Allgemeine Geschäftsbedingungen (AGB)
Stand: Februar 2026
§ 1 Geltungsbereich
(1) Diese Allgemeinen Geschäftsbedingungen (nachfolgend "AGB") gelten für die Nutzung des SaaS-Dienstes SecretExpiry (nachfolgend "Dienst"), betrieben von der SSIG-IT GmbH, Zum weißen Jura 3, 89143 Blaubeuren (nachfolgend "Anbieter").
(2) Der Dienst richtet sich ausschließlich an Unternehmer im Sinne von § 14 BGB (B2B). Die Nutzung als Verbraucher im Sinne von § 13 BGB ist nicht vorgesehen.
(3) Abweichende, entgegenstehende oder ergänzende Geschäftsbedingungen des Kunden werden nur dann Vertragsbestandteil, wenn der Anbieter ihrer Geltung ausdrücklich schriftlich zugestimmt hat.
§ 2 Leistungsbeschreibung
(1) SecretExpiry ist ein webbasierter Monitoring-Dienst, der Microsoft-Entra-App-Registrierungen (Azure Active Directory) überwacht und den Kunden per E-Mail über ablaufende Client Secrets und Zertifikate informiert.
(2) Der Leistungsumfang umfasst insbesondere:
- Automatische Synchronisierung von App-Registrierungsmetadaten über die Microsoft Graph API (Application.Read.All)
- E-Mail-Benachrichtigungen bei bevorstehenden Ablaufdaten (konfigurierbar: 90, 30, 14, 7, 1 Tage vorher)
- Dashboard zur zentralen Übersicht aller überwachten Tenants und Secrets
- Multi-Tenant-Management für Managed Service Provider (MSPs)
(3) Zero-Knowledge-Architektur: Der Dienst liest ausschließlich Metadaten (Anzeigename, Ablaufdatum, Typ). Echte Secret-Werte, Passwörter oder private Schlüssel werden zu keinem Zeitpunkt abgerufen, übertragen oder gespeichert.
(4) Der Anbieter bemüht sich um eine Verfügbarkeit des Dienstes von 99,5 % im Jahresmittel, berechnet auf Basis der monatlichen Betriebszeit. Geplante Wartungsarbeiten werden nach Möglichkeit vorab angekündigt und zählen nicht als Ausfallzeit.
§ 3 Vertragsschluss & Registrierung
(1) Die Registrierung erfolgt über die Eingabe einer geschäftlichen E-Mail-Adresse und Authentifizierung per Magic Link. Mit der Registrierung gibt der Kunde ein Angebot auf Abschluss eines Nutzungsvertrages ab.
(2) Der Vertrag kommt mit der Aktivierung des Benutzerkontos durch den Anbieter zustande.
(3) Der Kunde versichert, dass er berechtigt ist, den Vertrag für sein Unternehmen abzuschließen, und dass die angegebene E-Mail-Adresse eine geschäftliche Adresse ist.
§ 4 Preise & Abrechnung
(1) Die Nutzung des Dienstes ist kostenpflichtig. Die aktuellen Preise ergeben sich aus der zum Zeitpunkt des Vertragsschlusses gültigen Preisliste auf der Website.
(2) Die Abrechnung erfolgt pro verbundenem Microsoft-Tenant nach folgender Staffelung:
| Anzahl Tenants | Preis pro Tenant / Monat |
|---|---|
| 1 – 10 | 10,00 € |
| 11 – 20 | 9,00 € |
| 21 – 40 | 8,00 € |
| 41 – 60 | 7,00 € |
| 61 – 100 | 6,00 € |
| Ab 101 | Individuelles Angebot |
(3) Bei jährlicher Abrechnung gewährt der Anbieter einen Rabatt von 20 % auf den monatlichen Preis.
(4) Alle Preise verstehen sich zuzüglich der gesetzlichen Umsatzsteuer.
(5) Die Zahlung erfolgt per Kreditkarte oder SEPA-Lastschrift über den Zahlungsdienstleister Stripe. Der Kunde ist verpflichtet, gültige Zahlungsinformationen zu hinterlegen.
§ 5 Zahlungsverzug & Kulanzfrist
(1) Bei fehlgeschlagener Zahlung erhält der Kunde eine Kulanzfrist von 7 Tagen, in denen der Dienst weiterhin verfügbar bleibt.
(2) Nach Ablauf der Kulanzfrist wird der Zugang zum Dienst eingeschränkt, bis die ausstehende Zahlung beglichen ist. Bestehende Daten werden nicht gelöscht.
(3) Der Anbieter behält sich vor, bei Zahlungsverzug von mehr als 30 Tagen das Vertragsverhältnis außerordentlich zu kündigen.
§ 6 Vertragslaufzeit & Kündigung
(1) Bei monatlicher Abrechnung kann der Vertrag jederzeit zum Ende des laufenden Abrechnungszeitraums gekündigt werden.
(2) Bei jährlicher Abrechnung verlängert sich der Vertrag automatisch um ein weiteres Jahr, sofern er nicht spätestens 14 Tage vor Ablauf der Laufzeit gekündigt wird.
(3) Die Kündigung kann über das Dashboard (Einstellungen → Abonnement) oder per E-Mail an info@secretexpiry.com erfolgen.
(4) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
(5) Nach Kündigung und Ablauf des Abrechnungszeitraums wird der Zugang zum Dienst gesperrt. Der Kunde kann seine Daten innerhalb von 30 Tagen nach Vertragsende exportieren. Danach werden alle Daten unwiderruflich gelöscht.
§ 7 Pflichten des Kunden
Der Kunde verpflichtet sich:
- Nur gültige geschäftliche E-Mail-Adressen für die Registrierung und Benachrichtigungen zu verwenden.
- Zugangsdaten vertraulich zu behandeln und unbefugten Zugriff auf sein Konto unverzüglich zu melden.
- Die erforderlichen Microsoft-Entra-Berechtigungen (Admin Consent für Application.Read.All) ordnungsgemäß zu erteilen.
- Den Dienst nicht missbräuchlich zu nutzen, insbesondere nicht durch automatisierte Massenabfragen, Reverse Engineering oder den Versuch, Sicherheitsmechanismen zu umgehen.
- Sicherzustellen, dass die Nutzung des Dienstes den geltenden Datenschutzvorschriften im Verhältnis zu seinen eigenen Kunden entspricht.
§ 8 Microsoft-Entra-Integration
(1) Die Verbindung von Microsoft-Entra-Tenants erfordert die Erteilung eines Admin Consent durch einen autorisierten Administrator des jeweiligen Tenants.
(2) Der Kunde bestätigt, dass er die erforderliche Berechtigung besitzt, den Admin Consent für die verbundenen Tenants zu erteilen – insbesondere bei Kunden-Tenants im Rahmen eines Managed-Service-Vertrages.
(3) Der Anbieter haftet nicht für die Richtigkeit, Vollständigkeit oder Aktualität der von Microsoft bereitgestellten Metadaten.
(4) Bei Änderungen oder Widerruf der API-Berechtigungen durch Microsoft oder den Tenant-Administrator wird die Synchronisierung automatisch deaktiviert. Der Anbieter informiert den Kunden per E-Mail.
§ 9 Haftung
(1) Der Anbieter haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie für Vorsatz und grobe Fahrlässigkeit.
(2) Bei leichter Fahrlässigkeit haftet der Anbieter nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten). Die Haftung ist in diesem Fall auf den vorhersehbaren, vertragstypischen Schaden begrenzt.
(3) Der Anbieter haftet insbesondere nicht für:
- Secrets oder Zertifikate, die bereits vor Beginn der Überwachung abgelaufen sind
- Nicht oder verspätet zugestellte E-Mail-Benachrichtigungen aufgrund von Problemen beim E-Mail-Provider des Kunden
- Änderungen an der Microsoft Graph API, die zu einer eingeschränkten oder unterbrochenen Datenabfrage führen
- Datenverlust beim Kunden, soweit dieser keine angemessene Datensicherung betrieben hat
- Ausfälle oder Leistungseinschränkungen der eingesetzten Infrastruktur-Drittanbieter (Vercel, Supabase, Stripe)
(4) Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt.
§ 10 Datenschutz
(1) Der Anbieter verarbeitet personenbezogene Daten des Kunden ausschließlich gemäß der Datenschutzerklärung und im Einklang mit der DSGVO.
(2) Soweit der Anbieter im Auftrag des Kunden personenbezogene Daten von dessen Endkunden verarbeitet (z. B. Tenant-Metadaten von Kunden-Tenants), schließen die Parteien auf Anfrage einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Der Kunde kann diesen per E-Mail an datenschutz@secretexpiry.com anfordern.
(3) Der Anbieter implementiert angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten (TLS, RLS, Verschlüsselung, Rate Limiting, CSP).
§ 11 Geistiges Eigentum
(1) Alle Rechte an der Software, dem Design und den Inhalten des Dienstes verbleiben beim Anbieter. Der Kunde erhält ein einfaches, nicht übertragbares Nutzungsrecht für die Dauer des Vertragsverhältnisses.
(2) Alle vom Kunden eingebrachten Daten (Tenant-Konfigurationen, Benachrichtigungseinstellungen) verbleiben im Eigentum des Kunden.
§ 12 Änderungen der AGB
(1) Der Anbieter behält sich vor, diese AGB mit einer Ankündigungsfrist von mindestens 30 Tagen zu ändern. Die Änderungen werden dem Kunden per E-Mail mitgeteilt.
(2) Widerspricht der Kunde den Änderungen nicht innerhalb von 30 Tagen nach Zugang der Änderungsmitteilung, gelten die geänderten AGB als angenommen. Der Anbieter weist den Kunden in der Änderungsmitteilung gesondert auf die Widerspruchsmöglichkeit und deren Rechtsfolgen hin.
(3) Widerspricht der Kunde, gilt der Vertrag zu den bisherigen Bedingungen fort. Der Anbieter kann den Vertrag in diesem Fall zum nächsten regulären Kündigungstermin ordentlich kündigen.
§ 13 Schlussbestimmungen
(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).
(2) Gerichtsstand für alle Streitigkeiten aus diesem Vertragsverhältnis ist der Sitz des Anbieters, sofern der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.
(3) Sollten einzelne Bestimmungen dieser AGB unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
(4) Nebenabreden, Änderungen und Ergänzungen bedürfen der Textform (E-Mail genügt).