1 Vertragsgegenstand - Geltungsbereich
1.1 Die G&R Technologies UG, Leopoldstraße 31, 80802 München, Deutschland (nachfolgend „G&R Technologies“ genannt), erbringt für den Auftraggeber Dienstleistungen gemäß dem vertraglich festgelegten Leistungsumfang. G&R Technologies erbringt die Dienstleistungen in eigener Verantwortung; für die dabei vom Auftraggeber angestrebten und erzielten Ergebnisse bleibt der Auftraggeber selbst verantwortlich.
1.2 Die geschuldeten Dienstleistungen werden entsprechend den im Vertrag genannten Leistungsbeschreibungen erbracht.
1.3 Die gefundenen Ergebnisse sind nur zum Zeitpunkt der erbrachten Leistung gültig.
1.4 Wegen eventueller Beschränkungen der zeitlichen, finanziellen und personellen Ressourcen wird Seitens G&R Technologies nicht gewährleistet, dass alle vorhandenen Fehler gefunden werden.
1.5 Entgegenstehende oder abweichende AGB, oder sonstige Einschränkungen des Auftraggebers werden nicht Vertragsbestandteil, es sei denn, G&R Technologies hat ihnen im Einzelfall vor Vertragsschluss ausdrücklich und in Textform zugestimmt.
1.6 Diese AGB gelten auch für alle künftigen gleichgelagerten Geschäftsbeziehungen, auch wenn sie nicht nochmals ausdrücklich vereinbart werden.
1.7 Im Einzelfall getroffene, individuelle Vereinbarungen mit dem Auftraggeber haben in jedem Fall Vorrang vor diesen AGB.
1.8 Sollten sich in den AGB und dem den AGB jeweils zugrundeliegenden Vertrag abweichende Bedingungen ergeben, so gilt im Zweifelsfall die Angabe des jeweiligen Vertrags.
2 Zustandekommen des Vertrages, Zeitpläne
2.1 Angebote von G&R Technologies sind freibleibend, sofern nichts Abweichendes angegeben ist und 30 Tage ab Angebotsdatum gültig.
2.2 Ein Vertrag kommt mit der Annahme eines von G&R Technologies schriftlich oder in Textform übermittelten Angebots durch den Auftraggeber oder mittels schriftlicher oder in Textform übermittelter Bestellung des Auftraggebers und Zugang einer entsprechenden Auftragsbestätigung von G&R Technologies beim Auftraggeber zustande.
2.3 Die Vertragspartner vereinbaren für die Erbringung der Dienstleistungen Zeitpläne. Diese können im gegenseitigen Einvernehmen geändert werden.
3 Änderung der vereinbarten Dienstleistungen
3.1 Jeder der Vertragspartner kann beim anderen Vertragspartner in schriftlicher Form oder Textform Änderungen des vereinbarten Leistungsumfangs beantragen. Nach Erhalt eines Änderungsantrags wird der Empfänger die Änderung daraufhin überprüfen, ob und zu welchen Bedingungen diese durchführbar ist und dem Antragsteller die Zustimmung bzw. Ablehnung unverzüglich schriftlich oder in Textform mitteilen und gegebenenfalls begründen.
3.2 Erfordert ein Änderungsantrag des Auftraggebers eine umfangreiche Überprüfung, so kann der erforderliche Aufwand von G&R Technologies berechnet werden.
3.3 Die für eine Überprüfung und/oder eine Änderung erforderlichen vertraglichen Anpassungen der vereinbarten Bedingungen und Dienstleistungen werden in einer Ergänzung zu diesem Vertrag vereinbart.
3.4 Solange die Zustimmung des Auftraggebers nicht vorliegt, setzt G&R Technologies die Dienstleistungen nach dem bestehenden Vertrag fort. Jeder der Vertragspartner kann jedoch verlangen, dass die von der Änderung betroffenen Dienstleistungen bis zum Abschluss der Änderungsvereinbarung unterbrochen werden.
4 Mitwirkungspflicht des Auftraggebers
4.1 Der Auftraggeber wird alle einschließlich der nachfolgend aufgeführten angemessenen oder notwendigen Mitwirkungsleistungen rechtzeitig, vollständig und für G&R Technologies kostenfrei erbringen.
4.2 Der Auftraggeber hat während der Ausführung der Dienstleistungen von G&R Technologies stets dafür Sorge zu tragen, dass G&R Technologies alle für die Ausführung ihrer Tätigkeit notwendigen Unterlagen rechtzeitig vorgelegt werden, G&R Technologies alle Informationen erteilt werden und G&R Technologies von allen Vorgängen und Umständen in Kenntnis gesetzt wird. Dies gilt auch für Unterlagen, Vorgänge und Umstände, die erst während der Tätigkeit von G&R Technologies bekannt werden.
4.3 Der Auftraggeber benennt einen Ansprechpartner und einen Stellvertreter für G&R Technologies, der als Koordinator die Gesamtverantwortung des Auftraggebers unter diesem Vertrag wahrnimmt und teilt G&R Technologies dessen Kontaktdaten, sowie die Kontaktdaten des IT-Sicherheitsbeauftragten und des Datenschutzbeauftragten des Auftraggebers mit.
4.4 Der Auftraggeber benennt gegenüber G&R Technologies einen Systemverantwortlichen mit Kontaktdaten. Der Systemverantwortliche und sein Stellvertreter sind neben der Geschäftsführung Ansprechpartner von G&R Technologies in allen Fragen der Durchführung des Vertrages.
4.5 Der Auftraggeber ist selbst dafür verantwortlich das der IT-Sicherheitsbeauftragte und/oder der Datenschutzbeauftragte, sofern der Auftraggeber über einen solchen verfügt, informiert und in die Dienstleistungen der G&R Technologies einbezogen ist.
4.6 Sofern der Auftraggeber Dienste bei einem Hoster ausgelagert hat, stellt der Auftraggeber sicher, dass auch dieser in den Vertrag einbezogen wird, sofern sich die vertraglich vereinbarten Dienstleistungen der G&R Technologies auch auf diese Dienste beziehen.
4.7 Soweit es für die Erfüllung dieses Vertrages erforderlich ist, wird der Koordinator von G&R Technologies notwendige Informationen übergeben und an Besprechungen mit G&R Technologies teilnehmen.
4.8 Der Auftraggeber gewährt G&R Technologies während der Vertragserfüllung – in dazu angemessenem Umfang – freien und gesicherten Zutritt zu seinen Geschäftsräumen und ist bereit, notwendige Arbeitsvoraussetzungen (wie z.B. Raum, Telefon und Datensichtgeräte) kostenfrei zur Verfügung zu stellen.
4.9 Sofern von G&R Technologies für einen geplanten White-Box-Test angefordert, stellt der Auftraggeber alle notwendigen folgende Informationen, insbesondere nachfolgende Informationen rechtzeitig zur Verfügung.
5 Verpflichtung des Auftraggebers zum Backup – Wichtig Hinweise an den Auftragsgeber
5.1 Vor Durchführung von Penetrationtests verpflichtet sich der Auftraggeber sämtliche durch G&R Technologies zu prüfende Systeme und die damit in Verbindung stehenden Daten vollumfänglich durch ein externes Backup zu sichern. Darüber hinaus hat der Auftraggeber sämtliche notwendigen Sicherheitsmaßnahmen, auch diejenigen, die über ein Backup hinausgehen, vor Nutzung der Dienstleistung zu treffen, um die Systeme und Daten notfalls nach dem Penetrationtests wieder in den ursprünglichen Zustand zurück versetzen zu können. Der Auftraggeber verpflichtet sich weiterhin, für die regelmäßige vollständige Sicherung seiner Daten außerhalb des Zielsystems vor Durchführung des Penetrationstests selbst zu sorgen.
6 Zusicherung des Auftraggebers – Einholung von Zustimmungen – Haftung des Auftraggebers
6.1 Der Auftraggeber versichert, dass die Zielsysteme vom Auftraggeber allein betrieben und genutzt werden und Dritte von einer Beeinträchtigung der Zielsysteme oder mit diesen verbundenen Systemen nicht betroffen werden. Sofern die Zielsysteme nicht ausschließlich vom Auftraggeber genutzt versichert der Auftraggeber, dass er die Einwilligungen der betroffenen Dritten für einen Angriff auf das Zielsystem in Textform eingeholt hat und die betroffenen Dritte über die möglichen Auswirkungen der Penetrationtests nach dieser Vereinbarung belehrt hat.
6.2 Der Auftraggeber wird evtl. erforderliche weitere Zustimmungen Dritter z.B. nach DSGVO rechtzeitig einholen. Sofern vorhanden wird der Auftraggeber seinen Datenschutzbeauftragten / IT- Sicherheitsbeauftragten rechtzeitig über die geplanten Penetrationtests informieren.
6.3 Der Auftraggeber verpflichtet sich, sofern eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten im Sinne der EU Datenschutz-Grundverordnung (DSGVO) bestehen sollte, unverzüglich die zuständige Aufsichtsbehörde sowie gegebenenfalls die Betroffenen nach Maßgabe der DSGVO zu informieren.
6.4 Der Auftraggeber stellt die G&R Technologies von sämtlichen Ansprüchen dritter Personen, die dritte Personen gegenüber G&R Technologies, ihren gesetzlichen Vertretern und/oder Erfüllungsgehilfen im Fall einer schuldhaften Verletzung gegen die vorgenannten Verpflichtungen seitens des Auftraggebers oder eines anderen Dritten geltend machen, frei. Dies gilt auch für Schäden, welche Dritten aufgrund der Beeinträchtigung von mit dem Zielsystem verbundenen Systemen entstehen. Der Auftraggeber übernimmt dabei sämtliche Kosten und Gebühren für die notwendige rechtliche Verfolgung in der gesetzlichen Höhe, sowie sämtliche Schäden, Verluste und Ausgaben, insoweit die Rechtsverletzung durch den Auftraggeber zu vertreten ist. Vorstehendes gilt nicht bei grob fahrlässigem oder vorsätzlichem Handeln von G&R Technologies oder bei Verletzung von Kardinalpflichten (wesentlichen Vertragspflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertraut und vertrauen darf) oder im Falle der Verletzung von Leben, Körper oder Gesundheit.
7 Rechte an den Arbeitsergebnissen
7.1 Rechte an Arbeitsergebnissen, wie z.B. Auswertungen, Planungsunterlagen, Berichte, Dokumentationen, Zeichnungen und ähnliche Materialien, die dem Auftraggeber gemäß dem vereinbarten Leistungsumfang in schriftlicher, maschinenlesbarer und/oder anderer Darstellungsform übergeben werden, gehören, vorbehaltlich der nachstehenden Bestimmungen, dem Auftraggeber.
7.2 Sämtliche Rechte an von G&R Technologies eingebrachten Grundlagen einschließlich der Rechte an Arbeitsunterlagen verbleiben bei G&R Technologies.
7.3 Über Ideen, Konzeptionen, Know-how und Techniken, die von G&R Technologies oder gemeinschaftlich mit dem Auftraggeber entwickelt werden, kann jeder Vertragspartner frei verfügen. Erfindungen, die im Rahmen dieses Vertrages durch G&R Technologies gemacht werden sowie darauf erteilte Schutzrechte stehen G&R Technologies zu. Der Auftraggeber erhält jedoch an den Erfindungen von G&R Technologies, die im Rahmen dieses Vertrages entstanden sind, eine nicht ausschließliche, unwiderrufliche, gebührenfreie, weltweite Lizenz. Gemeinschaftliche Erfindungen sowie darauf erteilte Schutzrechte stehen beiden Vertragspartnern zu und jeder dieser Vertragspartner kann Lizenzen erteilen oder Rechte einräumen oder übertragen, ohne den anderen Vertragspartner zu unterrichten oder Zahlungen an ihn zu leisten.
7.4 G&R Technologies ist durch diesen Vertrag nicht gehindert, Materialien zu entwickeln und Dritten zur Nutzung zu überlassen und hieran Rechte einzuräumen, die den an den Auftraggeber übergebenen Materialien ähnlich sind. Bei der Entwicklung von Materialien für Dritte wird G&R Technologies jedoch die in Erfüllung dieses Vertrages ausschließlich und unmittelbar für den Auftraggeber geschaffenen Arbeitsergebnisse weder ganz noch teilweise kopieren.
8 Personal
8.1 G&R Technologies benennt einen Ansprechpartner für den Koordinator des Auftraggebers zur gegenseitigen Abstimmung und Klärung aller Fragen, die sich im Verlauf der Leistungserbringung ergeben.
8.2 Die Vertragspartner sind während der Leistungserbringung für die Beaufsichtigung, Steuerung, Kontrolle und Entlohnung ihrer jeweils eingesetzten eigenen Mitarbeiter verantwortlich.
8.3 Mitarbeiter von G&R Technologies treten in kein Arbeitsverhältnis zum Arbeitgeber ein.
9 Vertrauliche Daten, Datenschutz
9.1 Die Vertragspartner verpflichten sich, alle ihnen im Rahmen des Vertrages zugänglich gemachten, sowie bei Gelegenheit der Zusammenarbeit erlangten Informationen über Angelegenheiten der anderen Partei, die als vertraulich gekennzeichnet sind oder die als vertraulich bezeichnet werden oder die aus Sicht eines objektiven Beobachters als vertraulich erkennbar sind sowie Geschäfts- und Betriebsgeheimnisse, insbesondere, aber nicht ausschließlich, Informationen, Daten, Ideen, Konzepte und Businessmodelle, vertraulich zu behandeln. Den Vertragspartnern ist es untersagt, vertrauliche Informationen ohne schriftliche Einwilligung der anderen Vertragspartei zu einem anderen als dem zur vertragsgemäßen Aufgabenerfüllung vorgesehenen Zweck zu verwerten, Dritten zugänglich zu machen, oder sonst zu nutzen.
9.2 Beide Vertragspartner verpflichten sich, die Geheimhaltungspflicht sämtlichen Angestellten und/oder Dritten (freie Mitarbeiter etc.), die Zugang zu den vorbezeichneten Geschäftsvorgängen haben, aufzuerlegen.
9.3 Die Geheimhaltungspflicht gilt nicht für Informationen, die der jeweils anderen Partei bei Abschluss des Vertrags bereits bekannt waren, die zum Zeitpunkt der Weitergabe durch die offenlegende Partei bereits veröffentlicht waren, ohne dass dies von einer Verletzung der Vertraulichkeit durch die jeweils andere Partei herrührt, die die jeweils andere Partei ausdrücklich schriftlich zur Weitergabe freigegeben hat, die die jeweils andere Partei rechtmäßig und ohne die Vertraulichkeit betreffende Einschränkung aus anderen Quellen erhalten hat, sofern die Weitergabe und Verwertung dieser vertraulichen Informationen weder vertragliche Vereinbarungen noch gesetzliche Vorschriften oder behördliche Anordnungen verletzen, die die jeweils andere Partei selbst ohne Zugang zu den vertraulichen Informationen des Auftraggebers entwickelt hat, die aufgrund gesetzlicher Auskunfts-, Unterrichtungs- und/oder Veröffentlichungspflichten oder behördlicher Anordnung offen gelegt werden müssen. Soweit zulässig, wird die hierzu verpflichtete Partei die jeweils andere Partei hierüber so früh wie möglich informieren und sie bestmöglich dabei unterstützen, gegen die Pflicht zur Offenlegung vorzugehen.
9.4 G&R Technologies verpflichtet sich, weder über die vorgefundenen Sicherheitsmängel, noch über die Organisationsstrukturen und die Struktur der überprüften IT-Systeme, noch über gesichtetes Firmen-Know-How des Auftraggebers gegenüber Dritten zu kommunizieren.
9.5 Die Verpflichtung zur Geheimhaltung besteht nach Beendigung des Vertrags fort.
9.6 Die Vertragspartner verpflichten sich, die Bestimmungen der DS-GVO einzuhalten. Soweit durch den Auftragnehmer eine Verarbeitung personenbezogener Daten erfolgt, werden die Parteien hierfür eine gesonderte Vereinbarung abschließen.
10 Vertragsdauer – Kündigung
10.1 Der Vertrag endet nach Erbringung der vereinbarten Dienstleistungen. Eine Verlängerung des Vertrages kann jederzeit vor seiner Beendigung zu den jeweils gültigen Preisen und Bedingungen von G&R Technologies schriftlich oder in Textform vereinbart werden.
10.2 Im Übrigen beträgt die Kündigungsfrist vier Wochen zum Monatsende, sofern nicht im Einzelfall abweichend vereinbart.
10.3 Das Recht zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt.
10.4 Jede Kündigung bedarf zu Ihrer Wirksamkeit der Schriftform.
11 Vergütung und Zahlungsbedingungen
11.1 Alle Preise verstehen sich zuzüglich der jeweils geltenden gesetzlichen Umsatzsteuer.
11.2 Die Dienstleistungen von G&R Technologies und ggf. zusätzlichen Kosten (Reisekosten, Material, Versandkosten, usw.) werden entsprechend der im Angebot bzw. Vertrag aufgeführten Zahlungsbedingungen in Rechnung gestellt.
11.3 Rechnungen sind bei Erhalt sofort ohne Abzug zahlbar.
11.4 Ist der Rechnungsbetrag nicht innerhalb von 30 Tagen nach dem Rechnungsdatum bei G&R Technologies eingegangen, ist G&R Technologies berechtigt, Verzugszinsen in gesetzlicher Höhe geltend zu machen.