für die Nutzung der Compliance-Plattform „Nisty" (nis2.strategiemanufaktur.online)
Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für die Nutzung der Online-Plattform „Nisty" und aller damit verbundenen Leistungen.
Anbieter und Vertragspartner sind gemeinsam und gleichrangig:
Strategie Manufaktur Unternehmensberatung e.U., Romatschachen 86, 8212 Pischelsdorf, Österreich (FN 653876h, Landesgericht für ZRS Graz), und Risk-Vision GmbH, Südsiedlung 1/1, 8401 Kalsdorf, Österreich (FN 619592s, Landesgericht für ZRS Graz, UID ATU80320109) — nachfolgend gemeinsam „Anbieter".
Vertragssprache ist Deutsch. Entgegenstehende oder abweichende Bedingungen des Kunden werden nur Vertragsbestandteil, wenn der Anbieter ihnen ausdrücklich schriftlich zustimmt.
Das Angebot richtet sich vorrangig an Unternehmer im Sinne des § 1 KSchG. Soweit Verbraucher angesprochen werden, gelten die zwingenden verbraucherschutzrechtlichen Bestimmungen vorrangig; auf das Widerrufsrecht wird in § 10 hingewiesen.
Der Anbieter stellt eine webbasierte Software (SaaS) zur strukturierten Vorbereitung auf NIS-2- und vergleichbare Cybersicherheits-Anforderungen bereit. Die Plattform umfasst insbesondere Gap-Analyse, Maßnahmenplanung, Richtlinien-Templates, Lieferanten-Bewertung, Incident- und Schulungsverwaltung sowie die Erstellung eines Compliance-Statusberichts.
Die Leistungen werden in unterschiedlichen Plänen (z. B. Basic, Guided, Premium) angeboten. Der konkrete Leistungsumfang ergibt sich aus der zum Zeitpunkt des Vertragsschlusses gültigen Leistungs- und Preisübersicht auf der Website (nis2.strategiemanufaktur.online/pricing.html).
Selbstauskunft: Sämtliche Auswertungen, der Compliance-Statusbericht und alle Empfehlungen beruhen ausschließlich auf den vom Kunden eingegebenen Angaben (Selbstauskunft). Der Anbieter überprüft diese Angaben nicht auf Richtigkeit, Vollständigkeit oder Aktualität. Die Plattform stellt eine Orientierungs- und Dokumentationshilfe dar und ersetzt keine rechtliche, technische oder sicherheitsfachliche Beratung im Einzelfall.
Kein Zertifikat, keine Sicherheitsgarantie: Der Anbieter ist keine staatliche Stelle und keine akkreditierte Zertifizierungs- oder Konformitätsbewertungsstelle. Der Compliance-Statusbericht ist keine staatliche NIS-2-Zertifizierung und begründet keinen Anspruch auf Erteilung eines staatlichen NIS-2-Zertifikats oder eines vergleichbaren behördlichen Nachweises. Es wird nicht gewährleistet, dass durch die Nutzung der Plattform IT-Sicherheit hergestellt oder erhöht oder eine gesetzliche Pflicht (insbesondere nach NIS-2) tatsächlich erfüllt wird. Über das Bestehen und die Erfüllung von Pflichten entscheiden allein die zuständigen Behörden.
Die Nutzung setzt eine Registrierung mit gültigen, vollständigen und aktuellen Angaben voraus. Der Kunde sichert zu, dass er zur Begründung des Vertrags berechtigt ist.
Mit Absenden der Registrierung bzw. Auswahl eines kostenpflichtigen Plans gibt der Kunde ein verbindliches Angebot ab. Der Vertrag kommt mit der Bestätigung durch den Anbieter bzw. der Freischaltung des Zugangs zustande.
Der Kunde ist verpflichtet, seine Zugangsdaten geheim zu halten, eine Mehr-Faktor-Authentifizierung zu nutzen, soweit angeboten, und den Anbieter unverzüglich über einen Missbrauch zu informieren.
Soweit eine kostenlose Testphase angeboten wird, kann diese ohne Angabe von Zahlungsdaten genutzt werden, sofern nicht anders ausgewiesen.
Nach Ablauf der Testphase besteht keine automatische Zahlungspflicht, sofern der Kunde keinen kostenpflichtigen Plan abgeschlossen hat.
Es gelten die zum Zeitpunkt der Bestellung auf der Website ausgewiesenen Preise. Die Abrechnung erfolgt — soweit nicht anders vereinbart — monatlich im Voraus.
Gegenüber Unternehmern verstehen sich die Preise netto zzgl. der jeweils geltenden gesetzlichen Umsatzsteuer; gegenüber Verbrauchern verstehen sich die Preise inklusive Umsatzsteuer.
Die Zahlungsabwicklung erfolgt über den Zahlungsdienstleister Stripe. Es gelten ergänzend dessen Bedingungen. Zahlungsdaten werden ausschließlich von Stripe verarbeitet und nicht beim Anbieter gespeichert.
Bei Zahlungsverzug ist der Anbieter berechtigt, den Zugang nach angemessener Frist zu sperren. Die gesetzlichen Verzugsfolgen bleiben unberührt.
Sofern nicht anders vereinbart, wird der Vertrag auf unbestimmte Zeit geschlossen und kann von beiden Seiten zum Ende des jeweils bezahlten Abrechnungszeitraums (in der Regel monatlich) gekündigt werden.
Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt für den Anbieter insbesondere bei erheblichem Verstoß gegen diese AGB oder bei missbräuchlicher Nutzung vor.
Kündigungen bedürfen der Textform (z. B. per E-Mail oder über die Kontoverwaltung).
Zur Datenexport- und Löschungsregelung nach Vertragsende siehe § 9 sowie den Auftragsverarbeitungsvertrag.
Der Kunde ist für die Richtigkeit, Vollständigkeit und Rechtmäßigkeit der von ihm eingegebenen Daten allein verantwortlich. Er stellt sicher, dass er zur Eingabe personenbezogener Daten Dritter berechtigt ist.
Der Kunde darf die Plattform nicht missbräuchlich nutzen, insbesondere nicht zur Speicherung rechtswidriger Inhalte, zur Beeinträchtigung der Sicherheit oder Verfügbarkeit oder unter Umgehung technischer Schutzmaßnahmen.
Der Kunde stellt den Anbieter von Ansprüchen Dritter frei, die auf einer rechtswidrigen oder vertragswidrigen Nutzung durch den Kunden beruhen, soweit der Kunde dies zu vertreten hat.
Der Anbieter bemüht sich um eine möglichst hohe Verfügbarkeit der Plattform, schuldet jedoch — soweit nicht ausdrücklich anders vereinbart — keine bestimmte Verfügbarkeit (Service Level). Eine ununterbrochene, jederzeitige oder dauerhafte (permanente) Verfügbarkeit der Plattform wird ausdrücklich nicht geschuldet.
Wartungsarbeiten, Störungen außerhalb des Einflussbereichs des Anbieters (z. B. höhere Gewalt, Ausfälle von Vorleistungen) sowie notwendige Sicherheitsmaßnahmen können zu vorübergehenden oder dauerhaften Einschränkungen führen.
Der Anbieter schuldet keine dauerhafte Aufbewahrung der vom Kunden eingegebenen Daten. Der Kunde ist für die regelmäßige eigene Sicherung (Export) seiner Daten selbst verantwortlich. Für den Verlust, die Löschung, die Veränderung, die Beschädigung oder die vorübergehende bzw. dauerhafte Nichtverfügbarkeit von Daten wird — soweit gesetzlich zulässig — nicht gehaftet (siehe § 11).
Der Anbieter verarbeitet personenbezogene Daten nach Maßgabe der Datenschutzerklärung.
Soweit der Kunde über die Plattform personenbezogene Daten Dritter verarbeitet, ist der Kunde Verantwortlicher und der Anbieter Auftragsverarbeiter; insoweit gilt der Auftragsverarbeitungsvertrag (AAV) nach Art. 28 DSGVO, der Bestandteil dieses Vertrags wird.
Nach Vertragsende kann der Kunde seine Daten exportieren; die Löschung richtet sich nach dem AAV. Auf die gesetzlich bzw. vertraglich bedingte längere Aufbewahrung des manipulationsgesicherten Compliance-Audit-Logs wird ausdrücklich hingewiesen.
Datenverarbeitung zur Verbesserung der Plattform: Der Anbieter ist berechtigt, technische Nutzungsdaten in pseudonymisierter und/oder aggregierter Form zu verarbeiten, um die Plattform abzusichern, zu analysieren und weiterzuentwickeln (Produktverbesserung, Funnel- und Nutzungsanalyse). Es erfolgt keine Weitergabe an externe Analyse-Dienstleister. Einzelheiten zu Art, Umfang, Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO), Speicherdauer und zum Widerspruchsrecht (Opt-out) ergeben sich aus Abschnitt 9 der Datenschutzerklärung.
Verbrauchern steht ein gesetzliches Widerrufsrecht von 14 Tagen ab Vertragsschluss zu (§§ 11 ff. FAGG).
Verlangt der Verbraucher ausdrücklich, dass die Leistung bereits vor Ablauf der Widerrufsfrist beginnt, kann das Widerrufsrecht nach Maßgabe des § 18 FAGG vorzeitig erlöschen bzw. ist ein anteiliger Wertersatz zu leisten.
Für Unternehmer besteht kein Widerrufsrecht.
Hinweis: Vor Veröffentlichung sollte eine vollständige, gesetzeskonforme Widerrufsbelehrung samt Muster-Widerrufsformular nach FAGG ergänzt werden, falls die Plattform auch an Verbraucher angeboten wird.
Soweit gesetzlich zulässig, haftet der Anbieter nicht für Schäden, die aus der Nutzung oder Nicht-Nutzbarkeit der Plattform entstehen, insbesondere nicht für Schäden an IT-Systemen, Daten- oder Informationsverluste, die vorübergehende oder dauerhafte Nichtverfügbarkeit der Plattform oder gespeicherter Daten, den Verlust, die Löschung, die Veränderung oder Beschädigung von Daten, Betriebsunterbrechungen, entgangenen Gewinn oder sonstige mittelbare Schäden und Folgeschäden. Der Anbieter haftet insbesondere nicht für eine permanente Verfügbarkeit des Dienstes.
Der Anbieter haftet ferner nicht für die inhaltliche Richtigkeit der auf Selbstauskunft beruhenden Auswertungen und Statusberichte (§ 2 Abs. 3) sowie nicht für das Erreichen eines bestimmten Sicherheits-, Compliance- oder Zertifizierungsergebnisses (§ 2 Abs. 4).
Unberührt bleibt die Haftung für Vorsatz und grobe Fahrlässigkeit, für die Verletzung von Leben, Körper oder Gesundheit sowie eine zwingende gesetzliche Haftung (z. B. nach dem Produkthaftungsgesetz). Gegenüber Verbrauchern gelten die gesetzlichen Haftungsbestimmungen, soweit diese nicht wirksam abbedungen werden dürfen.
Bei leicht fahrlässiger Verletzung wesentlicher Vertragspflichten ist die Haftung — soweit gegenüber Unternehmern zulässig — auf den vertragstypischen, vorhersehbaren Schaden begrenzt.
Der Anbieter räumt dem Kunden für die Vertragsdauer ein einfaches, nicht übertragbares Recht zur vertragsgemäßen Nutzung der Plattform ein.
Bereitgestellte Vorlagen, Richtlinien-Templates und Inhalte dürfen vom Kunden für eigene Compliance-Zwecke verwendet und angepasst werden; eine Weitergabe an Dritte zu eigenständigen kommerziellen Zwecken ist ohne Zustimmung des Anbieters unzulässig.