Die Lutra Security GmbH ("Lutra Security" oder “wir”) regelt mit diesen allgemeinen Geschäftsbedingungen ("AGB") das vertragliche Verhältnis zwischen uns und unserem Kunden (der “Kunde”). Auf Lutra Security und den Kunden wird gemeinsam auch als “Parteien” oder einzeln als “Partei” Bezug genommen.
Präambel
- Lutra Security ist ein spezialisierter Anbieter von Dienstleistungen im Bereich Informationssicherheit, einschließlich allgemeiner IT-Sicherheitsberatung und sogenannter Penetrationstests ("Pentests"). Mit Hilfe solcher Tests können Unternehmen potentielle Schwachstellen und Sicherheitslücken in den eigenen IT-Systemen aufdecken und diese beseitigen, bevor sie von unbefugten Dritten ausgenutzt werden können.
- Nach Maßgabe dieser AGB möchte der Kunde seine Systeme von Lutra Security entweder allgemein oder auf zuvor definierte Bereiche und auf spezifische Schwachstellen hin untersuchen lassen oder wünscht weitere Dienstleistungen im Rahmen einer IT-Sicherheitsberatung, wie näher im Bestellformular beschrieben.
- Die von Lutra Security angebotenen Leistungen dienen mitunter sehr spezifischen Zwecken und haben einen eng umgrenzten Wirkungsbereich. Sofern nicht ausdrücklich mit dem Kunden vereinbart, ersetzt eine solch spezifische Leistung - wie etwa ein Pentest - keine allgemeine IT-Sicherheitsberatung oder gar eine laufende Überwachung der IT-Systeme durch den Kunden.
1. Geltungsbereich
Für das Zustandekommen des Vertrags (wie nachfolgend definiert) sowie für die Nutzung der Vertragsleistungen (wie nachfolgend definiert) gelten ausschließlich diese AGB in ihrer jeweils gültigen Fassung, sofern zwischen den Parteien nicht schriftlich etwas anderes vereinbart ist. Entgegenstehende, abweichende oder ergänzende Bedingungen (insbesondere allgemeine Geschäftsbedingungen) des Kunden gelten nicht, es sei denn, Lutra Security stimmt diesen im Einzelfall ausdrücklich durch ihre Geschäftsführer:innen in vertretungsberechtigter Anzahl in Schriftform zu. Diese AGB gelten auch für den Fall, dass Lutra Security in Kenntnis entgegenstehender oder abweichender Bedingungen des Kunden die Vertragsleistungen erbringt.
Im Falle eines Konflikts oder Widerspruchs zwischen den Bestimmungen dieser AGB und einer im Bestellformular getroffenen Vereinbarung haben die Bestimmungen des Bestellformulars Vorrang. Gleichfalls haben die im gesondert geschlossenen Auftragsverarbeitungsvertrag getroffenen Regelungen gegenüber diesen AGB Vorrang.
Die von Lutra Security angebotenen Leistungen richten sich ausschließlich an Unternehmer:innen i.S.d. § 14 BGB.
2. Vertragsschluss und Vertragsleistungen
Mit der Bestätigung einer Bestellung durch Lutra Security in Textform kommt ein Vertrag mit dem Kunden mit dem Inhalt des jeweiligen Bestellformulars und der vorliegenden AGB zustande ("Vertrag").
Vertragsgegenstand sind die im Bestellformular näher beschriebenen Leistungen durch Lutra Security, wie zum Beispiel die Simulation von Angriffen auf IT-Systeme und -Netzwerke des Kunden oder allgemeine IT-Dienstleistungen ("Vertragsleistungen").
In dem Bestellformular nicht ausdrücklich vereinbarte Leistungen zählen nicht zu den Vertragsleistungen. Insbesondere ist Lutra Security im Falle eines durchzuführenden Pentests nicht zur erfolgreichen oder vollständigen Identifizierung von Schwachstellen in der IT-Sicherheit des Kunden, deren Beseitigung oder der allgemeinen Begutachtung der IT-Sicherheit beim Kunden verpflichtet.
Wir weisen darauf hin, dass die durch die Vertragsleistungen gewonnenen Erkenntnisse zur IT-Sicherheit der Systeme des Kunden keine Aussagekraft hinsichtlich der zukünftigen Sicherheit der IT-Systeme des Kunden haben.
Soweit es sich bei der Vertragsleistung um die Durchführung eines Pentests handelt, beschränkt sich dieser Test auf die im Bestellformular abschließend bezeichneten IT-Systeme und/oder IP-Adressen (Ranges) des Kunden. Die im Bestellformular nicht ausdrücklich bezeichneten IT-Systeme oder IP-Adressen (Ranges) sind nicht Gegenstand der Vertragsleistungen.
3. Durchführung der Vertragsleistungen
Lutra Security wird die Vertragsleistungen unter Berücksichtigung des aktuellen Stands der Technik mit der Sorgfalt eines ordentlichen Kaufmanns durchführen. Der Vertragsleistungen haben den in Ziffer 2.3 genannten Umfang.
Lutra Security verpflichtet das mit den Vertragsleistungen befasste Personal vor dessen Einsatz schriftlich zur Vertraulichkeit in Bezug auf alle Informationen und Unterlagen im Zusammenhang mit den Vertragsleistungen und deren Durchführung.
Lutra Security wird Daten aus den getesteten Systemen des Kunden nur herunterladen und Screenshots anfertigen oder anderweitig archivieren, soweit dies zur Dokumentation der entsprechenden Schwachstelle oder zur Durchführung der Vertragsleistungen erforderlich ist. Nach Abschluss der jeweiligen Vertragsleistung wird Lutra Security diese Daten unverzüglich löschen, es sei denn, die Parteien treffen im Bestellformular eine andere Vereinbarung oder soweit die Speicherung der Daten für eine vom Kunden beauftragte Wiederholung der Vertragsleistungen (insbesondere erneute Durchführung eines Pentests) notwendig oder nützlich ist.
Sofern im Bestellformular ein Abschlussbericht als Zusatzleistung vereinbart wurde, stellt Lutra Security dem Kunden diesen Abschlussbericht nach vollständigem Erhalt der für die Vertragsleistungen vereinbarten Vergütung zur Verfügung. Der Kunde darf diesen Bericht in unveränderter Form für eigene Zwecke nutzen.
4. Einwilligung und Mitwirkung des Kunden
Mit Abschluss des Vertrages stimmt der Kunde der Durchführung der Vertragsleistungen und dem damit gegebenenfalls verbundenen Zugriff auf gespeicherte oder sich in der Übertragung befindliche Daten des Kunden zu. Der Kunde ermächtigt Lutra Security insbesondere, die im Bestellformular genannten IT-Systeme und/oder IP-Adressen (Ranges) zu analysieren, in diese auch unter Umgehung etwaiger Schutzmechanismen einzudringen und Angriffe unter simulierten Realbedingungen durchzuführen.
Sofern die technischen Details zur Durchführung der zu erbringenden Vertragsleistung im Bestellformular nicht abschließend beschrieben oder bestimmte Maßnahmen oder IT-Systeme nicht ausdrücklich ausgeschlossen sind, liegt es im Ermessen von Lutra Security, die zur Erreichung der vereinbarten Zwecke erforderlichen Maßnahmen einzuschätzen und anzuwenden. Soweit nicht anderweitig im Bestellformular vereinbart, räumt der Kunde Lutra Security insbesondere das Recht ein, Mitarbeiter:innen und Auftragnehmer:innen des Kunden, möglicherweise unter Vorspiegelung einer falschen Identität, zu kontaktieren, um Daten, insbesondere Zugangsdaten zu erhalten. Zu diesem Zweck darf Lutra Security vom Kunden eingetragene und geschützte Marken, wie etwa das Firmenlogo, verwenden.
Sofern dies im Bestellformular vereinbart wurde, räumt der Kunde dem mit der Erbringung der Vertragsleistung beauftragten Mitarbeiter:innen von Lutra Security das Recht ein, die vom Kunden genutzten Räume, Gebäude und Grundstücke – auch unter Umgehung etwaiger Sicherheitsvorkehrungen wie Schließ- und Alarmsystemen zu betreten. Falls der Kunde nicht der alleinige Eigentümer dieser Räume, Gebäude oder Grundstücke ist, verpflichtet er sich, die Genehmigung der Eigentümerin oder des Eigentümers einzuholen.
Der Kunde bestätigt, dass die im Bestellformular vereinbarten Vertragsleistungen auf dessen eigenen Systemen erfolgen sollen. Insoweit die Vertragsleistungen nicht auf den Systemen des Kunden erfolgen sollen, sichert der Kunde zu, die Eigentümerin oder den Eigentümer der Systeme vorab über die Durchführung der Vertragsleistungen in Kenntnis zu setzen und – soweit erforderlich - rechtzeitig ihre bzw. seine Einwilligung einzuholen und diese auf Anforderung von Lutra Security vorzulegen. Lutra Security ist nicht verpflichtet, die Inhaberschaft der Systeme des Kunden zu überprüfen.
Der Kunde stellt sicher, dass durch die Erbringung der Vertragsleistungen durch Lutra Security keine Rechte Dritter, insbesondere hinsichtlich geistigen Eigentums, Persönlichkeitsrecht und Datenschutzrecht verletzt werden. Soweit erforderlich, informiert der Kunde auch insoweit die betroffenen Dritten, holt die entsprechenden Einwilligungen ein und legt diese auf Anforderung Lutra Security vor. Dies gilt insbesondere, wenn der Kunde seinen Mitarbeiter:innen die private Nutzung von E-Mails und mobilen Endgeräten gestattet hat, und durch die Erbringung der Vertragsleistungen die Möglichkeit besteht, dass Lutra Security Einsicht in diese Daten der Mitarbeiter:innen erlangt.
Lutra Security empfiehlt dem Kunden, nach Möglichkeit vor Erbringung der Vertragsleistungen personenbezogene Daten, welche sich auf seinen zu testenden IT-Systemen befinden, vor Durchführung der Vertragsleistungen durch Lutra Security zu anonymisieren oder zu pseudonymisieren.
Der Kunde benennt gegenüber Lutra Security eine:n verantwortliche:n Ansprechpartner:in für die Durchführung der Vertragsleistungen sowie eine:n Stellvertreter:in. Der Kunde stellt sicher, dass der oder die Ansprechpartner:in oder Stellvertreter:in jederzeit kurzfristig für eine Abstimmung mit Lutra Security zur Verfügung stehen. Sie oder er wird Lutra Security zudem alle zur Durchführung der Vertragsleistungen erforderlichen Informationen, einschließlich – soweit vereinbart – Zugangsdaten, rechtzeitig zur Verfügung stellen und – soweit vereinbart – Zugriffsrechte einrichten.
Der Kunde erkennt an, dass die Durchführung der Vertragsleistungen bestimmungsgemäß zu Systemgefährdungen, Netzbelastungen, Ausfällen der IT-Systeme des Kunden sowie Datenverlusten führen kann. Dem Kunden obliegt es daher, vor Beginn der Vertragsleistungen sowie während der Vertragslaufzeit in regelmäßigem Abstand von nicht weniger als drei (3) Werktagen ein vollständiges Backup seines Datenbestandes zu erstellen und auch sonst alle notwendigen Sicherheitsmaßnahmen zum Schutz vor Datenverlusten und sonstigen Schäden an IT-Systemen zu treffen. Die vom Kunden getroffenen Sicherheitsmaßnahmen samt dem Backup müssen den Kunden in die Lage versetzen, eine vollständige Wiederherstellung der potentiell von den Vertragsleistungen betroffenen Daten, Netzwerke und Systeme durchzuführen. Auf Aufforderung von Lutra Security wird der Kunde die ordnungsgemäße Datensicherung in Textform bestätigen.
Der Kunde willigt ein, dass Lutra Security – sofern im Rahmen der Durchführung der Vertragsleistungen Sicherheitslücken in der vom Kunden eingesetzten Drittsoftware bekannt werden - eine solche Sicherheitslücke im Rahmen einer Responsible Disclosure zunächst der oder dem Entwickler:in dieser Drittsoftware meldet. Diese Meldung wird keine Hinweise enthalten, aufgrund derer der Kunde identifiziert werden kann. Lutra Security wird der oder dem Entwickler:in eine angemessene Frist zur Behebung der Sicherheitslücke einräumen und nach Ablauf der Frist diese Sicherheitslücke veröffentlichen.
5. Vergütung und Zahlungsbedingungen
Lutra Security erhält vom Kunden für die Durchführung der Vertragsleistungen eine aufwandsbasierte Vergütung gemäß der im Bestellformular getroffenen Vereinbarung.
Die Vergütung wird nach erfolgter Durchführung der Vertragsleistungen abgerechnet und ist innerhalb von vierzehn (14) Tagen nach Erhalt der Rechnung durch den Kunden an das auf dem Bestellformular angegebene Konto von Lutra Security zu zahlen.
Alle Preise verstehen sich netto zzgl. gesetzlich geltender Umsatzsteuer.
Der Kunde erklärt sich damit einverstanden, dass Lutra Security unverschlüsselte E-Mail (mittels einer vom Kunden angegebenen E-Mail-Adresse) als Mittel zum Senden von Rechnungen und Zahlungserinnerungen verwendet.
Der Kunde erstattet Lutra Security zusätzlich zu der Vergütung folgende, für die Erbringung der Vertragsleistungen erforderlichen und angemessenen Aufwendungen, über die wir einen ordnungsgemäßen Nachweis erbringen:
- Fahrtkosten
- Übernachtungskosten
- Spesen gemäß den steuerlichen Höchstsätzen
Sämtliche Kosten für Aufwendungen werden mit dem Kunden vorab abgestimmt.
Wird der Vertrag wie in Ziffer 7.2 dargelegt vorzeitig durch eine der Parteien gekündigt, so hat der Kunde Lutra Security die bis zu diesem Zeitpunkt fällig gewordene Vergütung oder, soweit eine solche für die erbrachten Leistungen nicht vereinbart wurde, die angemessenen Aufwendungen (maximal bis zu der Höhe der für die Vertragsleistungen vereinbarten Vergütung) zu erstatten, wobei dem Kunden der Nachweis gestattet ist, dass Lutra Security keine oder wesentlich geringere Aufwendungen entstanden sind.
Vereinbaren die Parteien im Bestellformular einen konkreten Zeitraum für die Erbringung der Vertragsleistungen (der “Leistungszeitraum”), und wird der Leistungszeitraum auf Wunsch des Kunden entweder verschoben, ganz oder teilweise storniert, oder stellt der Kunde die für die Durchführung der Vertragsleistungen erforderlichen Informationen und Zugangsdaten trotz Aufforderung nicht rechtzeitig zur Verfügung (die “Leistungsänderung”), so behält sich Lutra Security vor, Schadensersatz nach folgender Maßgabe zu verlangen:
Erfolgt die Leistungsänderung der jeweiligen Vertragsleistung mehr als drei Wochen vor dem vereinbarten Leistungszeitraum, schuldet der Kunde lediglich Aufwendungsersatz für die bis zum Zeitpunkt des Wirksamwerdens der Kündigung erbrachten Leistungen nach Maßgabe von Ziffer 5.6.
Erfolgt die Leistungsänderung weniger als drei Wochen vor dem vereinbarten Leistungszeitraum, schuldet der Kunde 25% der im Bestellformular für die jeweilige Vertragsleistung angegebenen Vergütung.
Erfolgt die Leistungsänderung weniger als zwei Wochen vor dem vereinbarten Leistungszeitraum, schuldet der Kunde 50% der im Bestellformular für die jeweilige Vertragsleistung angegebenen Vergütung.
Erfolgt die Leistungsänderung weniger als eine Woche vor dem vereinbarten Leistungszeitraum, schuldet der Kunde 75% der im Bestellformular für die jeweilige Vertragsleistung angegebenen Vergütung.
Erfolgt die Leistungsänderung weniger als drei Tage vor dem vereinbarten Leistungszeitraum, schuldet der Kunde 90% der im Bestellformular für die jeweilige Vertragsleistung angegebenen Vergütung.
Vereinbaren die Parteien vor der eigentlichen Erbringung der Vertragsleistungen ein Vorgespräch, so wird dieses Vorgespräch – soweit im Bestellformular nicht abweichend vereinbart – bei der Ermittlung des Leistungszeitraums und der daraus resultierenden Staffelung der Schadensersatzansprüche nicht berücksichtigt.
Dem Kunden bleibt in allen in dieser Ziffer 5.7 angegebenen Fällen der Nachweis gestattet, dass Lutra Security kein oder nur ein wesentlich geringerer Schaden entstanden ist. Lutra Security muss sich darüber hinaus den Wert desjenigen anrechnen lassen, was Lutra Security infolge der Leistungsänderung an Aufwendungen erspart oder durch anderweitige Erbringung von Vertragsleistungen erworben oder zu erwerben böswillig unterlassen hat.
6. Haftung
Lutra Security haftet gegenüber dem Kunden unbeschränkt bei Vorsatz, grober Fahrlässigkeit sowie bei Verletzung von Leben, Körper oder Gesundheit.
Unbeschadet der Fälle unbeschränkter Haftung gemäß 6.1 haftet Lutra Security gegenüber dem Kunden bei leicht fahrlässiger Pflichtverletzung nur bei Verletzung wesentlicher Vertragspflichten, also Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht oder deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung der Kunde regelmäßig vertrauen darf, allerdings beschränkt auf den bei Vertragsschluss vorhersehbaren, vertragstypischen Schaden.
Die vorstehenden Haftungsbeschränkungen gelten nicht im Rahmen schriftlich übernommener Garantien oder hinsichtlich einer Haftung nach dem Produkthaftungsgesetz.
Eine Haftung von Lutra Security für Schäden des Kunden resultierend aus Verlust von Daten ist insoweit ausgeschlossen, als der Schaden darauf beruht, dass der Kunde es unterlassen hat, in seinem Verantwortungsbereich liegende Datensicherungen wie in Ziffer 4.8 beschrieben durchzuführen und dadurch sicherzustellen, dass verlorengegangene Daten mit angemessenem Aufwand wiederhergestellt werden können.
Schadensersatzansprüche des Kunden verjähren binnen eines (1) Jahres ab Kenntnis oder grob fahrlässiger Unkenntnis des Kunden von den anspruchsbegründenden Umständen, spätestens jedoch ein (1) Jahr nach Ablauf des Jahres, in dem der Anspruch entstanden ist. Dies gilt nicht bei Vorsatz, grober Fahrlässigkeit, Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie Ansprüchen nach dem Produkthaftungsgesetz.
Soweit Dritte Schadensersatzansprüche gegenüber Lutra Security geltend machen, welche darauf zurückzuführen sind, dass der Kunde seinen vertraglichen Verpflichtungen – insbesondere denen in Ziffer 4 genannten - nicht nachgekommen ist, stellt der Kunde Lutra Security von diesen Schadensersatzansprüchen einschließlich angemessener Anwaltsgebühren und -kosten frei.
Ziffer 6 gilt auch zu Gunsten von Mitarbeiter:innen, Vertreter:innen und Organen von Lutra Security.
7. Inkrafttreten, Kündigung
Der Vertrag tritt mit der Bestätigung der Bestellung durch Lutra Security in Kraft und endet mit vollständiger Vertragsdurchführung, sofern er nicht vorzeitig gekündigt wird. Die Dauer der Vertragsdurchführung wird im Bestellformular vereinbart.
Jede Partei kann den Vertrag mit einer Frist von vier (4) Wochen ordentlich kündigen. Das Recht zur außerordentlichen Kündigung des Vertrages aus wichtigem Grund bleibt unberührt.
Jede Kündigung bedarf zu ihrer Wirksamkeit der Schriftform.
8. Vertraulichkeit und Datenschutz
Lutra Security verpflichtet sich dazu, im Rahmen der Vertragsdurchführung erlangte Informationen vertraulich zu behandeln.
Soweit Lutra Security im Zuge der Vertragsdurchführung personenbezogene Daten im Auftrag des Kunden verarbeitet, gelten hierfür die Bestimmungen des gesondert vereinbarten Auftragsverarbeitungsvertrages.
9. Anwendbares Recht und Gerichtsstand
Für diesen Vertrag sowie alle Ansprüche, Rechte und Pflichten aus oder im Zusammenhang mit diesem Vertrag gilt das Recht der Bundesrepublik Deutschland. Das UN-Kaufrecht (CISG) ist ausgeschlossen.
Ist der Kunde Kaufmann im Sinne des Handelsgesetzbuches, eine juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, ist ausschließlich zuständig für alle Streitigkeiten aus und im Zusammenhang mit dem Vertrag das Landgericht München I.
10. Schlussbestimmungen
Sollten einzelne Regelungen dieses Vertrages unwirksam oder nicht durchführbar sein, bleibt die Wirksamkeit der übrigen Regelungen hiervon unberührt.
Die Übertragung des Vertrags oder einzelner Rechte oder Pflichten hieraus durch den Kunden an Dritte, bedarf der vorherigen schriftlichen Zustimmung von Lutra Security. § 354a HGB bleibt unberührt.
Die Aufrechnung durch den Kunden ist nur mit einer unbestrittenen oder rechtskräftig festgestellten Forderung statthaft. Gleiches gilt für die Geltendmachung von Zurückbehaltungsrechten, wobei die Gegenforderung zudem auf demselben Vertragsverhältnis beruhen muss. Ein zuvor wirksam vereinbarter Eigentumsvorbehalt bleibt hiervon unberührt.
Änderungen und Ergänzungen des Vertrages bedürfen der Schriftform.
Sofern nichts anderes schriftlich vereinbart ist, sind alle Mitteilungen, Zustimmungen, oder Vereinbarungen im Rahmen dieses Vertrags per Post oder E-Mail an die andere Partei gemäß den Bestimmungen dieses Vertrages oder an eine andere Adresse zu senden, die von der jeweiligen Partei für diese Zwecke mitgeteilt wurde.
Stand der AGB: Mai 2022