Pentest Muster AGB: Rechtliche Grundlagen, Risiken & Best Practices für Pen-Tester

August 2025 | Cybercrime, Pen-Testing

Penetrationstests gehören heute zu den effektivsten Maßnahmen, um Schwachstellen in IT-Systemen aufzudecken, bevor echte Angreifer sie ausnutzen. Sie sind ein fester Bestandteil moderner Cybersecurity-Strategien – und dennoch wird ein Aspekt oft sträflich unterschätzt: die rechtliche Absicherung.

Viele Pen-Tester verlassen sich auf mündliche Absprachen oder simple E-Mails, bevor sie loslegen. Was in der Praxis häufig funktioniert, kann im Ernstfall zum Problem werden. Denn sobald bei einem Test etwas schiefgeht – sei es ein unerwarteter Systemausfall, Datenverlust oder eine rechtliche Auseinandersetzung mit einem Dritten – zählt nur eines: Was steht im Vertrag?

Hinweis: Unser kostenloses Muster für einen Pentesting-Vertrag finden Sie am Ende dieses Beitrags.

Warum Pen-Testing-Verträge kein „nice to have“ sind

Ein Penetrationstest imitiert echte Angriffe. Dafür werden oft dieselben Tools, Exploits und Methoden eingesetzt, die auch Cyberkriminelle nutzen. Das ist gewollt – schließlich soll die Sicherheit unter realistischen Bedingungen überprüft werden.

Das Problem: Viele dieser Handlungen sind nach deutschem Strafrecht zunächst einmal illegal. Wer z. B. Schutzmechanismen umgeht (§ 202a StGB), auf nicht-öffentliche Daten zugreift oder gezielt Systeme überlastet (Denial of Service), begeht objektiv eine Straftat. Der einzige Unterschied zum echten Angreifer: Der Pen-Tester hat die Erlaubnis des Kunden. Und genau diese Erlaubnis muss klar, eindeutig und schriftlich dokumentiert sein.

Ich habe schon Fälle gesehen, in denen ein Penetrationstest auf Basis einer simplen E-Mail-Beauftragung durchgeführt wurde – und anschließend stand der Tester plötzlich im Fokus einer Strafanzeige, weil ein externer Provider behauptete, nicht informiert worden zu sein. Ein sauberer Vertrag hätte in solchen Fällen den Unterschied zwischen einem kurzen Anwaltsbrief und einer monatelangen Ermittlung gemacht.

Die wichtigsten Inhalte eines Penetration-Testing-Vertrags

Der wohl wichtigste Punkt im gesamten Vertrag: der Scope.

  • Welche Systeme und IP-Adressen dürfen angegriffen werden?
  • Welche Angriffsmethoden sind erlaubt?
  • Gibt es sensible Systeme, die auf keinen Fall getestet werden dürfen (z. B. Produktionsdatenbanken, medizinische Geräte, SCADA-Systeme)?

Ein präziser Scope schützt beide Seiten. Für den Kunden ist klar, was getestet wird. Für den Tester ist klar, wofür er haftet – und wofür nicht.

Rechte an Ergebnissen und Zero-Days

Der Vertrag sollte festlegen, dass der Kunde ein nicht-ausschließliches Nutzungsrecht an den Berichten und Dokumentationen erhält – und zwar nur für interne Zwecke oder zur Weitergabe an Behörden.

Gleichzeitig muss geregelt sein, was mit neu entdeckten Schwachstellen, insbesondere Zero-Day-Exploits, passiert. Darf der Pen-Tester diese an Hersteller melden? Darf er sie anonymisiert auf Konferenzen vorstellen oder in wissenschaftlichen Artikeln veröffentlichen? Hier gehen die Vorstellungen oft auseinander – und ohne vertragliche Regelung kann es schnell zum Streit kommen.

Pentestingvertrag und Haftungsbegrenzung

Auch bei einem technisch sauber durchgeführten Test lassen sich Störungen oder Ausfälle nicht komplett ausschließen. Das gilt besonders bei aggressiveren Testarten wie DoS-Simulationen oder Exploit-Tests auf Produktivsystemen.

Darum sollte der Vertrag eine klare Haftungsbeschränkung enthalten – etwa auf vorhersehbare, typische Schäden. Und: Der Kunde sollte den Tester von Ansprüchen Dritter freistellen. Das schützt vor Szenarien, in denen etwa ein Cloud-Anbieter oder ein Payment-Provider Schadensersatz fordert, weil während des Tests ein Service beeinträchtigt wurde.

Strafrechtliche Einwilligung

Ein guter Pentest-Vertrag enthält eine detaillierte Einwilligung des Kunden in Handlungen, die unter normalen Umständen strafbar wären. Dazu zählen etwa:

  • Umgehung von Zugangssicherungen
  • Zugriff auf geschützte Daten
  • Überlastung von Systemen

Idealerweise listet der Vertrag hier auch gleich die relevanten Paragrafen aus dem StGB auf. Das wirkt zunächst sperrig, ist aber im Ernstfall Gold wert.

Vorsicht: Auch Mitarbeiter der Kunden können Opfer von Straftaten werden, deren Einwilligungen nicht automatisch von den Einwilligungen des Kunden erfasst sind.

Mitwirkungspflichten des Kunden

Pentests funktionieren nur, wenn der Kunde mitspielt. Deshalb sollte der Vertrag klare Mitwirkungspflichten festlegen, darunter:

  • Benennung eines jederzeit erreichbaren Ansprechpartners
  • Rechtzeitige Bereitstellung aller Zugangsdaten
  • Regelmäßige Backups (und deren Bestätigung auf Nachfrage)
  • Einholung der Zustimmung Dritter, z. B. Hosting- oder SaaS-Anbieter

Ein wichtiger Punkt: Wenn der Kunde diese Pflichten verletzt, darf der Tester den Auftrag unterbrechen – und bekommt die Wartezeit bezahlt.

Geheimhaltung und Datenschutz

erade bei Tests in sensiblen Umgebungen (z. B. im Finanz- oder Gesundheitssektor) fallen zwangsläufig personenbezogene Daten an. Deshalb sollte der Vertrag:

  • eine Geheimhaltungsvereinbarung (NDA) enthalten
  • einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) beifügen, wenn personenbezogene Daten verarbeitet werden
  • klare Löschfristen für temporäre Testdaten definieren (z. B. 30 Tage nach Abschluss)

Fails vermeiden:

Aus meiner Erfahrung sind es oft dieselben Punkte, die zu Problemen führen:

  • Teststart ohne schriftliche Einwilligung – gefährlich, weil Sie strafrechtlich angreifbar bleiben.
  • Unklarer Scope – führt zu Diskussionen, ob bestimmte Tests „zu weit gegangen“ sind.
  • Fehlende Haftungsbeschränkung – im schlimmsten Fall haften Sie persönlich für hohe Schäden, Wiederherstellungs- oder Anwaltskosten
  • Zero-Days ohne Regelung – wer darf sie nutzen, verkaufen oder melden?
  • Keine geregelte Kommunikation bei Vorfällen – wenn während des Tests ein kritisches System ausfällt, muss klar sein, wer wie schnell informiert wird.

Fazit

Ein Penetrationstest ist technisch anspruchsvoll – aber rechtlich oft noch komplexer. Wer als Pen-Tester ohne wasserdichten Vertrag arbeitet, geht ein unnötiges Risiko ein.
Ein guter Penetration-Testing-Vertrag regelt Testumfang, Einwilligungen, Haftung, Mitwirkungspflichten, Datenschutz und Rechte an Ergebnissen klar und eindeutig. Er schützt nicht nur Sie als Tester, sondern sorgt auch beim Kunden für Transparenz und Vertrauen.

Mein Rat: Nutzen Sie Vorlagen, wie unseren Pentesting-Mustervertrag nur als Grundlage und lassen Sie sie von einem spezialisierten IT-Rechtsanwalt anpassen. Das kostet weniger, als ein einziger ungeklärter Vorfall später verschlingen kann.

Pentesting Mustervertrag

Haftungsausschluss und Nutzungshinweis:

Dieser Vertragsentwurf ist ein Muster und dient als Grundlage für Allgemeine Geschäftsbedingungen  (AGB) eines Penetration-Testing-Vertrags. AGB müssen nicht nur wirksam in den Vertrag einbezogen werden, sie unterliegen auch einer inhaltlichen Kontrolle nach §§ 307-309 BGB.

Eine individuelle anwaltliche Prüfung und Anpassung ist vor der Nutzung zwingend erforderlich. Der Vertragsentwurf verweist zudem auf Anhänge, die nicht enthalten sind. Es wird empfohlen, die Rechte an der Entdeckung von Schwachstellen (Zero Day u.a.) in eine Geheimnisschutzvereinbarung aufzunehmen, sowie die aus datenschutzrechtlicher Sicht nötigen Anlagen zu erstellen. 

Der Ersteller dieses Vertragsentwurfs übernimmt keinerlei Haftung für die Richtigkeit, Vollständigkeit, Aktualität oder die rechtliche Wirksamkeit der Bestimmungen bei konkreter Anwendung. Jegliche Haftung für Schäden, die aus der Verwendung dieses Entwurfs ohne vorherige, individuelle rechtliche Prüfung und Anpassung entstehen, ist ausgeschlossen.

Penetrationstest-Vertrag
Projektnummer, Titel

zwischen

(im Folgenden „Kunde“)

und der

(im Folgenden „Auftragnehmer“)

– Kunde und Auftragnehmer einzeln jeweils auch „Partei“ und gemeinsam „Parteien“ –

Präambel

(1) Der Kunde beabsichtigt den Auftragnehmer mit einem Penetrationstest zu beauftragen. Der Kunde erhält dazu ein Angebot des Auftragnehmers. Dieser Vertrag soll die wesentlichen Rechte und Pflichten aus dem Auftrag regeln und konkretisieren.

(2) Dem Kunden sollen insbesondere die besonderen Gefahren eines solchen Penetrationstests vor Augen geführt werden und welche Vorsichtsmaßnahmen getroffen werden sollen.

(3) Ein Penetration-Test stellt einen kontrollierten Versuch dar, von außen in ein Computer- oder Netzwerksystem einzudringen, um Schwachstellen der Systeme aufzuspüren (Sicherheitsüberprüfung). Dazu werden ähnliche, bzw. gleiche Techniken angewendet, die auch bei einem realen Angriff auf das System Verwendung finden würden. Die Identifikation der Schwachstellen ermöglicht eine Korrektur der Schwachstellen, bevor diese durch einen realen Eingriff ausgenutzt werden und sich Dritte unerlaubt Zugang zum System und zu sensiblen Daten verschaffen können.

§ 1 Vertragsgegenstand und Rechte an dokumentierten Schwachstellen

(1) Gegenstand dieses Penetrationstest-Vertrages („Vertrag“) sind im Auftrag vereinbarten Leistungen des Auftragnehmers zur Simulation von Angriffen auf IT-Systeme und -Netzwerke des Kunden. Einzelheiten zu den Leistungen finden sich in der Modulbeschreibung des Auftrags. 

(2) Im Auftrag oder diesem Vertrag nicht ausdrücklich vereinbarte Leistungen zählen nicht zum Vertragsgegenstand. Insbesondere ist der Auftragnehmer nicht zur erfolgreichen oder vollständigen Identifizierung von Schwachstellen in der IT-Sicherheit des Kunden, deren Beseitigung, oder der allgemeinen Begutachtung der IT-Sicherheit beim Kunden verpflichtet.

(3) Der Kunde erhält nur ein nicht-ausschließliches, widerrufliches Recht zur zeitlich und örtlich unbeschränkten Nutzung der vom Auftragnehmer erstellten Berichte und Dokumentationen der Testergebnisse ausschließlich für eigene interne Zwecke, einschließlich der Weitergabe an Informationssicherheitsbeauftragte, Ermittlungsbehörden oder Aufsichtsbehörden, um vorgefundene Schwachstellen (z.B. Zero-Day-Exploits u.a.) zu schließen.

(4) Der Auftragnehmer behält sämtliche Rechte an seinen eingesetzten Methodiken, Tools, Skripten und dem Know-how, soweit dieses in Berichten dokumentiert ist, das bei der Durchführung der Vertragsleistungen erworben wurde. Der Auftragnehmer ist berechtigt, die gewonnenen Erkenntnisse und Ergebnisse, insbesondere Informationen über Schwachstellen und Exploits aller Art, sofern diese hinreichend anonymisiert sind und keine Rückschlüsse auf den Kunden oder dessen Systeme zulassen, zur Verbesserung eigener Dienstleistungen, zu Forschungszwecken, für Marketingzwecke, zur Veröffentlichung in wissenschaftlichen Publikationen und Fachzeitschriften, zur Präsentation auf Sicherheitskonferenzen und in Fachkreisen, zum Weiterverkauf oder Lizenzierung an andere Kunden oder Forschungseinrichtungen, zur Einreichung bei Bug-Bounty-Programmen Dritter oder zur Nutzung für weitere Forschungs- und Entwicklungszwecke verwenden.

§ 2 Vertragsbestandteile, Geltungsrangfolge

(1) Dieser Vertrag ist Bestandteil des Auftrags, einschließlich der hier referenzierten Anlagen. Soweit hierin nicht ausdrücklich abweichend vereinbart, gehen die Bestimmungen dieses Vertragsdokuments den darin referenzierten Anlagen vor.

(2) Allgemeine Geschäftsbedingungen des Auftragnehmers gelten ausschließlich. Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen des Kunden werden nur dann und insoweit Vertragsbestandteil, als der Auftraggeber ihrer Geltung ausdrücklich schriftlich zugestimmt hat.

§ 3 Gegenstand des Penetrationstests

(1) Der Inhalt der vom Auftragnehmer als Penetrationstest durchzuführender Dienstleistungen („Vertragsleistungen“) ist im Auftrag näher beschrieben.

(2) Ein Penetrationstest beinhaltet das aktive Attackieren (sog. aktives Hacking) des Angriffsziels sowohl mittels kommerzieller Vulnerability-, Scanner- und Hacking-Tools, als auch durch vom Auftragnehmer modifizierte Programme. Dabei erfolgen die Attacken über interne und öffentliche externe Netzwerke, wie zum Beispiel das Telefonnetz, das Internet oder andere Netzwerke, an die der Kunde angeschlossen ist.

(4) Die Vertragsleistungen beschränken sich auf die in Anlage 1 abschließend bezeichneten IT-Systeme bzw. IP-Adressen (Ranges) des Kunden. In Anlage 1 nicht ausdrücklich bezeichnete IT-Systeme oder IP-Adresse (Ranges) sind nicht Gegenstand der Vertragsleistungen.

(5) Der Kunde sichert zu, dass er Eigentümer der in Anlage 1 genannten IT-Systeme und für die darauf gespeicherten Daten sowie die in Anlage genannten IP-Adressen (Ranges) berechtigt ist, die Vertragsleistungen durch den Auftragnehmer durchführen zu lassen. Auf Anforderung des Auftragnehmers wird der Kunde seine Berechtigung in geeigneter Form nachweisen.

(6) Dem Kunden ist bekannt, dass die Vertragsleistungen – auch bei vertragsgemäßer Durchführung – zu Störungen, Ausfällen und Beschädigungen führen kann.

§ 4 Durchführung des Penetrationstests

(1) Der Auftragnehmer wird die Vertragsleistungen unter Berücksichtigung des aktuellen Stands der Technik mit der Sorgfalt eines ordentlichen Geschäftsmanns durchführen.

(2) Es kann bei einem aktiven Hacking im Sinne von § 3 (2) ein gewisses Risiko der Beeinträchtigung der betroffenen Zielsysteme nicht ausgeschlossen werden. Insbesondere bei sog. „Denial of Service“-Attacken kann es vorkommen, dass die betroffenen Zielsysteme ausfallen und dass als Folge davon gewisse Dienste zeitweise nicht mehr zur Verfügung stehen oder Daten verloren gehen. Zudem besteht die Möglichkeit, dass die Antwortzeiten der Services während der Attacken verlängert werden.

(3) Er wird für die Durchführung der Vertragsleistungen ausschließlich eigenes Personal einsetzen. Der Einsatz von Subunternehmern ist dem Auftragnehmer nur mit ausdrücklichem vorherigem Einverständnis des Kunden in Schriftform gestattet. Das mit Vertragsleistungen befasste Personal ist vor dessen Einsatz schriftlich zur Vertraulichkeit in Bezug auf alle Informationen und Unterlagen im Zusammenhang in den Vertragsleistungen und deren Durchführung zu verpflichten.

(4) Der Auftragnehmer wird den Kunden unverzüglich darüber informieren, falls die Durchführung der Vertragsleistungen für auftretende Störungen, Ausfälle, oder Beschädigungen ursächlich gewesen sein könnten.

(5) Der Auftragnehmer wird ihm bei Durchführung der Vertragsleistungen zur Kenntnis gelangende Daten aus getesteten Systemen nicht herunterladen, und nur insoweit Screenshots anfertigen, als dies zur Dokumentation der entsprechenden Schwachstelle zwingend erforderlich ist.  

(6) Binnen angemessener Zeit nach Abschluss der Vertragsleistungen wird der Auftragnehmer dem Kunden eine schriftliche Zusammenfassung der wesentlichen Ergebnisse der Vertragsleistungen übergeben und diese Dokumentation bei Bedarf angemessen erläutern. 

(7) Die konkreten Zeitpläne für die Durchführung der Vertragsleistungen, einschließlich Start- und Endtermine, Meilensteine sowie Fristen für die Übermittlung von Zwischenberichten oder die Reaktion auf kritische Sicherheitsvorfälle, sind in Anlage 1 festgelegt. Sollten in Anlage 1 keine spezifischen Fristen genannt sein, erfolgt die Durchführung und Ergebnisübergabe innerhalb einer angemessenen Zeit.

(8) Alle während der Durchführung der Vertragsleistungen generierten temporären Daten, wie Log-Dateien, Scan-Ergebnisse, Zwischenberichte oder andere Test-Artefakte, werden vom Auftragnehmer spätestens dreißig (30) Tage nach Übergabe der abschließenden Dokumentation gemäß § 4 (6) sicher und unwiederbringlich gelöscht, es sei denn, gesetzliche Aufbewahrungspflichten oder eine anderslautende schriftliche Vereinbarung mit dem Kunden erfordern eine längere Speicherung.

§ 5 Einwilligung und Mitwirkung des Kunden

(1) Mit Abschluss des Vertrages stimmt der Kunde der Durchführung der Vertragsleistungen und dem damit gegebenenfalls verbundenen Zugriff auf gespeicherte oder sich in der Übertragung befindliche Daten zu. Der Kunde ermächtigt den Auftragnehmer insbesondere, die in Anlage 1 genannten IT-Systeme und IP-Adressen (Ranges) zu analysieren, auch unter Umgehung etwaiger Schutzmechanismen einzudringen und Angriffe unter simulierten Realbedingungen durchzuführen.

(2) Mit der Beauftragung versichert der Kunde, dass er im Vorfeld der Erbringung der Leistungen sämtliche erforderlichen Zustimmungen Dritter (insbesondere etwaiger IT-Dienstleister, Lizenzgeber, Mitarbeiter, Arbeitnehmervertretungen) nachweisbar eingeholt hat/rechtzeitig einholen wird oder solche nicht erforderlich sind. Der Auftraggeber erteilt seine ausdrückliche Einwilligung in die zur Erbringung unserer Leistungen erforderlichen Maßnahmen, insbesondere zu einem etwa damit einhergehenden Zugriff auf und das Verschaffen von Daten, ggf. unter Überwindung einer etwaigen Zugangssicherung der vom Kunden spezifizierten Systeme und/oder aus einer nichtöffentlichen Datenübermittlung und/oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage (§§ 202 ff. StGB).

(3) Die Einwilligungen müssen sich insbesondere (jedoch nicht abschließend) auf folgende Straftatbestände beziehen: §§ 269, 274, 202a, 202c, 303a, 303b StGB, §§ 5ff., 27, 28 TDDDG, §§ 3, 4, 23 GeschGehG, §§ 69c, 106 UrhG.

(4) Der Kunde benennt gegenüber dem Auftragnehmer einen verantwortlichen Ansprechpartner für die Durchführung der Vertragsleistungen sowie einen Stellvertreter. Der Kunde stellt sicher, dass Ansprechpartner oder Stellvertreter jederzeit kurzfristig für eine Abstimmung mit dem Auftragnehmer zur Verfügung stehen. Er wird dem Auftragnehmer zudem alle zur Durchführung der Vertragsleistungen erforderlichen Informationen, einschließlich vereinbarte Zugangsdaten rechtzeitig zur Verfügung stellen und vereinbarte Zugriffsrechte einrichten.

(5) Der Kunde erstellt vor Beginn der Vertragsleistungen sowie während der Vertragslaufzeit in regelmäßigem Abstand von nicht weniger als drei (3) Werktagen ein vollständiges Backup seines Datenbestandes. Das Backup muss so beschaffen sein, dass es eine vollständige Wiederherstellung der potentiell von den Vertragsleistungen betroffenen Daten ermöglicht. Auf Aufforderung des Auftragnehmers wird der Kunde die ordnungsgemäße Datensicherung zumindest in Textform bestätigen.

(6) Der Kunde wird ausdrücklich darauf hingewiesen, dass durch den Penetration-Test Schäden am bestehenden System auftreten können. Insbesondere können durch den Penetration-Test Beeinträchtigungen und Veränderungen auftreten, die meist nur durch Wiederherstellungs-Backups, oder durch teilweise umfangreiche Nachbearbeitung durch den Kunden behoben werden können.

(7) Kommt der Kunde seinen Mitwirkungspflichten gemäß diesem § 5 nicht oder nicht rechtzeitig nach, so ist der Auftragnehmer berechtigt, die Durchführung der Vertragsleistungen zu unterbrechen. Der Auftragnehmer ist in diesem Fall von der Einhaltung vereinbarter Termine und Fristen entbunden und hat Anspruch auf eine angemessene zusätzliche Vergütung für hierdurch entstandene Warte- oder Stillstandszeiten sowie für zusätzlichen Aufwand. Weitergehende Schadensersatzansprüche des Auftragnehmers bleiben unberührt. Die Haftungsfreistellung des Auftragnehmers gemäß § 6 (4) erstreckt sich auch auf Schäden, die durch die Verletzung der Mitwirkungspflichten des Kunden entstehen.

§ 6 Haftung und Freistellung

(1) Die Parteien haften unbeschränkt bei Vorsatz, grober Fahrlässigkeit sowie bei Verletzung von Leben, Körper oder Gesundheit.

(2) Unbeschadet der Fälle unbeschränkter Haftung gemäß § 6 (1) haften die Parteien einander bei leicht fahrlässiger Pflichtverletzung nur bei Verletzung wesentlicher Vertragspflichten, also Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht oder deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung die andere Partei regelmäßig vertrauen darf, allerdings beschränkt auf den bei Vertragsschluss vorhersehbaren, vertragstypischen Schaden.

(3) Die vorstehenden Haftungsbeschränkungen gelten nicht im Rahmen schriftlich übernommener Garantien.

(4) Der Kunde stellt den Auftragnehmer von sämtlichen Ansprüchen Dritter nebst Rechtsverteidigungskosten frei, die sich aus diesem Vertrag ergeben. Der Auftragnehmer wird den Kunden unverzüglich benachrichtigen, wenn gegen ihn Ansprüche Dritter geltend gemacht werden. Anerkenntnisse, Zahlungen und Verzichtserklärungen dürfen nur nach vorheriger schriftlicher Zustimmung des Kunden abgegeben beziehungsweise getätigt werden.

Sollten im vorstehenden Zusammenhang Ansprüche Dritter gegen den Auftragnehmer geltend gemacht werden, ist der Auftragnehmer unverzüglich auf erstes Anfordern durch die andere Partei freizustellen.

(5) § 6 gilt auch zu Gunsten von Mitarbeitern, Vertretern und Organen einer Partei.

§ 7 Höhere Gewalt

(1) Keine der Parteien ist für eine Nichterfüllung oder Verzögerung der Erfüllung ihrer vertraglichen Pflichten verantwortlich, soweit diese durch ein Ereignis höherer Gewalt verursacht wird. Als Höhere Gewalt gelten Ereignisse, die außerhalb der Kontrolle der Parteien liegen und die bei Vertragsabschluss nicht vorhersehbar waren, wie Naturkatastrophen, Erdbeben, Überschwemmungen, Brand, Krieg, Terrorakte, staatliche Maßnahmen, Pandemien, Stromausfall, Internetausfall, Störungen, Ausfälle, Datenverluste als Folge von Penetrationstests, Beeinträchtigungen oder Fehler bei der Wiederherstellung von Daten oder Systemen aus Sicherungskopien oder behördliche Anordnungen, die die Leistungserbringung wesentlich erschweren oder unmöglich machen.

(2) Die von dem Ereignis höherer Gewalt betroffene Partei hat die andere Partei unverzüglich schriftlich über den Eintritt und das voraussichtliche Ende des Ereignisses zu informieren. Die Vertragspflichten der betroffenen Partei ruhen für die Dauer des Ereignisses.

(3) Dauert das Ereignis höherer Gewalt länger als sechzig (60) Tage an, so ist jede Partei berechtigt, den Vertrag mit sofortiger Wirkung außerordentlich zu kündigen. Weitergehende Ansprüche, insbesondere auf Schadensersatz, sind in diesem Fall ausgeschlossen.

§ 8 Inkrafttreten, Kündigung

(1) Der Vertrag tritt nach Unterzeichnung durch beide in Kraft und endet mit vollständiger Vertragsdurchführung, sofern er nicht frühzeitig gekündigt wird.

(2) Jede Partei kann den Vertrag mit einer Frist von zwei (2) Wochen zum Ende eines Kalendermonates ordentlich kündigen. Das Recht zur außerordentlichen Kündigung des Vertrages aus wichtigem Grund bleibt unberührt.

(3) Jede Kündigung bedarf zu ihrer Wirksamkeit der Schriftform.

§ 9 Vertraulichkeit und Datenschutz

(1) Die Parteien haben eine Geheimhaltungsvereinbarung abgeschlossen, deren Regelungen auch unter diesem Vertrag ausgetauschte vertrauliche Informationen erfasst (Anlage 2).

(2) Soweit der Auftragnehmer im Zuge der Vertragsdurchführung personenbezogene Daten im Auftrag des Kunden verarbeitet, gelten hierfür die Bestimmungen des Auftragsverarbeitungsvertrages in Anlage 3. Eine Datenschutzerklärung ist als Anlage 4 beigefügt.

(4) Der Kunde ist berechtigt, nach vorheriger schriftlicher Ankündigung und in Abstimmung mit dem Auftragnehmer, die Einhaltung der in diesem Vertrag und der Geheimhaltungsvereinbarung festgelegten Sicherheits- und Vertraulichkeitspflichten durch den Auftragnehmer zu überprüfen. Die Kosten für ein solches Audit trägt der Kunde, es sei denn, es werden schwerwiegende Verstöße festgestellt.

§ 10 Anwendbares Recht und Gerichtsstand

(1) Für diesen Vertrag sowie alle Ansprüche, Rechte und Pflichten aus oder im Zusammenhang mit diesem Vertrag gilt das Recht der Bundesrepublik Deutschland. Das UN-Kaufrecht (CISG) ist ausgeschlossen.

(2) Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten der Parteien aus oder im Zusammenhang mit dem Vertrag ist Bamberg, Deutschland.

(3) Der Kunde ist berechtigt, nach vorheriger schriftlicher Ankündigung und in Abstimmung mit dem Auftragnehmer, die Einhaltung der in diesem Vertrag und der Geheimhaltungsvereinbarung festgelegten Sicherheits- und Vertraulichkeitspflichten durch den Auftragnehmer zu überprüfen. Die Kosten für ein solches Audit trägt der Kunde, es sei denn, es werden schwerwiegende Verstöße festgestellt.

§ 11 Schlussbestimmungen

(1) Sollten einzelne Regelungen dieses Vertrages unwirksam oder nicht durchführbar sein, bleibt die Wirksamkeit der übrigen Regelungen hiervon unberührt. Die Parteien werden solche Regelungen durch wirksame und durchführbare Regelungen ersetzen, die dem Sinn und wirtschaftlichen Zweck sowie dem Willen der Parteien möglichst gleichkommen. Entsprechendes gilt für unbeabsichtigte Regelungslücken.

(2) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform, auch der Verzicht auf dieses Schriftformerfordernis.

(3) Die Parteien dürfen Ansprüche aus dem Vertrag jeweils nur mit Zustimmung der anderen Partei abtreten. § 354a HGB bleibt unberührt.

(4) Soweit nicht ausdrücklich abweichend vereinbart, ist Schriftform im Sinne dieses Vertrages nur durch postalische Übermittlung einer unterzeichneten Erklärung im Original gewahrt. Elektronische Form oder Textform (E-Mail) erfüllt das Schriftformerfordernis nicht.

(5) Änderungen des Leistungsumfangs oder der definierten Ziele gemäß § 3 Absätze 1 und 3 bedürfen einer schriftlichen Vereinbarung zwischen den Parteien in Form eines Nachtrags zu diesem Vertrag. Dies umfasst sowohl Erweiterungen als auch Reduzierungen des Umfangs. Etwaige Anpassungen der Vergütung und der Zeitpläne werden in diesem Nachtrag geregelt.

__________________________                                                ___________________________

Datum                                                                                     Datum

__________________________                                                ___________________________

Kunde                                                                                     Auftragnehmer

Anlagen

Auftrag mit Modulbeschreibung

Anlage 1 – IT-Systeme und Netzwerke

Anlage 2 – Geheimhaltungsvereinbarung

Anlage 3 – Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Anlage 4 – Datenschutzerklärung des Auftragnehmers (Art. 13 ff. DSGVO)