Allgemeine Geschäftsbedingungen

1.1 Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für sämtliche Verträge, Lieferungen und Leistungen der AWARE7 GmbH, Munscheidstraße 14, 45886 Gelsenkirchen (nachfolgend „AWARE7“), gegenüber Unternehmern im Sinne des § 14 BGB (nachfolgend „Auftraggeber“). Maßgeblich ist die zum Zeitpunkt des jeweiligen Vertragsschlusses gültige Fassung dieser AGB.

1.2 Abweichende, entgegenstehende oder ergänzende Geschäftsbedingungen des Auftraggebers werden nicht Vertragsbestandteil, es sei denn, AWARE7 stimmt ihrer Geltung ausdrücklich in Textform zu. Dieses Zustimmungserfordernis gilt in jedem Fall, insbesondere auch dann, wenn AWARE7 in Kenntnis der Bedingungen des Auftraggebers die Leistung vorbehaltlos erbringt.

1.3 Individuelle Vereinbarungen zwischen AWARE7 und dem Auftraggeber (einschließlich Nebenabreden, Ergänzungen und Änderungen) gehen diesen AGB vor. Solche Vereinbarungen bedürfen zu ihrer Wirksamkeit der Textform.

2.1 AWARE7 erbringt Dienstleistungen im Bereich der Informations- und Cybersicherheit. Das Leistungsportfolio umfasst insbesondere:

2.2 Art und Umfang der jeweiligen Leistung ergeben sich aus dem individuellen Angebot bzw. der Leistungsbeschreibung. Sicherheitsprüfungen werden als Dienstleistung (§ 611 BGB) erbracht. AWARE7 schuldet die fachgerechte Durchführung nach dem Stand der Technik, nicht jedoch die vollständige Identifizierung sämtlicher Schwachstellen oder die Herstellung absoluter Sicherheit.

2.3 Die Ergebnisse von Sicherheitsprüfungen stellen eine Momentaufnahme zum Zeitpunkt der Durchführung dar. Die Sicherheitslage kann sich durch neue Schwachstellen, Updates oder Konfigurationsänderungen jederzeit verändern.

3.1 Angebote von AWARE7 sind freibleibend und unverbindlich. Technische und gestalterische Abweichungen von Beschreibungen in Angeboten, Präsentationen und sonstigen Unterlagen bleiben im Rahmen des Zumutbaren vorbehalten.

3.2 Ein Vertrag kommt erst durch schriftliche Auftragsbestätigung von AWARE7 oder durch tatsächlichen Beginn der Leistungserbringung zustande.

3.3 Für Sicherheitsprüfungen (Penetrationstests, Red Teaming, Schwachstellenscans) ist der Leistungsbeginn zusätzlich von der Vorlage einer unterzeichneten Autorisierung durch den Auftraggeber gemäß § 5 dieser AGB abhängig.

4.1 Der Auftraggeber stellt AWARE7 alle zur Leistungserbringung erforderlichen Informationen, Zugänge, Systeme und Ressourcen rechtzeitig und unentgeltlich zur Verfügung. Dies umfasst insbesondere Netzwerkpläne, Zugangsdaten, Testumgebungen, Ansprechpartner und — soweit erforderlich — Whitelisting von AWARE7-IP-Adressen.

4.2 Der Auftraggeber benennt einen fachkundigen Ansprechpartner mit Entscheidungsbefugnis, der für die gesamte Dauer der Leistungserbringung erreichbar ist. Bei Sicherheitsprüfungen muss dieser Ansprechpartner befugt sein, den Test im Notfall unverzüglich zu unterbrechen oder zu beenden.

4.3 Verzögerungen, die auf fehlende oder verspätete Mitwirkung des Auftraggebers zurückzuführen sind, gehen nicht zu Lasten von AWARE7. AWARE7 ist berechtigt, Termine entsprechend anzupassen und entstandene Mehrkosten gesondert in Rechnung zu stellen. Bei einer Unterbrechung von mehr als 20 Werktagen aufgrund fehlender Mitwirkung ist AWARE7 berechtigt, den Vertrag aus wichtigem Grund zu kündigen.

