Allgemeine Geschäftsbedingungen (AGB)

1. Geltungsbereich

(1) Diese Allgemeinen Geschäftsbedingungen gelten für alle Verträge zwischen

Thomas Siegbert (nachfolgend „Dienstleister“)

und

dem Auftraggeber

über projekt- oder anlassbezogene Leistungen im Bereich IT-Security, technische Beratung und sicherheitsnahe Unterstützungsleistungen.

Hierzu zählen insbesondere:

  • Penetrationstests und technische Sicherheitsanalysen

  • Security Architecture Reviews und Secure-Design-Bewertungen

  • Beratungs- und Unterstützungsleistungen im Secure Development Lifecycle (SDLC / DevSecOps)

  • sicherheitsbezogene Code-Reviews und technische Umsetzungsunterstützung

  • projektbezogene Workshops, Awareness- und Sensibilisierungsmaßnahmen

  • externe fachliche Begleitung von IT-Auszubildenden

Entwicklungsnahe Leistungen erfolgen ausschließlich unterstützend, sicherheitsbezogen und projektbezogen. Eine dauerhafte Mitarbeit an der Produkt- oder Softwareentwicklung ist nicht geschuldet.

(2) Schulische, ausbildungsbezogene oder wissensvermittelnde Leistungen stellen keine Lehr- oder Unterrichtstätigkeit im Sinne eines Arbeits-, Ausbildungs- oder Beschäftigungsverhältnisses dar und erfolgen nicht regelmäßig.

(3) Individuelle Vereinbarungen zwischen den Parteien haben Vorrang vor diesen Allgemeinen Geschäftsbedingungen, sofern sie mindestens in Textform getroffen wurden.

(4) Abweichende oder entgegenstehende Geschäftsbedingungen des Auftraggebers finden keine Anwendung, es sei denn, der Dienstleister hat ihrer Geltung ausdrücklich in Textform zugestimmt.

(5) Die Leistungen des Dienstleisters sind nicht auf eine dauerhafte, arbeitnehmerähnliche oder leiharbeitsähnliche Tätigkeit gerichtet.

(6) Diese Allgemeinen Geschäftsbedingungen gelten auch für zukünftige Vertragsverhältnisse, ohne dass es einer erneuten ausdrücklichen Einbeziehung bedarf.

2. Vertragsgegenstand

(1) Art, Inhalt und Umfang der Leistungen ergeben sich aus dem jeweiligen Angebot, der Leistungsbeschreibung oder einer individuellen Vereinbarung zwischen den Parteien.

(2) Der Dienstleister erbringt seine Leistungen als Dienstleistung im Sinne der §§ 611 ff. BGB. Geschuldet ist die fachlich ordnungsgemäße, sorgfältige und projektbezogene Erbringung der vereinbarten Leistungen nach dem zum Zeitpunkt der Leistungserbringung anerkannten Stand der Technik. Ein bestimmter wirtschaftlicher, technischer oder sicherheitsbezogener Erfolg wird nicht geschuldet, sofern nicht ausdrücklich etwas anderes vereinbart wurde.

(3) Bei Penetrationstests, technischen Sicherheitsanalysen oder vergleichbaren Prüfungen führt der Dienstleister ausschließlich Maßnahmen im vorab vereinbarten Leistungsumfang und nur nach ausdrücklicher Freigabe des Auftraggebers in Textform („Permission to Test“) durch.

(4) Sofern vereinbart, kann der Dienstleister den Auftraggeber projektbezogen auch durch sicherheitsnahe technische Unterstützungsleistungen (z. B. Code-Reviews, Architekturhinweise oder exemplarische technische Empfehlungen) begleiten. Eine dauerhafte Entwicklungs- oder Betriebsmittätigkeit ist nicht geschuldet.

(5) Der Dienstleister verfügt über eine im Jahr 2025 erfolgreich abgeschlossene Sicherheitsüberprüfung Ü3 (SÜ3) gemäß Sicherheitsüberprüfungsgesetz (SÜG). Diese dient ausschließlich dem projektbezogenen Nachweis der persönlichen Zuverlässigkeit für sicherheitssensitive Vorhaben und begründet keine arbeits-, dienst- oder sozialversicherungsrechtliche Bindung.

3. Mitwirkungspflichten des Auftraggebers

(1) Der Auftraggeber stellt dem Dienstleister rechtzeitig alle für die ordnungsgemäße Durchführung der vereinbarten Leistungen erforderlichen Informationen, Unterlagen, Zugänge, Ansprechpartner sowie technischen Voraussetzungen zur Verfügung.

(2) Der Auftraggeber stellt sicher, dass die bereitgestellten Informationen vollständig, zutreffend und aktuell sind. Verzögerungen oder Mehraufwände, die aufgrund fehlender, verspäteter oder unzutreffender Mitwirkung entstehen, können dem Auftraggeber nach Aufwand berechnet werden.

(3) Erkenntnisse über sicherheitsrelevante Schwachstellen oder Risiken werden dem Auftraggeber nach bestem Wissen und Gewissen mitgeteilt. Die Mitteilung erfolgt ohne Anspruch auf Vollständigkeit, kontinuierliche Überwachung oder fortlaufende Aktualisierung.

(4) Der Auftraggeber bleibt für den sicheren Betrieb, die Bewertung von Risiken sowie für die Umsetzung empfohlener Maßnahmen eigenverantwortlich zuständig, sofern nicht ausdrücklich etwas anderes vereinbart wurde.

