Rechtliches
Stand: März 2026
für die Erbringung von Dienstleistungen und die Bereitstellung der KaitoSec ISMS-Plattform durch die KaitoSec GmbH, Steinmetzstraße 3, 10783 Berlin, E-Mail: hello@kaitosec.app (nachfolgend „Auftragnehmer“) gegenüber seinen Kunden (nachfolgend „Auftraggeber“)
1.1 Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für alle Verträge, Bestellungen und Dienstleistungen zwischen dem Auftragnehmer und dem Auftraggeber, einschließlich der Bereitstellung der KaitoSec ISMS-Plattform als Software-as-a-Service (SaaS) oder On-Premise-Installation sowie der Erbringung von Beratungs- und Zertifizierungsbegleitungsleistungen. Sie sind Bestandteil der Geschäftsbeziehung.
1.2 Der Auftragnehmer schließt keine Verträge mit Verbrauchern bzw. Privatpersonen.
1.3 Der Auftragnehmer ist berechtigt, in eigenem Namen und auf eigene Rechnung die erforderlichen Leistungen an Subunternehmer zu vergeben, die ihrerseits ebenfalls Subunternehmer einsetzen dürfen. Der Auftragnehmer bleibt hierbei alleiniger Vertragspartner des Auftraggebers. Der Einsatz von Subunternehmern erfolgt nicht, wenn für den Auftragnehmer ersichtlich ist, dass deren Einsatz berechtigten Interessen des Auftraggebers zuwiderläuft.
1.4 Soweit neben diesen AGB weitere Vertragsdokumente oder andere Geschäftsbedingungen in Text- oder Schriftform Vertragsbestandteil geworden sind, gehen die Regelungen dieser weiteren Vertragsdokumente im Widerspruchsfalle den vorliegenden AGB vor.
1.5 Von diesen Geschäftsbedingungen abweichende AGB, die durch den Auftraggeber verwendet werden, erkennt der Auftragnehmer – vorbehaltlich einer ausdrücklichen Zustimmung – nicht an.
2.1 Die Angebote des Auftragnehmers sind freibleibend. Mündliche Absprachen sind unverbindlich, es sei denn, der Auftragnehmer hat sie schriftlich bestätigt.
2.2 Darstellungen und Angaben, die der Auftragnehmer in allgemeinen Unterlagen oder auf seiner Website verwendet, haben rein informatorischen Charakter und stellen keine Zusicherungen dar, sofern sie nicht ausdrücklich zum Vertragsbestandteil gemacht werden.
2.3 Ein Vertrag kommt durch die schriftliche Auftragsbestätigung des Auftragnehmers oder durch den Beginn der Leistungserbringung zustande.
3.1 Der Auftragnehmer erbringt als selbständiger Unternehmer folgende Leistungen gegenüber dem Auftraggeber:
a) Plattform (SaaS oder On-Premise): Bereitstellung einer browserbasierten, agentenbasierten ISMS-Plattform zur Unterstützung beim Aufbau und Betrieb eines Informationssicherheitsmanagementsystems. Die Plattform umfasst insbesondere Funktionen für Risikomanagement, Maßnahmen-Tracking, Richtlinienverwaltung, Audit-Vorbereitung und Reporting. Der konkrete Funktionsumfang richtet sich nach dem jeweils gebuchten Leistungspaket gemäß der aktuellen Leistungsbeschreibung auf kaitosec.app. Die Nutzung erfolgt browserbasiert über das Internet; eine Installation beim Kunden ist nicht erforderlich. Sofern vertraglich vereinbart, kann die Plattform auch als On-Premise-Installation bereitgestellt werden.
b) Beratung: Individuelle Beratungsleistungen im Bereich Informationssicherheit, insbesondere fachliche Begleitung bei der Einführung eines ISMS, Durchführung von Gap-Analysen, Erstellung von Sicherheitskonzepten und Richtlinien sowie Schulungen für Mitarbeitende. Beratungsleistungen werden per Videokonferenz oder vor Ort erbracht und gesondert beauftragt und vergütet.
c) Zertifizierungsbegleitung: Unterstützung bei der Vorbereitung auf Zertifizierungsaudits nach ISO 27001 und vergleichbaren Standards, einschließlich Prüfung der Audit-Bereitschaft, Begleitung interner Audits und Unterstützung bei der Behebung festgestellter Abweichungen. Der Auftragnehmer ist keine akkreditierte Zertifizierungsstelle und führt selbst keine Zertifizierungsaudits durch.
