Allgemeine Geschäftsbedingungen

§ 1 Geltungsbereich

(1) Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB") gelten für alle Verträge, die die Erbringung von Beratungsleistungen im Bereich Cyber Security und IT-Security sowie die Planung, Konzeption und Durchführung integratorischer Maßnahmen (insbesondere Implementierung, Konfiguration und Inbetriebnahme von IT- und Sicherheitslösungen) zwischen der JF Agency, Josef Floesser, Adresse anzeigen (nachfolgend „Auftragnehmer") und Unternehmern (§ 14 BGB), juristischen Personen des öffentlichen Rechts und öffentlich-rechtlichen Sondervermögens (nachfolgend „Auftraggeber") zum Inhalt haben.

(2) Maßgeblich ist die zum Zeitpunkt des Vertragsschlusses gültige Fassung dieser AGB.

(3) Abweichende, entgegenstehende oder ergänzende Geschäftsbedingungen des Auftraggebers werden nur dann Vertragsbestandteil, wenn der Auftragnehmer ihrer Geltung ausdrücklich und schriftlich zustimmt.

§ 2 Vertragsschluss

(1) Die Angebote des Auftragnehmers sind freibleibend. Angebote des Auftraggebers sind angenommen, wenn der Auftragnehmer sie schriftlich bestätigt. Bestellungen des Auftraggebers stellen verbindliche Angebote auf Abschluss eines Vertrages mit dem Auftragnehmer dar und können vom Auftragnehmer innerhalb einer Frist von 2 Wochen angenommen werden, sofern vertraglich nichts anderes vereinbart worden ist.

(2) Der Auftraggeber wird Angebote vom Auftragnehmer sorgfältig auf Richtigkeit und Zweckmäßigkeit prüfen. Das gilt insbesondere für Angebote, denen bestimmte Annahmen zugrunde gelegt werden. Der Auftraggeber wird den Auftragnehmer informieren, sollten Annahmen nicht zutreffen.

(3) Der Auftragnehmer ist berechtigt, Dritte (z.B. Subunternehmer oder Spezialisten) mit der Erfüllung eines Vertrages zu beauftragen, ohne dass es einer gesonderten Zustimmung des Auftraggebers bedarf. Der Auftragnehmer haftet für das Verschulden seiner Erfüllungsgehilfen wie für eigenes Verschulden.

§ 3 Leistungsgegenstand

(1) Der Auftragnehmer erbringt Beratungs- und Integrationsleistungen im Bereich der IT- und Cyber Security. Der konkrete Leistungsumfang ergibt sich aus dem jeweiligen individuellen Angebot bzw. der Leistungsbeschreibung.

(2) Die Leistungen können insbesondere umfassen:

• Beratung zu IT-Sicherheitsstrategien, Sicherheitsarchitekturen und Sicherheitsorganisation
• Erstellung von Sicherheitskonzepten, Richtlinien und Dokumentationen
• Analyse bestehender IT-Infrastrukturen und Sicherheitsumgebungen (Assessments, Audits)
• Beratung zu Compliance-Themen (z.B. DSGVO, ISO/IEC 27001, TISAX, NIS-2)
• Konzeption und Implementierung von Identity- und Access-Management-Lösungen
• Konzeption und Implementierung von Endpoint-Security- und Geräteverwaltungslösungen
• Härtung von Cloud-Diensten und Identity Providern (z.B. Microsoft Entra ID, Google Workspace)
• Begleitung bei Incident Response sowie Beratung im Anschluss an Sicherheitsvorfälle
• Schulung und Sensibilisierung von Mitarbeitenden des Auftraggebers

(3) Der Auftragnehmer schuldet die fachgerechte Erbringung der vereinbarten Leistungen nach dem jeweils aktuellen Stand der Technik und unter Beachtung der anerkannten Regeln der IT-Sicherheit. Soweit nicht ausdrücklich anders vereinbart, schuldet der Auftragnehmer keinen bestimmten wirtschaftlichen, organisatorischen oder regulatorischen Erfolg (z.B. Bestehen einer Zertifizierung).

(4) Sofern im Rahmen der Leistungserbringung Software, Cloud-Dienste oder Plattformen Dritter zum Einsatz kommen, gelten für deren Nutzung die jeweiligen Lizenz- und Nutzungsbedingungen des Drittanbieters. Der Auftragnehmer ist nicht Hersteller, Entwickler oder Betreiber dieser Drittanbieter-Lösungen.

§ 4 Vergütung und Zahlung

(1) Die Vergütung ergibt sich aus dem jeweiligen Angebot. Sie wird in der Regel auf Basis eines Stundensatzes oder als Festpreis vereinbart.

(2) Soweit Leistungen nach Aufwand abgerechnet werden, weist der Auftragnehmer den geleisteten Aufwand auf Anfrage in nachvollziehbarer Form nach (z.B. durch Tätigkeitsnachweise).

(3) Auslagen, Reisekosten und Spesen werden, soweit nicht anders vereinbart, gesondert nach tatsächlichem Aufwand abgerechnet und sind vorab abzustimmen.

(4) Die Vergütung ist ohne jeden Abzug innerhalb von 14 Tagen nach Rechnungserhalt zu zahlen.

(5) Alle Preise verstehen sich netto zzgl. der gesetzlichen Mehrwertsteuer.

(6) Der Kunde stimmt zu, dass ihm Rechnungen auch elektronisch übermittelt werden können. Die Rechnung wird an die allgemein bekanntgegebene postalische, bzw. elektronische Adresse gesandt, sofern die Parteien nichts Abweichendes vereinbaren.

(7) Bei Zahlungsverzug erhält der Kunde eine erste Mahnung mit einer Frist von 14 Tagen. Erfolgt keine Zahlung, folgt eine zweite Mahnung mit einer Frist von weiteren 7 Tagen. Nach Ablauf dieser Frist ist der Auftragnehmer berechtigt, laufende Leistungen auszusetzen. Der fällige Rechnungsbetrag ergänzt sich um die Mahngebühren.

(8) Die Aufrechnung mit Gegenansprüchen des Auftraggebers oder die Zurückbehaltung von Zahlungen wegen solcher Ansprüche ist nur zulässig, soweit die Gegenansprüche unbestritten oder rechtskräftig festgestellt sind.

(9) Der Auftragnehmer ist berechtigt, noch ausstehende Lieferungen oder Leistungen nur gegen Vorauszahlung oder Sicherheitsleistung auszuführen oder zu erbringen, wenn dem Auftragnehmer nach Abschluss des Vertrages Umstände bekannt werden, welche die Kreditwürdigkeit des Auftraggebers wesentlich zu mindern geeignet sind und durch welche die Bezahlung der offenen Forderungen vom Auftraggeber aus dem jeweiligen Vertragsverhältnis gefährdet wird.

(10) Der Auftragnehmer ist berechtigt, Zahlungen auch bei entgegenstehender Tilgungsbestimmung des Auftraggebers auf die älteste fällige Rechnung anzurechnen.

§ 5 Mitwirkungspflichten des Auftraggebers

(1) Der Auftraggeber unterstützt den Auftragnehmer bei der Erbringung der Leistungen in angemessenem Umfang. Er stellt insbesondere alle für die Leistungserbringung erforderlichen Informationen, Unterlagen, Zugänge und Räumlichkeiten rechtzeitig und vollständig zur Verfügung.

(2) Der Auftraggeber benennt einen verantwortlichen Ansprechpartner, der zu zeitnahen Entscheidungen befugt ist. Wechsel des Ansprechpartners sind dem Auftragnehmer unverzüglich mitzuteilen.

(3) Soweit der Auftragnehmer für die Leistungserbringung Zugang zu Systemen, Anwendungen oder Daten des Auftraggebers benötigt, stellt der Auftraggeber die hierfür erforderlichen Berechtigungen rechtzeitig bereit. Der Auftraggeber bleibt für die Verwaltung und Vergabe der Zugriffsrechte verantwortlich.

(4) Der Auftraggeber ist verpflichtet, vor Beginn integratorischer Maßnahmen für eine geeignete Datensicherung der betroffenen Systeme zu sorgen, sofern nicht ausdrücklich etwas anderes vereinbart wird.

(5) Verzögerungen oder Mehraufwände, die durch eine nicht oder nicht rechtzeitig erbrachte Mitwirkung des Auftraggebers entstehen, gehen zu Lasten des Auftraggebers und werden gesondert vergütet.

§ 6 Verantwortungsabgrenzung

(1) Beratungsleistungen des Auftragnehmers sind als fachliche Empfehlungen zu verstehen. Die Entscheidung über die Umsetzung empfohlener Maßnahmen sowie die Verantwortung für den Betrieb der IT-Infrastruktur des Auftraggebers verbleibt beim Auftraggeber.

(2) Soweit der Auftragnehmer integratorische Maßnahmen durchführt, erfolgt dies auf Grundlage einer mit dem Auftraggeber abgestimmten Leistungsbeschreibung. Wesentliche Konfigurationsentscheidungen werden mit dem Auftraggeber abgestimmt und sind durch diesen freizugeben.

(3) Der Auftraggeber ist und bleibt Inhaber seiner Systeme, Konten, Daten und Lizenzen. Sofern der Auftragnehmer im Rahmen der Leistungserbringung administrative Zugänge erhält, werden diese ausschließlich zweckgebunden für die vereinbarten Leistungen genutzt.

(4) Mitarbeiter oder Beauftragte des Auftraggebers sind keine Erfüllungsgehilfen des Auftragnehmers. Der Auftraggeber trägt die Verantwortung für Handlungen seiner Mitarbeiter oder Beauftragten in den vom Auftragnehmer betreuten Systemen.

(5) Änderungswünsche des Auftraggebers sind dem Auftragnehmer in Textform (E-Mail genügt) mitzuteilen. Wesentliche Änderungen des Leistungsumfangs bedürfen einer schriftlichen Vereinbarung.

§ 7 Drittanbieter-Lösungen

(1) Soweit die Leistungserbringung den Einsatz von Software, Cloud-Diensten oder Plattformen Dritter (z.B. Microsoft, Google, Apple oder andere Hersteller) voraussetzt, ist der Auftragnehmer nicht Hersteller, Entwickler oder Betreiber dieser Lösungen.

(2) Der Auftragnehmer übernimmt keine Gewähr für die Verfügbarkeit, Funktionalität oder Fehlerfreiheit von Drittanbieter-Lösungen. Insbesondere haftet der Auftragnehmer nicht für:

• Ausfälle, Störungen oder Sicherheitslücken solcher Drittanbieter-Lösungen
• Änderungen an Funktionalität, Preisgestaltung oder Nutzungsbedingungen durch den Drittanbieter
• Inkompatibilitäten infolge von Updates oder Änderungen durch den Hersteller
• Die Kündigung oder Sperrung von Konten oder Diensten durch den Drittanbieter aus Gründen, die der Auftragnehmer nicht zu vertreten hat

(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich über wesentliche Änderungen eingesetzter Drittanbieter-Lösungen, soweit er hiervon Kenntnis erlangt und diese die Leistungserbringung beeinflussen.

§ 8 Haftung

(1) Der Auftragnehmer haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie für sonstige Schäden, die auf vorsätzlicher oder grob fahrlässiger Pflichtverletzung des Auftragnehmers, seiner gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen. Unberührt bleiben Ansprüche nach dem Produkthaftungsgesetz sowie sonstige zwingende gesetzliche Haftungstatbestände.

(2) Für leicht fahrlässig verursachte Schäden haftet der Auftragnehmer nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht). Wesentliche Vertragspflichten sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen darf, insbesondere die fachgerechte Erbringung der ausdrücklich beauftragten Beratungs- und Integrationsleistungen, der Schutz der Vertraulichkeit der Kundendaten sowie die Einhaltung vereinbarter Sicherheitsanforderungen.

(3) In den Fällen des Absatzes 2 ist die Haftung auf den bei Vertragsschluss vorhersehbaren, vertragstypischen Schaden begrenzt. Die Haftung ist je Schadensfall auf den höheren Betrag aus den vom Auftraggeber in den letzten zwölf Monaten gezahlten Nettovergütungen oder 100.000,00 € begrenzt.

(4) Die Haftung für den Verlust von Daten ist auf den typischen Wiederherstellungsaufwand begrenzt, der bei regelmäßiger und gefahrentsprechender Anfertigung von Sicherungskopien eingetreten wäre. Der Auftraggeber ist für eine angemessene Datensicherung selbst verantwortlich.

(5) Soweit die Haftung des Auftragnehmers ausgeschlossen oder begrenzt ist, gilt dies auch für die persönliche Haftung seiner Erfüllungsgehilfen.

(6) Der Auftragnehmer haftet nicht für Schäden, die auf Handlungen oder Unterlassungen des Auftraggebers, seiner Mitarbeiter oder Beauftragten beruhen, insbesondere bei Nichteinhaltung von Empfehlungen des Auftragnehmers oder bei eigenmächtigen Änderungen an vom Auftragnehmer eingerichteten Konfigurationen.

§ 9 Mitwirkungs- und Freistellungspflichten

(1) Der Auftraggeber stellt dem Auftragnehmer alle für die Leistungserbringung erforderlichen Informationen rechtzeitig und vollständig zur Verfügung.

(2) Der Auftraggeber stellt sicher, dass er über alle erforderlichen Rechtsgrundlagen und Einwilligungen verfügt, um personenbezogene Daten im Rahmen der vom Auftragnehmer erbrachten Leistungen verarbeiten zu lassen.

(3) Der Auftraggeber hält den Auftragnehmer von sämtlichen Ansprüchen schadlos, die daraus resultieren, dass:

• der Auftraggeber oder seine Mitarbeiter vom Auftragnehmer eingerichtete Systeme oder Konfigurationen entgegen den Empfehlungen oder Weisungen des Auftragnehmers oder unter Verstoß gegen die Nutzungsbedingungen eingesetzter Drittanbieter-Lösungen genutzt haben;
• der Auftraggeber personenbezogene Daten ohne die erforderlichen Rechtsgrundlagen verarbeiten lassen hat;
• Mitarbeiter oder Beauftragte des Auftraggebers mit Zugang zu betreuten Systemen Fehlkonfigurationen oder Schäden verursacht haben;
• der Auftraggeber gegen seine Pflichten aus diesem Vertrag oder, sofern abgeschlossen, dem Auftragsverarbeitungsvertrag verstoßen hat.

(4) Die Schadloshaltung umfasst die Erstattung angemessener Kosten der Rechtsverteidigung.

§ 10 Vertraulichkeit

(1) Beide Parteien verpflichten sich, alle im Rahmen der Zusammenarbeit erlangten vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und weder an Dritte weiterzugeben noch für andere als die vertraglich vereinbarten Zwecke zu verwenden.

(2) Die Vertraulichkeitsverpflichtung gilt über die Beendigung des Vertrags hinaus fort.

(3) Nicht als vertraulich gelten Informationen, die allgemein bekannt sind, dem Empfänger bereits bekannt waren, von Dritten rechtmäßig erlangt wurden oder aufgrund gesetzlicher Verpflichtung offengelegt werden müssen.

(4) Der Auftragnehmer ist berechtigt, den Auftraggeber als Referenzkunden in neutraler Form (Name, Logo, Branche) zu nennen, sofern der Auftraggeber dem nicht in Textform widerspricht. Inhaltliche Details der Zusammenarbeit dürfen nur mit ausdrücklicher Zustimmung des Auftraggebers veröffentlicht werden.

§ 11 Datenschutz

(1) Soweit der Auftragnehmer im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, schließen die Parteien einen gesonderten Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

(2) In Fällen, in denen der Auftragnehmer ausschließlich beratend tätig ist und keine personenbezogenen Daten des Auftraggebers verarbeitet oder verarbeiten lässt, ist der Abschluss eines AVV nicht erforderlich. Beide Parteien bleiben jeweils eigenständig für die Einhaltung der für sie geltenden datenschutzrechtlichen Bestimmungen verantwortlich.

(3) Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO für die in seinen Systemen verarbeiteten personenbezogenen Daten.

(4) Es gelten im Übrigen die gesetzlichen Datenschutzregelungen.

§ 12 Nutzungsrechte und Arbeitsergebnisse

(1) Soweit im Rahmen der Leistungserbringung urheberrechtlich schutzfähige Arbeitsergebnisse (insbesondere Konzepte, Dokumentationen, Berichte, Skripte, Konfigurationen) entstehen, räumt der Auftragnehmer dem Auftraggeber mit vollständiger Bezahlung der vereinbarten Vergütung ein einfaches, zeitlich und räumlich unbeschränktes Nutzungsrecht zur internen Nutzung im eigenen Geschäftsbetrieb ein.

(2) Eine Weitergabe an Dritte oder eine über die interne Nutzung hinausgehende Verwertung bedarf der vorherigen schriftlichen Zustimmung des Auftragnehmers.

(3) Vorbestehendes Know-how, Standardvorlagen, Methoden, Tools und allgemein verwendbare Bausteine des Auftragnehmers bleiben Eigentum des Auftragnehmers. Der Auftragnehmer ist berechtigt, diese auch für andere Auftraggeber zu nutzen.

§ 13 Vertragslaufzeit und Kündigung

(1) Die Vertragslaufzeit ergibt sich aus dem jeweiligen Angebot. Einzelne Beratungs- oder Projektleistungen enden mit ihrer ordnungsgemäßen Erbringung.

(2) Wird ein Dauerschuldverhältnis (z.B. fortlaufende Beratung oder Betreuungsleistung) vereinbart, verlängert sich der Vertrag automatisch um den im Angebot genannten Zeitraum, sofern er nicht mit der im Angebot genannten Frist zum Ende der jeweiligen Laufzeit gekündigt wird.

(3) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn eine Partei wesentliche Vertragspflichten trotz schriftlicher Mahnung und angemessener Nachfrist nicht erfüllt.

(4) Kündigungen bedürfen der Textform (E-Mail genügt).

§ 14 Beendigung und Übergabe

(1) Bei Beendigung des Vertrags übergibt der Auftragnehmer dem Auftraggeber auf Anfrage alle für den weiteren Betrieb der vom Auftragnehmer betreuten Systeme erforderlichen Informationen und Dokumentationen, insbesondere Konfigurationsdokumentationen, sicherheitsrelevante Informationen und sonstige projektbezogene Unterlagen.

(2) Der Auftragnehmer entfernt nach Vertragsende sämtliche ihm eingeräumten administrativen Zugänge zu Systemen des Auftraggebers, soweit nicht anders vereinbart. Der Auftraggeber ist verpflichtet, durch Widerruf der Berechtigungen seinerseits sicherzustellen, dass kein weiterer Zugriff durch den Auftragnehmer möglich ist.

(3) Übergabe- und Migrationsleistungen, die über die reine Bereitstellung der Dokumentation hinausgehen, werden nach dem vereinbarten Stundensatz gesondert vergütet.

(4) Der Auftraggeber ist verpflichtet, an einer geordneten Übergabe innerhalb einer angemessenen Frist mitzuwirken.

§ 15 Schlussbestimmungen

(1) Änderungen und Ergänzungen bedürfen der Schriftform. Dies gilt auch für den Verzicht auf das Schriftformerfordernis.

(2) Sollten einzelne Bestimmungen dieser AGB oder Teile davon unwirksam sein, so berührt dies die Wirksamkeit der AGB im Übrigen nicht.

(3) Für das Rechtsverhältnis zwischen Auftraggeber und Auftragnehmer gilt das Recht der Bundesrepublik Deutschland mit Ausnahme des UN-Kaufrechts.

(4) Der Auftraggeber ist nicht berechtigt, Ansprüche gegen den Auftragnehmer ohne dessen Zustimmung an Dritte abzutreten. Dies gilt nicht im Anwendungsbereich des § 354a HGB.

(5) Gerichtsstand für alle Streitigkeiten ist, soweit gesetzlich zulässig, Berlin, Deutschland.