·RECHTLICHES

Allgemeine Geschäftsbedingungen

Version 01.01 · Stand: 01.03.2026 · Geltend für alle Leistungen der GermanAI Defense GmbH.

A. Allgemeine Bestimmungen

I. Geltungsbereich

  1. Nachfolgende Geschäftsbedingungen (AGB) gelten für alle Angebote, Leistungen und Verträge der GermanAI Defense GmbH (nachfolgend „Anbieter").
  2. Die AGB gelten insbesondere für folgende Leistungen:
    • Penetration Testing
    • Security Operations Center (SOC) Dienstleistungen
    • IT-Sicherheits- und ISMS-Beratung
    • Datenschutzberatung
    • KI-basierte Sicherheitsanalysen
  3. Diese Bedingungen gelten ausschließlich gegenüber Unternehmern im Sinne des § 310 Abs. 1 BGB.
  4. Entgegenstehende oder abweichende Bedingungen des Kunden werden nicht anerkannt.

II. Vertragsinhalt

  1. Angebote sind freibleibend und unverbindlich.
  2. Ein Vertrag kommt erst durch schriftliche Bestätigung zustande.
  3. Maßgeblich für den Leistungsumfang ist ausschließlich:
    • das Angebot
    • die Leistungsbeschreibung
    • die Auftragsbestätigung

III. Leistungserbringung

  1. Die Leistungen werden nach dem Stand der Technik und nach dem „Best Effort"-Prinzip erbracht.
  2. Eine vollständige Sicherheit von IT-Systemen kann nicht garantiert werden.
  3. Der Anbieter ist berechtigt, Dritte (z. B. Freelancer) zur Leistungserbringung einzusetzen.
  4. Der Einsatz von KI erfolgt unterstützend. Ergebnisse können unvollständig oder fehlerhaft sein.

IV. Mitwirkungspflichten des Kunden

  1. Der Kunde stellt alle erforderlichen Informationen, Systeme und Zugänge bereit.
  2. Der Kunde benennt einen Ansprechpartner mit Entscheidungsbefugnis.
  3. Der Kunde ist für regelmäßige Datensicherung verantwortlich.
  4. Verzögerungen durch fehlende Mitwirkung gehen nicht zulasten des Anbieters.

V. Preise und Vergütung

  1. Alle Preise verstehen sich netto zzgl. gesetzlicher MwSt.
  2. Rechnungen sind innerhalb von 14 Tagen zahlbar.
  3. Bei Zahlungsverzug gelten die gesetzlichen Vorschriften (§ 288 BGB).
  4. Leistungen nach Aufwand werden monatlich abgerechnet.

VI. Besondere Bestimmungen für Sicherheitsdienstleistungen

1. Penetration Testing

  • Tests können zu Systembeeinträchtigungen führen.
  • Der Kunde stimmt dem ausdrücklich zu.
  • Tests erfolgen ausschließlich im vereinbarten Scope.

2. SOC-Dienstleistungen

  • Es besteht keine Garantie, dass alle Angriffe erkannt werden.
  • Die Analyse basiert auf vorhandenen Daten und Systemen.

3. KI-basierte Analysen

  • KI kann fehlerhafte Ergebnisse liefern.
  • Entscheidungen dürfen nicht ausschließlich automatisiert erfolgen.

VII. Verfügbarkeit

  1. Eine durchgehende Verfügbarkeit wird nicht garantiert.
  2. Wartung und technische Störungen können auftreten.

VIII. Haftung

  1. Der Anbieter haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit sowie bei Schäden an Leben, Körper oder Gesundheit.
  2. Bei leichter Fahrlässigkeit haftet der Anbieter nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten).
  3. Die Haftung ist auf den vertragstypischen, vorhersehbaren Schaden begrenzt.
  4. Die maximale Haftung ist, soweit gesetzlich zulässig, auf die Höhe der vertraglich vereinbarten Vergütung beschränkt.
  5. Eine Haftung für
    • entgangenen Gewinn,
    • indirekte Schäden,
    • Folgeschäden
    ist ausgeschlossen.
  6. Es besteht keine Haftung dafür, dass
    • Sicherheitslücken vollständig erkannt werden,
    • Angriffe verhindert werden.
  7. Der Anbieter haftet nicht für Schäden aufgrund unzureichender Datensicherung des Kunden.

IX. Datenschutz

  1. Die Verarbeitung personenbezogener Daten erfolgt gemäß DSGVO.
  2. Soweit erforderlich, wird eine Auftragsverarbeitungsvereinbarung (AVV) abgeschlossen.

X. Vertraulichkeit

  1. Beide Parteien verpflichten sich zur Geheimhaltung.
  2. Dies gilt auch nach Vertragsende.

XI. Vertragslaufzeit und Kündigung

  1. Die Vertragslaufzeit ergibt sich aus dem jeweiligen Vertrag.
  2. Sofern nichts anderes vereinbart ist, beträgt die Kündigungsfrist 30 Tage.
  3. Das Recht zur außerordentlichen Kündigung bleibt unberührt.

XII. Schlussbestimmungen

  1. Es gilt deutsches Recht.
  2. Gerichtsstand ist der Sitz des Anbieters.
  3. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.

Version 01.01 · öffentlich · Datum: 01.03.2026

Annex 1. Penetration Testing Services

Anhang zu den AGB der GermanAI Defense GmbH

1. Gegenstand

  1. Dieser Anhang regelt die Durchführung von Penetrationstests durch die GermanAI Defense GmbH (nachfolgend „Anbieter").
  2. Der konkrete Umfang der Tests („Scope") wird im jeweiligen Angebot oder in der Leistungsbeschreibung definiert.

2. Autorisierung

  1. Der Kunde bestätigt, dass er
    • Eigentümer der zu testenden Systeme ist oder
    • zur Durchführung der Tests ausdrücklich berechtigt ist.
  2. Der Kunde erteilt dem Anbieter ausdrücklich die Genehmigung, die vereinbarten Systeme aktiv zu testen.
  3. Diese Genehmigung umfasst insbesondere
    • das gezielte Ausnutzen von Sicherheitslücken,
    • das Simulieren von Angriffen,
    • das Durchführen technischer Sicherheitsanalysen.

3. Umfang der Tests (Scope)

  1. Der Anbieter führt ausschließlich Tests innerhalb des vereinbarten Scopes durch.
  2. Systeme außerhalb des Scopes werden nicht getestet.
  3. Änderungen des Scopes bedürfen der schriftlichen Vereinbarung.

4. Art der Tests

  1. Penetrationstests können aktive Eingriffe in Systeme beinhalten.
  2. Je nach Vereinbarung können folgende Testarten durchgeführt werden:
    • Blackbox
    • Greybox
    • Whitebox
  3. Der Anbieter ist berechtigt, automatisierte sowie manuelle Testverfahren einzusetzen.

5. Risiken und Nebenwirkungen

  1. Der Kunde ist sich bewusst, dass Penetrationstests zu folgenden Auswirkungen führen können:
    • Systemausfälle
    • Performance-Einbußen
    • Datenverlust oder Datenveränderungen
    • Unterbrechungen von Diensten
  2. Der Kunde akzeptiert diese Risiken ausdrücklich.
  3. Der Anbieter trifft Maßnahmen, um Risiken zu minimieren, kann diese jedoch nicht vollständig ausschließen.

6. Mitwirkungspflichten des Kunden

Der Kunde verpflichtet sich insbesondere zu:

  • Sicherstellung von Backups vor Testbeginn
  • Bereitstellung von Ansprechpartnern
  • Information über kritische Systeme
  • Definition von Testzeitfenstern (z. B. außerhalb der Geschäftszeiten)

7. Haftungsausschluss / Haftungsbeschränkung

  1. Der Anbieter haftet nicht für Schäden, die aus den vereinbarten und autorisierten Testhandlungen resultieren, soweit diese nicht auf Vorsatz oder grober Fahrlässigkeit beruhen.
  2. Insbesondere besteht keine Haftung für
    • Systemausfälle,
    • Betriebsunterbrechungen,
    • Datenverluste,
    • Folgeschäden.
  3. Der Kunde erkennt an, dass das gezielte Ausnutzen von Schwachstellen Bestandteil des Tests ist.

8. Testzeitraum

  1. Der Test wird innerhalb des vereinbarten Zeitraums durchgeführt.
  2. Der Anbieter ist berechtigt, Tests außerhalb der üblichen Geschäftszeiten durchzuführen, sofern dies vereinbart ist.

9. Dokumentation und Reporting

  1. Nach Abschluss des Tests erhält der Kunde einen Bericht mit
    • identifizierten Schwachstellen,
    • Risikobewertung,
    • Handlungsempfehlungen.
  2. Der Bericht dient ausschließlich internen Sicherheitszwecken.

10. Vertraulichkeit

  1. Alle im Rahmen des Tests gewonnenen Informationen werden vertraulich behandelt.
  2. Eine Weitergabe an Dritte erfolgt nur mit Zustimmung des Kunden oder aufgrund gesetzlicher Verpflichtungen.

11. Responsible Disclosure

  1. Der Anbieter verpflichtet sich, gefundene Schwachstellen ausschließlich dem Kunden zu melden.
  2. Eine Veröffentlichung erfolgt nur nach vorheriger schriftlicher Zustimmung des Kunden.

12. Schlussbestimmungen

  1. Dieser Anhang ist Bestandteil der AGB der GermanAI Defense GmbH.
  2. Im Falle von Widersprüchen gehen die Regelungen dieses Anhangs den allgemeinen AGB vor.

Version 01.01 · öffentlich · Datum: 01.03.2026