Allgemeine Geschäftsbedingungen

§ 1 Geltungsbereich und Vertragsparteien

1.1 Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB") gelten für alle Verträge über die Nutzung der SaaS-Plattform CompliantDesk (compliantdesk.de), die zwischen

und dem Kunden (nachfolgend „Kunde") geschlossen werden.

1.2 Diese AGB gelten ausschließlich für Unternehmer im Sinne des § 14 BGB. Eine Nutzung durch Verbraucher im Sinne des § 13 BGB ist nicht vorgesehen.

1.3 Entgegenstehende oder abweichende AGB des Kunden werden nicht anerkannt, es sei denn, der Anbieter stimmt ihrer Geltung ausdrücklich schriftlich zu.

§ 2 Leistungsgegenstand

2.1 CompliantDesk ist eine cloudbasierte SaaS-Plattform für IT-Compliance-Management, die folgende Kernfunktionen umfasst:

• NIS2-, ISO-27001- und DSGVO-Assessments
• KI-gestützte Richtlinien- und Dokumentengenerierung
• Gap-Analyse und Risikomanagement
• Compliance-Dashboard und Berichtswesen
• Regulatorisches Update-Radar

2.2 Der Anbieter stellt die Plattform als Software-as-a-Service bereit. Der Kunde erhält kein Recht auf Überlassung der Software, sondern ein zeitlich begrenztes Nutzungsrecht für die Dauer des Abonnements.

2.3 Der Anbieter ist berechtigt, den Funktionsumfang der Plattform weiterzuentwickeln, zu ändern oder anzupassen, sofern die Kernfunktionalität nicht wesentlich beeinträchtigt wird.

2.4 Die durch CompliantDesk generierten Dokumente, Richtlinien und Analysen stellen keine Rechts- oder Steuerberatung dar. Sie dienen als Arbeitshilfe und ersetzen keine qualifizierte Fachberatung.

§ 3 Vertragsschluss und Laufzeit

3.1 Der Vertrag kommt durch Registrierung auf compliantdesk.de und Bestätigung durch den Anbieter zustande. Mit Abschluss der Registrierung erkennt der Kunde diese AGB an.

3.2 Das Abonnement läuft für die gewählte Mindestlaufzeit (monatlich oder jährlich) und verlängert sich automatisch um die gleiche Laufzeit, sofern nicht fristgerecht gekündigt wird.

3.3 Kündigung: Der Kunde kann das Abonnement mit einer Frist von 14 Tagen zum Ende der jeweiligen Laufzeit kündigen. Die Kündigung erfolgt schriftlich per E-Mail an kontakt@compliantdesk.de oder über den Account-Bereich der Plattform.

§ 4 Preise und Zahlung

4.1 Es gelten die zum Zeitpunkt des Vertragsschlusses auf compliantdesk.de veröffentlichten Preise. Alle Preise verstehen sich zzgl. der gesetzlichen Umsatzsteuer.

4.2 Die Zahlung erfolgt im Voraus per Kreditkarte oder SEPA-Lastschrift über den Zahlungsdienstleister Stripe. Der Rechnungsbetrag wird zu Beginn jeder Abrechnungsperiode fällig.

4.3 Bei Zahlungsverzug ist der Anbieter berechtigt, den Zugang zur Plattform zu sperren, bis der ausstehende Betrag vollständig beglichen ist.

4.4 Preiserhöhungen werden dem Kunden mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt. Der Kunde hat in diesem Fall ein Sonderkündigungsrecht zum Zeitpunkt des Inkrafttretens der Erhöhung.

§ 5 Nutzungsrechte und Pflichten des Kunden

5.1 Der Anbieter gewährt dem Kunden für die Dauer des Abonnements ein einfaches, nicht übertragbares Recht zur Nutzung der Plattform im Rahmen dieser AGB.

5.2 Der Kunde ist verpflichtet:

• Seine Zugangsdaten vertraulich zu behandeln und vor unbefugtem Zugriff zu schützen
• Den Anbieter unverzüglich über eine missbräuchliche Nutzung seiner Zugangsdaten zu informieren
• Nur wahrheitsgemäße Angaben im Rahmen der Registrierung und Nutzung zu machen
• Die Plattform nicht für rechtswidrige Zwecke zu nutzen
• Keine automatisierten Zugriffe (Scraping, Bots) ohne schriftliche Genehmigung vorzunehmen

5.3 Eine Weitergabe von Zugangsdaten an Dritte außerhalb der eigenen Organisation des Kunden ist nicht gestattet. Die Anzahl der nutzbaren Benutzerkonten richtet sich nach dem gewählten Tarifplan.

§ 6 KI-gestützte Funktionen und Datenverarbeitung

6.1 CompliantDesk nutzt künstliche Intelligenz zur Analyse von Compliance-Daten und zur Generierung von Dokumenten. Dienstleister ist die Microsoft Ireland Operations Limited (Azure OpenAI Service). Die Verarbeitung erfolgt ausschliesslich innerhalb der EU-Datenzone (Germany West Central, Frankfurt). Als technisches Fallback wird ein zweites Azure-OpenAI-Deployment (Modell GPT-4.1-mini) ebenfalls innerhalb der EU eingesetzt - es findet keine Datenübermittlung in Drittländer statt.

6.2 Bei der Übermittlung von Daten an die KI-API gilt:

• Klarnamen von Personen werden durch Platzhalter ersetzt, bevor Daten übermittelt werden
• Es werden keine besonderen Kategorien personenbezogener Daten gem. Art. 9 DSGVO übermittelt
• Microsoft verarbeitet die Daten ausschließlich innerhalb der EU und nutzt Eingaben und Ausgaben nicht zum Training eigener Modelle. Auftragsverarbeitung gemäß Microsoft Products and Services Data Protection Addendum (DPA) nach Art. 28 DSGVO.