3.2 Der konkrete Leistungsumfang ergibt sich aus dem jeweiligen Angebot, der Auftragsbestätigung und der zum Zeitpunkt des Vertragsschlusses gültigen Leistungsbeschreibung auf kaitosec.app.
3.3 Der spezifische Leistungsumfang ist Gegenstand von Individualvereinbarungen zwischen Auftragnehmer und Auftraggeber.
3.4 Der Auftragnehmer erbringt die vertragsgemäßen Leistungen mit größtmöglicher Sorgfalt und Gewissenhaftigkeit nach dem jeweils neuesten Stand der Technik und Erkenntnisse.
3.5 Der Auftragnehmer ist zur Erbringung der vertragsgemäß geschuldeten Leistungen verpflichtet. Bei der Durchführung seiner Tätigkeit ist er Weisungen im Hinblick auf die Art, den Ort und die Zeit der Leistungserbringung nicht unterworfen. Die Leistungserbringung erfolgt in Abstimmung und Koordination mit dem Auftraggeber.
4.1 Der Auftragnehmer räumt dem Auftraggeber für die Dauer des Vertragsverhältnisses das nicht-ausschließliche, nicht übertragbare und nicht unterlizenzierbare Recht ein, die KaitoSec ISMS-Plattform im vertraglich vereinbarten Umfang zu nutzen.
4.2 Das Nutzungsrecht ist auf die im Vertrag benannte Organisation des Auftraggebers beschränkt. Die Nutzung der Plattform durch verbundene Unternehmen des Auftraggebers bedarf einer gesonderten schriftlichen Vereinbarung.
4.3 Der Auftraggeber ist nicht berechtigt, die Plattform oder Teile davon zu bearbeiten, zu dekompilieren, zurückzuentwickeln (Reverse Engineering) oder in anderer Weise den Quellcode zu ermitteln, es sei denn, dies ist nach zwingenden gesetzlichen Vorschriften (insbesondere § 69e UrhG) ausdrücklich gestattet.
4.4 Der Auftraggeber ist nicht berechtigt, die Plattform oder den Zugang dazu an Dritte unterzulizenzieren, weiterzugeben oder Dritten zur Nutzung zu überlassen, es sei denn, der Auftragnehmer hat dem vorher schriftlich zugestimmt.
4.5 Bei SaaS-Nutzung stellt der Auftragnehmer dem Auftraggeber die Plattform über das Internet zur Verfügung. Eine Installation auf Systemen des Auftraggebers ist nicht erforderlich. Updates und Aktualisierungen der Plattform werden vom Auftragnehmer automatisch eingespielt; einer Mitwirkung oder Abnahme durch den Auftraggeber bedarf es nicht.
4.6 Bei On-Premise-Installation gelten ergänzend die in der jeweiligen Individualvereinbarung festgelegten Bedingungen für Installation, Updates und Wartung.
4.7 Mit Beendigung des Vertragsverhältnisses erlischt das Nutzungsrecht des Auftraggebers an der Plattform. Der Auftragnehmer stellt dem Auftraggeber nach Vertragsende für einen Zeitraum von 30 Tagen die Möglichkeit zur Verfügung, seine in der Plattform gespeicherten Daten zu exportieren. Nach Ablauf dieser Frist ist der Auftragnehmer zur Löschung der Daten berechtigt, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
5.1 Der Auftragnehmer ist bemüht, eine hohe Verfügbarkeit der Plattform sicherzustellen. Sofern nicht individuell ein abweichendes Service-Level-Agreement (SLA) vereinbart wurde, strebt der Auftragnehmer eine Verfügbarkeit von 99,5 % im Monatsmittel an. Hiervon ausgenommen sind geplante Wartungsfenster, die der Auftragnehmer dem Auftraggeber rechtzeitig ankündigt.
