← Back
BR-Systems.Benjamin Raulf · Müdener Straße 15a · 29345 Unterlüß
TEMPLATE
Stand: 2026 · v1.0

Rahmenvereinbarung und Einwilligung zur Durchführung eines Penetration testing

Diese Vorlage regelt die Rahmenbedingungen einer kontrollierten Sicherheitsüberprüfung („Penetration test"). Der konkrete Prüfumfang wird in der Annex „Scope" verbindlich festgelegt. Ohne unterzeichnete Vereinbarung und definierten Scope findet kein Test statt.

1. Vertragsparteien

Client (Kunde)
Contractor
BR-Systems, Benjamin Raulf
Anschrift / Ansprechpartner
Contact während des Tests
Tel.: 0179 160 1700

2. Gegenstand & Zielsetzung

Der Contractor führt eine kontrollierte Sicherheitsüberprüfung der in der Annex „Scope" benannten Systeme durch. Ziel ist das Auffinden, Verifizieren und Bewerten von Schwachstellen sowie die Ableitung konkreter Maßnahmen. Es handelt sich ausdrücklich nicht um eine Garantie der Sicherheit, sondern um eine Momentaufnahme im definierten Rahmen.

3. Scope & exclusions

Im Scope (geprüft wird)Ausdrücklich ausgeschlossen

Geprüft werden ausschließlich Systeme, IP-Bereiche, Domains und Anwendungen, die in dieser Annex benannt sind. Alles, was nicht ausdrücklich benannt ist, gilt als nicht freigegeben.

4. Zeitfenster

Testzeitraum (von – bis)
Erlaubte Uhrzeiten

5. Rules of engagement

6. Authorisation & consent

Der Client versichert, dass er Eigentümer der zu prüfenden Systeme ist oder über alle erforderlichen Rechte und Einwilligungen Dritter (z. B. Hosting-Provider, Cloud-Anbieter) verfügt, um die Assessment zu beauftragen. Erforderliche Genehmigungen Dritter holt der Client vor Testbeginn ein und weist sie auf Verlangen nach.

7. Confidentiality & data protection

Beide Parteien behandeln alle im Rahmen der Assessment erlangten Informationen streng vertraulich. Personenbezogene Daten werden nur im erforderlichen Umfang verarbeitet und nach Abschluss bzw. nach Ablauf gesetzlicher Fristen gelöscht. Ergebnisse und Berichte werden ausschließlich dem Client übergeben.

8. Haftung

Der Contractor arbeitet mit der gebotenen Sorgfalt. Trotz kontrollierten Vorgehens lassen sich Auswirkungen auf geprüfte Systeme nicht vollständig ausschließen. Die Haftung richtet sich nach den separat vereinbarten Bedingungen; eine Haftung für mittelbare Schäden, Datenverlust bei fehlender Sicherung durch den Client oder entgangenen Gewinn ist im gesetzlich zulässigen Rahmen ausgeschlossen. Der Client stellt vor Testbeginn eine aktuelle, geprüfte Datensicherung sicher.

9. Results & re-test

Der Client erhält einen Bericht mit Management Summary, technischen Befunden, Risikobewertung und priorisierten Empfehlungen. Auf Wunsch prüft der Contractor nach Umsetzung der Maßnahmen erneut, ob die Befunde behoben wurden (Re-Test).

Important note: Diese Vorlage ist ein non-bindinges Muster und ersetzt keine Rechtsberatung. Vor Verwendung sollte sie an den Einzelfall angepasst und idealerweise anwaltlich geprüft werden. Maßgeblich ist stets die individuell unterzeichnete Vereinbarung inkl. Scope-Annex.
Ort, Datum · Client
Ort, Datum · BR-Systems
BR-Systems · Benjamin Raulf · Müdener Straße 15a · 29345 Unterlüß · Tel. 0179 160 1700 · info@br-systems.eu — Muster-Dokument ohne Gewähr auf Vollständigkeit oder Rechtssicherheit.