Cookie Preferences
By clicking, you agree to store cookies on your device to enhance navigation, analyze usage, and support marketing.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Gültig ab: 23.03.2026
1.1 Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“) gelten für alle Verträge zwischen der Infinitas Security GmbH, mit Sitz in München, Deutschland (nachfolgend „Infinitas Security“), und ihrem Kunden (nachfolgend „Kunde“) über die Nutzung der Software-as-a-Service-Plattform „Infinitas CyberPilot“ sowie sonstige von Infinitas Security im Zusammenhang hiermit erbrachte Leistungen und mit Infinitas Security abgeschlossene Verträge.
1.2 Kunde im Sinne dieser AGB ist ausschließlich ein Unternehmer im Sinne von § 14 BGB, eine juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen. Verbraucher im Sinne von § 13 BGB sind als Vertragspartner ausgeschlossen.
1.3 Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen des Kunden werden nicht Vertragsbestandteil, es sei denn, Infinitas Security hat deren Geltung ausdrücklich und schriftlich zugestimmt. Dieses Zustimmungserfordernis gilt in jedem Fall, beispielsweise auch dann, wenn Infinitas Security in Kenntnis der allgemeinen Geschäftsbedingungen des Kunden Leistungen vorbehaltlos erbringt.
2.1 Vertragsgegenstand ist die Nutzung der Plattform Infinitas CyberPilot über das Internet (SaaS) einschließlich etwaiger zugehöriger Module und Funktionen sowie die Erbringung begleitender Dienstleistungen (z. B. Support, Schulungen, Einführungsunterstützung), jeweils gemäß dem zwischen den Parteien geschlossenen Vertrag, den Nutzungsbedingungen, Leistungsbeschreibungen und Preislisten in ihrer zum Zeitpunkt des Vertragsschlusses gültigen Fassung.
2.2 Der genau geschuldete Leistungsumfang ergibt sich vorrangig aus dem jeweiligen Einzelvertrag bzw. der Bestellbestätigung und der dort in Bezug genommenen Leistungsbeschreibung. Dabei gilt die folgende Rangfolge:
- der zwischen den Parteien geschlossene Einzelvertrag
- diese AGB in dem am Tag des Vertragsabschlusses gültigen Fassung
3.1 Der Vertrag kommt mit Abschluss des Bestellprozesses über die Website von Infinitas Security durch den Kunden oder mit Beginn der kostenpflichtigen Leistungserbringung durch Infinitas Security zustande, je nachdem, welches Ereignis zuerst eintritt.
3.2 Leistungstermine, Fristen und Bereitstellungstermine sind nur verbindlich, wenn sie als solche ausdrücklich bezeichnet sind.
4.1 Infinitas Security stellt dem Kunden einen Zugang zum Infinitas CyberPilot als SaaS-Plattform zur Planung, Steuerung und Nachverfolgung von Verbesserungen der Informationssicherheit zur Verfügung.
4.2 Infinitas Security erbringt die Leistungen nach dem Stand der Technik. Soweit nicht ausdrücklich abweichend vereinbart, handelt es sich um Dienstleistungen zur Unterstützung des Kunden in dessen alleiniger Verantwortung. Infinitas Security schuldet keinen bestimmten wirtschaftlichen Erfolg, keine Erreichung eines bestimmten Reifegrads und keine Ergebnisse in einem bestimmten Umfang. Insbesondere schuldet Infinitas Security kein bestimmtes Sicherheitsniveau und keine Freiheit von Sicherheitslücken. Beratungs- und Vorschlagsinhalte, einschließlich solcher der KI-Assistenz, beruhen regelmäßig auf Annahmen, Schätzungen und vom Kunden bereitgestellten Informationen und sind durch den Kunden eigenverantwortlich zu prüfen. Diese begründen weder eine Garantie noch eine Zusicherung bestimmter Eigenschaften oder eine Beschaffenheitsvereinbarung im Rechtssinne.
4.3 Infinitas Security ist berechtigt, Leistungen, Funktionen oder technische Schnittstellen anzupassen, soweit hierfür sachliche Gründe bestehen, die außerhalb des Einflussbereichs von Infinitas Security liegen (z. B. Anforderungen von Dritten, Sicherheitsanforderungen, rechtliche Vorgaben oder gesetzliche Änderungen) und sich die vereinbarten Entgelte dadurch nicht um mehr als 10 % verändern. Der Kunde wird über wesentliche Änderungen mindestens zwei Wochen vor Eintreten der wesentlichen Änderung informiert. Der Kunde hat das Recht einer Entgeltänderung zu widersprechen. Widerspricht der Kunde der Entgeltänderung, treten die Parteien innerhalb von 10 (zehn) Werktagen (Werktag: Montag – Freitag) in Verhandlungen über die Anpassung der Entgelte ein. Sollten die Parteien sich nicht binnen zwanzig (20) Werktagen nach Eintritt in die Verhandlungen über eine Entgeltanpassung einigen, kann Infinitas Security den Vertrag mit einer Frist von zehn (10) Werktagen nach dem Tag, an dem eine der Parteien das Scheitern der Verhandlungen erklärt hat, außerordentlich kündigen. Die Kündigung ist binnen fünf (5) Werktagen nach dem Scheitern der Verhandlungen zu erklären. Zur Einhaltung der Erklärungsfrist ist es ausreichend, wenn vorab eine Kopie der Kündigungserklärung in elektronischer Form zugeht. Benutzeroberflächen oder bloße Änderungen an den Systemumgebungen kann Infinitas Security jederzeit anpassen.
4.4 Infinitas Security ist berechtigt, sich zur Leistungserbringung geeigneter Dritter (Subunternehmer) zu bedienen. Infinitas Security bleibt gegenüber dem Kunden für die Vertragserfüllung verantwortlich.
4.5 Infinitas Security bietet bestimmte Leistungen unentgeltlich an. Auf kostenlose Leistungen besteht kein Anspruch. Infinitas Security ist berechtigt, Umfang, Funktionsweise oder Verfügbarkeit kostenloser Leistungen jederzeit zu ändern, einzuschränken oder einzustellen.
5.1 Infinitas Security stellt den CyberPilot in einer dem Vertragszweck entsprechenden Verfügbarkeit bereit. Geplante Wartungsarbeiten werden – soweit möglich – außerhalb der üblichen Geschäftszeiten durchgeführt und dem Kunden mit angemessener Frist angekündigt.
5.2 Bei Störungen erbringt Infinitas Security einen angemessenen Standard-Support an Werktagen während der üblichen Geschäftszeiten.
6.1 Der Kunde erbringt alle erforderlichen Bereitstellungs- und Mitwirkungsleistungen rechtzeitig, im erforderlichen Umfang und unentgeltlich. Hierzu gehören insbesondere die Bereitstellung erforderlicher Informationen, Daten und Systeme.
6.2 Der Kunde gewährleistet, dass die von ihm bereitgestellten Daten und Dateien technisch und inhaltlich einwandfrei und frei von Schadsoftware sind. Verstößt der Kunde gegen diese Pflicht, hat er Infinitas Security die hierdurch entstehenden Schäden und Aufwendungen zu ersetzen.
6.3 Der Kunde garantiert in der Form eines selbstständigen Garantieversprechens, über sämtliche Rechte, Daten und Informationen, die zur Durchführung des Vertrages erforderlich sind, frei verfügen zu können, ohne Rechte Dritter zu verletzen. Er garantiert, keine rechtswidrigen oder gegen behördliche bzw. gesetzliche Verbote verstoßenden Inhalte zu übermitteln oder verarbeiten zu lassen.
6.4 Der Kunde verwaltet Zugangsdaten und Authentifizierungsmittel vertraulich und schützt diese vor dem Zugriff unbefugter Dritter. Zugänge dürfen nur von den jeweils berechtigten Nutzern verwendet werden. Der Kunde ist verpflichtet, Infinitas Security unverzüglich über vermutete Missbräuche oder Sicherheitsvorfälle zu informieren.
6.5 Der Kunde ist für die inhaltliche Prüfung, Plausibilisierung und Umsetzung sämtlicher im CyberPilot bereitgestellter Hinweise, Bewertungen, Maßnahmenvorschläge und Planungen in eigener Verantwortung zuständig. Entscheidungen über Sicherheitsmaßnahmen, Budgets, Prioritäten und Roadmaps liegen allein beim Kunden. Dem Kunden ist bekannt, dass trotz Analyse und Beratung ein unvermeidbares Restrisiko verbleibt, da sich Bedrohungslagen, Angriffsmethoden und technische Rahmenbedingungen fortlaufend verändern.
7.1 Der Kunde erhält für die Dauer des Vertrages das einfache, nicht ausschließliche, nicht übertragbare und nicht unterlizenzierbare Recht, den Infinitas CyberPilot im vertraglich vereinbarten Umfang über das Internet zu nutzen. Das Nutzungsrecht ist auf die im Vertrag definierte Nutzeranzahl und Zwecke beschränkt. Reverse Engineering, Dekompilierung und sonstige Eingriffe sind verboten, außer es ist gesetzlich zwingend erlaubt. Der Kunde darf technische Schutzmaßnahmen nicht umgehen.
7.2 Soweit im Rahmen der Leistungserbringung durch Infinitas Security außerhalb der Plattform eigenständige Arbeitsergebnisse, Auswertungen oder Dokumente entstehen und nicht bereits als Bestandteil der SaaS-Leistung lizenziert sind, erhält der Kunde hieran – aufschiebend bedingt durch die vollständige Zahlung der vereinbarten Vergütung – ein einfaches, übertragbares, zeitlich, räumlich und inhaltlich unbeschränktes Nutzungsrecht für alle bekannten Nutzungsarten, soweit nicht abweichend vereinbart.
7.3 Open-Source-Komponenten innerhalb der Plattform unterliegen den jeweils anwendbaren Open-Source-Lizenzen, die im Rahmen der Dokumentation ausgewiesen werden. Deren Bestimmungen gehen für die jeweiligen Komponenten vor.
7.4 Erteilt der Kunde Infinitas Security freiwillig Feedback, Ideen oder Verbesserungsvorschläge, räumt er Infinitas Security hieran ein unentgeltliches, nicht ausschließliches, zeitlich und räumlich unbeschränktes Nutzungsrecht zur Nutzung, Bearbeitung und Verwertung ein.