5.2 Der Auftragnehmer ist berechtigt, die Plattform vorübergehend zu beschränken, sofern dies im Hinblick auf Kapazitätsgrenzen, die Sicherheit oder Integrität der Server oder zur Durchführung technischer Maßnahmen erforderlich ist (Wartungsarbeiten). Geplante Wartungsarbeiten werden nach Möglichkeit außerhalb der üblichen Geschäftszeiten (Mo–Fr, 08:00–18:00 Uhr MEZ) durchgeführt.
5.3 Die Datenverarbeitung erfolgt auf Servern der Hetzner Online GmbH in ISO 27001-zertifizierten Rechenzentren in Deutschland.
5.4 Updates und Weiterentwicklungen der Plattform sind in der SaaS-Vergütung enthalten und werden vom Auftragnehmer automatisch bereitgestellt. Der Auftragnehmer informiert den Auftraggeber über wesentliche Funktionsänderungen in angemessener Form.
5.5 Meldung von Störungen und Support: Der Auftragnehmer stellt dem Auftraggeber einen Support-Kanal (E-Mail: support@kaitosec.app) zur Verfügung, über den Störungen und Mängel gemeldet werden können. Störungen sind unter Angabe der Priorität gemäß § 10.2 zu melden.
5.6 Reaktions- und Wiederherstellungszeiten: Der Auftragnehmer verpflichtet sich, bei der Behebung von Störungen und Mängeln die nachfolgend festgelegten Reaktions- und Wiederherstellungszeiten einzuhalten. Die jeweils geltenden Zeiten richten sich nach dem vom Auftraggeber gebuchten Leistungspaket.
5.7 Definitionen: Reaktionszeit ist definiert als der Zeitraum zwischen der Meldung einer Störung durch den Auftraggeber und der Einleitung von Maßnahmen zur Beseitigung durch den Auftragnehmer. Wiederherstellungszeit ist definiert als die Zeit zwischen dem Beginn der Störungsbeseitigung und der Beseitigung des Mangels der Gestalt, dass die betroffene Funktion wieder ohne wesentliche Beeinträchtigung genutzt werden kann. Die Wiederherstellungszeit gilt auch als eingehalten, wenn der Auftragnehmer dem Auftraggeber eine zumutbare Umgehungslösung (Workaround) bereitstellt.
5.8 Für Professional- und Enterprise-Kunden:
| Priorität | Klassifizierung | Reaktionszeit | Wiederherstellungszeit |
|---|---|---|---|
| 1 | Dringend / betriebshindernd | Innerhalb von 4 Stunden | Innerhalb von 24 Stunden |
| 2 | Hoch / betriebsbeeinträchtigend | Innerhalb von 8 Stunden | Innerhalb von 5 Werktagen |
| 3 | Niedrig / nicht betriebsbeeinträchtigend | Innerhalb von 2 Werktagen | Innerhalb von 2 Releases |
5.9 Für Standard-Kunden: Die Reaktions- und Wiederherstellungszeiten verdoppeln sich im Vergleich zu den in § 5.8 genannten Zeiten für Professional- und Enterprise-Kunden.
| Priorität | Klassifizierung | Reaktionszeit | Wiederherstellungszeit |
|---|---|---|---|
| 1 | Dringend / betriebshindernd | Innerhalb von 8 Stunden | Innerhalb von 48 Stunden |
| 2 | Hoch / betriebsbeeinträchtigend | Innerhalb von 16 Stunden | Innerhalb von 10 Werktagen |
| 3 | Niedrig / nicht betriebsbeeinträchtigend | Innerhalb von 4 Werktagen | Innerhalb von 4 Releases |
5.10 Für Free-Nutzer: Nutzer des kostenlosen Leistungspakets haben keinen vertraglichen Anspruch auf Serviceleistungen im Sinne dieses § 5. Der Auftragnehmer bemüht sich, auch für Free-Nutzer eine ordnungsgemäße Funktion der Plattform sicherzustellen, übernimmt jedoch keine Gewähr für Reaktions- oder Wiederherstellungszeiten.
5.11 Die Reaktions- und Wiederherstellungszeiten gelten während der üblichen Geschäftszeiten des Auftragnehmers (Mo–Fr, 09:00–17:00 Uhr MEZ, ausgenommen gesetzliche Feiertage am Sitz des Auftragnehmers). Meldungen außerhalb dieser Zeiten gelten als zu Beginn des nächsten Geschäftstages eingegangen.
5.12 Einschränkungen: Der Auftragnehmer ist nicht verantwortlich für Störungen, die auf folgende Umstände zurückzuführen sind:
5.13 Wartungsarbeiten: Routinewartungen oder erforderliche Notfallwartungen können zu vorübergehenden Einschränkungen der Verfügbarkeit führen. Der Auftragnehmer wird den Auftraggeber über geplante Wartungsarbeiten mindestens 48 Stunden im Voraus informieren. Notfallwartungen werden so früh wie möglich angekündigt. Geplante Wartungsarbeiten werden nach Möglichkeit außerhalb der üblichen Geschäftszeiten durchgeführt.
5.14 Datensicherung: Der Auftragnehmer sichert die Datenbank sowie das Dokumenten-Repository der Plattform jede Nacht und hält diese Sicherung für 30 Tage bereit. Die Sicherungen werden an mindestens zwei geographisch getrennten Standorten in Deutschland vorgehalten und sind gegen unbefugten Zugriff geschützt. Die Datensicherung entbindet den Auftraggeber nicht von seiner eigenen Pflicht zur Datensicherung gemäß § 6.4.
6.1 Es obliegt dem Auftraggeber, die zum Zwecke der Leistungserfüllung zur Verfügung zu stellenden Informationen, Daten und sonstigen Inhalte vollständig und korrekt mitzuteilen.
6.2 Der Auftraggeber stellt dem Auftragnehmer mindestens einen sachkundigen Ansprechpartner zur Verfügung, der mit den zur reibungslosen Durchführung erforderlichen Befugnissen ausgestattet ist.
6.3 Bei der Lokalisierung und Behebung von Störungen hat der Auftraggeber den Auftragnehmer in zumutbarem Rahmen kostenlos zu unterstützen, insbesondere durch genaue Störungsbeschreibungen und, sofern erforderlich, durch Gewährung von Zugang zu betroffenen Systemen.
6.4 Der Auftraggeber ist zur ordnungsgemäßen Datensicherung verpflichtet. Insbesondere hat er sicherzustellen, dass alle mit der Plattform verwendeten oder erzielten Daten in einer Form gesichert werden, die die Rekonstruktion verlorener Daten mit vertretbarem Aufwand ermöglicht. Bei On-Premise-Installationen ist der Auftraggeber vor der Installation von Updates zur Datensicherung verpflichtet.
6.5 Für Verzögerungen bei der Leistungserbringung, die durch eine verspätete oder unvollständige Mit- bzw. Zuarbeit des Auftraggebers entstehen, ist der Auftragnehmer nicht verantwortlich. Die Vorschriften unter § 9 (Haftung) bleiben hiervon unberührt.
6.6 Der Auftraggeber verpflichtet sich, keine strafbaren oder sonst rechtswidrigen Inhalte und Daten in die Plattform einzustellen und keine Viren oder sonstige Schadsoftware enthaltenden Programme im Zusammenhang mit der Plattform zu nutzen.
6.7 Der Auftraggeber ist verpflichtet, seine Zugangsdaten geheim zu halten und den Auftragnehmer unverzüglich zu informieren, wenn ein unbefugter Zugriff auf seinen Account droht oder erfolgt ist. Der Auftraggeber haftet für sämtliche Aktivitäten, die über seinen Zugang erfolgen, sofern er den unbefugten Zugriff zu vertreten hat.
7.1 Die Vergütung richtet sich nach den jeweils gültigen Preis- und Konditionenlisten des Auftragnehmers, sofern nicht individualvertraglich abweichend vereinbart. Sämtliche Preise verstehen sich in Euro und zuzüglich der gesetzlichen Mehrwertsteuer.
7.2 Für die SaaS-Plattform erfolgt die Abrechnung gemäß dem vereinbarten Abrechnungszeitraum (monatlich oder jährlich). Die Vergütung ist jeweils im Voraus zum Beginn des Abrechnungszeitraums fällig.
