audits
• Datenlöschung nach Projektende
• Regelungen zu Subunternehmern

10.3 Subunternehmer und Partner

Der Auftragnehmer kann spezialisierte Partner/Subunternehmer einsetzen, sofern:

• Der Auftraggeber vorher schriftlich informiert wird
• Ein Geheimhaltungsvertrag (NDA) abgeschlossen wird
• Eine separate AVV mit dem Subunternehmer existiert

11.1 Laufzeit nach Leistungstyp

Die Vertragslaufzeit richtet sich nach der Art der Leistung:

• A) Einzelne Projekte (Pentests, Audits, Beratung)
  → Endet automatisch nach Leistungsabschluss und Abnahme
• B) Abonnements/Dauerleistungen (Support-Abo, Wartung)
  → Mindestbindung 12 Monate
  → Danach automatische Verlängerung um 12 Monate
  → Kündigung mit 30 Tagen Frist zum Monatsende
• C) Langfristverträge (monatliche Beratung)
  → Wie im Angebot vereinbart (Minimum 6 Monate)
  → Kündigung mit 30 Tagen Frist zum Monatsende
• D) Befristete Leistungen
  → Wie im Angebot von/bis Datum angegeben

11.2 Außerordentliche Kündigung

Der Auftragnehmer kann außerordentlich kündigen bei:

• Zahlungsverzug > 30 Tage trotz Mahnung
• Mangelnde Mitwirkung des Auftraggebers (§4.3)
• Strafbare Handlungen des Auftraggebers
• Insolvenz oder Liquidation des Auftraggebers

Der Auftraggeber kann außerordentlich kündigen bei:

• Wiederholte massive Leistungsmängel trotz Nachbesserung
• Datenschutzverletzung durch Auftragnehmer
• Insolvenz des Auftragnehmers

11.3 Abnahme und Leistungsabschluss

Erfolgt keine schriftliche Mängelrüge des Auftraggebers innerhalb von 14 Tagen nach Fertigstellung bzw. Bereitstellung der Leistung, gilt die Leistung als abgenommen.

Mängel müssen konkretisiert werden. Vage Reklamationen („Nicht gut genug”) sind nicht zulässig.

11.4 Auswirkung der Kündigung

• Laufende Aufträge werden beendet (schriftliche Bestätigung)
• Bereits bezahlte Leistungen entfallen nicht (keine Rückerstattung)
• Unbezahlte Rechnungen sind sofort fällig
• Remote-Zugriffe werden innerhalb 24 Stunden deaktiviert
• Daten-Rückgabe erfolgt gemäß Auftragsverarbeitungsvertrag

11.5 Testversionen und Demos

Testversionen oder Demoversionen sind nur zu Evaluationszwecken bestimmt und können keine Haftung für deren Funktionsfähigkeit begründen.

12.1 Schriftform für Änderungen

Änderungen und Ergänzungen dieser AGB oder des Dienstleistungsvertrags bedürfen der Schriftform (E-Mail mit eindeutigem Text genügt).

12.2 Salvatorische Klausel

Sollten einzelne Bestimmungen dieser AGB oder des Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

12.3 Gerichtsstand

Ausschließlicher Gerichtsstand für alle Rechtsstreitigkeiten aus diesem Vertrag ist Stuttgart (Amtsgericht oder Landgericht je nach Zuständigkeit).

12.4 Anwendbares Recht

Diese AGB und alle daraus resultierenden Verträge unterliegen deutschem Recht. Die Anwendung des UN-Übereinkommens über Warenkäufe ist ausgeschlossen.