Allgemeine Geschäftsbedingungen (AGB)

whitelisthacker UG (haftungsbeschränkt), Berlin (im Folgenden „Anbieter“) für die unter www.socialphishing.de angebotenen Dienste



§ 1 Leistungsgegenstand und Geltungsbereich

(1) Der Anbieter stellt dem Kunden einen Dienst über das Internet zur Verfügung, mit dem dieser individuelle Social-Awareness- bzw. Social-Phishing-Kampagnen aller Art (z.B. via E-Mail, Messenger-Dienst, SMS oder mit Hilfe mobiler Datenträger) planen und durchführen kann. Hierbei werden speziell erzeugte Inhalte an ausgewählte Mitarbeiter des Kunden gesendet. Die Inhalte sollen als Phishing-Versuch erkannt werden, worüber eine Auswertung erfolgt. Es gibt hierzu verschiedene Schwierigkeitsstufen und Möglichkeiten der Bearbeitung. Darüber hinaus können auch auf die Kampagnen abgestimmte Schulungsinhalte geplant und übersendet werden. Der Leistungs- und Funktionsumfang richtet sich im Übrigen nach dem vom Kunden gebuchten Paket. Der Anbieter entwickelt den Dienst laufend weiter und wird diesen durch laufende Updates und Upgrades verbessern.

(2) Der Anbieter wird dem Kunden ggf. E-Mail-, SMS- oder sonstige Vorlagen für die Durchführung seiner Kampagnen zur Verfügung stellen. Diese stellen eine freiwillige Zusatzleistung des Anbieters dar, auf die der Kunde keinen Anspruch hat. Die Vorlagen sind vom Kunden selbstständig für dessen Belange anzupassen. Der Anbieter haftet für die Inhalte dieser Vorlagen nur im Falle von Vorsatz oder grober Fahrlässigkeit.

(3) Der Anbieter ist nicht bereit und nicht berechtigt, Rechtsdienstleistungen zu erbringen. Er stellt als technischer Dienstleister lediglich die in diesen AGB beschriebenen softwarebasierten Dienste zur Verfügung. Es obliegt dem Kunden, die für die vertragsgegenständliche Nutzung der Dienste vorgeschriebenen rechtlichen Voraussetzungen in dem für ihn jeweils geltenden Rechtsraum zu gewährleisten. Der Kunde hat insbesondere eigenständig sicherzustellen, dass das Einpflegen der personenbezogenen Daten in das System des Anbieters von einer wirksamen Rechtsgrundlage gedeckt ist und alle rechtlichen Voraussetzungen (z. B. die Einbeziehung des Betriebsrats und sonstige arbeitsrechtliche Vorschriften) eingehalten werden.

(4) Von diesen Geschäftsbedingungen abweichende AGB, die durch den Kunden verwendet werden, erkennt der Anbieter – vorbehaltlich einer ausdrücklichen Zustimmung – ausdrücklich nicht an. Individuell vereinbarte Leistungen gehen den Regelungen dieser AGB vor.

(5) Es werden keine Verträge mit Verbrauchern / Privatpersonen geschlossen.


§ 2 Registrierung und Vertragsschluss

(1) Um den Dienst nutzen zu können, muss sich der Kunde auf der Plattform des Anbieters registrieren. Hierzu gibt er die als Pflichtangaben abgefragten Informationen vollständig und wahrheitsgemäß in das Online- Registrierungsformular ein. Durch die Registrierung kommt ein Nutzungsvertrag zwischen dem Kunden und dem Anbieter zustande. Dieser Nutzungsvertrag ist für beide Vertragsparteien jederzeit und ohne Einhaltung einer Frist kündbar, solange noch kein entgeltpflichtiges Paket gebucht wurde; sobald ein entgeltpflichtiges Paket gebucht worden ist, kann der Nutzungsvertrag nur zusammen mit dem Paket unter Einhaltung der unter „Laufzeit und Kündigung“ festgelegten Kündigungsfristen gekündigt werden.

(2) Nach der Registrierung kann der Kunde entgeltpflichtige Pakete mit erweitertem Leistungsumfang buchen. Hierzu muss er ein entsprechendes Angebot abgeben bzw. ein vom Anbieter angebotenes Paket auswählen. Die Annahme des Angebots erfolgt durch eine entsprechende Mitteilung des Anbieters.


§ 3 Laufzeit und Kündigung

(1) Entgeltpflichtige Pakete haben eine Mindestlaufzeit von 12 Monaten, sofern keine abweichende Vertragslaufzeit gebucht wird. Die Kündigungsfrist beträgt 4 Wochen zum Ende der Laufzeit. Wird der Vertrag nicht fristgerecht zum Laufzeitende gekündigt, verlängert er sich jeweils um die ursprünglich vereinbarte Laufzeit.

(2) Unentgeltliche Pakete (Free-Accounts) können jederzeit und ohne Einhaltung einer Frist gekündigt werden. Es wird darauf hingewiesen, dass Free- Accounts, die 12 Monate lang nicht für die Durchführung von Kampagnen – d.h. das Absenden der Phishing-Nachrichten oder Generierung von Phishing- Dateien auf einen mobilen Datenträger – genutzt wurden, mitsamt den darin enthaltenen Daten vom Anbieter gelöscht werden. Die Löschung des Free- Accounts stellt gleichzeitig eine Kündigung des Vertrags dar.

(3) Unberührt bleibt das Recht jeder Vertragspartei, den Vertrag aus wichtigem Grunde fristlos zu kündigen. Zur fristlosen Kündigung ist der Anbieter insbesondere berechtigt, wenn der Kunde fällige Zahlungen trotz Mahnung und Nachfristsetzung nicht leistet oder die vertraglichen Bestimmungen über die Nutzung des Dienstes verletzt.


§ 4 Preise und Zahlungsbedingungen

(1) Die Preise ergeben sich aus den gebuchten Paketen oder werden individualvertraglich vereinbart. Alle Preise verstehen sich vorbehaltlich abweichender Regelungen als Nettopreise zzgl. der gesetzlichen Umsatzsteuer. Entgelte für die vertragsgegenständlichen Leistungen sind jährlich im Voraus bis zum 1. Werktag des beginnenden Jahres und bei Neukunden am Tag des Vertragsschlusses fällig. Fällige und bezahlte Entgelte für nicht vollständig genutzte oder angefangene Leistungszeiträume (z. B. aufgrund von vorzeitiger Kündigung) werden nicht erstattet; gesetzlich zwingende Rückerstattungsansprüche – insb. aufgrund von zwingender Haftung, Rücktritt, Anfechtung oder Mängelgewährleistung – bleiben unberührt.

(2) Der Kunde hat dafür zu sorgen, dass die von ihm angegebenen Zahlungsdaten korrekt, vollständig und aktuell und zum Ausgleich der fälligen Entgelte geeignet sind (insb. ausreichende Kontodeckung bzw. Kreditrahmen). Kosten, die dem Anbieter aufgrund einer Unterdeckung, einem unzureichenden Kreditrahmen o. Ä. entstehen (z. B. durch Rücklastschriften), hat der der Kunde dem Anbieter zu erstatten. Rechnungen werden grundsätzlich als PDF- Dokument per E-Mail versandt.

(3) Im Falle des Zahlungsverzugs des Kunden ist der Anbieter zur Sperrung oder Löschung des Accounts berechtigt. Eine Löschung kommt insbesondere bei wiederholtem (nicht zwingend aufeinander folgendem) Zahlungsverzug in Betracht. Im Falle der Sperrung läuft die Vertragslaufzeit regulär weiter. Die geschuldete Summe ist entsprechend den gesetzlichen Regelungen im Bürgerlichen Gesetzbuch (BGB) zu verzinsen.


§ 5 Nutzungsrechte

(1) Der Anbieter räumt dem Kunden das nicht ausschließliche und nicht übertragbare Recht ein, den Dienst während der Dauer des Vertrages bestimmungsgemäß zu nutzen. Der Kunde darf den Dienst nur bearbeiten oder vervielfältigen, soweit dies durch die bestimmungsgemäße Benutzung des Dienstes laut jeweils aktueller Leistungsbeschreibung abgedeckt ist. Zur notwendigen Vervielfältigung zählt das Laden des Dienstes in den Arbeitsspeicher auf dem Server/Computer des Kunden, nicht jedoch die auch nur vorübergehende Installation oder das Speichern des Dienstes auf Datenträgern (wie etwa Festplatten o. Ä.) der vom Kunden eingesetzten Hardware. Die entgeltliche oder unentgeltliche Überlassung des Dienstes an Dritte ist dem Kunden nur gestattet, wenn und soweit dies ausdrücklich vereinbart wurde oder im Leistungsumfang des vom Kunden gebuchten Pakets enthalten ist. Im Übrigen ergeben sich die Nutzungsrechte aus dem jeweils gebuchten Paket.

(2) Vorbehaltlich abweichender Vereinbarungen kann der Kunde im Rahmen einer kostenlosen Nutzung (Free-Paket) probeweise ein Phishing-Szenario an maximal 5 Benutzer schicken. Das Free-Paket kann jederzeit in eine kostenpflichtige Version upgegradet werden.

(3) Die kostenpflichtigen Pakete und deren Funktionsumfang werden auf der Webseite des Anbieters dargestellt und können hier eingesehen werden.

(4) Der Kunde ist während der Laufzeit jederzeit zum Wechsel in ein Paket mit erweitertem Funktionsumfang berechtigt (Upgrade); das Upgrade hat keinen Einfluss auf die ursprüngliche geltende Mindestvertragslaufzeit. Ein Downgrade ist während der Vertragslaufzeit nicht möglich.

(5) Der Kunde hat bei der Bestellung darauf zu achten, dass er die erforderlichen Voraussetzungen für die Buchung des jeweiligen Pakets – insbesondere beim „Enterprise-Paket“ – erfüllt. Im Falle einer falschen Buchung ist der Anbieter berechtigt, den Vertrag fristlos aus wichtigem Grund zu kündigen oder den Kunden in das nächstniedrigere Paket downzugraden.


§ 6 Funktionsfehler und Support

(1) Der Anbieter beseitigt nach Maßgabe der technischen Möglichkeiten unverzüglich sämtliche Softwarefehler. Ein Softwarefehler liegt dann vor, wenn der Dienst die in der Leistungsbeschreibung angegebenen Funktionen nicht erfüllt, fehlerhafte Ergebnisse produziert oder in anderer Weise nicht funktionsgerecht arbeitet, so dass die Nutzung des Dienstes unmöglich oder eingeschränkt ist.

(2) Anwendungsprobleme oder Softwarefehler werden im Rahmen des Supports durch den Anbieter bearbeitet. Supportleistungen sind zum Zwecke der schnellstmöglichen Bearbeitung über die hierfür auf der Webseite des Anbieters vorgesehenen Kommunikationswege oder über das ggf. zur Verfügung stehende Ticket-System zu erfragen. Supportanfragen werden grundsätzlich während der regulären Geschäftszeiten grundsätzlich chronologisch, nach der Reihenfolge ihres Eingangs beim Anbieter bearbeitet. Dringende Supportanfragen außerhalb der regulären Geschäftszeiten können gegen eine separate Vergütung vereinbart werden. Der Anbieter behält sich das Recht vor, Premium-Supportbedingungen anzubieten, in deren Rahmen die betreffenden Kunden in Supportfällen priorisiert werden können.


§ 7 Unterbrechung / Beeinträchtigung der Erreichbarkeit

(1) Die Anpassungen, Änderungen und Ergänzungen des vertragsgegenständlichen Dienstes sowie Maßnahmen, die der Feststellung und Behebung von Funktionsstörungen dienen, werden nur dann zu einer vorübergehenden Unterbrechung oder Beeinträchtigung der Erreichbarkeit führen, wenn dies aus technischen Gründen zwingend notwendig ist.

(2) Die Überwachung der Grundfunktionen des Dienstes erfolgt täglich. Die Wartung des Dienstes ist grundsätzlich von Montag bis Freitag 09:00 – 18:00 Uhr gewährleistet. Bei schweren Fehlern – die Nutzung des Dienstes ist nicht mehr möglich bzw. ernstlich eingeschränkt – erfolgt die Wartung binnen 3 Stunden ab Kenntnis oder Information durch den Kunden. Der Anbieter wird den Kunden von den Wartungsarbeiten umgehend verständigen und den technischen Bedingungen entsprechend die Arbeiten in der möglichst kürzesten Zeit durchführen. Sofern die Fehlerbehebung nicht innerhalb von 12 Stunden möglich sein sollte, wird der Anbieter den Kunden davon binnen 24 Stunden unter Angabe von Gründen sowie des Zeitraums, der für die Fehlerbeseitigung voraussichtlich zu veranschlagen ist, per E-Mail verständigen.

(3) Die Verfügbarkeit der jeweils vereinbarten Dienste beträgt 98,5 % im Jahresdurchschnitt einschließlich Wartungsarbeiten, jedoch darf die Verfügbarkeit nicht länger als zwei Kalendertage in Folge beeinträchtigt oder unterbrochen sein.


§ 8 Pflichten des Kunden

(1) Der Kunde verpflichtet sich, auf dem zur Verfügung gestellten Speicherplatz keine rechtswidrigen, die Gesetze, behördlichen Auflagen oder Rechte Dritter verletzenden Inhalte abzulegen oder bei der Nutzung des Dienstes gegen gesetzliche Vorschriften zu verstoßen. Dies betrifft insbesondere, aber nicht ausschließlich, die datenschutzrechtlichen Vorschriften der DSGVO.

(2) Der Kunde ist verpflichtet, den unbefugten Zugriff Dritter auf die geschützten Bereiche des Dienstes durch geeignete Vorkehrungen zu verhindern. Zu diesem Zwecke wird der Kunde, soweit erforderlich, seine Mitarbeiter insbesondere auf die Einhaltung des Datenschutzrechts und sonstiger rechtlicher Bestimmungen hinweisen.

(3) Der Kunde ist verpflichtet, seine Daten und Informationen vor der Eingabe auf Viren oder sonstige schädliche Komponenten zu prüfen und hierzu dem Stand der Technik entsprechende Virenschutzprogramme einzusetzen.

(4) Der Kunde wird für den Zugriff auf die Nutzung des Dienstes selbst eine „User ID“ und ein Passwort generieren, die zur weiteren Nutzung des Dienstes erforderlich sind. Der Kunde ist verpflichtet, „User ID“ und Passwort geheim zu halten und Dritten gegenüber nicht zugänglich zu machen.

(5) Im Falle eines Verstoßes gegen die Pflichten dieser Ziffer ist der Anbieter zur fristlosen Kündigung des Vertrags (außerordentliche Kündigung) oder zur Sperrung des Accounts oder zur Löschung einzelner Inhalte berechtigt. Die jeweilige Sanktionsmaßnahme steht im freien Ermessen des Anbieters, wobei dieser jedoch Art und Schwere des Verstoßes berücksichtigt.


§ 9 Mängelgewährleistung und Haftung

(1) Der Anbieter garantiert die Funktions- und die Betriebsbereitschaft des Dienstes nach den Bestimmungen dieses Vertrages.

(2) Für den Fall, dass Leistungen des Anbieters von unberechtigten Dritten unter Verwendung der Zugangsdaten des Kunden in Anspruch genommen werden, haftet der Kunde für dadurch anfallende Entgelte im Rahmen der zivilrechtlichen Haftung bis zum Eingang des Kundenauftrages zur Änderung der Zugangsdaten oder der Meldung des Verlusts oder Diebstahls, sofern den Kunden am Zugriff des unberechtigten Dritten ein Verschulden trifft.

(3) Der Anbieter ist zur sofortigen Sperrung des Accounts berechtigt, wenn der begründete Verdacht besteht, dass die gespeicherten Daten rechtswidrig sind und/oder Rechte Dritter verletzen. Ein begründeter Verdacht für eine Rechtswidrigkeit und/oder eine Rechtsverletzung liegt insbesondere dann vor, wenn Gerichte, Behörden und/oder sonstige Dritte den Anbieter davon in Kenntnis setzen. Der Anbieter hat den Kunden von der Sperrung und dem Grund hierfür unverzüglich zu verständigen. Die Sperrung ist aufzuheben, sobald der Verdacht entkräftet ist.

(4) Schadensersatzansprüche gegen den Anbieter sind unabhängig vom Rechtsgrund ausgeschlossen, es sei denn, der Anbieter, seine gesetzlichen Vertreter oder Erfüllungsgehilfen haben vorsätzlich oder grob fahrlässig gehandelt. Für leichte Fahrlässigkeit haftet der Anbieter nur, wenn eine der vertragswesentlichen Pflichten durch den Anbieter, seine gesetzlichen Vertreter oder leitende Angestellte oder Erfüllungsgehilfen verletzt wurde. Der Anbieter haftet dabei nur für vorhersehbare Schäden, mit deren Entstehung typischerweise gerechnet werden muss. Vertragswesentliche Pflichten sind solche Pflichten, die die Grundlage des Vertrags bilden, die entscheidend für den Abschluss des Vertrags waren und auf deren Erfüllung der Kunde vertrauen darf.

(5) Für den Verlust von Daten haftet der Anbieter insoweit nicht, als der Schaden darauf beruht, dass es der Kunde unterlassen hat, Datensicherungen durchzuführen und dadurch sicherzustellen, dass verloren gegangene Daten mit vertretbarem Aufwand wiederhergestellt werden können.

(6) Der Anbieter haftet unbeschränkt für vorsätzlich oder fahrlässig verursachte Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit durch den Anbieter, seine gesetzlichen Vertreter oder Erfüllungsgehilfen.


§ 10 Sicherung von Daten

(1) Die vom Kunden im Rahmen des Dienstes verwendeten Daten (E-Mail- Adressen, Ergebnisse von Phishing-Kampagnen etc.), werden vom Anbieter für die Dauer des Vertrags auf dessen Servern gespeichert. Die Daten werden spätestens vier Wochen nach Beendigung des Vertrags gelöscht. Der Kunde kann eine frühere Löschung verlangen. Gesetzliche Aufbewahrungsfristen bleiben unberührt.

(2) Der Anbieter ist berechtigt, die Ergebnisse aus abgelaufenen Phishing- Kampagnen nach Ablauf eines Jahres zu löschen. Hierüber wird er den Kunden spätestens zwei Wochen vor der geplanten Löschung informieren. Es obliegt dem Kunden, seine Daten anderweitig zu sichern. Sofern der Kunde Einwände gegen die Löschung hat, sind diese innerhalb der Zwei-Wochen-Frist vorzutragen.


§ 11 Datenschutz

(1) Es wird darauf hingewiesen, dass der Einsatz von Phishing-Test-Diensten zur Mitarbeiterüberprüfung rechtlich noch nicht abschließend geklärt ist. Der Einsatz des Dienstes im Unternehmen sollte mit einem auf Datenschutz- und Arbeitsrecht spezialisierten Anwalt und mit einem gegebenenfalls bestehenden Betriebsrat abgestimmt werden.

(2) Beide Vertragsparteien verpflichten sich, einen – vom Anbieter zu stellenden – Vertrag nach Art. 28 DSGVO (AV-Vertrag) vor Beginn der Leistungserbringung abzuschließen. Die Vorschriften zur Auftragsverarbeitung und der geschlossene Auftragsverarbeitungsvertrag bleiben von dieser Ziffer im Übrigen unberührt.


§ 12 Schlussbestimmungen


(1) Die zwischen dem Anbieter und den Kunden geschlossenen Verträge unterliegen dem materiellen Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

(2) Sofern der Kunde Kaufmann ist oder keinen allgemeinen Gerichtsstand in Deutschland hat, vereinbaren die Parteien den Sitz des Anbieters als Gerichtstand für sämtliche Streitigkeiten, die aus dem vorliegenden Vertragsverhältnis resultieren. Satz 1 gilt nicht, wenn für die Streitigkeit ein ausschließlicher Gerichtsstand begründet wird.

(3) Der Anbieter ist berechtigt, diese AGB aus sachlich gerechtfertigten Gründen (z. B. Änderungen in der Rechtsprechung, Gesetzeslage, Marktgegebenheiten oder Unternehmensstrategie) und unter Einhaltung einer angemessenen Frist zu ändern. Bestehende Vertragspartner werden hierüber spätestens zwei Wochen vor Inkrafttreten der Änderung per E-Mail benachrichtigt. Sofern der bestehende Vertragspartner nicht innerhalb der in der Änderungsmitteilung gesetzten Frist widerspricht, gilt seine Zustimmung zur Änderung als erteilt. Die Benachrichtigung über die beabsichtigte Änderung dieser AGB wird auf die Frist und die Folgen des Widerspruchs oder seines Ausbleibens hinweisen.

 

Stand: 26.04.2019