7.3 Für Beratungs- und Zertifizierungsbegleitungsleistungen ist die Vergütung nach Erbringung der Leistungen zu entrichten. Bei aufwandsbezogener Abrechnung ist der Auftragnehmer berechtigt, die erbrachten Leistungen monatlich abzurechnen.
7.4 Der Auftragnehmer stellt dem Auftraggeber eine Rechnung per E-Mail (als PDF). Die Vergütung ist innerhalb von 14 Tagen nach Zugang der Rechnung zur Zahlung fällig. Eine Zahlung gilt erst als erfolgt, wenn sie auf dem Konto des Auftragnehmers eingegangen ist.
7.5 Soweit der Auftragnehmer auf Wunsch des Auftraggebers Leistungen erbringt, die bei Vertragsschluss nicht Vertragsbestandteil waren und für die eine gesonderte Vergütungsvereinbarung fehlt, richtet sich die Vergütung nach den jeweils gültigen Listenpreisen des Auftragnehmers. Sollte dies nicht feststellbar sein, gilt § 612 Abs. 2 BGB.
8.1 Der Auftraggeber kommt nach Ablauf der in § 7.4 genannten Zahlungsfrist in Verzug. Der Auftragnehmer ist berechtigt, Verzugszinsen in Höhe von acht Prozentpunkten über dem Basiszinssatz zu berechnen. Die Geltendmachung eines darüber hinausgehenden Schadens bleibt vorbehalten.
8.2 Der Auftragnehmer ist bei Zahlungsverzug berechtigt, seine noch ausstehenden Verpflichtungen nur gegen Vorauszahlung oder Sicherheitsleistung zu erbringen.
8.3 Der Auftragnehmer ist berechtigt, dem Auftraggeber die Nutzung der Plattform zu untersagen, wenn dieser mit der Zahlung der Vergütung länger als einen Monat in Verzug ist. Das Nutzungsrecht lebt automatisch wieder auf, nachdem sämtliche fälligen Forderungen beglichen sind oder der Auftragnehmer die Nutzung ausdrücklich gestattet.
8.4 Der Auftraggeber kann mit Gegenansprüchen nur aufrechnen, soweit sie rechtskräftig festgestellt oder unbestritten sind. Ein Zurückbehaltungsrecht kann nur geltend gemacht werden, soweit es auf demselben Vertragsverhältnis beruht.
9.1 Der Auftragnehmer haftet aus jedem Rechtsgrund uneingeschränkt bei Vorsatz oder grober Fahrlässigkeit, bei vorsätzlicher oder fahrlässiger Verletzung des Lebens, des Körpers oder der Gesundheit, aufgrund eines Garantieversprechens, soweit diesbezüglich nichts anderes geregelt ist, oder aufgrund zwingender Haftung (insbesondere nach dem Produkthaftungsgesetz).
9.2 Verletzt der Auftragnehmer fahrlässig eine wesentliche Vertragspflicht, ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt, sofern nicht gemäß § 9.1 unbeschränkt gehaftet wird. Wesentliche Vertragspflichten sind Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen darf (Kardinalpflichten).
9.3 Im Übrigen ist eine Haftung des Auftragnehmers ausgeschlossen. Vorstehende Haftungsregelungen gelten auch im Hinblick auf die Haftung des Auftragnehmers für seine Erfüllungsgehilfen und gesetzlichen Vertreter.
9.4 Beim Verlust von Daten wird widerlegbar vermutet, dass sämtliche Schäden, die über den Schaden hinausgehen, der bei regelmäßiger und gefahrenentsprechender Herstellung von Sicherungskopien eingetreten wäre, auf ein Verschulden des Auftraggebers zurückzuführen sind, soweit die Pflicht zur Herstellung von Sicherungskopien nicht dem Auftragnehmer oblag.
9.5 Der Auftragnehmer haftet nicht für Fehlfunktionen, die auf die Nichtbeachtung der geltenden Systemvoraussetzungen zurückzuführen sind, insbesondere auf die Nutzung von Browsern oder Endgeräten, die nicht den vom Auftragnehmer angegebenen Mindestvoraussetzungen entsprechen.
