Allgemeine Geschäftsbedingungen
Stand: Mai 2025
1. Allgemeines und Geltungsbereich
Die nachfolgenden Allgemeinen Geschäftsbedingungen ("AGB") regeln das Vertragsverhältnis zwischen der Alptec, 202151, Justus-Liebig-Straße 2-4, 41564 Kaarst, Deutschland ("Anbieter") und den Nutzern ("Kunden") der Echtzeit-Phishing-Simulationsplattform ("Plattform"). Mit der Nutzung der Plattform akzeptiert der Kunde diese AGB.
Abweichende Bedingungen des Kunden werden nicht anerkannt, sofern der Anbieter diesen nicht ausdrücklich zugestimmt hat.
2. Vertragsgegenstand
Der Anbieter stellt dem Kunden eine webbasierte Plattform zur Durchführung von Phishing-Simulationen für Sensibilisierungs- und Schulungszwecke zur Verfügung. Die Plattform dient ausschließlich der Verbesserung der IT-Sicherheit durch Aufklärung und Training von Mitarbeitern des Kunden.
Die Phishing-Simulationen werden in einem kontrollierten Umfeld durchgeführt und sind so konzipiert, dass keine Schäden an IT-Systemen entstehen oder echte Daten kompromittiert werden.
3. Erforderliche Berechtigungen und Pflichten des Kunden
3.1 Berechtigungen zur Durchführung von Simulationen
Der Kunde sichert ausdrücklich zu, dass er vor Durchführung jeder Phishing-Simulation alle erforderlichen Berechtigungen und Zustimmungen von:
- der eigenen Unternehmensleitung,
- den zuständigen IT-Sicherheitsverantwortlichen,
- ggf. dem Betriebsrat oder vergleichbaren Arbeitnehmervertretungen und
- den zuständigen Datenschutzbeauftragten
eingeholt hat. Der Kunde ist verpflichtet, alle Mitarbeiter vorab allgemein über mögliche Phishing-Tests zu informieren, ohne spezifische Details oder Zeitpunkte zu nennen.
3.2 Begrenzung des Einsatzbereichs
Die Phishing-Simulationen dürfen ausschließlich innerhalb der eigenen Organisation des Kunden und nur an Personen durchgeführt werden, die in einem Beschäftigungsverhältnis zum Kunden stehen oder vertraglich mit diesem verbunden sind. Die Durchführung von Simulationen gegenüber externen Dritten, Kunden oder Geschäftspartnern ist streng untersagt.
3.3 Verantwortungsvolle Nutzung
Der Kunde verpflichtet sich, die Plattform verantwortungsvoll und ausschließlich zu Schulungs- und Sensibilisierungszwecken zu nutzen. Die Simulationen dürfen nicht:
- zur Überwachung oder Bewertung individueller Mitarbeiterleistungen,
- als Grundlage für personelle Maßnahmen oder Abmahnungen,
- zur Erhebung von leistungsbezogenen Daten einzelner Mitarbeiter
verwendet werden. Die Ergebnisse sollen primär der Gesamtverbesserung der Sicherheitskultur dienen.
4. Datenschutz und Datensicherheit
Der Kunde muss sicherstellen, dass alle datenschutzrechtlichen Bestimmungen, insbesondere gemäß DSGVO, eingehalten werden. Die vom Kunden hochgeladenen E-Mail-Adressen und Namen von Mitarbeitern werden ausschließlich für die Durchführung der Phishing-Simulationen verwendet.
Der Anbieter verarbeitet alle Daten in Übereinstimmung mit seiner Datenschutzerklärung und den geschlossenen Auftragsverarbeitungsvereinbarungen. Die Daten werden für die Dauer von 30 Tagen nach Abschluss der Simulation gespeichert und anschließend automatisch gelöscht, sofern keine andere Vereinbarung getroffen wurde.
5. Laufzeit und Vergütung
Die Plattform wird auf Basis verschiedener Preismodelle angeboten. Die Vergütung richtet sich nach dem gewählten Paket gemäß der aktuellen Preisliste. Es handelt sich hierbei um einmalige Kosten für die jeweilige Simulation, nicht um ein fortlaufendes Abonnement. Alle Preise verstehen sich zuzüglich der gesetzlichen Mehrwertsteuer.
Die Phishing-Kampagnen haben standardmäßig eine Laufzeit von 30 Tagen. In diesem Zeitraum werden die simulierten Phishing-E-Mails in einem realistischen Muster an die Mitarbeiter des Kunden versendet. Nach Ablauf dieser Zeit oder nach manueller Beendigung durch den Kunden endet die Kampagne automatisch.
6. Haftung
Der Anbieter haftet unbeschränkt für Vorsatz und grobe Fahrlässigkeit sowie für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. Für leichte Fahrlässigkeit haftet der Anbieter nur bei Verletzung einer wesentlichen Vertragspflicht und begrenzt auf den vorhersehbaren, vertragstypischen Schaden.
Der Kunde stellt den Anbieter von allen Ansprüchen Dritter frei, die aufgrund einer nicht autorisierten oder unsachgemäßen Nutzung der Plattform entstehen. Dies gilt insbesondere für die Durchführung von Phishing-Simulationen ohne ausreichende Berechtigungen oder gegenüber unberechtigten Dritten.
7. Beendigung der Simulation
Die Phishing-Simulation kann jederzeit durch Klicken des "Simulation beenden"-Buttons im Dashboard vorzeitig beendet werden. Eine Rückerstattung ist nicht möglich. Mit der Beendigung der Simulation werden keine weiteren simulierten Phishing-E-Mails mehr versendet, und der Zugriff auf die Ergebnisse bleibt für weitere 30 Tage erhalten.
Der Anbieter behält sich das Recht vor, eine Simulation zu beenden, wenn der Kunde gegen seine Pflichten aus Ziffer 3 dieser AGB verstößt. In diesem Fall erfolgt keine Rückerstattung der entrichteten Vergütung.
8. Vertraulichkeit
Beide Parteien verpflichten sich, alle im Rahmen der Vertragsbeziehung erhaltenen vertraulichen Informationen, insbesondere die Ergebnisse der Phishing-Simulationen, streng vertraulich zu behandeln und nicht an Dritte weiterzugeben.
9. Änderungen der AGB
Der Anbieter behält sich vor, diese AGB jederzeit zu ändern. Änderungen werden dem Kunden spätestens 30 Tage vor ihrem Inkrafttreten per E-Mail mitgeteilt. Widerspricht der Kunde nicht innerhalb von 14 Tagen nach Erhalt der Mitteilung, gelten die geänderten AGB als angenommen.
10. Schlussbestimmungen
Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Erfüllungsort und ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist Mönchengladbach, sofern der Kunde Kaufmann, eine juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen ist.
Sollten einzelne Bestimmungen dieser AGB unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt.