Allgemeine Geschäftsbedingungen (AGB)

1. Geltungsbereich und Vertragsgegenstand

1.1 Die VERAX-CHECK Plattform (nachfolgend „Dienst") bietet eine automatisierte Hochleistungs-Validierung von E-Rechnungsformaten (UBL, CII, XRechnung, ZUGFeRD).

1.2 Dieser Dienst richtet sich ausschließlich an Unternehmer (§ 14 BGB) und juristische Personen des öffentlichen Rechts. Ein Vertrag mit Verbrauchern (§ 13 BGB) kommt nicht zustande.

1.3 Vertragspartner und Anbieter des Dienstes ist Jörg Kastowsky, Kempers Häuschen 6, 42109 Wuppertal (nachfolgend „Anbieter"). Der Produktname „VERAX-CHECK" bezeichnet die bereitgestellte Software-Infrastruktur.

1.4 Der Betrieb erfolgt auf zertifizierten Servern am Standort Deutschland (STRATO).

2. Technologie und Performance-Versprechen

2.1 VERAX-CHECK kombiniert proprietäre Logik mit führenden Open-Source-Standards (KoSIT-Prüfmodule, MustangProject unter Apache License 2.0).

2.2 Performance: Durch den Einsatz eines spezialisierten Daemon-Modus wird für die Kernvalidierung (XRechnung via KoSIT) eine technische Antwortzeit von unter 50ms angestrebt. Bei Formaten, die eine erweiterte Verarbeitung erfordern (z. B. ZUGFeRD/Mustang), liegt die Antwortzeit prozessbedingt höher (i. d. R. 1–2 Sekunden). Alle Zeitangaben verstehen sich exklusive Netzwerk-Latenz.

2.3 Die Validierung erfolgt auf Basis der jeweils aktuellsten Spezifikationen des FeRD (z.B. ZUGFeRD 2.x) und der KoSIT (XRechnung).

3. VERAX Guardian Security & "5-Strikes-Regel"

3.1 Zum Schutz der Infrastruktur und der Kundendaten verfügt der Dienst über das proprietäre (eigens entwickelte) Sicherheitssystem VERAX Guardian, das speziell auf die Abwehr von Angriffen gegen E-Rechnungs-Schnittstellen optimiert ist.

3.2 Jede Anfrage wird auf Anomalien geprüft (z.B. XXE-Attacken, Script-Injections, Malformed XML oder unautorisierte Protokollzugriffe auf SSH/Systemebene).

3.3 Bann-Logik: Erkennt das System innerhalb eines Kommunikationszyklus 5 Anomalien ("5-Strikes-Regel") oder einen schweren Verstoß gegen die API-Spezifikation, greift die automatisierte Schutzmaßnahme:

Die IP-Adresse des Absenders wird unmittelbar und ohne Vorwarnung permanent (bzw. bis auf Weiteres für einen Zeitraum von mindestens 365 Tagen) auf Infrastruktur-Ebene gesperrt. Dieser Ausschluss dient der Gefahrenabwehr und dem Schutz der Systemintegrität. Ein Anspruch auf Aufhebung der Sperre besteht nicht.

4. Registrierung und Whitelisting

4.1 Nutzer können API-Keys (z.B. für Widgets oder Backend-Integrationen) erhalten. Diese Keys können an eine spezifische IP-Adresse gebunden und mit einem Nutzungslimit (Rate-Limit) versehen werden.

4.2 Authentifizierte Anfragen ("Whitelisted Keys") überspringen die standardmäßige Sicherheitsprüfung des Guardian, unterliegen jedoch weiterhin dem Monitoring auf missbräuchliche Nutzung.

4.3 Der Nutzer ist für die Geheimhaltung seines Keys verantwortlich. VERAX-CHECK haftet nicht für Schäden durch missbräuchlich verwendete Keys.

5. Datenschutz und "No-Archive"-Garantie

5.1 Flüchtige Verarbeitung: Die Verarbeitung der übertragenen Daten erfolgt ausschließlich in flüchtigen RAM-Laufwerksverzeichnissen (tmpfs). Es findet kein Schreibvorgang auf permanente Datenträger (Festplatten) statt. Die Daten werden unmittelbar nach Abschluss des Vorgangs gelöscht.

5.2 Logging & Abrechnung: Es werden keine Rechnungsinhalte gespeichert. Zur Abrechnung und zum technischen Nachweis werden lediglich die Metadaten (Zeitstempel, Request-ID, Dateiname) sowie ein kryptografischer SHA-256-Hash der Datei protokolliert.

5.3 Der Nutzer ist allein für die gesetzliche Aufbewahrung (Archivierung) seiner Rechnungsbelege nach GoBD verantwortlich.

6. Haftungsausschluss und Fachliche Prüfung

6.1 Keine Steuerberatung: Die Validierungsberichte dokumentieren lediglich den technischen Prüfstatus. Sie ersetzen keine steuerliche oder rechtliche Bewertung (z.B. nach § 14 UStG).

6.2 Inhaltliche Verantwortung: Die Verantwortung für die inhaltliche Richtigkeit (Beträge, Steuersätze, Leistungserbringung) verbleibt vollständig beim Datenlieferanten.

6.3 SHA-256 Bindung: Die Gültigkeit eines Berichts ist technisch strikt an den dokumentierten SHA-256-Hash gebunden. Bei jeglicher Änderung der Datei erlischt die Aussagekraft des Berichts.

6.4 Höhere Gewalt und Sabotage: Der Anbieter haftet nicht für Schäden oder Betriebsausfälle, die durch höhere Gewalt, unvorhersehbare Ereignisse oder Handlungen Dritter verursacht werden, die außerhalb der zumutbaren Kontrolle des Anbieters liegen. Dies umfasst insbesondere Sabotageakte, Cyber-Terrorismus, flächendeckende Stromausfälle, Ausfälle von Internet-Backbones oder technische Defekte bei Infrastruktur-Providern (z.B. STRATO).

6.5 Verfügbarkeit: Es wird eine Verfügbarkeit von 99,9 % im Jahresmittel angestrebt. Davon ausgenommen sind notwendige Wartungsfenster sowie die unter 6.4 genannten Ereignisse. Da die Validierung in Echtzeit erfolgt, begründet ein kurzzeitiger Ausfall keinen Anspruch auf Schadensersatz oder Regress.

6.6 Haftungsdeckel: Soweit gesetzlich zulässig, ist die Haftung des Anbieters bei leichter Fahrlässigkeit auf den typischerweise vorhersehbaren Schaden, maximal jedoch auf die Höhe der vom Kunden in den letzten 12 Monaten gezahlten Vergütung begrenzt.

7. Schlussbestimmungen

7.1 Es gilt das Recht der Bundesrepublik Deutschland. Erfüllungsort und ausschließlicher Gerichtsstand für alle Streitigkeiten ist Wuppertal, sofern der Kunde Kaufmann im Sinne des HGB ist.

7.2 Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Stand: Februar 2026