4. Vergütung

(1) Die Vergütung richtet sich nach dem jeweils vereinbarten Angebot oder einer individuellen Einzelvereinbarung.

(2) Sämtliche Preise verstehen sich netto, zuzüglich der jeweils geltenden gesetzlichen Umsatzsteuer, sofern diese anfällt.

(3) Rechnungen sind – sofern nichts Abweichendes vereinbart wurde oder auf der Rechnung ein längeres Zahlungsziel ausgewiesen ist – innerhalb von 14 Kalendertagen ab Rechnungsdatum ohne Abzug zur Zahlung fällig.

(4) Die Zahlung erfolgt grundsätzlich in Euro (EUR), sofern nicht ausdrücklich in Textform eine andere Währung vereinbart wurde oder die Rechnung eine abweichende Währung ausweist.

(5) Leistungen, die auf Wunsch des Auftraggebers über den vereinbarten Leistungsumfang hinausgehen, werden gesondert vergütet. Die Abrechnung erfolgt nach Aufwand auf Basis der zum Zeitpunkt der Leistungserbringung gültigen Stunden- oder Tagessätze, sofern nichts anderes vereinbart wurde.

(6) Reise-, Übernachtungs- und sonstige Nebenkosten werden – sofern vereinbart – gesondert abgerechnet oder gegen Nachweis erstattet.

(7) Die Vergütung erfolgt projekt- oder leistungsbezogen. Eine laufende, regelmäßige oder ausschließliche Vergütung ist nicht geschuldet, sofern dies nicht ausdrücklich vereinbart wurde.

5. Leistungszeit & Termine

(1) Termine, Fristen und Leistungszeiträume sind nur verbindlich, wenn sie ausdrücklich in Textform vereinbart wurden.

(2) Leistungszeiten verstehen sich als Planungsangaben, sofern nicht ausdrücklich etwas Abweichendes vereinbart wurde. Eine Verpflichtung zur dauerhaften Verfügbarkeit oder zur Einhaltung fester Arbeitszeiten besteht nicht.

(3) Verzögerungen aufgrund von höherer Gewalt, technischen Störungen, Krankheit, behördlichen Anordnungen oder sonstigen unvorhersehbaren Ereignissen, die der Dienstleister nicht zu vertreten hat, verlängern vereinbarte Fristen angemessen. Ansprüche hieraus bestehen nicht.

(4) Verzögerungen, die durch fehlende oder verspätete Mitwirkung des Auftraggebers entstehen (z. B. nicht bereitgestellte Zugänge, Unterlagen, Ansprechpartner oder technische Voraussetzungen), führen zu einer entsprechenden Anpassung von Leistungszeiten und Terminen.

(5) Leistungen werden projekt- oder anlassbezogen erbracht. Auch bei wiederholten Beauftragungen entsteht keine Verpflichtung zur regelmäßigen oder fortlaufenden Leistungserbringung, sofern dies nicht ausdrücklich vereinbart wurde.

6. Haftung

(1) Der Dienstleister haftet uneingeschränkt für Schäden, die auf Vorsatz oder grober Fahrlässigkeit beruhen.

(2) Bei einfacher Fahrlässigkeit haftet der Dienstleister nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht). In diesem Fall ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt.

(3) Eine Haftung für mittelbare Schäden, insbesondere für entgangenen Gewinn, Produktionsausfälle oder sonstige Folgeschäden, ist ausgeschlossen, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt.

(4) Die Haftung für Datenverluste ist auf den Schaden begrenzt, der auch bei ordnungsgemäßer und regelmäßiger Datensicherung im Rahmen des Wiederherstellungsaufwands entstanden wäre.

(5) Der Dienstleister haftet nicht für Schäden oder Sicherheitsvorfälle, die auf:

  • unzureichende oder fehlerhafte IT-Sicherheitsmaßnahmen des Auftraggebers,
  • Fehlkonfigurationen außerhalb des vereinbarten Leistungsumfangs, oder
  • eine nicht oder nicht vollständig umgesetzte Empfehlung

zurückzuführen sind.

(6) Die Haftung für Schäden, die aus der Anwendung der im Rahmen der Leistung vermittelten Inhalte (z. B. aus Workshops, Awareness-Maßnahmen oder technischen Empfehlungen) entstehen, ist ausgeschlossen, sofern kein vorsätzliches oder grob fahrlässiges Verhalten des Dienstleisters vorliegt.

(7) Die vorstehenden Haftungsbeschränkungen gelten nicht bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie bei zwingender gesetzlicher Haftung.

7. Geheimhaltung & Vertraulichkeit

(1) Beide Parteien verpflichten sich, alle im Rahmen der Zusammenarbeit erlangten vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und ausschließlich zur Durchführung des jeweiligen Auftrags zu verwenden.

(2) Als vertrauliche Informationen gelten insbesondere technische, organisatorische, wirtschaftliche und sicherheitsrelevante Informationen, Unterlagen, Zugänge, Daten, Berichte, Dokumentationen sowie erkannte Schwachstellen oder Sicherheitslücken.

(3) Der Dienstleister nutzt identifizierte Schwachstellen, Sicherheitslücken oder sonstige sicherheitsrelevante Erkenntnisse ausschließlich zur Analyse und Dokumentation im Rahmen des vereinbarten Auftrags und gibt diese nicht an unbefugte Dritte weiter.

(4) Berichte, Protokolle, Dokumentationen und sonstige Arbeitsergebnisse des Dienstleisters sind vertraulich und dürfen ohne vorherige ausdrückliche Zustimmung des Dienstleisters nicht veröffentlicht, vervielfältigt oder an Dritte weitergegeben werden, sofern keine gesetzliche Verpflichtung hierzu besteht.

(5) Die Geheimhaltungsverpflichtung gilt nicht für Informationen, die:

  • allgemein bekannt oder ohne Vertragsverstoß öffentlich zugänglich sind,
  • der empfangenden Partei bereits rechtmäßig bekannt waren, oder
    aufgrund gesetzlicher oder
  • behördlicher Verpflichtungen offengelegt werden müssen.

(6) Die Verpflichtungen aus diesem Abschnitt bestehen auch über die Beendigung des Vertragsverhältnisses hinaus fort.

(7) Die Nennung des Auftraggebers als Referenz erfolgt nur nach vorheriger ausdrücklicher Zustimmung.

(8) Gesetzliche Meldepflichten oder verantwortungsvolle Offenlegungen gegenüber zuständigen Stellen bleiben unberührt.

8. Urheberrechte & Nutzungsrechte

(1) Sämtliche vom Dienstleister im Rahmen der Leistungserbringung erstellten Arbeitsergebnisse, insbesondere Berichte, Analysen, Dokumentationen, Präsentationen, Schulungs- und Workshopmaterialien, Konzepte, Grafiken sowie beispielhafte technische Inhalte, unterliegen dem Urheberrecht und bleiben – sofern nicht ausdrücklich anders vereinbart – geistiges Eigentum des Dienstleisters.

(2) Der Auftraggeber erhält an den Arbeitsergebnissen ein einfaches, nicht ausschließliches, nicht übertragbares und nicht unterlizenzierbares Nutzungsrecht, beschränkt auf interne Zwecke des Auftraggebers.

(3) Eine Weitergabe an Dritte, Veröffentlichung oder sonstige Verwertung der Arbeitsergebnisse – ganz oder teilweise – ist ohne vorherige ausdrückliche Zustimmung des Dienstleisters nicht gestattet, sofern keine gesetzliche Verpflichtung besteht.

(4) Änderungen, Bearbeitungen oder Weiterentwicklungen der Arbeitsergebnisse durch den Auftraggeber erfolgen auf eigene Verantwortung. Der Dienstleister haftet nicht für daraus resultierende Folgen.

(5) Die Einräumung weitergehender Nutzungsrechte bedarf einer gesonderten Vereinbarung.

(6) Die interne Nutzung umfasst auch konzernverbundene Unternehmen des Auftraggebers, sofern diese denselben Vertraulichkeitsverpflichtungen unterliegen.

(7) Der Dienstleister ist berechtigt, Arbeitsergebnisse in anonymisierter Form zu internen Zwecken oder zur Qualitätssicherung zu verwenden.

9. Kündigung

(1) Beide Parteien sind berechtigt, den Vertrag aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist zu kündigen. Ein wichtiger Grund liegt insbesondere vor, wenn eine Partei ihre wesentlichen vertraglichen Pflichten trotz angemessener Fristsetzung verletzt oder die Durchführung des Projekts dauerhaft unmöglich wird.

(2) Im Falle einer Kündigung sind die bis zum Wirksamwerden der Kündigung ordnungsgemäß erbrachten Leistungen sowie nachweislich entstandene Aufwände nach dem vereinbarten Vergütungsmodell zu vergüten.

(3) Bereits erstellte Arbeitsergebnisse dürfen vom Auftraggeber im Rahmen der vereinbarten Nutzungsrechte weiterverwendet werden, sofern die Vergütung gemäß Absatz 2 vollständig ausgeglichen ist.

(4) Das Recht zur Kündigung aus wichtigem Grund nach § 626 BGB bleibt unberührt.

(5) Bei längerfristigen Projekten kann eine ordentliche Kündigung mit einer Frist von 14 Tagen zum Monatsende vereinbart werden.

10. Datenschutz

(1) Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung der jeweils geltenden datenschutzrechtlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

(2) Umfang, Zweck und Art der Verarbeitung personenbezogener Daten ergeben sich aus der jeweils geltenden Datenschutzerklärung, abrufbar unter:
https://siegbert-security.de/datenschutz/

(3) Sofern der Dienstleister im Rahmen der Leistungserbringung Zugriff auf personenbezogene Daten des Auftraggebers erhält, erfolgt dies ausschließlich im Rahmen der Weisungen des Auftraggebers und nur soweit dies zur Vertragserfüllung erforderlich ist.

(4) Soweit datenschutzrechtlich erforderlich, werden die Parteien eine Vereinbarung zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO gesondert abschließen.

(5) Der Auftraggeber bleibt für die Rechtmäßigkeit der Datenverarbeitung, die Information der betroffenen Personen sowie für die Einhaltung weiterer datenschutzrechtlicher Pflichten verantwortlich, sofern nicht ausdrücklich etwas anderes vereinbart wurde.

11. Besondere Bedingungen für Penetrationstests und Sicherheitsanalysen

(1) Penetrationstests und technische Sicherheitsanalysen erfolgen mit größtmöglicher Sorgfalt, können jedoch systembedingt Auswirkungen auf Verfügbarkeit, Performance oder Funktionalität der geprüften Systeme haben, einschließlich vorübergehender Fehlfunktionen oder Ausfälle.

(2) Der Auftraggeber ist verpflichtet, vor Beginn der Tests vollständige und aktuelle Datensicherungen sowie geeignete Wiederherstellungsmechanismen vorzuhalten.

(3) Der Dienstleister haftet nicht für Schäden, die auf:

  • fehlende oder unzureichende Datensicherungen,
  • veraltete oder nicht unterstützte Systeme,
  • Fehlkonfigurationen oder unzureichende Sicherheitsmaßnahmen, oder
  • Umstände außerhalb des vereinbarten Leistungsumfangs

zurückzuführen sind, sofern kein vorsätzliches oder grob fahrlässiges Verhalten vorliegt.

(4) Der Auftraggeber stellt sicher, dass alle betroffenen internen Stellen (z. B. IT-Betrieb, Security, Management) über die Durchführung der Tests informiert sind und dass keine automatisierten Schutz- oder Abwehrmaßnahmen die Tests unbeabsichtigt blockieren, verfälschen oder als reale Angriffe behandeln.

(5) Der Auftraggeber ist für die rechtliche Zulässigkeit und Einholung erforderlicher Freigaben verantwortlich. Dies gilt insbesondere für Tests an öffentlich erreichbaren Systemen, Cloud-Umgebungen, Systemen Dritter oder gemeinsam genutzten Infrastrukturen.

(6) Der Dienstleister führt Angriffs- und Ausnutzungsmaßnahmen ausschließlich im vereinbarten Umfang, auf Basis der erteilten Permission to Test und ausschließlich zu Analyse-, Bewertungs- und Dokumentationszwecken durch.

(7) Ergebnisse, Berichte und sonstige Erkenntnisse aus Penetrationstests und Sicherheitsanalysen unterliegen der Vertraulichkeit und dürfen vom Auftraggeber ausschließlich intern verwendet werden. Eine Veröffentlichung – auch auszugsweise – bedarf der vorherigen ausdrücklichen Zustimmung des Dienstleisters, sofern keine gesetzliche Verpflichtung besteht.

(8) Sofern Projekte erhöhte Sicherheitsanforderungen voraussetzen (z. B. behördliches Umfeld, KRITIS, vertrauliche oder sicherheitssensitive Analysen), kann der Dienstleister aufgrund seiner im Jahr 2025 abgeschlossenen Sicherheitsüberprüfung Ü3 (SÜ3) tätig werden. Die Verarbeitung klassifizierter Informationen erfolgt ausschließlich projektbezogen und nur im erforderlichen Umfang; eine weitergehende Offenlegung findet nicht statt.

(9) Sofern ausdrücklich vereinbart, können Leistungen auch Red-Team-Maßnahmen umfassen. Diese dienen der realitätsnahen Simulation komplexer Angriffsszenarien und können technische, organisatorische und – soweit vereinbart – prozessuale Angriffspfade umfassen.

(10) Red-Team-Maßnahmen erfolgen ausschließlich:

  • auf Grundlage eines vorab definierten und freigegebenen Scopes,
  • nach ausdrücklicher schriftlicher oder textförmiger Freigabe des Auftraggebers,
  • unter Beachtung der geltenden gesetzlichen, regulatorischen und organisatorischen Vorgaben.

(11) Aufgrund der Natur von Red-Team-Maßnahmen können bewusst eingeschränkte oder verzögerte Informationsweitergaben innerhalb der Organisation des Auftraggebers vorgesehen sein. Der Auftraggeber stellt sicher, dass hierfür eine entsprechende Legitimation und Freigabe auf Management-Ebene (Vorstand, Geschäftsführung) vorliegt.

12. Besondere Bedingungen bei Bug-Bounty- & Vulnerability-Disclosure-Consulting

(1) Der Dienstleister unterstützt den Auftraggeber projekt- oder anlassbezogen bei der fachlichen Bewertung, Priorisierung und technischen Einordnung von durch externe Sicherheitsforscher gemeldeten Schwachstellen (z. B. im Rahmen von Bug-Bounty-Programmen oder Vulnerability-Disclosure-Prozessen).

(2) Der Dienstleister übernimmt keine Gewähr für die Richtigkeit, Vollständigkeit, Aktualität oder Echtheit externer Meldungen und führt keine rechtliche Bewertung der gemeldeten Sachverhalte durch.

(3) Die Kommunikation mit externen Sicherheitsforschern, Bug-Bounty-Plattformen (z. B. HackerOne, Bugcrowd, Intigriti) sowie die rechtliche Bewertung, Annahme, Ablehnung oder Honorierung von Meldungen obliegen ausschließlich dem Auftraggeber, sofern nichts anderes ausdrücklich vereinbart wurde.

(4) Der Dienstleister prüft ausschließlich die vertraglich vereinbarten Meldungen oder Sachverhalte. Eine Verpflichtung zur vollständigen, kontinuierlichen oder zeitnahen Prüfung sämtlicher eingehender Meldungen besteht nicht.

(5) Der Auftraggeber ist dafür verantwortlich, dass sein Bug-Bounty- oder Vulnerability-Disclosure-Programm rechtlich zulässig, organisatorisch geeignet und technisch korrekt ausgestaltet ist.

(6) Der Dienstleister haftet nicht für Schäden oder Nachteile, die aus:

  • fehlerhaft klassifizierten,
  • verspätet bearbeiteten oder
  • nicht weiterverfolgten

externen Meldungen resultieren, sofern kein vorsätzliches oder grob fahrlässiges Verhalten vorliegt.

(7) Die Leistungen des Dienstleisters stellen keine dauerhafte Überwachung, kein Management des Bug-Bounty-Programms und keine Erfolgsgarantie dar.

(8) Eine Unterstützung bei der technischen Triage einzelner Meldungen erfolgt ausschließlich nach gesonderter Vereinbarung.

13. Besonderheiten bei einer externen fachlichen Begleitung von Auszubildenden

(1) Der Dienstleister erbringt im Rahmen des jeweiligen Auftrags eine externe, fachliche Begleitung von Auszubildenden bei konkreten technischen Fragestellungen. Die rechtliche, organisatorische, pädagogische und prüfungsrelevante Verantwortung verbleibt vollständig beim Ausbildungsbetrieb.

(2) Die Leistung stellt keine Berufsausbildung, keinen Berufsschulunterricht und keine regelmäßige Lehrtätigkeit dar. Insbesondere wird keine formale Ausbildungsleitung übernommen.

(3) Der Auftraggeber stellt sicher, dass sämtliche gesetzlichen und ausbildungsrechtlichen Pflichten (z. B. Jugendarbeitsschutz, Arbeitszeiten, Ausbildungsordnung, IHK-Vorgaben) eingehalten werden.

(4) Ein bestimmter Lernerfolg, Prüfungsergebnisse oder das Erreichen von Ausbildungszielen werden nicht geschuldet. Der Dienstleister haftet nicht für Entwicklungen, die außerhalb seines unmittelbaren Einflussbereichs liegen.

(5) Der Dienstleister übernimmt keine arbeits- oder sozialpädagogischen Aufgaben, keine Konfliktmoderation und keine disziplinarischen Maßnahmen, sofern dies nicht ausdrücklich gesondert vereinbart wurde.

(6) Sämtliche bereitgestellten Inhalte, Materialien oder Empfehlungen dienen ausschließlich der internen Nutzung durch den Auftraggeber bzw. die Auszubildenden und bleiben geistiges Eigentum des Dienstleisters, sofern nichts Abweichendes vereinbart ist.

(7) Der Auftraggeber stellt sicher, dass sicherheitsrelevante Themen ausschließlich gegenüber berechtigten und entsprechend freigegebenen Personen behandelt werden.

(8) Fällt ein Termin aus Gründen aus, die der Auftraggeber zu vertreten hat (z. B. Krankheit des Auszubildenden, organisatorische Gründe, fehlende Voraussetzungen), bemüht sich der Dienstleister um einen Ersatztermin, ein Anspruch hierauf besteht jedoch nicht. Kurzfristig entstandene Aufwände oder Reisekosten können berechnet werden.

(9) Bei einer Absage des Auftraggebers weniger als 24 Stunden vor dem vereinbarten Termin kann der Dienstleister die vereinbarte Vergütung vollständig berechnen, sofern der Termin nicht anderweitig vergeben werden kann.

(10) Kann ein Vor-Ort-Termin aufgrund organisatorischer Umstände beim Auftraggeber nicht durchgeführt werden (z. B. fehlender Zutritt, fehlende Ansprechpartner, ungeeignete Infrastruktur), gilt der Termin als leistungsgemäß vorbereitet, sofern der Dienstleister angereist oder vor Ort erschienen ist. Zusätzlich entstandene Reisekosten werden berechnet.

(11) Kann der Dienstleister einen Termin aus wichtigen Gründen (z. B. Krankheit, höhere Gewalt, technische Störungen) nicht wahrnehmen, wird zeitnah ein Ersatztermin angeboten. Weitergehende Ansprüche, insbesondere auf Schadensersatz, bestehen nicht, soweit kein Vorsatz oder grobe Fahrlässigkeit vorliegt.

(12) Auch bei mehrfachen oder wiederkehrenden Beauftragungen entsteht keine Verpflichtung zu regelmäßigen Wochen- oder Monatsterminen und keine dauerhafte Tätigkeit für den Auftraggeber.

14. Besonderheiten bei projektbezogenen Workshops & Awareness-Leistungen

(1) Workshops, Awareness-Maßnahmen und vergleichbare Leistungen dienen der projekt- oder anlassbezogenen Wissensvermittlung und Sensibilisierung. Ein bestimmter Lernerfolg, Prüfungserfolg oder eine Qualifikation wird nicht geschuldet.

(2) Die Leistungen stellen keine Lehr- oder Unterrichtstätigkeit dar und sind nicht auf eine regelmäßige oder dauerhafte Wissensvermittlung angelegt.

(3) Der Auftraggeber ist für die Auswahl geeigneter Teilnehmender sowie für die Eignung und Passung der Inhalte zur jeweiligen Zielgruppe verantwortlich.

(4) Der Dienstleister haftet nicht für Schäden, die aus Fehlinterpretationen oder unsachgemäßer Anwendung der vermittelten Inhalte entstehen, sofern kein vorsätzliches oder grob fahrlässiges Verhalten vorliegt.

(5) Die Aufzeichnung, Weitergabe oder Vervielfältigung von bereitgestellten Materialien, Präsentationen oder Inhalten ist ohne vorherige ausdrückliche Zustimmung des Dienstleisters nicht gestattet.

(6) Demonstrationen sicherheitsrelevanter Inhalte, insbesondere im Bereich IT-Security oder Ethical Hacking, erfolgen ausschließlich in isolierten, kontrollierten Test- oder Übungsumgebungen. Der Auftraggeber stellt sicher, dass Teilnehmende diese Inhalte nicht auf produktive oder fremde Systeme anwenden.

(7) Bei Remote-Formaten liegt die technische Funktionsfähigkeit der Endgeräte, Netzwerkanbindung und eingesetzten Software im Verantwortungsbereich des Auftraggebers.

(8) Kann ein vereinbarter Termin aus Gründen, die der Auftraggeber zu vertreten hat (z. B. fehlende Teilnehmende, unzureichende technische Voraussetzungen, kurzfristige Absagen), nicht stattfinden, gilt der Termin als leistungsgemäß vorbereitet, sofern der Dienstleister den Termin nicht anderweitig vergeben kann. Ein Anspruch auf Nachholung besteht nicht.

(9) Muss ein Termin aus Gründen entfallen, die der Dienstleister zu vertreten hat (z. B. Krankheit, technische Störungen, höhere Gewalt), wird ein Ersatztermin angeboten. Ist ein Ersatztermin nicht möglich, entstehen dem Auftraggeber keine Kosten. Weitergehende Ansprüche sind ausgeschlossen, soweit kein Vorsatz oder grobe Fahrlässigkeit vorliegt.

(10) Bei Präsenzformaten trägt der Auftraggeber Stornierungs- und Umbuchungskosten, die infolge seiner Absage entstehen (z. B. Raum-, Reise- oder Sachkosten).

(11) Bei einer Absage durch den Auftraggeber weniger als 7 Kalendertage vor dem vereinbarten Termin können 50 % der vereinbarten Vergütung berechnet werden, sofern nichts Abweichendes vereinbart wurde. Bei Absagen weniger als 48 Stunden vor dem Termin kann die volle Vergütung fällig werden.

15. Besonderheiten bei der Unterstützung im Secure Development Lifecycle (SDLC / DevSecOps)

(1) Der Dienstleister unterstützt den Auftraggeber projekt- oder anlassbezogen bei der Integration von Sicherheitsaspekten in den Softwareentwicklungsprozess. Dies kann insbesondere Threat Modeling, Architektur- und Design-Reviews, sicherheitsbezogene Code-Reviews, die Definition von Sicherheitsanforderungen sowie beratende Hinweise zu Security-Gates in CI/CD-Pipelines umfassen.

(2) Die Leistungen erfolgen beratend und unterstützend. Die Verantwortung für Priorisierung, technische Umsetzung, Implementierung, Integration in bestehende Prozesse sowie für Produktiventscheidungen liegt ausschließlich beim Auftraggeber. Der Dienstleister schuldet keine bestimmten Ergebnisse, insbesondere keine fehlerfreie oder vollständig sichere Software.

(3) Der Dienstleister haftet nicht für Fehler, Schwachstellen, Sicherheitsvorfälle oder Betriebsstörungen, die aus einer Nichtbeachtung, verspäteten oder fehlerhaften Umsetzung der ausgesprochenen Empfehlungen resultieren, sofern kein vorsätzliches oder grob fahrlässiges Verhalten vorliegt.

(4) Sicherheitsbewertungen im Rahmen des SDLC ersetzen keinen Penetrationstest, keine umfassende Codeprüfung und keine formale Abnahme oder Zertifizierung. Ein vollständiger Sicherheitsaudit ist nur Gegenstand gesondert beauftragter Leistungen.

(5) Der Dienstleister ist nicht in Entwicklungs-, Build-, Deployment- oder Betriebsprozesse eingebunden und übernimmt keine Verantwortung für Konfigurationsänderungen, Releases oder die Verfügbarkeit von Entwicklungs-, Test- oder Produktionsumgebungen. Entsprechende Entscheidungen liegen allein beim Auftraggeber.

(6) Empfehlungen des Dienstleisters beruhen auf dem Stand der Technik und den zum Zeitpunkt der Analyse verfügbaren Informationen. Ändern sich Architektur, Komponenten, Bibliotheken oder Konfigurationen ohne Kenntnis des Dienstleisters, entfällt die Grundlage der ursprünglichen Bewertung.

(7) Der Auftraggeber stellt sicher, dass der Dienstleister rechtzeitig Zugang zu den für die Beratung erforderlichen Dokumentationen, Architekturbeschreibungen, Repositories sowie geeigneten Ansprechpartnern erhält. Verzögerungen aufgrund fehlender oder verspäteter Mitwirkung können als Mehraufwand berechnet werden.

(8) Zugriffe auf CI/CD-Systeme, Code-Repositories oder produktionsnahe Umgebungen erfolgen grundsätzlich lesend, sofern nicht ausdrücklich etwas anderes in Textform vereinbart wurde.

(9) Die Leistungen ersetzen keine Compliance-, Zertifizierungs- oder Auditprüfungen (z. B. ISO/IEC 27001, SOC 2, PCI DSS), sofern diese nicht ausdrücklich als eigenständige Leistung vereinbart wurden.

(10) Bei Projekten mit erhöhten Sicherheitsanforderungen kann der Dienstleister aufgrund seiner im Jahr 2025 abgeschlossenen Sicherheitsüberprüfung Ü3 (SÜ3) eingesetzt werden. Die Bereitstellung sicherheitsrelevanter Informationen erfolgt ausschließlich projektbezogen und im erforderlichen Umfang.

16. Selbstständigkeit des Dienstleisters

(1) Der Dienstleister erbringt sämtliche Leistungen als selbstständig tätiger Unternehmer. Durch diesen Vertrag wird weder ein Arbeitsverhältnis noch ein arbeitnehmerähnliches Verhältnis begründet.

(2) Der Dienstleister ist in der Gestaltung von Arbeitszeit, Arbeitsort, Arbeitsweise und Durchführung der Leistungen frei. Erforderliche Abstimmungen dienen ausschließlich der sachgerechten Projektdurchführung und begründen keine Weisungsgebundenheit.

(3) Der Dienstleister ist nicht in die Arbeitsorganisation des Auftraggebers eingegliedert, nimmt keine arbeitnehmertypischen Funktionen wahr und unterliegt keinen arbeitsrechtlichen Weisungen.

(4) Der Dienstleister setzt eigene Arbeitsmittel ein, trägt ein unternehmerisches Risiko und ist eigenständig für seine steuerlichen und sozialversicherungsrechtlichen Verpflichtungen verantwortlich.

(5) Der Auftraggeber verpflichtet sich, den Dienstleister nicht wie einen Arbeitnehmer einzusetzen. Insbesondere werden keine festen täglichen Arbeitszeiten, keine dauerhafte Anwesenheitspflicht und keine organisatorische Eingliederung in interne Betriebsabläufe vereinbart.

(6) Leistungen werden projekt- oder anlassbezogen erbracht. Auch bei wiederkehrenden Beauftragungen entsteht keine Verpflichtung zu einer dauerhaften oder ausschließlichen Tätigkeit für den Auftraggeber und kein Arbeitsverhältnis.

(7) Sofern der Dienstleister über eine gültige Sicherheitsüberprüfung (SÜ3) verfügt, dient diese ausschließlich dem projektbezogenen Nachweis der persönlichen Zuverlässigkeit für sicherheitssensitive Vorhaben. Hieraus ergeben sich keine arbeits-, dienst- oder sozialversicherungsrechtlichen Bindungen.

17. Besonderheiten bei schulischen Veranstaltungen

(1) Leistungen im Rahmen von schulischen Arbeitsgemeinschaften (AGs), Projektkursen oder Workshops erfolgen ausschließlich auf Anfrage der Schule, der Schulleitung oder des Schulträgers und stellen keine schulische Unterrichtstätigkeit dar.

(2) Der Dienstleister erbringt hierbei eine fachliche, projektbezogene Anleitung zu ausgewählten IT- und IT-Security-Themen. Eine pädagogische, erzieherische oder aufsichtspflichtige Tätigkeit wird ausdrücklich nicht übernommen.

(3) Die Aufsichtspflicht über minderjährige Teilnehmende verbleibt vollständig bei der Schule bzw. bei den von der Schule benannten Aufsichtspersonen. Der Dienstleister ist nicht für disziplinarische Maßnahmen oder die Durchsetzung schulischer Ordnungen verantwortlich.

(4) Die Leistungen erfolgen nicht regelmäßig, nicht dauerhaft und ohne Eingliederung in den Schulbetrieb. Es wird kein Lehr-, Ausbildungsverhältnis oder arbeitnehmerähnliches Verhältnis begründet.

(5) Inhalte, Materialien oder Demonstrationen dienen ausschließlich der fachlichen Einordnung und Sensibilisierung. Der Dienstleister übernimmt keine Verantwortung für die Anwendung der vermittelten Inhalte außerhalb der Veranstaltung.

(6) Praktische Übungen oder sicherheitsrelevante Demonstrationen, insbesondere im Bereich IT-Security oder Ethical Hacking, erfolgen ausschließlich in kontrollierten, isolierten Test- oder Übungsumgebungen. Die Schule stellt sicher, dass keine produktiven Systeme genutzt werden.

(7) Der Dienstleister haftet nicht für Schäden an schulischen IT-Systemen, die durch unsachgemäße Nutzung durch Teilnehmende entstehen, sofern kein vorsätzliches oder grob fahrlässiges Verhalten des Dienstleisters vorliegt.

(8) Die Schule stellt sicher, dass erforderliche organisatorische und technische Voraussetzungen (z. B. Räume, Aufsicht, Hardware, Netzwerkanbindung, Softwarefreigaben) rechtzeitig bereitgestellt werden. Verzögerungen oder Ausfälle aufgrund fehlender Voraussetzungen liegen nicht im Verantwortungsbereich des Dienstleisters.

(9) Eine Aufzeichnung, Vervielfältigung oder Weitergabe der bereitgestellten Inhalte oder Materialien ist ohne ausdrückliche Zustimmung des Dienstleisters nicht gestattet.

(10) Schulische Veranstaltungen können unentgeltlich durchgeführt werden. In diesem Fall handelt es sich um eine freiwillige, ehrenamtliche Tätigkeit ohne Vergütungsanspruch, die keine selbstständige Lehrtätigkeit im Sinne des § 2 Abs. 1 Nr. 1 SGB VI begründet.