9.6 Der Auftragnehmer haftet über die vertraglich zugesicherte Leistung hinaus nicht für die Funktionsfähigkeit der Internetverbindung des Auftraggebers, bei Stromausfällen beim Auftraggeber und bei Ausfällen von Systemen, die nicht im Einflussbereich des Auftragnehmers stehen. Im Falle von höherer Gewalt trifft den Auftragnehmer keine Ersatzpflicht bezüglich dadurch bedingter Verzugsschäden.
9.7 Der Auftraggeber stellt den Auftragnehmer von jeglichen Ansprüchen Dritter frei, die gegen den Auftragnehmer aufgrund von Verstößen des Auftraggebers gegen diese Vertragsbedingungen oder gegen geltendes Recht geltend gemacht werden.
9.8 Für einen einzelnen Schadensfall ist die Haftung des Auftragnehmers auf den jährlichen Vertragswert begrenzt; bei laufender Vergütung auf die Höhe der Vergütung für zwölf Vertragsmonate. Dies gilt nicht für die Haftung nach § 9.1. Mehrere zusammenhängende Schadensfälle gelten als ein Schadensfall.
10.1 Dem Auftraggeber stehen grundsätzlich die gesetzlichen Gewährleistungsrechte zu, soweit sich aus dem Nachfolgenden keine Einschränkungen ergeben.
10.2 Mängeldefinition: Ein Mangel der Plattform liegt vor, wenn diese die in der zugehörigen Dokumentation und Leistungsbeschreibung niedergelegten Leistungsanforderungen nicht erfüllt, insbesondere falsche Ergebnisse liefert, ihren Betrieb unkontrolliert abbricht oder sich in anderer Weise nicht funktionsgerecht verhält, sodass die Nutzung der Plattform verhindert oder wesentlich beeinträchtigt wird.
10.3 Kein Mangel liegt vor, wenn: die Fehlfunktion auf einem Bedienfehler auf Seiten des Auftraggebers beruht; die vom Auftragnehmer angegebenen Systemvoraussetzungen (insbesondere unterstützte Browser und Endgeräte) nicht eingehalten werden; der Auftraggeber oder Dritte auf dessen Veranlassung Veränderungen an der Plattform vorgenommen haben (gilt nur für On-Premise-Installationen).
10.4 Mängelklassen: Auftretende Mängel werden in folgende Klassen eingeteilt:
| Priorität | Klassifizierung | Beschreibung |
|---|---|---|
| 1 | Dringend / betriebshindernd | Auf die Plattform kann nicht zugegriffen werden oder wesentliche Funktionen sind nicht verfügbar oder schwerwiegend instabil. |
| 2 | Hoch / betriebsbeeinträchtigend | Der Zugriff auf die Plattform ist beeinträchtigt oder es kommt zu Fehlfunktionen, die nicht betriebshindernd, jedoch betriebsbeeinträchtigend sind (z. B. fehlerhafte Reports, eingeschränktes Antwortzeitverhalten, unverständliche Meldungen). |
| 3 | Niedrig / nicht betriebsbeeinträchtigend | Der Zugriff sowie das Arbeiten ist möglich, wenn auch nicht durchgängig innerhalb der vereinbarten Parameter. Fehlfunktionen können umgangen werden. |
10.5 Mängel sind dem Auftragnehmer unverzüglich nach Kenntnisnahme unter Angabe der Priorität gemäß § 10.4 schriftlich (E-Mail genügt) zu melden. Im Rahmen der Mängelrüge sind der Mangel und seine Erscheinungsform zu beschreiben.
10.6 Bei Vorliegen eines Mangels behält sich der Auftragnehmer vor, zunächst Nachbesserung zu versuchen, soweit dies nicht im Einzelfall unzumutbar für den Auftraggeber ist. Der Auftragnehmer ist berechtigt, dem Auftraggeber eine vorläufige Umgehungslösung (Workaround) bereitzustellen, sofern diese für den Auftraggeber zumutbar ist.
10.7 Ist ein Mangel im Rahmen der Gewährleistung gemeldet und kann der Auftragnehmer diesen nicht innerhalb der in § 5.8 bzw. § 5.9 festgelegten Wiederherstellungszeiten beheben, gilt dies als Fehlschlagen des Nachbesserungsversuchs. In diesem Falle ist der Auftraggeber berechtigt, die gesetzlichen Gewährleistungsrechte geltend zu machen, insbesondere vom Vertrag zurückzutreten oder die Vergütung angemessen herabzusetzen.
