Managed-Service-Vertrag
Vertragsbedingungen für Starter, Professional und Enterprise Service-Pakete
Inhaltsverzeichnis
§ 1 Vertragsgegenstand
(1) Gegenstand dieses Vertrags ist die Erbringung von Managed-IT-Security- und Compliance-Dienstleistungen durch den Auftragnehmer für den Auftraggeber im Rahmen eines der folgenden Service-Pakete:
- Starter — Grundlegende DSGVO-Compliance und Datenschutz-Services
- Professional — Umfassende Security- und Compliance-Betreuung inkl. DPO as a Service
- Enterprise — Vollumfängliche IT-Security-Beratung, Zertifizierungsbegleitung und 24/7-Support
(2) Der konkrete Leistungsumfang richtet sich nach dem gewählten Paket gemäß § 3 sowie der jeweils aktuellen Leistungsbeschreibung unter www.hacker-stop.de/angebot/service-pakete.html.
(3) Ergänzend gelten die Allgemeinen Geschäftsbedingungen der TSMONDO UG in der jeweils aktuellen Fassung (AGB).
§ 2 Vertragspartner
Auftragnehmer:
TSMONDO UG (haftungsbeschränkt)
Geschäftsführer: Thorsten Schmitz-Hübsch
Zum Erlenbusch 41c
48167 Münster, Deutschland
HRB 17396, Amtsgericht Münster
USt-IdNr.: DE319493118
E-Mail: ts@tsmondo.de
Telefon: 0162 9691436
Auftraggeber: Gemäß separater Auftragsbestätigung.
§ 3 Leistungsumfang
3.1 Starter-Paket
- Regelmäßige DSGVO-Compliance-Checks
- Bereitstellung von Datenschutzrichtlinien-Vorlagen
- Einrichtung und Pflege des Cookie-Consent-Managements
- Basis-Dokumentation der Datenschutzmaßnahmen
- E-Mail-Support zu Datenschutzfragen (Reaktionszeit: Next Business Day)
3.2 Professional-Paket
Umfasst alle Leistungen des Starter-Pakets sowie zusätzlich:
- Externer Datenschutzbeauftragter (DPO as a Service) gemäß Art. 37 DSGVO
- Regelmäßige Datenschutz- und IT-Security-Audits (mindestens halbjährlich)
- Mitarbeiterschulungen zu IT-Sicherheit und Datenschutz (mindestens jährlich)
- Incident-Response-Planung und Unterstützung bei Sicherheitsvorfällen
- NIS2-Compliance-Beratung und Gap-Analyse
- ISO 27001 Vorbereitungs-Assessment
- Prioritäts-Support per Telefon und E-Mail (Reaktionszeit: Next Business Day)
3.3 Enterprise-Paket
Umfasst alle Leistungen des Professional-Pakets sowie zusätzlich:
- Vollständige IT-Security-Beratung und strategisches Consulting
- Vor-Ort-Audits am Standort des Auftraggebers
- Entwicklung individueller Compliance-Frameworks
- Board-Level-Reporting und Management-Präsentationen
- BSI-Grundschutz-Implementierung und -Begleitung
- ISO 27001-Zertifizierungsbegleitung bis zum Audit
- Business Continuity Management (BCM) nach ISO 22301
- DevSecOps-Beratung und Secure-Development-Lifecycle-Unterstützung
- 24/7-Support bei sicherheitsrelevanten Vorfällen
§ 4 Vergütung
(1) Die monatliche Vergütung richtet sich nach dem gewählten Service-Paket und der Unternehmensgröße des Auftraggebers gemäß der aktuellen Preisliste.
(2) Alle Preise verstehen sich zuzüglich der gesetzlichen Umsatzsteuer.
(3) Rechnungen werden monatlich im Voraus gestellt und sind innerhalb von 14 Tagen nach Rechnungsstellung ohne Abzug fällig.
(4) Bei jährlicher Vorauszahlung wird ein Rabatt von 10 % auf die Gesamtsumme gewährt.
(5) Der Auftragnehmer ist berechtigt, die Vergütung einmal jährlich zum Jahresbeginn an die allgemeine Kostenentwicklung anzupassen. Preisanpassungen werden dem Auftraggeber mindestens 8 Wochen im Voraus schriftlich mitgeteilt. Bei Erhöhungen von mehr als 5 % hat der Auftraggeber ein Sonderkündigungsrecht.
§ 5 Vertragslaufzeit und Kündigung
(1) Der Vertrag beginnt mit dem in der Auftragsbestätigung genannten Datum.
(2) Die Mindestvertragslaufzeit beträgt 3 Monate.
(3) Nach Ablauf der Mindestvertragslaufzeit verlängert sich der Vertrag jeweils um einen weiteren Monat, sofern er nicht mit einer Frist von 2 Wochen zum Monatsende in Textform (E-Mail ausreichend) gekündigt wird.
(4) Das Recht zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt.
(5) Bei Beendigung des Vertrags unterstützt der Auftragnehmer den Auftraggeber bei der Übergabe und Transition an einen Nachfolge-Dienstleister (Transition-Zeitraum: bis zu 4 Wochen nach Vertragsende).
§ 6 Service Level Agreement (SLA)
| Kriterium | Starter | Professional | Enterprise |
|---|---|---|---|
| Reaktionszeit | Next Business Day | Next Business Day | 4 Stunden (optional NBD) |
| Support-Kanal | E-Mail + Telefon | E-Mail + Telefon + 24/7-Notfall | |
| Erreichbarkeit | Mo–Fr 9–17 Uhr | Mo–Fr 8–18 Uhr | 24/7 bei Sicherheitsvorfällen |
| Plattform-Verfügbarkeit | 99,5 % (ohne geplante Wartungsfenster) | ||
| Wartungsfenster | Samstag 22:00–Sonntag 06:00 Uhr (mit Vorankündigung) | ||
(1) Die Reaktionszeit bezeichnet den Zeitraum zwischen Eingang einer Anfrage und der ersten qualifizierten Rückmeldung des Auftragnehmers.
(2) Die Plattform-Verfügbarkeit bezieht sich auf die TSMONDO Security & Compliance Plattform unter projektmanagement.hacker-stop.de.
(3) Geplante Wartungsarbeiten werden mindestens 48 Stunden im Voraus angekündigt.
§ 7 Mitwirkungspflichten des Auftraggebers
(1) Der Auftraggeber stellt dem Auftragnehmer alle zur Leistungserbringung erforderlichen Informationen, Unterlagen und Zugänge rechtzeitig und kostenfrei zur Verfügung.
(2) Der Auftraggeber benennt einen festen Ansprechpartner, der für Abstimmungen und Entscheidungen erreichbar ist.
(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich über sicherheitsrelevante Vorfälle, organisatorische Änderungen und geänderte Anforderungen.
(4) Verzögerungen, die auf eine Verletzung der Mitwirkungspflichten zurückzuführen sind, gehen nicht zulasten des Auftragnehmers.
§ 8 Datenschutz und Vertraulichkeit
(1) Soweit der Auftragnehmer im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, schließen die Parteien einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO.
(2) Beide Parteien verpflichten sich zur Einhaltung aller anwendbaren Datenschutzvorschriften (DSGVO, BDSG).
(3) Alle im Rahmen des Vertragsverhältnisses ausgetauschten vertraulichen Informationen werden von beiden Parteien streng vertraulich behandelt und nur für Vertragszwecke verwendet.
(4) Die Vertraulichkeitsverpflichtung besteht über die Vertragslaufzeit hinaus für einen Zeitraum von 3 Jahren fort.
§ 9 Haftung
(1) Der Auftragnehmer haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit sowie für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit.
(2) Bei leichter Fahrlässigkeit haftet der Auftragnehmer nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten). In diesem Fall ist die Haftung auf den vorhersehbaren, vertragstypischen Schaden beschränkt.
(3) Die Gesamthaftung des Auftragnehmers ist in jedem Fall der Höhe nach begrenzt auf die Summe der in den letzten 12 Monaten vom Auftraggeber tatsächlich gezahlten Vergütung.
(4) Die Haftung für mittelbare Schäden, Folgeschäden, entgangenen Gewinn, ausgebliebene Einsparungen und Schäden aus Ansprüchen Dritter ist — soweit gesetzlich zulässig — ausgeschlossen.
(5) Der Auftragnehmer haftet nicht für Schäden, die verursacht werden durch:
- Höhere Gewalt (vgl. AGB § 10)
- Ausfälle von Drittanbietern (Cloud-Provider, Zertifizierungsstellen, Telekommunikationsanbieter)
- Vom Auftraggeber zu vertretende Umstände (z. B. Verletzung von Mitwirkungspflichten)
- Unzureichende oder fehlerhafte Informationen des Auftraggebers
(6) Der Auftragnehmer schuldet fachgerechte Beratung, nicht jedoch den Erfolg einer Zertifizierung oder das Ausbleiben von Sicherheitsvorfällen.
(7) Die vorstehenden Haftungsbeschränkungen gelten auch zugunsten der Mitarbeiter und Erfüllungsgehilfen des Auftragnehmers.
§ 10 Gewährleistung
(1) Der Auftragnehmer erbringt die vereinbarten Leistungen nach bestem Wissen und Gewissen sowie unter Einhaltung der jeweils geltenden Standards und Normen.
(2) Mängel an erbrachten Leistungen sind unverzüglich nach Entdeckung schriftlich anzuzeigen. Der Auftragnehmer hat das Recht zur Nachbesserung innerhalb einer angemessenen Frist.
(3) Die Gewährleistungsfrist beträgt 12 Monate ab Erbringung der jeweiligen Einzelleistung.
§ 11 Änderungen des Vertrags
(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform.
(2) Ein Wechsel zwischen den Service-Paketen (Upgrade/Downgrade) ist jederzeit mit Wirkung zum nächsten Monatsersten möglich. Upgrades werden sofort wirksam, Downgrades zum nächsten Monatsersten nach Ankündigung.
§ 12 Schlussbestimmungen
(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
(2) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Münster, sofern der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen ist.
(3) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck am nächsten kommt.
(4) Ergänzend gelten die Allgemeinen Geschäftsbedingungen der TSMONDO UG.