1. Geltungsbereich und Vertragsgegenstand

Die nachfolgenden Allgemeinen Geschäftsbedingungen gelten für alle Verträge zwischen der Faktly GmbH, Churerstrasse 54, 8808 Pfäffikon SZ, Schweiz (nachfolgend «Faktly») und ihren Auftraggebern/Kunden (nachfolgend «Kunde») über Dienstleistungen wie zB. Cybersecurity und Software-Entwicklung. Dazu gehören insbesondere Dienstleistungen wie Penetrationstests, Red Teaming, Blue Teaming, Sicherheits-Audits, Beratung und verwandte Leistungen. Diese AGB gelten in ihrer jeweiligen Fassung auch als Rahmenvereinbarung für künftige Verträge mit demselben Kunden, ohne dass Faktly im Einzelfall nochmals darauf hinweisen muss. Faktly wird den Kunden über Änderungen dieser AGB informieren.

Keine Verbraucher

Diese AGB finden ausschliesslich Anwendung im Geschäftsverkehr mit Unternehmen. Sie gelten nicht für Verträge mit Konsumenten/Verbrauchern im Sinne der gesetzlichen Bestimmungen.

Vorrang individueller Abreden

Abweichende oder ergänzende Geschäftsbedingungen des Kunden werden nicht Vertragsbestandteil, es sei denn, Faktly hat ihrer Geltung ausdrücklich und schriftlich zugestimmt. Individuell zwischen Faktly und dem Kunden getroffene Vereinbarungen (einschliesslich Nebenabreden, Ergänzungen und Änderungen) haben stets Vorrang vor diesen AGB, sofern sie schriftlich (mindestens in Textform, z.B. E-Mail) bestätigt wurden.

Vertragsschluss

Sofern nicht anders angegeben, sind Angebote von Faktly ab Ausstellungsdatum eine Woche lang gültig. Ein Vertrag zwischen Faktly und dem Kunden kommt erst zustande, wenn der Kunde das Angebot von Faktly innerhalb dieser Frist schriftlich (z.B. per E-Mail) annimmt oder wenn Faktly die Beauftragung ihrerseits schriftlich bestätigt. Faktly behält sich das Recht vor, Angebote bis zur Annahme zu widerrufen.

Rechte an Angeboten

Faktly behält an allen von ihr erstellten Angeboten, Konzepten, Entwürfen und Unterlagen die Eigentums- und Urheberrechte. Der Kunde darf solche Unterlagen ohne vorherige schriftliche Zustimmung von Faktly weder ganz noch auszugsweise vervielfältigen noch Dritten zugänglich machen. Insbesondere Unterlagen, die als vertraulich gekennzeichnet sind, dürfen nur mit schriftlicher Zustimmung von Faktly an Dritte weitergegeben werden.

Keine mündlichen Nebenabreden

Erklärungen oder Zusicherungen von Mitarbeitern oder Erfüllungsgehilfen von Faktly, die über den schriftlichen Vertrag hinausgehen, sind für Faktly nur verbindlich, wenn Faktly sie schriftlich bestätigt. Rechtserhebliche Erklärungen und Anzeigen, die der Kunde Faktly nach Vertragsschluss übermittelt (z.B. Kündigungen, Fristsetzungen, Mängelanzeigen), müssen in Textform (mindestens per E-Mail) erfolgen, um wirksam zu sein.

2. Leistungsbeschreibung

Umfang der Leistungen

Faktly erbringt für den Kunden professionelle Cybersecurity-Leistungen und Software-Entwicklung. Dazu zählen insbesondere Sicherheitsüberprüfungen von IT-Systemen (wie Penetrationstests), simulierte Angriffe zur Überprüfung der Abwehrbereitschaft (Red Teaming), Unterstützung bei der Abwehr und Verbesserung der Sicherheitsmassnahmen (Blue Teaming), Sicherheits-Audits, Beratungsleistungen und verwandte Tätigkeiten. Gegebenenfalls prüft Faktly vorhandene Anwendungen und Systeme des Kunden auf Schwachstellen und unterstützt den Kunden dabei, basierend auf den Ergebnissen dieser Prüfung, geeignete Verbesserungsmassnahmen umzusetzen.

Vertragsgegenstand und Auftragsbestätigung

Der genaue Inhalt und Umfang der zu erbringenden Leistungen wird für jeden Auftrag individuell vereinbart und ergibt sich aus dem Angebot, der Auftragsbestätigung und etwaigen Leistungsbeschreibungen oder Anhängen zum Vertrag. Diese Dokumente werden Bestandteil des Vertrags zwischen Faktly und dem Kunden. Faktly erbringt die Leistungen als selbstständiger Dienstleister. Soweit nicht anders im Auftrag festgelegt, entscheidet Faktly nach eigenem fachlichen Ermessen über die Art und Weise der Leistungserbringung, den Ablauf des Projekts und setzt qualifiziertes eigenes Personal oder beauftragte Partner ein, um die Aufgaben zu erfüllen.

Qualitätsstandards

Faktly verpflichtet sich, jeden Auftrag fachgerecht, zweckmässig und nach dem aktuellen Stand der Technik auszuführen. Die Dienstleistungen werden mit der gebotenen Sorgfalt und unter Berücksichtigung anerkannter fachlicher Standards erbracht, um für den Kunden eine sinnvolle und wirtschaftliche Lösung zu erzielen. Sollte Faktly nachträglich Unrichtigkeiten oder Mängel in ihren Arbeitsergebnissen feststellen, wird Faktly diese Fehler in angemessener Frist korrigieren und den Kunden darüber informieren.

Termine und Fristen

Falls Termine für die Leistungserbringung vereinbart werden, hält sich Faktly daran, sofern der Kunde seinen Mitwirkungspflichten nachkommt (siehe Punkt 3). Von Faktly genannte Fristen oder Termine sind jedoch nur dann verbindlich, wenn sie von Faktly ausdrücklich schriftlich als verbindlich bestätigt wurden. Ansonsten gelten Zeitangaben als ungefähre Richtwerte. Wird ein ausdrücklich verbindlicher Termin aus Gründen überschritten, die Faktly nicht zu vertreten hat (z.B. Fälle höherer Gewalt oder unvorhergesehene Umstände), wird Faktly den Kunden unverzüglich informieren und einen neuen Termin abstimmen. Ist die Leistung auch innerhalb dieser neu festgelegten Frist aus Gründen, die ausserhalb der Kontrolle von Faktly liegen, nicht möglich, sind beide Parteien berechtigt, ganz oder teilweise vom Vertrag zurückzutreten. In einem solchen Fall wird eine bereits vom Kunden geleistete Vergütung für nicht erbrachte Leistungen zurückerstattet. Das Verstreichen nicht verbindlich zugesagter Termine berechtigt den Kunden in keinem Fall zum Rücktritt vom Vertrag oder zu Schadensersatz, solange nicht zuvor eine angemessene Nachfrist gesetzt wurde.

Änderungen des Leistungsumfangs

Der Kunde kann während der Projektdurchführung Änderungen oder Ergänzungen des vereinbarten Leistungsumfangs vorschlagen. In diesem Fall gilt:

  • Faktly wird den Änderungswunsch prüfen und dem Kunden mitteilen, welche Auswirkungen die vorgeschlagene Änderung voraussichtlich auf den Zeitplan, den Aufwand und die Vergütung hat.
  • Die Vertragsparteien werden sich dann abstimmen und eine schriftliche Zusatzvereinbarung über die Anpassung des Vertrags (insbesondere bezüglich Leistungsbeschreibung, Vergütung und Terminen) treffen, bevor Faktly mit der Umsetzung der Änderungswünsche beginnt.
  • Findet keine Einigung über die Vertragsänderung statt, ist Faktly berechtigt, den Änderungswunsch abzulehnen und den Auftrag entsprechend dem ursprünglich vereinbarten Umfang fortzuführen.
  • Änderungen, die notwendig werden, ohne dass der Kunde sie zu vertreten hat (z.B. aufgrund unvorhergesehener technischer Entwicklungen oder notwendiger Anpassungen), berechtigen Faktly nicht automatisch zu einer zusätzlichen Vergütung. Zusätzliche Vergütungen für solche Änderungen kann Faktly nur verlangen, wenn dies mit dem Kunden ausdrücklich vereinbart wurde.
  • Änderungswünsche des Kunden, die über den ursprünglich vereinbarten Leistungsumfang hinausgehen (Change Requests), sind schriftlich zu formulieren und werden von Faktly geprüft. Ergibt sich daraus ein zusätzlicher Aufwand, unterbreitet Faktly ein entsprechendes Nachtragsangebot. Erst nach schriftlicher Zustimmung des Kunden gelten diese Zusatzleistungen als vereinbart und werden separat vergütet.

Schulung und Know-how-Transfer

Auf Wunsch bietet Faktly ergänzende Schulungen, Workshops oder individuelle Know-how-Übergaben an. Inhalte, Dauer und Ort werden separat abgestimmt. Die Durchführung erfolgt vor Ort oder remote und wird gemäss vereinbartem Stunden- oder Pauschalsatz zusätzlich vergütet.

3. Pflichten des Kunden

Der Kunde unterstützt Faktly bei der Durchführung der Leistungen. Insbesondere verpflichtet sich der Kunde zu folgender Mitwirkung:

