SYAGA AuditMicrosoft 365 Edition
Startseite Funktionen Sicherheit So funktioniert's Preise
Anmelden Meine kostenlose Diagnose starten

Allgemeine Geschäfts- und Servicebedingungen -- SYAGA Audit

Datum des Inkrafttretens: 25. Juni 2026


Artikel 1 -- Angaben zum Anbieter

Der Dienst SYAGA Audit (erreichbar unter syaga.eu) wird herausgegeben und betrieben von:

SYAGA CONSULTING, Gesellschaft mit beschränkter Haftung (SARL) mit einem Stammkapital von 20 000 Euro, eingetragen im Handels- und Gesellschaftsregister von Aix-en-Provence unter der SIREN-Nummer 518 489 471, gegründet am 08/12/2009.

Innergemeinschaftliche USt-IdNr.: FR93 518489471.

Sitz der Gesellschaft: 2 Impasse Paul Langevin, 13110 Port-de-Bouc.

Geschäftsführer: Sébastien Questier.

Kontakt: contact@syaga.fr.

Nachfolgend bezeichnet als der Anbieter oder der Dienstleister. Der gewerbliche Kunde, der den Dienst abonniert, wird als der Kunde bezeichnet. Der Anbieter und der Kunde werden gemeinsam als die Parteien bezeichnet.


Artikel 2 -- Gegenstand und Anwendungsbereich

Diese Allgemeinen Geschäfts- und Servicebedingungen (AGB) legen die Bedingungen fest, unter denen der Anbieter dem Kunden Zugang zum Dienst SYAGA Audit und die damit verbundenen Leistungen bereitstellt.

Die AGB gelten für jede vom Kunden erteilte Bestellung und haben Vorrang vor allen anderen Dokumenten, mit Ausnahme zwischen den Parteien unterzeichneter Sondervereinbarungen (die bei Widerspruch zu diesen AGB Vorrang haben). Der Dienst richtet sich ausschließlich an gewerbliche Kunden, die im Rahmen ihrer Geschäftstätigkeit handeln (B2B-Beziehung); er wird Verbrauchern im Sinne des französischen Verbrauchergesetzbuchs (Code de la consommation) nicht angeboten.

Das Abonnement des Dienstes, in welcher Form auch immer (Online-Formular, elektronische Zustimmung, Zahlung), bewirkt die vollständige und uneingeschränkte Annahme dieser AGB.


Artikel 3 -- Begriffsbestimmungen

  • Dienst: die online zugängliche Plattform SYAGA Audit, die den Compliance- und Sicherheitsaudit einer Microsoft-365-Umgebung im Nur-Lese-Modus ermöglicht.
  • Tenant: die Microsoft-365-Umgebung des Kunden in ihrer bei Microsoft konfigurierten Form.
  • Auditbericht: das strukturierte Dokument, das der Dienst nach der Analyse des Tenants erstellt.
  • Kostenloses Angebot (Kostenloser Score): eingeschränkter und unverbindlicher Zugang, der einen indikativen Compliance-Score ohne vollständigen Detailbericht und ohne Zugang zu den Pro-Funktionen ermöglicht.
  • Pro-Angebot: vollständiger Zugang zum Dienst, einschließlich des Detailberichts, der Exporte und der erweiterten Funktionen, gegen Zahlung gemäß Artikel 5.
  • Microsoft OAuth: das Standard-Autorisierungsprotokoll, das es dem Dienst ermöglicht, im Nur-Lese-Modus und mit Zustimmung des Kunden über die Microsoft-APIs (Microsoft Graph) auf die Konfigurationsdaten des Tenants zuzugreifen.
  • Flüchtige Architektur: Der Audit wird im Arbeitsspeicher in einem verwerfbaren Scan-Container ausgeführt (ohne Speicherung auf Datenträger). Der Bericht wird dem Kunden einmalig übergeben, anschließend werden die Scan-Rohdaten (Findings, Zugriffstoken) gelöscht. Das Microsoft-Zugriffstoken wird im Ruhezustand verschlüsselt (Fernet) und nach Abschluss des Audits niemals aufbewahrt. Maximale Sicherheits-TTL: 2 Stunden.

Artikel 4 -- Beschreibung des Dienstes SYAGA Audit

SYAGA Audit ist ein Dienst zum Sicherheits- und Compliance-Audit von Microsoft-365-Umgebungen, der im Nur-Lese-Modus durchgeführt wird. Der Dienst nimmt keinerlei Änderungen an der Konfiguration, den Daten oder den Einstellungen des Tenants des Kunden vor.

Der Dienst umfasst:

  • die Erfassung von Konfigurations- und Sicherheitslagedaten des Tenants im Nur-Lese-Modus über die vom Kunden per Microsoft-OAuth-Ablauf autorisierten Microsoft-APIs;
  • die Analyse dieser Daten anhand öffentlicher Referenzrahmen für bewährte Praktiken (insbesondere, beispielhaft und nicht abschließend: Empfehlungen des BSI, Grundsätze der Verordnung (EU) 2016/679 DSGVO, Anforderungen der Richtlinie (EU) 2022/2555 NIS2);
  • die Bereitstellung eines online zugänglichen Auditberichts an den Kunden, ergänzt durch Exporte gemäß dem abonnierten Angebot.

Der Dienst arbeitet nach einer flüchtigen Architektur: Nach der Auslieferung des Berichts werden serverseitig keine Konfigurationsdaten des Tenants aufbewahrt. Es werden ausschließlich die Rechnungsdaten des Kunden aufbewahrt (siehe Artikel 11).

4.1 Kostenloses Angebot (Kostenloser Score)

Der Anbieter stellt einen kostenlosen Zugang bereit, der einen indikativen Compliance-Score über einen begrenzten Umfang von Kontrollen ermöglicht. Dieser Zugang wird ohne Zusicherung eines Service-Levels bereitgestellt und kann vom Anbieter jederzeit ohne Vorankündigung und ohne Entschädigung geändert oder eingestellt werden. Er führt nicht zur Ausstellung einer Rechnung.

4.2 Pro-Angebot

Das Pro-Angebot gewährt gegen die in Artikel 5 vorgesehene Zahlung Zugang zum vollständigen Auditbericht, zu den Exporten, zu den detaillierten Empfehlungen und zu den auf der Website syaga.eu beschriebenen erweiterten Funktionen.

Der genaue Umfang der Prüfungen und die abgedeckten Referenzrahmen sind in der Dokumentation des Dienstes beschrieben. Die Abdeckung der Kontrollen wird nicht als abschließend zugesichert (siehe Artikel 10).

4.3 Nutzungsbeschränkungen

Der Anbieter wendet eine Obergrenze von 2 Audits pro Tag und pro Tenant zum Schutz vor Missbrauch und technischer Überlastung an. Jeder Versuch, diese Grenze zu umgehen, stellt einen Verstoß gegen diese AGB dar.


Artikel 5 -- Preis, USt. und Zahlung

5.1 Preis des Pro-Angebots. Der Preis des Pro-Angebots beträgt 499 Euro netto (ohne Steuern) pro Audit (einmalige Zahlung). Dieser Preis wird auf der Website syaga.eu netto angezeigt.

5.2 USt. Die Mehrwertsteuer (USt.) in Höhe von 20 % wird für in Frankreich ansässige Kunden zum Nettopreis hinzugerechnet, wodurch sich der Bruttopreis auf 598,80 Euro brutto beläuft. Für in einem anderen Mitgliedstaat der Europäischen Union ansässige umsatzsteuerpflichtige Kunden kann das Reverse-Charge-Verfahren zur Anwendung kommen. Die USt. wird gemäß den geltenden Vorschriften angewandt: 20 % in Frankreich, Reverse-Charge für in der Europäischen Union ansässige Unternehmer mit einer gültigen USt-IdNr.

5.3 Zahlungsweise. Die Zahlung erfolgt per Kreditkarte über den sicheren Zahlungsdienstleister Stripe zum Zeitpunkt der Bestellung (Sofortzahlung). Die Zahlungsdaten werden direkt von Stripe verarbeitet; der Anbieter bewahrt die Bankverbindung des Kunden nicht auf. Nach Zahlungseingang wird eine Rechnung ausgestellt und dem Kunden übermittelt.

5.4 Preisänderung. Der Anbieter behält sich das Recht vor, seine Preise zu ändern. Jede Änderung wird dem Kunden vor ihrem Inkrafttreten mitgeteilt. Sie hat keine Auswirkung auf bereits bezahlte Bestellungen.

5.5 Verzugszinsen (B2B). Gemäß den Artikeln L. 441-10 ff. des französischen Handelsgesetzbuchs (Code de commerce) führt jeder Zahlungsverzug zwischen Unternehmern von Rechts wegen zur Anwendung von Verzugszinsen zum geltenden gesetzlichen Satz sowie zur gesetzlichen Pauschalentschädigung für Beitreibungskosten in Höhe von 40 Euro.


Artikel 6 -- Zugang zum Dienst und Microsoft-OAuth-Anmeldung

Der Zugang zum Dienst setzt voraus, dass der Kunde über eine aktive Microsoft-365-Umgebung verfügt und über den standardmäßigen Microsoft-OAuth-Ablauf der Erteilung der für den Audit erforderlichen Berechtigungen nach dem Prinzip der geringsten Rechte zustimmt (die engsten von Microsoft für den jeweiligen Umfang angebotenen Berechtigungen). Diese Zustimmung ist jederzeit über das Azure-Active-Directory-/Entra-ID-Portal des Kunden widerruflich.

Der Anbieter speichert weder die Microsoft-Zugangsdaten des Kunden noch dessen Passwort. Das von Microsoft bereitgestellte OAuth-Zugriffstoken wird im Ruhezustand verschlüsselt (Fernet) und ausschließlich für die Dauer des Audits verwendet. Es wird bei der Auslieferung des Berichts gelöscht. Der Kunde ist für die von ihm erteilten Berechtigungen verantwortlich und kann sie jederzeit widerrufen.


Artikel 7 -- Lieferung

Die Liefergegenstände des Dienstes SYAGA Audit sind:

  • ein online auf der Plattform des Anbieters zugänglicher Auditbericht;
  • Exporte des Berichts in den je nach abonniertem Angebot verfügbaren Formaten.

Die Lieferung gilt mit der Online-Bereitstellung des Berichts an den Kunden als erfolgt. Die Fristen für die Durchführung des Audits sind Richtwerte und hängen insbesondere von der Verfügbarkeit der vom Kunden bereitgestellten Zugänge und der Auslastung der Systeme ab.


Artikel 8 -- Laufzeit und Kündigung

8.1 Einmalige Leistung (Pro-Angebot, einmalige Zahlung). Die Leistung endet mit der Auslieferung des Berichts und dem Ablauf des mit dem durchgeführten Audit verbundenen Zugangszeitraums, ohne weitere Formalität.

8.2 Kündigung wegen Pflichtverletzung. Im Falle einer schwerwiegenden Pflichtverletzung einer der Parteien, die nicht innerhalb von dreißig (30) Kalendertagen nach erfolgloser Mahnung behoben wird, kann die andere Partei von Rechts wegen kündigen, unbeschadet etwaiger Schadensersatzansprüche.

8.3 Wirkungen der Vertragsbeendigung. Bei Vertragsende wird der Zugang zum Dienst ausgesetzt. Der Verbleib der Daten des Kunden richtet sich nach dem AVV, verfügbar unter dpa.html.


Artikel 9 -- Pflichten der Parteien

9.1 Pflichten des Anbieters. Der Anbieter verpflichtet sich, den Dienst sorgfältig, nach den Regeln der Technik und im Nur-Lese-Modus zu erbringen und geeignete technische und organisatorische Maßnahmen zur Sicherheit der verarbeiteten Daten gemäß Artikel 32 DSGVO umzusetzen.

9.2 Pflichten des Kunden. Der Kunde verpflichtet sich:

  • die für die Durchführung des Audits erforderlichen Zugänge und Berechtigungen bereitzustellen und über die rechtliche Befugnis zu verfügen, sie zu erteilen;
  • die Richtigkeit der übermittelten Informationen zu gewährleisten;
  • den Dienst bestimmungsgemäß und im Einklang mit den geltenden Vorschriften zu nutzen;
  • die Sicherheit oder Integrität des Dienstes nicht zu beeinträchtigen.

Der Kunde bleibt allein verantwortlich für die tatsächliche Umsetzung der aus dem Auditbericht hervorgehenden Empfehlungen.


Artikel 10 -- Haftung und Haftungsbeschränkungen

10.1 Art der Leistung. Der Dienst SYAGA Audit ist eine Hilfe zur Bewertung und Dokumentation der Sicherheits- und Compliance-Lage des Kunden. Er stellt weder eine Zusicherung der regulatorischen Konformität noch eine Zusicherung absoluter Sicherheit der Microsoft-365-Umgebung des Kunden dar. Der Bericht gibt einen zu einem bestimmten Zeitpunkt festgestellten Zustand auf Grundlage der im Nur-Lese-Modus zugänglichen Daten wieder. Er ersetzt weder eine individuelle rechtliche Prüfung noch eine Zertifizierung oder eine Zulassung.

10.2 Bemühenspflicht. Der Anbieter unterliegt einer Bemühenspflicht (obligation de moyens). Er kann nicht für die Folgen einer Sicherheitslücke, einer Nichtkonformität, eines Vorfalls oder eines Schadensereignisses haftbar gemacht werden, das die Umgebung des Kunden betrifft.

10.3 Haftungsbeschränkung. In den zwischen Unternehmern nach geltendem Recht zulässigen Grenzen ist die Gesamthaftung des Anbieters auf den Betrag der Beträge beschränkt, die der Kunde für die betreffende Leistung während der zwölf (12) Monate vor dem schadensauslösenden Ereignis tatsächlich gezahlt hat. Der Anbieter haftet nicht für mittelbare Schäden (Betriebsausfall, Datenverlust, Umsatzverlust, Rufschädigung). Diese Klausel gilt zwischen Unternehmern vorbehaltlich der geltenden zwingenden Vorschriften.

10.4 Verfügbarkeit. Der Anbieter bemüht sich, die Verfügbarkeit des Dienstes sicherzustellen. Mangels eines gesonderten SLA-Anhangs wird keine bezifferte Verfügbarkeitszusage garantiert, und der Dienst wird im Ist-Zustand vorbehaltlich der zwingenden gesetzlichen Pflichten bereitgestellt.

10.5 Höhere Gewalt. Keine der Parteien kann für eine Pflichtverletzung haftbar gemacht werden, die auf einen Fall höherer Gewalt im Sinne von Artikel 1218 des französischen Zivilgesetzbuchs (Code civil) zurückzuführen ist.


Artikel 11 -- Schutz personenbezogener Daten

Die Verarbeitung personenbezogener Daten erfolgt gemäß der Verordnung (EU) 2016/679 (DSGVO) und dem geänderten französischen Gesetz Nr. 78-17 vom 6. Januar 1978.

11.1 Rollen. Für die während des Audits im Tenant des Kunden erfassten Daten handelt der Anbieter als Auftragsverarbeiter des Kunden (Verantwortlicher) im Sinne von Artikel 28 DSGVO. Ein Auftragsverarbeitungsvertrag (AVV), der diese Auftragsverarbeitung regelt, ist unter dpa.html verfügbar und gilt als vom Kunden gleichzeitig mit diesen AGB angenommen.

11.2 Konto- und Rechnungsdaten. Für die direkt beim Kunden erhobenen Daten (Identität, E-Mail, Rechnungsstellung) handelt der Anbieter als Verantwortlicher gemäß seiner Datenschutzerklärung, verfügbar unter confidentialite.html.

11.3 Flüchtige Architektur. Die Konfigurationsdaten des Tenants (Findings, Zugriffstoken) werden bei der Auslieferung des Berichts gelöscht. Es werden ausschließlich die für die Rechnungsstellung zwingend erforderlichen Daten gemäß den gesetzlichen Pflichten aufbewahrt.

11.4 Cookies. Die Website syaga.eu verwendet ausschließlich Cookies, die für den Betrieb des Dienstes zwingend erforderlich sind (Anti-Bot-Sicherheit, Sitzung). Es werden keine Werbe- oder Analyse-Cookies Dritter gesetzt. Diese Cookies sind gemäß den Leitlinien des BfDI von der vorherigen Einwilligung ausgenommen.

11.5 Hosting. Die Daten werden in Frankreich auf der für den Anbieter (SYAGA CONSULTING) betriebenen OVH-Infrastruktur (Frankreich) gehostet.


Artikel 12 -- Geistiges Eigentum

Die Plattform SYAGA Audit, ihre Softwarekomponenten, ihre Analyse- und Audit-Engine, ihre Dokumentation, ihre Methoden, ihre Marken und ihre Inhalte bleiben ausschließliches Eigentum des Anbieters. Keine Bestimmung der AGB bewirkt eine Übertragung von Rechten des geistigen Eigentums zugunsten des Kunden.

Der Kunde erhält ein persönliches, nicht ausschließliches und nicht übertragbares Nutzungsrecht am Dienst und an den Berichten für seine internen Zwecke während der Vertragslaufzeit. Die Exporte des Berichts dürfen vom Kunden nach Abschluss der Leistung für seine eigenen internen Dokumentationszwecke aufbewahrt werden. Die Daten des Kunden (Daten seines Tenants) bleiben sein Eigentum.


Artikel 13 -- Widerrufsrecht (B2B)

Da der Dienst ausschließlich für gewerbliche Kunden bestimmt ist, die im Rahmen ihrer Geschäftstätigkeit handeln (B2B-Beziehung), findet das im französischen Verbrauchergesetzbuch (Code de la consommation) zugunsten von Verbrauchern vorgesehene Widerrufsrecht keine Anwendung.

Da der Kunde als Unternehmer handelt, finden die Verbraucherschutzbestimmungen, einschließlich Artikel L.221-3 des französischen Verbrauchergesetzbuchs (Code de la consommation), keine Anwendung.

Funktionsgarantie (erneute Ausführung, ausnahmsweise Erstattung). SYAGA Consulting verpflichtet sich, innerhalb der angekündigten Frist einen funktionsfähigen Audit und einen verwertbaren Bericht zu liefern. Im Falle von Schwierigkeiten informiert der Kunde SYAGA Consulting innerhalb von vierzehn (14) Tagen per E-Mail an contact@syaga.fr; SYAGA Consulting nimmt vorrangig die erneute Ausführung des Audits und die erforderliche Unterstützung bis zur Lieferung eines konformen Berichts vor. Eine Erstattung erfolgt nur ausnahmsweise und ausschließlich dann, wenn durch greifbare Anhaltspunkte objektiv nachgewiesen ist, dass entweder (i) die Datenerfassung oder die Erstellung eines verwertbaren Berichts unmöglich ist (zum Beispiel eine Änderung der Microsoft-Schnittstellen (API), die die Erfassung verhindert und zu einem inhaltsleeren Bericht führt), oder (ii) der Bericht nicht innerhalb einer im Verhältnis zur angekündigten Frist offensichtlich unverhältnismäßigen Frist geliefert werden konnte (der Audit, der normalerweise in einigen Dutzend Minuten durchgeführt wird, kommt nach einer unangemessenen Frist nicht zustande). Außerhalb dieser objektiv nachgewiesenen Fälle ist, da die Leistung erbracht und der Bericht geliefert wurde, keine Erstattung geschuldet; ein bloßer Meinungswandel oder die Nichtnutzung des Berichts stellen keinen Grund dar.

Da das Pro-Angebot eine einmalige Zahlung für eine einmalige Leistung darstellt, ist nach Erstellung des Berichts keine Erstattung geschuldet.


Artikel 14 -- Vertraulichkeit

Jede Partei verpflichtet sich, die im Rahmen des Vertrags ausgetauschten nicht öffentlichen Informationen während dessen Laufzeit und für einen Zeitraum von drei (3) Jahren nach dessen Ende vertraulich zu behandeln, mit Ausnahme von Informationen, die ohne Verschulden der empfangenden Partei öffentlich geworden sind.


Artikel 15 -- Anwendbares Recht und Gerichtsstand

Diese AGB unterliegen dem französischen Recht.

Im Streitfall und mangels vorheriger gütlicher Beilegung innerhalb von dreißig (30) Tagen ab der Mitteilung der Streitigkeit sind ausschließlich die Gerichte im Bezirk von Aix-en-Provence zuständig, vorbehaltlich der auf grenzüberschreitende Streitigkeiten anwendbaren zwingenden Vorschriften.


Artikel 16 -- Sonstige Bestimmungen

Sollte eine Bestimmung der AGB von einem zuständigen Gericht für nichtig oder unanwendbar erklärt werden, bleiben die übrigen Bestimmungen in Kraft. Die Duldung einer Pflichtverletzung der anderen Partei durch eine Partei gilt nicht als Verzicht auf ihre Rechte. Die AGB stellen die gesamte Vereinbarung zwischen den Parteien über ihren Gegenstand dar und ersetzen jede frühere Vereinbarung.


Rechtliche Verweise

  • Verordnung (EU) 2016/679 (DSGVO), Artikel 13, 14, 28, 32: EUR-Lex CELEX:32016R0679
  • Geändertes französisches Gesetz Nr. 78-17 vom 6. Januar 1978 (Informatique et Libertés): Légifrance
  • Französisches Handelsgesetzbuch (Code de commerce), Art. L.441-10 ff. (Verzugszinsen B2B): Légifrance
  • Französisches Zivilgesetzbuch (Code civil), Art. 1218 (höhere Gewalt)
  • BfDI, Leitlinien zu Cookies: cnil.fr
SYAGA Audit
Sicherheit Datenschutz AGB AVV Impressum © 2026 SYAGA