This is a translation for informational purposes. In the event of any conflict between this version and the English version, the English version shall govern. — View English version

Wichtig: Bitte lesen Sie diese Nutzungsbedingungen sorgfältig durch, bevor Sie CRA Evidence nutzen. Durch den Zugriff auf oder die Nutzung unserer Plattform erklären Sie sich mit diesen Bedingungen einverstanden.

1. Zustimmung zu den Bedingungen

Diese Nutzungsbedingungen ("Bedingungen") stellen eine rechtsverbindliche Vereinbarung zwischen Ihnen ("Nutzer", "Sie" oder "Ihr") und Senda Tech Solutions, S.L., Handelsname CRA Evidence ("Unternehmen", "wir", "uns" oder "unser") dar, die Ihren Zugang zu und die Nutzung der CRA Evidence-Plattform ("Dienst") regelt.

Durch die Erstellung eines Kontos oder die Nutzung des Dienstes bestätigen Sie, dass Sie diese Bedingungen und unsere Datenschutzrichtlinie gelesen und verstanden haben und sich damit einverstanden erklären.

1.1 Definitionen

In diesen Bedingungen:

  • „Plattform" bezeichnet die CRA Evidence Platform, die vom Unternehmen bereitgestellte Softwarelösung, die bei den zuständigen nationalen Cybersicherheitsbehörden registriert ist.
  • „Dienst" bezeichnet die Plattform, einschließlich aller Funktionen, APIs und zugehörigen Dienste.
  • „Kundendaten" bezeichnet alle Daten, die Sie in den Dienst hochladen oder eingeben, einschließlich Produktinformationen und Dokumente.
  • „SBOM-Daten" bezeichnet Software-Stücklisten und zugehörige Komponenten-, Abhängigkeits- und Schwachstelleninformationen.
  • „Compliance-Artefakte" bezeichnet Berichte, Exporte und Dokumentationen, die vom Dienst auf Basis Ihrer Kundendaten generiert werden.

1.2 Erklärung zur geschäftlichen Nutzung

Diese Vereinbarung ist ein Vertrag zwischen Unternehmen ("B2B"). Durch die Erstellung eines Kontos oder die Nutzung des Dienstes sichern Sie zu und gewährleisten, dass:

(a) Sie im Namen eines Unternehmens (Gesellschaft, Personengesellschaft oder Einzelunternehmen) im Rahmen Ihres Handels, Gewerbes, Handwerks oder Berufs handeln; (b) Sie diese Vereinbarung nicht als Verbraucher im Sinne der EU-Richtlinie 2011/83/EU über Verbraucherrechte abschließen; (c) Verbraucherschutzvorschriften, einschließlich des 14-tägigen Widerrufsrechts gemäß EU-Richtlinie 2011/83/EU, auf diese Vereinbarung keine Anwendung finden; (d) Sie die rechtliche Befugnis haben, das von Ihnen vertretene Unternehmen zu verpflichten.

Sofern Sie eine natürliche Person sind, bestätigen Sie, dass diese Vereinbarung ausschließlich Ihrer beruflichen oder gewerblichen Tätigkeit dient. Der Dienst ist nicht für den persönlichen, familiären oder häuslichen Gebrauch bestimmt.

2. Beschreibung des Dienstes

CRA Evidence ist eine Compliance-Management-Plattform, die Herstellern von Produkten mit digitalen Elementen (PDEs) hilft, die Anforderungen zu erfüllen von:

  • EU Cyber Resilience Act (Verordnung (EU) 2024/2847)
  • BSI TR-03183 (SBOM-Qualität und Schwachstellenmanagement)

Der Dienst ermöglicht Ihnen:

  • Produkte und Versionen zu registrieren und zu verwalten
  • Software-Stücklisten (SBOMs) hochzuladen, zu validieren und zu speichern
  • Compliance-Dokumentation zu verwalten
  • Den CRA-Bereitschaftsstatus zu verfolgen
  • Technische Dokumentationsexporte zu generieren

2.1 Künstliche Intelligenz und maschinelles Lernen

Der Dienst beinhaltet Funktionen auf Basis von künstlicher Intelligenz und maschinellem Lernen für die SBOM-Analyse, den Abgleich von Schwachstellen und die Compliance-Bewertung.

Das Unternehmen wird Kundendaten oder Compliance-Artefakte des Kunden nicht zum Training von KI- oder Machine-Learning-Modellen verwenden.

Das Unternehmen kann aggregierte, anonymisierte Nutzungsdaten (Protokolle, Metadaten, Interaktionsmuster mit Funktionen), die keinen Rückschluss auf den Kunden oder seine Nutzer erlauben, erheben, verwenden und analysieren, um den Dienst zu verbessern und interne Modelle zu trainieren.

KI-generierte Ergebnisse (Schwachstellenbewertungen, Compliance-Scores, Bereitschaftsindikatoren) werden als Hilfsmittel zur Unterstützung der Entscheidungsfindung des Kunden bereitgestellt. Der Kunde ist allein dafür verantwortlich, KI-generierte Ergebnisse vor ihrer Verwendung zu überprüfen. Das Unternehmen übernimmt keine Gewähr für die Richtigkeit, Vollständigkeit oder Zwecktauglichkeit von KI-generierten Ergebnissen.

Der Kunde kann den Support kontaktieren, um die Deaktivierung von KI-Funktionen für sein Konto zu beantragen.

2.2 Testzugang

Wenn das Unternehmen dem Kunden Zugang zu einem Test gewährt, wird der Dienst für den bei der Registrierung mitgeteilten Zeitraum bereitgestellt ("Testzeitraum").

Der Testzeitraum endet zum früheren der folgenden Zeitpunkte: (a) Ende des mitgeteilten Testzeitraums; (b) Beginn eines kostenpflichtigen Abonnements; oder (c) Kündigung durch das Unternehmen nach eigenem Ermessen.

Nach Ablauf des Testzeitraums wird das Konto des Kunden gesperrt und der Zugang zum Dienst sofort gesperrt. Für den Ablauf des Testzeitraums gilt keine Nachfrist.

Kundendaten bleiben nach Ablauf des Testzeitraums erhalten und unterliegen der in Abschnitt 13.3 geregelten Standard-Datenspeicherrichtlinie. Das Unternehmen empfiehlt dem Kunden, Daten vor Ende des Testzeitraums zu exportieren, sofern der Kunde kein Abonnement abschließen möchte.

HAFTUNGSAUSSCHLUSS FÜR DEN TESTZUGANG: DER TESTZUGANG WIRD "WIE BESEHEN" OHNE JEGLICHE GARANTIE BEREITGESTELLT. DAS UNTERNEHMEN HAT BEZÜGLICH DES TESTZUGANGS KEINE FREISTELLUNGSPFLICHTEN, ES SEI DENN, DIESER AUSSCHLUSS IST NACH ANWENDBAREM RECHT NICHT DURCHSETZBAR; IN DIESEM FALL ÜBERSCHREITET DIE HAFTUNG DES UNTERNEHMENS GEGENÜBER DEM TESTZUGANG NICHT 100 EUR. DER KUNDE HAFTET VOLLUMFÄNGLICH GEMÄSS DIESER VEREINBARUNG FÜR ALLE SCHÄDEN, DIE AUS DER NUTZUNG DES TESTZUGANGS DURCH DEN KUNDEN ENTSTEHEN, SOWIE FÜR JEDEN VERSTOSS GEGEN DIESE BEDINGUNGEN WÄHREND DES TESTZEITRAUMS.

Wichtiger Compliance-Hinweis

Der Dienst soll Sie bei der Verwaltung von Dokumentation und Nachweisen im Zusammenhang mit dem EU Cyber Resilience Act unterstützen. Jedoch:

  • Der Dienst garantiert NICHT die Einhaltung des CRA, EN 303 645 oder anderer regulatorischer Anforderungen.
  • Sie bleiben allein verantwortlich dafür, dass Ihre Produkte alle anwendbaren Gesetze und Vorschriften einhalten.
  • Der Dienst stellt KEINE rechtliche, regulatorische oder professionelle Beratung dar.
  • CRA Evidence ist KEINE benannte Stelle, Konformitätsbewertungsstelle oder Zertifizierungsbehörde.
  • Die Nutzung des Dienstes garantiert NICHT die Genehmigung durch Marktüberwachungsbehörden oder die Vermeidung regulatorischer Sanktionen.

Wir empfehlen, sich bezüglich Ihrer spezifischen CRA-Compliance-Verpflichtungen an Rechtsberater und qualifizierte Konformitätsbewertungsstellen zu wenden.

3. Kontoregistrierung

3.1 Berechtigung

Um den Dienst zu nutzen, müssen Sie:

  • Mindestens 18 Jahre alt sein
  • Die rechtliche Befugnis haben, diese Bedingungen einzugehen
  • Ein legitimes Unternehmen vertreten (für Geschäftskonten)

3.2 Kontosicherheit

Sie sind verantwortlich für:

  • Die Wahrung der Vertraulichkeit Ihrer Kontoanmeldedaten
  • Alle Aktivitäten, die unter Ihrem Konto stattfinden
  • Die sofortige Benachrichtigung bei unbefugtem Zugriff

3.3 Korrekte Informationen

Sie verpflichten sich, bei der Registrierung genaue, aktuelle und vollständige Informationen anzugeben und diese bei Bedarf zu aktualisieren.

3.4 Autorisierte Nutzer

Der Kunde kann Mitarbeiter, Auftragnehmer und Bevollmächtigte als autorisierte Nutzer für den Zugang zum Dienst benennen ("Autorisierte Nutzer").

Zugangsdaten (Nutzername und Passwort) sind an jeden Autorisierten Nutzer persönlich gebunden und dürfen nicht mit anderen Personen geteilt oder von diesen verwendet werden.

Das Teilen von Zugangsdaten oder die gleichzeitige Nutzung eines einzelnen Kontos durch mehrere Personen stellt einen wesentlichen Vertragsverstoß dar.

Der Kunde haftet für alle Handlungen der Autorisierten Nutzer und dafür, dass diese die vorliegenden Bedingungen einhalten.

Der Kunde muss das Unternehmen unverzüglich unter security@craevidence.com informieren, sobald er von einem unbefugten Zugriff auf oder einer unbefugten Nutzung eines Kontos Kenntnis erlangt.

4. Zulässige Nutzung

Sie verpflichten sich, Folgendes NICHT zu tun:

  • Den Dienst für rechtswidrige Zwecke zu nutzen
  • Schädliche Inhalte, Viren oder bösartigen Code hochzuladen
  • Unbefugten Zugriff auf den Dienst oder andere Konten zu versuchen
  • Den Dienst oder die Server zu stören oder zu beeinträchtigen
  • Teile des Dienstes zurückzuentwickeln, zu dekompilieren oder zu disassemblieren
  • Automatisierte Systeme ohne Erlaubnis für den Zugriff auf den Dienst zu verwenden
  • Den Dienst ohne Genehmigung weiterzuverkaufen oder zu verteilen
  • Den Dienst zur Speicherung oder Übertragung von Inhalten zu nutzen, die geistige Eigentumsrechte verletzen

4.5 Verbotene Nutzung -- Wettbewerbstätigkeit

"Wettbewerber" bezeichnet jede Einheit, die Produkte oder Dienstleistungen anbietet, entwickelt oder aktiv plant anzubieten, die dem Dienst wesentlich ähnlich oder mit ihm wettbewerbsfähig sind (Compliance-Management, SBOM-Management oder CRA-Bereitschaftsplattformen).

Folgendes ist verboten und stellt einen wesentlichen Vertragsverstoß dar:

(a) Den Zugang zum Dienst zu nutzen, wenn Sie ein Wettbewerber sind; (b) Den Zugang zum Dienst im Namen eines Wettbewerbers oder zu dessen Gunsten zu nutzen; (c) Den Dienst zu nutzen, um Funktionen für ein konkurrierendes Produkt zu bewerten, zu replizieren oder zu entwickeln; (d) Daten, Arbeitsabläufe oder Ergebnisse des Dienstes zu Wettbewerbszwecken systematisch zu extrahieren, zu scrapen oder zu sammeln.

Das Unternehmen kann den Zugang bei Entdeckung eines Verstoßes gegen diesen Abschnitt sofort und ohne Heilungsfrist kündigen.

5. Vertraulichkeit

5.1 Definition

"Vertrauliche Informationen" bezeichnet alle finanziellen, technischen oder geschäftlichen Informationen, die eine Partei ("Offenlegende Partei") der anderen ("Empfangende Partei") mitteilt und die zum Zeitpunkt der Offenlegung als vertraulich gekennzeichnet sind oder die eine vernünftige Partei unter Berücksichtigung des Kontexts der Offenlegung als vertraulich betrachten würde.

Der Dienst und die ihm zugrunde liegende Technologie stellen Vertrauliche Informationen des Unternehmens dar. Kundendaten stellen Vertrauliche Informationen des Kunden dar.

5.2 Pflichten

Die Empfangende Partei verpflichtet sich:

(a) Die Vertraulichen Informationen der Offenlegenden Partei mit mindestens demselben Sorgfaltsgrad zu schützen, den sie für ihre eigenen vertraulichen Informationen verwendet, und in keinem Fall mit weniger als angemessener Sorgfalt; (b) Vertrauliche Informationen nur zur Ausübung von Rechten und Erfüllung von Pflichten gemäß diesen Bedingungen zu verwenden; (c) Die Offenlegung auf Mitarbeiter, Auftragnehmer und Berater zu beschränken, die diese kennen müssen und durch Vertraulichkeitspflichten gebunden sind, die nicht weniger schützend sind als die in diesem Abschnitt geregelten.

5.3 Erzwungene Offenlegung

Die Empfangende Partei darf Vertrauliche Informationen offenlegen, wenn dies gesetzlich oder durch Gerichtsbeschluss erforderlich ist, sofern sie der Offenlegenden Partei eine ausreichende schriftliche Vorankündigung gibt, um der Offenlegenden Partei die Möglichkeit zu geben, eine Schutzanordnung zu beantragen, und jede Offenlegung auf das gesetzlich Erforderliche beschränkt wird.

5.4 Ausnahmen

Folgendes gilt nicht als Vertrauliche Information:

(i) Informationen, die ohne Verstoß durch die Empfangende Partei öffentlich zugänglich werden; (ii) Informationen, die von der Empfangenden Partei unabhängig und ohne Bezugnahme auf Vertrauliche Informationen entwickelt wurden; (iii) Informationen, die von einem Dritten ohne Vertraulichkeitsbeschränkungen erhalten wurden.

5.5 Rechtsbehelfe

Jede Partei kann bei einem Verstoß oder einer drohenden Verletzung dieses Abschnitts einstweiligen Rechtsschutz oder andere billigkeitsrechtliche Rechtsbehelfe beantragen, ohne einen nicht wiedergutzumachenden Schaden nachweisen oder eine Kaution hinterlegen zu müssen.

5.6 Laufzeit

Die Vertraulichkeitspflichten überdauern die Beendigung dieser Vereinbarung für einen Zeitraum von drei (3) Jahren, mit Ausnahme von Geschäftsgeheimnissen, die für die Dauer geschützt werden, für die die Information nach anwendbarem Recht als Geschäftsgeheimnis gilt.

6. Nutzerinhalte

6.1 Eigentum

Sie behalten das Eigentum an allen Inhalten, die Sie in den Dienst hochladen ("Nutzerinhalte"), einschließlich SBOMs, Dokumente und Produktinformationen.

6.2 Lizenz an uns

Durch das Hochladen von Nutzerinhalten gewähren Sie uns eine beschränkte, nicht-exklusive Lizenz zur Speicherung, Verarbeitung und Anzeige der Inhalte, soweit dies für die Bereitstellung des Dienstes erforderlich ist.

6.3 Ihre Verantwortlichkeiten

Sie sind allein verantwortlich für:

  • Die Richtigkeit und Rechtmäßigkeit Ihrer Nutzerinhalte
  • Die Sicherstellung, dass Sie das Recht haben, die Inhalte hochzuladen und zu teilen
  • Die Sicherung Ihrer wichtigen Daten

7. Geistiges Eigentum

7.1 Unser Eigentum

Der Dienst, einschließlich seines Designs, seiner Funktionen, Funktionalität und Inhalte (ausgenommen Nutzerinhalte), ist unser Eigentum und durch Urheberrecht, Markenrecht und andere Gesetze zum Schutz geistigen Eigentums geschützt.

7.2 Beschränkte Lizenz

Wir gewähren Ihnen eine beschränkte, nicht-exklusive, nicht übertragbare Lizenz zum Zugriff auf und zur Nutzung des Dienstes für seinen vorgesehenen Zweck, vorbehaltlich dieser Bedingungen.

7.3 Compliance-Artefakte

Sie sind Eigentümer aller Compliance-Artefakte, die vom Dienst basierend auf Ihren Kundendaten generiert werden, einschließlich:

  • Technische Dokumentationsexporte und Compliance-Berichte
  • CRA-Bereitschaftsbewertungen und Checklisten
  • SBOM-Exporte in CycloneDX- oder SPDX-Formaten

Wir behalten keine Eigentumsrechte an Ihren Compliance-Artefakten nach deren Generierung.

7.4 Feedback

Der Kunde kann Vorschläge, Kommentare, Anfragen zur Verbesserung oder sonstiges Feedback zum Dienst einreichen ("Feedback").

Durch die Einreichung von Feedback gewährt der Kunde dem Unternehmen eine vollständig bezahlte, lizenzgebührenfreie, weltweite, unwiderrufliche, unbefristete, übertragbare und unterlizenzierbare Lizenz zur Nutzung, Vervielfältigung, Änderung, Verbreitung und Kommerzialisierung des Feedbacks im Zusammenhang mit dem Dienst und anderen Produkten und Dienstleistungen des Unternehmens.

Das Unternehmen ist nicht verpflichtet, Feedback umzusetzen.

Das Unternehmen behandelt Feedback vertraulich, wenn der Kunde es als solches kennzeichnet.

Der Kunde behält keine geistigen Eigentumsrechte an Funktionen oder Verbesserungen, die das Unternehmen auf Basis des Feedbacks entwickelt, auch wenn diese dem eingereichten Feedback wesentlich ähneln.

8. Gebühren, Zahlung und Abonnementbedingungen

8.1 Abonnementpläne

Der Dienst wird im Rahmen kostenpflichtiger Abonnementpläne (Professional und Enterprise) angeboten, wie auf unserer Preisseite beschrieben. Abonnements sind mit monatlichem oder jährlichem Abrechnungszyklus erhältlich.

Es gibt keinen kostenlosen Tarif. Nach unserem Ermessen kann ein zeitlich begrenzter Testzeitraum angeboten werden. Nach Ablauf des Testzeitraums müssen Sie ein kostenpflichtiges Abonnement abschließen, um den Dienst weiterhin nutzen zu können.

8.2 Zahlungsmethoden

Wir akzeptieren folgende Zahlungsmethoden:

(a) Kredit- oder Debitkarte -- verarbeitet über Stripe. Karten werden zu Beginn jedes Abrechnungszeitraums automatisch belastet. (b) SEPA-Lastschrift -- verfügbar für Kunden mit einem Bankkonto im SEPA-Raum (36 Länder). Ein SEPA-Mandat wird beim Checkout erteilt. Zahlungen werden zu Beginn jedes Abrechnungszeitraums automatisch abgebucht. (c) Banküberweisung -- verfügbar für den Enterprise-Tarif und Konten mit Rechnungsstellung. Zahlungsanweisungen sind auf jeder Rechnung enthalten. Die Mittel müssen bis zum oder am Fälligkeitsdatum eingegangen sein.

Wir können Zahlungsmethoden nach unserem Ermessen hinzufügen oder entfernen. Alle Zahlungen werden von Stripe, Inc. verarbeitet und unterliegen den Nutzungsbedingungen von Stripe.

8.3 Automatische Verlängerung

Ihr Abonnement verlängert sich automatisch am Ende jedes Abrechnungszeitraums (monatlich oder jährlich) für aufeinanderfolgende Zeiträume gleicher Dauer, es sei denn:

(a) Sie kündigen Ihr Abonnement vor dem Verlängerungsdatum gemäß Abschnitt 8.6; oder (b) Wir kündigen Ihr Konto gemäß Abschnitt 13.

Wir senden mindestens fünfzehn (15) Tage vor jedem Verlängerungsdatum eine Erinnerung an die mit Ihrem Konto verknüpfte E-Mail-Adresse, in der das Verlängerungsdatum und der zu berechnende Betrag angegeben sind. Der Nichterhalt einer Erinnerung hat keinen Einfluss auf die automatische Verlängerung Ihres Abonnements.

8.4 Preisgestaltung

(a) Alle Gebühren werden in Euro (EUR) angegeben und verstehen sich zuzüglich anfallender Steuern (MwSt., Umsatzsteuer), sofern nicht anders angegeben. (b) Gebühren werden im Voraus zu Beginn jedes Abrechnungszeitraums über die hinterlegte Zahlungsmethode erhoben. (c) Sie sind für die Aufrechterhaltung einer gültigen Zahlungsmethode verantwortlich. Bei Fehlschlagen Ihrer Zahlungsmethode werden wir erneut versuchen, die Zahlung einzuziehen. Wird die Zahlung nicht innerhalb von vierzehn (14) Tagen erhalten, kann Ihr Konto gemäß Abschnitt 8.7 gesperrt werden. (d) Wir können Abonnementpreise mit mindestens dreißig (30) Tagen schriftlicher Vorankündigung ändern. Preisänderungen treten zum nächsten Verlängerungsdatum in Kraft. Wenn Sie mit einer Preisänderung nicht einverstanden sind, können Sie vor der nächsten Verlängerung kündigen.

8.5 Keine Erstattungen

Alle Gebühren sind nicht erstattungsfähig. Insbesondere gilt:

(a) Monatliche Abonnements: Keine Erstattung für anteilige Monate. Bei Kündigung innerhalb eines laufenden Abrechnungszeitraums behalten Sie den Zugang bis zum Ende des aktuellen Abrechnungszeitraums. (b) Jährliche Abonnements: Keine Erstattung oder anteilige Gutschriften für nicht genutzte Monate. Bei Kündigung während der Laufzeit behalten Sie den Zugang bis zum Ende des jährlichen Abrechnungszeitraums. (c) Downgrades: Für den verbleibenden Zeitraum wird keine Erstattung gewährt. (d) Ausnahmen: Diese Regelung berührt keine gesetzlichen Rechte, die Sie nach anwendbarem Recht haben und die vertraglich nicht ausgeschlossen werden können.

8.6 Kündigung

Sie können Ihr Abonnement jederzeit über Ihre Kontoeinstellungen (Einstellungen > Abrechnung > Abonnement verwalten) oder durch Kontaktaufnahme mit uns unter billing@craevidence.com kündigen.

(a) Die Kündigung wird zum Ende des aktuellen Abrechnungszeitraums wirksam. Für nachfolgende Zeiträume werden keine Gebühren erhoben. (b) Sie behalten den vollständigen Zugang zu den kostenpflichtigen Funktionen bis zum Ende Ihres aktuellen Abrechnungszeitraums. (c) Nach Ablauf wird Ihr Konto gesperrt. Ihre Daten werden für dreißig (30) Tage aufbewahrt. Sie können Ihr Abonnement jederzeit während dieses Zeitraums reaktivieren, um den Zugang wiederzuerlangen; dabei werden alle Gebühren vom ursprünglichen Kündigungsdatum bis zum Reaktivierungsdatum zum geltenden Tarifpreis in Rechnung gestellt. (d) Nach dreißig (30) Tagen ohne aktives Abonnement können wir Ihre Daten dauerhaft löschen. Wir senden mindestens fünfzehn (15) Tage vor der Löschung eine Erinnerung. (e) Wir senden eine Bestätigungs-E-Mail nach der Kündigung.

8.7 Sperrung bei Nichtzahlung

Wenn wir die Zahlung für Ihr Abonnement nicht einziehen können:

(a) Wir benachrichtigen Sie per E-Mail über den Zahlungsausfall. (b) Wir werden die hinterlegte Zahlungsmethode automatisch erneut belasten (in der Regel drei Versuche innerhalb von sieben Tagen). (c) Sie haben ab dem ersten Zahlungsausfall einen Zeitraum von vierzehn (14) Tagen, um Ihre Zahlungsmethode zu aktualisieren oder das Zahlungsproblem zu beheben. (d) Während dieses Zeitraums bleibt Ihr Konto voll funktionsfähig. (e) Wird die Zahlung nicht innerhalb von vierzehn (14) Tagen beglichen, werden wir Ihr Konto sperren. Gesperrte Konten behalten alle Daten, können den Dienst jedoch über die Abrechnungseinstellungen hinaus nicht nutzen. (f) Ihr Konto wird unmittelbar nach erfolgreicher Zahlung reaktiviert. (g) Wird die Zahlung nicht innerhalb von neunzig (90) Tagen nach dem ursprünglichen Zahlungsausfall beglichen, können wir Ihre Daten nach einer dreißig (30) Tage im Voraus erfolgenden Warnung dauerhaft löschen.

8.8 Verzugszinsen (B2B)

Für Konten mit Rechnungsstellung (Enterprise-Tarif) sind nicht fristgerecht gezahlte Beträge mit einem Zinssatz von acht (8) Prozentpunkten über dem Referenzzinssatz der Europäischen Zentralbank zu verzinsen, täglich berechnet ab dem Fälligkeitsdatum bis zur vollständigen Zahlung, gemäß der EU-Richtlinie 2011/7/EU zur Bekämpfung von Zahlungsverzug im Geschäftsverkehr. Darüber hinaus sind wir berechtigt, einen Pauschalbetrag von 40 EUR als Entschädigung für Beitreibungskosten je überfälliger Rechnung zu erheben.

8.9 Abrechnungsstreitigkeiten

(a) Wenn Sie der Ansicht sind, dass eine Abbuchung fehlerhaft ist, müssen Sie uns unter billing@craevidence.com innerhalb von dreißig (30) Tagen nach dem Abbuchungsdatum informieren und eine detaillierte Beschreibung des Streitfalls vorlegen. (b) Bevor Sie eine Zahlungsstreitigkeit mit Ihrer Bank, Ihrem Kreditkartenunternehmen oder Zahlungsanbieter einleiten, verpflichten Sie sich, uns zuerst zu kontaktieren, um eine gütliche Einigung zu versuchen. Wir verpflichten uns, auf Abrechnungsstreitigkeiten innerhalb von fünf (5) Werktagen zu antworten. (c) Rückbuchungen oder Zahlungsstreitigkeiten, die ohne vorherigen schriftlichen Kontakt mit uns eingeleitet werden, können eine Verletzung dieser Vereinbarung darstellen und können zur Sperrung des Kontos sowie zur Erstattung unserer Verwaltungskosten führen. (d) Betrügerische Rückbuchungen (Streitfälle, die nach Erhalt und Nutzung des Dienstes eingereicht werden) können den zuständigen Behörden gemeldet werden.

8.10 Steuern

Sie sind für alle anwendbaren Steuern, Zölle und Abgaben verantwortlich, die von einer Regierungsbehörde erhoben werden, mit Ausnahme von Steuern auf unser Nettoeinkommen. Wenn wir verpflichtet sind, Steuern einzuziehen, werden diese Ihrer Rechnung hinzugefügt. Wenn Sie Anspruch auf eine Steuerbefreiung haben, müssen Sie vor dem Abbuchungsdatum gültige Nachweise vorlegen.

Wenn Sie eine Befreiung von der Umsatzsteuer auf der Grundlage geltend machen, dass Sie ein umsatzsteuerregistriertes Unternehmen in einem anderen EU-Mitgliedstaat sind (Reverse-Charge-Verfahren), müssen Sie vor dem Abbuchungsdatum eine gültige Umsatzsteuer-Identifikationsnummer vorlegen. Sie sind allein verantwortlich für die Richtigkeit der von Ihnen angegebenen Umsatzsteuerinformationen. Wird eine geltend gemachte Befreiung von einer Steuerbehörde für ungültig erklärt -- einschließlich des Falls, dass eine Umsatzsteuer-Identifikationsnummer als ungültig, abgelaufen oder falsch angewandt befunden wird -- fallen etwaige Steuerschulden, Zinsen oder Strafen allein zu Ihren Lasten. Das Unternehmen behält sich das Recht vor, eine korrigierte Rechnung auszustellen und etwaige nicht gezahlte Umsatzsteuer einzufordern.

9. Dienstverfügbarkeit und Sicherheit

Wir bemühen uns um hohe Verfügbarkeit, garantieren jedoch keinen ununterbrochenen Zugang. Wenn der Kunde einen kostenpflichtigen Plan abonniert hat, werden wir uns bemühen, den Dienst gemäß dem unter https://craevidence.com/sla verfügbaren Service-Level-Agreement bereitzustellen. Der Dienst kann nicht verfügbar sein aufgrund von:

  • Geplanten Wartungsarbeiten (mit Vorankündigung, wenn möglich)
  • Notfallwartung oder Sicherheitsupdates
  • Umständen außerhalb unserer angemessenen Kontrolle

9.1 Sicherheitsmaßnahmen

Wir implementieren angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten, einschließlich:

  • Verschlüsselung von Daten während der Übertragung und im Ruhezustand
  • Zugriffskontrollen und Authentifizierungsmechanismen
  • Regelmäßige Sicherheitsbewertungen

9.2 Vorfallbenachrichtigung

Im Falle eines Sicherheitsvorfalls, der Ihre Kundendaten betrifft, werden wir:

  • Sie innerhalb von 72 Stunden nach Kenntniserlangung des Vorfalls benachrichtigen
  • Details über Art und Umfang des Vorfalls bereitstellen
  • Angemessene Schritte zur Minderung der Auswirkungen und Verhinderung eines erneuten Auftretens unternehmen

10. Gewährleistungsausschluss

DER DIENST WIRD "WIE BESEHEN" UND "WIE VERFÜGBAR" OHNE JEGLICHE GARANTIEN, WEDER AUSDRÜCKLICH NOCH STILLSCHWEIGEND, BEREITGESTELLT, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF:

  • GARANTIEN DER MARKTGÄNGIGKEIT
  • EIGNUNG FÜR EINEN BESTIMMTEN ZWECK
  • NICHTVERLETZUNG VON RECHTEN

Wir garantieren nicht, dass:

  • Der Dienst Ihre spezifischen Anforderungen erfüllt
  • Der Dienst ununterbrochen, zeitgerecht, sicher oder fehlerfrei sein wird
  • Die durch die Nutzung des Dienstes erzielten Ergebnisse genau oder zuverlässig sein werden
  • Der Dienst Ihre CRA-Compliance sicherstellt (Sie bleiben für die Compliance verantwortlich)

10.1 SBOM- und Schwachstellendaten

Der Dienst analysiert Software-Stücklisten (SBOMs), die Sie bereitstellen. Sie erkennen an, dass:

  • Wir nicht garantieren, dass unsere Analyse alle Komponenten, Lizenzen oder Abhängigkeiten in Ihrer Software identifiziert.
  • Schwachstelleninformationen aus Drittanbieter-Datenbanken (NVD, GitHub Advisory usw.) stammen und Ungenauigkeiten, Verzögerungen oder Auslassungen enthalten können.
  • Wir die Erkennung aller Schwachstellen ("False Negatives") oder das Fehlen falscher Schwachstellenübereinstimmungen ("False Positives") nicht garantieren.
  • Alle Abhilfemaßnahmen, die Sie basierend auf den Dienstergebnissen ergreifen, in Ihrer alleinigen Verantwortung liegen.

11. Haftungsbeschränkung

SOWEIT GESETZLICH ZULÄSSIG, HAFTEN WIR NICHT FÜR:

  • INDIREKTE, ZUFÄLLIGE, BESONDERE, FOLGE- ODER STRAFSCHÄDEN
  • VERLUST VON GEWINNEN, DATEN, NUTZUNG ODER GESCHÄFTSWERT
  • BETRIEBSUNTERBRECHUNG

UNSERE GESAMTHAFTUNG ÜBERSTEIGT NICHT DEN VON IHNEN FÜR DEN DIENST IN DEN 12 MONATEN VOR DEM ANSPRUCH GEZAHLTEN BETRAG.

11.1 Regulatorische Ausschlüsse

Unbeschadet des Vorstehenden haften wir nicht für:

  • Regulatorische Bußgelder, Strafen oder Sanktionen, die von einer Regierungsbehörde verhängt werden
  • Kosten für Produktrückrufe oder Marktrücknahmen
  • Maßnahmen oder Durchsetzungsmaßnahmen von Marktüberwachungsbehörden
  • Nichterreichung der CRA-Compliance oder Konformitätsbewertungsgenehmigung

11.2 Rückbuchungs- und Streitkosten

Wenn Sie eine Zahlungsstreitigkeit, Rückbuchung oder Zahlungsrückabwicklung einleiten, die zu unseren Gunsten entschieden wird, verpflichten Sie sich, uns zu erstatten für:

(a) Den strittigen Betrag; (b) Alle Gebühren oder Strafen, die uns von Zahlungsabwicklern, Kartennetzwerken oder Finanzinstituten infolge der Streitigkeit auferlegt werden; (c) Angemessene Verwaltungskosten, die bei der Bearbeitung der Streitigkeit entstehen.

11.3 Höhere Gewalt

Keine Partei haftet für das Scheitern oder die Verzögerung der Erfüllung ihrer Verpflichtungen aufgrund von Ereignissen, die außerhalb ihrer zumutbaren Kontrolle liegen, einschließlich, aber nicht beschränkt auf: höhere Gewalt, Naturkatastrophen, Feuer, Überschwemmungen, Erdbeben, Epidemien, Pandemien, Krieg, Terrorismus, zivile Unruhen, Arbeitskonflikte, Regierungsmaßnahmen, Cyberangriffe auf Infrastruktur Dritter oder Ausfälle von Drittanbieter-Dienstleistern (einschließlich Cloud-Infrastrukturanbietern).

Die betroffene Partei muss: (a) die andere Partei unverzüglich schriftlich über das Ereignis höherer Gewalt und dessen voraussichtliche Dauer informieren; und (b) wirtschaftlich vertretbare Anstrengungen unternehmen, die Erfüllung so bald wie möglich wieder aufzunehmen.

Zahlungsverpflichtungen gemäß Abschnitt 8 sind ausdrücklich von diesem Abschnitt ausgenommen. Höhere Gewalt entbindet nicht von der Pflicht zur fristgerechten Zahlung von Gebühren.

Dauert ein Ereignis höherer Gewalt länger als sechzig (60) aufeinanderfolgende Tage an, kann jede Partei das betroffene Bestellformular oder Abonnement durch schriftliche Kündigung beenden, wobei vorausgezahlte, nicht genutzte Gebühren anteilig erstattet werden.

12. Freistellung

12.1 Freistellung durch den Kunden

Sie verpflichten sich, das Unternehmen, seine leitenden Angestellten, Direktoren, Mitarbeiter und Vertreter von allen Ansprüchen, Schäden, Verlusten oder Ausgaben (einschließlich angemessener Anwaltskosten) freizustellen und schadlos zu halten, die entstehen aus:

  • Ihrer Nutzung des Dienstes
  • Ihrer Verletzung dieser Bedingungen
  • Ihrer Verletzung von Rechten Dritter
  • Ihren Nutzerinhalten

Sie verpflichten sich insbesondere, uns von Ansprüchen freizustellen, die entstehen aus:

  • Ungenauen, unvollständigen oder irreführenden SBOM-Daten, die Sie bereitstellen
  • Nichtoffenlegung bekannter Schwachstellen oder Sicherheitsprobleme in Ihren Produkten
  • Ansprüchen Dritter im Zusammenhang mit den Komponenten oder Abhängigkeiten Ihres Produkts

12.2 Freistellung durch das Unternehmen

Das Unternehmen wird den Kunden gegen alle Ansprüche Dritter verteidigen, die geltend machen, dass der Dienst, wie vom Unternehmen bereitgestellt und in Übereinstimmung mit diesen Bedingungen genutzt, unmittelbar Urheber-, Marken-, Patent- oder Geschäftsgeheimnisrechte Dritter nach anwendbarem Recht verletzt. Das Unternehmen zahlt die endgültig gegen den Kunden zugesprochenen Schadensersatzbeträge oder die vom Unternehmen im Vergleichsweg vereinbarten Beträge.

Haftungsobergrenze: Die Gesamthaftung des Unternehmens gemäß diesem Abschnitt übersteigt nicht sechs (6) Monatsbeiträge der vom Kunden in den zwölf (12) Monaten vor dem Anspruch gezahlten Gebühren.

Ausnahmen: Das Unternehmen hat keine Verpflichtungen gemäß diesem Abschnitt, wenn der Anspruch entsteht aus:

(i) Der Änderung des Dienstes durch den Kunden; (ii) Der Verbindung des Dienstes durch den Kunden mit Software, Daten oder Systemen Dritter, die nicht vom Unternehmen bereitgestellt werden; (iii) Open-Source-Komponenten oder Drittanbieter-Datenbanken, die in den Dienst integriert sind (einschließlich NVD, GitHub Advisory, OSV, Grype oder ähnliche); (iv) Vom Kunden hochgeladenen Kundendaten; (v) Der fortgesetzten Nutzung des Dienstes durch den Kunden, nachdem das Unternehmen den Kunden über eine verfügbare Lösung oder eine nicht verletzende Alternative informiert hat.

Abhilfemöglichkeiten: Wenn der Dienst Gegenstand eines Verletzungsanspruchs wird oder voraussichtlich wird, kann das Unternehmen nach eigenem Ermessen: (a) dem Kunden das Recht zur weiteren Nutzung des Dienstes verschaffen; (b) den Dienst so ändern, dass keine Verletzung mehr vorliegt und die gleichwertige Funktionalität erhalten bleibt; oder (c) den betroffenen Dienst kündigen und vorausgezahlte, nicht genutzte Gebühren anteilig erstatten.

Dieser Abschnitt regelt die alleinige und ausschließliche Haftung des Unternehmens und den alleinigen und ausschließlichen Rechtsbehelf des Kunden bei Ansprüchen wegen Verletzung geistiger Eigentumsrechte.

12.3 Freistellungsverfahren

Die Freistellung beantragende Partei muss: (a) die freistellende Partei unverzüglich schriftlich über jeden Anspruch oder jedes Verfahren informieren, für das Freistellung begehrt wird (das Versäumnis einer unverzüglichen Benachrichtigung mindert die Verpflichtungen der freistellenden Partei nur insoweit, als sie durch ein solches Versäumnis wesentlich beeinträchtigt wird); (b) der freistellenden Partei die alleinige Kontrolle über die Verteidigung und Beilegung des Anspruchs übertragen; und (c) auf Kosten der freistellenden Partei angemessene Zusammenarbeit und Unterstützung leisten.

13. Kündigung

13.1 Durch Sie

Sie können Ihr Abonnement jederzeit gemäß Abschnitt 8.6 kündigen. Die Löschung des Kontos (dauerhafte Entfernung aller Daten) kann separat durch Kontaktaufnahme mit privacy@craevidence.com beantragt werden. Die Kontolöschung ist unwiderruflich.

13.2 Durch uns

Wir können Ihr Konto unter folgenden Umständen kündigen:

(a) Wesentlicher Vertragsverstoß mit Heilungsfrist: Bei einem wesentlichen Verstoß gegen diese Bedingungen (mit Ausnahme der in (b) genannten Fälle) werden wir eine schriftliche Mitteilung mit Angabe des Verstoßes übermitteln. Wird der Verstoß nicht innerhalb von dreißig (30) Tagen nach Mitteilung behoben, können wir Ihr Konto sofort kündigen.

(b) Sofortige Kündigung (keine Heilungsfrist): Wir können Ihr Konto sofort und ohne Vorankündigung sperren oder kündigen, wenn Sie: (i) Betrügerische oder illegale Aktivitäten durchführen; (ii) Gegen Abschnitt 4.5 (Nutzungsbeschränkung für Wettbewerber) verstoßen; (iii) Ein Sicherheitsrisiko für den Dienst oder andere Kunden darstellen; (iv) Fällige Gebühren nicht zahlen und die Nichtzahlung nicht innerhalb des in Abschnitt 8.7 festgelegten vierzehntägigen Zeitraums behoben wird.

13.3 Folgen der Kündigung

Nach Kündigung:

  • Wird Ihr Zugang zum Dienst widerrufen
  • Können Sie innerhalb von 30 Tagen nach Kündigung den Export Ihrer Daten anfordern
  • Stellen wir Exporte in Standardformaten (JSON, CSV, CycloneDX, SPDX) bereit
  • Werden Ihre Kundendaten innerhalb von 30 Tagen nach Ablauf der Exportfrist gelöscht
  • Können anonymisierte, aggregierte Daten unbegrenzt für Analysezwecke aufbewahrt werden

Das 30-tägige Datenspeicherungsfenster gilt sowohl für die Beendigung durch Kündigung (Abschnitt 8.6) als auch für die Beendigung durch Kündigung seitens des Unternehmens (Abschnitt 13.2).

13.4 Fortgeltung

Die folgenden Abschnitte bleiben nach Beendigung dieser Vereinbarung in Kraft: Abschnitt 6 (Nutzerinhalte -- Eigentumsbestimmungen), Abschnitt 7 (Geistiges Eigentum), Abschnitt 8.5 (Keine Erstattungen), Abschnitt 8.8 (Verzugszinsen), Abschnitt 8.9 (Abrechnungsstreitigkeiten), Abschnitt 10 (Gewährleistungsausschluss), Abschnitt 11 (Haftungsbeschränkung), Abschnitt 12 (Freistellung), Abschnitt 14 (Anwendbares Recht) sowie dieser Abschnitt 13.4.

14. Anwendbares Recht und Gerichtsstand

Diese Bedingungen unterliegen den Gesetzen Spaniens und werden in Übereinstimmung mit diesen ausgelegt, ohne Berücksichtigung kollisionsrechtlicher Bestimmungen.

Alle Streitigkeiten, die sich aus diesen Bedingungen ergeben, unterliegen der ausschließlichen Zuständigkeit der Juzgados de lo Mercantil von Oviedo, Spanien.

15. Änderungen der Bedingungen

Wir behalten uns das Recht vor, diese Bedingungen jederzeit zu ändern. Wir werden über wesentliche Änderungen informieren durch:

  • Veröffentlichung der aktualisierten Bedingungen im Dienst
  • Senden einer E-Mail an die mit Ihrem Konto verknüpfte Adresse
  • Anzeige eines deutlichen Hinweises auf der Plattform

Ihre fortgesetzte Nutzung des Dienstes nach Inkrafttreten der Änderungen gilt als Annahme der geänderten Bedingungen.

16. Sonstiges

16.1 Gesamte Vereinbarung

Diese Bedingungen bilden zusammen mit der Datenschutzrichtlinie und dem Datenverarbeitungsvertrag (DPA) die gesamte Vereinbarung zwischen Ihnen und uns bezüglich des Dienstes.

16.2 Datenverarbeitung

Für Kunden im Europäischen Wirtschaftsraum ist unser Datenverarbeitungsvertrag (DPA) Teil dieser Bedingungen und regelt unsere Verarbeitung personenbezogener Daten in Ihrem Auftrag. Der DPA enthält EU-Standardvertragsklauseln für internationale Datenübermittlungen. Kontaktieren Sie legal@craevidence.com, um eine Kopie anzufordern.

16.3 Salvatorische Klausel

Sollte eine Bestimmung dieser Bedingungen für nicht durchsetzbar befunden werden, bleiben die übrigen Bestimmungen in vollem Umfang wirksam.

16.4 Verzicht

Unser Versäumnis, eine Bestimmung dieser Bedingungen durchzusetzen, stellt keinen Verzicht auf diese Bestimmung dar.

16.5 Abtretung

Sie dürfen diese Bedingungen nicht ohne unsere vorherige schriftliche Zustimmung abtreten. Wir können diese Bedingungen ohne Einschränkung abtreten.

16.6 Versionsstand und Annahme der Bedingungen

Diese Bedingungen sind versioniert. Die aktuelle Versionskennung und das Datum des Inkrafttretens sind am Ende dieser Seite angegeben. Durch die fortgesetzte Nutzung des Dienstes nach Inkrafttreten einer neuen Version akzeptieren Sie die überarbeiteten Bedingungen. Wir führen ein Archiv früherer Versionen, das auf Anfrage unter legal@craevidence.com erhältlich ist.

Aktuelle Version: 3.0 Datum des Inkrafttretens: 12. April 2026 Vorherige Version: 2.0 (1. Mai 2026)

16.7 Öffentlichkeitsarbeit

Das Unternehmen darf den Firmennamen und das Logo des Kunden verwenden, um den Kunden als Kunden des Dienstes auf der Website des Unternehmens und in allgemeinen Marketingmaterialien zu identifizieren.

Das Unternehmen darf den Namen oder das Logo des Kunden nicht in Pressemitteilungen, Fallstudien, Erfahrungsberichten oder bezahlter Werbung ohne die vorherige schriftliche Zustimmung des Kunden verwenden (E-Mail ist ausreichend).

Der Kunde kann die allgemeine Logo-/Namensnutzung jederzeit durch schriftliche Mitteilung an legal@craevidence.com widerrufen. Das Unternehmen wird den Namen und das Logo des Kunden innerhalb von fünfzehn (15) Werktagen nach Erhalt einer solchen Mitteilung entfernen.

16.8 Antikorruption

Jede Partei erklärt und gewährleistet, dass sie im Zusammenhang mit dieser Vereinbarung keine Bestechungsgelder, Schmiergelder, unzulässige Zahlungen oder andere Vorteile angeboten, versprochen, gewährt oder erhalten hat.

Angemessene und übliche Geschäftsgeschenke und Bewirtung, die bescheiden im Wert sind, offen gewährt werden und dem anwendbaren Recht entsprechen, verstoßen nicht gegen diesen Abschnitt.

Jede Partei verpflichtet sich, alle anwendbaren Antikorruptions- und Antibestechungsgesetze einzuhalten, einschließlich des spanischen Organgesetzes 1/2015 zur Änderung des Strafgesetzbuchs sowie, soweit anwendbar, des britischen Bribery Act 2010 und des US-amerikanischen Foreign Corrupt Practices Act.

Jede Partei wird die andere unverzüglich informieren, sobald sie von einem tatsächlichen oder vermuteten Verstoß gegen diesen Abschnitt Kenntnis erlangt.

17. Kontaktinformationen

Bei Fragen zu diesen Bedingungen kontaktieren Sie uns unter:

Senda Tech Solutions, S.L. Steuernummer: B26914895 C/ Melquiades Álvarez, 20, Piso 4, Puerta 3 33003 Oviedo, Asturias, Spanien E-Mail: legal@craevidence.com

Letzte Aktualisierung: 12. April 2026 Version der Bedingungen: 3.0

Diese Übersetzung dient ausschließlich der Information. Im Falle von Widersprüchen oder Unstimmigkeiten zwischen der englischen Fassung und einer Übersetzung ist die englische Fassung maßgeblich.