  • Benennung eines Ansprechpartners: Der Kunde benennt einen kompetenten Ansprechpartner sowie Stellvertreter, die für alle Fragen und Abstimmungen im Rahmen der Durchführung des Auftrags zur Verfügung stehen. Diese Personen sind befugt, verbindliche Entscheidungen für den Kunden zu treffen oder zeitnah herbeizuführen.
  • Kooperation und Informationen: Der Kunde wird die Tätigkeit von Faktly in angemessenem Umfang fördern und unterstützen. Insbesondere stellt der Kunde Faktly rechtzeitig und vollständig alle notwendigen Daten, Unterlagen, Informationen, Zugänge und Vorlagen zur Verfügung, die für die Erbringung der Leistungen wesentlich sind. Der Kunde informiert Faktly unverzüglich über alle Umstände in seinem Bereich, die im Verlauf des Projekts auftreten und die Durchführung der Leistungen beeinflussen könnten.
  • Rechte an bereitgestellten Materialien: Der Kunde sichert zu, dass er über alle erforderlichen Rechte an den von ihm bereitgestellten Unterlagen und Materialien (z.B. Texte, Grafiken, Logos, Dateien, Zugangsdaten, Software etc.) verfügt und dass durch deren Nutzung im Rahmen des Auftrags keine Rechte Dritter verletzt werden. Der Kunde räumt Faktly an den zur Verfügung gestellten Materialien die für die Vertragserfüllung erforderlichen Nutzungsrechte ein. Sollte ein Dritter wegen der Verwendung dieser Materialien durch Faktly Ansprüche geltend machen, stellt der Kunde Faktly von solchen Ansprüchen Dritter frei (inklusive angemessener Kosten der Rechtsverteidigung).
  • Entscheidungen und Freigaben: Der Kunde wird nicht unnötig zögern, Entscheidungen zu treffen oder Freigaben zu erteilen, die für den Fortgang des Projekts erforderlich sind. Insbesondere teilt der Kunde Faktly innerhalb angemessener Zeit – in der Regel innert 5 Werktagen – mit, ob er einen von Faktly vorgelegten Plan, Vorschlag oder ein Konzept akzeptiert oder ablehnt.
  • Verzögerungen und Wartezeiten: Reagiert der Kunde auf Anfragen, Vorschläge oder Freigabeersuchen von Faktly nicht innerhalb einer angemessenen Frist, kann dies den Projektablauf beeinträchtigen. Bleibt eine erforderliche Rückmeldung des Kunden trotz schriftlicher Erinnerung weitere 3 Werktage aus und entsteht dadurch eine unübliche Wartezeit, ist Faktly berechtigt, diese Wartezeit dem Kunden mit 50% des vereinbarten Stundensatzes in Rechnung zu stellen. Eine unübliche Wartezeit liegt insbesondere vor, wenn die Bearbeitung des Projekts nachweislich stillsteht, weil eine Rückmeldung oder Entscheidung des Kunden fehlt, und Faktly die Verzögerung nicht zu vertreten hat. Diese Vergütungspflicht entfällt, wenn der Kunde nachweist, dass er die Verzögerung nicht zu verschulden hat.
  • Systemzugriff und Berechtigungen: Der Kunde stellt sicher, dass Faktly für die Durchführung der Sicherheitstests alle erforderlichen Zugriffsrechte auf die zu testenden Systeme, Anwendungen und Netzwerke erhält. Der Kunde versichert, dass er Eigentümer, Betreiber oder vom Eigentümer autorisiert ist, die betreffenden Systeme auf Sicherheit prüfen zu lassen. Sofern Dritte (z.B. Hosting- oder Cloud-Anbieter, externe Dienstleister) involviert sind, holt der Kunde vorab die Genehmigung dieser Dritten für die geplanten Tests ein, soweit dies erforderlich ist.
  • Datensicherung: Vor Beginn von sicherheitsrelevanten Tests (insbesondere Penetrationstests oder ähnlichen Eingriffen in seine IT-Systeme) sorgt der Kunde dafür, dass sämtliche wichtigen Daten aktuell gesichert sind (z.B. durch Erstellung von Backups). Der Kunde trifft angemessene Vorkehrungen, um eventuellen Datenverlust oder Systemausfälle während oder infolge der Tests zu verhindern oder deren Auswirkungen zu minimieren.
  • Prüfung der Ergebnisse (Abnahme): Nach Abschluss der von Faktly erbrachten Leistungen – etwa durch Lieferung eines Abschlussberichts, eines Testergebnisses oder einer entwickelten Software – wird der Kunde die gelieferten Ergebnisse in angemessener Frist prüfen. Etwaige Mängel oder Abweichungen von den vereinbarten Anforderungen sind Faktly unverzüglich schriftlich mitzuteilen. Bleibt eine solche Mitteilung aus, gelten die Ergebnisse nach Ablauf einer angemessenen Frist (in der Regel spätestens 10 Werktage nach Lieferung) als vom Kunden genehmigt bzw. abgenommen. Unwesentliche Mängel, die die Nutzung der Leistung nicht erheblich beeinträchtigen, berechtigen den Kunden nicht zur Verweigerung der Abnahme.

Kommt der Kunde seinen Mitwirkungspflichten oder Zahlungsverpflichtungen trotz schriftlicher Mahnung nicht nach, ist Faktly berechtigt, die Leistungserbringung bis zur vollständigen Nachholung auszusetzen. Daraus entstehende Projektverzögerungen oder Zusatzkosten gehen zu Lasten des Kunden. Faktly kann in diesem Fall eine angemessene Verlängerung von Fristen verlangen oder das Vertragsverhältnis bei wiederholtem Verstoss fristlos kündigen.

4. Haftung und Risiken

Haftungsgrundsätze

Die Haftung von Faktly für Vertragsverletzungen oder deliktische Handlungen richtet sich nach folgenden Grundsätzen:

  • Für Schäden, die Faktly oder ihre Erfüllungsgehilfen vorsätzlich oder grob fahrlässig verursacht haben, haftet Faktly unbeschränkt nach den gesetzlichen Bestimmungen.
  • Bei leicht fahrlässiger Verletzung wesentlicher Vertragspflichten haftet Faktly nur in Höhe des vorhersehbaren, vertragstypischen Schadens. Wesentliche Vertragspflichten sind solche Pflichten, deren Erfüllung die ordnungsgemässe Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmässig vertrauen darf. Nicht ersetzt werden in solchen Fällen mittelbare Schäden wie entgangener Gewinn, erwartete Einsparungen oder Folgeschäden, soweit diese nicht typischerweise zu erwarten waren.
  • Bei der leicht fahrlässigen Verletzung nicht wesentlicher Pflichten aus dem Vertragsverhältnis haftet Faktly nicht für daraus resultierende Schäden.
  • Die vorstehenden Haftungsbeschränkungen gelten nicht für Schäden aus der Verletzung von Leben, Körper oder Gesundheit. Ebenfalls unberührt bleiben Ansprüche des Kunden, soweit Faktly ausdrücklich eine Garantie übernommen hat (z.B. eine Beschaffenheitsgarantie) oder einen Mangel arglistig verschwiegen hat. Die Haftung nach zwingenden gesetzlichen Vorschriften, etwa nach dem anwendbaren Produktehaftpflichtgesetz, bleibt ebenfalls unbeschränkt bestehen.
  • Soweit die Haftung von Faktly ausgeschlossen oder beschränkt ist, gilt dies auch für die persönliche Haftung der Organe, Angestellten und Erfüllungsgehilfen von Faktly.

Risiken von Sicherheitstests

Der Kunde nimmt zur Kenntnis, dass bestimmte Leistungen von Faktly – insbesondere Penetrationstests oder simulierte Angriffe – mit technischen Eingriffen in die Systeme des Kunden verbunden sind. Faktly führt alle Tests mit grösstmöglicher Sorgfalt und nach bewährten Methoden durch, dennoch kann nicht vollständig ausgeschlossen werden, dass es dabei zu Beeinträchtigungen kommt. Solche Beeinträchtigungen können z.B. Leistungsabfall, Systemabstürze oder Datenverluste auf Seiten des Kunden umfassen. Der Kunde hat durch geeignete Massnahmen (siehe Punkt 3, Datensicherung) vorzusorgen. Faktly haftet für solche mit der vertragsgemässen Testdurchführung verbundenen Schäden nur im Falle von Vorsatz oder grober Fahrlässigkeit. Für unvorhersehbare oder unvermeidbare Risiken, die selbst bei sorgfältiger Durchführung typisch für Sicherheitsprüfungen sind, übernimmt Faktly keine Haftung.

5. Geheimhaltung und Datenschutz

Vertrauliche Informationen

Beide Vertragsparteien verpflichten sich, sämtliche vertraulichen Informationen der jeweils anderen Partei geheim zu halten. Als „vertrauliche Informationen“ gelten alle Informationen und Unterlagen einer Partei, die der anderen Partei im Zusammenhang mit dem Auftrag bekannt werden und die geschäftliche, technische oder finanzielle Vorgänge der offenlegenden Partei betreffen. Dazu zählen insbesondere, aber nicht ausschliesslich: Dokumentationen, Berichte, Angebote, Konzepte, Zeichnungen, Pläne, Quellcodes, Kundendaten, Geschäftsgeheimnisse sowie alle Informationen, die als vertraulich gekennzeichnet sind oder aufgrund ihres Inhalts als vertraulich erkennbar sind.

Verpflichtung zur Geheimhaltung

Beide Parteien werden vertrauliche Informationen der jeweils anderen Partei streng vertraulich behandeln und ausschliesslich für die Durchführung des jeweiligen Auftrags verwenden. Eine Weitergabe an Dritte ist – abgesehen von den in diesem Vertrag zugelassenen Fällen – untersagt. Die Geheimhaltungspflicht beginnt mit erstmaliger Kenntnis der vertraulichen Information und gilt zeitlich unbeschränkt, auch nach Beendigung des Vertragsverhältnisses fort.

Weitergabe intern und an Beauftragte

Beide Parteien dürfen vertrauliche Informationen nur solchen Mitarbeitern oder beauftragten Dritten zugänglich machen, die diese Informationen zur Erfüllung des Auftrags kennen müssen. Diese Personen sind entsprechend auf Geheimhaltung zu verpflichten. Die Parteien stellen sicher, dass die Geheimhaltungspflicht auch nach Ausscheiden der betreffenden Mitarbeiter oder nach Beendigung der Zusammenarbeit mit Dritten weiterbesteht.

Ausnahmen von der Geheimhaltung: Die vorstehenden Geheimhaltungspflichten gelten nicht für Informationen, bei denen der Beweis geführt werden kann, dass:

  • sie der empfangenden Partei bereits vor dem Empfang durch die offenlegende Partei rechtmässig bekannt waren;
  • sie zum Zeitpunkt der Weitergabe durch die offenlegende Partei allgemein zugänglich oder öffentlich bekannt waren oder später ohne Verstoss der empfangenden Partei gegen diese Vereinbarung allgemein zugänglich oder bekannt wurden;
  • sie von der offenlegenden Partei schriftlich von der Vertraulichkeitsverpflichtung freigegeben wurden;
  • sie von einem Dritten rechtmässig erlangt wurden, der keiner vergleichbaren Geheimhaltungspflicht unterliegt;
  • sie von der empfangenden Partei unabhängig und selbstständig entwickelt wurden, ohne Rückgriff auf vertrauliche Informationen der anderen Partei; oder
  • sie aufgrund gesetzlicher Vorschriften, gerichtlicher Anordnung oder behördlicher Auflagen offenbart werden müssen. In diesem Fall wird die zur Offenlegung verpflichtete Partei – soweit rechtlich zulässig – die andere Partei so früh wie möglich schriftlich benachrichtigen und alle angemessenen Schritte unternehmen, um den Umfang der Offenlegung zu begrenzen und der anderen Partei Gelegenheit zu geben, gegen die Offenlegung vorzugehen.

Datenschutz

Beide Parteien werden die jeweils anwendbaren Datenschutzgesetze einhalten. Faktly ist berechtigt, die im Rahmen des Auftrags vom Kunden erhaltenen oder im Zuge der Leistungserbringung entstandenen Daten und Informationen elektronisch zu speichern und zu verarbeiten, soweit dies zur Vertragserfüllung erforderlich ist und unter Beachtung der datenschutzrechtlichen Bestimmungen erfolgt. Personenbezogene Daten des Kunden wird Faktly nur für vertragliche Zwecke nutzen und insbesondere nicht an unberechtigte Dritte weitergeben. Ebenso verpflichtet sich der Kunde, personenbezogene Daten von Faktly oder deren Mitarbeitern, die ihm bekannt werden, vertraulich und gemäss den Datenschutzvorschriften zu behandeln. Die Einzelheiten zum Datenschutz können in der separaten Datenschutzerklärung nachgelesen werden.