An körperlichen Gegenständen (z. B. Unterlagen) sowie an einzuräumenden Rechten behält sich Infinitas Security bis zur vollständigen Bezahlung der geschuldeten Vergütung das Eigentum bzw. die Rechte vor. Vorbehaltlich zwingender gesetzlicher Bestimmungen ist der Weiterverkauf oder die Verpfändung vor vollständiger Zahlung unzulässig.
9.1 Alle Preise verstehen sich als Nettopreise zuzüglich der jeweils geltenden gesetzlichen Umsatzsteuer und etwaiger Nebenkosten gemäß der im Einzelvertrag festgelegten Preise.
9.2 Wenn die Parteien eine monatliche Zahlung vereinbart haben, sind die Zahlungen monatlich im Voraus fällig. Haben die Parteien eine jährliche Zahlung vereinbart, so ist diese im Ganzen und zu Beginn der Jahresperiode im Voraus fällig. Eine Vergütung nach Aufwand (z. B. Beratungsleistungen) wird bei Vertragsschluss bestimmt und nach den vereinbarten Sätzen abgerechnet.
9.3 Rechnungen sind auf das in der Rechnung angegebene Konto zu zahlen und müssen spätestens am zehnten Tag nach Zugang der Rechnung gutgeschrieben sein. Bei SEPA-Lastschrift erfolgt die Abbuchung nicht vor dem siebten Tag nach Zugang der Rechnung. Kosten zurückgereichter Lastschriften, die der Kunde zu vertreten hat, trägt der Kunde.
9.4 Ein Aufrechnungsrecht steht dem Kunden nur zu, soweit seine Gegenforderung rechtskräftig festgestellt oder unbestritten ist. Zurückbehaltungsrechte stehen dem Kunden nur wegen Gegenansprüchen aus demselben Vertragsverhältnis zu.
9.5 Bei Zahlungsverzug ist Infinitas Security berechtigt, Verzugszinsen in Höhe von neun Prozentpunkten über dem Basiszinssatz sowie eine Verzugspauschale von EUR 40 zu verlangen. Der Kunde kann einen geringeren Schaden nachweisen. Die Geltendmachung weitergehender Verzugsschäden und sonstiger Rechte bleibt unberührt.
9.6 Die Zahlungsabwicklung kann auch über externe Zahlungsdienstleister erfolgen. Je nach gewählter Zahlungsart können zusätzliche Vertragsbeziehungen zwischen dem Kunden und dem Zahlungsdienstleister entstehen. In diesem Fall gelten ergänzend die Geschäftsbedingungen des externen Zahlungsdienstleisters. Bei Auswahl bestimmter Zahlungsarten können die Zahlungsdiensteanbieter eine Bonitätsprüfung durchführen. Weitere Informationen hierzu sowie die geltenden Bedingungen sind im Rahmen des Bestellprozesses einsehbar.
Beanstandungen gegen die Höhe oder den Inhalt von Rechnungen sind unverzüglich nach Zugang der Rechnung geltend zu machen und müssen Infinitas Security innerhalb von acht Wochen ab Rechnungszugang zugehen. Unterbleibt eine rechtzeitige Beanstandung, gilt die Rechnung als genehmigt. Gesetzliche Ansprüche des Kunden bleiben hiervon unberührt.
Infinitas Security ist berechtigt, diese AGB sowie Leistungsbeschreibungen mit Wirkung für die Zukunft zu ändern, soweit hierfür ein sachlicher Grund besteht (z. B. Anpassung an Gesetzeslage, Rechtsprechung, Sicherheitsanforderungen, Marktgegebenheiten) und die Änderungen dem Kunden unter Einhaltung einer angemessenen Frist in Textform mitgeteilt werden. Änderungen zuungunsten des Kunden werden frühestens zwei Monate nach Mitteilung wirksam. Der Kunde hat das Recht, Änderungen zu widersprechen. Widerspricht der Kunde fristgerecht, können beide Parteien den Vertrag zum Zeitpunkt des Inkrafttretens der Änderung außerordentlich kündigen. Widerspricht der Kunde nicht, gelten die Änderungen als genehmigt.
12.1 Gerät der Kunde mit zwei aufeinanderfolgenden monatlichen Zahlungen oder einem nicht unerheblichen Teil davon in Verzug oder in einem Zeitraum, der sich über mehr als zwei Termine erstreckt, mit einem Betrag in Verzug, der die Entgelte für zwei Monate erreicht, ist Infinitas Security berechtigt, das Vertragsverhältnis aus wichtigem Grund fristlos zu kündigen. Weitergehende Rechte wegen Zahlungsverzugs bleiben unberührt.
12.2 Infinitas Security kann bei Zahlungsverzug oder bei erheblichen Pflichtverletzungen des Kunden nach vorheriger Androhung die Leistungen ganz oder teilweise sperren, bis der vertragsgemäße Zustand wiederhergestellt ist. Die Entgeltpflicht des Kunden bleibt während einer berechtigten Sperre bestehen.
13.1 Infinitas Security gewährleistet, dass die vertraglich vereinbarten Beschaffenheitsmerkmale im Wesentlichen eingehalten werden. Der Kunde hat erkennbare Mängel unverzüglich nach Kenntnis anzuzeigen. § 377 HGB findet entsprechende Anwendung.
13.2 Infinitas Security übernimmt keine Garantien, insbesondere nicht hinsichtlich bestimmter Beschaffenheiten oder Eigenschaften, es sei denn, eine solche wurde ausdrücklich und schriftlich als Garantie bezeichnet. Es besteht keine Garantie für die Repräsentativität, Vollständigkeit, Fehlerfreiheit oder Aktualität von Ergebnissen, Auswertungen oder Empfehlungen. Infinitas Security übernimmt keine Gewähr oder Garantie dafür, dass die IT-Systeme, Netzwerke oder organisatorischen Strukturen des Kunden frei von Schwachstellen sind oder bleiben oder dass Cyberangriffe, Datenverluste oder sonstige IT-Sicherheitsvorfälle verhindert werden können.
13.3 Bei nachgewiesenen Mängeln ist Infinitas Security nach eigener Wahl zur Nacherfüllung durch erneute, mangelfreie Leistung oder Mangelbeseitigung berechtigt. Infinitas Security stehen hierfür mindestens zwei Versuche zu. Schlägt die Nacherfüllung endgültig fehl, kann der Kunde die Vergütung mindern oder, bei nicht nur unerheblichem Mangel, vom Vertrag zurücktreten; das Recht zur Geltendmachung von Schadensersatz bleibt nach Maßgabe dieser AGB unberührt. Infinitas Security trägt die für die Nacherfüllung erforderlichen Aufwendungen nur, sofern sich nachträglich herausstellt, dass tatsächlich ein Mangel vorlag.
14.1 Infinitas Security haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit, bei schuldhafter Verletzung von Leben, Körper oder Gesundheit, bei Übernahme einer Garantie, sowie nach den Vorschriften des Produkthaftungsgesetzes.
14.2 Für leichte Fahrlässigkeit haftet Infinitas Security – außer im Falle der Verletzung des Lebens, des Körpers oder der Gesundheit – nur sofern wesentliche Vertragspflichten (Kardinalpflichten) verletzt werden. Kardinalpflichten sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf. Die Haftung ist in diesem Fall begrenzt auf vertragstypische und vorhersehbare Schäden.
14.3 Eine weitergehende Haftung ist ausgeschlossen, sofern nichts anderes schriftlich vereinbart ist.
14.4 Außer in den in Ziffer 14.1 genannten Fällen ist die Haftung von Infinitas Security der Höhe nach auf das Zweifache der im jeweiligen Projekt oder Vertragsjahr vereinbarten Vergütung begrenzt.
14.5 Die vorstehende Haftungsbeschränkung gilt auch für die persönliche Haftung der Mitarbeiter, Vertreter und Organe von Infinitas Security.
14.6 Vertragliche und außervertragliche Ansprüche gegen Infinitas Security, die auf einem Mangel beruhen, müssen innerhalb eines Jahres nach ihrer Entstehung geltend gemacht werden.
15.1 Berichte, Präsentationen, Stellungnahmen oder sonstige Arbeitsergebnisse von Infinitas Security stellen keine Zertifizierung, kein Audit mit Testatcharakter und keine rechtsverbindliche Bestätigung eines bestimmten Sicherheitsniveaus dar, sofern dies nicht ausdrücklich schriftlich als solche vereinbart wurde.
15.2 Bezeichnungen, Zusammenfassungen oder Bewertungen wie „angemessen“, „ordnungsgemäß“, „regelkonform“, „sicher“ oder vergleichbare Formulierungen stellen ausschließlich eine fachliche Einschätzung zum jeweiligen Prüfzeitpunkt dar und begründen weder eine Garantie noch eine verschuldensunabhängige Haftung oder ein dauerhaft geschuldetes Sicherheitsniveau.
15.3 Angaben in Angeboten, Präsentationen, Informationsmaterialien, auf Webseiten oder in sonstigen vertrieblichen Unterlagen von Infinitas Security stellen keine Beschaffenheitsvereinbarung und keine Garantie dar, sofern sie nicht ausdrücklich schriftlich als verbindliche Garantie bezeichnet sind.
15.4 Die Leistungen beziehen sich ausschließlich auf die zum jeweiligen Leistungszeitpunkt erkennbaren und bewertbaren Risiken. Eine Haftung für zukünftige, zum Zeitpunkt der Leistungserbringung nicht erkennbar oder neuartige Angriffsmethoden ist - vorbehaltlich der Regelung in Ziffer 14 - ausgeschlossen.
16.1 Die Parteien verpflichten sich, alle ihnen im Rahmen der Zusammenarbeit bekannt werdenden, als vertraulich gekennzeichneten oder erkennbar vertraulichen Informationen der jeweils anderen Partei, einschließlich Geschäfts- und Betriebsgeheimnissen im Sinne des Geschäftsgeheimnisgesetzes, streng vertraulich zu behandeln, ausschließlich für vertragliche Zwecke zu verwenden und Dritten nur offenzulegen, soweit dies zur Vertragserfüllung erforderlich ist oder eine gesetzliche Verpflichtung besteht.
16.2 Subunternehmer von Infinitas Security gelten nicht als Dritte, sofern diese entsprechend zur Vertraulichkeit verpflichtet sind.
16.3 Die Geheimhaltungspflicht wirkt über die Beendigung des Vertrages hinaus.
17.1 Soweit Infinitas Security im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Kunden verarbeitet, schließen die Parteien hiermit die in der Anlage enthaltene Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO (AVV) ab.
17.2 Infinitas Security trifft angemessene technische und organisatorische Maßnahmen zum Schutz der Daten nach dem Stand der Technik.
17.3 Der Kunde bleibt datenschutzrechtlich Verantwortlicher für die in der Plattform verarbeiteten personenbezogenen Daten und stellt sicher, dass eine geeignete Rechtsgrundlage für die Verarbeitung vorliegt und die Betroffenenrechte gewahrt werden.
Der Kunde beachtet alle anwendbaren exportkontrollrechtlichen, sanktionsrechtlichen und handelsrechtlichen Vorschriften in Bezug auf die Nutzung des CyberPilot, dessen Inhalte und durch Infinitas Security geleistete Daten und Dokumente. Die Parteien verpflichten sich zur Einhaltung geltender Antikorruptions- und Geldwäschevorschriften.
19.1 Infinitas Security ist für die Dauer und im Umfang des Leistungshindernisses von der Leistungspflicht befreit, soweit die Nichterfüllung auf Ereignisse höherer Gewalt zurückzuführen ist. Höhere Gewalt sind Ereignisse außerhalb des Einflussbereichs von Infinitas Security, die nach vernünftiger Betrachtung auch bei Anwendung äußerster Sorgfalt nicht hätten vermieden werden können, z. B. Naturkatastrophen, Krieg, Terrorakte, Unruhen, Streiks, rechtmäßige Aussperrungen, Pandemien, Epidemien, behördliche Anordnungen, Stromausfälle, Ausfälle von Telekommunikationsnetzen, Angriffe auf IT-Systeme, sofern sie trotz angemessener Schutzmaßnahmen eintreten.
19.2 Infinitas Security informiert den Kunden unverzüglich über den Eintritt und die voraussichtliche Dauer. Bereits geleistete Entgelte für nicht erbrachte Leistungen werden angemessen anteilig gutgeschrieben, sofern die Störung länger andauert.
20.1 Wenn der Kunde eine Referenznennung gestattet, ist Infinitas Security berechtigt, den Kunden unter Nennung des Firmennamens, Darstellung des Firmenlogos, Benennung eines Ansprechpartners sowie mit einer sachlichen Beschreibung der erbrachten Leistungen als Referenz zu verwenden. Dieses Recht gilt auch für fünf Jahre nach Beendigung des Vertrages. Gesetzliche Rechte des Kunden, eine erteilte Einwilligung aus wichtigem Grund zu widerrufen, bleiben unberührt.
20.2 Infinitas Security ist berechtigt, den Kunden im Zusammenhang mit bestehenden Vertragsbeziehungen über seine geschäftlichen Kontaktdaten zu kontaktieren, insbesondere zur Vertragsdurchführung, zu sicherheitsrelevanten Informationen sowie zu eigenen ähnlichen Dienstleistungen. Der Kunde kann einer werblichen Kontaktaufnahme jederzeit widersprechen.
21.1 Soweit nicht anders vereinbart, beginnt der Vertrag mit Bereitstellung des Zugangs zum CyberPilot und hat die im Einzelvertrag zwischen den Parteien vereinbarte Laufzeit. Nach Ablauf der Mindestlaufzeit kann der Vertrag von beiden Parteien mit einer Frist von drei Monaten zum Ende der jeweiligen Vertragsperiode in Textform gekündigt werden.
21.2 Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt für Infinitas Security insbesondere vor bei schwerwiegenden oder wiederholten Verstößen des Kunden gegen wesentliche Vertragspflichten, bei Zahlungsverzug oder bei rechtswidriger Nutzung der Leistungen.
21.3 Nach Vertragsbeendigung stellt Infinitas Security dem Kunden auf dessen Verlangen die im System des Kunden gespeicherten Daten innerhalb einer angemessenen Frist in einem gängigen, maschinenlesbaren Format zum Download bereit, soweit dies vertraglich vereinbart ist oder branchenüblich zumutbar. Nach Ablauf einer angemessenen Aufbewahrungs- bzw. Übergabezeit werden Kundendaten gemäß den vertraglichen und gesetzlichen Vorgaben gelöscht oder anonymisiert.
22.1 Die KI-Assistenzfunktionen (CyberMind) generieren Inhalte automatisiert auf Basis der vom Kunden bereitgestellten Informationen sowie weiterer Modellinformationen. Die Ausgaben können inhaltliche Ungenauigkeiten, Auslassungen oder für den jeweiligen Einzelfall ungeeignete Vorschläge enthalten. Der Kunde bleibt für die sorgfältige Prüfung, Plausibilisierung und rechtliche sowie fachliche Bewertung der KI-Ausgaben verantwortlich und trifft Entscheidungen ausschließlich in eigener Verantwortung. Die Nutzung der KI-Ausgaben erfolgt auf eigenes Risiko des Kunden, unbeschadet zwingender Haftungsregelungen nach Ziffer 14.
22.2 Soweit zur Bereitstellung der KI-Funktionalitäten eine Verarbeitung oder temporäre Übermittlung von Inhalten an Unterauftragnehmer oder Infrastrukturanbieter erforderlich ist, erfolgt dies gemäß Ziffer 4 und Ziffer 16 sowie etwaiger ergänzender Vereinbarungen.
23.1 Infinitas Security betreibt den CyberPilot unter Anwendung angemessener organisatorischer und technischer Sicherheitsmaßnahmen. Der Kunde ist verpflichtet, eigene angemessene Sicherheitsmaßnahmen zu treffen, insbesondere regelmäßige Datensicherungen vorzuhalten, Zugriffe zu beschränken, Berechtigungen sorgfältig zu verwalten und Sicherheitsvorfälle unverzüglich zu melden.
23.2 Der Kunde stellt sicher, dass die Nutzung des CyberPilot in seinem Verantwortungsbereich allen anwendbaren Gesetzen, behördlichen Vorgaben sowie internen Compliance-Richtlinien entspricht, einschließlich solcher zu Informationssicherheit, Datenschutz und Aufbewahrungspflichten.
24.1 Es gilt das Recht der Bundesrepublik Deutschland.
24.2 Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist München.
24.3 Nebenabreden, Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für die Abbedingung dieses Schriftformerfordernisses.
24.4 Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen oder undurchführbaren Bestimmung gilt eine solche wirksame Bestimmung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt für etwaige Regelungslücken.
1. Anwendungsbereich
Diese Vereinbarung zur Auftragsverarbeitung („AVV“) ist Bestandteil der AGB über die Nutzung der Software-as-a-Service-Plattform „Infinitas CyberPilot“ sowie sonstige von Infinitas Security im Zusammenhang hiermit erbrachte Leistungen und mit Infinitas Security abgeschlossene Verträge zwischen Infinitas Security und dem Kunden und konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien gemäß Art. 28 DSGVO.
2. Gegenstand, Art, Umfang und Zweck der Auftragsverarbeitung
2.1 Die Beschreibung der Verarbeitung im Auftrag („Beauftragung“) mit den Angaben über Gegenstand des Auftrags, Umfang, Art und Zweck der Datenverarbeitung, Kategorien der personenbezogenen Daten sowie Kategorien der betroffenen Personen ergibt sich aus den AGB in Verbindung mit dem Anhang 1.
2.2 Die Dauer der Vereinbarung richtet sich nach der Laufzeit des zusammen mit den AGB abgeschlossenen Hauptvertrags.
3. Weisungsbefugnis des Kunden
3.1 Infinitas Security verarbeitet die personenbezogenen Daten im Rahmen der Beauftragung ausschließlich gemäß den Regelungen dieser Vereinbarungen und den Weisungen des Kunden, sofern er nicht durch das Recht der EU oder der EU-Mitgliedstaaten, dem der Kunde unterliegt, zu einer anderweitigen Verarbeitung verpflichtet ist. In einem solchen Fall teilt der Kunde Infinitas Security diese rechtlichen Anforderungen mit, es sei denn, das betreffende Recht verbietet eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses.
3.2 Das Weisungsrecht des Kunden betrifft den Umfang, die Art und das Verfahren der Datenverarbeitung. Falls Weisungen die vertraglichen Vereinbarungen, insbesondere in den AGB und/oder die in Anhang 1 getroffenen Festlegungen ändern, aufheben oder ergänzen, sind diese von den Parteien gemeinsam abzustimmen und zu dokumentieren.
3.3 Bei Bedarf kann der Kunde Weisungen auch mündlich oder telefonisch erteilen. Mündlich oder telefonisch erteilte Weisungen bedürfen jedoch einer unverzüglichen Bestätigung des Kunden in schriftlicher (E-Mail ausreichend) Form. Ungeachtet dessen hat der Kunde sämtliche von ihm erteilten Weisungen zu dokumentieren.
3.4 Infinitas Security wird den Kunden unverzüglich darauf aufmerksam machen, wenn eine vom Kunden erteilte Weisung seiner Auffassung nach gegen gesetzliche Vorschriften verstößt. Infinitas Security hat seine Auffassung in einem Umfang zu begründen, der dem Kunden eine Überprüfung ermöglicht. In einem solchen Fall ist Infinitas Security nach rechtzeitiger vorheriger Ankündigung gegenüber dem Kunden berechtigt, die Ausführung der Weisung auszusetzen, bis der Kunde die Weisung geändert hat oder die Parteien im Rahmen des jeweils anwendbaren Eskalationsverfahrens zum Ergebnis kommen, dass kein Verstoß gegen Datenschutzrecht vorliegt.
4. Unterstützungspflichten des Kunden
4.1 Infinitas Security hat den Kunden bei der Wahrung der Rechte und Erfüllung der Ansprüche der betroffenen Personen, insbesondere bei der Berichtigung, Löschung und Einschränkung der Verarbeitung personenbezogener Daten, sowie bei der Bereitstellung von Informationen und Daten für betroffene Personen angemessen zu unterstützen, insbesondere durch geeignete technische und organisatorische Maßnahmen, und entsprechend den Weisungen des Kunden zu agieren.
4.2 Infinitas Security hat den Kunden bei der Durchführung einer Datenschutzfolgeabschätzung und - soweit erforderlich - der Konsultation der zuständigen Datenschutzaufsichtsbehörde zu unterstützen.
4.3 Sofern sich eine betroffene Person oder eine Datenschutzaufsichtsbehörde im Zusammenhang mit den unter dieser Vereinbarung verarbeiteten personenbezogenen Daten direkt an Infinitas Security wendet, wird diese den Kunden hierüber unverzüglich informieren und alle weiteren Schritten mit dem Kunden abstimmen. Infinitas Security darf Auskünfte an Betroffene nur nach vorheriger Weisung durch den Kunden erteilen.
5. Drittlandtransfer, Datenübermittlung
5.1 Die Verarbeitung personenbezogener Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union (EU) oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Jede Verlagerung in ein Drittland (einschließlich der Übermittlung in ein und Zugriff aus einem Drittland) ist nur zulässig, soweit zusätzliche Voraussetzungen gemäß Art. 44 ff DSGVO für die Übermittlung in ein Drittland erfüllt sind.
5.2 Falls ein Subunternehmer von Infinitas Security beauftragt werden soll, der in einem Drittland sitzt, gelten zusätzlich zu den Anforderungen in dieser Ziffer 5 die spezifischen Bestimmungen in Ziffer 5.
6. Vertraulichkeit
Infinitas Security verpflichtet sich, bei der Verarbeitung der personenbezogenen Daten des Kunden die Vertraulichkeit zu wahren. Infinitas Security sichert zu, dass sie die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter sowie die sonstigen Infinitas Security unterstellten Personen mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und diese sich schriftlich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Infinitas Security überwacht die Einhaltung der datenschutzrechtlichen Vorschriften. Auskünfte an Dritte oder den Betroffenen darf Infinitas Security nur nach vorheriger schriftlicher Zustimmung durch den Kunden erteilen.
7. Sicherheit der Verarbeitung
7.1 Infinitas Security hat dafür zu sorgen, dass geeignete technische und organisatorische Maßnahmen umgesetzt werden, sodass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist. Eine Übersicht über die umgesetzten technischen und organisatorischen Maßnahmen stellt Infinitas Security auf Verlangen zur Verfügung.
7.2 Infinitas Security kontrolliert regelmäßig die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
7.3 Infinitas Security kann die technischen und organisatorischen Maßnahmen im Laufe des Auftragsverhältnisses aufgrund der technischen und organisatorischen Weiterentwicklung ohne Einwilligung des Kunden anpassen. Dabei müssen die angepassten Maßnahmen mindestens dem bisherigen Sicherheitsniveau entsprechen. Änderungen der technischen und organisatorischen Maßnahmen sind von Infinitas Security in der vorgenannten Übersicht zu dokumentieren.
8. Informationspflichten von Infinitas Security; Verletzungen des Schutzes personenbezogener Daten
8.1 Infinitas Security hat den Kunden unverzüglich über jegliche Verarbeitung von personenbezogenen Daten außerhalb des in dieser Vereinbarung bestimmten Umfangs zu unterrichten sowie über jegliche Verstöße gegen die anwendbaren gesetzlichen datenschutzrechtlichen Vorschriften oder gegen in dieser Vereinbarung enthaltenen Vorgaben. Dies gilt insbesondere bei Störungen oder anderen Beeinträchtigungen der von Infinitas Security eingesetzten Datenverarbeitungssysteme.
8.2 Infinitas Security wird unverzüglich sämtliche zumutbaren Maßnahmen ergreifen, um die entstandenen Gefährdungen für die Vertraulichkeit, Integrität und/oder Verfügbarkeit der unter dieser Vereinbarung verarbeiteten personenbezogenen Daten zu minimieren und zu beseitigen, die Daten zu sichern und mögliche nachteilige Folgen für betroffene Personen zu verhindern oder in ihren Auswirkungen so weit wie möglich zu begrenzen.
8.3 Im Falle einer Verletzung des Schutzes personenbezogener Daten im Sinne des Artikels 4 Nr. 12 DSGVO, wird Infinitas Security den Kunden angemessen bei der Erfüllung der gesetzlichen Melde- und Informationspflichten unterstützen. Infinitas Security wird dem Kunden zu diesem Zweck die erforderlichen Informationen über die Verletzung des Schutzes personenbezogener Daten unverzüglich bereitstellen, soweit diese bei ihm vorhanden sind. Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann Infinitas Security diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
8.4 Die Regelungen in dieser Ziff. 8 gelten entsprechend für Vorkommnisse bei Prozessen, die von Subunternehmern von Infinitas Security ausgeführt werden.
9. Kontrollrechte des Kunden
9.1 Der Kunde ist berechtigt, die Einhaltung der in dieser Vereinbarung getroffenen Regelungen sowie der anwendbaren datenschutzrechtlichen Vorgaben in angemessenem Umfang zu kontrollieren, soweit sie die Verarbeitung der Daten des Kunden betreffen. Als Nachweis kann Infinitas Security aktuelle, aussagekräftige Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren), Nachweise der Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DSGVO oder eine geeignete Zertifizierung gemäß Artikel 42 DSGVO vorlegen. Das eigene Kontroll- und Überprüfungsrecht durch den Kunden bleibt hiervon unberührt.
9.2 Der Kunden ist bei Vorliegen eines wichtigen Grundes berechtigt, die Geschäftsräume von Infinitas Security zu betreten und dort Vor-Ort-Kontrollen durchzuführen. Ein wichtiger Grund liegt beispielsweise vor, wenn die von Infinitas Security vorgelegten Nachweise unzureichend sind oder aus den Nachweisen oder aus sonstigen Gründen die berechtigte Sorge des Kunden besteht, dass die Vorgaben des anwendbaren Datenschutzrechts durch Infinitas Security nicht eingehalten werden und/oder Infinitas Security die Bestimmungen dieser Vereinbarung verletzt. Der Kunde wird die Vor-Ort-Kontrollen während der üblichen Geschäftszeiten von Infinitas Security durchführen und Infinitas Security solche Vor-Ort-Kontrollen rechtzeitig vorher ankündigen und mit diesem abstimmen. Infinitas Security stellt dem Kunden alle von ihm für die Kontrolle benötigten Informationen zur Verfügung. Der Kunde nimmt hierbei angemessene Rücksicht auf die Betriebsabläufe und berechtigte Geheimhaltungsinteressen von Infinitas Security.
9.3 Der Kunde ist berechtigt, die Kontrollhandlungen nach dieser Ziff. 9 selbst oder durch einen zur Geheimhaltung verpflichteten Bevollmächtigten vorzunehmen. Infinitas Security kann der Durchführung der Kontrollhandlungen durch einen Bevollmächtigten bei Vorliegen eines wichtigen Grunds widersprechen. Ein wichtiger Grund liegt beispielsweise vor, wenn Infinitas Security in einem Wettbewerbsverhältnis zu dem Bevollmächtigten steht.
10. Subunternehmer
10.1 Infinitas Security setzt zur Durchführung der Verarbeitung im Auftrag Subunternehmer ein. Eine Übersicht der von Infinitas Security eingesetzten Subunternehmer ist in Anhang 1 enthalten. Der Kunde stimmt dem Einsatz der dort bei Vertragsschluss genannten Subunternehmer hiermit zu. Infinitas Security ist zudem berechtigt, weitere Subunternehmer hinzuziehen oder bestehende Subunternehmer zu ersetzen, es sei denn, der Kunde widerspricht derartigen Änderungen innerhalb angemessener Zeit. Infinitas Security wird den Kunden über die beabsichtigte Hinzuziehung oder Ersetzung anderer Subunternehmer rechtzeitig informieren.
10.2 Infinitas Security stellt vertraglich sicher, dass die in dieser Vereinbarung enthaltenen Datenschutzpflichten auch mit den Subunternehmern in entsprechender Form festgelegt werden, sodass die Grundsätze in Art. 28 Abs. 3 DSGVO gewahrt werden. Dies schließt auch die Umsetzung von geeigneten technischen und organisatorischen Maßnahmen ein. Kommt ein Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet Infinitas Security gegenüber dem Kunden für die Einhaltung der Pflichten jenes Subunternehmers.
10.3 Zur Klarstellung halten die Parteien fest, dass Unterauftragsverhältnisse im Sinne dieser Vereinbarung solche Dienstleistungen zu verstehen sind, die sich unmittelbar auf die Erbringung der vereinbarten Leistungen im Rahmen der Zusammenarbeit unter dem Hauptvertrag beziehen. Nicht hierzu gehören Nebenleistungen, die Infinitas Security in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern. Soweit erforderlich wird Infinitas Security aber auch in diesen Fällen angemessene und gesetzeskonforme Vereinbarungen ergreifen.
10.4 Bei einer Beauftragung von Subunternehmern, deren Sitz sich nicht in der EU bzw. dem EWR befindet, hat Infinitas Security sicherzustellen, dass die Übermittlung der personenbezogenen Daten des Kunden an den Subunternehmer die Vorgaben der Art. 44 ff. DSGVO einhalten. Sofern für das jeweilige Drittland kein Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO vorliegt, stellt Infinitas Security sicher, dass mit den Subunternehmern eine Datenschutzvereinbarung gemäß Artikel 46 Abs. 2 lit. c) oder lit. d) DSGVO (Standarddatenschutzklauseln / Standardvertragsklauseln) abgeschlossen wird.
11. Löschung und Rückgabe personenbezogener Daten
Die Löschung und Rückgabe der im Auftrag verarbeiteten personenbezogenen Daten richten sich nach den Bestimmungen im Hauptvertrag.
12. Laufzeit
Diese Vereinbarung wird für die Dauer des Hauptvertrags geschlossen. Soweit Infinitas Security über den Zeitpunkt der Beauftragung hinaus personenbezogene Daten des Kunden verarbeitet, gelten die Regelungen dieser Vereinbarung fort.
Beschreibung des Gegenstands, der Art und des Zwecks der Verarbeitung
Bereitstellung, Hosting und Betrieb der SaaS-Plattform „Infinitas CyberPilot“ für den Kunden, einschließlich Nutzerverwaltung, Authentifizierung, Berechtigungssteuerung, Support sowie, soweit vom Kunden genutzt, Bereitstellung KI-gestützter Funktionen. Die Verarbeitung umfasst insbesondere das Erheben, Speichern, Organisieren, Bereitstellen, Verwenden, Übermitteln im Rahmen der Leistungserbringung sowie Löschen personenbezogener Daten. Zweck der Verarbeitung ist die Ermöglichung der Nutzung der Plattform zur Planung, Steuerung und Nachverfolgung von Maßnahmen der Informationssicherheit im Unternehmen des Kunden.
Kategorien von betroffenen Personen
Kategorien personenbezogener Daten
Besondere Kategorien personenbezogenerDaten
Subunternehmer: