Nutzungsbedingungen

1. Geltungsbereich (B2B) und Vertragsschluss

Diese Bedingungen gelten ausschließlich für Unternehmer im Sinne des UGB (B2B). Verbraucher im Sinne des KSchG sind ausgeschlossen.

Bei Widersprüchen zwischen diesen Bedingungen und individuellen Vereinbarungen (z. B. Angebot, Bestellung, Rahmenvertrag) haben die individuellen Vereinbarungen Vorrang.

2. Begriffe/Definitionen

In diesen Bedingungen gelten folgende Definitionen:

• „Kunde“: das Unternehmen, das den Service nutzt.
• „Admin“: vom Kunden benannte Person(en) mit Administrationsrechten im Service.
• „Teilnehmende/Mitarbeitende“: Personen, deren Interaktionen im Rahmen von Kampagnen gemessen werden (z. B. Empfänger von Simulationen).
• „Kampagne“: eine vom Kunden konfigurierte Phishing-Simulation inkl. Zielgruppe, Inhalten und Zeitplan.
• „Verifizierte Domain“: eine Domain (inkl. freigeschalteter Subdomains/Hosts), deren Kontrolle/Berechtigung der Kunde im Service nachweist.
• „Kundendaten“: Daten, die der Kunde im Service speichert oder verarbeitet (z. B. Kampagnenkonfigurationen, Listen, Berichte).
• „Mitarbeiterdaten/Personaldaten“: personenbezogene Daten von Mitarbeitenden/Teilnehmenden, die der Kunde bereitstellt oder die im Rahmen von Kampagnen anfallen (z. B. E-Mail-Adresse, Interaktionsdaten).
• „Service“: die AutoPhish-Plattform inkl. zugehöriger Funktionen, APIs und Inhalte.
• „Pläne/Abonnement“: die vom Kunden gewählte Nutzungsstufe inkl. Abrechnungszeitraum.

3. Leistungsbeschreibung

AutoPhish bietet simulierte Phishing-Kampagnen sowie Tools für Cybersecurity-Awareness. Ziel ist es, die Aufmerksamkeit von Mitarbeitenden zu trainieren und zu testen, indem realistische Phishing-E-Mails mithilfe von KI-Modellen generiert werden.

4. Verfügbarkeit, Wartung und Support

Der Service wird „wie besehen“ und „wie verfügbar“ bereitgestellt. Eine ununterbrochene oder fehlerfreie Verfügbarkeit wird nicht zugesichert.

Geplante Wartung: grundsätzlich jeden Sonntag um 03:00 Uhr (Wiener Zeit, MEZ/CET). Während Wartungen kann der Service ganz oder teilweise eingeschränkt sein.

Notfallwartungen können jederzeit erforderlich sein (z. B. zur Behebung von kritischen Sicherheitslücken). Wir bemühen uns um eine angemessene Verfügbarkeit.

5. Registrierung, Admin-Konto und Zugangsdaten

Um den Service zu nutzen, muss dein Unternehmen ein Konto anlegen und erforderliche Informationen bereitstellen, einschließlich einer Liste von Mitarbeiter-E-Mail-Adressen. Du verpflichtest dich, korrekte und vollständige Angaben zu machen und deine Zugangsdaten sicher zu verwahren.

Der Kunde ist für Handlungen seiner Admins und Nutzerkonten verantwortlich.

6. Nutzung des Service und Missbrauch

Du verpflichtest dich, den Service im Einklang mit allen anwendbaren Gesetzen und ausschließlich für interne Schulungs- und Sicherheitstestzwecke deines Unternehmens zu nutzen.

Phishing-Simulationen können Verwirrung oder Besorgnis bei Teilnehmenden auslösen. Du bist dafür verantwortlich, interne Kommunikation, Hinweise und ggf. Meldewege so zu gestalten, dass der Einsatz angemessen ist.

Verifizierte Domain: Wenn du im Service eine Domain als „Verifizierte Domain“ hinterlegst, autorisierst du AutoPhish ausdrücklich, simulierte Kampagnen sowie automatisierte Security-Scans und Prüfungen gegen diese Verifizierte Domain (inkl. freigeschalteter Subdomains/Hosts) zum Zweck der Sicherheitsbewertung und Berichterstattung durchzuführen. Du sicherst zu, dass du Eigentümer bist oder über die erforderlichen Rechte/Befugnisse verfügst, um diese Systeme zu testen.

Du darfst den Service nicht nutzen, um Dritte ohne deren ausdrückliche Berechtigung zu testen oder zu beeinträchtigen. Du darfst nicht:

• nicht autorisierte Phishing-Tests, Security-Scans oder sonstige Tests gegen Dritte durchführen
• den Service für böswillige, rechtswidrige oder betrügerische Zwecke nutzen (z. B. echtes Credential-Harvesting außerhalb eines Trainingskontexts)
• Malware, Exploits oder schädliche Payloads versenden oder ausliefern
• Nutzungsbeschränkungen, technische Limits oder Sicherheitsmechanismen umgehen oder zu umgehen versuchen
• den Service weiterverkaufen, unterlizenzieren oder als Managed Service ohne unsere vorherige schriftliche Zustimmung anbieten

Bei Missbrauch, Sicherheitsvorfällen oder rechtlichem Risiko dürfen wir Zugriffe einschränken, Kampagnen stoppen, Accounts vorübergehend sperren oder den Service aussetzen, soweit dies angemessen ist.

7. Pflichten des Kunden

Du bist allein verantwortlich für die rechtmäßige Durchführung deiner Kampagnen und für alle Inhalte/Empfängerlisten, die du in den Service einbringst. Insbesondere bist du verantwortlich für:

• die Einholung interner Freigaben/Abstimmungen (z. B. Betriebsrat), sofern erforderlich
• Information und Kommunikation gegenüber Mitarbeitenden/Teilnehmenden in angemessener Form
• die Auswahl und Pflege von Empfängerlisten sowie die Rechtmäßigkeit von importierten/hochgeladenen Daten
• die Einhaltung aller anwendbaren Gesetze und Datenschutzvorgaben (insb. DSGVO)

8. Datenschutz, Rollen und AVV/DPA

Für Mitarbeiterdaten/Personaldaten handelt der Kunde als Verantwortlicher; AutoPhish verarbeitet diese Daten als Auftragsverarbeiter im Auftrag des Kunden.

Für den Service gilt die Datenschutzerklärung für die AutoPhish-Plattform. Zusätzlich gilt ein Auftragsverarbeitungsvertrag (AVV/DPA). Der AVV ist Bestandteil der Vertragsbeziehung oder wird separat abgeschlossen. Bei Widersprüchen geht der AVV vor.

Daten werden grundsätzlich in der EU/EWR verarbeitet, sofern nicht ausdrücklich etwas anderes vereinbart wird. Eine Verarbeitung außerhalb der EU/EWR erfolgt nur mit geeigneten Garantien nach DSGVO.

9. Pläne, Abonnement, Zahlung und Preisänderungen

Der Zugriff auf den Service erfolgt auf Abonnementbasis. Preise, Abrechnungszyklen und Zahlungsarten ergeben sich aus dem gewählten Plan bzw. der Bestellung. Nichtzahlung kann zur Sperrung oder Beendigung des Zugriffs führen.

Preisänderungen teilen wir mindestens 3 Monate vor Wirksamwerden mit (z. B. per E-Mail und/oder im Service). Die Änderung gilt ab dem angekündigten Zeitpunkt. Wenn du nicht zustimmst, kannst du dein Abonnement bis zum Wirksamwerden der Preisänderung (bzw. zum Ende der laufenden Abrechnungsperiode) kündigen.

10. Nutzungsrecht, geistiges Eigentum und Reverse Engineering

AutoPhish und/oder dessen Lizenzgeber bleiben Inhaber aller Rechte am Service, einschließlich Software, Marken, Designs, Texte und sonstiger Inhalte.

Wir räumen dir für die Vertragsdauer ein nicht-ausschließliches, nicht übertragbares, widerrufliches Nutzungsrecht ein, den Service ausschließlich für interne Geschäftszwecke (Awareness/Training und interne Sicherheitstests) im vereinbarten Umfang zu verwenden.

Du darfst den Quellcode oder zugrunde liegende Ideen nicht durch Reverse Engineering, Dekompilierung oder ähnliche Maßnahmen zu extrahieren versuchen, soweit gesetzlich zulässig.

11. Gewährleistungsausschluss

Der Service wird „wie besehen“ und „wie verfügbar“ bereitgestellt. Soweit nach österreichischem Recht zulässig, schließen wir sämtliche Gewährleistungen aus, ausdrücklich oder stillschweigend, einschließlich (aber nicht beschränkt auf) Gewährleistungen der Marktgängigkeit, Eignung für einen bestimmten Zweck und Nichtverletzung von Rechten Dritter.

Nichts in diesem Abschnitt ist so auszulegen, dass Haftung in einer Weise ausgeschlossen oder beschränkt wird, die nach anwendbarem Recht unzulässig ist, insbesondere bei grober Fahrlässigkeit, Vorsatz oder Personenschäden.

12. Haftungsbeschränkung

Soweit nach anwendbarem österreichischem Recht zulässig, ist die Gesamthaftung von AutoPhish (aggregiert über alle Ansprüche) aus oder im Zusammenhang mit diesen Bedingungen oder der Nutzung des Service auf die vom Kunden in den sechs (6) Monaten vor dem haftungsbegründenden Ereignis bezahlten Gebühren (netto) beschränkt.

AutoPhish haftet nicht für indirekte, zufällige, besondere, Folge- oder Strafschäden oder für entgangenen Gewinn, Geschäftsausfall, Datenverlust oder Verlust von Goodwill, die sich aus deiner Nutzung oder der Unmöglichkeit der Nutzung des Service ergeben.

AutoPhish haftet nicht für:

• Verwirrung, Stress oder Reaktionen von Mitarbeitenden auf simulierte Phishing-E-Mails
• Störungen des Geschäftsbetriebs, die durch Reaktionen von Mitarbeitenden auf Simulationen entstehen
• dein Versäumnis, Mitarbeitende zu informieren oder (falls erforderlich) Einwilligungen einzuholen

Nichts in diesen Bedingungen beschränkt oder schließt die Haftung von AutoPhish für Tod oder Körperverletzung, für Schäden durch grobe Fahrlässigkeit oder Vorsatz oder für sonstige Haftung aus, die nach anwendbarem Recht nicht ausgeschlossen werden kann, einschließlich zwingender Haftung nach der DSGVO.

13. Schad- und Klagloshaltung

Du stellst AutoPhish von Ansprüchen Dritter frei und hältst AutoPhish schadlos, die aus (i) deiner unberechtigten Nutzung des Service (z. B. Tests gegen Systeme ohne Rechte), (ii) rechtswidrigen Inhalten oder Daten, die du in den Service einbringst, oder (iii) Verstößen gegen anwendbares Recht resultieren, soweit du diese zu vertreten hast.

14. Laufzeit, Kündigung und Rückerstattungen

Der Vertrag läuft für den jeweils gewählten Abrechnungszeitraum und verlängert sich automatisch um weitere Abrechnungszeiträume, sofern nicht fristgerecht gekündigt wird.

Du kannst dein Abonnement jederzeit zur Wirkung zum Ende der laufenden Abrechnungsperiode kündigen. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

Grundsätzlich erfolgen keine Rückerstattungen, außer soweit gesetzlich zwingend. Wenn AutoPhish ohne wichtigen Grund beendet, bleibt dein Zugriff bis zum Ende der laufenden Abrechnungsperiode (derzeit bis zum Monatsende) bestehen.

15. Daten nach Vertragsende

Nach Vertragsende stellen wir dir auf Anfrage für 30 Tage eine Exportmöglichkeit für Kundendaten zur Verfügung, soweit technisch möglich.

Nach Ablauf dieser Frist löschen oder anonymisieren wir Kundendaten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Backups werden im Rahmen unseres Backup-Zyklus überschrieben.

16. Änderungen dieser Bedingungen

Wir können diese Bedingungen von Zeit zu Zeit ändern. Änderungen kommunizieren wir per E-Mail und/oder im Service und geben ein Wirksamkeitsdatum an.

Du kannst Änderungen binnen 30 Tagen ab Mitteilung widersprechen. Im Fall des Widerspruchs kannst du den Vertrag bis zum Wirksamkeitsdatum kündigen; andernfalls gilt die fortgesetzte Nutzung des Service nach Wirksamwerden als Zustimmung.

17. Anwendbares Recht und Gerichtsstand

Diese Bedingungen unterliegen dem Recht Österreichs unter Ausschluss kollisionsrechtlicher Normen. Ausschließlicher Gerichtsstand ist Wien, Österreich, soweit zulässig.