(11) Sofern im Einzelfall eine Vergütung vereinbart wird, erfolgt diese einmalig oder projektbezogen als Aufwandsersatz. Ein Anspruch auf regelmäßige oder wiederkehrende Leistungen besteht nicht.

(12) Muss ein Termin aus organisatorischen Gründen seitens der Schule entfallen, bemühen sich die Parteien um eine einvernehmliche Lösung. Bereits entstandene, nachweisbare Aufwände können dem Dienstleister erstattet werden.

18. Besonderheiten bei einer technischen Unterstützungs- und Entwicklungsnahen Leistung

(1) Sofern vereinbart, kann der Dienstleister den Auftraggeber im Rahmen von Projekten punktuell bei technischen Umsetzungsfragen unterstützen, insbesondere durch:

  • sicherheitsbezogene Code-Reviews
  • technische Empfehlungen zur Behebung identifizierter Schwachstellen
  • exemplarische Referenz- oder Beispielimplementierungen
  • Unterstützung bei Secure-Design- oder Architekturentscheidungen

(2) Eine dauerhafte Mitarbeit an der Produkt- oder Softwareentwicklung, die Übernahme von Entwicklungsverantwortung oder eine Eingliederung in Entwicklungs- oder Projektteams ist nicht geschuldet.

(3) Die Leistungen erfolgen projekt- oder anlassbezogen und stellen keine arbeits- oder dienstvertragliche Tätigkeit dar.

(4) Der Dienstleister übernimmt keine Verantwortung für produktive Entwicklungsprozesse, Release-Entscheidungen oder den Betrieb von Systemen, sofern dies nicht ausdrücklich vereinbart wurde.

(5) Auch bei wiederholten Beauftragungen entsteht keine Verpflichtung zur regelmäßigen oder fortlaufenden Entwicklungsunterstützung.

19. Einsatz als Subunternehmer

(1) Der Dienstleister ist berechtigt, Leistungen auch als Subunternehmer im Auftrag eines Hauptauftragnehmers (z. B. einer Penetrationstest- oder Beratungsfirma) zu erbringen.

(2) In diesen Fällen erfolgt die Leistungserbringung eigenverantwortlich, weisungsfrei und nicht eingegliedert in die Arbeitsorganisation des Hauptauftragnehmers oder dessen Endkunden.

(3) Der Dienstleister schuldet seine Leistungen ausschließlich gegenüber dem vertraglich beauftragenden Unternehmen. Ein unmittelbares Vertragsverhältnis mit dem Endkunden wird hierdurch nicht begründet, sofern nicht ausdrücklich etwas anderes vereinbart ist.

(4) Die Tätigkeit als Subunternehmer begründet kein Arbeitsverhältnis, keine arbeitnehmerähnliche Tätigkeit und keine Arbeitnehmerüberlassung.

(5) Der Dienstleister ist berechtigt, zur Erfüllung der vereinbarten Leistungen eigene Methoden, Werkzeuge und Arbeitsweisen einzusetzen, soweit dem keine vertraglichen oder regulatorischen Vorgaben entgegenstehen.

20. Vorrang individueller Vereinbarungen

(1) Individuelle Vereinbarungen zwischen dem Dienstleister und dem Auftraggeber (z. B. Angebote, Auftragsbestätigungen, Leistungsbeschreibungen oder Absprachen per E-Mail) haben Vorrang vor diesen Allgemeinen Geschäftsbedingungen.

(2) Zur Wirksamkeit individueller Vereinbarungen genügt die Textform gemäß § 126b BGB. Mündliche Nebenabreden sind nur verbindlich, wenn sie in Textform bestätigt wurden.

(3) Soweit individuelle Vereinbarungen einzelnen Bestimmungen dieser Allgemeinen Geschäftsbedingungen widersprechen, gehen ausschließlich die individuellen Vereinbarungen vor.

(4) Im Übrigen bleiben die nicht widersprechenden Bestimmungen dieser Allgemeinen Geschäftsbedingungen unberührt und weiterhin wirksam.

21. Anwendbares Recht, Gerichtsstand und Ausschluss internationalen Rechts

(1) Für sämtliche Verträge zwischen dem Dienstleister und dem Auftraggeber gilt ausschließlich das Recht der Bundesrepublik Deutschland.

(2) Die Anwendung des UN-Kaufrechts (CISG) wird ausdrücklich ausgeschlossen.

(3) Die Anwendung internationaler Kollisionsnormen (insbesondere des Internationalen Privatrechts sowie der Art. 3–6 EGBGB) wird ausgeschlossen, soweit deren Anwendung nicht zwingend vorgeschrieben ist.

(4) Ist der Auftraggeber Kaufmann, eine juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dem Vertragsverhältnis der Sitz des Dienstleisters.

(5) Der Dienstleister erbringt ausschließlich Dienstleistungen. Kauf-, Liefer- oder werkvertragliche Vorschriften über den Warenverkauf finden keine Anwendung.

22. Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieser Allgemeinen Geschäftsbedingungen ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(2) Anstelle der unwirksamen oder undurchführbaren Bestimmung gilt eine wirksame Regelung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(3) Entsprechendes gilt für etwaige Regelungslücken.

Stand: Dezember 2025