AGB

Bedingungen für Softwareüberlassung, Subscription & Support und Server-Betrieb
(Stand: Oktober 2016)

1. Geltung der Geschäftsbedingungen

Für Softwareüberlassung, Subscription & Support und Server-Betrieb der KeyIdentity GmbH, Robert-Koch-Straße 9, 64331 Weiterstadt gelten ausschließlich diese Bedingungen in der bei Auftragserteilung gültigen Fassung. Vertragsbedingungen des Auftraggebers werden nicht Vertragsinhalt, auch wenn KeyIdentity GmbH ihnen nicht ausdrücklich widerspricht. Dies gilt bei gleichartigen Verträgen auch, wenn darauf nicht nochmals hingewiesen wird.

2. Begriffe und Definitionen

In diesen Bedingungen verwendete Begriffe in kursiver Schrift haben jeweils die nachfolgend definierte Bedeutung:

-         „Aktualisierung“ ist die gemeinsame Bezeichnung für Minor Releases und Major Releases.

-         „Drittkomponente“ ist die gemeinsame Bezeichnung von Open Source-Bestandteilen von Drittanbietern und proprietärer Software von Drittanbietern.

-         „LinOTP“ („KEYIDENTITY LinOTP“) ist eine flexibel einsetzbare Plattform zur adaptiven Multi-Faktor-Authentifizierung (Open Source-Backend unter AGPLv3 und GPLv2) zur Verwaltung digitaler Identitäten und starken Benutzerauthentifizierung. Nutzern werden hierbei Token zugeordnet, wobei ein Nutzer mehrere Token (bezogen auf Hardware, Software, SMS, etc.) haben kann. Aufgrund modularer Architektur ist LinOTP herstellerunabhängig und unterstützt verschiedene Authentisierungsprotokolle, Token, Benutzerdatenbanken sowie Verzeichnisdienste. LinOTP ist mandantenfähig und skalierbar.

-         „Major Release“ bezeichnet Upgrades und neue Versionen der überlassenen Software, die neue Funktionalitäten erstmals einführen und/oder bestehende Funktionalitäten wesentlich erweitern.

-         „MAT“ („Managed Active Token“) bezeichnet die über LinOTP verwalteten Token, es sei denn, diese sind als deaktiviert gekennzeichnet.

-         „Minor Release“ bezeichnet Hotfixes, Patches und Updates der überlassenen Software, die weder neue Funktionalitäten erstmals einführen noch bestehende Funktionalitäten wesentlich erweitern.

-         „Open Source-Bestandteil“ beschreibt eine Software, die regelmäßig kostenfrei und quelloffen bezogen werden kann.

-         „OTP“ („One Time Password“) bezeichnet ein Zweifaktor-Authentifizierungsverfahren.

-         „Server“ beschreibt einen virtuellen Server zur Bereitstellung und Nutzung von Software, d.h. ein auch von anderen Auftraggebern nutzbares Speichermedium, das eine eigene IP-Adresse erhält und für Dritte als selbständiger Server erscheint.

-         „Subscription & Support“ bezeichnet die vertraglich vereinbarten Pflege- und Supportleistungen von KeyIdentity GmbH.

-         „Support-Kontakt“ ist ein vom Auftraggeber gegenüber KeyIdentity GmbH benannter Mitarbeiter mit hinreichender fachlicher Qualifikation, der berechtigt ist, Supportleistungen von KeyIdentity GmbH in Anspruch zu nehmen.

-         „SVA“ („KEYIDENTITY LinOTP Smart Virtual Appliance“) ist eine Out-of-the-Box-Lösung mit dem vollständigen Funktionsumfang von LinOTP. SVA beinhaltet darüber hinaus zusätzlich ein Betriebssystem mit weiteren Funktionalitäten sowie eine grafische Benutzeroberfläche.

-         „Token“ bezeichnet Hard- und Software-Token.

-         „Vertrag“ ist die Vereinbarung zwischen Auftraggeber und KeyIdentity GmbH, die aus den Konditionen des jeweiligen Auftrags in Verbindung mit den Bestimmungen dieser Bedingungen besteht.

-         „Vertrauliche Informationen“ sind Informationen und Unterlagen der anderen Partei, die als vertraulich gekennzeichnet oder aus den Umständen heraus als vertraulich anzusehen sind.

3.  Leistungen von KeyIdentity GmbH

3.1     Überlassung von Software und Dokumentation

3.1.1  KeyIdentity GmbH stellt dem Auftraggeber Software (z.B. SVA) und Dokumentation im vereinbarten Umfang per E-Mail, als Download über das Internet oder in sonstiger Weise elektronisch zur Verfügung. Die Überlassung erfolgt im Objektcode, mit Ausnahme von Open Source-Bestandteilen.

3.1.2  KeyIdentity GmbH ist der Einsatz von Open Source-Bestandteilen und Drittkomponenten in der dem Auftraggeber überlassenen Software gestattet. KeyIdentity GmbH wird den Auftraggeber über den Einsatz von Open Source-Bestandteilen und Drittkomponenten informieren. Die Einhaltung der einschlägigen Lizenzbestimmungen obliegt dem Auftraggeber.

3.2     Pflege

3.2.1  Für die vereinbarte Laufzeit aktualisiert KeyIdentity GmbH überlassene Software und deren Dokumentation, um diese an den aktuellen Stand der Authentifizierungstechnik anzupassen. Hierbei werden die bei Erstüberlassung unterstützten Token und Datenbankschnittstellen aufrechterhalten, es sei denn, der Auftraggeber hat auf Anfrage von KeyIdentity GmbH bestätigt, bestimmte Token oder Datenbankschnittstellen nicht mehr nutzen zu wollen. Ziffer 3.2.3 bleibt unberührt.

3.2.2  KeyIdentity GmbH nimmt nach eigenem Ermessen entsprechend der technischen Entwicklung für markt- und branchenübliche Einsatzszenarien neue Arten und Modelle von Token und/oder Datenbankschnittstellen in die Software auf. Ein Anspruch des Auftraggebers auf Aufnahme bestimmter Token oder Datenbankschnittstellen besteht nicht.

3.2.3  KeyIdentity GmbH kann die Unterstützung der bei Erstüberlassung unterstützten Token oder Datenbankschnittstellen nach eigenem Ermessen ganz oder teilweise einstellen, wenn diese den sicheren und stabilen Betrieb von LinOTP gefährden. Über die Einstellung der Unterstützung informiert KeyIdentity den Auftraggeber in Textform. Dem Auftraggeber steht in diesem Fall ein Sonderrecht zur Kündigung des betroffenen Vertrags mit einer Frist von einem (1) Monat zum Monatsende zu. Das Sonderkündigungsrecht erlischt vierzehn (14) Tage nach Zugang der Mitteilung von KeyIdentity GmbH.

3.2.4  KeyIdentity GmbH stellt dem Auftraggeber Minor Releases sowie, nach Ermessen von KeyIdentity GmbH, Major Releases als Download über das Internet zur Verfügung. KeyIdentity GmbH behält sich vor, Major Releases gegen gesonderte Vergütung zur Verfügung zu stellen.

3.2.5  Bei der Aktualisierung setzt KeyIdentity GmbH technisch erprobte Methoden ein, um die Sicherheit der Software aufrecht zu erhalten. Dem Auftraggeber ist bekannt, dass die Aufrechterhaltung der IT-Sicherheit ein laufender Anpassungsprozess ist, bei dem mit der Sorgfalt eines ordentlichen Kaufmanns auf bekannt gewordene Sicherheitsbeeinträchtigungen und Angriffe sowie Angriffs- und Ausspähversuche reagiert werden muss.

3.3       Support

3.3.1  KeyIdentity GmbH prüft und analysiert die vom Support-Kontakt des Auftraggebers telefonisch oder per E-Mail gemeldeten Störungen innerhalb angemessener Frist. Endnutzerunterstützung wird durch KeyIdentity GmbH nicht erbracht.

3.3.2  KeyIdentity GmbH reagiert innerhalb der im Auftrag aufgeführten Reaktionszeiten. Diese beginnen mit Eingang einer hinreichend detaillierten Störungsmeldung des Support-Kontakts bei KeyIdentity GmbH. Die Reaktionszeit ist eingehalten, sobald ein Supportmitarbeiter von KeyIdentity GmbH sich mit der Prüfung, Analyse, Bewertung oder Reproduzierbarkeit der Störung inhaltlich befasst.

3.3.3  KeyIdentity GmbH bearbeitet gleichzeitig eingehende Meldungen unterschiedlicher Störungen in der Reihenfolge ihres Eingangs, es sei denn, die Störungen lassen sich hinsichtlich Kritikalität abgestuft kategorisieren. Nach Kategorisierung stimmt KeyIdentity GmbH mit dem Auftraggeber die Priorität der Störungen ab, soweit mehrere ähnlich kritische Störungen gemeldet wurden. Insbesondere aus Sicherheitsgründen kann KeyIdentity GmbH dem Auftraggeber aufgrund einer Störung raten, die Nutzung der Software bis zur Beseitigung einzuschränken oder einzustellen und Endnutzer entsprechend zu informieren.

3.3.4  KeyIdentity GmbH berät den Support-Kontakt des Auftraggebers hinsichtlich Beseitigung und/oder Umgehung von Störungen, die auf Handhabungsfehlern beruhen und/oder durch Änderungen an Nutzereinstellungen durch den Auftraggeber selbst behoben und/oder umgangen werden können.

3.3.5  KeyIdentity GmbH bemüht sich nach besten Kräften, dem Support-Kontakt des Auftraggebers mitzuteilen, wie und wann eine Störung beseitigt und/oder umgangen werden kann. Eine Umgehungslösung (Workaround) steht einer endgültigen Störungsbeseitigung gleich, es sei denn, die Nutzung der Software wird hierdurch dauerhaft wesentlich beeinträchtigt.

3.4       Server-Betrieb

3.4.1  KeyIdentity GmbH überlässt dem Auftraggeber im vereinbarten Umfang Software und Speicherplatz auf von KeyIdentity GmbH betriebenen Systemen (insbesondere Server und Storage).

3.4.2  KeyIdentity GmbH schafft eine Verbindung zwischen Server und Internet und erhält diese aufrecht, damit die auf dem Server gespeicherten Daten auf Anfrage von außenstehenden Rechnern mittels der im Internet gebräuchlichen Protokolle (https, http, ftp, smtp und nntp) in dem jeweils anwendbaren Protokoll an den anfragenden Rechner weitergeleitet werden können.

3.4.3  KeyIdentity GmbH ermöglicht dem Auftraggeber Zugriff auf den Server durch eine dem Stand der Technik entsprechende Bandbreite der Verbindung zum nächsten Internet-Knoten, sodass eine möglichst hohe Datenübertragungsgeschwindigkeit erreicht wird.

3.4.4  Server sind an sieben (7) Tage der Woche für 24 Stunden mit der im Auftrag aufgeführten Verfügbarkeit im Jahresmittel einsatzfähig. Ausgenommen sind Ausfallzeiten durch Wartung oder Aktualisierungen sowie Zeiten, in denen ein Server aufgrund technischer oder sonstiger Probleme, die nicht im Einflussbereich von KeyIdentity GmbH liegen (höhere Gewalt, Verschulden Dritter etc.), über das Internet nicht zu erreichen ist. Sofern für KeyIdentity GmbH absehbar ist, dass Ausfallzeiten für Wartung und Aktualisierungen länger als drei (3) Stunden andauern, wird KeyIdentity GmbH dies dem Auftraggeber mindestens drei (3) Tage vor Beginn der jeweiligen Arbeiten mitteilen.

4. Mitwirkungspflichten des Auftraggebers

4.1       Der Auftraggeber fördert die Leistungen von KeyIdentity GmbH durch angemessene Mitwirkungshandlungen. Insbesondere stellt er KeyIdentity GmbH die dafür erforderlichen Informationen und Daten zur Verfügung.

4.2       Der Auftraggeber installiert Aktualisierungen zeitnah. KeyIdentity GmbH ist nur verpflichtet, den jeweils letzten Aktualisierungsstand weiter aktuell zu halten.

4.3       Kommt der Auftraggeber seinen Mitwirkungspflichten nicht nach und kann KeyIdentity GmbH aus diesem Grunde Leistungen ganz oder teilweise nicht innerhalb der vereinbarten Zeit erbringen, so verlängert sich der dafür vereinbarte Zeitraum angemessen.

5. Nutzungsrechte

5.1       KeyIdentity GmbH räumt dem Auftraggeber mit Bereitstellung der Software und vollständiger Zahlung der Vergütung nicht-ausschließliche Nutzungsrechte ohne Bearbeitungs- und Weiterentwicklungsrechte ein. Dies umfasst kein Recht zur Vervielfältigung, soweit dies nicht zu Sicherungszwecken gemäß § 69d Abs. 2 Urheberrechtsgesetz (UrhG) erfolgt.

5.2       Der Auftraggeber ist zu Änderungen, Erweiterungen und sonstigen Umarbeitungen von Software gemäß § 69d Nr. 2 UrhG befugt, wenn der Auftraggeber KeyIdentity GmbH zuvor drei (3) Versuche zur Mängelbeseitigung gestattet hat. Dem Auftraggeber stehen an den Bearbeitungen keine eigenen Nutzungsrechte über den Vertrag hinaus zu.

5.3       Der Auftraggeber ist zur Dekompilierung von Software in den Grenzen des § 69e UrhG berechtigt.

5.4       Die Rechte des Auftraggebers an verwendeten Open Source-Bestandteilen und Drittkomponenten richten sich ausschließlich nach den Bedingungen des jeweiligen Open Source-Bestandteils oder der jeweiligen Drittkomponente.

5.5       KeyIdentity GmbH behält sich vor, bestehende oder neue Funktionalitäten einer Software zukünftig unter einer Open Source-Lizenz anzubieten.

5.6       Die Übertragung und Unterlizenzierung von Nutzungsrechten ist nur mit schriftlicher Einwilligung von KeyIdentity GmbH zulässig.

5.7       Überlässt KeyIdentity GmbH dem Auftraggeber Aktualisierungen, welche die zuvor überlassene Software ersetzen oder ergänzen, so unterliegen diese ebenfalls den Bestimmungen dieser Bedingungen.

5.8       Der Auftraggeber ist nicht berechtigt, die SVA ohne Einwilligung von KeyIdentity GmbH über den ,,unsupported”-Mode zu verändern.

6. Vergütung

6.1       Die Vergütung erfolgt auf Grundlage der vereinbarten Anzahl von MAT. Der Auftraggeber vergütet die Leistungen von KeyIdentity GmbH jährlich im Voraus, soweit im Auftrag keine andere Abrechnungsart aufgeführt ist.

6.2       Vergütungen sind Netto-Beträge zzgl. gesetzlich anfallender Umsatzsteuer.

6.3       Die Vergütung ist vierzehn (14) Tage nach Rechnungseingang fällig, soweit nicht anders vereinbart.

7. Vertraulichkeit

7.1       Die Parteien vereinbaren, über vertrauliche Informationen bis zwei (2) Jahre nach Beendigung des Vertrags Stillschweigen zu bewahren. Ausgenommen sind vertrauliche Informationen, die

a)      dem Empfänger ohne Verletzung einer Vertraulichkeitsvereinbarung, gesetzlicher Vorschriften oder behördlicher Anordnungen bei Vertragsschluss bekannt waren oder danach von Dritten bekannt werden;

b)      ohne Vertragsverletzung bei Vertragsschluss öffentlich bekannt sind oder später werden;

c)       aufgrund gesetzlicher Verpflichtungen oder auf gerichtliche oder behördliche Anordnung offen gelegt werden müssen;

d)      aufgrund ausdrücklicher schriftlicher Vereinbarung von dieser Vertraulichkeitsverpflichtung ausgenommen sind.

7.2       Die Parteien werden Zugang zu vertraulichen Informationen nur Personen ermöglichen, die zur Vertraulichkeit gemäß Ziffer 7 verpflichtet sind.

8. Gewährleistung und Haftung

8.1       Wird eine Leistung von KeyIdentity GmbH nicht vertragsgemäß erbracht und hat KeyIdentity GmbH dies zu vertreten, wird KeyIdentity GmbH die Leistung innerhalb angemessener Frist vertragsgemäß erbringen. Voraussetzung ist eine unverzügliche schriftliche Rüge des Auftraggebers, spätestens innerhalb von zwei (2) Wochen nach Kenntnis.

8.2       Der Auftraggeber hat KeyIdentity GmbH jeweils mindestens zwei angemessene Nachfristen zu gewähren, soweit eine Nachbesserung nicht, nicht vollständig oder nur mit wesentlichen Nutzungseinschränkungen erfolgte.

8.3       KeyIdentity GmbH haftet unbeschränkt für Vorsatz und grobe Fahrlässigkeit, im Falle einer von KeyIdentity zu vertretenden Verletzung von Körper oder Leben, nach den Vorschriften des Produkthaftungsgesetzes. Der Umfang einer von KeyIdentity GmbH übernommenen Garantie bleibt unberührt.

8.4       Unbeschadet der Haftung nach Ziffer 8.3 haftet KeyIdentity GmbH nur für die fahrlässig verursachte Verletzung vertragswesentlicher Pflichten und dabei der Höhe nach beschränkt auf die bei Vertragsschluss vorhersehbaren und vertragstypischen Schäden. Vertragswesentliche Pflichten sind solche, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht oder deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen darf.

8.5       Die Parteien sind für die Datensicherung auf ihren Systemen verantwortlich. Bei einem von KeyIdentity GmbH zu vertretenden Datenverlust haftet KeyIdentity GmbH ausschließlich für Wiederherstellungskosten von Daten, die bei auch ordnungsgemäßer Sicherung angefallen wären.

8.6       Im Übrigen ist eine Haftung von KeyIdentity GmbH ausgeschlossen.

8.7       Ansprüche des Auftraggebers nach Ziffer 8.3 verjähren nach den gesetzlichen Vorschriften. Im Übrigen beträgt die Verjährungsfrist für Schadensersatzansprüche ein (1) Jahr.

8.8       Die Haftungsbeschränkungen gelten auch bei einem Verschulden eines Erfüllungsgehilfen von KeyIdentity GmbH sowie für die persönliche Haftung der Mitarbeiter, Vertreter und Organe von KeyIdentity GmbH.

9. Vertragslaufzeit und Kündigung

9.1       Ist eine Mindestlaufzeit im Auftrag vereinbart, so kann der Vertrag von beiden Parteien erstmals zum Ablauf der Mindestlaufzeit mit einer Frist von drei (3) Monaten zum Ende des Vertragsjahres ordentlich gekündigt werden, soweit nicht für einzelne Leistungen eine abweichende Kündigungsfrist im Auftrag vorgesehen ist. Vor Ende dieser Mindestlaufzeit ist eine ordentliche Kündigung ausgeschlossen. Gleiches gilt bei Verträgen, die eine zeitlich befristete Laufzeit vorsehen.

9.2       Nach Ablauf der ursprünglichen Laufzeit verlängert sich diese automatisch um jeweils ein (1) weiteres Jahr, es sei denn, der Auftrag sieht eine zeitlich befristete Laufzeit ausdrücklich vor oder der Auftraggeber widerspricht der Verlängerung mit einer Frist von drei (3) Monaten zum Ende des Vertragsjahres schriftlich.

9.3       Das Recht der Parteien zur fristlosen Kündigung dieses Vertrages aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund in diesem Sinne ist für KeyIdentity GmbH beispielhaft, aber nicht abschließend,

a)      das Überschreiten von Nutzungsrechten für die vertragsgegenständlichen Leistungen;

b)      das Überschreiten der vereinbarten Anzahl an verwalteten Token;

c)       das Entfernen von Urheberrechtshinweisen, Marken und anderen Kennzeichen oder

d)      die Überlassung von Software an Dritte ohne Einwilligung von KeyIdentity GmbH, es sei denn, der Auftraggeber stellt die Nutzung der Software vollständig und endgültig ein.

9.4       Kündigungen bedürfen zu ihrer Wirksamkeit der Schriftform.

10. Aufrechnung und Zurückbehaltung

Der Auftraggeber kann nur mit unbestrittenen, rechtskräftig festgestellten oder gerichtlich entscheidungsreifen Forderungen aus demselben Vertragsverhältnis aufrechnen oder eine Zurückbehaltung ausüben.

11. Schlussbestimmungen

11.1    Änderungen und Ergänzungen des Vertrages bedürfen der Schriftform. Dies gilt auch für die Änderung oder Aufhebung dieser Klausel. Die Schriftform wird durch Textform nicht gewahrt.

11.2    Sollten einzelne Bestimmungen dieser Bedingungen unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien werden die unwirksame Bestimmung durch eine solche setzen, die dem Vertragsziel rechtlich und wirtschaftlich am nächsten kommt.

11.3    Es gilt das Recht der Bundesrepublik Deutschland, unter Ausschluss des Wiener UN-Übereinkommens über Verträge über den internationalen Warenverkauf vom 11.04.1980.

11.4    Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dem Vertrag ist Darmstadt, sofern der Auftraggeber Kaufmann oder juristische Person des öffentlichen Rechts ist. KeyIdentity GmbH kann auch am allgemeinen Gerichtsstand des Auftraggebers klagen.