Nutzungsbedingungen

2. Erbrachte Dienstleistungen

Dienstleistungsbeschreibung und Spezifikationen

CypSec entwickelt umfassende Cybersicherheitslösungen und stellt Dienstleistungen bereit, die auf die strengen Anforderungen von Behörden, Verteidigungsunternehmen und kommerziellen Organisationen in Hochrisikoumgebungen zugeschnitten sind. Unsere Dienstleistungen umfassen fortschrittliche Erkennungs-, Präventions- und Reaktionsfähigkeiten, einschließlich, aber nicht beschränkt auf Managed Security Services, Sicherheitsberatung, Schwachstellenbewertungen, Penetrationstests, Incident Response, Forensische Analysen sowie die Bereitstellung spezialisierter Cybersicherheitsplattformen und -technologien.

Alle Dienstleistungen werden vorbehaltlich der anwendbaren Service Level Agreements (SLAs) erbracht, die spezifische Leistungskennzahlen, Reaktionszeiten, Lösungszusagen und Verfügbarkeitsgarantien festlegen. Diese SLAs bilden einen integralen Bestandteil der vertraglichen Beziehung und sind durch Verweis hiermit inkorporiert. Die Leistungskennzahlen können je nach Service-Level, Bereitstellungsmodell und spezifischen vertraglichen Vereinbarungen variieren.

Wir erkennen an, dass Behörden- und Verteidigungskunden maßgeschneiderte Lösungen zur Bewältigung einzigartiger betrieblicher Anforderungen, Klassifizierungsstufen und regulatorischer Compliance-Verpflichtungen erfordern. CypSec stellt daher Anpassungsoptionen für Service-Konfigurationen, Sicherheitskontrollen, Bereitstellungsarchitekturen und Integrationsspezifikationen bereit, vorbehaltlich gegenseitiger Vereinbarung und etwaiger Sicherheitsfreigabe- oder Autorisierungsanforderungen. Alle Anpassungen müssen durch schriftliche Änderungsvereinbarungen oder Projektablaufpläne dokumentiert werden, die von autorisierten Vertretern beider Parteien unterzeichnet sind.

Einschränkungen und Haftungsausschlüsse

Obwohl CypSec branchenführende Cybersicherheitsmaßnahmen und -technologien einsetzt, garantieren wir keinen vollständigen oder absoluten Schutz vor allen Cyberbedrohungen, -angriffen oder -schwachstellen. Unsere Dienstleistungen sind darauf ausgelegt, Risiken erheblich zu reduzieren und die Sicherheitslage zu verbessern, jedoch bedeutet die sich ständig weiterentwickelnde Natur von Cyberbedrohungen, dass keine Sicherheitslösung einen unfehlbaren Schutz bieten kann.

Die Nutzer erkennen an und stimmen zu, dass: (a) Schwachstellenbewertungen und Penetrationstests auf vereinbarte Bereiche, Zeiträume und Methodologien beschränkt sind; (b) bestimmte Funktionen oder Funktionalitäten aufgrund von Klassifizierungsstufen, Sicherheitsfreigaben, regulatorischen Anforderungen oder technischer Kompatibilität eingeschränkt sein können; (c) die Dienstleistungsleistung je nach Netzwerkbedingungen, Systemkonfigurationen, Drittanbieter-Integrationen oder anderen Faktoren, die außerhalb unserer angemessenen Kontrolle liegen, variieren kann; und (d) Dienstleistungen möglicherweise nicht an allen geografischen Standorten oder für alle Arten von Systemen oder Umgebungen verfügbar sind.

CypSec behält sich das Recht vor, die Dienstleistungsverfügbarkeit vorübergehend auszusetzen oder einzuschränken für: (i) geplante Wartung, Upgrades oder Systemmodifikationen; (ii) Notfall-Sicherheitspatches oder kritische Updates; (iii) Reaktion auf Sicherheitsvorfälle oder -bedrohungen; (iv) Einhaltung gesetzlicher oder regulatorischer Anforderungen; oder (v) Höhere-Gewalt-Ereignisse einschließlich Naturkatastrophen, Krieg, Terrorismus, Bürgerunruhen, behördliche Maßnahmen oder andere Umstände, die außerhalb unserer angemessenen Kontrolle liegen. Wir werden, soweit praktikabel, angemessene Vorankündigungen für geplante Wartungsarbeiten geben.

CypSec gibt keine Zusicherungen oder Gewährleistungen hinsichtlich: (1) unterbrechungsfreier oder fehlerfreier Dienstleistungsbereitstellung; (2) vollständiger Genauigkeit von Threat Intelligence, Schwachstellenbewertungen oder Sicherheitsempfehlungen; (3) Wirksamkeit gegen zuvor unbekannte oder Zero-Day-Bedrohungen; oder (4) Kompatibilität mit allen Drittanbieter-Systemen, -anwendungen oder -konfigurationen. Die Nutzer sind für die Aufrechterhaltung geeigneter Backup-, Disaster Recovery- und Business Continuity-Maßnahmen unabhängig von CypSec-Dienstleistungen verantwortlich.

Dienstverfügbarkeit und Wartung

CypSec betreibt Infrastruktur nach Militärstandard, die die in den anwendbaren Service Level Agreements festgelegten Mindestverfügbarkeitsstandards erreicht. Für Behörden- und Verteidigungskunden können spezifische Verfügbarkeitszusagen aufgrund von Klassifizierungsanforderungen, missionkritischen Einstufungen oder vertraglichen Spezifikationen erhöht werden. Alle Verfügbarkeitskennzahlen werden gemäß Industriestandards und anwendbaren regulatorischen Rahmenbedingungen gemessen und berichtet.

Regelmäßige Wartungsaktivitäten sind für die Aufrechterhaltung optimaler Sicherheit und Leistung unerlässlich. Geplante Wartung kann umfassen: (a) Bereitstellung von Sicherheitspatches, Updates und Firmware-Revisionen; (b) Infrastruktur-Upgrades und Kapazitätserweiterungen; (c) Datenbankoptimierung und Datenintegritätsprüfung; sowie (d) Implementierung neuer Sicherheitsfunktionen oder -fähigkeiten. Wartungsfenster werden so geplant, dass die betrieblichen Auswirkungen minimiert werden, und erfolgen typischerweise während festgelegten Nutzungsschwachzeiten.

CypSec wird über genehmigte Kommunikationskanäle vorab über geplante Wartung informieren, was umfassen kann: (i) offizielle Servicestatus-Portale; (ii) sichere E-Mail-Benachrichtigungen an autorisierte Ansprechpartner; (iii) Dashboard-Warnmeldungen innerhalb von Kundenportalen; oder (iv) direkte Kommunikation durch benannte Account-Vertreter. Die Benachrichtigungszeiträume können je nach Service-Level, Klassifizierungsstufe und vertraglichen Anforderungen variieren, wobei kritische Systeme Prioritätsbenachrichtigungsprotokolle erhalten.

Im Falle ungeplanter Dienstunterbrechungen unterhält CypSec umfassende Incident-Response-Verfahren, die darauf ausgelegt sind: (1) Störungsursachen durch systematische Diagnoseprotokolle schnell zu identifizieren; (2) sofortige Korrekturmaßnahmen zur Wiederherstellung der Dienstfunktionalität zu implementieren; (3) kontinuierliche Kommunikation mit betroffenen Stakeholdern über benannte Kanäle aufrechtzuerhalten; und (4) regelmäßige Statusupdates bereitzustellen, bis die vollständige Dienstwiederherstellung erreicht ist. Alle Vorfälle unterliegen Post-Event-Analyse- und Dokumentationsanforderungen.

Echtzeit-Servicestatus-Informationen sind über mehrere Kanäle verfügbar, einschließlich primärer Servicestatus-Portale, Backup-Kommunikationssysteme und direkter Kontaktaufnahme mit Account-Vertretern. Für Behörden- und Verteidigungskunden können Statuskommunikationen zusätzlichen Sicherheitsprotokollen, Klassifizierungsanforderungen oder eingeschränkten Vertriebskanälen unterliegen, wie in anwendbaren Vereinbarungen spezifiziert.

3. Nutzerpflichten

Kontoanmeldung und -verwaltung

Der Zugang zu CypSec-Dienstleistungen erfordert die Durchführung unseres formalen Kontoanmeldeverfahrens. Alle Nutzer müssen während der Anmeldung vollständige, korrekte und aktuelle Informationen angeben, einschließlich: (a) vollständiger rechtlicher Name und organisatorische Zugehörigkeit; (b) gültige persönliche, unternehmens- oder behördliche E-Mail-Adresse; (c) offizielle Kontaktinformationen; (d) Bestätigung der Befugnis zur Dienstleistungsinanspruchnahme im Namen der anmeldenden Einheit; und (e) zusätzlicher Informationen für Sicherheitsfreigaben, Klassifizierungsstufen oder regulatorische Compliance-Zwecke.

Nutzer müssen starke Authentifizierungsanmeldeinformationen gemäß CypSec-Sicherheitsanforderungen einrichten, was umfassen kann: (i) komplexe Kennwortrichtlinien mit Mindestlängen- und Zeichenanforderungen; (ii) verpflichtende Mehrfaktor-Authentifizierung unter Verwendung genehmigter Methoden; (iii) regelmäßige Anmeldeinformationsrotationspläne; und (iv) Verbot der Anmeldeinformationsweitergabe oder -delegation. Alle Anmeldeinformationen müssen als sensible Informationen behandelt und gemäß anwendbarer Sicherheitsprotokolle geschützt werden.

CypSec behält sich das Recht vor, erweiterte Identitätsverifizierungsverfahren zu implementieren, was umfassen kann: (a) Verifizierung amtlicher Ausweisdokumente; (b) Unternehmensautorisierungsdokumentation; (c) Sicherheitsfreigabenvalidierung für klassifizierte Systeme; (d) biometrische Authentifizierung bei entsprechenden Anforderungen; und (e) periodische Wiederverifizierung von Nutzeridentität und -autorisierung. Die Nicht-Erfüllung von Verifizierungsanforderungen kann zur Kontosperrung oder -kündigung führen.

Registrierte Nutzer tragen die alleinige Verantwortung für: (1) Aufrechterhaltung aktueller und korrekter Kontoinformationen zu jeder Zeit; (2) sofortige Aktualisierung von Kontaktinformationen, organisatorischer Zugehörigkeit oder Autorisierungsstatus bei jeglicher Änderung; (3) Überwachung von Kontoaktivitäten und sofortige Meldung jeglichen verdächtigen oder unbefugten Zugangs; (4) Einhaltung aller anwendbaren Richtlinien, Verfahren und Sicherheitsanforderungen; und (5) Sicherstellung, dass die Konto Nutzung innerhalb des autorisierten Rahmens und Zwecks verbleibt. Die Nutzer erkennen an, dass die Nicht-Aufrechterhaltung korrekter Informationen ein Sicherheitsvorfall sein kann, der sofortige Abhilfemaßnahmen erfordert.

Sicherheitspflichten

Nutzer müssen geeignete technische, administrative und physische Sicherheitsmaßnahmen implementieren und aufrechterhalten, um Kontozugangsdaten, Authentifizierungstoken und Zugangsmethoden zu schützen. Diese Maßnahmen müssen Industriestandards für Informationssicherheit erfüllen oder übertreffen, einschließlich der Einhaltung anwendbarer behördlicher und Verteidigungssicherheitsanforderungen.

Alle Authentifizierungsanmeldeinformationen müssen: (a) streng vertraulich behandelt und unter keinen Umständen an Dritte weitergegeben werden; (b) unter Verwendung genehmigter Kennwortmanagementsysteme geschützt werden, die CypSec-Sicherheitsstandards entsprechen; (c) aus komplexen Kennwörtern bestehen, die Mindestlängen- und Zeichenanforderungen gemäß CypSec-Spezifikationen erfüllen; und (d) in von anwendbaren Sicherheitsrichtlinien vorgeschriebenen Intervallen oder bei jeglicher Andeutung eines potenziellen Kompromittierungsrisikos rotiert werden.

Nutzer müssen Mehrfaktor-Authentifizierung unter Verwendung CypSec-genehmigter Methoden aktivieren und aufrechterhalten, was umfassen kann: (i) Hardware-Sicherheitstoken, die FIPS 140-2 Level 2 oder höhere Standards erfüllen; (ii) biometrische Authentifizierungssysteme, die für Behördengebrauch genehmigt sind; (iii) mobile Authentifizierungsanwendungen unter Verwendung kryptografischer Protokolle; oder (iv) andere von CypSec für erweiterte Sicherheitsanforderungen spezifizierte Methoden.

Nutzer müssen jeden verdächtigen oder tatsächlichen Sicherheitsvorfall unverzüglich melden, einschließlich: (1) unbefugter Zugangsversuche oder erfolgreicher Sicherheitsverletzungen; (2) Verlust oder Kompromittierung von Authentifizierungsanmeldeinformationen; (3) Erkennung anomaler Kontoaktivitäten; (4) verdächtiger Malware oder unbefugter Softwareinstallationen; und (5) sonstiger Umstände, die die Sicherheit oder Integrität von CypSec-Dienstleistungen beeinträchtigen könnten. Meldungen müssen über benannte sichere Kanäle erfolgen und alle relevanten Details für Untersuchungszwecke umfassen.

Nutzer tragen die volle Verantwortung für alle über ihre Konten durchgeführten Aktivitäten, unabhängig davon, ob solche Aktivitäten autorisiert oder unbefugt sind, mit Ausnahme von Fällen, in denen solche unbefugte Nutzung direkt aus grober Fahrlässigkeit oder vorsätzlichem Fehlverhalten von CypSec resultiert. Die Nutzer erkennen an, dass die Nicht-Implementierung angemessener Sicherheitsmaßnahmen oder die nicht unverzügliche Meldung von Sicherheitsvorfällen zur Kündigung der Dienstleistungen und potenziell zur Haftung für resultierende Schäden führen kann.

Verbotene Handlungen

Nutzer sind strengstens untersagt: (a) auf Konten, Systeme, Netzwerke oder Daten ohne ausdrückliche Autorisierung zuzugreifen oder Zugangsversuche zu unternehmen; (b) sicherheitsrelevante Funktionen der Dienstleistungen zu umgehen, zu deaktivieren oder zu beeinträchtigen; (c) Teile der Dienstleistungen zu reverse engineern, zu dekompilieren oder zu disassemblieren; oder (d) Aktivitäten durchzuführen, die die CypSec-Infrastruktur oder Drittanbieter-Systeme beeinträchtigen, stören oder mit unangemessener Belastung versehen könnten.

Die folgenden Aktivitäten sind ausdrücklich verboten: (i) Einführung, Übertragung oder Verteilung von Malware, Viren, Würmern, Trojanischen Pferden, Ransomware oder anderem bösartigen Code; (ii) Durchführung unbefugter Schwachstellenbewertungen, Penetrationstests oder Sicherheitsscanning gegen CypSec- oder Drittanbieter-Systeme; (iii) Betreiben von Phishing, Social Engineering oder anderen betrügerischen Aktivitäten; (iv) Ernten, Sammeln oder Speichern persönlicher Informationen ohne ordnungsgemäße Autorisierung; oder (v) Nutzung der Dienstleistungen zur Durchführung illegaler Überwachungs- oder Spionageaktivitäten.

Nutzer dürfen nicht: (1) Inhalte hochladen, übertragen oder verteilen, die gewerbliche Schutzrechte verletzen, Privatrechte verletzen oder klassifizierte Informationen ohne ordnungsgemäße Freigabe enthalten; (2) Belästigung, Bedrohungen oder missbräuchliches Verhalten gegenüber CypSec-Personal oder anderen Nutzern betreiben; (3) die Dienstleistungen für Zwecke nutzen, die anwendbare Gesetze, Verordnungen oder behördliche Richtlinien verletzen; oder (4) Dritte bei verbotenen Aktivitäten unterstützen.

Verstöße gegen diese Bestimmungen führen zu sofortiger Kontosperrung oder -kündigung, potenzieller straf- und zivilrechtlicher Haftung sowie Meldung an die zuständigen Strafverfolgungs- oder Aufsichtsbehörden. CypSec behält sich das Recht vor: (a) Nutzeraktivitäten und Systemnutzung zu überwachen, um Verstöße zu erkennen; (b) automatisierte Systeme zur Identifizierung verdächtigen oder bösartigen Verhaltens zu implementieren; (c) vollständig mit Strafverfolgungsuntersuchungen zusammenzuarbeiten; und (d) alle verfügbaren Rechtsbehelfe für Schäden, die aus verbotenen Aktivitäten resultieren, zu verfolgen.

Nutzer müssen jeden verdächtigen Verstoß gegen diese Bedingungen oder jeden Sicherheitsvorfall unverzüglich über benannte sichere Kanäle melden. Die Nicht-Meldung bekannter Verstöße kann zur Kontokündigung und potenziellen Haftung für resultierende Schäden führen. Alle Meldungen werden vertraulich behandelt und von qualifiziertem Sicherheitspersonal unverzüglich untersucht.

Rechtliche Einhaltung

Nutzer müssen alle anwendbaren Bundes-, Landes-, Kommunal- und internationalen Gesetze, Verordnungen und behördlichen Richtlinien einhalten, die Cybersicherheitsoperationen, Datenschutz und Informationssicherheit regeln. Dies umfasst unter anderem: (a) Schweizer Datenschutzgesetze und die Allgemeine Datenschutzverordnung (DSGVO), soweit anwendbar; (b) Verteidigungs- und Militärverordnungen einschließlich ITAR, EAR und NATO-Sicherheitsanforderungen; (c) behördliche Cybersicherheitsrahmenwerke wie NIST, ISO 27001 und FedRAMP; (d) Klassifizierungs- und Handhabungsanforderungen für sensible oder klassifizierte Informationen; und (e) branchenspezifische Compliance-Standards für Behördenauftragnehmer und Verteidigungslieferanten.

Nutzer erkennen an, dass Cybersicherheitsaktivitäten mehreren überlappenden Rechtsrahmen unterliegen können, einschließlich: (i) Gesetzen der Rechtsprechung, in der sich der Nutzer befindet; (ii) Gesetzen der Rechtsprechung, in der Daten verarbeitet oder gespeichert werden; (iii) internationalen Verträgen und Vereinbarungen über grenzüberschreitende Datenübertragungen; und (iv) spezifischen vertraglichen Verpflichtungen gegenüber Behörden. Nutzer sind für das Verständnis und die Einhaltung aller anwendbaren Anforderungen verantwortlich und müssen notwendige rechtliche Freigaben einholen, bevor sie Aktivitäten durchführen, die eingeschränkt oder reguliert sein könnten.

Nutzer tragen die alleinige Verantwortung für alle Inhalte, Daten und Informationen, die über CypSec-Dienstleistungen übertragen, verarbeitet oder gespeichert werden, einschließlich: (1) Sicherstellung, dass alle Inhalte anwendbaren Gesetzen und Verordnungen entsprechen; (2) Einholung notwendiger Rechte und Genehmigungen für jegliche Drittanbieter-Inhalte oder gewerbliche Schutzrechte; (3) Schutz persönlicher Daten und Privatrechte gemäß anwendbaren Datenschutzgesetzen; und (4) Aufrechterhaltung angemessener Aufzeichnungen und Dokumentation zur Demonstration der Einhaltung regulatorischer Anforderungen.

Nutzer stimmen zu, CypSec, ihre verbundenen Unternehmen, leitenden Angestellten, Direktoren, Mitarbeiter und Vertreter von und gegen sämtliche Ansprüche, Forderungen, Klagen, Schäden, Haftungen, Kosten und Aufwendungen (einschließlich angemessener Anwaltsgebühren) zu entschädigen, zu verteidigen und schadlos zu halten, die sich aus oder in Bezug auf ergeben: (a) Verletzung anwendbarer Gesetze, Verordnungen oder behördlicher Richtlinien durch den Nutzer; (b) Verletzung gewerblicher Schutzrechte oder sonstiger Eigentumsinteressen durch den Nutzer; (c) Handhabung sensibler, klassifizierter oder regulierter Daten durch den Nutzer ohne ordnungsgemäße Autorisierung; oder (d) Nicht-Einhaltung notwendiger Genehmigungen, Lizenzen oder Freigaben für ihre Aktivitäten durch den Nutzer. Diese Entschädigungspflicht überdauert die Beendigung der Nutzerbeziehung und erstreckt sich auf alle verwandten Untersuchungen, Verfahren und Durchsetzungsmaßnahmen.

4. Datenschutz und Sicherheit

Datenerhebung und -verarbeitung

Für Zwecke dieser Bedingungen umfasst „personenbezogene Daten“ sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, einschließlich, aber nicht beschränkt auf: (a) Identifikationsdaten wie Name, behördliche Identifikationsnummern, Passdetails und Sicherheitsfreigabeinformationen; (b) Kontaktinformationen einschließlich E-Mail-Adressen, Telefonnummern und physische Adressen; (c) biometrische Daten wie Fingerabdrücke, Gesichtserkennungsvorlagen oder sonstige biometrische Identifikatoren; (d) technische Identifikatoren einschließlich IP-Adressen, Gerätekennungen und Geolokalisierungsdaten; sowie (e) berufliche Informationen wie Positionen, organisatorische Zugehörigkeiten und Autorisierungsstufen.

CypSec kann folgende Kategorien personenbezogener Daten erheben und verarbeiten: (1) Identifikations- und Kontaktdaten, die während der Kontoanmeldung oder Servicekonfiguration bereitgestellt werden; (2) Authentifizierungsanmeldeinformationen und sicherheitsrelevante Informationen; (3) Systemnutzungsdaten und Zugriffsprotokolle; (4) Kommunikationen mit CypSec-Personal oder Support-Systemen; (5) Informationen, die für Sicherheitsfreigabeverifizierung oder Klassifizierungszwecke erforderlich sind; sowie (6) Daten, die aus Drittanbieterquellen wie Behörden Datenbanken, Sicherheitsfreigabesystemen oder autorisierten Partnerorganisationen stammen.

Personenbezogene Daten werden erhoben durch: (i) direkte Nutzerinteraktionen einschließlich Anmeldeformularen, Servicerequests und Supportkommunikationen; (ii) automatisierte technische Mittel wie Cookies, Web Beacons, Protokollierungssysteme und Analysewerkzeuge; (iii) Drittanbieter-Integrationen mit Behörden-Authentifizierungssystemen oder unternehmensweiten Identitätsprovidern; sowie (iv) öffentlich zugängliche Quellen, soweit durch anwendbares Recht erlaubt.

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage von: (a) vertraglicher Notwendigkeit für Servicebereitstellung und Kontomanagement; (b) Einhaltung gesetzlicher Verpflichtungen einschließlich nationaler Sicherheitsanforderungen und regulatorischer Rahmenwerke; (c) berechtigten Interessen an Aufrechterhaltung der Servicesicherheit und Betrugsprävention; sowie (d) ausdrücklicher Einwilligung, wo für spezifische Verarbeitungsaktivitäten erforderlich. Verarbeitungszwecke umfassen Servicebereitstellung, Sicherheitsüberwachung, Compliance-Verifizierung, Kundensupport und Serviceverbesserungsinitiativen.

CypSec stellt umfassende Informationen bezüglich Datenerhebungspraktiken durch Datenschutzhinweise und Datenverarbeitungsvereinbarungen bereit. Nutzer behalten Rechte auf Zugriff, Berichtigung, Einschränkung oder Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten, vorbehaltlich anwendbarer gesetzlicher Einschränkungen und nationaler Sicherheitsanforderungen. Der Widerruf der Einwilligung beeinträchtigt nicht die vor dem Widerruf durchgeführte Verarbeitung oder die für vertragliche Erfüllung oder gesetzliche Einhaltung erforderliche Verarbeitung.

Datenverwendung und -offenlegung

Personenbezogene Daten werden ausschließlich für berechtigte Geschäftszwecke verarbeitet, einschließlich: (a) Servicebereitstellung, -konfiguration und -optimierung; (b) Sicherheitsüberwachung, Bedrohungserkennung und Incident Response; (c) Einhaltung vertraglicher Verpflichtungen und regulatorischer Anforderungen; (d) Kundensupport und technische Unterstützung; (e) Serviceverbesserung und Analytik; sowie (f) Kommunikation bezüglich servicebezogener Angelegenheiten. Verarbeitungsaktivitäten erfolgen gemäß anwendbaren Datenschutzgesetzen und Behörden-Sicherheitsanforderungen.

CypSec kann personenbezogene Daten teilen mit: (i) autorisierten Drittanbieter-Dienstleistern, die die Servicebereitstellung unterstützen und durch Vertraulichkeits- und Sicherheitsverpflichtungen gebunden sind; (ii) Behörden oder Strafverfolgungsbehörden, wenn durch Gesetz, Gerichtsbeschluss oder nationale Sicherheitsanforderungen vorgeschrieben; (iii) verbundenen Unternehmen innerhalb der CypSec-Konzernstruktur für berechtigte Geschäftszwecke; sowie (iv) Nachfolgeeinheiten im Zusammenhang mit Fusionen, Übernahmen oder Asset-Transfers. Alle Drittempfänger müssen angemessene Sicherheitsmaßnahmen nachweisen und anwendbaren Datenschutzstandards entsprechen.

Bei grenzüberschreitenden Datenübertragungen implementiert CypSec geeignete Schutzvorkehrungen einschließlich: (1) Angemessenheitsentscheidungen, die von zuständigen Aufsichtsbehörden anerkannt werden; (2) Standardvertragsklauseln, die von zuständigen Datenschutzbehörden genehmigt wurden; (3) verbindliche Konzernregeln, soweit anwendbar; sowie (4) spezifische Behörden-zu-Behörden-Vereinbarungen oder Verträge. Übertragungen in Rechtsprechungen mit abweichenden Datenschutzstandards erfolgen nur mit ordnungsgemäßer Autorisierung und Sicherheitskontrollen.

Personenbezogene Daten werden nur in dem für die festgelegten Zwecke notwendigen Umfang verarbeitet und für Zeiträume aufbewahrt, die mit anwendbaren gesetzlichen, regulatorischen und betrieblichen Anforderungen konsistent sind. Nutzer können bestimmte Verarbeitungsaktivitäten durch Kontoeinstellungen einschränken oder durch direkte Kontaktaufnahme mit CypSec, vorbehaltlich vertraglicher Verpflichtungen und gesetzlicher Anforderungen. Marketingkommunikationen erfolgen nur mit ausdrücklicher Einwilligung und können jederzeit über etablierte Abmelde-Mechanismen eingestellt werden.

Nutzer erkennen an, dass CypSec verpflichtet sein kann, Zugang zu personenbezogenen Daten als Reaktion auf rechtmäßige Anfragen von Behörden bereitzustellen, einschließlich nationaler Sicherheitsbehörden, Strafverfolgungseinrichtungen oder Aufsichtsbehörden. Solche Offenlegungen erfolgen gemäß anwendbaren Gesetzen und nur in dem gesetzlich vorgeschriebenen Umfang. Soweit durch Gesetz erlaubt, wird CypSec versuchen, betroffene Nutzer über solche Anfragen zu benachrichtigen, es sei denn, dies ist durch rechtliche oder Sicherheitsüberlegungen untersagt.

Sicherheitsvorkehrungen

CypSec implementiert eine Defense-in-Depth-Sicherheitsarchitektur, die mehrere Schutzebenen umfasst, einschließlich: (a) FIPS 140-2 Level 3 validierter Verschlüsselung für ruhende Daten unter Verwendung von AES-256 oder stärkeren Algorithmen; (b) TLS 1.3 oder stärkeren Verschlüsselungsprotokollen für Daten während der Übertragung; (c) Hardware-Sicherheitsmodulen (HSMs) für Schlüsselmanagement und kryptografische Operationen; (d) Netzwerksegmentierung und Mikrosegmentierung zur Isolierung sensibler Daten; sowie (e) kontinuierlichen Überwachungssystemen mit Echtzeit-Bedrohungserkennungsfähigkeiten.

Der Zugriff auf personenbezogene Daten wird durch umfassende Zugriffskontrollrichtlinien geregelt, einschließlich: (i) rollenbasierter Zugriffskontrolle (RBAC) mit Durchsetzung des Grundsatzes der geringsten Privilegien; (ii) verpflichtender Mehrfaktor-Authentifizierung unter Verwendung behördlich genehmigter Token oder biometrischer Systeme; (iii) privilegiertem Zugriffsmanagement (PAM) mit Sitzungsaufzeichnung und -überwachung; (iv) regelmäßigen Zugriffsüberprüfungen und Rezertifizierungsprozessen; sowie (v) Aufgabentrennung für kritische Operationen. Alle Zugriffsversuche werden protokolliert, überwacht und unterliegen einer Auditüberprüfung.

Alle CypSec-Mitarbeiter mit Zugriff auf personenbezogene Daten unterziehen sich: (1) umfassenden Hintergrunduntersuchungen, die angemessen sind für die Sensibilitätsstufe der zugegriffenen Daten; (2) Sicherheitsfreigabeverifizierung, wo für Behördenverträge erforderlich; (3) jährlicher Sicherheitsbewusstseins-Schulung und spezialisierter Datenschutzausbildung; (4) unterzeichneter Vertraulichkeits- und Geheimhaltungsvereinbarungen; sowie (5) kontinuierlicher Evaluierung und Überwachung auf Sicherheitseinhalten. Der Personenzugriff wird bei Beendigung oder bei Nicht-mehr-Benötigen des Zugriffs unverzüglich widerrufen.

CypSec unterhält kontinuierliche Sicherheitsbewertung und Compliance-Validierung einschließlich: (a) vierteljährlicher Schwachstellenbewertungen, die von unabhängigen Drittanbieter-Sicherheitsfirmen durchgeführt werden; (b) jährlicher Penetrationstests, die von zertifizierten ethischen Hackern durchgeführt werden; (c) kontinuierlicher Compliance-Überwachung gegen NIST Cybersecurity Framework, ISO 27001 und SOC 2-Standards; (d) behördenspezifischen Compliance-Audits für klassifizierte oder sensible Systeme; sowie (e) Echtzeit-Sicherheitspositionsüberwachung mit automatisierter Threat-Intelligence-Integration.

Im Falle eines verdächtigen oder tatsächlichen Sicherheitsvorfalls, der personenbezogene Daten betrifft, wird CypSec: (i) unverzüglich Incident-Response-Verfahren und Containment-Maßnahmen aktivieren; (ii) umfassende Impact-Bewertung und forensische Analyse durchführen; (iii) betroffene Nutzer und Aufsichtsbehörden innerhalb der durch anwendbare Gesetze und Verträge vorgeschriebenen Zeitrahmen benachrichtigen; (iv) Korrekturmaßnahmen und Sicherheitsverbesserungen implementieren, um Wiederholung zu verhindern; sowie (v) regelmäßige Statusupdates während des gesamten Vorfalllösungsprozesses bereitstellen. Alle Vorfälle unterliegen Post-Incident-Review- und Dokumentationsanforderungen.

Datenaufbewahrung und Lebenszyklusmanagement

CypSec unterhält umfassende Datenaufbewahrungsrichtlinien, die betriebliche Anforderungen, rechtliche Verpflichtungen und Datenschutzbetrachtungen in Einklang bringen. Aufbewahrungszeiten werden bestimmt auf Grundlage von: (a) gesetzlichen und regulatorischen Anforderungen einschließlich nationaler Sicherheitsrichtlinien und behördlicher Aufzeichnungsvorschriften; (b) vertraglichen Verpflichtungen mit Behörden und Verteidigungsunternehmen; (c) betrieblicher Notwendigkeit für Servicebereitstellung, Sicherheitsüberwachung und Vorfalluntersuchung; (d) Klassifizierungsstufen und Sensibilitätskennzeichnungen; sowie (e) Litigation-Hold-Anforderungen oder anhängiger rechtlicher Verfahren.

Personenbezogene Daten werden gemäß etablierter Zeitpläne aufbewahrt, die je nach Datenkategorie und Verarbeitungszweck variieren: (i) Kontoanmeldeinformationen und Authentifizierungsdaten für die Dauer aktiver Dienste plus sieben Jahre für Audit- und Compliance-Zwecke; (ii) Sicherheitsprotokolle und Zugriffsaufzeichnungen für Mindestzeiträume, die durch anwendbare Sicherheitsrahmenwerke vorgeschrieben sind; (iii) Kommunikationsaufzeichnungen für Dauer, die durch Behördenvertragsanforderungen spezifiziert wird; sowie (iv) Backup- und Archivierungsdaten gemäß Disaster-Recovery- und Business-Continuity-Anforderungen. Aufbewahrungszeiten können verlängert werden, wenn durch rechtliche Verfahren oder regulatorische Untersuchungen erforderlich.

Nutzer behalten Rechte auf Zugriff auf ihre personenbezogenen Daten vorbehaltlich nationaler Sicherheitsbeschränkungen, Klassifizierungsanforderungen und vertraglicher Einschränkungen. Zugriffsanfragen müssen über benannte sichere Kanäle eingereicht werden und werden innerhalb der durch anwendbares Recht vorgeschriebenen Zeitrahmen bearbeitet. Nutzer können Berichtigung ungenauer Daten anfordern, obwohl bestimmte Datenelemente aus Sicherheits- oder Auditgründen unveränderbar sein können. Anfragen für Datenportabilität oder -übertragung werden basierend auf technischer Durchführbarkeit und Sicherheitsanforderungen evaluiert.

Wenn personenbezogene Daten das Ende ihrer Aufbewahrungszeit erreichen oder aufgrund gültiger Nutzeranfrage, implementiert CypSec sichere Löschverfahren einschließlich: (1) kryptografischer Löschung unter Verwendung NIST-genehmigter Methoden für verschlüsselte Daten; (2) Mehrfach-Überschreibung für magnetische Speichermedien, die DoD 5220.22-M-Standards erfüllt; (3) physischer Zerstörung von Speichergeräten unter Verwendung von Shreddern oder Degaussing-Geräten, die Behörden-Sicherheitsanforderungen erfüllen; sowie (4) zertifizierter Zerstörung mit Kettenbeweis-Dokumentation für klassifizierte oder sensible Materialien. Die Löschung erfolgt über alle Systeme einschließlich Primärspeicher, Backup-Systeme und Archivmedien.

Backup- und Archivierungssysteme bewahren personenbezogene Daten gemäß separaten Aufbewahrungszeitplänen, die für Disaster-Recovery- und Business-Continuity-Zwecke konzipiert sind. Diese Systeme implementieren: (a) Verschlüsselung ruhender Daten unter Verwendung behördlich genehmigter Algorithmen; (b) Zugriffskontrollen, die Abruf auf autorisiertes Personal beschränken; (c) periodische Überprüfung und Löschung veralteter Backup-Sätze; sowie (d) sichere Vernichtung von Backup-Medien am Lebensende. Nutzer erkennen an, dass Backup-Systeme Daten über primäre Systemlöschdaten hinaus für berechtigte Geschäftszwecke bewahren können.

5. Gewerbliche Schutzrechte

Eigentumsrechte an Inhalten

Alle Rechte, Ansprüche und Interessen an den Dienstleistungen, einschließlich, aber nicht beschränkt auf alle Software, Plattformen, Algorithmen, Datenbanken, Schnittstellen, Dokumentationen, Methodologien, Geschäftsgeheimnisse und sämtliche damit verbundenen Verbesserungen, Modifikationen oder abgeleiteten Werke, sind und bleiben ausschließliches Eigentum von CypSec. Dies umfasst alle Patente, Urheberrechte, Marken, Dienstleistungsmarken, Handelsnamen, Geschmacksmuster und sonstigen gewerblichen Schutzrechte, die mit den Dienstleistungen verbunden sind, ob registriert oder nicht registriert, sowie alle Anmeldungen, Registrierungen, Erneuerungen und Verlängerungen derselben.

Nutzer behalten alle Rechte, Ansprüche und Interessen an sämtlichen Daten, Informationen oder Materialien, die sie im Zusammenhang mit den Dienstleistungen zu CypSec hochladen, übertragen oder anderweitig bereitstellen („Nutzerinhalte"), vorbehaltlich der hierin gewährten Lizenz und etwaiger behördlicher oder Klassifizierungsanforderungen. Nutzer versichern und garantieren, dass sie über alle notwendigen Rechte, Genehmigungen und Autorisierungen verfügen, um solche Nutzerinhalte bereitzustellen und die hierin vorgesehenen Lizenzen zu gewähren, einschließlich angemessener Sicherheitsfreigaben und Klassifizierungsgenehmigungen, wo erforderlich.

Nutzer gewähren hiermit CypSec eine weltweite, unbefristete, unwiderrufliche, gebührenfreie, vollständig bezahlte, nicht-exklusive Lizenz zur Nutzung, Vervielfältigung, Modifikation, Anpassung, Veröffentlichung, Übersetzung, Erstellung abgeleiteter Werke, Verteilung, Aufführung, Anzeige und anderweitigen Verwertung der Nutzerinhalte, ganz oder teilweise, für die Zwecke: (a) Bereitstellung, Aufrechterhaltung und Verbesserung der Dienstleistungen; (b) Durchführung von Analytik und Generierung von Erkenntnissen zur Verbesserung der Serviceangebote; (c) Einhaltung gesetzlicher Verpflichtungen und regulatorischer Anforderungen; (d) Schutz der Rechte, des Eigentums oder der Sicherheit von CypSec, seinen Nutzern oder der Öffentlichkeit; und (e) Ausübung oder Verteidigung rechtlicher Ansprüche. Diese Lizenz umfasst das Recht, solche Rechte an Drittanbieter-Dienstleister zu unterlizenzieren, soweit für die Servicebereitstellung notwendig.

Für Behörden- und Verteidigungskunden können Nutzerinhalte zusätzlichen Klassifizierungsanforderungen, Ausfuhrkontrollvorschriften und nationalen Sicherheitsüberlegungen unterliegen. Nutzer erkennen an, dass CypSec möglicherweise verpflichtet ist, bestimmte Nutzerinhalte gemäß Behördenvertragsanforderungen, Sicherheitsfreigabeverpflichtungen und anwendbaren Verteidigungsvorschriften aufrechtzuerhalten und zu verarbeiten. Alle Verarbeitungen klassifizierter oder kontrollierter Informationen müssen innerhalb angemessener sicherer Umgebungen und in Übereinstimmung mit relevanten Sicherheitsprotokollen durchgeführt werden.

CypSec behält sich alle Rechte vor, die den Nutzern unter diesen Bedingungen nicht ausdrücklich gewährt werden. Es werden keine Rechte oder Lizenzen durch stillschweigende Vereinbarung, Rechtseinwendung oder anderweitig gewährt, außer wie hierin ausdrücklich dargelegt. Nutzer erkennen an, dass die Dienstleistungen wertvolle Geschäftsgeheimnisse und proprietäre Informationen von CypSec enthalten und dass jegliche unbefugte Nutzung oder Offenlegung unersetzlichen Schaden für CypSec verursachen würde, für den monetäre Schadenersatz unangemessen wäre.

Lizenzbedingungen und -konditionen

Vorbehaltlich vollständiger Einhaltung dieser Nutzungsbedingungen und etwaiger anwendbarer Behörden-Sicherheitsanforderungen gewährt CypSec den Nutzern eine beschränkte, nicht-exklusive, nicht-übertragbare, widerrufliche Lizenz für den Zugriff auf und die Nutzung der Dienstleistungen ausschließlich für autorisierte interne Geschäftszwecke. Diese Lizenz beinhaltet keine Rechte zur: (a) Unterlizenzierung, Verteilung oder Bereitstellung der Dienstleistungen für Dritte; (b) Modifikation, Anpassung, Übersetzung oder Erstellung abgeleiteter Werke basierend auf den Dienstleistungen; (c) Reverse Engineering, Dekompilierung, Disassemblierung oder sonstigen Versuchen, den Quellcode oder zugrundeliegende Algorithmen zu entdecken; oder (d) Entfernung, Verdeckung oder Änderung proprietärer Hinweise oder Kennzeichnungen.

Für Nutzer, die unter Behördenverträgen oder mit Sicherheitsfreigabeanforderungen auf Dienstleistungen zugreifen, gelten zusätzliche Einschränkungen: (i) Nutzung ist beschränkt auf autorisierte Behördenzwecke und Personal mit angemessenen Freigaben; (ii) Dienstleistungen dürfen nicht von oder zu unbefugten Standorten oder Systemen zugegriffen oder übertragen werden; (iii) technische Daten und Software können Ausfuhrkontrollvorschriften einschließlich ITAR und EAR unterliegen; sowie (iv) alle Nutzungen müssen anwendbaren Sicherheitsklassifizierungsleitlinien und Handhabungsverfahren entsprechen. Nutzer erkennen an, dass Verletzungen dieser Einschränkungen einen Verstoß gegen nationale Sicherheitsgesetze darstellen können.

Die hierin gewährte Lizenz unterliegt folgenden ausdrücklichen Verboten: (1) Nutzung der Dienstleistungen für Zwecke, die rechtswidrig sind, durch diese Bedingungen untersagt sind oder mit autorisierten Behördenaktivitäten unvereinbar sind; (2) Beeinträchtigung oder Störung der Integrität oder Leistung der Dienstleistungen oder darin enthaltener Drittanbieterdaten; (3) Versuch, unbefugten Zugriff auf die Dienstleistungen oder verwandte Systeme oder Netzwerke zu erlangen; (4) Nutzung automatisierter Mittel einschließlich Skripten, Bots oder Scraping-Tools für den Zugriff auf oder die Überwachung der Dienstleistungen; oder (5) Nutzung der Dienstleistungen zur Speicherung oder Übertragung rechtsverletzender, verleumderischer oder anderweitig rechtswidriger Materialien.

Diese Lizenz beginnt mit Annahme dieser Bedingungen und dauert bis zur Kündigung an. CypSec kann diese Lizenz unverzüglich und ohne Vorankündigung kündigen: (a) bei Verletzung irgendeiner Bestimmung dieser Bedingungen; (b) falls durch Gesetz, Verordnung oder behördliche Anordnung vorgeschrieben; (c) bei Kündigung zugrundeliegender Behördenverträge oder -vereinbarungen; oder (d) aus Sicherheitsbedenken oder verdächtigtem unbefugtem Zugriff. Bei Kündigung müssen Nutzer alle Nutzung der Dienstleistungen unverzüglich einstellen, heruntergeladene Materialien löschen und alle Kopien gewerblichen CypSec-Eigentums in ihrem Besitz oder unter ihrer Kontrolle vernichten.

Alle Einschränkungen, Begrenzungen und Verpflichtungen, die in diesem Abschnitt dargelegt sind, überdauern die Lizenzkündigung und gelten weiterhin in vollem Umfang. Nutzer erkennen an, dass jegliche unbefugte Nutzung oder Offenlegung gewerblichen Cypsec-Eigentums nach Kündigung zu unersetzlichem Schaden führen wird und die Nutzer möglicherweise straf- und zivilrechtlicher Haftung unter anwendbaren Gesetzen unterliegen, einschließlich des Computer Fraud and Abuse Act und ähnlicher internationaler Statuten.

Marken- und Urheberrechtsschutz

Alle CypSec-Marken, Dienstleistungsmarken, Handelsnamen, Geschmacksmuster, Logos und Slogans, ob registriert oder nicht registriert, sind ausschließliches Eigentum von CypSec und unterliegen dem nationalen und internationalen gewerblichen Rechtsschutz. Dies umfasst unter anderem: (a) Servicenamen und Produktbezeichnungen; (b) distinktive Farbschemata und Designelemente; sowie (c) alle verbundenen Taglines und Marketingmaterialien. Diese Vermögenswerte stellen wertvolles Firmeneigentum dar und dürfen ohne ausdrückliche schriftliche Autorisierung nicht verwendet werden.

Nutzern wird eine beschränkte, nicht-exklusive, nicht-übertragbare Lizenz für die Nutzung von CypSec-Marken und urheberrechtlich geschützten Materialien ausschließlich für: (i) Identifikation von CypSec als Serviceanbieter innerhalb autorisierte Dokumentation; (ii) Referenzierung von CypSec-Dienstleistungen in Übereinstimmung mit diesen Bedingungen; sowie (iii) sonstige schriftlich durch CypSec ausdrücklich autorisierte Verwendungen gewährt. Alle Verwendungen müssen CypSec-Markenrichtlinien entsprechen und dürfen nicht: (1) Verwirrung bezüglich Eigentums oder Zugehörigkeit erzeugen; (2) die CypSec-Marke verwässern oder beschädigen; oder (3) Billigung oder Partnerschaft ohne ausdrückliche Autorisierung implizieren.

Für Behörden- und Verteidigungskunden kann die Nutzung von CypSec-Marken und urheberrechtlich geschützten Materialien zusätzlichen Einschränkungen unterliegen: (i) Nutzung in klassifizierten Umgebungen erfordert vorherige Sicherheitsfreigabe und Genehmigung; (ii) Einbeziehung in Behörden-Dokumentation muss anwendbaren Beschaffungsvorschriften entsprechen; (iii) Nutzung in internationalen Kontexten kann Ausfuhrkontroll-Compliance erfordern; sowie (iv) alle Verwendungen müssen die Integrität und den Ruf von CypSec als vertrauenswürdigem Sicherheitsanbieter für Behörden aufrechterhalten.

Die folgenden Verwendungen gewerblichen CypSec-Eigentums sind ausdrücklich untersagt: (a) Modifikation, Änderung oder Verzerrung von Marken oder Logos; (b) Nutzung in Verbindung mit Produkten oder Dienstleistungen, die mit CypSec-Angeboten konkurrieren; (c) Nutzung in einer Weise, die irreführend, diffamierend oder anderweitig schädlich für den Ruf von CypSec ist; (d) Registrierung oder Versuch der Registrierung irgendeiner CypSec-Marke oder irreführend ähnlicher Marken; sowie (e) Nutzung in Verletzung anwendbarer Gesetze, Verordnungen oder behördlicher Richtlinien.

CypSec überwacht aktiv unbefugte Nutzung seiner gewerblichen Schutzrechte und behält sich das Recht vor: (1) jede verdächtige Verletzung oder Fehlnutzung zu untersuchen; (2) unbefugte Nutzung durch formelle Rechtshinweise zu unterbinden; (3) Rechtsbehelfe einschließlich einstweiliger Verfügung und Geldschadenersatz zu verfolgen; (4) mit Strafverfolgungsbehörden bei kriminellen Durchsetzungsmaßnahmen zusammenzuarbeiten; sowie (5) jede andere notwendige Maßnahme zum Schutz seiner gewerblichen Schutzrechte zu ergreifen. Nutzer stimmen zu, vollständig mit jeglichen Durchsetzungsmaßnahmen zusammenzuarbeiten und angemessene Unterstützung beim Schutz gewerblicher CypSec-Schutzrechte zu leisten.

6. Zahlungsbedingungen

Preisgestaltung und Zahlungsverpflichtungen

Alle Preise für CypSec-Dienstleistungen werden durch schriftliche Angebote, Projektablaufpläne oder Behördenverträge, die von autorisierten Vertretern unterzeichnet werden, festgelegt. Die Preisgestaltung kann auf verschiedenen Modellen basieren, einschließlich: (a) Festpreisverträgen für definierte Servicezeiträume; (b) Zeit- und Material-Vereinbarungen für Beratungsdienstleistungen; (c) nutzungsbasierter Preisgestaltung, die an spezifische Kennzahlen wie Datenvolumen, Nutzeranzahl oder Transaktionslevel gekoppelt ist; sowie (d) abonnementbasierten Modellen mit wiederkehrenden Gebühren. Alle Preise verstehen sich ausschließlich anwendbarer Steuern, Abgaben und behördlich auferlegter Gebühren, sofern nicht ausdrücklich anders angegeben.

Für Behörden- und Verteidigungskunden unterliegen Preise anwendbaren Beschaffungsvorschriften, einschließlich: (i) Federal Acquisition Regulation (FAR) und Defense Federal Acquisition Regulation Supplement (DFARS)-Anforderungen; (ii) Meistbegünstigten-Kunden-Preisverpflichtungen, wo anwendbar; (iii) Behördenprüfrechten und Kostenrechnungsstandards; sowie (iv) Sicherheitsfreigabe- und Anlagenfreigabeanforderungen, die die Servicebereitstellungskosten beeinflussen können. Alle Behördenpreise unterliegen Vertragsänderungsverfahren und formellen Änderungsprozessen.

Zahlungsbedingungen werden in individuellen Verträgen spezifiziert und können je nach Kundentyp, Service-Level und Behördenanforderungen variieren. Standardbedingungen erfordern Zahlung innerhalb von dreißig (30) Tagen ab Rechnungsdatum, sofern nicht anderweitig vereinbart. Späte Zahlungen können Verzugszinsen zum durch Gesetz maximal zulässigen Satz nach sich ziehen. CypSec behält sich das Recht vor, Dienstleistungen für Konten mit überfälligen Salden zu sperren, vorbehaltlich anwendbarer Behördenvertragskündigungsverfahren und Benachrichtigungsanforderungen.

Alle Zahlungstransaktionen werden über sichere Zahlungsgateways abgewickelt, die Payment Card Industry Data Security Standard (PCI DSS) Level 1-Anforderungen erfüllen. Zahlungsmethoden können umfassen: (1) Behörden-Einkaufskarten, vorbehaltlich anwendbarer Transaktionslimits und Genehmigungsanforderungen; (2) elektronischen Fondsübertragung (EFT) auf benannte Behörden- oder Handelsbankkonten; (3) Banküberweisungen für internationale Transaktionen; sowie (4) andere Methoden, wie in schriftlichen Verträgen ausdrücklich autorisiert. Nutzer autorisieren CypSec, die benannten Zahlungsmethoden für alle vereinbarten Gebühren und Kosten zu belasten.

Alle Transaktionen werden in der in dem anwendbaren Vertrag oder Projektablaufplan spezifizierten Währung abgewickelt. Für internationale Transaktionen mit Behörden ist die Einhaltung anwendbarer Devisenvorschriften, Ausfuhrkontrollanforderungen und internationaler Bankprotokolle erforderlich. Währungsumrechnungsgebühren und internationale Transaktionskosten liegen in der Verantwortung des Nutzers, sofern im Vertrag nicht anderweitig spezifiziert.

Abonnement- und Servicepläne

CypSec bietet mehrere Service-Levels an, die auf unterschiedliche Sicherheitsanforderungen und betriebliche Bedürfnisse von Behörden und kommerziellen Kunden zugeschnitten sind. Jedes Level bietet spezifische Fähigkeiten, Leistungsstufen und Supportberechtigungen, wie in Servicebeschreibungen und Projektablaufplänen dargelegt. Service-Levels können umfassen: (a) Basic Security Services, die grundlegende Bedrohungserkennung und -prävention bieten; (b) Advanced Security Services, die umfassende Überwachung und Incident Response integrieren; (c) Enterprise Security Services, die Vollspektrum-Cybersicherheit mit dedizierten Ressourcen liefern; sowie (d) Custom Government Solutions, die auf spezifische Behördenanforderungen und Klassifizierungsstufen zugeschnitten sind.

Für Behörden-Abonnementpläne unterliegen alle Änderungen anwendbaren Beschaffungsvorschriften, einschließlich: (i) formaler Vertragsänderungsverfahren für Änderungen, die vereinfachte Beschaffungsschwellen übersteigen; (ii) Genehmigung durch Contracting Officers oder autorisierte Vertreter; (iii) Einhaltung von Wettbewerbsanforderungen, wo anwendbar; sowie (iv) Einhaltung von Finanzierungsverfügbarkeit und Haushaltsjahrbeschränkungen. Abonnementänderungen können Sicherheitswiederautorisierung und aktualisierte Anlagenfreigabeverifizierung erfordern.

Abonnements verlängern sich automatisch für aufeinanderfolgende Zeiträume gleich der ursprünglichen Laufzeit, es sei denn: (1) eine Partei gibt schriftliche Kündigung der Nichtverlängerung mindestens sechzig (60) Tage vor Ablauf der Laufzeit; (2) Behördenfinanzierung wird nicht bewilligt oder wird nicht verfügbar; (3) Sicherheitsfreigabe oder Autorisierung wird widerrufen oder ausgesetzt; oder (4) Kündigung erfolgt gemäß anwendbaren Vertragsbestimmungen. Frühzeitige Kündigung kann unterliegen den in individuellen Verträgen spezifizierten Vorzeitkündigungsgebühren.

Nutzer können Änderungen der Service-Levels anfordern vorbehaltlich: (a) Abschluss von Sicherheitsbewertungs- und Autorisierungsprozessen für höherwertige Dienste; (b) Verfügbarkeit angemessener Sicherheitsfreigaben und Anlagenfreigaben; (c) Einhaltung etwaiger anwendbarer Ausfuhrkontroll- oder Technologietransferanforderungen; sowie (d) Akzeptierung revidierter Preisgestaltung und Bedingungen. Herabstufungen können während aktiver Sicherheitsvorfälle oder bei Zugriff auf klassifizierte Informationen eingeschränkt sein.

CypSec behält sich das Recht vor, Abonnementpreise bei Verlängerung mit Vorankündigung gemäß anwendbaren Verträgen anzupassen. Für Behördenkunden unterliegen Preis-Anpassungen: (i) Meistbegünstigten-Kunden-Preisanalyse, wo anwendbar; (ii) Behördenprüfrechten und Kostenanalyse; (iii) formalen Vertragsänderungsverfahren; sowie (iv) Kongress-Benachrichtigungsanforderungen für erhebliche Erhöhungen. Kommerzielle Preis-Anpassungen erfordern dreißig (30) Tage Vorankündigung, sofern in individuellen Vereinbarungen nicht anderweitig spezifiziert.

Steuerpflichten und Compliance

Alle an CypSec zahlbaren Beträge verstehen sich ausschließlich anwendbarer Steuern, Abgaben und behördlich auferlegter Gebühren. Nutzer sind für die Zahlung aller anwendbaren Steuern verantwortlich, einschließlich, aber nicht beschränkt auf: (a) Mehrwertsteuer (MwSt.) oder Goods and Services Tax (GST), soweit anwendbar; (b) Umsatz- und Verbrauchsteuern basierend auf dem Lieferort; (c) Quellensteuern, die gemäß internationalen Steuerabkommen erforderlich sind; sowie (d) digitale Dienstleistungssteuern oder ähnliche Abgaben, die auf Technologiedienstleistungen erhoben werden. CypSec wird Steuern nur einziehen und abführen, wo aufgrund anwendbarer Nexus-Anforderungen gesetzlich dazu verpflichtet.

Behörden und steuerbefreite Organisationen müssen geeignete Dokumentation zur Unterstützung von Steuerbefreiungsansprüchen vorlegen, einschließlich: (i) gültiger Steuerbefreiungszertifikate oder Behörden-Einkaufskarten; (ii) offizieller Beschaffungsdokumentation, die die steuerbefreite Status feststellt; (iii) anwendbarer Internationaler Organisationsbefreiungen unter Verträgen oder Vereinbarungen; sowie (iv) diplomatischer Steuerbefreiungskarten, soweit anwendbar. Alle Befreiungsdokumentationen müssen aktuell, gültig und gemäß anwendbarem Steuerrecht annehmbar sein. CypSec behält sich das Recht vor, zusätzliche Dokumentation anzufordern oder Befreiungsansprüche abzulehnen, die nicht den gesetzlichen Anforderungen entsprechen.

Grenzüberschreitende Transaktionen können komplexe steuerliche Auswirkungen unterliegen, einschließlich: (1) Einfuhrzöllen oder Zollgebühren auf Software- oder Technologietransfers; (2) Digital Services Taxes, die von verschiedenen Rechtsprechungen auferlegt werden; (3) Betriebsstättenüberlegungen unter Steuerabkommen; sowie (4) Verrechnungspreisvorschriften für verbundene Unternehmenstransaktionen. Nutzer erkennen die Verantwortung für die Bestimmung und Einhaltung aller anwendbaren internationalen Steuerpflichten an und stimmen zu, CypSec für jegliche Steuerhaftungen zu entschädigen, die sich aus ihrem Versagen ergeben, erforderliche Steuern ordnungsgemäß zu bewerten oder abzuführen.

CypSec unterhält umfassende Steuerberichts- und Dokumentationssysteme zur Sicherstellung der Einhaltung anwendbarer Steuergesetze. Nutzer erhalten angemessene Steuerrechnungen oder Quittungen, wie durch anwendbares Recht vorgeschrieben. Für Behördenverträge wird alle Steuerdokumentation anwendbaren Beschaffungsvorschriften und Prüfanforderungen entsprechen. Nutzer stimmen zu, genaue Steueridentifikationsinformationen bereitzustellen und CypSec unverzüglich von jeglichen Änderungen im Steuerstatus oder der Rechtsprechung zu benachrichtigen, die Steuerpflichten beeinflussen könnten.

Alle Steuerangelegenheiten unterliegen der Prüfung durch zuständige Steuerbehörden und behördliche Aufsichtskörper. Nutzer stimmen zu, vollständige und genaue Aufzeichnungen aller Transaktionen aufrechtzuerhalten und vollständig mit jeglichen Steuerprüfungen oder -untersuchungen zusammenzuarbeiten. CypSec behält sich das Recht vor, zuvor in Rechnung gestellte Beträge anzupassen, um korrekte Steuerberechnungen widerzuspiegeln, sowie nicht bezahlte Steuern plus anwendbare Zinsen und Strafen einzutreiben. Streitigkeiten bezüglich Steuerpflichten werden gemäß anwendbaren Steuergesetzen und Streitbeilegungsverfahren gelöst.

7. Kündigung

Kündigung durch CypSec

CypSec behält sich das Recht vor, Nutzerzugriff und Dienstleistungen unverzüglich bei Eintritt folgender Ereignisse zu kündigen: (a) wesentlicher Verletzung dieser Nutzungsbedingungen einschließlich Nicht-Abstellung von Verletzungen innerhalb von dreißig (30) Tagen nach schriftlicher Benachrichtigung; (b) Verletzung anwendbarer Gesetze, Verordnungen oder Behörden-Sicherheitsanforderungen; (c) Kompromittierung oder verdächtiger Kompromittierung von Sicherheitsfreigaben oder Anlagenfreigaben; (d) Betreiben von Aktivitäten, die die nationale Sicherheit oder die Sicherheit von CypSec-Systemen bedrohen; (e) Nichtzahlung fälliger Beträge nach anwendbaren Abhilfefristen; oder (f) sonstige Umstände, die nach CypSecs angemessener Beurteilung sofortige Kündigung erfordern, um seine Interessen zu schützen, gesetzliche Verpflichtungen einzuhalten oder Serviceintegrität aufrechtzuerhalten.

Für Behörden- und Verteidigungskunden unterliegt Kündigung zusätzlichen Anforderungen einschließlich: (i) Einhaltung anwendbarer Federal Acquisition Regulation (FAR)-Kündigungsklauseln; (ii) Koordinierung mit Contracting Officers und autorisierten Vertretern; (iii) Abschluss von Sicherheitsdebriefing und Freigabewiderrufsverfahren; (iv) Rückgabe oder Vernichtung klassifizierter Materialien und kontrollierter technischer Daten; sowie (v) Übergangshilfe, wie durch Vertragsbedingungen vorgeschrieben. Kündigung von Behördenverträgen kann Kongress-Benachrichtigung und Einhaltung spezifischer Beschaffungsvorschriften erfordern.

CypSec wird etablierte Kündigungsverfahren befolgen einschließlich: (1) Ausstellung schriftlicher Kündigungsbenachrichtigung mit Spezifizierung von Gründen und Wirksamkeitsdatum; (2) Bereitstellung angemessener Abhilfemöglichkeiten für Verletzungen, wo durchführbar und angemessen; (3) Koordinierung von Datenrückgabe oder -vernichtung gemäß anwendbaren Sicherheitsanforderungen; (4) Abschluss der Schlussabrechnung und Begleichung ausstehender Verpflichtungen; sowie (5) Implementierung von Übergangshilfe, wie vertraglich vorgeschrieben. Kündigung wird wirksam zum in der Kündigungsbenachrichtigung spezifizierten Datum oder unverzüglich bei sicherheitsbezogenen Kündigungen.

CypSec behält sich das Recht vor, Dienstleistungen ohne vorherige Benachrichtigung unverzüglich auszusetzen, wenn: (a) durch Gesetz, Verordnung oder behördliche Anordnung vorgeschrieben; (b) notwendig, um drohenden Schaden für nationale Sicherheit oder CypSec-Systeme zu verhindern; (c) Nutzeraktivitäten unmittelbare Sicherheitsbedrohungen darstellen; oder (d) zur Einhaltung von Gerichtsbeschlüssen oder rechtlichem Verfahren erforderlich. Die Aussetzung wird durch formelle Kündigungsverfahren folgen, es sei denn, die zugrundeliegenden Probleme werden innerhalb angemessener Zeitrahmen zu CypSecs Zufriedenheit gelöst.

Bei Kündigung durch CypSec müssen Nutzer: (i) alle Nutzung von Dienstleistungen unverzüglich einstellen und alle CypSec-Materialien zurückgeben oder vernichten; (ii) alle ausstehenden Gebühren und Kosten bis zum Kündigungsdatum zahlen; (iii) bei Datenübergangs- und Rückgabeverfahren zusammenarbeiten; sowie (iv) Vertraulichkeitsverpflichtungen auf unbestimmte Zeit aufrechterhalten. Erstattungen für vorausbezahlte Dienstleistungen werden nur wie durch anwendbare Verträge vorgeschrieben gewährt und unterliegen Abzügen für entstandene Kosten und erlittenen Schäden durch CypSec.

Kündigung durch Nutzer

Nutzer können ihre Konten oder Abonnements nach Erfüllung aller ausstehenden Verpflichtungen und Einhaltung anwendbarer Kündigungsfristen kündigen. Kündigungsanfragen müssen über benannte Kanäle eingereicht werden und umfassen: (a) schriftliche Benachrichtigung mit Spezifizierung des gewünschten Kündigungsdatums; (b) Bestätigung der Erfüllung aller Zahlungsverpflichtungen; (c) Anerkennung der Post-Kündigungsverantwortlichkeiten; sowie (d) Abschluss etwaiger erforderlicher Sicherheitsfreigaberückgabe oder Debriefing-Verfahren. Für Behördenkunden kann Kündigung Koordinierung mit Contracting Officers und Einhaltung anwendbarer Beschaffungsvorschriften erfordern.

Nutzer müssen Vorankündigung der Kündigung gemäß in individuellen Verträgen spezifizierter Frist geben, typischerweise nicht weniger als dreißig (30) Tage vor dem gewünschten Kündigungsdatum. Die Benachrichtigung muss über genehmigte Kommunikationskanäle eingereicht werden und muss umfassen: (i) Nutzeridentifikation und Kontodetails; (ii) spezifische zu kündigende Dienstleistungen; (iii) angefordertes Kündigungsdatum; sowie (iv) Kündigungsgrund, wo vertraglich vorgeschrieben. Nicht-Einhaltung angemessener Vorankündigung kann zu zusätzlichen Gebühren für während der Kündigungsfrist erbrachte Dienstleistungen führen.

Behörden- und Verteidigungskunden müssen anwendbaren Kündigungsverfahren entsprechen, einschließlich: (1) formaler Vertragsänderungsanträge, die durch Contracting Officers bearbeitet werden; (2) Abschluss von Sicherheitsdebriefing und Freigaberückgabeverfahren; (3) Rückgabe oder Vernichtung klassifizierter Materialien und kontrollierter technischer Daten; (4) Übergangshilfe, wie durch FAR-Kündigungsklauseln vorgeschrieben; sowie (5) Einhaltung von Kongress-Benachrichtigungsanforderungen für bedeutende Vertragskündigungen. Vorzeitige Kündigung kann Regierungsgenehmigung und Finanzierungsverfügbarkeitsbeschränkungen unterliegen.

Nutzer-initiierte Kündigung erfordert: (a) Abschluss von CypSec-bereitgestellten Kündigungsantragsformularen; (b) Begleichung aller ausstehenden Gebühren, Kosten und Strafen; (c) Rückgabe oder Vernichtung von CypSec-Materialien und vertraulichen Informationen; (d) Abschluss von Datenexport- oder Übergangsverfahren; sowie (e) Anerkennung laufender Vertraulichkeitsverpflichtungen. CypSec wird schriftliche Kündigungsbestätigung und endgültigen Kontostatus nach Abschluss aller Kündigungsanforderungen bereitstellen.

Bei Nutzerkündigung: (i) wird jeglicher Zugriff auf Dienstleistungen unverzüglich ausgesetzt; (ii) werden Nutzerkonten deaktiviert und Anmeldeinformationen widerrufen; (iii) werden Datenaufbewahrungs- und Rückgabeverfahren gemäß anwendbaren Verträgen und Sicherheitsanforderungen eingeleitet; (iv) wird die Schlussabrechnung für bis zum Kündigungsdatum erbrachte Dienstleistungen bearbeitet; sowie (v) werden etwaige vorausbezahlte Beträge erstattet, vorbehaltlich anwendbarer Vertragsbedingungen und Abzug für erbrachte Dienstleistungen. Nutzer erkennen an, dass bestimmte Daten für rechtliche, regulatorische oder Sicherheitszwecke auch nach Kontokündigung beibehalten werden können.

Erstattungen für vorausbezahlte Dienstleistungen werden basierend auf ungenutzten Teilen von Servicezeiträumen berechnet, vorbehaltlich: (a) Abzug für bis zum Kündigungsdatum erbrachte Dienstleistungen; (b) Anwendung etwaiger in Verträgen spezifizierter Vorzeitkündigungsgebühren; (c) Beibehaltung von Beträgen für ausstehende Verpflichtungen oder Schäden; sowie (d) Einhaltung von Behördenvertrags-Erstattungsanforderungen, wo anwendbar. Erstattungsbearbeitung erfolgt typischerweise innerhalb von dreißig (30) Tagen nach Kündigungsbestätigung, obwohl Behördenverträge zusätzliche Genehmigungsverfahren erfordern können.

Folgen nach Kündigung

Mit Wirksamwerden der Kündigung wird jeglicher Nutzerzugriff auf CypSec-Dienstleistungen unverzüglich ohne Haftung gegenüber CypSec ausgesetzt. Nutzer erkennen an, dass: (a) alle Konten, Anmeldeinformationen und Zugriffsrechte widerrufen werden; (b) laufende Sicherheitsüberwachungs- und Bedrohungsschutzdienstleistungen eingestellt werden; (c) Datenverarbeitungs- und Speicherdienstleistungen beendet werden; und (d) alle verbundenen Funktionen, Fähigkeiten und Supportdienstleistungen nicht mehr verfügbar sind. Für Behördenkunden kann Kündigung Koordinierung mit Nachfolgeauftragnehmern und Übergang von Sicherheitsoperationen erfordern.

Kündigung führt zu dauerhaftem Verlust des Zugriffs auf alle Nutzerdaten, Inhalte und Konfigurationen, die innerhalb von CypSec-Systemen gespeichert sind. Nutzer erkennen an, dass: (i) Datenabruf nach Kündigung möglicherweise nicht möglich ist; (ii) Backup- und Archivdaten gemäß anwendbaren Aufbewahrungszeitplänen verarbeitet werden; (iii) klassifizierte oder kontrollierte Informationen gemäß Sicherheitsanforderungen zurückgegeben oder vernichtet werden müssen; und (iv) CypSec keine Verantwortung für Datenverlust nach Kündigung trägt. Nutzer werden dringend gebeten, alle Datenexporte und Sicherungskopien vor Kündigungswirksamkeitsdaten abzuschließen.

Alle ausstehenden Zahlungsverpflichtungen überdauern die Kündigung und werden sofort fällig und zahlbar. Nutzer bleiben haftbar für: (1) alle bis zum Kündigungsdatum entstandenen Gebühren und Kosten; (2) etwaige in anwendbaren Verträgen spezifizierte Vorzeitkündigungsgebühren; (3) Kosten, die mit Datenrückgabe oder -vernichtung verbunden sind; (4) Aufwendungen im Zusammenhang mit Sicherheitsfreigaberückgabe oder Debriefing-Verfahren; sowie (5) angemessene Inkassokosten einschließlich Anwaltsgebühren. Behördenverträge können spezifische Abschlussverfahren und Schlussprüfungsanforderungen erfordern.

Die folgenden Bestimmungen überdauern die Kündigung auf unbestimmte Zeit: (a) Vertraulichkeits- und Geheimhaltungsverpflichtungen bezüglich proprietärer und klassifizierter Informationen; (b) gewerbliche Schutzrechte und Einschränkungen für die Nutzung von CypSec-Materialien; (c) Haftungsbeschränkung und Gewährleistungsausschluss; (d) Streitbeilegungsverfahren und anwendbares Recht-Bestimmungen; (e) Schadloshaltungsverpflichtungen für Prä-Kündigungsaktivitäten; sowie (f) Einhaltung anwendbarer Ausfuhrkontroll- und nationaler Sicherheitsanforderungen. Diese überdauernden Verpflichtungen sind wesentlich, um berechtigte Geschäftsinteressen von CypSec zu schützen und regulatorischen Anforderungen zu entsprechen.

Nutzer müssen weiterhin einhalten: (i) alle Vertraulichkeitsverpflichtungen bezüglich CypSec-eigenen Informationen und Drittanbieterdaten; (ii) Rückgabe- oder Vernichtungsanforderungen für alle CypSec-Materialien, Dokumente und Ausrüstung; (iii) Sicherheitsfreigaberückgabe und Debriefing-Verfahren, wie durch Behördenverträge vorgeschrieben; (iv) laufende Kooperation mit etwaigen Untersuchungen oder rechtlichen Verfahren; sowie (v) Einhaltung aller anwendbaren Gesetze und Vorschriften für gekündigte Beziehungen. Nicht-Erfüllung von Post-Kündigungsverpflichtungen kann zu rechtlichen Schritten und zusätzlicher Haftung führen.

8. Haftungsbeschränkung

Gewährleistungsausschlüsse

CypSec stellt die Dienstleistungen auf „WIE BESEHEN"- und „WIE VERFÜGBAR"-Basis ohne irgendwelche Zusicherungen oder Gewährleistungen jeglicher Art bereit, ob ausdrücklich, stillschweigend, gesetzlich oder anderweitig. CypSec lehnt ausdrücklich alle ausdrücklichen Gewährleistungen ab, einschließlich, aber nicht beschränkt auf Gewährleistungen für Titel, Rechtsverletzungsfreiheit, Marktgängigkeit und Eignung für einen bestimmten Zweck. Keine mündlichen oder schriftlichen Informationen, die von CypSec, seinen Vertretern oder Mitarbeitern bereitgestellt werden, begründen irgendeine Gewährleistung, die in diesen Nutzungsbedingungen nicht ausdrücklich festgelegt ist.

Für Behörden- und Verteidigungskunden übernimmt CypSec keine Gewährleistung bezüglich: (a) der Eignung der Dienstleistungen für spezifische Einsatzanforderungen oder Bedrohungsumgebungen; (b) der Wirksamkeit von Sicherheitsmaßnahmen gegen fortgeschrittene andauernde Bedrohungen oder staatliche Akteure; (c) der Kompatibilität der Dienstleistungen mit klassifizierten Systemen oder sensiblen kompartimentierten Informationsanlagen; (d) der unterbrechungsfreien Verfügbarkeit der Dienstleistungen während nationaler Sicherheitsnotfälle oder Krisensituationen; oder (e) der vollständigen Genauigkeit von Bedrohungsinformationen oder Schwachstellenbewertungen in sich schnell weiterentwickelnden Bedrohungslandschaften.

Nutzer erkennen an, dass die Dienstleistungen Einschränkungen unterliegen können, einschließlich: (i) vorübergehender Unterbrechungen aufgrund von Sicherheitsupdates, Wartungsaktivitäten oder Bedrohungsreaktionsmaßnahmen; (ii) Leistungsvariationen basierend auf Netzwerkbedingungen, Systemkonfigurationen oder Drittanbieter-Integrationen; (iii) Erkennungsfähigkeiten, die möglicherweise nicht alle Bedrohungen, Schwachstellen oder Angriffsvektoren identifizieren; (iv) falscher Positiv- oder Negativergebnisse in Bedrohungserkennungsalgorithmen; sowie (v) Abhängigkeiten von Drittanbieter-Datenquellen, Bedrohungsinformationen-Feeds und externen Sicherheitsdienstleistungen, die außerhalb der Kontrolle von CypSec liegen.

Nutzer erkennen ausdrücklich an, dass: (1) Cybersicherheitsbedrohungen sich ständig weiterentwickeln und keine Sicherheitslösung absoluten Schutz bieten kann; (2) die Dienstleistungen darauf ausgelegt sind, Sicherheitsrisiken zu reduzieren, nicht zu eliminieren; (3) erfolgreiche Bedrohungsprävention von ordnungsgemäßer Konfiguration, Bereitstellung und Wartung durch qualifiziertes Personal abhängt; (4) Nutzerhandlungen und -konfigurationen die Wirksamkeit von Sicherheitsmaßnahmen beeinflussen können; sowie (5) CypSec keinen Schutz gegen alle Formen von Cyberangriffen garantiert, einschließlich Zero-Day-Exploits, fortgeschrittenen andauernden Bedrohungen oder Insider-Bedrohungen.

CypSec übernimmt keine Gewährleistung bezüglich der Angemessenheit der Dienstleistungen für die Verarbeitung klassifizierter Informationen oberhalb spezifizierter Klassifizierungsstufen oder für die Nutzung in Umgebungen, die Spezialzugriffsprogramme erfordern. Nutzer sind allein verantwortlich für die Sicherstellung, dass Dienstleistungen anwendbaren Sicherheitsklassifizierungsleitlinien, Handhabungsverfahren und Kompartmentierungsanforderungen für ihre spezifischen betrieblichen Umgebungen entsprechen.

Haftungsbeschränkungen und -ausschlüsse

In keinem Fall übersteigt die Gesamthaftung von CypSec gegenüber jedem Nutzer für alle Ansprüche, die sich aus oder in Bezug auf diese Nutzungsbedingungen oder die Dienstleistungen ergeben, den Gesamtbetrag, der von diesem Nutzer an CypSec für die Dienstleistungen während der unmittelbar dem haftungsbegründenden Ereignis vorausgehenden zwölf (12) Monatszeitspanne tatsächlich gezahlt wurde. Diese Begrenzung gilt unabhängig von der Rechtsgrundlage, ob in Vertrag, Delikt (einschließlich Fahrlässigkeit), verschuldensunabhängiger Haftung oder anderweitig, und unabhängig davon, ob CypSec auf die Möglichkeit solcher Schäden hingewiesen wurde.

CypSec haftet nicht für indirekte, zufällige, besondere, Folge-, exemplarische oder Strafschäden, einschließlich, aber nicht beschränkt auf: (a) Gewinn-, Erlös-, Geschäftschancen- oder erwartete Einsparvorteilsverluste; (b) Daten-, Informations- oder Geschäftsaufzeichnungsverlust oder -beschädigung; (c) Kosten für die Beschaffung von Ersatzwaren oder -dienstleistungen; (d) Geschäftsunterbrechung oder -einstellung; (e) Reputationsschaden oder Goodwill-Verlust; (f) Nichterfüllung jeglicher Pflicht einschließlich Treu- und Glaubens oder angemessener Sorgfalt; sowie (g) sonstige immaterielle Verluste, selbst wenn CypSec auf die Möglichkeit solcher Schäden hingewiesen wurde. Dieser Ausschluss gilt unabhängig von der Rechtstheorie, unter der solche Schäden geltend gemacht werden.

Für Behörden- und Verteidigungsanwendungen wird CypSecs Haftung weiterhin eingeschränkt durch: (i) die inhärenten Risiken, die mit Cybersicherheitsoperationen in Hochrisikoumgebungen verbunden sind; (ii) die sich weiterentwickelnde Natur von Cyberbedrohungen und Angriffsvektoren, die durch aktuelle Technologie möglicherweise nicht erkennbar sind; (iii) die Abhängigkeit von genauen Bedrohungsinformationen und nutzerbereitgestellten Informationen; (iv) das Potenzial für kaskadierende Auswirkungen von Sicherheitsvorfällen, die nicht vernünftigerweise vorhersehbar sind; sowie (v) die Haftungsbeschränkungen, die durch Behördenvertragsvorschriften und Souveränitätsimmunitätsprinzipien auferlegt werden, wo anwendbar.

Nutzer erkennen an, dass CypSecs Haftung für datenbezogene Schäden spezifisch beschränkt ist auf: (1) die Kosten der Datenwiederherstellung aus CypSecs jüngster verfügbarer Sicherungskopie; (2) die direkten Kosten der Wiedererstellung von Daten, die nicht aus Sicherungskopien wiederhergestellt werden können; sowie (3) die angemessenen Kosten der Untersuchung und Abhilfe von Sicherheitsverletzungen. CypSec haftet nicht für: (a) Verlust klassifizierter oder sensibler Informationen, die Nutzer nicht ordnungsgemäß geschützt oder gesichert haben; (b) Schäden, die sich aus Nutzerversäumnis ergeben, empfohlene Sicherheitsmaßnahmen zu implementieren; (c) Verluste, die sich aus Drittanbieterangriffen oder Sicherheitsvorfällen ergeben, die außerhalb von CypSecs angemessener Kontrolle liegen; oder (d) Folgeschäden aus Geschäftsunterbrechung oder betrieblicher Störung.

Die hierin dargelegten Begrenzungen und Ausschlüsse gelten in dem durch anwendbares Recht maximal zulässigen Umfang. Bestimmte Rechtsprechungen erlauben möglicherweise den Ausschluss oder die Begrenzung bestimmter Schadenstypen nicht, in welchem Fall diese Begrenzungen und Ausschlüsse in dem von solcher Rechtsprechungsgesetzen maximal zulässigen Umfang gelten. Nutzer erkennen an, dass diese Begrenzungen fundamentale Elemente der Vereinbarung zwischen den Parteien sind und dass CypSec die Dienstleistungen ohne solche Begrenzungen nicht bereitstellen würde. Nutzer, die mit diesen Begrenzungen nicht einverstanden sind, müssen die Nutzung der Dienstleistungen unverzüglich einstellen.

Schadloshaltungsverpflichtungen

Nutzer stimmen zu, CypSec, ihre verbundenen Unternehmen, leitenden Angestellten, Direktoren, Mitarbeiter, Vertreter, Rechtsnachfolger und Abtretungsempfänger von und gegen sämtliche Ansprüche, Forderungen, Klagen, Schäden, Verluste, Haftungen, Kosten und Aufwendungen (einschließlich angemessener Anwaltsgebühren und Untersuchungskosten) zu entschädigen, verteidigen und schadlos zu halten, die sich aus oder in Bezug auf ergeben: (a) Verletzung irgendeiner Bestimmung dieser Nutzungsbedingungen durch den Nutzer; (b) Verletzung anwendbarer Gesetze, Verordnungen oder behördlicher Richtlinien durch den Nutzer; (c) Rechtsverletzung oder Aneignung gewerblicher Schutzrechte oder sonstiger Eigentumsinteressen durch den Nutzer; (d) Handhabung klassifizierter, sensibler oder kontrollierter Informationen durch den Nutzer ohne ordnungsgemäße Autorisierung; (e) Nicht-Aufrechterhaltung erforderlicher Sicherheitsfreigaben oder Anlagenfreigaben durch den Nutzer; sowie (f) jeglicher unbefugter Zugriff auf oder Nutzung von CypSec-Dienstleistungen, die Nutzerkonten oder -anmeldeinformationen zurechenbar sind.

Für Behörden- und Verteidigungsanwendungen entschädigen Nutzer CypSec zusätzlich gegen: (i) Ansprüche, die sich aus Verletzung nationaler Sicherheitsvorschriften oder Ausfuhrkontrollgesetzen ergeben; (ii) Schäden, die sich aus unsachgemäßer Handhabung klassifizierter Informationen oder kontrollierter technischer Daten ergeben; (iii) Haftung für Sicherheitsverletzungen, die Behörden-Systeme oder -Daten betreffen; (iv) Ansprüche im Zusammenhang mit Nicht-Einhaltung spezifischer vertraglicher Sicherheitsanforderungen; sowie (v) jegliche Handlungen, die Verlust von Sicherheitsfreigaben oder Anlagenfreigaben für CypSec-Personal oder -Anlagen zur Folge haben. Nutzer erkennen an, dass diese Schadloshaltungsverpflichtungen angesichts der Hochrisiko-Natur von Behörden-Cybersicherheitsoperationen wesentlich sind.

Bei Empfang eines anspruchsbegründeten Schadensersatzanspruchs wird CypSec: (1) den Nutzer unverzüglich schriftlich von dem Anspruch benachrichtigen; (2) angemessene Kooperation und Informationen für die Verteidigung bereitstellen; (3) dem Nutzer erlauben, die alleinige Kontrolle über die Verteidigung und Vergleichsverhandlungen zu übernehmen; sowie (4) angemessen bei der Verteidigung auf Kosten des Nutzers assistieren. Nutzer dürfen keinen Anspruch ohne CypSecs vorherige schriftliche Zustimmung beilegen, wenn ein solcher Vergleich: (a) irgendeine Haftung oder Verpflichtung für CypSec begründet; (b) ein Fehlverhalten von CypSec voraussetzt; oder (c) gewerbliche Schutzrechte oder Geschäftsoperationen von CypSec beeinflusst.

Nutzer müssen: (i) CypSec unverzüglich schriftliche Benachrichtigung über jeden anspruchsbegründeten Schadensersatzanspruch geben; (ii) CypSec die alleinige Kontrolle über die Verteidigung und Vergleichsverhandlungen einräumen; (iii) alle angemessene Unterstützung und Kooperation bei der Verteidigung bereitstellen; (iv) von jedem Geständnis oder jeder Aussage Abstand nehmen, die die Verteidigung beeinträchtigen könnte; sowie (v) Vertraulichkeit bezüglich des Anspruchs und der Verteidigungsstrategie aufrechterhalten. CypSec behält sich das Recht vor, auf eigene Kosten an der Verteidigung teilzunehmen und separate Rechtsberatung einzuschalten, falls erforderlich, um seine Interessen zu schützen.

Schadloshaltungsverpflichtungen überdauern die Kündigung dieser Bedingungen und gelten auf unbestimmte Zeit für Ansprüche, die sich aus Aktivitäten während der Service-Laufzeit ergeben. Nutzer erkennen an, dass diese Schadloshaltungsbestimmungen wesentliche Überlegungen in CypSecs Bereitschaft zur Dienstleistungsbereitstellung sind und dass Nichteinhaltung von Schadloshaltungsverpflichtungen einen wesentlichen Verstoß darstellt. CypSec kann Schadloshaltungsbeträge gegen etwaige an Nutzer geschuldete Beträge aufrechnen oder die Eintreibung durch angemessene Rechtswege verfolgen. Die Schadloshaltungsverpflichtungen kommen zusätzlich zu und nicht anstelle sonstiger verfügbarer Rechte oder Rechtsbehelfe für CypSec.

9. Streitbeilegung

Schiedsrahmen

Jegliche Streitigkeiten, Ansprüche oder Kontroversen, die sich aus oder in Bezug auf diese Nutzungsbedingungen, die Dienstleistungen oder die Beziehung zwischen CypSec und Nutzern ergeben, einschließlich, aber nicht beschränkt auf Vertragsverletzungs-, Delikts-, Gesetzesverletzungs- oder Billigkeitsansprüche, werden ausschließlich durch verbindliches Schiedsverfahren vor der Swiss Chambers' Arbitration Institution (SCAI) gemäß deren Internationalen Schiedsregeln beigelegt. Diese Schiedsvereinbarung stellt einen Verzicht auf das Recht dar, solche Streitigkeiten vor Gericht zu verfolgen oder durch eine Jury entscheiden zu lassen, außer wie hierin anderweitig vorgesehen.

Für Streitigkeiten unter Behördenverträgen oder nationalen Sicherheitsangelegenheiten gelten folgende Ausnahmen: (a) Streitigkeiten, die Klassifizierungsüberprüfung erfordern oder klassifizierte Informationen beinhalten, können speziellen Verfahren unterliegen, die von zuständigen Behörden genehmigt wurden; (b) Kündigungsstreitigkeiten unter Federal Acquisition Regulation (FAR)-Klauseln können administrative Verfahren vor Schiedsverfahren erfordern; (c) Streitigkeiten unter Ausfuhrkontrollverletzungen oder nationalen Sicherheitsbedenken können an zuständige Behörden verwiesen werden; sowie (d) einstweilige Rechtsschutzmaßnahmen, die zum Schutz klassifizierter Informationen oder nationaler Sicherheitsinteressen notwendig sind, können bei zuständigen Gerichten gesucht werden.

Das Schiedsverfahren wird von einem einzelnen Schiedsrichter durchgeführt, der: (i) ein zugelassener Rechtsanwalt mit mindestens fünfzehn (15) Jahren Erfahrung in Technologierecht, Cybersicherheitsrecht oder Behördenverträgen sein soll; (ii) mit Schweizer Recht und internationalen Schiedspraktiken vertraut sein soll; sowie (iii) falls durch die Art der Streitigkeit erforderlich, für den Umgang mit klassifizierten Informationen freigegeben sein soll. Falls die Parteien sich innerhalb von dreißig (30) Tagen nicht auf einen Schiedsrichter einigen können, wird der Schiedsrichter gemäß deren Regeln durch die SCAI ernannt.

Das Schiedsverfahren wird in deutscher Sprache durchgeführt, sofern die Parteien nicht anderweitig vereinbaren. Der Schiedsrichter hat weitreichenden Ermessenspielraum für die Verfahrensleitung einschließlich: (1) Bestimmung von Umfang und Zeitplan der Offenlegung; (2) Entscheidung über die Zulässigkeit von Beweisen; (3) Entscheidung über Anträge auf summarische Erledigung; sowie (4) Festlegung von Verfahren für den Umgang mit vertraulichen oder klassifizierten Informationen. Offenlegung ist auf das beschränkt, was vernünftigerweise notwendig ist, um die Streitigkeit effizient und wirtschaftlich zu lösen.

Nutzer verzichten ausdrücklich auf jedes Recht, an jeglicher Sammelklage, kollektiven Klage oder Vertreterklage gegen CypSec teilzunehmen. Alle Streitigkeiten müssen ausschließlich auf individueller Basis geltend gemacht werden, und der Schiedsrichter hat keine Befugnis, Ansprüche zu konsolidieren oder klasseweite Verfahren durchzuführen. Dieser Verzicht ist wesentlich für die Schiedsvereinbarung und würde zu unterschiedlichen Bedingungen ohne diese Bestimmung führen. Falls dieser Sammelklageverzicht als undurchsetzbar befunden wird, ist dann die gesamte Schiedsvereinbarung null und nichtig.

Die Entscheidung des Schiedsrichters ist für alle Parteien endgültig und verbindlich und kann in jedem zuständigen Gericht vollstreckt werden. Der Spruch soll umfassen: (a) schriftliche Tatbestandsfeststellungen und Rechtsfolgen; (b) Zuweisung der Schiedskosten und angemessener Anwaltsgebühren; sowie (c) jegliche andere vom Schiedsrichter für angemessen erachtete Abhilfe. Das Urteil über den Spruch kann in jedem Gericht mit Gerichtsbarkeit, einschließlich Gerichten in der Schweiz oder anderen Rechtsprechungen, wo Vollstreckung gesucht wird, erlassen werden.

Anwendbares Recht und Gerichtsstand

Diese Nutzungsbedingungen unterliegen dem materiellen Recht der Schweiz, insbesondere dem Recht des Kantons Zürich, unter Ausschluss von Kollisionsnormen und dem Übereinkommen der Vereinten Nationen über Verträge über den internationalen Warenkauf. Die Anwendung schweizerischen Rechts spiegelt die internationale Natur von CypSecs Cybersicherheitsoperationen wider. Alle Streitigkeiten werden unter schweizerischem materiellem Recht gelöst, unabhängig vom Standort des Nutzers oder dem Ort, an dem Dienstleistungen erbracht werden.

Für Streitigkeiten unter Behördenverträgen kann das anwendbare Recht wie folgt geändert werden: (a) US-Behördenverträge unterliegen Bundesrecht einschließlich dem Contract Disputes Act und anwendbaren Beschaffungsvorschriften; (b) NATO- oder Internationaler Organisationsverträge können internationalen Vereinbarungen oder spezifischen Vertragsbestimmungen unterliegen; (c) Verträge mit ausländischen Behörden unterliegen anwendbaren bilateralen Vereinbarungen und internationalem Recht; sowie (d) wo durch anwendbares Recht vorgeschrieben, können zwingende Bestimmungen der Heimatrechtsprechung des Nutzers trotz schweizerischer Rechtswahl gelten.

Ungeachtet der Bestimmung schweizerischen Rechts gelten folgende zwingende Gesetze, wo erforderlich: (i) Datenschutzgesetze der Rechtsprechung des Nutzers, wo personenbezogene Daten verarbeitet werden; (ii) Ausfuhrkontroll- und Sanktionsgesetze, die für Technologietransfers anwendbar sind; (iii) nationale Sicherheits- und Klassifizierungsanforderungen relevanter Behörden; (iv) Verbraucherschutzgesetze, die durch Vertrag nicht abbedungen werden können; sowie (v) Strafgesetze, die für Cybersicherheitsaktivitäten anwendbar sind. Nutzer erkennen an, dass schweizerisches Recht möglicherweise nicht angewendet wird, soweit es mit zwingendem anwendbarem Recht kollidiert.

Im Falle jeglichen Konflikts zwischen schweizerischem Recht und dem Recht irgendeiner anderen Rechtsprechung gilt folgende Hierarchie: (1) zwingende nationale Sicherheits- und Verteidigungsvorschriften der zuständigen Behörde; (2) internationale Verträge und Vereinbarungen, denen die Schweiz oder die relevanten Rechtsprechungen beigetreten sind; (3) zwingende Datenschutz- und Privatsphärengesetze, wo personenbezogene Daten verarbeitet werden; (4) Ausfuhrkontroll- und Technologietransfervorschriften; sowie (5) schweizerisches materielles Recht als primäres anwendbares Recht. Die Parteien stimmen zu, jeden Konflikt gemäß dieser Hierarchie und anwendbaren Völkerrechtsprinzipien zu lösen.

Nutzer erkennen an, dass schweizerisches anwendbares Recht auf alle Aspekte der Beziehung Anwendung findet, einschließlich: (a) Vertragsbildung, -auslegung und -durchsetzung; (b) Deliktansprüchen, die sich aus Servicebereitstellung ergeben; (c) gewerblichen Schutzrechten und -verpflichtungen; (d) Datenschutz- und Privatsphäreverpflichtungen; (e) Kündigungs- und Post-Kündigungsverpflichtungen; sowie (f) Streitbeilegungsverfahren. Diese Rechtswahl überdauert die Kündigung der Bedingungen und gilt für alle verwandten Ansprüche, ob sie während oder nach der Service-Laufzeit entstehen. Nutzer, die mit schweizerischem anwendbarem Recht nicht einverstanden sind, müssen die Nutzung der Dienstleistungen unverzüglich einstellen.

Gerichtsstand und Rechtsprechung

Die Gerichte von Zürich, Schweiz, haben ausschließliche Gerichtsbarkeit über jegliche Streitigkeiten, die sich aus oder in Bezug auf diese Nutzungsbedingungen, die Dienstleistungen oder die Beziehung zwischen CypSec und Nutzern ergeben. Diese Gerichtsbarkeit ist ausschließlich für alle anderen Gerichte und Tribunale, und alle Parteien unterwerfen sich unwiderruflich der persönlichen Gerichtsbarkeit solcher Gerichte. Nutzer verzichten ausdrücklich auf jeglichen Einwand gegen Gerichtsbarkeit oder Rechtsprechung in Zürcher Gerichten, einschließlich Einwänden basierend auf ungeeignetem Forum, forum non conveniens oder mangelnder persönlicher Gerichtsbarkeit.

Für Streitigkeiten unter Behörden können Gerichtsstände wie durch anwendbares Recht vorgeschrieben geändert werden: (a) US-Behördenstreitigkeiten können dem Contract Disputes Act und Bundesgerichtsgerichtsbarkeit unterliegen; (b) Streitigkeiten mit internationalen Organisationen können anwendbaren internationalen Immunitäten und Gerichtsstandsprotokollen unterliegen; (c) ausländische Behördenstreitigkeiten können Souveränitätsimmunitätsprinzipien und diplomatischen Schutz unterliegen; sowie (d) wo durch anwendbare Verträge oder Vereinbarungen vorgeschrieben, können alternative Streitbeilegungsforen genutzt werden. Diese Ausnahmen gelten nur, soweit sie mit der ausschließlichen Schweizer Gerichtsbarkeit kollidieren.

Ungeachtet der ausschließlichen Gerichtsstandsklausel behält sich CypSec das Recht vor, einstweilige Rechtsschutzmaßnahmen oder sonstige Billigkeitsrechtsbehelfe in jedem Gericht mit weltweiter Gerichtsbarkeit zu suchen, um: (i) seine gewerblichen Schutzrechte und vertraulichen Informationen zu schützen; (ii) unbefugten Zugriff auf oder Nutzung der Dienstleistungen zu verhindern; (iii) Sicherheitsverpflichtungen und Klassifizierungsanforderungen durchzusetzen; (iv) nationale Sicherheitsinteressen zu schützen, wo anwendbar; sowie (v) unersetzlichen Schaden zu verhindern, der durch monetären Schadenersatz nicht angemessen kompensiert werden kann. Nutzer willigen in Gerichtsbarkeit in jedem Gericht ein, wo solcher Rechtsschutz gesucht wird.

Alle Nutzer willigen in Zustellung gerichtlicher Schriftstücke durch folgende Methoden ein: (1) persönliche Zustellung durch international anerkannten Kurierdienst an die während der Anmeldung angegebene Adresse; (2) Einschreiben an die registrierte Adresse des Nutzers mit Zustellungsnachweis; (3) elektronische Zustellung per E-Mail an die registrierte E-Mail-Adresse des Nutzers; oder (4) sonstige durch anwendbares Recht oder Gerichtsregeln erlaubte Methoden. Nutzer müssen aktuelle Kontaktinformationen aufrechterhalten und etwaige Änderungen unverzüglich aktualisieren, um ordnungsgemäße Zustellung sicherzustellen. Nicht-Aufrechterhaltung genauer Kontaktinformationen ungültigt Zustellungsversuche nicht.

Nutzer verzichten unwiderruflich auf: (a) jegliche Verteidigung des ungeeigneten Forums oder forum non conveniens; (b) jeglichen Einwand gegen Rechtsprechung innerhalb Zürcher Gerichte; (c) jeglichen Anspruch, dass Zürcher Gerichte mangelnde persönliche Gerichtsbarkeit haben; (d) jegliches Recht auf Entfernung oder Übertragung von Verfahren in andere Rechtsprechungen; sowie (e) jegliche Immunität von Rechtsverfahren, die anderweitig verfügbar sein könnte. Diese Verzichte sind materielle Anreize für CypSec zur Dienstleistungsbereitstellung und würden zu unterschiedlichen Bedingungen ohne solche Verzichte führen. Nutzer erkennen an, dass diese Gerichtsstandsbestimmungen angemessen sind, gegeben CypSecs Schweizer Domizil und internationalen Operationen.

10. Änderungen der Nutzungsbedingungen

Änderungsverfahren

CypSec behält sich das Recht vor, diese Nutzungsbedingungen jederzeit nach eigenem Ermessen zu modifizieren, abzuändern oder zu aktualisieren, um widerzuspiegeln: (a) Änderungen anwendbarer Gesetze, Verordnungen oder behördlicher Richtlinien; (b) Modifikationen von Serviceangeboten, Technologien oder Sicherheitsanforderungen; (c) Updates von Industriestandards oder Best Practices; (d) Feedback von Behörden, Verteidigungsunternehmen oder Sicherheitsprüfern; sowie (e) betriebliche Anforderungen oder Geschäftserfordernisse. Keine Änderung wird wirksam, bis sie ordnungsgemäß über benannte Kanäle an Nutzer kommuniziert wurde.

Für Behörden- und Verteidigungskunden unterliegen Änderungen zusätzlichen Anforderungen einschließlich: (i) formaler Vertragsänderungsverfahren gemäß anwendbaren Beschaffungsvorschriften; (ii) Genehmigung durch Contracting Officers oder autorisierte Vertreter; (iii) Einhaltung von Änderungsprozessen und Preisanpassungen; (iv) Sicherheitswiederautorisierung für modifizierte Dienstleistungen; sowie (v) Kongress-Benachrichtigungsanforderungen für bedeutende Vertragsänderungen. Alle Behördenvertragsänderungen müssen anwendbaren Federal Acquisition Regulation (FAR) und behördenspezifischen Anforderungen entsprechen.

CypSec wird Vorankündigung materieller Änderungen bereitstellen durch: (1) sichere E-Mail-Benachrichtigung an registrierte Nutzer und autorisierte Ansprechpartner; (2) prominente Veröffentlichung auf Kundenportalen und Service-Dashboards; (3) direkte Kommunikation durch Account-Manager für Unternehmenskunden; (4) Einbeziehung in aktualisierte Projektablaufpläne oder Vertragsänderungen; sowie (5) sonstige Methoden, wie durch anwendbare Verträge oder Vorschriften vorgeschrieben. Benachrichtigungszeiträume werden angemessen sein, gegeben der Natur und Bedeutung der Änderungen.

Materielle Änderungen umfassen unter anderem, aber nicht beschränkt auf: (a) bedeutende Änderungen von Haftungsbeschränkungen oder Gewährleistungsausschlüssen; (b) Modifikationen von Datenverarbeitungs-, -speicher- oder -schutzanforderungen; (c) Updates von Sicherheitspflichten oder Klassifizierungshandhabungsverfahren; (d) Änderungen von Streitbeilegungsverfahren oder anwendbarem Recht; sowie (e) wesentliche Änderungen von Service-Levels, Verfügbarkeitszusagen oder Supportverpflichtungen. Alle materiellen Änderungen erfordern ausdrückliche Nutzeranerkennung, bevor sie wirksam werden.

Nutzer erkennen den Empfang von Änderungen an durch: (i) Anklicken von „Akzeptieren“, „Anerkennen“ oder ähnlicher elektronischer Bestätigung; (ii) fortgesetzte Nutzung von Dienstleistungen nach Änderungsbenachrichtigung; (iii) Ausführung von Vertragsänderungen oder aktualisierten Projektablaufplänen; oder (iv) sonstige Methoden, wie in der Änderungsbenachrichtigung spezifiziert. Nicht-Anerkennung materieller Änderungen innerhalb spezifizierter Zeitrahmen kann zu Serviceaussetzung oder -kündigung führen. Nutzer, die materiellen Änderungen nicht zustimmen, müssen die Service-Nutzung unverzüglich bei Benachrichtigung einstellen.

Akzeptanz und Implementierung

Nutzer können Änderungen durch benannte Verfahren akzeptieren, einschließlich: (a) elektronischer Anerkennung über sichere Kundenportale oder Service-Dashboards; (b) schriftlicher Annahme, ausgeführt von autorisierten Vertretern; (c) fortgesetzter Nutzung von Dienstleistungen nach Änderungsbenachrichtigung; oder (d) Ausführung von Vertragsänderungen oder aktualisierten Projektablaufplänen. Alle Annahmen, die Unternehmen oder Behörden betreffen, müssen von Nutzern mit angemessener Befugnis erfolgen, ihre Organisationen an modifizierte Bedingungen zu binden.

Fortgesetzter Zugriff auf oder Nutzung von Dienstleistungen nach Benachrichtigung über materielle Änderungen stellt Akzeptanz solcher Änderungen dar. Diese stillschweigende Akzeptanz gilt für: (i) fortgesetzte Service-Nutzung über spezifizierte Anerkennungsfristen hinaus; (ii) Einreichung neuer Servicerequests oder Bestellungen nach Änderungsbenachrichtigung; (iii) Teilnahme an Schulungen oder Implementierung geänderter Sicherheitsverfahren; sowie (iv) jegliche sonstigen bestätigenden Handlungen, die Anerkennung modifizierter Bedingungen anzeigen. Nutzer, die Änderungen nicht akzeptieren, müssen alle Service-Nutzung unverzüglich einstellen.

Nutzer können Änderungen ablehnen durch: (1) Bereitstellung schriftlicher Ablehnungsbenachrichtigung innerhalb spezifizierter Zeitrahmen; (2) unverzügliche Einstellung aller Service-Nutzung bei Benachrichtigung; (3) Abschluss von Kontoschließungsverfahren, wie von CypSec spezifiziert; sowie (4) Erfüllung aller ausstehenden Verpflichtungen vor Änderungswirksamkeitsdaten. Ablehnung materieller Änderungen führt zu automatischer Servicekündigung ohne Haftung gegenüber CypSec. Nutzer erkennen an, dass Ablehnung ihre Fähigkeit beeinflussen kann, auf Daten zuzugreifen oder zu alternativen Serviceanbietern überzugehen.

Behörden- und Verteidigungskunden können zusätzliche Optionen für die Behandlung von Änderungen haben, einschließlich: (a) formaler Vertragsänderungsverfahren und Verhandlungen; (b) Beschwerden durch Contracting Officers oder Beschaffungsbehörden; (c) Einhaltung anwendbarer Änderungsprozesse; (d) Sicherheitswiederautorisierungsanforderungen für modifizierte Dienstleistungen; sowie (e) Kongress-Benachrichtigungsverfahren für bedeutende Vertragsänderungen. Alle Behördenvertragsänderungen müssen anwendbaren Beschaffungsvorschriften und Genehmigungsverfahren entsprechen.

Änderungen gelten ab dem Wirksamkeitsdatum zukunftsorientiert, außer wo: (i) durch anwendbare Gesetze oder Behördenvorschriften rückwirkende Anwendung vorgeschrieben; (ii) notwendig zur Korrektur offensichtlicher Fehler oder Klarstellung von Unklarheiten; (iii) für nationale Sicherheit oder Klassifizierungseinhalten erforderlich; oder (iv) in der Änderungsbenachrichtigung ausdrücklich rückwirkend angegeben. Nutzer erkennen an, dass bestimmte Änderungen laufende Verpflichtungen oder Haftungen aus der Zeit vor der Änderung beeinflussen können. Alle rückwirkenden Anwendungen sind in dem durch anwendbares Recht maximal zulässigen Umfang beschränkt.

11. Verschiedenes

Vollständige Vereinbarung

Diese Nutzungsbedingungen stellen die vollständige, endgültige und ausschließliche Vereinbarung zwischen CypSec und Nutzern bezüglich des hierin behandelten Gegenstands dar und ersetzen alle vorherigen oder gleichzeitigen Vereinbarungen, Zusicherungen, Gewährleistungen, Verständnisse, Verhandlungen und Diskussionen, ob mündlich oder schriftlich. Diese Vereinbarung umfasst alle Anhänge, Ausstellungen, Projektablaufpläne, Bestellformulare und sonstige ausdrücklich durch Verweis einbezogenen Dokumente. Keine anderen Bedingungen, Konditionen oder Bestimmungen sind für CypSec verbindlich, sofern nicht ausdrücklich durch autorisierten Vertreter schriftlich angenommen.

Für Behörden- und Verteidigungsverträge ersetzen diese Bedingungen jegliche widersprüchlichen Bestimmungen in: (a) Standard-Behördentermini und -bedingungen, sofern nicht ausdrücklich durch Verweis einbezogen; (b) behördenspezifischen Vorschriften, die mit zwingenden kommerziellen Bedingungen kollidieren; (c) vorherigen Vereinbarungen oder Verständnissen, die nicht förmlich in den Vertrag einbezogen wurden; sowie (d) jeglichen Bestimmungen, die durch anwendbare Beschaffungsvorschriften untersagt sind. Zwingende Behördenklauseln, die durch Gesetz oder Verordnung vorgeschrieben sind, sind jedoch wie in anwendbaren Vertragsdokumenten spezifiziert einbezogen.

Bei jeglichem Konflikt oder Widerspruch zwischen Bestimmungen gilt folgende Rangfolge: (1) Hauptkörper dieser Nutzungsbedingungen; (2) anwendbare Behördenvertragsklauseln und -vorschriften; (3) Projektablaufpläne und technische Spezifikationen; (4) Service Level Agreements und Leistungskennzahlen; (5) Sicherheitsanforderungen und Klassifizierungsleitlinien; sowie (6) sonstige einbezogene Dokumente. Konflikte werden gelöst, indem Dokumenten höher in dieser Hierarchie Vorrang eingeräumt wird.

Alle Bestimmungen, die von ihrer Natur her die Kündigung überdauern sollten, überdauern auf unbestimmte Zeit einschließlich: (i) Vertraulichkeits- und Geheimhaltungsverpflichtungen; (ii) gewerbliche Schutzrechte und -einschränkungen; (iii) Haftungsbeschränkung und Gewährleistungsausschlüsse; (iv) Streitbeilegungsverfahren; (v) anwendbares Recht und Gerichtsstandsbestimmungen; sowie (vi) Schadloshaltungsverpflichtungen. Diese Bestimmungen bleiben unabhängig von Vertragskündigung oder -ablauf wirksam und binden die Parteien weiterhin.

Das Versäumnis einer Partei, irgendeine Bestimmung dieser Bedingungen durchzusetzen, stellt keinen Verzicht auf solche oder irgendeine andere Bestimmung dar. Alle Verzichte müssen ausdrücklich und schriftlich von autorisierten Vertretern unterzeichnet sein. Keine Geschäftsgepflogenheit, Handelsbrauch oder das Unterlassen, sich gegen widersprüchliche Bedingungen zu wenden, modifiziert oder ergänzt diese Bedingungen. Die Parteien erkennen an, dass diese Bedingungen ihr vollständiges Verständnis darstellen und dass keine zusätzlichen Bedingungen durch Gesetz oder Gewohnheit impliziert sind.

Teilbarkeit und Fortbestand

Falls irgendeine Bestimmung dieser Nutzungsbedingungen von einem Gericht mit angemessener Gerichtsbarkeit als ungültig, rechtswidrig oder undurchsetzbar befunden wird, ist solche Bestimmung von diesen Bedingungen zu trennen und die verbleibenden Bestimmungen bleiben in voller Kraft und Wirkung bestehen. Die Ungültigkeit irgendeiner bestimmten Bestimmung beeinflusst nicht die Gültigkeit von: (a) Vertraulichkeits- und Sicherheitsverpflichtungen; (b) gewerblichen Schutzrechten; (c) Haftungsbeschränkungsbestimmungen; (d) Streitbeilegungsverfahren; oder (e) sonstigen Bestimmungen, die von ihrer Natur her Teilungungültigkeit überdauern sollten.

Für Behörden- und Verteidigungsverträge unterliegt Teilbarkeit: (i) zwingenden Behördenklauseln, die gemäß anwendbaren Beschaffungsvorschriften nicht getrennt werden können; (ii) nationalen Sicherheitsanforderungen, die ungeachtet Teilbarkeit beibehalten werden müssen; (iii) Klassifizierungsanforderungen, die durch vertragliche Bestimmungen nicht modifiziert werden können; (iv) ausfuhrkontrollverpflichtungen, die gesetzlich vorgeschrieben sind; sowie (v) internationalen Vertragsverpflichtungen, die vertragliche Teilbarkeit übertreffen. Gerichte sind angewiesen, Behördeninteressen in dem durch Gesetz maximal zulässigen Umfang zu bewahren.

Falls irgendeine Bestimmung als ungültig befunden wird, aber durch Modifikation gültig gemacht werden könnte, ist das Gericht befugt und angewiesen, solche Bestimmung in dem minimal notwendigen Umfang zu modifizieren, um sie gültig und durchsetzbar zu machen, während die ursprüngliche Absicht und der kommerzielle Zweck beibehalten werden. Die Parteien stimmen ausdrücklich zu, dass Gerichte richterliche Modifikation eher als Trennung anwenden sollten, wo solche Modifikation die ursprüngliche Absicht der Parteien besser umsetzen und die Gesamtstruktur dieser Bedingungen beibehalten würde.

Bei Trennung werden die Parteien in gutem Glauben verhandeln, um die ungültige Bestimmung durch eine gültige Bestimmung zu ersetzen, die die ursprüngliche wirtschaftliche Absicht und Risikozuteilung am engsten widerspiegelt. Falls die Parteien sich innerhalb von sechzig (60) Tagen nicht auf eine Ersatzbestimmung einigen können, kann jede Partei beantragen, dass die Angelegenheit dem verbindlichen Schiedsverfahren zur Bestimmung einer angemessenen Ersatzbestimmung vorgelegt wird, die die ursprüngliche Vereinbarung in dem maximal möglichen Umfang beibehält.

Falls mehrere Bestimmungen als ungültig befunden werden, sollen Gerichte Bestimmungen progressiv trennen und/oder modifizieren, beginnend mit denen, die für die Gesamtvereinbarungsstruktur am wenigsten wesentlich sind, bis der maximal zulässige Teil dieser Bedingungen beibehalten werden kann. Die Parteien erkennen an, dass diese Bedingungen sorgfältig strukturiert sind, um komplexe Cybersicherheitsoperationen zu adressieren, und dass stückweise Trennung notwendig sein kann, um wesentliche Schutzmaßnahmen und Verpflichtungen zu bewahren. Alle Bestimmungen bezüglich nationaler Sicherheit, Klassifizierung und Behördenanforderungen sollen maximal mögliche Wirkung erhalten.

Verzichtsbestimmungen

Kein Verzicht auf irgendeine Bestimmung dieser Nutzungsbedingungen ist wirksam, sofern er nicht schriftlich und von einem autorisierten Vertreter der Partei unterzeichnet ist, gegen die Durchsetzung gesucht wird. Alle Verzichte müssen spezifisch, absichtlich sein und klar die Bestimmung identifizieren, auf die verzichtet wird, sowie den Umfang solches Verzichtes. Allgemeine Verzichte oder Verzichte durch Implikation sind ausdrücklich untersagt und haben keine Kraft oder Wirkung. Die Anforderung für schriftliche Verzichte gilt für alle Bestimmungen einschließlich Vertraulichkeitsverpflichtungen, Sicherheitsanforderungen und Haftungsbeschränkungsbestimmungen.

Für Behörden- und Verteidigungsverträge unterliegen Verzichte zusätzlichen Einschränkungen: (a) Verzichte auf zwingende Behördenklauseln, die durch Beschaffungsvorschriften vorgeschrieben sind, sind untersagt; (b) Verzichte, die nationale Sicherheitsinteressen oder Klassifizierungsanforderungen beeinflussen, erfordern Behördengenehmigung; (c) Verzichte auf Souveränitätsimmunität oder Behördenrechte müssen von zuständigen Behörden genehmigt werden; (d) Verzichte auf Prüfrechte oder Aufsichtsverpflichtungen sind unwirksam; sowie (e) jeglicher Verzicht, der anwendbare Gesetze oder Vorschriften verletzen würde, ist null und nichtig. Behörden behalten sich alle durch Gesetz bereitgestellten Rechte und Rechtsbehelfe ungeachtet jeden versuchten Verzichtes.

Keine Geschäftsgepflogenheit, Handelsbrauch oder das Unterlassen, sich gegen widersprüchliche Bedingungen zu wenden, ist als Verzicht auf irgendeine Bestimmung dieser Bedingungen auszulegen. Die Parteien erkennen an, dass: (i) betriebliche Flexibilität oder Akkommodation in spezifischen Umständen keinen allgemeinen Verzicht darstellt; (ii) vorübergehende Nichtdurchsetzung zukünftige Durchsetzungsrechte nicht beeinflusst; (iii) teilweise Durchsetzung Rechte bezüglich sonstiger Verletzungen nicht aufgibt; sowie (iv) gute Treubemühungen, Streitigkeiten zu lösen, keine Verzichte auf Rechte darstellen. Alle Rechte und Rechtsbehelfe sind kumulativ und können getrennt oder zusammen ausgeübt werden.

Der Verzicht auf irgendeine bestimmte Bestimmung bei irgendeiner bestimmten Gelegenheit wird nicht: (a) die Durchsetzbarkeit solcher Bestimmung bei jeder anderen Gelegenheit beeinflussen; (b) das Recht beeinflussen, solche Bestimmung in der Zukunft durchzusetzen; (c) die Durchsetzbarkeit irgendeiner anderen Bestimmung beeinflussen; oder (d) jegliche Rechtsbeständigkeit oder ähnliche Verteidigung gegen zukünftige Durchsetzung erzeugen. Jede Instanz der Nichtdurchsetzung muss unabhängig evaluiert und ausdrücklich verzichtet werden, falls solcher Verzicht beabsichtigt ist.

Jeglicher gewährter Verzicht kann: (1) auf spezifische Umstände oder Zeiträume beschränkt sein; (2) Bedingungen unterliegen, die erfüllt werden müssen, um Wirksamkeit aufrechtzuerhalten; (3) widerrufbar bei Verletzung irgendeiner Bedingung oder materieller Änderung der Umstände sein; sowie (4) streng gemäß seinen ausdrücklichen Bedingungen ausgelegt werden. Verzichte erzeugen keine Erwartung zukünftiger Verzichte oder modifizieren die fundamentale Natur dieser Bedingungen. Alle Bestimmungen bleiben für Durchsetzung verfügbar, ungeachtet jeden vorherigen Verzichtes.

Abtretung und Übertragung

CypSec kann jegliche oder alle ihrer Rechte und Verpflichtungen unter diesen Nutzungsbedingungen abtreten, übertragen oder delegieren an: (a) jedes verbundene Unternehmen, Tochtergesellschaft oder Rechtsnachfolgeeinheit innerhalb der CypSec-Konzernstruktur; (b) jede Einheit, die wesentlich alle CypSec-Vermögenswerte oder Geschäftsoperationen erwirbt; (c) jede Einheit, mit der CypSec fusioniert oder konsolidiert; oder (d) jede Einheit, an die CypSec Service-Operationen überträgt, vorausgesetzt, dass solche Abtretung schriftlich sich zugestehen, durch diese Bedingungen gebunden zu sein. Solche Abtretungen können ohne Nutzerzustimmung erfolgen, erfordern jedoch schriftliche Benachrichtigung betroffener Nutzer.

Für Behörden- und Verteidigungsverträge unterliegt Abtretung: (i) Federal Acquisition Regulation (FAR) und Defense Federal Acquisition Regulation Supplement (DFARS)-Abtretungsklauseln; (ii) Behördengenehmigung für Novationsvereinbarungen, wenn erforderlich; (iii) Sicherheitsfreigabeübertragung und Anlagenfreigabeanforderungen; (iv) Einhaltung von Eigentumsänderungsbenachrichtigungsanforderungen; sowie (v) Fortsetzung von Erfüllungsverpflichtungen während Übergangszeiträumen. Behördenabtretungen erfordern formelle Vertragsänderung und Genehmigung durch Contracting Officers.

Nutzer dürfen ohne CypSecs vorherige schriftliche Zustimmung, die unbilligerweise nicht verweigert werden soll, keine Rechte oder Verpflichtungen unter diesen Bedingungen abtreten, übertragen, delegieren oder unterlizenzieren. Untersagte Abtretungen umfassen: (1) Übertragung an Einheiten ohne angemessene Sicherheitsfreigaben oder Anlagenfreigaben; (2) Abtretung an Wettbewerber von CypSec, wie in CypSecs angemessenen Ermessen bestimmt; (3) Übertragung, die anwendbare Ausfuhrkontroll- oder nationale Sicherheitsgesetze verletzen würde; (4) Abtretung im Zusammenhang mit jeglicher betrügerischer oder illegaler Transaktion; sowie (5) jegliche Abtretung, die CypSecs Fähigkeit, seine Verpflichtungen zu erfüllen, wesentlich beeinträchtigen würde.

CypSecs Zustimmung zu Nutzerabtretung kann abhängig sein von: (a) Nachweis der technischen und finanziellen Fähigkeit des Abtretungsempfängers zur Erfüllung von Verpflichtungen; (b) Bereitstellung angemessener Sicherheit für zukünftige Erfüllung; (c) Zustimmung des Abtretungsempfängers, durch alle Bedingungen gebunden zu sein; (d) Abschluss von Sicherheitsfreigabe- und Anlagenfreigabeübertragungen, wo anwendbar; (e) Zahlung angemessener Verwaltungsgebühren für Abtretungsbearbeitung; sowie (f) Ausführung von Abtretungs- und Übernahmevereinbarungen in Form und Inhalt, die für CypSec zufriedenstellend sind. Zustimmung muss vor jeglichem versuchtem Abtretungsversuch eingeholt werden.

Jeglicher versuchter Abtretungsversuch in Verletzung dieser Bestimmungen ist null und nichtig und stellt einen wesentlichen Verstoß gegen diese Bedingungen dar. Solche Verletzungen berechtigen CypSec zu: (i) unverzüglicher Kündigung von Dienstleistungen; (ii) Verfolgung aller verfügbaren Rechtsbehelfe für Verstoß; (iii) einstweiligen Rechtsschutz zur Verhinderung unbefugter Übertragungen; sowie (iv) Eintreibung von Schäden, die sich aus dem versuchten Abtretungsversuch ergeben. Nutzer bleiben für alle Verpflichtungen gesamtschuldnerisch haftbar, ungeachtet jeden versuchten Abtretungsversuchs.

Diese Bedingungen sind verbindlich für und wirken zugunsten der Parteien und ihrer jeweiligen zulässigen Rechtsnachfolger und Abtretungsempfänger. Alle Verweise auf Parteien schließen deren Rechtsnachfolger und Abtretungsempfänger ein, wo der Zusammenhang es erlaubt oder erfordert. Die Bestimmungen dieser Bedingungen sind als trennbar beabsichtigt und überdauern jegliche Abtretung oder Übertragung in dem durch anwendbares Recht maximal zulässigen Umfang.

Kontakt und Kommunikation

Nutzer können CypSec über folgende offizielle Kanäle kontaktieren: (a) primäre Geschäftsadresse gemäß CypSecs Impressum; (b) Kundensupport per E-Mail an contact@cypsec.ch für servicebezogene Anfragen; (c) Rechtsabteilung an legal@cypsec.ch für vertragliche Angelegenheiten und Rechtshinweise; sowie (d) Notfall-Sicherheitskontakt für kritische Vorfälle unter Verwendung von CypSecs Kontaktformular. Alle offiziellen Kommunikationen müssen an diese benannten Kanäle gerichtet werden, um ordnungsgemäße Bearbeitung und Antwort sicherzustellen.

Für Behörden und klassifizierte Kommunikationen unterhält CypSec: (i) sichere Kommunikationskanäle, die für angemessene Klassifizierungsstufen genehmigt sind; (ii) Anlagenfreigaben und Personalfreigaben für die Handhabung kontrollierter Informationen; (iii) benannte Behördenvertragsbeamte und Programmmanager; (iv) sichere Anlagen für persönliche Treffen und Dokumentenaustausch; sowie (v) Einhaltung anwendbarer Sicherheitsprotokolle für klassifizierte Informationshandhabung. Behördenkunden müssen genehmigte sichere Kommunikationsmethoden für alle klassifizierten oder sensiblen Informationen verwenden.

Nutzer können Kommunikationspräferenzen festlegen einschließlich: (1) Primärsprache für Kommunikationen (Deutsch, Englisch, Russisch, Spanisch, Portugiesisch oder sonstige vereinbarte Sprachen); (2) bevorzugte Kontaktmethoden (E-Mail, sicheres Portal, Telefon oder physische Post); (3) Eskalationsverfahren für dringende Angelegenheiten; (4) autorisierte Vertreter für den Empfang rechtlicher und vertraglicher Kommunikationen; sowie (5) spezifische Anforderungen für die Handhabung vertraulicher oder proprietärer Informationen. Alle Präferenzen müssen durch offizielle Kontomanagement-Kanäle dokumentiert werden.

Rechtshinweise, Vertragsänderungen, Kündigungsbenachrichtigungen und sonstige formelle Kommunikationen müssen: (a) schriftlich und von autorisierten Vertretern unterzeichnet sein; (b) durch genehmigte Kanäle mit Empfangsbestätigung zugestellt werden; (c) an die aktuellsten Kontaktinformationen in den Akten gesendet werden; sowie (d) anwendbaren Service Level Agreements und Antwortzeitanforderungen entsprechen. Elektronische Kommunikationen gelten als empfangen bei Bestätigung der Zustellung an die benannten E-Mail-Adressen oder sicheren Portale.

Nutzer müssen CypSec unverzüglich von jeglichen Änderungen an Kontaktinformationen, autorisierten Vertretern oder Kommunikationspräferenzen benachrichtigen. CypSec wird Nutzer von Änderungen an seinen Kontaktinformationen benachrichtigen durch: (i) Updates offizieller Websites und Kundenportale; (ii) E-Mail-Benachrichtigungen an registrierte Nutzer; (iii) Einbeziehung in aktualisierte Vertragsdokumente; sowie (iv) sonstige Methoden, wie durch anwendbare Vorschriften vorgeschrieben. Nicht-Aufrechterhaltung aktueller Kontaktinformationen ungültigt ordnungsgemäß zugestellte Kommunikationen nicht.

Alle Nutzer willigen in Zustellung gerichtlicher Schriftstücke durch die benannten Kanäle ein und erkennen an, dass ordnungsgemäße Zustellung erfolgen kann durch: (1) persönliche Zustellung an die registrierte Geschäftsadresse; (2) Einschreiben an die letzte bekannte Adresse; (3) elektronische Zustellung per benannte E-Mail-Adressen; oder (4) sonstige Methoden, wie durch anwendbares Recht oder Gerichtsregeln erlaubt. Zustellung gilt als wirksam bei Bestätigung der Zustellung, ungeachtet tatsächlichen Empfangs.