10.8 Die Mängelansprüche des Auftraggebers verjähren in einer Frist von einem Jahr ab Bereitstellung der Leistung bzw. Abschluss der Dienstleistung, es sei denn, der Auftragnehmer hat einen Mangel arglistig verschwiegen.
10.9 Der Auftragnehmer kann Vergütung seines Aufwands nach den jeweils gültigen Listenpreisen verlangen, soweit (a) er aufgrund einer Meldung tätig wird, ohne dass ein Mangel vorliegt, es sei denn, der Auftraggeber konnte mit zumutbarem Aufwand nicht erkennen, dass kein Mangel vorlag; (b) eine gemeldete Störung nicht reproduzierbar ist; oder (c) zusätzlicher Aufwand wegen nicht ordnungsgemäßer Erfüllung der Mitwirkungspflichten des Auftraggebers gemäß § 6 anfällt.
10.10 Der Auftraggeber verpflichtet sich, seiner gesetzlichen Untersuchungs- und Rügepflicht (§ 377 HGB) nachzukommen. Zeigt sich ein Mangel, hat der Auftraggeber dem Auftragnehmer hiervon unverzüglich schriftlich Anzeige zu machen. Als unverzüglich gilt die Anzeige, wenn sie innerhalb von 30 Tagen ab Bereitstellung der Leistung (einschließlich Updates) bzw. bei nicht offensichtlichen Mängeln innerhalb von 30 Tagen ab deren Entdeckung erfolgt.
10.11 Versäumt der Auftraggeber die ordnungsgemäße Untersuchung und/oder Mängelanzeige, ist die Gewährleistung für den nicht angezeigten Mangel ausgeschlossen, sofern der Auftragnehmer den Mangel nicht arglistig verschwiegen hat.
11.1 Der Auftragnehmer stellt die Plattform frei von Rechten Dritter zur Verfügung, die im Widerspruch zu diesem Vertrag stehen, und stellt den Auftraggeber insoweit von allen Ansprüchen Dritter aus vom Auftragnehmer zu vertretenden Schutzrechtsverletzungen frei.
11.2 Falls Dritte entsprechende Ansprüche erheben, unterrichten die Vertragspartner einander hiervon unverzüglich und schriftlich. Die Vertragspartner werden einander umfassend unterrichten und jedes Vorgehen miteinander abstimmen. Vorrang hat bei allen Entscheidungen die Möglichkeit des Auftraggebers, den Geschäftsbetrieb weiterzuführen.
11.3 Unstreitige Rechte Dritter hat der Auftragnehmer unverzüglich auszuräumen. Er kann stattdessen den betroffenen Bereich durch eine gleichwertige und dem Auftraggeber zumutbare, von vertragswidrigen Rechten freie Leistung ersetzen.
11.4 Den Auftragnehmer trifft keine Haftung nach diesem § 11, wenn der Auftraggeber oder Dritte auf Weisung des Auftraggebers Veränderungen an der Plattform vorgenommen haben, es sei denn, dass diese Veränderungen ohne Einfluss auf die Entstehung des Rechtsmangels sind.
12.1 Die Vertragsdauer und die Fristen zur ordentlichen Kündigung vereinbaren die Parteien individuell.
12.2 Für die SaaS-Plattform gilt, sofern nicht individuell anders vereinbart, eine Mindestvertragslaufzeit von 12 Monaten. Der Vertrag verlängert sich automatisch um jeweils weitere 12 Monate, sofern er nicht mit einer Frist von 3 Monaten zum Ende der jeweiligen Vertragslaufzeit schriftlich gekündigt wird.
12.3 Das Recht beider Parteien zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt für den Auftragnehmer insbesondere vor, wenn der Auftraggeber mit der Zahlung fälliger Vergütungen trotz Mahnung und angemessener Nachfristsetzung in Verzug ist.
12.4 Kündigt der Auftraggeber den Vertrag über Beratungs- oder Zertifizierungsbegleitungsleistungen vor vollständiger Erbringung, so ist er verpflichtet, die bis zum Kündigungszeitpunkt erbrachten Leistungen sowie nachweislich entstandene Aufwendungen zu vergüten.
