Allg. Geschäftsbedingungen

§ 1 Geltungsbereich und Vertragspartner

  1. Diese Allgemeinen Geschäftsbedingungen (im Folgenden „AGB“) gelten für sämtliche gegenwärtigen und zukünftigen Dienstleistungen der SCUTIS GmbH.
  2. Die AGB finden Anwendung auf alle Leistungen im Bereich IT-Compliance, insbesondere:
    • Bestellung als externer Datenschutzbeauftragter (eDSB) gemäß Art. 37 ff. DSGVO,
    • Bestellung als externer Informationssicherheitsbeauftragter (eISB) im Sinne des IT-Sicherheitsgesetzes und weiterer regulatorischer Vorgaben,
    • Tätigkeit als unabhängige Ombudsperson gemäß § 14 Hinweisgeberschutzgesetz (HinSchG),
    • Beratung zu Datenschutz (DS-GVO), Informationssicherheit (ISO/IEC 27001), NIS2-Richtlinie, IT-Sicherheitsgesetz und weiteren regulatorischen Anforderungen,
    • Erstellung und Aktualisierung von Verzeichnissen von Verarbeitungstätigkeiten, technisch-organisatorischen Maßnahmen (TOMs) sowie Datenschutz-Folgenabschätzungen (DSFA),
    • Durchführung von Audits, Risikoanalysen, Reifegradbewertungen und Gap-Analysen,
    • Schulungen und Awareness-Maßnahmen,
    • Technische und organisatorische Unterstützung bei der Umsetzung compliance-relevanter Vorgaben.
  3. Entgegenstehende, abweichende oder ergänzende Allgemeine Geschäftsbedingungen des Kunden werden nicht Vertragsinhalt, es sei denn, SCUTIS hat ihrer Geltung ausdrücklich und schriftlich zugestimmt.

§ 2 Vertragsschluss und Leistungsbeschreibung

  1. Der Vertrag kommt durch ausdrückliche Annahme eines Angebots, einer Bestellung oder durch konkludentes Handeln (z. B. Beauftragung per E-Mail) zustande.
  2. Der Leistungsumfang – insbesondere bei der Übernahme der Rolle als eDSB, eISB oder Ombudsperson – ergibt sich aus dem jeweiligen Angebot, der Auftragsbestätigung oder der individuellen Vertragsvereinbarung. Ergänzende oder abweichende Leistungen bedürfen einer gesonderten Absprache.

§ 3 Einsatz von Künstlicher Intelligenz (KI)

  1. SCUTIS setzt KI punktuell und unterstützend ein. KI‑Ergebnisse werden stets durch qualifiziertes Personal geprüft. SCUTIS übernimmt fachliche Verantwortung; Haftung für algorithmische Unvollkommenheiten ist nur ausgeschlossen, soweit gesetzlich zulässig und nicht auf Vorsatz oder grobe Fahrlässigkeit zurückzuführen.“
  2. Soweit im Einzelfall personenbezogene Daten im Rahmen des KI-Einsatzes verarbeitet werden, geschieht dies ausschließlich im Auftrag des Kunden und unter strikter Einhaltung datenschutzrechtlicher Vorgaben (siehe § 5).

Hinweis: Bei der Wahrnehmung der gesetzlichen Funktionen als eDSB, eISB oder Ombudsperson wird kein KI-Einsatz in der direkten Kommunikation mit betroffenen Personen, Hinweisgebern oder Aufsichtsbehörden vorgenommen. Diese Rollen werden ausschließlich durch qualifizierte, natürliche Personen wahrgenommen.

§ 4 Pflichten des Kunden

  1. Der Kunde stellt SCUTIS alle zur ordnungsgemäßen Erbringung der Leistung erforderlichen Informationen, Dokumente und Zugänge rechtzeitig, vollständig und in geeigneter Form zur Verfügung.
  2. Der Kunde sichert zu, dass ihm die notwendigen Nutzungsrechte an bereitgestellten Unterlagen (z. B. Verträgen, internen Richtlinien) zustehen und deren Verwendung – auch im Falle eines KI-Einsatzes – rechtmäßig ist.
  3. Änderungen im Compliance-Umfeld, die Auswirkungen auf die beauftragte Leistung haben können – insbesondere solche, die die Stellung als eDSB, eISB oder Ombudsperson betreffen – teilt der Kunde SCUTIS unverzüglich mit.

§ 5 Datenschutz und Vertraulichkeit

  1. SCUTIS behandelt alle vom Kunden erhaltenen Informationen – insbesondere Geschäftsgeheimnisse und personenbezogene Daten – streng vertraulich.
  2. Soweit personenbezogene Daten verarbeitet werden, erfolgt dies als Auftragsverarbeitung; ein separater AVV kann abgeschlossen werden. Übermittlungen an Sub‑Auftragsverarbeiter und Drittstaaten erfolgen nur nach vorheriger Information und mit geeigneten Garantien. 
  3. Ein KI-Einsatz erfolgt – soweit vorgesehen – unter Beachtung der Grundsätze der Datenminimierung und Zweckbindung. Wo technisch möglich und sachgerecht, werden personenbezogene Daten vor einer etwaigen KI-Verarbeitung pseudonymisiert oder anonymisiert.
  4. Eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO findet nicht statt.
  5. Im Rahmen der Tätigkeit als Ombudsperson nach HinSchG gewährleistet SCUTIS besondere Vertraulichkeit und Unabhängigkeit gemäß § 14 Abs. 2 HinSchG. Identitätsdaten von Hinweisgebern werden nur erhoben, soweit dies für die Bearbeitung des Hinweises unerlässlich ist und mit Zustimmung des Hinweisgebers erfolgt.

§ 6 Haftung

  1. Gesetzliche Haftung
    SCUTIS haftet für Schäden nach den gesetzlichen Vorschriften. 
  2. Unbeschränkte Haftung
     Die Haftung von SCUTIS ist unbeschränkt bei Vorsatz sowie grober Fahrlässigkeit, für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit und für sonstige zwingende gesetzliche Haftungstatbestände.
  3. Beschränkung bei leichter Fahrlässigkeit
     Bei leicht fahrlässiger Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) ist die Haftung von SCUTIS auf den vertragstypischen, vorhersehbaren Schaden begrenzt. Wesentliche Vertragspflichten sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Vertragspartner regelmäßig vertrauen darf.
  4. Haftungshöchstbetrag
     Soweit die Haftung nach Ziffer 3 begrenzt ist, beträgt der Höchstbetrag der Haftung das Entgelt, das der Kunde für die betreffende Leistung in den zwölf Monaten vor Schadenseintritt an SCUTIS gezahlt hat; bei einmaligen Leistungen gilt das im Vertrag vereinbarte Entgelt für diese Leistung.
  5. Ausschluss von Folgeschäden
     SCUTIS haftet nicht für entgangenen Gewinn, mittelbare Schäden, Mangelfolgeschäden oder sonstige Vermögensschäden, die nicht typischerweise mit der Erfüllung des Vertrages verbunden sind, es sei denn, diese Schäden beruhen auf Vorsatz oder grober Fahrlässigkeit oder betreffen Verletzungen des Lebens, des Körpers oder der Gesundheit.
  6. Haftung bei Datenschutzverletzungen
     Für Schäden, die aus einer schuldhaften Verletzung datenschutzrechtlicher Pflichten resultieren, haftet SCUTIS nach den gesetzlichen Vorschriften; eine weitergehende Haftungsbegrenzung besteht nicht bei Vorsatz oder grober Fahrlässigkeit.
  7. Mitwirkungspflichten des Kunden
     Kommt der Kunde seinen Mitwirkungspflichten nicht nach und entsteht hierdurch ein Schaden, so ist SCUTIS von der Haftung befreit, soweit der Schaden auf der unterlassenen Mitwirkung beruht.
  8. Verjährung
     Die gesetzlichen Verjährungsfristen finden Anwendung. Ansprüche aus dem Vertrag verjähren, soweit gesetzlich zulässig, in einem Jahr ab Kenntnis des Schadens und der verantwortlichen Person, spätestens jedoch in drei Jahren ab Entstehung des Anspruchs, sofern nicht zwingende gesetzliche Vorschriften längere Fristen vorsehen.

§ 7 Geistiges Eigentum

  1. Alle Rechte an Methoden, Tools, Vorlagen, Software und sonstigen Hilfsmitteln verbleiben bei SCUTIS oder ihren Lizenzgebern.
  2. Dem Kunden wird ein einfaches, nicht übertragbares und nicht ausschließliches Nutzungsrecht an den finalen, vertraglich geschuldeten Leistungsergebnissen (z. B. DSFA, TOM-Dokumentation, Auditberichte) eingeräumt.
  3. Etwaige KI-generierte Zwischenergebnisse bleiben geistiges Eigentum von SCUTIS und dürfen vom Kunden weder eigenständig genutzt noch veröffentlicht werden.

§ 8 Vertragsdauer und Kündigung

  1. Dienstleistungsverträge enden mit der vollständigen Erbringung der vereinbarten Leistung, sofern nichts anderes vereinbart ist.
  2. Bei laufenden Beratungs- oder Betreuungsverträgen – insbesondere bei Stellung von eDSB, eISB oder Ombudsperson – kann das Vertragsverhältnis von beiden Seiten lt. Kündingsvereinbarung im jeweiligen Vertrag gekündigt werden.

§ 9 Schlussbestimmungen

  1. Geltung und Vertragsbestandteil
    Diese Allgemeinen Geschäftsbedingungen (AGB) sind Bestandteil aller Verträge zwischen SCUTIS GmbH und dem Kunden, soweit nicht ausdrücklich und schriftlich etwas anderes vereinbart wurde. Soweit ein Kunde bisher keine AGB erhalten hat, gelten diese AGB ab dem Zeitpunkt ihrer Mitteilung an den Kunden als vereinbart; bei laufenden Verträgen gelten sie nur, soweit sie nicht zu einer einseitigen Verschlechterung bereits vereinbarter Leistungen führen. 
  2. Mitteilungen und Übermittlung
    Mitteilungen an den Kunden erfolgen in Textform, insbesondere per E‑Mail an die zuletzt vom Kunden angegebene Adresse oder postalisch an die Geschäftsadresse. Änderungen der Kontaktdaten sind vom Kunden unverzüglich mitzuteilen. Mitteilungen gelten als zugegangen, wenn sie an die vom Kunden benannte E‑Mail‑Adresse gesendet wurden oder drei Tage nach Absendung per Post. 
  3. Änderungen der AGB
    SCUTIS behält sich das Recht vor, diese AGB mit Wirkung für die Zukunft zu ändern. Änderungen werden dem Kunden in Textform mitgeteilt. Der Kunde kann der Änderung innerhalb von vierzehn Tagen nach Zugang schriftlich widersprechen. Widerspricht der Kunde fristgerecht nicht, gelten die Änderungen als genehmigt. Bei berechtigten, wesentlichen Nachteilen für den Kunden gilt ein gesondertes Widerspruchsrecht; SCUTIS wird in diesem Fall auf das Widerspruchsrecht besonders hinweisen. 
  4. Anwendbares Recht: Es gilt ausschließlich das Recht der Bundesrepublik Deutschland. Das UN-Kaufrecht (CISG) findet keine Anwendung.
  5. Gerichtsstand: Ist der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, ist Rosenheim Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dem Vertrag.
  6. Salvatorische Klausel: Sollte eine Bestimmung dieser AGB unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Regelung tritt eine wirksame Regelung, die dem wirtschaftlichen Zweck der ursprünglichen Bestimmung am nächsten kommt.

 Stand: Oktober 2025 

SCUTIS GmbH
(siehe Impressum)
📧 info@scutis.de
🌐 www.scutis.de 

Unsere Arbeit ist unsere Leidenschaft und ein positiver Antrieb für jeden neuen Tag. Sie bringt uns dazu, Herausforderung als Chance zu verstehen und neue Ziele zu erreichen.