AGB
1. Geltungsbereich
1.1. Für alle gegenwärtigen und zukünftigen Lieferungen und sonstige Leistungen, die die Adversary GmbH, Goethegasse 3/3, 1010 Wien (im Folgenden kurz: der Anbieter) für ihre Kunden erbringt, gelten ausschließlich die nachfolgenden Allgemeinen Geschäftsbedingungen (AGB) in der jeweils gültigen Fassung. Abweichendes gilt nur, wenn dies schriftlich zwischen dem Anbieter und ihren Kunden vereinbart worden ist.
1.2. Geschäftsbedingungen des Kunden kommen nicht zur Anwendung.
1.3. Der Kunde erklärt, dass er die Dienstleistung des Anbieters ausschließlich in seiner Eigenschaft als Unternehmer bezieht.
2. Vertragsgegenstand
2.1. Der Anbieter überprüft für den Kunden die Sicherheit von IT Systemen durch kontrolliert geführte Angriffe, wie sie auch von einem realen Angreifer der versucht unautorisiert in das zu überprüfende System einzudringen, bei einem realen Angriff verwendet werden könnten. (= Penetration Testing, fortan „Pentest“)
2.2. Der Kunde kann je nach Vereinbarung mit dem Anbieter Angriffs-Szenarien von unterschiedlicher Art und Umfang wählen.
2.3. Der Anbieter vereinbart mit dem Kunden einen Zeitraum, in welchem die Penetration Tests durchgeführt werden.
2.4. Nach Durchführung des Pentests erhält der Kunde einen detaillierten Bericht und genau Dokumentation der durchgeführten Tests und deren Ergebnisse.
3. Zahlungsbedingungen
3.1. Sofern nicht im Einzelnen Abweichendes vereinbart ist, sind alle Entgelte im Voraus zur Zahlung fällig.
3.2. Zur Aufrechnung von Forderungen mit eigenen Forderungen ist der Kunde nur bei anerkannten oder gerichtlich festgestellten Forderungen oder, im Fall der Zahlungsunfähigkeit des Anbieters, berechtigt.
4. Kontaktaufnahme per E-Mail
4.1. Der Kunde erklärt sich mit der Kontaktaufnahme per E-Mail durch den Anbieter zu Zwecken der Information und Werbung über dessen Produkte und Produktweiterentwicklungen sowie über Neuheiten einverstanden.
4.2. Der Kunde kann diese Zustimmung jederzeit durch E-Mail an martin@adversary.at widerrufen.
5. Pflichten des Kunden, Hinweise
5.1. Mit der Inanspruchnahme des Pentest bestätigt der Kunde, dass dieser auf einem System erfolgen soll auf dem der Kunde vollumfänglich und uneingeschränkt dazu berechtigt ist einen solchen Test durchführen zu lassen. Auf Verlangen des Anbieters hat der Kunde dies nachzuweisen.
5.2. Der Kunde stimmt zu, dass der Anbieter spezifische Sicherheitsvorkehrungen im Computersystem des Kunden überwinden darf und dabei Daten abfängt, Daten beschädigen und die Störung des Computersystems bewirken kann.
5.3. Der Pentest hat das Ziel, Schwachstellen zu erkennen, diese zu testen und das damit einhergehende Risiken zu identifizieren. Der Kunde wird darauf hingewiesen, dass durch den Pentest Schäden und Beeinträchtigungen im bestehenden System entstehen können, die nur durch ein BackUp oder umfassende Wartung behoben werden können.
5.4. Dem Kunden obliegt es, die zu überprüfenden Systeme und damit in zusammenhängende Daten vollumfänglich vor Durchführung des Pentests zu sichern. Der Kunde hat sämtliche notwendigen Maßnahmen zu ergreifen, um gegebenenfalls den Zustand vor Durchführung des Penetration Tests wiederherzustellen zu können.
5.5. Vor Durchführung des Pentests teilt der Anbieter dem Kunden mit, welche Informationen von ihm benötigt werden, um den Test in vereinbarte Art und Umfang durchführen zu können. Der Kunde verpflichtet sich, diese Informationen zeitgerecht, vollumfassend und inhaltlich richtig zur Verfügung zu stellen.
5.6. Der Kunde verpflichtet sich Dritte, die möglicherweise von der Ausführung des Penetrationstests betroffen sein könnten, vor Durchführung des Pentests zu informieren und sich vollumfänglich dafür die Berechtigung einzuholen. Diese ist auf Verlangen des Anbieters nachzuweisen. Der Kunde nimmt zur Kenntnis, dass Systeme Dritter (nicht abschließend aufgezählt: Router des Providers, der Webserver eines Hosters) durch die Prüfung beeinträchtigt werden und daher der Anbieter eine Störung des ordnungsgemäßen Betriebes dieser Systeme nicht ausschließen kann. ## 6. Haftung
6.1. Der Anbieter ist nicht verpflichtet zu überprüfen, ob der Kunde uneingeschränkte, vollumfängliche Rechte an den zu überprüfenden Systemen hat.
6.2. Die Haftung des Anbieters ist ausgeschlossen, es sei denn, der Schaden wurde vorsätzlich oder grob fahrlässig herbeigeführt. Der Haftungsausschluss gilt nicht bei Verletzungen des Lebens oder der Gesundheit einer Person.
6.3. Ansprüche des Kunden gegen den Anbieter sind – sofern zulässig – jedenfalls mit der Höhe des Entgelts oder maximal EUR 2.000.000 beschränkt.
6.4. Im Falle Ansprüche Dritter gegen den Anbieter infolge einer Verletzung der unter Punkt 5 genannten Pflichten, verpflichtet sich der Kunde, den Anbieter von Forderungen jeglicher Art schad- und klaglos zu halten.
6.5. Der Kunde ist verpflichtet, Schadenersatzansprüche binnen sechs Monaten nach Erkennbarkeit eines Schadens gerichtlich geltend zu machen, der Anspruch verjährt jedoch spätestens drei Jahre nach dem anspruchsbegründenden Ereignis.
7. Datenschutz und Geheimhaltung
7.1. Der Anbieter behält sich vor, Prüferberichte über gefundene Schwachstellen zu veröffentlichen, um die Öffentlichkeit dafür zu sensibilisieren. Dies geschieht jedoch nur nach Anonymisierung der Daten, sodass kein Rückschluss auf den Kunden möglich ist.
7.2. Es gelten die im Auftragsverarbeitungsvertrag vereinbarten Bestimmungen über den Datenschutz.
8. Anwendbares Recht, Gerichtsstand
8.1. Diese Vereinbarung unterliegt ausschließlich österreichischem Recht unter Ausschluss internationalen Verweisungsnormen, soweit diese auf anderes als auf österreichisches Recht verweisen.
8.2. Für alle Streitigkeiten aus dieser Vereinbarung, einschließlich der Frage ihres wirksamen Zustandekommens und ihrer Beendigung und der Vereinbarungen über Leistungspakete, ist der Gerichtsstand ausschließlich der Sitz des Anbieters. ## 9. Sonstiges
9.1. Sollten einzelne Bestimmungen dieser AGB nichtig, undurchsetzbar und/oder ungültig sein oder werden, hat dies nicht die Nichtigkeit, Undurchsetzbarkeit und/oder Ungültigkeit der gesamten AGB zur Folge hat. Die Parteien verpflichten sich für diesen Fall, anstelle der nichtigen, undurchsetzbaren und/oder ungültigen Bestimmungen eine Regelung zu vereinbaren, die dem mit der nichtigen, undurchsetzbaren und/oder ungültigen Regelung verfolgten Zweck wirtschaftlich am Nächsten kommt.