6. Rechte an Arbeitsergebnissen und Berichten

Urheberrechte und Nutzungsrechte

Alle Arbeitsergebnisse, Unterlagen, Berichte, Analysen, Software oder sonstige Werke, die von Faktly und ihren Mitarbeitern oder beauftragten Dritten im Rahmen eines Auftrags geschaffen werden, unterliegen dem Urheberrecht von Faktly bzw. der jeweiligen schöpferischen Person. Faktly räumt dem Kunden an diesen Arbeitsergebnissen ein einfaches (nicht-ausschliessliches), räumlich und zeitlich unbeschränktes Nutzungsrecht ein, ausschliesslich zum vertraglich vereinbarten Zweck:

  • Der Kunde darf die von Faktly erbrachten Leistungen und Ergebnisse nur für eigene interne Zwecke im Rahmen des Vertrags verwenden. Eine Weitergabe an Dritte oder sonstige Verwertung (z.B. Veröffentlichung von Prüfberichten, Weiterverkauf von entwickelter Software) ist dem Kunden nur mit vorheriger schriftlicher Zustimmung von Faktly gestattet.
  • Ohne ausdrückliche Zustimmung von Faktly ist es dem Kunden insbesondere untersagt, die von Faktly gelieferten Berichte, Dokumente oder Empfehlungen zu vervielfältigen oder zu veröffentlichen. Zulässig ist jedoch die interne Vervielfältigung für die Mitarbeiter des Kunden, soweit dies zur Nutzung der Ergebnisse für den vorgesehenen Zweck nötig ist.
  • Gibt der Kunde Arbeitsergebnisse von Faktly ohne Genehmigung an Dritte weiter oder vervielfältigt diese unberechtigt, übernimmt Faktly keine Haftung gegenüber diesen Dritten, insbesondere nicht für die inhaltliche Richtigkeit oder Vollständigkeit der weitergegebenen Leistungen.
  • Vertragsverletzung: Im Falle eines Verstosses des Kunden gegen die vorstehenden Bestimmungen über Nutzungsrechte ist Faktly berechtigt, den betreffenden Vertrag mit sofortiger Wirkung (fristlos) zu kündigen. Weitergehende Ansprüche von Faktly bleiben unberührt – Faktly kann insbesondere Unterlassung der weiteren Nutzung verlangen und Schadenersatz fordern, falls dem Unternehmen durch den Verstoss ein Schaden entstanden ist.

Recht zur Nutzung von Logo und Case Study

Der Kunde räumt Faktly das Recht ein, das eigene Firmenlogo sowie ein anonymisiertes Fallbeispiel (Case Study) über das abgeschlossene Projekt auf der Website von Faktly sowie in Marketingunterlagen zu verwenden. Die Veröffentlichung erfolgt ausschliesslich zu Referenzzwecken. Faktly verpflichtet sich, sensible oder vertrauliche Informationen nur mit gesonderter Zustimmung zu nennen.

7. Vertragslaufzeit und Kündigung

Vertragsdauer

Die Dauer des Vertrages richtet sich nach der Art des Auftrags. Projektverträge(Werkverträge über eine bestimmte Leistung, z.B. einen Penetrationstest samt Bericht) enden mit Erfüllung der vereinbarten Leistungen, d.h. mit Ablieferung der Ergebnisse bzw. Abschluss des Projekts. Dauerschuldverhältnisse (z.B. laufende Beratungs- oder Monitoring-Verträge ohne festes Enddatum) laufen auf unbestimmte Zeit.

Ordentliche Kündigung bei Dauerschuldverhältnissen

Verträge mit unbestimmter Laufzeit können von beiden Parteien jederzeit mit einer Frist von 30 Tagen zum Monatsende ordentlich gekündigt werden, sofern nicht anderweitig im Vertrag eine abweichende Kündigungsfrist festgelegt ist. Eine ordentliche Kündigung eines befristeten Projektvertrages vor Abschluss des Projekts ist ausgeschlossen, soweit nicht anders vereinbart.

Ausserordentliche Kündigung

Das Recht beider Parteien zur fristlosen Kündigung aus wichtigem Grund bleibt stets vorbehalten. Ein wichtiger Grund liegt für Faktly insbesondere dann vor, wenn der Kunde mit einer fälligen Zahlung in Verzug ist und trotz Mahnung mit angemessener Fristsetzung nicht zahlt, oder wenn der Kunde schwerwiegend gegen vertragliche Pflichten (z.B. Geheimhaltung oder Mitwirkungspflichten) verstösst. Für beide Parteien gilt ein wichtiger Grund auch, wenn über das Vermögen der anderen Partei ein Insolvenz- oder Konkursverfahren eröffnet wird oder die Eröffnung mangels Masse abgewiesen wird. In solchen Fällen kann die jeweils andere Partei den Vertrag fristlos kündigen.

Form der Kündigung

Jede Kündigung hat schriftlich zu erfolgen. Zur Wahrung der Schriftform genügt Textform (z.B. Kündigung per E-Mail), sofern nicht aus Beweisgründen eine unterschriebene Erklärung auf Papier oder in elektronisch signierter Form verlangt wird.

Leistungen bis zum Vertragsende

Bei einer vorzeitigen Vertragsbeendigung sind die bis zu diesem Zeitpunkt von Faktly erbrachten Leistungen vom Kunden zu vergüten. Dies gilt auch, wenn die Leistungen noch nicht abgenommen wurden, jedoch bereits vertragsgemäss erbracht oder bereitgestellt sind. Faktly wird dem Kunden hierzu eine Schlussrechnung stellen. Im Voraus gezahlte Beträge für noch nicht erbrachte Leistungen wird Faktly dem Kunden im Falle einer Vertragsbeendigung anteilig zurückerstatten, soweit nicht der Kunde durch seine Vertragsverletzung den Anlass zur Kündigung gegeben hat.

Rückgabe von Unterlagen

Nach Beendigung des Vertrags hat jede Partei auf Verlangen der anderen sämtliche vertraulichen Unterlagen und Daten der anderen Partei, die sich in ihrem Besitz befinden, herauszugeben oder nachweisbar zu löschen, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Faktly kann vom Kunden erhaltene Unterlagen auch zurückbehalten, bis alle offenen Forderungen aus dem Vertrag erfüllt sind, sofern dem nicht zwingendes Recht entgegensteht.

8. Zusammenarbeit der Teams

Beide Parteien streben eine partnerschaftliche und effiziente Zusammenarbeit an, um die Projektziele zu erreichen. Insbesondere gelten folgende Grundsätze für die Kooperation zwischen den Teams von Faktly und des Kunden:

  • Zugang und Ressourcen: Der Kunde stellt sicher, dass Faktly die erforderlichen Zugangsberechtigungen, Informationen und Ressourcen erhält, um die vereinbarten Leistungen zu erbringen. Soweit Aufgaben vor Ort beim Kunden durchgeführt werden, stellt der Kunde Faktly angemessene Arbeitsmöglichkeiten zur Verfügung (z.B. Arbeitsplatz, Internetzugang, Zugang zu Testsystemen), damit die Fachleute von Faktly effizient arbeiten können.
  • Mitarbeiterunterstützung: Die Mitarbeiter und Teams des Kunden wirken im nötigen Umfang aktiv bei der Durchführung der Sicherheitsmassnahmen mit. Insbesondere werden relevante Abteilungen (z.B. IT, Security, Netzwerkadministration) eingebunden, damit alle notwendigen Informationen fliessen. Der Kunde unterlässt alles, was die Arbeiten von Faktly unnötig behindern oder verzögern könnte. Stattdessen sollen Hindernisse offen kommuniziert und gemeinsam gelöst werden.
  • Regelmässige Abstimmung: Faktly hält den Kunden über den Fortschritt des Projekts auf dem Laufenden und meldet erkennbare Probleme oder Verzögerungen frühzeitig. Bei längeren Projekten stimmen die Parteien regelmässige Meetings oder Berichte ab, um den Projektstatus zu besprechen. Beide Seiten benennen klare Ansprechpartner (siehe Punkt 3) und sorgen für eine zügige Kommunikation, damit Entscheidungen und Informationen schnell ausgetauscht werden können.
  • Einsatz Dritter (Subunternehmer): Faktly ist berechtigt, zur Leistungserbringung qualifizierte Dritte (z.B. selbstständige Security-Experten oder Partnerunternehmen) hinzuzuziehen, sofern dies erforderlich oder zweckmässig ist. Faktly bleibt auch bei Einbindung Dritter alleiniger Vertragspartner des Kunden und verantwortet die vertragsgemässe Leistungserbringung. Faktly stellt sicher, dass auch beauftragte Dritte zur Vertraulichkeit verpflichtet werden und diese AGB – soweit relevant – einhalten. Dem Kunden entstehen durch den Einsatz von Subunternehmern keine zusätzlichen Kosten, sofern nicht im Vorfeld anders vereinbart.
  • Soweit technisch und vertraglich möglich, erfolgt die Leistungserbringung ganz oder teilweise remote. Der Kunde stellt hierfür sichere Zugänge (z. B. VPN, RDP) bereit und gewährleistet, dass diese den aktuellen Sicherheitsstandards entsprechen. Faktly verpflichtet sich, beim Zugriff auf Systeme des Kunden geltende interne Richtlinien einzuhalten, sofern diese vorab schriftlich kommuniziert wurden.

9. Verantwortlichkeiten und Compliance

Einhaltung von Gesetzen

Beide Parteien verpflichten sich, bei der Durchführung des Vertrages sämtliche anwendbaren gesetzlichen Bestimmungen einzuhalten. Faktly wird Sicherheitsprüfungen nur im vereinbarten Umfang durchführen und keine Handlungen vornehmen, die über das vom Kunden autorisierte Mass hinausgehen. Der Kunde seinerseits wird Faktly keine Aufgaben übertragen, die rechtswidrig sind oder gegen behördliche oder regulatorische Vorgaben verstossen.

Berechtigung des Kunden zur Beauftragung

Der Kunde trägt die Verantwortung dafür, dass er berechtigt ist, Faktly mit den vereinbarten Sicherheitstests und Leistungen zu beauftragen. Der Kunde stellt sicher, dass sämtliche zu prüfenden Systeme, Anwendungen und Daten ihm gehören oder dass er die notwendigen Zustimmungen eingeholt hat, um sie von Faktly prüfen zu lassen. Insbesondere bestätigt der Kunde, dass ggf. beteiligte Dritte (z.B. Cloud- oder Hosting-Anbieter) über die geplanten Tests informiert wurden und ihre Genehmigung erteilt haben, falls dies vertraglich oder gesetzlich erforderlich ist.

Verantwortungsbereich des Kunden

Die Verantwortung für den operativen Betrieb, die Administration und die Sicherheit der Systeme des Kunden verbleibt grundsätzlich beim Kunden. Faktly unterstützt den Kunden bei der Verbesserung der Sicherheit durch Tests und Empfehlungen, übernimmt jedoch keine Gewähr dafür, dass der Kunde allen für ihn geltenden branchenspezifischen oder gesetzlichen Anforderungen genügt. Es obliegt dem Kunden, die von Faktly aufgezeigten Schwachstellen zu beheben und für eine kontinuierliche Aktualisierung der Sicherheitsmassnahmen zu sorgen.

Ethische und rechtliche Grundsätze

Der Kunde und Faktly stimmen darin überein, die Zusammenarbeit nach ethischen Grundsätzen und im Rahmen der geltenden Gesetze zu gestalten. Der Kunde wird keine Massnahme von Faktly einfordern, die gegen Gesetze (insbesondere Straf-, Datenschutz- oder Wettbewerbsrecht) verstösst. Faktly wiederum wird keine Techniken oder Methoden einsetzen, die über das notwendige und erlaubte Mass hinausgehen oder die Rechte Dritter verletzen. So werden etwa Tests, die Auswirkungen auf Systeme Dritter haben könnten, nur mit entsprechender Genehmigung durchgeführt.

Freistellung bei Verstössen

Verletzt der Kunde schuldhaft eine seiner Verpflichtungen aus diesen AGB oder verstösst er gegen geltendes Recht, stellt er Faktly sowie deren Organe, Mitarbeiter und Erfüllungsgehilfen von sämtlichen daraus resultierenden Ansprüchen Dritter frei. Dies umfasst auch angemessene Kosten der Rechtsverteidigung. Insbesondere verpflichtet sich der Kunde, Faktly schadlos zu halten und zu verteidigen, falls Dritte (einschliesslich Behörden) wegen der Durchführung der vom Kunden beauftragten Leistungen oder wegen rechtswidriger Handlungen oder Unterlassungen des Kunden Ansprüche gegen Faktly erheben. Faktly wird den Kunden über solche Ansprüche unverzüglich informieren und ihm Gelegenheit geben, an der Rechtsverteidigung mitzuwirken. Weitergehende Rechte und Ansprüche von Faktly bleiben unberührt.

Audit- oder Prüfungsrecht

Faktly ist berechtigt, nach Abschluss eines Projekts stichprobenweise oder auf Anfrage des Kunden zu prüfen, ob empfohlene Sicherheitsmassnahmen korrekt umgesetzt wurden. Diese Überprüfungen erfolgen im Einvernehmen mit dem Kunden und können gesondert vergütet werden, sofern sie nicht im ursprünglichen Auftrag enthalten sind.

10. Vergütung und Zahlungsbedingungen

Die Vergütung für die Leistungen von Faktly sowie die Zahlungsmodalitäten werden im individuellen Auftrag oder Angebot festgelegt. Sofern keine abweichende Vereinbarung getroffen wurde, gilt folgendes Zahlungsmodell:

  • Vergütungsart: Die Leistungen können je nach Vereinbarung auf Pauschalpreis-Basis, nach Zeitaufwand (z.B. zu vereinbarten Stundensätzen oder Tagessätzen) oder als erfolgsabhängige Vergütung abgerechnet werden. Die konkrete Vergütungsform und Höhe ergibt sich aus dem Angebot bzw. der Auftragsbestätigung.
  • Fälligkeit bei Pauschalpreis: Ist ein Festpreis für die gesamte Leistung vereinbart und wurden keine anderen Meilensteinzahlungen definiert, wird die Vergütung in der Regel in zwei Raten fällig: 50% des Gesamtbetrags als Vorauszahlung sofort nach Vertragsschluss (Rechnungsstellung erfolgt unmittelbar, zahlbar innerhalb von 14 Tagen), und die restlichen 50% innerhalb von 14 Tagen nach Abschluss des Projekts, d.h. nach Erbringung der vereinbarten Leistung bzw. Erreichen der definierten Projektziele.
  • Fälligkeit bei Zeit- oder Beratungsaufwand: Laufende Leistungen oder nach Aufwand abgerechnete Projekte werden, soweit nichts Abweichendes vereinbart ist, monatlich nachträglich abgerechnet. Faktly stellt dem Kunden in diesem Fall in regelmässigen Abständen (üblich monatlich) eine detaillierte Rechnung über die geleisteten Stunden/Personentage und Auslagen. Diese Rechnungen sind ebenfalls innerhalb von 14 Tagen ohne Abzug zahlbar.
  • Allgemeine Zahlungsfrist: Soweit in Rechnungen nicht anders angegeben, sind alle Rechnungen von Faktly innerhalb von 14 Kalendertagen ab Rechnungsdatum ohne Abzug zur Zahlung fällig. Zahlungen gelten an dem Tag als geleistet, an dem Faktly über den Betrag verfügen kann.
  • Rechnungsstellung und -versand: Faktly ist berechtigt, Rechnungen dem Kunden in elektronischer Form (per E-Mail) oder in Papierform zu übermitteln. Elektronische Rechnungen gelten mit dem Absendeprotokoll als zugegangen.
  • Verzug: Kommt der Kunde in Zahlungsverzug, so gelten die gesetzlichen Regelungen des jeweiligen Landes. Dies umfasst insbesondere die Verpflichtung des Kunden zum Ersatz des Verzugsschadens und zur Zahlung von Verzugszinsen in gesetzlicher Höhe (in der Schweiz derzeit 5% p.a. gemäss OR 104, in Deutschland 9 Prozentpunkte über dem Basiszinssatz gemäss §288 BGB, jeweils soweit anwendbar). Faktly behält sich vor, bei Zahlungsverzug die weitere Leistungserbringung bis zum Ausgleich offener Beträge zu verweigern oder nur gegen Vorkasse fortzusetzen.
  • Nebenkosten: Etwaige zusätzliche Auslagen im Rahmen der Auftragsdurchführung (z.B. notwendige Reise- und Übernachtungskosten, spezielle Softwarelizenzen, Spesen) werden dem Kunden nur in Rechnung gestellt, wenn dies zuvor vereinbart wurde oder wenn der Kunde diesen Ausgaben ausdrücklich zugestimmt hat. Solche Nebenkosten werden zu den tatsächlich angefallenen Kosten oder gemäss vereinbarter Pauschalen abgerechnet und sind gegen Nachweis zahlbar.
  • Steuern: Alle von Faktly angegebenen Preise und Vergütungen verstehen sich zzgl. der jeweils geltenden Umsatzsteuer/Mehrwertsteuer. Soweit die Leistungen in der Schweiz der Mehrwertsteuer unterliegen, wird diese derzeit mit 8,1% zusätzlich in Rechnung gestellt. Bei grenzüberschreitenden Dienstleistungen werden die Umsatzsteuervorschriften gemäss den anwendbaren gesetzlichen Bestimmungen berücksichtigt (z.B. Reverse-Charge-Verfahren innerhalb der EU, falls einschlägig).
  • Abschlagszahlungen: Faktly ist berechtigt, bei längeren oder gestuften Projekten nach Erreichung einzelner Projektmeilensteine oder bei erfolgreich abgeschlossenen Teilleistungen jeweils eine Abschlagsrechnung zu stellen. Diese ist innerhalb der vereinbarten Zahlungsfrist fällig.
  • Reisekostenregelung: Für An- und Abfahrten mit dem eigenen Fahrzeug wird eine pauschale Kilometerentschädigung von 75 Rappen pro Kilometer berechnet. Zusätzlich wird pro Person eine Vergütung von CHF 50 pro Stunde für Reisezeiten in Rechnung gestellt.
  • Weitere Reisekosten mit Flug/Bahn: Bei Reisen mit dem Flugzeug erfolgt die Buchung in Business-Class. Bahnreisen werden grundsätzlich in der 1. Klasse durchgeführt. Die entsprechenden Ticketkosten werden dem Kunden gegen Nachweis in Rechnung gestellt.

11. Haftungsausschluss für Erfolg und Sicherheit

Kein bestimmter Erfolg geschuldet

Faktly verpflichtet sich zur Erbringung der vereinbarten Leistungen nach bestem Wissen und Gewissen, übernimmt jedoch keine Garantie für das Erreichen eines bestimmten Erfolgs oder wirtschaftlichen Vorteils für den Kunden. Insbesondere schuldet Faktly nicht das vollständige Aufdecken aller Sicherheitslücken oder das Verhindern jeder möglichen Cyber-Attacke. Die durchgeführten Penetrationstests und Sicherheitsanalysen erhöhen die Sicherheit der Systeme, können aber keinen absoluten Schutz gewährleisten.

Restrisiko und neue Bedrohungen

Dem Kunden ist bewusst, dass IT-Sicherheit immer eine Momentaufnahme darstellt. Die Ergebnisse und Empfehlungen von Faktly basieren auf dem zum Zeitpunkt der Prüfung bekannten Stand der Technik und der Bedrohungslage. Es können jederzeit neue Schwachstellen oder Bedrohungen auftreten, die zum Prüfzeitpunkt noch nicht bekannt waren oder erst durch Veränderungen in der IT-Umgebung des Kunden entstehen. Faktly übernimmt keine Haftung dafür, dass die Systeme des Kunden zu einem späteren Zeitpunkt frei von Sicherheitslücken sind oder bleiben.

Umsetzung von Empfehlungen

Faktly gibt dem Kunden Empfehlungen und Hinweise zur Verbesserung der Sicherheit. Die Verantwortung für die Umsetzung dieser empfohlenen Massnahmen und für die fortlaufende Überwachung der IT-Sicherheit liegt ausschliesslich beim Kunden. Faktly kann nicht gewährleisten, dass der Kunde durch einzelne empfohlene Massnahmen sämtliche Sicherheitsrisiken ausschaltet. Die Wirksamkeit der vorgeschlagenen Lösungen hängt unter anderem von der korrekten Implementierung durch den Kunden und der zukünftigen Entwicklung der Bedrohungslage ab.

Keine Gewähr für Rechtssicherheit

Sofern Faktly den Kunden zu Compliance- oder Datenschutzfragen berät, handelt es sich um fachliche Empfehlungen ohne Rechtsberatung. Faktly übernimmt keine Haftung dafür, dass durch ihre Hinweise oder Berichte eine bestimmte Zertifizierung, ein Prüfungsnachweis oder eine vollständige rechtliche Konformität erreicht wird, es sei denn, dies wurde ausdrücklich schriftlich zugesichert.

Durch die Inanspruchnahme der Leistungen von Faktly bleibt der Kunde in jedem Fall für seine IT-Sicherheit und Compliance selbst verantwortlich. Faktly steht dem Kunden als kompetenter Dienstleister zur Seite, kann aber keine Gewähr für zukünftige Sicherheit oder absolute Fehlerfreiheit der untersuchten Systeme übernehmen.

12. Schlussbestimmungen

Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrags oder dieser AGB ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt. Anstelle der unwirksamen oder undurchführbaren Bestimmung gilt diejenige wirksame Bestimmung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt für etwaige Vertragslücken.

Änderungen und Schriftform

Änderungen oder Ergänzungen dieser AGB und des Einzelvertrags bedürfen zu ihrer Gültigkeit der Schriftform. Dies gilt auch für eine Änderung dieses Schriftformerfordernisses. Textform (z.B. E-Mail) ist ausreichend, sofern nicht gesetzlich eine strengere Form vorgeschrieben ist. Faktly behält sich vor, diese AGB mit Wirkung für die Zukunft anzupassen. Änderungen der AGB wird Faktly dem Kunden rechtzeitig mitteilen. Widerspricht der Kunde den geänderten Bedingungen nicht binnen der in der Mitteilung genannten Frist (mindestens 14 Tage), gelten die geänderten AGB als angenommen. Im Falle eines fristgerechten Widerspruchs gelten die bisherigen AGB; Faktly ist in diesem Fall berechtigt, den Vertrag ausserordentlich zu kündigen.

Anwendbares Recht

Es gilt für alle Vertragsbeziehungen zwischen Faktly und dem Kundenausschliesslich das materielle Recht der Schweiz. Die Anwendung internationalen Einheitsrechts sowie allfälliger Kollisionsnormen, die zur Anwendung ausländischen Rechts führen würden, ist ausgeschlossen. Insbesondere findet das Übereinkommen der Vereinten Nationen über Verträge über den internationalen Warenkauf (UN-Kaufrecht/CISG) keine Anwendung.

Gerichtsstand

Ausschliesslicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertragsverhältnis ist der Sitz von Faktly in Pfäffikon, Kanton Schwyz (Schweiz). Faktly ist jedoch berechtigt, den Kunden auch an dessen allgemeinen Gerichtsstand (Sitz des Kunden) zu belangen. Diese Gerichtsstandsvereinbarung gilt in dieser Form, soweit sie gesetzlich zulässig ist.