4.4 Der Auftraggeber sichert zu, dass er über alle erforderlichen Berechtigungen zur Beauftragung der vereinbarten Leistungen verfügt, insbesondere über das Recht, die betroffenen IT-Systeme prüfen zu lassen. Soweit Systeme Dritter (z.B. Cloud-Anbieter, Hoster, Zahlungsdienstleister) betroffen sind, holt der Auftraggeber die erforderlichen Genehmigungen eigenverantwortlich vor Leistungsbeginn ein.

5.1 Autorisierung. Der Auftraggeber erteilt AWARE7 mit der Auftragserteilung seine ausdrückliche Einwilligung in alle zur Erbringung der vereinbarten Sicherheitsprüfung erforderlichen Maßnahmen. Dies umfasst insbesondere den Zugriff auf informationsverarbeitende Systeme (Hard- und Software sowie die darauf verarbeiteten Daten), das Verschaffen, Verändern, Abfangen oder Löschen von Daten sowie die Überwindung etwaiger Zugangssicherungen — jeweils ausschließlich im Rahmen der in der Leistungsbeschreibung bezeichneten Systeme und Prüfmethoden. Diese Einwilligung ist mit Blick auf die §§ 202a, 202b, 303a, 303b StGB erteilt. Ohne eine unterzeichnete Autorisierung findet kein Test statt.

5.2 Testumfang. Die Sicherheitsprüfung wird ausschließlich auf den in der Leistungsbeschreibung (Anlage) abschließend bezeichneten IT-Systemen, IP-Adressen, Anwendungen bzw. physischen Standorten durchgeführt. Systeme außerhalb dieses Umfangs sind nicht Gegenstand des Auftrags. Änderungen des Testumfangs bedürfen der vorherigen Zustimmung beider Parteien in Textform.

5.3 Datensicherung. Der Auftraggeber verpflichtet sich, vor Beginn der technischen Durchführung eine vollständige Datensicherung aller vom Test betroffenen Systeme vorzunehmen, um diese in den Zustand vor der Leistungserbringung zurückversetzen zu können. Die Pflicht zur Datensicherung obliegt allein dem Auftraggeber.

5.4 Hinweis auf Risiken. Dem Auftraggeber ist bekannt, dass Sicherheitsprüfungen den Ausfall einzelner oder aller Systeme des geprüften Netzwerks zur Folge haben können, auch wenn keine sogenannten kritischen Tests durchgeführt werden. AWARE7 empfiehlt daher, Sicherheitsprüfungen nach Möglichkeit auf Nicht-Produktivsystemen durchzuführen. Wünscht der Auftraggeber Tests auf produktiv eingesetzten Systemen, ist AWARE7 hierauf gesondert in Textform hinzuweisen und eine Freigabe der Geschäftsleitung des Auftraggebers vorzulegen.

5.5 Drittfreistellung. Der Auftraggeber stellt AWARE7 von sämtlichen Ansprüchen Dritter frei, die sich aus der vertragsgemäßen Durchführung der Sicherheitsprüfung ergeben, einschließlich angemessener Rechtsverteidigungskosten. AWARE7 wird den Auftraggeber unverzüglich über geltend gemachte Ansprüche Dritter informieren. Anerkenntnisse, Zahlungen und Verzichtserklärungen bedürfen der vorherigen Zustimmung des Auftraggebers.

5.6 Parallele Prüfungen. Dem Auftraggeber ist bewusst, dass die parallele Beauftragung eines weiteren Dienstleisters mit einer gleichgelagerten Prüfung zur Verfälschung der Ergebnisse führen kann. AWARE7 ist in diesem Fall nicht für abweichende oder unvollständige Ergebnisse verantwortlich.

5.7 Einsatz von Werkzeugen und KI. AWARE7 setzt zur Leistungserbringung sowohl manuelle Methoden als auch automatisierte Werkzeuge ein, die KI-gestützte Komponenten umfassen können. Die fachliche Bewertung und Qualitätskontrolle aller Ergebnisse erfolgt stets durch qualifizierte Sicherheitsexperten von AWARE7. Für die im Prüfbericht dokumentierten Ergebnisse und Empfehlungen ist AWARE7 im Rahmen der Haftungsregelungen dieser AGB verantwortlich.

5.8 Löschung von Testdaten. Temporäre Testdaten (Logdateien, mitgeschnittener Netzwerkverkehr, extrahierte Credentials) werden innerhalb von 30 Tagen nach Übergabe des abschließenden Prüfberichts sicher und unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen.

6.1 Der Auftraggeber sichert zu, vor Durchführung jeder Phishing-Simulation alle erforderlichen Genehmigungen eingeholt zu haben, insbesondere von der Geschäftsleitung, dem Betriebsrat oder einer vergleichbaren Arbeitnehmervertretung (§ 87 Abs. 1 Nr. 6 BetrVG) sowie dem Datenschutzbeauftragten.

6.2 Phishing-Simulationen dürfen ausschließlich innerhalb der Organisation des Auftraggebers und nur gegenüber Personen durchgeführt werden, die in einem Beschäftigungs- oder Vertragsverhältnis mit dem Auftraggeber stehen. Die Durchführung gegenüber externen Dritten, Kunden oder Geschäftspartnern des Auftraggebers ist ausgeschlossen.

6.3 Die Ergebnisse der Phishing-Simulation werden ausschließlich in anonymisierter bzw. pseudonymisierter Form auf Abteilungs- oder Unternehmensebene ausgewertet. Der Auftraggeber verpflichtet sich, die Ergebnisse nicht zur Überwachung oder Bewertung individueller Mitarbeiterleistungen, als Grundlage für Abmahnungen oder andere arbeitsrechtliche Maßnahmen zu verwenden.

6.4 Der Auftraggeber ist verpflichtet, seine Mitarbeiter vorab allgemein über mögliche Phishing-Tests im Unternehmen zu informieren, ohne spezifische Details oder Zeitpunkte zu nennen.

7.1 Anmeldung. Die Anmeldung zu offenen Schulungen ist verbindlich. Die Teilnahme wird in der Reihenfolge des Eingangs der Anmeldungen bestätigt.

7.2 Stornierung durch den Auftraggeber. Für offene Schulungen gelten folgende Stornierungsbedingungen:

Dem Auftraggeber steht der Nachweis frei, dass ein wesentlich geringerer oder kein Schaden entstanden ist. Die Benennung eines Ersatzteilnehmers ist jederzeit kostenfrei möglich.

7.3 Absage durch AWARE7. AWARE7 ist berechtigt, eine Schulung bis zwei Wochen vor Beginn abzusagen, insbesondere wenn die Mindestteilnehmerzahl nicht erreicht wird. Bereits gezahlte Gebühren werden in diesem Fall vollständig erstattet. Weitergehende Ansprüche sind ausgeschlossen, es sei denn, AWARE7 hat die Absage grob fahrlässig oder vorsätzlich verursacht.

7.4 Zertifizierungen. Soweit die Schulung mit einer Prüfung oder Zertifizierung verbunden ist, schuldet AWARE7 die ordnungsgemäße Durchführung der Schulung und Prüfungsvorbereitung, nicht jedoch das Bestehen der Prüfung durch den Teilnehmer. Prüfungsgebühren externer Zertifizierungsstellen (z.B. DEKRA, BSI) sind separat und nicht erstattungsfähig.

7.5 AZAV-geförderte Maßnahmen. Für mit einem Bildungsgutschein geförderte Maßnahmen gelten ergänzend die Bestimmungen des SGB III/SGB II. Ein Rücktritt des Teilnehmers ist insbesondere kostenfrei möglich, wenn die beantragte Förderung nicht bewilligt wird.

8.1 Rahmenverträge. Bei laufenden Beratungs- oder Managed-Service-Vereinbarungen (z.B. externer ISB, Datenleck-Monitoring, Managed Vulnerability Scanning) werden einzelne Leistungen über separate Leistungsbeschreibungen beauftragt. Die vorliegenden AGB gelten für sämtliche hierunter erteilten Einzelaufträge.

8.2 Externer ISB / Externer DSB. Bei der Erbringung von Leistungen als externer Informationssicherheitsbeauftragter (ISB) oder externer Datenschutzbeauftragter (DSB) übt AWARE7 die entsprechende Funktion fachlich weisungsfrei aus. Die fachliche Unabhängigkeit ist durch den Auftraggeber zu gewährleisten. AWARE7 berichtet regelmäßig an die Geschäftsleitung des Auftraggebers.

8.3 Compliance-Beratung. Bei NIS-2-, DORA-, DSGVO- oder ISO-27001-Beratung unterstützt AWARE7 den Auftraggeber bei der Umsetzung regulatorischer Anforderungen. Die Verantwortung für die Einhaltung gesetzlicher Pflichten verbleibt beim Auftraggeber. AWARE7 schuldet eine fachgerechte Beratung, nicht das Bestehen einer Zertifizierung oder die Feststellung der Compliance durch eine Aufsichtsbehörde.

8.4 Remote-Leistungserbringung. AWARE7 ist berechtigt, Leistungen ganz oder teilweise remote zu erbringen, sofern in der Leistungsbeschreibung nicht ausdrücklich eine Vor-Ort-Erbringung vereinbart ist. Die Vertraulichkeits- und Sicherheitsanforderungen gelten unabhängig vom Leistungsort.

9.1 Die von AWARE7 genannten Termine und Fristen sind unverbindlich, sofern nicht ausdrücklich in Textform etwas anderes vereinbart wurde.

9.2 AWARE7 kommt erst dann in Verzug, wenn der Auftraggeber eine angemessene Nachfrist von mindestens vier Wochen in Textform gesetzt hat und diese fruchtlos verstrichen ist.

9.3 Im Falle des Verzuges hat der Auftraggeber Anspruch auf eine Verzugsentschädigung in Höhe von 0,5 % für jede vollendete Woche des Verzuges, insgesamt jedoch höchstens 5 % des Rechnungswertes der vom Verzug betroffenen Leistungen. Weitergehende Schadensersatzansprüche wegen Verzuges sind auf den vorhersehbaren, vertragstypischen Schaden begrenzt und richten sich nach § 16 dieser AGB.

10.1 Werden auf Wunsch des Auftraggebers reservierte Arbeitstage für Sicherheitsprüfungen oder Beratungsleistungen storniert oder verschoben, gelten folgende Ausfallgebühren:

Werktage im Sinne dieser Regelung sind Montag bis Freitag, ausgenommen gesetzliche Feiertage am Sitz von AWARE7.

10.2 Dem Auftraggeber bleibt der Nachweis vorbehalten, dass der Ausfall zu keinem oder einem wesentlich niedrigeren Schaden geführt hat als die vorstehende Pauschale.

10.3 Für Schulungen und Weiterbildungen gelten die in § 7.2 geregelten Stornierungsbedingungen vorrangig.

11.1 Die Vergütung richtet sich nach dem jeweiligen Angebot. Alle Preise verstehen sich ab Sitz Gelsenkirchen in Euro zuzüglich der gesetzlichen Umsatzsteuer.

11.2 Soweit nicht anders vereinbart, sind Rechnungen innerhalb von 14 Tagen nach Rechnungsdatum ohne Abzug zur Zahlung fällig.

11.3 Bei Zahlungsverzug ist AWARE7 berechtigt, Verzugszinsen in Höhe von 9 Prozentpunkten über dem jeweils gültigen Basiszinssatz der Europäischen Zentralbank gemäß § 288 Abs. 2 BGB zu verlangen. Darüber hinaus steht AWARE7 die Verzugspauschale in Höhe von 40 EUR gemäß § 288 Abs. 5 BGB zu. Die Geltendmachung eines weitergehenden Verzugsschadens bleibt vorbehalten.

11.4 Der Auftraggeber ist zur Aufrechnung, Zurückbehaltung oder Minderung nur berechtigt, wenn seine Gegenansprüche unbestritten oder rechtskräftig festgestellt sind.

11.5 Kommt der Auftraggeber seinen Zahlungsverpflichtungen nicht nach, stellt er seine Zahlungen ein oder werden AWARE7 Umstände bekannt, die die Kreditwürdigkeit des Auftraggebers in Frage stellen, ist AWARE7 berechtigt, die gesamte Restschuld sofort fällig zu stellen und Vorauszahlungen oder Sicherheitsleistungen zu verlangen.

11.6 Sofern keine Festpreisvereinbarung getroffen wurde, bleiben angemessene Preisanpassungen wegen veränderter Lohn-, Material- und Betriebskosten für Leistungen, die drei Monate oder später nach Vertragsschluss erbracht werden, vorbehalten.

12.1 Beide Parteien verpflichten sich, sämtliche im Rahmen der Zusammenarbeit erlangten vertraulichen Informationen der jeweils anderen Partei streng vertraulich zu behandeln und nicht an Dritte weiterzugeben. Vertrauliche Informationen sind insbesondere: Prüfergebnisse, Schwachstellenberichte, technische Dokumentationen, Geschäftsgeheimnisse im Sinne des § 2 GeschGehG, Kalkulationen, Kundendaten und Geschäftsstrategien.

12.2 Die Vertraulichkeitspflicht gilt nicht für Informationen, die (a) zum Zeitpunkt der Offenlegung bereits öffentlich bekannt waren oder ohne Verschulden einer Partei öffentlich werden, (b) der empfangenden Partei nachweislich bereits vor der Offenlegung bekannt waren, (c) von der empfangenden Partei unabhängig und ohne Nutzung vertraulicher Informationen entwickelt wurden, oder (d) aufgrund gesetzlicher, behördlicher oder gerichtlicher Anordnung offengelegt werden müssen — in diesem Fall informiert die offenlegende Partei die andere Partei vorab, soweit rechtlich zulässig.

12.3 Die Vertraulichkeitspflicht gilt zeitlich unbefristet für Geschäftsgeheimnisse im Sinne des GeschGehG und im Übrigen für die Dauer von fünf Jahren nach Beendigung des jeweiligen Vertrags.

12.4 AWARE7 behält sich vor, anonymisierte Erkenntnisse (ohne Rückschlussmöglichkeit auf den Auftraggeber) für Forschung, Fachveröffentlichungen, Konferenzbeiträge und die Weiterentwicklung eigener Methoden zu verwenden.

12.5 Auf Wunsch wird eine separate Geheimhaltungsvereinbarung (NDA) geschlossen, deren Bestimmungen den vorstehenden Regelungen im Konfliktfall vorgehen.

12.6 Referenznennung. AWARE7 ist berechtigt, die Art der erbrachten Leistung in anonymisierter Form als Referenz zu verwenden (z.B. „Penetrationstest für ein Unternehmen der Finanzbranche“). Die namentliche Nennung des Auftraggebers als Referenzkunde — etwa auf der Website, in Präsentationen oder Angeboten — bedarf der vorherigen Zustimmung des Auftraggebers in Textform.

13.1 Der Auftraggeber erhält an den im Rahmen des Auftrags erstellten Arbeitsergebnissen (Prüfberichte, Dokumentationen, Präsentationen, Schulungsunterlagen) ein einfaches, nicht übertragbares, zeitlich unbefristetes Nutzungsrecht für interne Zwecke. Die Weitergabe an Dritte bedarf der vorherigen Zustimmung von AWARE7 in Textform, es sei denn, die Weitergabe ist zur Erfüllung gesetzlicher oder regulatorischer Anforderungen erforderlich (z.B. Vorlage gegenüber Aufsichtsbehörden, Zertifizierungsstellen oder Wirtschaftsprüfern).

13.2 Prüfmethoden, Frameworks, Test-Tools und sonstige Know-how-Bestandteile, die nicht ausschließlich für den Auftraggeber entwickelt wurden, verbleiben im Eigentum von AWARE7.

13.3 An allen dem Auftraggeber im Zusammenhang mit der Auftragserteilung überlassenen Unterlagen — auch in elektronischer Form, wie z.B. Angeboten, Kalkulationen, Konzepten — behält sich AWARE7 Eigentums- und Urheberrechte vor. Diese Unterlagen dürfen Dritten nicht zugänglich gemacht werden.

13.4 Soweit Software auf Systemen des Auftraggebers installiert werden soll, stellt der Auftraggeber sicher, dass die benötigte Anzahl von Lizenzen gemäß den urheberrechtlichen Bestimmungen zur Verfügung steht.

13.5 Zahlungsvorbehalt. Die Einräumung der Nutzungsrechte gemäß § 13.1 steht unter dem Vorbehalt der vollständigen Zahlung der vereinbarten Vergütung. Bis zur vollständigen Bezahlung ist AWARE7 berechtigt, die Herausgabe von Arbeitsergebnissen zurückzuhalten.

14.1 Die Parteien verpflichten sich zur Einhaltung der geltenden Datenschutzvorschriften, insbesondere der DSGVO und des BDSG.

14.2 Soweit AWARE7 im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, wird ein gesonderter Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Die AGB-Regelungen zur Vertraulichkeit ersetzen keinen AVV.

14.3 Personenbezogene Daten, die im Rahmen von Sicherheitsprüfungen oder Phishing-Simulationen erhoben werden, werden innerhalb von 30 Tagen nach Projektabschluss gelöscht oder — soweit der Auftraggeber dies wünscht — an diesen zurückgegeben. Die Löschung wird auf Verlangen dokumentiert bestätigt.

14.4 AWARE7 trifft angemessene technische und organisatorische Maßnahmen zum Schutz der verarbeiteten Daten. Bei sicherheitsrelevanten Vorfällen, die personenbezogene Daten des Auftraggebers betreffen, informiert AWARE7 den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis.

15.1 AWARE7 erbringt die vereinbarten Leistungen nach dem Stand der Technik und mit der im Fachgebiet der Informationssicherheit gebotenen Sorgfalt.

15.2 Abnahme. Der Auftraggeber hat die Arbeitsergebnisse innerhalb von 14 Tagen nach Übergabe zu prüfen und etwaige Mängel in Textform unter konkreter Beschreibung anzuzeigen. Erfolgt innerhalb dieser Frist keine Mängelrüge, gelten die Arbeitsergebnisse als abgenommen. Die produktive Nutzung der Arbeitsergebnisse im Geschäftsbetrieb gilt ebenfalls als Abnahme.

15.3 AWARE7 wird angemessene Maßnahmen zur Nachbesserung ergreifen, wenn Mängel rechtzeitig und konkret gerügt werden.

15.4 Gewährleistungsansprüche verjähren in 12 Monaten ab Abnahme der Leistung gemäß § 15.2. Dies gilt nicht für Ansprüche wegen Vorsatz, grober Fahrlässigkeit oder der Verletzung von Leben, Körper oder Gesundheit — diese unterliegen der gesetzlichen Verjährung.

15.5 Die Erstellung komplexer Sicherheitsprüfungen und Software ist in der Praxis nicht fehlerfrei möglich. AWARE7 übernimmt keine Garantie dafür, dass eingesetzte Test-Tools frei von Fehlern sind oder dass sämtliche Schwachstellen eines Systems identifiziert werden.

16.1 Unbeschränkte Haftung. AWARE7 haftet unbeschränkt (a) bei Vorsatz und grober Fahrlässigkeit, auch durch gesetzliche Vertreter und leitende Angestellte, (b) für Schäden aus der Verletzung von Leben, Körper oder Gesundheit, (c) nach den Vorschriften des Produkthaftungsgesetzes und (d) im Umfang einer von AWARE7 übernommenen Garantie.

16.2 Haftung bei Kardinalpflichtverletzung. Bei leichter Fahrlässigkeit haftet AWARE7 nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten). Die Haftung ist in diesem Fall auf den vertragstypischen, vorhersehbaren Schaden begrenzt und beträgt höchstens die jeweilige Auftragssumme, mindestens jedoch 250.000 EUR pro Schadensfall.

16.3 Haftungsausschluss bei Nebenpflichten. Bei leichter Fahrlässigkeit bei Verletzung nicht wesentlicher Vertragspflichten (Nebenpflichten) ist die Haftung ausgeschlossen.

16.4 Datenverlust. Die Haftung für Datenverlust ist auf den typischen Wiederherstellungsaufwand beschränkt, der bei regelmäßiger und gefahrentsprechender Anfertigung von Sicherungskopien durch den Auftraggeber (einschließlich Betriebssystem, Konfiguration und Daten) eingetreten wäre.

16.5 Schäden aus Sicherheitsprüfungen. Für Schäden, die im Rahmen des vertraglich vereinbarten Umfangs einer Sicherheitsprüfung entstehen und auf die ordnungsgemäße Durchführung der vereinbarten Testmaßnahmen zurückzuführen sind, haftet AWARE7 nicht, sofern der Auftraggeber gemäß § 5.3 und § 5.4 ordnungsgemäß informiert wurde und die Datensicherung durchgeführt hat. Dies gilt nicht für Schäden, die auf Vorsatz oder grobe Fahrlässigkeit von AWARE7 zurückzuführen sind.

16.6 Erfüllungsgehilfen. Für das Verschulden sonstiger Erfüllungsgehilfen haftet AWARE7 im Umfang der vorstehenden Absätze 16.2 und 16.3.

16.7 Mittelbare Schäden. Die Haftung für mittelbare Schäden und entgangenen Gewinn ist bei leichter Fahrlässigkeit ausgeschlossen.

16.8 Berufshaftpflichtversicherung. AWARE7 unterhält eine Vermögensschaden-Haftpflichtversicherung sowie eine Betriebs-Haftpflichtversicherung bei einem in Deutschland zugelassenen Versicherer. Auf Anfrage stellt AWARE7 dem Auftraggeber eine aktuelle Versicherungsbestätigung zur Verfügung.

16.9 Abtretungsausschluss. Sämtliche Ansprüche gegen AWARE7 sind ohne vorherige Zustimmung von AWARE7 in Textform nicht abtretbar und können ausschließlich vom Auftraggeber selbst geltend gemacht werden.

17.1 Leistungsverzögerungen oder -ausfälle aufgrund höherer Gewalt und aufgrund von Ereignissen, die AWARE7 die Leistung wesentlich erschweren oder unmöglich machen — insbesondere Naturkatastrophen, Krieg, Terrorismus, Epidemien, behördliche Anordnungen, Cyberangriffe auf die Infrastruktur von AWARE7, Streik, Aussperrung oder nachhaltige Betriebsstörungen —, berechtigen AWARE7, die Leistung um die Dauer der Behinderung zuzüglich einer angemessenen Anlaufzeit hinauszuschieben.

17.2 Dauert die Behinderung länger als 60 Kalendertage an, ist jede Partei berechtigt, hinsichtlich des noch nicht erfüllten Teils vom Vertrag zurückzutreten. Bereits erbrachte Leistungen und fällige Vergütungsansprüche bleiben hiervon unberührt.

17.3 Die betroffene Partei hat die andere Partei unverzüglich über den Eintritt und die voraussichtliche Dauer des Hindernisses in Textform zu informieren.

18.1 Einzelaufträge enden mit Erbringung der vereinbarten Leistung und Übergabe der Arbeitsergebnisse.

18.2 Rahmenverträge und laufende Leistungsvereinbarungen (z.B. externer ISB, Datenleck-Monitoring) können mit einer Frist von drei Monaten zum Ende der vereinbarten Vertragslaufzeit gekündigt werden. Ist keine bestimmte Laufzeit vereinbart, ist eine Kündigung mit einer Frist von drei Monaten zum Monatsende möglich.

18.3 Rahmenverträge verlängern sich automatisch um jeweils zwölf Monate, wenn sie nicht fristgerecht gekündigt werden.

18.4 Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt für AWARE7 insbesondere vor, wenn (a) der Auftraggeber mit Zahlungen trotz Mahnung und Nachfristsetzung in Verzug ist, (b) der Auftraggeber seine Mitwirkungspflichten gemäß § 4 trotz Mahnung wiederholt verletzt, oder (c) über das Vermögen des Auftraggebers ein Insolvenzverfahren eröffnet oder mangels Masse abgelehnt wird.

18.5 Jede Kündigung bedarf der Textform.

19.1 Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

19.2 Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit Verträgen unter Geltung dieser AGB ist Gelsenkirchen, sofern der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist und die §§ 38, 40 ZPO nicht entgegenstehen.

19.3 Änderungen und Ergänzungen dieser AGB sowie sämtlicher unter ihnen geschlossenen Verträge bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Textformerfordernisses.

19.4 Sichere Übermittlung. Prüfberichte und sicherheitsklassifizierte Dokumente werden über einen passwortgeschützten Datei-Share bereitgestellt, dessen Zugang zusätzlich eine SMS-Verifizierung an die hinterlegte Mobilnummer des Auftraggebers erfordert (Zwei-Faktor-Authentifizierung). Alternativ erfolgt die Übermittlung per Ende-zu-Ende-verschlüsselter E-Mail (S/MIME oder PGP), sofern der Auftraggeber ein entsprechendes Zertifikat bzw. einen öffentlichen Schlüssel bereitstellt. Die Übermittlung von Angeboten, Rechnungen und sonstiger Geschäftskorrespondenz via E-Mail im PDF-Format genügt dem in diesen AGB vereinbarten Textformerfordernis.

19.5 Unterauftragnehmer. AWARE7 ist berechtigt, zur Leistungserbringung qualifizierte Unterauftragnehmer einzusetzen. AWARE7 stellt sicher, dass Unterauftragnehmer gleichwertige Vertraulichkeits- und Datenschutzvereinbarungen unterzeichnen. AWARE7 haftet für das Verschulden von Unterauftragnehmern wie für eigenes Verschulden.

19.6 NIS-2-Hinweis. Sofern der Auftraggeber als wesentliche oder wichtige Einrichtung im Sinne des BSI-Gesetzes (Umsetzung der NIS-2-Richtlinie) gilt, unterstützt AWARE7 auf Anfrage bei der Erfüllung von Meldepflichten und behördlichen Audits im Rahmen der vereinbarten Leistungen. Hierfür eventuell erforderliche Mehrleistungen werden gesondert vergütet.

19.7 Salvatorische Klausel. Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. Anstelle der unwirksamen Bestimmung gilt diejenige wirksame Regelung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.