12.5 Der Auftragnehmer hat alle ihm überlassenen Unterlagen und sonstigen Inhalte nach Vertragsbeendigung unverzüglich nach Wahl des Auftraggebers zurückzugeben oder zu vernichten. Die Geltendmachung eines Zurückbehaltungsrechts daran ist ausgeschlossen. Elektronische Daten sind vollständig zu löschen. Ausgenommen davon sind Unterlagen und Daten, hinsichtlich derer eine gesetzliche Aufbewahrungspflicht besteht. Der Auftragnehmer hat dem Auftraggeber auf dessen Verlangen die Löschung schriftlich zu bestätigen.
12.6 Mit Beendigung des Vertragsverhältnisses ist dem Auftraggeber die Nutzung der Plattform untersagt. Es gilt die Datenexport-Regelung gemäß § 4.7.
13.1 Der Auftragnehmer ist berechtigt, vom Vertrag zurückzutreten, wenn der Auftraggeber über sein Vermögen einen Antrag auf Eröffnung des Insolvenzverfahrens gestellt hat, eine eidesstattliche Versicherung nach § 807 ZPO abgegeben hat oder das Insolvenzverfahren über sein Vermögen eröffnet oder die Eröffnung mangels Masse abgelehnt wurde.
14.1 Der Auftragnehmer wird alle ihm im Zusammenhang mit dem Auftrag zur Kenntnis gelangenden Vorgänge streng vertraulich behandeln. Der Auftragnehmer verpflichtet sich, die Geheimhaltungspflicht sämtlichen Angestellten und/oder Dritten, die Zugang zu den vertragsgegenständlichen Informationen haben, aufzuerlegen. Die Geheimhaltungspflicht gilt zeitlich unbegrenzt über die Dauer dieses Vertrages hinaus.
14.2 Der Auftragnehmer verpflichtet sich, bei der Durchführung des Auftrags sämtliche datenschutzrechtlichen Vorschriften – insbesondere die Vorschriften der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) – einzuhalten.
14.3 Soweit der Auftragnehmer im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, schließen die Parteien eine gesonderte Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO ab.
14.4 Die Parteien verwenden alle Unterlagen, Informationen und Daten, die sie zur Durchführung des Vertrages erhalten, ausschließlich zur Durchführung des Vertrages. Solange und soweit sie nicht allgemein bekannt geworden sind, sind sie vertraulich zu behandeln. Diese Pflicht bleibt auch nach Durchführung des Vertrages bestehen.
15.1 Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).
15.2 Sofern der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist oder keinen allgemeinen Gerichtsstand in Deutschland hat, ist Berlin ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus diesem Vertragsverhältnis. Ausschließliche Gerichtsstände bleiben hiervon unberührt.
15.3 Änderungen und Ergänzungen dieser AGB bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.
15.4 Der Auftragnehmer ist berechtigt, diese AGB aus sachlich gerechtfertigten Gründen (z. B. Änderungen in der Rechtsprechung, Gesetzeslage, Marktgegebenheiten oder der Geschäfts- oder Unternehmensstrategie) und unter Einhaltung einer angemessenen Frist zu ändern. Bestandskunden werden hierüber spätestens zwei Wochen vor Inkrafttreten der Änderung per E-Mail benachrichtigt. Sofern der Bestandskunde nicht innerhalb der in der Änderungsmitteilung gesetzten Frist widerspricht, gilt seine Zustimmung zur Änderung als erteilt. Widerspricht er, treten die Änderungen ihm gegenüber nicht in Kraft; der Auftragnehmer ist in diesem Fall berechtigt, den Vertrag zum Zeitpunkt des Inkrafttretens der Änderung außerordentlich zu kündigen. Die Benachrichtigung über die beabsichtigte Änderung wird auf die Frist und die Folgen des Widerspruchs oder seines Ausbleibens hinweisen.
15.5 Sollte eine Bestimmung dieser AGB unwirksam sein oder werden, so wird die Gültigkeit der AGB im Übrigen hiervon nicht berührt.
Berlin, März 2026
KaitoSec