Allgemeine Geschäftsbedingungen für die Phishing-Simulation / Social-Engineering-Bewertung

Für unsere Leistung „Phishing-Simulation / Social-Engineering-Bewertung“ gelten die nachfolgenden Bedingungen sowie die Vereinbarung zum Datenschutz bei der Auftragsverarbeitung (AVV), die Sie sich hier ansehen und bei Bedarf herunterladen können. Die AVV ist ohne Unterschrift gültig, weil sie Teil unserer AGB ist.

1. Geltungsbereich

Leistungen, Angebote und Verkäufe erfolgen ausschließlich auf der Grundlage folgender Bedingungen. Diese sind Bestandteil aller abgeschlossenen Verträge und gelten auch für alle zukünftigen Geschäftsbeziehungen, selbst wenn sie nicht erneut ausdrücklich vereinbart werden. Mit der Erteilung des Auftrages werden diese AGB durch den Kunden anerkannt. Die Vertragssprache ist Deutsch. Jegliche widersprechenden Geschäftsbedingungen sind ungültig, auch wenn ihnen nicht gesondert ausdrücklich widersprochen wurde. Unser Angebot richtet sich ausschließlich an Unternehmer i.S.d. § 14 Abs. 1 BGB. Wir sind die Cortina Consult GmbH, Hafenweg 24, 48155 Münster, Telefon: +49 251 952037-40, Mail: post@cortina-consult.de, Website: https://cortina-consult.com

2. Angebote

Schriftliche und mündliche Angebote von Cortina Consult sind freibleibend und unverbindlich, selbst wenn sie nicht so gekennzeichnet sind. Angestellte der Cortina Consult GmbH sind nicht befugt, verbindliche Angebote zu machen.

3. Gegenstand des Vertrages (Phishing-Simulation)

a) Gegenstand dieses Vertrags ist die Durchführung einer kontrollierten Phishing-Simulation (Social-Engineering-Bewertung) zur Messung des Sicherheitsbewusstseins der Beschäftigten des Auftraggebers gegenüber Phishing- und Social-Engineering-Angriffen. Cortina Consult versendet hierzu im freigegebenen Umfang simulierte Phishing-Nachrichten und protokolliert die Reaktionen (z. B. Zustellung, Öffnung, Klick, Aufruf der Simulationsseite, Formularabgabe). b) Erfasst und ausgewertet wird ausschließlich, ob eine Zielperson reagiert bzw. Daten in ein Formular eingibt und absendet – nicht, welche. In ein simuliertes Anmeldeformular eingegebene Zugangsdaten werden nicht gespeichert und nicht ausgewertet; protokolliert wird allein das Ereignis der Eingabe. c) Die Leistung umfasst die Auswertung sowie einen – in der Regel pseudonymisierten – Ergebnisbericht mit priorisierten Handlungsempfehlungen. d) Der konkrete Umfang der Simulation (Zielpersonen, Ziel-Domains, Kampagnenzeitraum, autorisierte Versandinfrastruktur, Offenlegungsebene und Notfall-Kontakte) wird in den gesondert vereinbarten und von beiden Parteien zu unterzeichnenden „Auftragsunterlagen / Durchführungsregeln (Rules of Engagement)“ festgelegt. Diese sind für die jeweilige Kampagne maßgeblich und gehen diesen AGB im Einzelfall vor. e) Der Auftrag beschränkt sich auf eine Simulation. Ein realer Datenmissbrauch, eine Systemkompromittierung oder Tätigkeiten außerhalb des freigegebenen Umfangs finden nicht statt. f) Andere Leistungen der Cortina Consult GmbH werden nur Bestandteil des Vertrages, wenn diese ausdrücklich als Zusatzvereinbarung schriftlich mit Ihnen getroffen wurden.

4. Verpflichtungen des Kunden

a) Sie stellen eine vollständige und zutreffende Liste der Zielpersonen im vereinbarten Format bereit und halten diese aktuell. b) Sie sichern zu, dass Sie für die angegebenen Ziel-Domains und -Systeme verfügungsberechtigt und befugt sind, die benannten Zielpersonen in eine Phishing-Simulation einzubeziehen. c) Sie gewährleisten das Whitelisting der von Cortina Consult benannten Versandinfrastruktur in Ihren Sicherheits- und E-Mail-Systemen. d) Sie benennen eine Ansprechperson für die Dauer des Auftrags und informieren Ihr internes IT-/Sicherheitsteam (SOC/SIEM) nach Maßgabe der in den Auftragsunterlagen festgelegten Offenlegungsebene. e) Sie stellen sicher, dass die für die Verarbeitung der Beschäftigtendaten erforderliche Rechtsgrundlage besteht (z. B. Betriebsvereinbarung, § 26 BDSG bzw. Art. 88 DSGVO) und dass ein etwaig bestehender Betriebsrat im erforderlichen Umfang beteiligt wird. Die Verantwortung für die arbeits- und mitbestimmungsrechtliche Zulässigkeit der Simulation liegt bei Ihnen. f) Sie wirken aktiv an der Vorbereitung sowie an einer etwaigen Fehler- oder Vorfallanalyse mit, insbesondere indem Sie uns detailliert über auftretende Probleme informieren. g) Eine Verletzung Ihrer in diesen AGB dargelegten Pflichten entbindet uns von der Haftung für daraus resultierende Schäden. Sie stellen uns insoweit von Ansprüchen Dritter frei.

5. Preise

Sämtliche mündlich oder schriftlich veröffentlichten Preise sind unverbindlich. Irrtümer und kurzfristige Preisänderungen sind vorbehalten. Alle Preise verstehen sich als Nettopreise und in Euro (€). Die Vergütung der Phishing-Simulation erfolgt projektbezogen nach dem vereinbarten Angebot; sofern nicht anders vereinbart, ist sie mit Abnahme des Ergebnisberichts fällig. Bei Zahlungsverzug des Kunden mit mehr als einer Einzelforderung sind sämtliche offenen Forderungen gegen den Kunden sofort fällig.

6. Gerichtsstand, anwendbares Recht

Der Gerichtsstand für sämtliche aus diesem Vertrag entstandenen Streitigkeiten ist Münster. Es gilt ausschließlich deutsches Recht, auch bei Kundenbeziehungen im Ausland.

7. Haftung

Die Haftung für leichte Fahrlässigkeit ist ausgeschlossen, sofern diese keine vertragswesentlichen Pflichten, Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit oder Garantien betreffen oder solche nach dem Produkthaftungsgesetz berühren. Die vorstehende Haftungsbeschränkung gilt auch zugunsten der gesetzlichen Vertreter und Erfüllungsgehilfen der Cortina Consult GmbH, wenn und soweit Ansprüche direkt gegen diese geltend gemacht werden. Cortina Consult haftet nicht für mittelbare Folgen einer vereinbarungsgemäß und im freigegebenen Rahmen durchgeführten Simulation (z. B. Betriebsablaufstörungen, Fehlalarme, Reaktionen des Kunden oder Dritter). Jede Partei kann die Simulation jederzeit über den in den Auftragsunterlagen geregelten Notfall-Stopp abbrechen. Als Unternehmensberatung stellt unsere Tätigkeit keine Rechtsdienstleistung im Sinne des § 2 Abs. 1 Rechtsdienstleistungsgesetz dar. Wir erteilen ausdrücklich keine rechtsverbindliche Einzelfallberatung. Dies gilt sowohl für unsere persönliche Beratungsdienstleistung als auch für unsere Produkte. Wir übernehmen keine Haftung für Schäden, die durch falsche oder unvollständige Angaben des Vertragspartners entstehen.

8. Urheberrecht und Nutzungsrechte

Der Ergebnisbericht und die zugehörigen Auswertungen stellen geistige Werke dar und unterliegen dem Urheberrecht. Sie erhalten ein einfaches, nicht übertragbares Nutzungsrecht für Ihre internen Zwecke. Eine Weitergabe an Dritte oder eine Veröffentlichung – auch auszugsweise – bedarf der vorherigen Zustimmung der Cortina Consult GmbH.

9. Vertragsdauer / Kündigung

Der Vertrag über die Phishing-Simulation ist projektbezogen und endet mit Abnahme des Ergebnisberichts. Bis zum Versandbeginn kann der Auftrag in Textform storniert werden; bereits erbrachte Vorleistungen sind zu vergüten. Daneben besteht das Notfall-Stopp-Recht gemäß den Auftragsunterlagen. Ein Sonderkündigungsrecht der Cortina Consult GmbH besteht insbesondere bei groben Verstößen gegen Ihre in Abschnitt IV beschriebenen Pflichten. Eine Kündigung bedarf der Schriftform.

10. Sonstiges

a) Wartungs- und Supportleistungen können wir nur während unserer Geschäftszeiten gewährleisten. Diese sind werktags (Montag–Freitag) zwischen 8:00 und 18:00 Uhr. b) Eine Nennung des Auftraggebers als Referenz, insbesondere unter Verwendung von Firma, Logo oder Projektdetails, erfolgt nur nach vorheriger ausdrücklicher Zustimmung des Auftraggebers. c) Bezüglich unserer datenschutzrechtlichen Informationspflichten verweisen wir auf unsere Datenschutzerklärung.