Allgemeine Geschäftsbedingungen

1. Geltungsbereich und Vertragsschluss

Diese AGB gelten für sämtliche Dienstleistungen von MilesGuard, sofern nicht im Einzelvertrag oder SOW ausdrücklich abweichende Regelungen getroffen werden. Abweichende AGB des Kunden finden keine Anwendung, auch wenn MilesGuard ihnen nicht ausdrücklich widerspricht.

Ein Vertrag kommt zustande durch Unterzeichnung eines SOW durch beide Parteien oder durch schriftliche Auftragsbestätigung von MilesGuard. Das SOW definiert Umfang, Zeitrahmen, Lieferobjekte und Vergütung des jeweiligen Auftrags.

Cybersecurity-Dienstleistungen von MilesGuard unterliegen je nach Art der Leistung den Bestimmungen des Auftragsrechts (Art. 394 ff. OR) oder des Werkvertragsrechts (Art. 363 ff. OR). Das SOW hält fest, welche Vertragsart für die jeweilige Leistung gilt.

2. Haftungsbeschränkung

Die Gesamthaftung von MilesGuard aus einem Auftrag ist auf den einfachen jährlichen Vertragswert des betreffenden SOW beschränkt. Dies gilt für sämtliche Ansprüche, unabhängig vom Rechtsgrund.

MilesGuard haftet nicht für indirekte Schäden, Folgeschäden, entgangenen Gewinn oder Datenverluste, soweit gesetzlich zulässig.

Diese Haftungsbeschränkungen gelten nicht bei Vorsatz oder grober Fahrlässigkeit (Art. 100 OR). Die Haftung für Personenschäden bleibt ebenfalls uneingeschränkt.

3. Vertraulichkeit

Beide Parteien verpflichten sich, vertrauliche Informationen der jeweils anderen Partei geheim zu halten und nur für die Vertragserfüllung zu verwenden. Diese Pflicht gilt unbefristet über das Vertragsende hinaus.

Als vertraulich gelten insbesondere: technische Dokumentationen, Sicherheitsberichte, Schwachstellenanalysen, Geschäftsgeheimnisse, Kundendaten und alle im Rahmen der Zusammenarbeit ausgetauschten Informationen, die nicht öffentlich zugänglich sind.

MilesGuard erhält im Rahmen von Sicherheitsaudits und Penetration Tests zwangsläufig Zugang zu sensiblen Systemen und Daten des Kunden. Beide Parteien anerkennen diese besondere Vertrauensstellung und behandeln alle dabei gewonnenen Erkenntnisse mit höchster Sorgfalt.

4. Datenschutz

MilesGuard verarbeitet personenbezogene Daten in Übereinstimmung mit dem Schweizer Bundesgesetz über den Datenschutz (nDSG).

Soweit MilesGuard im Rahmen der Leistungserbringung personenbezogene Daten des Kunden verarbeitet, schliessen die Parteien einen separaten Auftragsverarbeitungsvertrag (AVV) als Anhang zum SOW ab. Der AVV regelt Art, Zweck und Umfang der Datenverarbeitung sowie die technischen und organisatorischen Massnahmen.

Details zur Datenverarbeitung auf dieser Website finden Sie in unserer Datenschutzerklärung.

5. Gewährleistung und Leistungsumfang

MilesGuard erbringt ihre Dienstleistungen mit der Sorgfalt einer fachkundigen Anbieterin im Bereich Cybersecurity. Wir setzen anerkannte Methoden und aktuelle Werkzeuge ein.

Für Leistungen, die dem Auftragsrecht unterliegen (z. B. Penetration Tests, Sicherheitsberatung), schuldet MilesGuard eine sorgfältige Tätigkeit, nicht jedoch einen bestimmten Erfolg. Ein Penetration Test kann naturgemäss nicht garantieren, dass sämtliche Schwachstellen eines Systems gefunden werden.

Berichte, Dokumentationen und andere schriftliche Lieferobjekte gelten als Werkleistungen. MilesGuard gewährleistet, dass diese fachlich korrekt und vollständig im Rahmen des vereinbarten Umfangs erstellt werden. Der Kunde prüft Lieferobjekte innert 14 Tagen nach Erhalt und meldet allfällige Mängel schriftlich.

MilesGuard haftet nicht für Schäden, die durch eigenmächtige Umsetzung von Empfehlungen ohne Rücksprache oder durch verzögerte Massnahmen seitens des Kunden entstehen.

6. Sicherheitstests und Rules of Engagement

Für Penetration Tests, Red-Team-Operationen und Angriffssimulationen gelten ergänzend die im SOW definierten Rules of Engagement. Der Kunde autorisiert MilesGuard schriftlich zur Durchführung der vereinbarten Tests auf den definierten Zielsystemen. Diese Autorisierung ist Voraussetzung für die Straflosigkeit der Tests (Art. 143bis StGB).

Der Kunde stellt sicher, dass er berechtigt ist, Tests auf den genannten Systemen durchführen zu lassen. Bei Systemen Dritter (z. B. Cloud-Provider, Hosting) holt der Kunde die erforderliche Genehmigung selbst ein.

Der Kunde nimmt zur Kenntnis, dass Sicherheitstests im vereinbarten Scope zu Beeinträchtigungen der Systemverfügbarkeit führen können. MilesGuard haftet nicht für solche Beeinträchtigungen, sofern sie im Rahmen der vereinbarten Testmethodik auftreten.

7. Laufende Dienstleistungen

CISO as a Service ist eine Beratungsleistung nach Auftragsrecht (Art. 394 ff. OR). Art und Umfang der Rolle (beratend, operativ oder formell verantwortlich) werden im SOW definiert. Auch bei Übernahme einer formellen CISO-Rolle verbleibt die unternehmerische Gesamtverantwortung für Informationssicherheit beim Kunden. Der Kunde entscheidet über Budget, Risikoakzeptanz und Umsetzung von Empfehlungen.

Der Kunde stellt MilesGuard und deren eingesetzte Mitarbeitende von persönlicher Haftung frei, soweit Schäden nicht auf Vorsatz oder grobe Fahrlässigkeit zurückzuführen sind. Bei formeller CISO-Rolle verpflichtet sich der Kunde, die eingesetzte Person in seine D&O-Versicherung aufzunehmen oder eine gleichwertige Absicherung sicherzustellen.

Das SOW regelt mindestens: Zuständigkeitsmatrix (Entscheidung vs. Beratung), Meldepflichten (nDSG Art. 24, ISG Art. 74b), Eskalationswege und Dokumentationspflichten.

SIEM-Deployments und laufender Betrieb werden im SOW geregelt. Verfügbarkeit, Reaktionszeiten und Eskalationswege werden in einem Service Level Agreement (SLA) als Anhang zum SOW definiert. SLAs regeln mindestens: Verfügbarkeit, Reaktionszeiten, Eskalationswege und Wartungsfenster.

Schulungen und Workshops sind Auftragsleistungen. Schulungsmaterialien verbleiben im Eigentum von MilesGuard, sofern im SOW nicht anders vereinbart. Der Kunde erhält ein nicht-exklusives Nutzungsrecht für interne Zwecke.

8. Mitwirkungspflichten des Kunden

Der Kunde stellt MilesGuard rechtzeitig alle für die Leistungserbringung erforderlichen Zugänge, Informationen und Ansprechpartner zur Verfügung.

Verzögerungen, die auf fehlende Mitwirkung des Kunden zurückzuführen sind, verlängern vereinbarte Fristen entsprechend. Zusätzlicher Aufwand durch unzureichende Mitwirkung wird nach Aufwand vergütet.

9. Vergütung und Zahlung

Die Vergütung richtet sich nach dem im SOW vereinbarten Festpreis oder Aufwand. Spesen werden separat ausgewiesen und nach tatsächlichem Aufwand verrechnet.

Rechnungen sind innert 30 Tagen nach Rechnungsstellung zahlbar. Bei Zahlungsverzug ist MilesGuard berechtigt, Verzugszinsen von 5% p.a. gemäss Art. 104 OR zu erheben.

Bei Projektaufträgen kann MilesGuard eine Vorauszahlung von bis zu 50% des Auftragswertes verlangen. Bei laufenden Mandaten (z. B. CISO as a Service, SIEM-Betrieb) wird die Abrechnungsweise im SOW festgelegt.

10. Geistiges Eigentum

Berichte, Dokumentationen und projektspezifische Ergebnisse gehen mit vollständiger Bezahlung in das Eigentum des Kunden über.

Eigene Tools, Methoden, Frameworks und generisches Know-how von MilesGuard bleiben geistiges Eigentum von MilesGuard. Der Kunde erhält kein Nutzungsrecht an internen Werkzeugen.

Bei Webdesign und Entwicklung: Individuell erstellte Designs, Inhalte und Code gehen nach vollständiger Bezahlung auf den Kunden über. Vorbestehende Bibliotheken, Templates und wiederverwendbare Komponenten verbleiben bei MilesGuard. Der Kunde erhält ein zeitlich unbeschränktes, nicht-exklusives Nutzungsrecht für den vereinbarten Zweck. Open-Source-Komponenten unterliegen deren jeweiliger Lizenz.

MilesGuard darf den Kunden als Referenz nennen (Firmenname und Art der Dienstleistung). Der Kunde kann der Referenznennung jederzeit schriftlich widersprechen.

11. Gerichtsstand und anwendbares Recht

Diese AGB und sämtliche daraus oder in Verbindung damit entstehenden Streitigkeiten unterliegen ausschliesslich dem Schweizer Recht unter Ausschluss der kollisionsrechtlichen Bestimmungen und des UN-Kaufrechts (CISG).

Ausschliesslicher Gerichtsstand für alle Streitigkeiten ist St. Gallen, Schweiz. MilesGuard behält sich vor, den Kunden auch an dessen Sitz zu belangen.

12. Kündigung

Aufträge nach Auftragsrecht können von beiden Parteien jederzeit gekündigt werden (Art. 404 OR). Der Kunde vergütet in diesem Fall die bis zur Kündigung erbrachten Leistungen sowie allfällige unvermeidbare Aufwendungen.

Werkverträge (z. B. laufende Berichterstellung) können bei wichtigen Gründen von beiden Parteien fristlos aufgelöst werden. Als wichtige Gründe gelten insbesondere wesentliche Vertragsverletzungen, Zahlungsverzug von mehr als 30 Tagen oder Insolvenz einer Partei.

Bei ordentlicher Kündigung laufender Rahmenvereinbarungen gilt eine Kündigungsfrist von 30 Tagen zum Monatsende, sofern im SOW nicht anders vereinbart.