Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für alle Leistungen der Hauradix Kollektiv & Partner e.U. (Marke: VITT Integrity), handelnd unter der Marke VITT Integrity (nachfolgend "VITT"), gegenüber Unternehmern im Sinne des § 1 UGB.
Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen des Auftraggebers werden nur dann Vertragsbestandteil, wenn VITT ihrer Geltung ausdrücklich schriftlich zugestimmt hat. Diese AGB gelten auch dann, wenn VITT in Kenntnis entgegenstehender Bedingungen des Auftraggebers die Leistung vorbehaltlos erbringt.
VITT erbringt Leistungen im Bereich Human Risk Management, IT-Security Consulting und Compliance-Beratung. Das Leistungsspektrum umfasst insbesondere:
- VITTNESS Audit (Stufe 1 / Stufe 2 / NIS2 Paket) — Durchführung von Social Engineering Simulationen, OSINT-Analysen, Phishing-Kampagnen und physischen Infiltrationstests auf Basis einer schriftlichen Genehmigung des Auftraggebers
- Human Risk Audits — Erhebung und Bewertung des menschlichen Risikopotenzials einer Organisation
- Schulungen & Workshops — Sensibilisierungsmaßnahmen für Mitarbeiter und Führungskräfte
- Compliance-Beratung — Unterstützung bei der Umsetzung der Anforderungen aus NIS2, NISG 2026 und DORA
- Berichterstellung — Erstellung auditierbarer Dokumentationen und Berichte für Behörden und interne Zwecke
Der genaue Leistungsumfang wird im jeweiligen Angebot oder Leistungsschein festgelegt. VITT tritt gegenüber dem Auftraggeber als Generalunternehmer auf. Rechtsberatung, juristische Compliance-Analysen sowie die rechtliche Beurteilung der NIS2- und NISG-2026-Betroffenheit werden ausschließlich durch die Dr. Tobias Tretzmüller Rechtsanwalts GmbH (digital-recht.at) erbracht, die als spezialisierte Subunternehmerin im Rahmen des Gesamtauftrags tätig wird. VITT selbst erbringt keine Rechtsberatung im Sinne des RAO. Die Einbindung der Partnerkanzlei erfolgt auf Basis eines gesonderten Auftragsverhältnisses; gegenüber dem Auftraggeber bleibt VITT alleiniger Ansprechpartner und Vertragspartner.
Angebote von VITT sind freibleibend und unverbindlich. Ein Vertrag kommt erst durch die schriftliche Annahme eines Angebots durch den Auftraggeber oder durch die schriftliche Auftragsbestätigung durch VITT zustande.
Schriftform im Sinne dieser AGB umfasst E-Mail. Mündliche Abreden bedürfen zu ihrer Wirksamkeit der schriftlichen Bestätigung durch VITT.
Jede Durchführung von Social Engineering Simulationen, Phishing-Kampagnen, Vishing-Tests, physischen Infiltrationstests oder vergleichbaren aktiven Testmaßnahmen durch VITT setzt eine ausdrückliche, schriftliche Genehmigung des Auftraggebers voraus. Diese Genehmigung muss den zeitlichen Rahmen, die betroffenen Systeme, Standorte und Personengruppen sowie die erlaubten Methoden definieren.
Der Auftraggeber gewährleistet, dass er zur Erteilung dieser Genehmigung rechtlich befugt ist und dass alle notwendigen internen Zustimmungen (z.B. Betriebsrat, Geschäftsführung) eingeholt wurden. VITT übernimmt keine Haftung für Schäden, die aus einer unvollständigen oder unzutreffenden Scope-Definition entstehen.
VITT verpflichtet sich, ausschließlich im Rahmen der erteilten Genehmigung zu handeln. Erkannte Sicherheitslücken außerhalb des definierten Scopes werden dem Auftraggeber gemeldet, jedoch nicht aktiv ausgenutzt.
Die Vergütung richtet sich nach dem vereinbarten Angebot. Alle Preise verstehen sich zuzüglich der gesetzlichen Umsatzsteuer (USt) in der jeweils gültigen Höhe.
Rechnungen sind innerhalb von 14 Tagen nach Rechnungsstellung ohne Abzug fällig, sofern nicht abweichend vereinbart. Bei Zahlungsverzug ist VITT berechtigt, Verzugszinsen in der gesetzlichen Höhe zu verrechnen.
Bei Projekten mit einem Auftragsvolumen über EUR 5.000,00 netto ist VITT berechtigt, eine Anzahlung von 30% des Auftragswertes bei Vertragsschluss zu verlangen.
Reise- und Spesenvergütungen werden nach tatsächlichem Aufwand verrechnet und im Angebot gesondert ausgewiesen.
Der Auftraggeber ist verpflichtet, VITT alle für die Leistungserbringung notwendigen Informationen, Zugänge und Unterlagen rechtzeitig und vollständig zur Verfügung zu stellen. Verzögerungen, die durch mangelnde Mitwirkung des Auftraggebers entstehen, gehen zu dessen Lasten.
Der Auftraggeber benennt einen Ansprechpartner mit Entscheidungsbefugnis, der für die Koordination des Projekts verantwortlich ist und VITT bei Rückfragen zeitnah zur Verfügung steht.
Beide Parteien verpflichten sich, alle im Rahmen der Zusammenarbeit erlangten vertraulichen Informationen der jeweils anderen Partei streng vertraulich zu behandeln und weder an Dritte weiterzugeben noch für andere Zwecke als die Erfüllung des jeweiligen Auftrags zu verwenden.
Als vertraulich gelten insbesondere: Testergebnisse, Sicherheitsberichte, identifizierte Schwachstellen, Zugangsdaten, Organigramme, Geschäftsgeheimnisse und personenbezogene Daten von Mitarbeitern des Auftraggebers.
VITT verpflichtet sich, alle im Rahmen von Tests erlangten Informationen nach Abschluss des Projekts und nach Bestätigung durch den Auftraggeber zu löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Berichte und Dokumentationen verbleiben beim Auftraggeber.
Die Vertraulichkeitsverpflichtung gilt für die Dauer der Zusammenarbeit und für einen Zeitraum von 5 Jahren nach deren Beendigung.
VITT haftet für Schäden nur bei Vorsatz oder grober Fahrlässigkeit. Die Haftung für leichte Fahrlässigkeit sowie für mittelbare Schäden, entgangenen Gewinn, Datenverlust und Schäden Dritter ist — soweit gesetzlich zulässig — ausgeschlossen.
Die Haftung von VITT ist der Höhe nach begrenzt auf den im jeweiligen Auftrag vereinbarten Nettovergütungsbetrag.
VITT weist ausdrücklich darauf hin, dass Social Engineering Simulationen und Penetrationstests trotz aller Sorgfalt nicht sämtliche Schwachstellen einer Organisation aufdecken können. Ein positiver Testergebnis stellt keine Garantie für die vollständige Sicherheit der Organisation dar.
Für Schäden, die aus einer unvollständigen Scope-Definition, einer mangelhaften Mitwirkung des Auftraggebers oder der Nichteinholung notwendiger Genehmigungen entstehen, übernimmt VITT keine Haftung.
Im Rahmen der Leistungserbringung verarbeitet VITT personenbezogene Daten von Mitarbeitern des Auftraggebers (insbesondere im Rahmen von Phishing-Simulationen und On-Site Tests) ausschließlich auf Weisung des Auftraggebers und im Rahmen der schriftlichen Genehmigung.
Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO für die Verarbeitung der Mitarbeiterdaten. VITT handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO. Auf Wunsch schließen die Parteien einen Auftragsverarbeitungsvertrag (AVV) ab.
VITT verpflichtet sich zur Einhaltung der anwendbaren Datenschutzvorschriften, insbesondere der DSGVO und des österreichischen DSG.
Im Rahmen der Einbindung der Dr. Tobias Tretzmüller Rechtsanwalts GmbH (digital-recht.at) als Subunternehmerin werden auftragsrelevante Kundendaten (Name, Unternehmen, Kontaktdaten, Projektunterlagen) an diese weitergegeben, soweit dies zur Erbringung der rechtlichen Beratungsleistungen erforderlich ist. Die Rechtsgrundlage für diese Weitergabe ist das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO (ordnungsgemäße Erfüllung des Generalunternehmervertrags). Die Partnerkanzlei ist vertraglich zur Vertraulichkeit verpflichtet. Weitere Informationen finden sich in der Datenschutzerklärung.
Einmalige Projekte (VITTNESS Check etc.) enden mit der vollständigen Leistungserbringung und Übergabe des Reports. Eine ordentliche Kündigung ist während der Projektlaufzeit ausgeschlossen.
Der Auftraggeber kann einen laufenden Auftrag aus wichtigem Grund mit sofortiger Wirkung schriftlich kündigen. In diesem Fall ist VITT berechtigt, die bis zum Zeitpunkt der Kündigung erbrachten Leistungen anteilig in Rechnung zu stellen.
VITT ist berechtigt, einen Auftrag fristlos zu kündigen, wenn der Auftraggeber fällige Zahlungen trotz Mahnung nicht leistet, wesentliche Mitwirkungspflichten verletzt oder Informationen über den Auftragsgegenstand vorsätzlich falsch darstellt.
Anwendbares Recht: Es gilt ausschließlich österreichisches Recht unter Ausschluss des UN-Kaufrechts (CISG).
Gerichtsstand: Für alle Streitigkeiten aus oder im Zusammenhang mit diesen AGB wird als ausschließlicher Gerichtsstand Wien vereinbart, sofern der Auftraggeber Unternehmer ist.
Salvatorische Klausel: Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Anstelle der unwirksamen Bestimmung gilt eine wirksame Regelung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
Änderungen: VITT behält sich das Recht vor, diese AGB jederzeit zu ändern. Die jeweils aktuelle Fassung ist auf der Website abrufbar. Für laufende Verträge gelten die zum Zeitpunkt des Vertragsschlusses gültigen AGB.
Stand: Mai 2026 · Fragen zu den AGB