Allgemeine Geschaftsbedingungen

1 Geltungsbereich

(1) Diese Allgemeinen Geschaftsbedingungen (nachfolgend "AGB") gelten fur alle Vertrage, die die Erbringung von Beratungsleistungen im Bereich Cyber Security und IT-Security sowie die Planung, Konzeption und Durchfuhrung integratorischer Massnahmen (insbesondere Implementierung, Konfiguration und Inbetriebnahme von IT- und Sicherheitslosungen) zwischen der JF Agency, Josef Floesser, Adresse anzeigen (nachfolgend "Auftragnehmer") und Unternehmern (14 BGB), juristischen Personen des offentlichen Rechts und offentlich-rechtlichen Sondervermogens (nachfolgend "Auftraggeber") zum Inhalt haben.

(2) Massgeblich ist die zum Zeitpunkt des Vertragsschlusses gultige Fassung dieser AGB.

(3) Abweichende, entgegenstehende oder erganzende Geschaftsbedingungen des Auftraggebers werden nur dann Vertragsbestandteil, wenn der Auftragnehmer ihrer Geltung ausdrucklich und schriftlich zustimmt.

2 Vertragsschluss

(1) Die Angebote des Auftragnehmers sind freibleibend. Angebote des Auftraggebers sind angenommen, wenn der Auftragnehmer sie schriftlich bestatigt. Bestellungen des Auftraggebers stellen verbindliche Angebote auf Abschluss eines Vertrages mit dem Auftragnehmer dar und konnen vom Auftragnehmer innerhalb einer Frist von 2 Wochen angenommen werden, sofern vertraglich nichts anderes vereinbart worden ist.

(2) Der Auftraggeber wird Angebote vom Auftragnehmer sorgfaltig auf Richtigkeit und Zweckmassigkeit prufen. Das gilt insbesondere fur Angebote, denen bestimmte Annahmen zugrunde gelegt werden. Der Auftraggeber wird den Auftragnehmer informieren, sollten Annahmen nicht zutreffen.

(3) Der Auftragnehmer ist berechtigt, Dritte (z.B. Subunternehmer oder Spezialisten) mit der Erfullung eines Vertrages zu beauftragen, ohne dass es einer gesonderten Zustimmung des Auftraggebers bedarf. Der Auftragnehmer haftet fur das Verschulden seiner Erfullungsgehilfen wie fur eigenes Verschulden.

3 Leistungsgegenstand

(1) Der Auftragnehmer erbringt Beratungs- und Integrationsleistungen im Bereich der IT- und Cyber Security. Der konkrete Leistungsumfang ergibt sich aus dem jeweiligen individuellen Angebot bzw. der Leistungsbeschreibung.

(2) Die Leistungen konnen insbesondere umfassen: Beratung zu IT-Sicherheitsstrategien, Sicherheitsarchitekturen und Sicherheitsorganisation; Erstellung von Sicherheitskonzepten, Richtlinien und Dokumentationen; Analyse bestehender IT-Infrastrukturen und Sicherheitsumgebungen (Assessments, Audits); Beratung zu Compliance-Themen (z.B. DSGVO, ISO/IEC 27001, TISAX, NIS-2); Konzeption und Implementierung von Identity- und Access-Management-Losungen; Konzeption und Implementierung von Endpoint-Security- und Gerateverwaltungslosungen; Hartung von Cloud-Diensten und Identity Providern (z.B. Microsoft Entra ID, Google Workspace); Begleitung bei Incident Response sowie Beratung im Anschluss an Sicherheitsvorfalle; Schulung und Sensibilisierung von Mitarbeitenden des Auftraggebers.

(3) Der Auftragnehmer schuldet die fachgerechte Erbringung der vereinbarten Leistungen nach dem jeweils aktuellen Stand der Technik und unter Beachtung der anerkannten Regeln der IT-Sicherheit. Soweit nicht ausdrucklich anders vereinbart, schuldet der Auftragnehmer keinen bestimmten wirtschaftlichen, organisatorischen oder regulatorischen Erfolg (z.B. Bestehen einer Zertifizierung).

(4) Sofern im Rahmen der Leistungserbringung Software, Cloud-Dienste oder Plattformen Dritter zum Einsatz kommen, gelten fur deren Nutzung die jeweiligen Lizenz- und Nutzungsbedingungen des Drittanbieters. Der Auftragnehmer ist nicht Hersteller, Entwickler oder Betreiber dieser Drittanbieter-Losungen.

4 Vergutung und Zahlung

(1) Die Vergutung ergibt sich aus dem jeweiligen Angebot. Sie wird in der Regel auf Basis eines Stundensatzes oder als Festpreis vereinbart.

(2) Soweit Leistungen nach Aufwand abgerechnet werden, weist der Auftragnehmer den geleisteten Aufwand auf Anfrage in nachvollziehbarer Form nach (z.B. durch Tatigkeitsnachweise).

(3) Auslagen, Reisekosten und Spesen werden, soweit nicht anders vereinbart, gesondert nach tatsachlichem Aufwand abgerechnet und sind vorab abzustimmen.

(4) Die Vergutung ist ohne jeden Abzug innerhalb von 14 Tagen nach Rechnungserhalt zu zahlen.

(5) Alle Preise verstehen sich netto zzgl. der gesetzlichen Mehrwertsteuer.

(6) Der Kunde stimmt zu, dass ihm Rechnungen auch elektronisch ubermittelt werden konnen.

(7) Bei Zahlungsverzug erhalt der Kunde eine erste Mahnung mit einer Frist von 14 Tagen. Erfolgt keine Zahlung, folgt eine zweite Mahnung mit einer Frist von weiteren 7 Tagen. Nach Ablauf dieser Frist ist der Auftragnehmer berechtigt, laufende Leistungen auszusetzen.

(8) Die Aufrechnung mit Gegenanspruchen des Auftraggebers oder die Zuruckhaltung von Zahlungen wegen solcher Anspruche ist nur zulassig, soweit die Gegenanspruche unbestritten oder rechtskraftig festgestellt sind.

(9) Der Auftragnehmer ist berechtigt, noch ausstehende Lieferungen oder Leistungen nur gegen Vorauszahlung oder Sicherheitsleistung auszufuhren oder zu erbringen, wenn dem Auftragnehmer nach Abschluss des Vertrages Umstande bekannt werden, welche die Kreditwurdigkeit des Auftraggebers wesentlich zu mindern geeignet sind.

(10) Der Auftragnehmer ist berechtigt, Zahlungen auch bei entgegenstehender Tilgungsbestimmung des Auftraggebers auf die alteste fallige Rechnung anzurechnen.

5 Mitwirkungspflichten des Auftraggebers

(1) Der Auftraggeber unterstutzt den Auftragnehmer bei der Erbringung der Leistungen in angemessenem Umfang. Er stellt insbesondere alle fur die Leistungserbringung erforderlichen Informationen, Unterlagen, Zugange und Raumlichkeiten rechtzeitig und vollstandig zur Verfugung.

(2) Der Auftraggeber benennt einen verantwortlichen Ansprechpartner, der zu zeitnahen Entscheidungen befugt ist. Wechsel des Ansprechpartners sind dem Auftragnehmer unverzuglich mitzuteilen.

(3) Soweit der Auftragnehmer fur die Leistungserbringung Zugang zu Systemen, Anwendungen oder Daten des Auftraggebers benotigt, stellt der Auftraggeber die hierfur erforderlichen Berechtigungen rechtzeitig bereit. Der Auftraggeber bleibt fur die Verwaltung und Vergabe der Zugriffsrechte verantwortlich.

(4) Der Auftraggeber ist verpflichtet, vor Beginn integratorischer Massnahmen fur eine geeignete Datensicherung der betroffenen Systeme zu sorgen, sofern nicht ausdrucklich etwas anderes vereinbart wird.

(5) Verzogerungen oder Mehraufwande, die durch eine nicht oder nicht rechtzeitig erbrachte Mitwirkung des Auftraggebers entstehen, gehen zu Lasten des Auftraggebers und werden gesondert vergutet.

6 Verantwortungsabgrenzung

(1) Beratungsleistungen des Auftragnehmers sind als fachliche Empfehlungen zu verstehen. Die Entscheidung uber die Umsetzung empfohlener Massnahmen sowie die Verantwortung fur den Betrieb der IT-Infrastruktur des Auftraggebers verbleibt beim Auftraggeber.

(2) Soweit der Auftragnehmer integratorische Massnahmen durchfuhrt, erfolgt dies auf Grundlage einer mit dem Auftraggeber abgestimmten Leistungsbeschreibung. Wesentliche Konfigurationsentscheidungen werden mit dem Auftraggeber abgestimmt und sind durch diesen freizugeben.

(3) Der Auftraggeber ist und bleibt Inhaber seiner Systeme, Konten, Daten und Lizenzen. Sofern der Auftragnehmer im Rahmen der Leistungserbringung administrative Zugange erhalt, werden diese ausschliesslich zweckgebunden fur die vereinbarten Leistungen genutzt.

(4) Mitarbeiter oder Beauftragte des Auftraggebers sind keine Erfullungsgehilfen des Auftragnehmers. Der Auftraggeber tragt die Verantwortung fur Handlungen seiner Mitarbeiter oder Beauftragten in den vom Auftragnehmer betreuten Systemen.

(5) Anderungswunsche des Auftraggebers sind dem Auftragnehmer in Textform (E-Mail genugt) mitzuteilen. Wesentliche Anderungen des Leistungsumfangs bedurfen einer schriftlichen Vereinbarung.

7 Drittanbieter-Losungen

(1) Soweit die Leistungserbringung den Einsatz von Software, Cloud-Diensten oder Plattformen Dritter (z.B. Microsoft, Google, Apple oder andere Hersteller) voraussetzt, ist der Auftragnehmer nicht Hersteller, Entwickler oder Betreiber dieser Losungen.

(2) Der Auftragnehmer ubernimmt keine Gewahr fur die Verfugbarkeit, Funktionalitat oder Fehlerfreiheit von Drittanbieter-Losungen. Insbesondere haftet der Auftragnehmer nicht fur: Ausfalle, Storungen oder Sicherheitslucken solcher Drittanbieter-Losungen; Anderungen an Funktionalitat, Preisgestaltung oder Nutzungsbedingungen durch den Drittanbieter; Inkompatibilitaten infolge von Updates oder Anderungen durch den Hersteller; Die Kundigung oder Sperrung von Konten oder Diensten durch den Drittanbieter aus Grunden, die der Auftragnehmer nicht zu vertreten hat.

(3) Der Auftragnehmer informiert den Auftraggeber unverzuglich uber wesentliche Anderungen eingesetzter Drittanbieter-Losungen, soweit er hiervon Kenntnis erlangt und diese die Leistungserbringung beeinflussen.

8 Haftung

(1) Der Auftragnehmer haftet unbeschrankt fur Schaden aus der Verletzung des Lebens, des Korpers oder der Gesundheit sowie fur sonstige Schaden, die auf vorsatzlicher oder grob fahrlassiger Pflichtverletzung des Auftragnehmers, seiner gesetzlichen Vertreter oder Erfullungsgehilfen beruhen. Unberuhrt bleiben Anspruche nach dem Produkthaftungsgesetz sowie sonstige zwingende gesetzliche Haftungstatbestande.

(2) Fur leicht fahrlassig verursachte Schaden haftet der Auftragnehmer nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht). Wesentliche Vertragspflichten sind solche Pflichten, deren Erfullung die ordnungsgemasse Durchfuhrung des Vertrages uberhaupt erst ermoglicht und auf deren Einhaltung der Auftraggeber regelmassig vertrauen darf.

(3) In den Fallen des Absatzes 2 ist die Haftung auf den bei Vertragsschluss vorhersehbaren, vertragstypischen Schaden begrenzt. Die Haftung ist je Schadensfall auf den hoheren Betrag aus den vom Auftraggeber in den letzten zwolf Monaten gezahlten Nettovergutungen oder 100.000,00 Euro begrenzt.

(4) Die Haftung fur den Verlust von Daten ist auf den typischen Wiederherstellungsaufwand begrenzt, der bei regelmassiger und gefahrentsprechender Anfertigung von Sicherungskopien eingetreten ware. Der Auftraggeber ist fur eine angemessene Datensicherung selbst verantwortlich.

(5) Soweit die Haftung des Auftragnehmers ausgeschlossen oder begrenzt ist, gilt dies auch fur die personliche Haftung seiner Erfullungsgehilfen.

(6) Der Auftragnehmer haftet nicht fur Schaden, die auf Handlungen oder Unterlassungen des Auftraggebers, seiner Mitarbeiter oder Beauftragten beruhen, insbesondere bei Nichteinhaltung von Empfehlungen des Auftragnehmers oder bei eigenmachtigen Anderungen an vom Auftragnehmer eingerichteten Konfigurationen.

9 Mitwirkungs- und Freistellungspflichten

(1) Der Auftraggeber stellt dem Auftragnehmer alle fur die Leistungserbringung erforderlichen Informationen rechtzeitig und vollstandig zur Verfugung.

(2) Der Auftraggeber stellt sicher, dass er uber alle erforderlichen Rechtsgrundlagen und Einwilligungen verfugt, um personenbezogene Daten im Rahmen der vom Auftragnehmer erbrachten Leistungen verarbeiten zu lassen.

(3) Der Auftraggeber halt den Auftragnehmer von samtlichen Anspruchen schadlos, die daraus resultieren, dass der Auftraggeber oder seine Mitarbeiter vom Auftragnehmer eingerichtete Systeme oder Konfigurationen entgegen den Empfehlungen oder Weisungen des Auftragnehmers oder unter Verstoss gegen die Nutzungsbedingungen eingesetzter Drittanbieter-Losungen genutzt haben; der Auftraggeber personenbezogene Daten ohne die erforderlichen Rechtsgrundlagen verarbeiten lassen hat; Mitarbeiter oder Beauftragte des Auftraggebers mit Zugang zu betreuten Systemen Fehlkonfigurationen oder Schaden verursacht haben.

(4) Die Schadloshaltung umfasst die Erstattung angemessener Kosten der Rechtsverteidigung.

10 Vertraulichkeit

(1) Beide Parteien verpflichten sich, alle im Rahmen der Zusammenarbeit erlangten vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und weder an Dritte weiterzugeben noch fur andere als die vertraglich vereinbarten Zwecke zu verwenden.

(2) Die Vertraulichkeitsverpflichtung gilt uber die Beendigung des Vertrags hinaus fort.

(3) Nicht als vertraulich gelten Informationen, die allgemein bekannt sind, dem Empfanger bereits bekannt waren, von Dritten rechtmassig erlangt wurden oder aufgrund gesetzlicher Verpflichtung offengelegt werden mussen.

(4) Der Auftragnehmer ist berechtigt, den Auftraggeber als Referenzkunden in neutraler Form (Name, Logo, Branche) zu nennen, sofern der Auftraggeber dem nicht in Textform widerspricht. Inhaltliche Details der Zusammenarbeit durfen nur mit ausdrucklicher Zustimmung des Auftraggebers veroffentlicht werden.

11 Datenschutz

(1) Soweit der Auftragnehmer im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, schliessen die Parteien einen gesonderten Auftragsverarbeitungsvertrag (AVV) gemass Art. 28 DSGVO.

(2) In Fallen, in denen der Auftragnehmer ausschliesslich beratend tatig ist und keine personenbezogenen Daten des Auftraggebers verarbeitet oder verarbeiten lasst, ist der Abschluss eines AVV nicht erforderlich. Beide Parteien bleiben jeweils eigenstandig fur die Einhaltung der fur sie geltenden datenschutzrechtlichen Bestimmungen verantwortlich.

(3) Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO fur die in seinen Systemen verarbeiteten personenbezogenen Daten.

(4) Es gelten im Ubrigen die gesetzlichen Datenschutzregelungen.

12 Nutzungsrechte und Arbeitsergebnisse

(1) Soweit im Rahmen der Leistungserbringung urheberrechtlich schutzfahige Arbeitsergebnisse (insbesondere Konzepte, Dokumentationen, Berichte, Skripte, Konfigurationen) entstehen, raumt der Auftragnehmer dem Auftraggeber mit vollstandiger Bezahlung der vereinbarten Vergutung ein einfaches, zeitlich und raumlich unbeschranktes Nutzungsrecht zur internen Nutzung im eigenen Geschaftsbetrieb ein.

(2) Eine Weitergabe an Dritte oder eine uber die interne Nutzung hinausgehende Verwertung bedarf der vorherigen schriftlichen Zustimmung des Auftragnehmers.

(3) Vorbestehendes Know-how, Standardvorlagen, Methoden, Tools und allgemein verwendbare Bausteine des Auftragnehmers bleiben Eigentum des Auftragnehmers. Der Auftragnehmer ist berechtigt, diese auch fur andere Auftraggeber zu nutzen.

13 Vertragslaufzeit und Kundigung

(1) Die Vertragslaufzeit ergibt sich aus dem jeweiligen Angebot. Einzelne Beratungs- oder Projektleistungen enden mit ihrer ordnungsgemassen Erbringung.

(2) Wird ein Dauerschuldverhaltnis (z.B. fortlaufende Beratung oder Betreuungsleistung) vereinbart, verlangert sich der Vertrag automatisch um den im Angebot genannten Zeitraum, sofern er nicht mit der im Angebot genannten Frist zum Ende der jeweiligen Laufzeit gekundigt wird.

(3) Das Recht zur ausserordentlichen Kundigung aus wichtigem Grund bleibt unberuhrt. Ein wichtiger Grund liegt insbesondere vor, wenn eine Partei wesentliche Vertragspflichten trotz schriftlicher Mahnung und angemessener Nachfrist nicht erfullt.

(4) Kundigungen bedurfen der Textform (E-Mail genugt).

14 Beendigung und Ubergabe

(1) Bei Beendigung des Vertrags ubergibt der Auftragnehmer dem Auftraggeber auf Anfrage alle fur den weiteren Betrieb der vom Auftragnehmer betreuten Systeme erforderlichen Informationen und Dokumentationen, insbesondere Konfigurationsdokumentationen, sicherheitsrelevante Informationen und sonstige projektbezogene Unterlagen.

(2) Der Auftragnehmer entfernt nach Vertragsende samtliche ihm eingeraumten administrativen Zugange zu Systemen des Auftraggebers, soweit nicht anders vereinbart. Der Auftraggeber ist verpflichtet, durch Widerruf der Berechtigungen seinerseits sicherzustellen, dass kein weiterer Zugriff durch den Auftragnehmer moglich ist.

(3) Ubergabe- und Migrationsleistungen, die uber die reine Bereitstellung der Dokumentation hinausgehen, werden nach dem vereinbarten Stundensatz gesondert vergutet.

(4) Der Auftraggeber ist verpflichtet, an einer geordneten Ubergabe innerhalb einer angemessenen Frist mitzuwirken.

15 Schlussbestimmungen

(1) Anderungen und Erganzungen bedurfen der Schriftform. Dies gilt auch fur den Verzicht auf das Schriftformerfordernis.

(2) Sollten einzelne Bestimmungen dieser AGB oder Teile davon unwirksam sein, so beruhrt dies die Wirksamkeit der AGB im Ubrigen nicht.

(3) Fur das Rechtsverhaltnis zwischen Auftraggeber und Auftragnehmer gilt das Recht der Bundesrepublik Deutschland mit Ausnahme des UN-Kaufrechts.

(4) Der Auftraggeber ist nicht berechtigt, Anspruche gegen den Auftragnehmer ohne dessen Zustimmung an Dritte abzutreten. Dies gilt nicht im Anwendungsbereich des 354a HGB.

(5) Gerichtsstand fur alle Streitigkeiten ist, soweit gesetzlich zulassig, Berlin, Deutschland.