AGB

1. Geltungsbereich

1.1. Für alle gegenwärtigen und zukünftigen Lieferungen und sonstige Leistungen, die die Adversary GmbH, Goethegasse 3/3, 1010 Wien (im Folgenden kurz: der Anbieter) für ihre Kunden erbringt, gelten ausschließlich die nachfolgenden Allgemeinen Geschäftsbedingungen (AGB) in der jeweils gültigen Fassung. Abweichendes gilt nur, wenn dies schriftlich zwischen dem Anbieter und ihren Kunden vereinbart worden ist.

1.2. Geschäftsbedingungen des Kunden kommen nicht zur Anwendung.

1.3. Der Kunde erklärt, dass er die Dienstleistung des Anbieters ausschließlich in seiner Eigenschaft als Unternehmer bezieht.

2. Vertragsgegenstand

2.1. Vertragsgegenstand sind Dienstleistungen im Bereich der IT-Sicherheit, insbesondere:

2.1.1. Der Anbieter überprüft für den Kunden die Sicherheit von IT-Systemen durch kontrolliert geführte Angriffe, wie sie auch von einem realen Angreifer, der versucht unautorisiert in das zu überprüfende System einzudringen, bei einem realen Angriff verwendet werden könnten. (= Penetration Testing, Penetrationstests oder kurz Pentest)

2.1.2. Der Anbieter berät den Kunden hinsichtlich Applikationssicherheit.

2.1.3. Der Anbieter führt Workshops, Schulungen oder sonstige Weiterbildungen für den Kunden durch.

2.1.4. Der Anbieter hält Vorträge auf einer Veranstaltung des Kunden, an der Personen dritter Parteien teilnehmen

2.2. Der Kunde kann je nach Vereinbarung mit dem Anbieter Angriffs-Szenarien von unterschiedlicher Art und Umfang wählen.

2.3. Der Anbieter vereinbart mit dem Kunden einen Zeitraum, in welchem die Penetration Tests durchgeführt werden.

2.4. Nach Durchführung des Pentests erhält der Kunde einen detaillierten Bericht und genaue Dokumentation der durchgeführten Tests und deren Ergebnisse.

3. Bestimmungen Penetrationstests

3.1. Es kann kein gewünschter Testzeitraum garantiert werden. Ist ein gewünschter Termin nicht möglich, suchen die Vertragsparteien partnerschaftlich nach einem passenden Testzeitraum.

3.2. Für einen Penetrationstest avisierte Testzeiträume werden maximal 10 Werktage reserviert. Erfolgt in diesem Zeitraum keine Bestätigung in Form der entsprechenden unterzeichneten Dokumente, so behält sich der Auftragnehmer vor, den avisierten Testzeitraum anderweitig zu vergeben. Der Auftraggeber wird hiervon informiert und ein anderer Termin vorgeschlagen.

3.3. Kann ein Projekt innerhalb von 10 Werktagen vor Projektstart aus jedweden Gründen seitens Auftraggeber nicht durchgeführt werden, so wird dennoch 50% des jeweiligen Auftragsvolumens in Rechnung gestellt.

3.4. Die Leistungserbringung erfolgt, sofern durch die Art des Penetrationstestes nicht anders bedingt, zu 100% entfernt („remote“) und nicht an den Unternehmensstandorten des Auftraggebers.

3.5. Die Leistungserbringung ist nicht an Geschäftszeiten des Auftraggebers gebunden. Tätigkeiten, die möglicherweise Reaktion des und Abstimmung mit dem Auftraggeber benötigen, werden im Vorfeld abgestimmt und nicht außerhalb der Geschäftszeiten durchgeführt.

3.6. Der Auftragnehmer ist berechtigt, zur Erfüllung seiner vertraglichen Verpflichtungen Subunternehmer einzusetzen.

3.7. Während einem Penetrationstest können auf Wunsch periodische Statusmeldungen an den Auftraggeber übermittelt werden. Als kritisch eingestufte Lücken mit unmittelbar zu erwartendem Schaden werden sofort nach abgeschlossener Analyse gemeldet.

3.8. Mit der Inanspruchnahme des Pentest bestätigt der Kunde, dass dieser auf einem System erfolgen soll auf dem der Kunde vollumfänglich und uneingeschränkt dazu berechtigt ist einen solchen Test durchführen zu lassen. Auf Verlangen des Anbieters hat der Kunde dies nachzuweisen.

3.9. Der Kunde stimmt zu, dass der Anbieter spezifische Sicherheitsvorkehrungen im Computersystem des Kunden überwinden darf und dabei Daten abfängt, Daten beschädigen und die Störung des Computersystems bewirken kann.

3.10. Der Pentest hat das Ziel, Schwachstellen zu erkennen, diese zu testen und das damit einhergehende Risiken zu identifizieren. Der Kunde wird darauf hingewiesen, dass durch den Pentest Schäden und Beeinträchtigungen im bestehenden System entstehen können, die nur durch ein BackUp oder umfassende Wartung behoben werden können.

3.11. Dem Kunden obliegt es, die zu überprüfenden Systeme und damit in zusammenhängende Daten vollumfänglich vor Durchführung des Pentests zu sichern. Der Kunde hat sämtliche notwendigen Maßnahmen zu ergreifen, um gegebenenfalls den Zustand vor Durchführung des Penetration Tests wiederherzustellen zu können.

3.12. Vor Durchführung des Pentests teilt der Anbieter dem Kunden mit, welche Informationen von ihm benötigt werden, um den Test in vereinbarte Art und Umfang durchführen zu können. Der Kunde verpflichtet sich, diese Informationen zeitgerecht, vollumfassend und inhaltlich richtig zur Verfügung zu stellen.

3.13. Der Kunde verpflichtet sich Dritte, die möglicherweise von der Ausführung des Penetrationstests betroffen sein könnten, vor Durchführung des Pentests zu informieren und sich vollumfänglich dafür die Berechtigung einzuholen. Diese ist auf Verlangen des Anbieters nachzuweisen. Der Kunde nimmt zur Kenntnis, dass Systeme Dritter (nicht abschließend aufgezählt: Router des Providers, der Webserver eines Hosters) durch die Prüfung beeinträchtigt werden und daher der Anbieter eine Störung des ordnungsgemäßen Betriebes dieser Systeme nicht ausschließen kann.

4. Bestimmungen Schulungen

4.1. Uneingeschränkte Nutzungsrechte an jeglichem Bild-, Video- oder Textmaterial, das von der Adversary GmbH zugehörigen Personen angefertigt wird, werden dem Anbieter seitens Kunde eingeräumt. Dies inkludiert, ist aber nicht limitiert auf die Verwendung in digitalen und analogen Marketingmaterialien, der Veröffentlichung auf der Webseite oder in sozialen Medien.

4.1.1. Dies gilt nicht, sobald das Recht am eigenen Bild andere, unbeteiligter Personen verletzt wird. Der Anbieter behält sich vor, das Material hingehend zu verändern, z.B. Personen unkenntlich zu machen.

4.2. Der Auftraggeber stellt sicher, dass die für die Durchführung der Schulung notwendige technische Infrastruktur (Netzwerkzugang, Internetverbindung, Stromversorgung, ggf. VPN oder virtuelle Maschinen) vorhanden ist. Sofern die Schulung online erfolgt, sind ein funktionsfähiger Rechner, Webcam, Mikrofon und stabile Internetverbindung erforderlich.

4.3. Kann die Leistung aufgrund höherer Gewalt (z. B. Naturkatastrophen, Krankheit, Pandemien, behördliche Maßnahmen) nicht erbracht werden, haften beide Parteien nicht für die Nichterfüllung. Bereits entstandene Aufwände (z. B. Reisekosten) sind zu erstatten. In solchen Fällen bemühen sich die Parteien um einen Ersatztermin.

4.4. Aufzeichnungen oder Live-Streams müssen im Vorfeld schriftlich angekündigt und seitens des Auftragnehmers freigegeben werden.

4.5. Die Rechte an sämtlichen vom Auftragnehmer erstellten Vortragsinhalten (z. B. Präsentationen, Manuskripte, Folien, Beispiele) verbleiben ausschließlich beim Auftragnehmer. Eine Weitergabe, Veröffentlichung oder Bearbeitung durch den Auftraggeber ist nur mit ausdrücklicher, schriftlicher Genehmigung zulässig.

4.6. Auf Wunsch erhalten Teilnehmende eine Teilnahmebestätigung. Es besteht kein Anspruch auf eine formale Zertifizierung, es sei denn, dies ist vertraglich ausdrücklich vereinbart.

5. Bestimmungen Vorträge

5.1. Uneingeschränkte Nutzungsrechte an jeglichem Bild-, Video- oder Textmaterial, das von der Adversary GmbH zugehörigen Personen angefertigt wird, werden dem Anbieter seitens Kunde eingeräumt. Dies inkludiert, ist aber nicht limitiert auf die Verwendung in digitalen und analogen Marketingmaterialien, der Veröffentlichung auf der Webseite oder in sozialen Medien.

5.1.1. Dies gilt nicht, sobald das Recht am eigenen Bild andere, unbeteiligter Personen verletzt wird. Der Anbieter behält sich vor, das Material hingehend zu verändern, z.B. Personen unkenntlich zu machen.

5.2. Es gelten die in Punkt 6 beschriebenen Bestimmungen bzgl. Reisekosten.

5.3. Aufzeichnungen oder Live-Streams müssen im Vorfeld schriftlich angekündigt und seitens des Auftragnehmers freigegeben werden.

5.4. Die Rechte an sämtlichen vom Auftragnehmer erstellten Vortragsinhalten (z. B. Präsentationen, Manuskripte, Folien, Beispiele) verbleiben ausschließlich beim Auftragnehmer. Eine Weitergabe, Veröffentlichung oder Bearbeitung durch den Auftraggeber ist nur mit ausdrücklicher, schriftlicher Genehmigung zulässig.

5.5. Es wird keine Exklusivität für Inhalte oder Themenbereiche eingeräumt. Der Auftragnehmer ist berechtigt, vergleichbare Inhalte auch bei anderen Veranstaltungen zu verwenden.

5.6. Der Auftraggeber sorgt dafür, dass die im Vorfeld abgestimmten technischen Anforderungen (z. B. Beamer, Mikrofon, Internetzugang, Fernbedienung) vor Ort vorhanden sind und funktionieren.

5.7. Kann die Leistung aufgrund höherer Gewalt (z. B. Naturkatastrophen, Krankheit, Pandemien, behördliche Maßnahmen) nicht erbracht werden, haften beide Parteien nicht für die Nichterfüllung. Bereits entstandene Aufwände (z. B. Reisekosten) sind zu erstatten. In solchen Fällen bemühen sich die Parteien um einen Ersatztermin.

6. Zahlungsbedingungen

6.1. Die Entgelte werden nach Abschluss des jeweiligen Projektes mit 30 Tagen Zahlungsziel in Rechnung gestellt.

6.2. Zur Aufrechnung von Forderungen mit eigenen Forderungen ist der Kunde nur bei anerkannten oder gerichtlich festgestellten Forderungen oder, im Fall der Zahlungsunfähigkeit des Anbieters, berechtigt.

6.3. Reisekosten für Penetrationstests fallen nur an, sofern dieser vor Ort durchgeführt werden und deren Durchführungsort außerhalb Wiens liegt. Die Reisekosten werden mit 0,5 Personentagen pro Projekttag vor Ort pauschalisiert.

6.4. Reisekosten für Vorträge und Schulungen werden mit 400 Euro pro Tag pauschalisiert, sofern der Durchführungsort außerhalb Wiens liegt und Anreise sowie Unterkunft seitens Anbieter organisiert werden.

7. Kontaktaufnahme per E-Mail

7.1. Der Kunde erklärt sich mit der Kontaktaufnahme per E-Mail durch den Anbieter zu Zwecken der Information und Werbung über dessen Produkte und Produktweiterentwicklungen sowie über Neuheiten einverstanden.

7.2. Der Kunde kann diese Zustimmung jederzeit durch E-Mail an martin@adversary.at widerrufen.

Haftung

8.1. Der Anbieter ist nicht verpflichtet zu überprüfen, ob der Kunde uneingeschränkte, vollumfängliche Rechte an den zu überprüfenden Systemen hat.

8.2. Die Haftung des Anbieters ist ausgeschlossen, es sei denn, der Schaden wurde vorsätzlich oder grob fahrlässig herbeigeführt. Der Haftungsausschluss gilt nicht bei Verletzungen des Lebens oder der Gesundheit einer Person.

8.3. Ansprüche des Kunden gegen den Anbieter sind - sofern zulässig - jedenfalls mit jedenfalls mit der Höhe des Entgelts, maximal aber EUR 2.000.000 beschränkt.

8.4. Im Falle Ansprüche Dritter gegen den Anbieter infolge einer Verletzung der in diesem Werk genannten Pflichten, verpflichtet sich der Kunde, den Anbieter von Forderungen jeglicher Art schad- und klaglos zu halten.

8.5. Der Kunde ist verpflichtet, Schadenersatzansprüche binnen sechs Monaten nach Erkennbarkeit eines Schadens gerichtlich geltend zu machen.

9. Datenschutz und Geheimhaltung

9.1. Es gelten die im Auftragsverarbeitungsvertrag vereinbarten Bestimmungen über den Datenschutz sowie die in der Vertraulichkeitsvereinbarung vereinbarten Bestimmungen über die Geheimhaltung.

10. Anwendbares Recht, Gerichtsstand

10.1. Diese Vereinbarung unterliegt ausschließlich österreichischem Recht unter Ausschluss internationalen Verweisungsnormen, soweit diese auf anderes als auf österreichisches Recht verweisen.

10.2. Für alle Streitigkeiten aus dieser Vereinbarung, einschließlich der Frage ihres wirksamen Zustandekommens und ihrer Beendigung und der Vereinbarungen über Leistungspakete, ist der Gerichtsstand ausschließlich der Sitz des Anbieters.

11. Sonstiges

11.1. Der Auftragnehmer darf den Auftraggeber (inkl. Logo) öffentlich auf der Webseite und in Marketingmaterialien als Kunde nennen.

11.2. Der Auftragnehmer darf die von dem Vertrag umfassten Projekte als Referenzen auf Webseite, Marketingmaterialien sowie in Ausschreibungen verwenden.

11.3. Sollten einzelne Bestimmungen dieser AGB nichtig, undurchsetzbar und/oder ungültig sein oder werden, hat dies nicht die Nichtigkeit, Undurchsetzbarkeit und/oder Ungültigkeit der gesamten AGB zur Folge hat. Die Parteien verpflichten sich für diesen Fall, anstelle der nichtigen, undurchsetzbaren und/oder ungültigen Bestimmungen eine Regelung zu vereinbaren, die dem mit der nichtigen, undurchsetzbaren und/oder ungültigen Regelung verfolgten Zweck wirtschaftlich am Nächsten kommt.