6.3 Mit Abschluss des Vertrags stimmt der Kunde der Nutzung der vorgenannten Subprozessoren im Rahmen des Auftragsverarbeitungsvertrags (AVV) zu. Der AVV ist unter compliantdesk.de/avv abrufbar und wird mit Vertragsschluss Bestandteil des Vertrags.

6.4 Der Kunde trägt Verantwortung dafür, keine besonders sensiblen personenbezogenen Daten (z.B. Gesundheitsdaten, Strafverfolgungsdaten) in Freitextfeldern der Plattform einzugeben.

§ 7 Datenschutz und Auftragsverarbeitung

7.1 Die Verarbeitung personenbezogener Daten durch den Anbieter erfolgt gemäß der Datenschutzerklärung unter compliantdesk.de/datenschutz.

7.2 Soweit der Kunde dem Anbieter personenbezogene Daten zur Verarbeitung überlässt, wird der Anbieter als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig. Grundlage ist der Auftragsverarbeitungsvertrag (AVV), der unter compliantdesk.de/avv abrufbar ist. Mit Abschluss dieser AGB gilt der AVV als vereinbart.

7.3 Der Kunde stellt sicher, dass er zur Übermittlung der verarbeiteten personenbezogenen Daten an den Anbieter berechtigt ist und die betroffenen Personen über die Verarbeitung informiert wurden.

§ 8 Verfügbarkeit und Support

8.1 Der Anbieter strebt eine Verfügbarkeit der Plattform von 99 % im Monatsdurchschnitt an (exkl. geplanter Wartungszeiten). Ein Rechtsanspruch auf eine bestimmte Verfügbarkeit besteht nicht.

8.2 Geplante Wartungsarbeiten werden dem Kunden mindestens 24 Stunden im Voraus per E-Mail oder über die Plattform angekündigt, sofern dies möglich ist.

8.3 Support wird per E-Mail (support@compliantdesk.de) während der üblichen Geschäftszeiten (Mo–Fr, 09:00–18:00 Uhr MEZ) erbracht. Eine Reaktionszeit von 1–2 Werktagen wird angestrebt.

§ 9 Gewährleistung und Haftung

9.1 Der Anbieter haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie für Schäden, die auf Vorsatz oder grober Fahrlässigkeit beruhen.

9.2 Für leicht fahrlässig verursachte Sach- und Vermögensschäden haftet der Anbieter nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht), und zwar begrenzt auf den vertragstypisch vorhersehbaren Schaden. Die Haftung ist pro Schadensfall auf den 12-fachen Monatsbeitrag des Kunden begrenzt.

9.3 Die Haftung für mittelbare Schäden, entgangenen Gewinn und Datenverluste ist — soweit gesetzlich zulässig — ausgeschlossen.

9.4 Der Anbieter übernimmt keine Haftung dafür, dass die durch CompliantDesk generierten Dokumente und Empfehlungen den individuellen rechtlichen Anforderungen des Kunden entsprechen. Der Kunde ist für die Überprüfung und rechtskonforme Umsetzung der Ergebnisse selbst verantwortlich.

§ 10 Vertraulichkeit und geistiges Eigentum

10.1 Beide Parteien verpflichten sich, vertrauliche Informationen der jeweils anderen Partei nicht an Dritte weiterzugeben und nur für Zwecke dieser Vereinbarung zu verwenden.

10.2 Alle Rechte an der Plattform, dem Quellcode, den Algorithmen, der Benutzeroberfläche und den zugehörigen Materialien verbleiben beim Anbieter.

10.3 Der Kunde behält alle Rechte an den Daten und Dokumenten, die er in die Plattform eingibt oder über die Plattform generiert. Er gewährt dem Anbieter ein einfaches Nutzungsrecht zur Erbringung der vertragsgegenständlichen Leistungen.

§ 11 Kündigung aus wichtigem Grund

11.1 Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

11.2 Ein wichtiger Grund für eine Kündigung durch den Anbieter liegt insbesondere vor, wenn:

• Der Kunde mit mehr als zwei Monatsbeiträgen in Zahlungsverzug ist
• Der Kunde die Plattform für rechtswidrige Zwecke nutzt
• Der Kunde wesentliche Bestimmungen dieser AGB wiederholt verletzt

11.3 Nach Kündigung werden die Kundendaten für 30 Tage zur Verfügung gestellt (Daten-Export), danach unwiderruflich gelöscht.

§ 12 Änderungen der AGB

12.1 Der Anbieter ist berechtigt, diese AGB mit einer Ankündigungsfrist von 30 Tagen zu ändern. Die Änderungen werden dem Kunden per E-Mail mitgeteilt.

12.2 Widerspricht der Kunde den geänderten AGB nicht innerhalb von 14 Tagen nach Zugang der Mitteilung, gelten die geänderten AGB als angenommen. Auf dieses Widerspruchsrecht und die Folge des Schweigens wird der Anbieter in der Mitteilung ausdrücklich hinweisen.

12.3 Im Falle des Widerspruchs ist der Anbieter berechtigt, das Vertragsverhältnis zum Zeitpunkt des Inkrafttretens der geänderten AGB zu kündigen.

§ 13 Schlussbestimmungen

13.1 Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

13.2 Erfüllungsort und ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag ist München, sofern der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

13.3 Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam sein oder werden, berührt dies die Gültigkeit der übrigen Bestimmungen nicht.

13.4 Änderungen oder Ergänzungen dieser AGB bedürfen der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses.