Allgemeine Geschäftsbedingungen (AGB)

der KernelScan UG (haftungsbeschränkt) · Stand: 28. Mai 2026 · Version 1.0

Maßgeblich ist diese deutsche Fassung. Eine englische Übersetzung steht zur Information bereit; bei Abweichungen gilt die deutsche Fassung.

§ 1 Geltungsbereich, Vertragspartner, Begriffsbestimmungen

(1) Diese Allgemeinen Geschäftsbedingungen („AGB“) gelten für sämtliche Verträge zwischen der

KernelScan UG (haftungsbeschränkt)
Silcherstraße 25
72631 Aichtal, Deutschland
Registergericht: Amtsgericht Stuttgart, HRB 805753
Geschäftsführer: Steffen Pfendtner
USt‑IdNr.: wird nachgereicht
E‑Mail: info@kernelscan.io

(im Folgenden „KernelScan“ oder „Anbieter“) und ihren Kunden über die Nutzung der unter kernelscan.io und zugehörigen Subdomains bereitgestellten Dienste.

(2) Abweichende, entgegenstehende oder ergänzende Geschäftsbedingungen des Kunden werden nicht Vertragsbestandteil, es sei denn, KernelScan stimmt ihrer Geltung ausdrücklich in Textform zu.

(3) Im Sinne dieser AGB ist

Verbraucher eine natürliche Person, die den Vertrag zu Zwecken abschließt, die überwiegend weder ihrer gewerblichen noch ihrer selbständigen beruflichen Tätigkeit zugerechnet werden können (§ 13 BGB);
Unternehmer eine natürliche oder juristische Person oder eine rechtsfähige Personengesellschaft, die bei Abschluss des Vertrags in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt (§ 14 BGB);
Dienst die unter § 2 beschriebenen Leistungen, einschließlich der Web‑Anwendung, API und etwaiger Berichte (VEX‑Reports).

(4) Ob der Kunde als Verbraucher oder als Unternehmer handelt, bestimmt sich nach dem objektiven Zweck des Vertragsschlusses gemäß §§ 13, 14 BGB; diese gesetzliche Einordnung ist zwingend und kann durch vertragliche Vereinbarung nicht verändert werden. Der Kunde gibt bei der Registrierung an, in welcher Eigenschaft er handelt. Angaben wie eine USt‑IdNr., ein Firmenname oder eine geschäftliche E‑Mail‑Domain können als Anhaltspunkt für ein unternehmerisches Handeln herangezogen werden; sie begründen für sich genommen nicht die Unternehmereigenschaft, wenn der Kunde den Vertrag tatsächlich zu überwiegend privaten Zwecken schließt. KernelScan ist berechtigt, im Zweifelsfall eine Klarstellung oder einen Nachweis zur Einordnung zu verlangen.

§ 2 Vertragsgegenstand und Leistungsbeschreibung

(1) KernelScan stellt eine internetbasierte Plattform zur informatorischen, KI‑gestützten Analyse von Sicherheitslücken (CVEs) im Linux‑Kernel bereit. Kernfunktionen sind insbesondere:

Zugriff auf eine kuratierte Datenbank öffentlich bekannter Linux‑Kernel‑CVEs (Quellen u. a. NVD, kernel.org/CVEProject);
Hochladen einer Linux‑Kernel‑.config‑Datei und Erhalt einer Bewertung der Betroffenheit in Form eines CycloneDX‑VEX‑Berichts;
in kostenpflichtigen Plänen: produktspezifische Sicherheitsbewertungen und API‑Zugriff.

(1a) Gegenstand und Grenzen der Analyse. Die Analyse bewertet ausschließlich die Betroffenheit des Linux‑Kernels in der vom Kunden bereitgestellten Konfiguration durch bekannte CVEs auf Basis öffentlich verfügbarer Schwachstellendaten. Sie umfasst insbesondere nicht:

die Bewertung von User‑Space‑Komponenten, Distributions‑Paketen, Containern, Runtime‑Bibliotheken oder Anwendungsschichten;
die Bewertung produktspezifischer Konfigurationen, der Einsatzumgebung, der Netzwerk‑Topologie, der Hardware‑Plattform oder organisatorischer Schutzmaßnahmen;
die Berücksichtigung nicht‑öffentlicher, embargoed, noch nicht zugewiesener oder erst nach dem Analysezeitpunkt veröffentlichter Schwachstellen;
eine Vollrisiko‑ oder Restrisikobewertung des Endprodukts des Kunden.

Die Sicherheit des Endprodukts des Kunden hängt von zahlreichen Faktoren ab, die KernelScan nicht kennt und nicht bewerten kann. Die von KernelScan gelieferte Analyse ist daher zwingend nur ein Baustein einer umfassenden produktbezogenen Sicherheitsbewertung, die der Kunde in eigener Verantwortung durchzuführen oder von qualifizierten Dritten durchführen zu lassen hat.

(2) Die von KernelScan bereitgestellten Inhalte sind ausschließlich informatorischer und beratender Natur. Sie stellen keine verbindliche Sicherheitsfreigabe, keine Zertifizierung und keine professionelle Sicherheitsberatung im Einzelfall dar. Insbesondere ersetzen sie kein Security‑Audit, keine Penetrationstests und keine fachkundige Bewertung durch qualifizierte Sicherheitsexperten.

(3) Hinweis zur Verwendung künstlicher Intelligenz: Wesentliche Teile der Bewertungen werden mit Hilfe von Large‑Language‑Models (LLMs) und automatisierten Pipelines erzeugt. Ergebnisse können unvollständig, veraltet, missverständlich oder fehlerhaft sein. Der Kunde ist verpflichtet, sämtliche Ergebnisse vor jeglicher Verwendung eigenverantwortlich zu prüfen.

(3a) Methodische Grenzen. Die Bewertungen beruhen auf heuristischer Zuordnung von CVEs zu Kernel‑Konfigurationsoptionen sowie auf LLM‑gestützter Auswertung von Patch‑Inhalten und Vulnerability‑Beschreibungen. Falsch‑positive und falsch‑negative Treffer sind methodenimmanent und stellen keinen Mangel der Leistung dar, sofern die Methodik dem zum Bewertungszeitpunkt anerkannten Stand der Technik entspricht. KernelScan übernimmt keine Garantie für die Vollständigkeit der CVE‑Erfassung, die Richtigkeit der Subsystem‑Zuordnung oder die abschließende Bewertbarkeit einzelner CVEs.

(4) Keine Eignung für sicherheitskritische Anwendungen und Hochrisiko‑KI‑Systeme. Der Dienst ist nicht für den Einsatz in Umgebungen bestimmt oder freigegeben, in denen ein Versagen unmittelbar zu Personenschäden, schweren Umweltschäden oder vergleichbar gravierenden Folgen führen kann (z. B. medizinische Geräte, Steuerung kritischer Infrastrukturen, Luftfahrt, Kernkraft, Waffensysteme). Der Dienst ist insbesondere weder als Hochrisiko‑KI‑System im Sinne des Art. 6 der Verordnung (EU) 2024/1689 („KI‑VO“) noch als Bestandteil eines solchen Systems vorgesehen, freigegeben oder bewertet und darf nicht für nach Art. 5 KI‑VO verbotene Praktiken eingesetzt werden. Ein Einsatz in den vorgenannten Anwendungen erfolgt ausschließlich auf eigenes Risiko des Kunden und ohne jede Gewähr von KernelScan; die Verantwortung für die Einordnung der konkreten Nutzung nach der KI‑VO trägt allein der Kunde.

(5) KernelScan stellt den Dienst in zwei Varianten bereit:

Kostenfreier Plan (Free): stark eingeschränkter Funktionsumfang; insbesondere ist der Zugriff auf die innerhalb der letzten 60 Tage veröffentlichten CVEs beschränkt (kein Zugriff auf den älteren Gesamtbestand); keine Verfügbarkeitszusage; keine Beschaffenheitsgarantie; jederzeit änderbar oder einstellbar.
Kostenpflichtige Pläne (Basic / Pro / Enterprise): Funktionsumfang gemäß der jeweils auf der Website beschriebenen Leistungsmerkmale.

(6) Die jeweils aktuellen Leistungsmerkmale, Mengenkontingente und etwaigen Service‑Level ergeben sich aus der Beschreibung des gewählten Plans auf kernelscan.io zum Zeitpunkt des Vertragsschlusses.

§ 3 Vertragsschluss, Registrierung, Abrechnung über Zahlungsdienstleister

(1) Die Darstellung des Dienstes auf der Website stellt kein bindendes Angebot dar, sondern eine Aufforderung zur Abgabe eines Angebots durch den Kunden.

(2) Der Vertrag über die Nutzung des kostenfreien Plans kommt mit Bestätigung der Registrierung durch KernelScan (Freischaltung des Kontos) zustande.

(3) Der Vertrag über einen kostenpflichtigen Plan kommt zustande, sobald KernelScan oder der von KernelScan beauftragte Zahlungsdienstleister („Merchant of Record“) die Bestellung des Kunden bestätigt oder den Plan freischaltet.

(4) Für die Abwicklung kostenpflichtiger Verträge kann sich KernelScan eines Merchant of Record (z. B. Lemon Squeezy) bedienen. Vertragspartner für den entgeltlichen Teil des Vertrags (Zahlung, Rechnungsstellung, Steuern) ist in diesem Fall der Merchant of Record nach dessen eigenen Bedingungen; die Leistungserbringung erfolgt durch KernelScan auf Grundlage dieser AGB.

(5) Der Kunde sichert zu, bei der Registrierung wahre und vollständige Angaben zu machen und Änderungen unverzüglich zu aktualisieren. KernelScan ist berechtigt, im Verdachtsfall einen Identitäts‑ oder Unternehmensnachweis zu verlangen.

(6) Der Vertragstext wird von KernelScan gespeichert; der Kunde erhält die Bestellbestätigung und diese AGB per E‑Mail.

§ 4 Pflichten und Obliegenheiten des Kunden

(1) Der Kunde ist verpflichtet,

die Zugangsdaten (insbesondere API‑Schlüssel der Form ks_live_*) geheim zu halten und unbefugten Dritten den Zugang zum Dienst nicht zu ermöglichen;
KernelScan unverzüglich zu informieren, wenn der Verdacht eines Missbrauchs des Kontos oder eines API‑Schlüssels besteht;
den Dienst nicht in einer Weise zu nutzen, die geeignet ist, die Funktionsfähigkeit oder Sicherheit der Plattform zu beeinträchtigen, insbesondere keine automatisierten Massenabrufe über die festgelegten Ratenbegrenzungen hinaus durchzuführen, kein Reverse Engineering der Plattform vorzunehmen und keine Mechanismen zur Umgehung der Zugangskontrolle einzusetzen;
den Dienst nicht für Benchmark‑Vergleiche zum Zweck der Entwicklung gleichartiger oder konkurrierender Dienste zu nutzen und keine auf der Plattform basierenden Wettbewerbsangebote zu entwickeln;
ausschließlich rechtmäßig erlangte Eingabedaten (z. B. Kernel‑Konfigurationsdateien) hochzuladen und sicherzustellen, dass deren Verarbeitung durch KernelScan keine Rechte Dritter verletzt;
die Ergebnisse vor jeglicher Verwendung umfassend und eigenverantwortlich auf Plausibilität, Vollständigkeit und Aktualität zu prüfen, insbesondere im Abgleich mit den ursprünglichen CVE‑Quellen (z. B. NVD, kernel.org), Hersteller‑Advisories und der konkreten Einsatzumgebung des Endprodukts.

(2) Account ist personengebunden. Jeder Account ist auf eine einzelne natürliche Person beschränkt. Die gemeinsame Nutzung eines Accounts oder eines API‑Schlüssels durch mehrere Personen, das Weitergeben oder gemeinsame Verwenden von Zugangsdaten sowie das Einrichten von Sammelaccounts für mehrere Nutzer sind unzulässig. Für jeden weiteren Nutzer ist ein eigener Account anzulegen; bei kostenpflichtigen Plänen ist hierfür der für Mehrbenutzer‑Nutzung vorgesehene Plan oder ein gesondertes Lizenzkontingent zu wählen. KernelScan ist berechtigt, technische und organisatorische Maßnahmen zur Erkennung von Account‑Sharing einzusetzen und bei festgestelltem Verstoß den Account vorübergehend zu sperren, zusätzliche Lizenzen nachzufordern oder den Vertrag aus wichtigem Grund zu kündigen.

(3) Der Kunde ist für die Anwendung der bereitgestellten Erkenntnisse, insbesondere für das Einspielen von Sicherheits‑Updates und das Betreiben seiner Systeme, allein verantwortlich. KernelScan trifft keine Pflicht zur Überwachung oder Aktualisierung der Systeme des Kunden.

(3a) Keine ungeprüfte Übernahme. Die ungeprüfte Übernahme der Analyseergebnisse in produktbezogene Sicherheitsfreigaben, Konformitätserklärungen, VEX‑Veröffentlichungen oder vergleichbare Erklärungen gegenüber Dritten ist ausgeschlossen. Unterlässt der Kunde die Prüfung nach Absatz 1 oder verwendet er Ergebnisse trotz erkennbarer Unstimmigkeiten ungeprüft weiter, trifft ihn ein überwiegendes Mitverschulden im Sinne des § 254 BGB.

(4) Bei Verstoß gegen wesentliche Pflichten dieses Paragraphen ist KernelScan berechtigt, das Konto vorübergehend zu sperren oder den Vertrag aus wichtigem Grund zu kündigen.

§ 5 Preise und Zahlungsbedingungen

(1) Es gelten die zum Zeitpunkt des Vertragsschlusses auf kernelscan.io ausgewiesenen Preise. Gegenüber Verbrauchern sind die ausgewiesenen Preise Gesamtpreise und enthalten die gesetzliche Umsatzsteuer. Gegenüber Unternehmern verstehen sich die Preise zuzüglich der jeweils geltenden gesetzlichen Umsatzsteuer, sofern nicht ausdrücklich anders angegeben.

(2) Die Abrechnung kostenpflichtiger Pläne erfolgt – sofern nicht abweichend vereinbart – im Voraus für den jeweiligen Abrechnungszeitraum (monatlich oder jährlich). Die Zahlung erfolgt über den vom Kunden gewählten und vom Merchant of Record unterstützten Zahlungsweg.

(3) Bei Zahlungsverzug ist KernelScan berechtigt, den Zugang zu kostenpflichtigen Funktionen bis zum Ausgleich des Rückstands zu sperren. Die gesetzlichen Verzugsregelungen bleiben unberührt.

(4) Preisänderungen werden dem Kunden mindestens acht (8) Wochen vor Wirksamwerden in Textform mitgeteilt. Der Kunde ist berechtigt, den Vertrag innerhalb dieser Frist zum Wirksamwerden der Preisänderung zu kündigen.

§ 6 Vertragslaufzeit und Kündigung

(1) Der kostenfreie Plan wird auf unbestimmte Zeit geschlossen und kann von beiden Seiten jederzeit ohne Einhaltung einer Frist gekündigt werden.

(2) Kostenpflichtige Pläne werden für die jeweils gewählte Erstlaufzeit (monatlich oder jährlich) geschlossen. Wird der Vertrag nicht mit einer Frist von einem Monat zum Ablauf der Erstlaufzeit gekündigt, verlängert er sich auf unbestimmte Zeit. Nach Eintritt der Verlängerung kann der Vertrag jederzeit mit einer Frist von einem Monat gekündigt werden. Diese Regelung entspricht den Vorgaben des § 309 Nr. 9 BGB; sie gilt für Verbraucher zwingend und im Übrigen auch für Unternehmer.

(3) Das Recht beider Parteien zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

(4) Für die Kündigung ist keine besondere Form erforderlich. Sie kann jederzeit über die im Kundenkonto bereitgestellte Funktion oder durch eine formlose Mitteilung – z. B. eine E‑Mail an info@kernelscan.io – erklärt werden. Bei kostenpflichtigen Plänen wird hierfür eine leicht zugängliche Kündigungsmöglichkeit im Sinne des § 312k BGB bereitgestellt.

(5) Nach Vertragsende werden personenbezogene Daten des Kunden gemäß der Datenschutzerklärung gelöscht oder anonymisiert, soweit nicht gesetzliche Aufbewahrungspflichten entgegenstehen.

§ 7 Widerrufsrecht für Verbraucher

(1) Verbrauchern steht das gesetzliche Widerrufsrecht nach §§ 355 ff. BGB zu. Die Einzelheiten ergeben sich aus der gesonderten Widerrufsbelehrung, die dem Verbraucher vor Vertragsschluss zur Verfügung gestellt wird und Bestandteil dieser AGB ist.

(2) Vorzeitiges Erlöschen des Widerrufsrechts bei digitalen Diensten (§ 356 Abs. 5 BGB): Bei Verträgen über die Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen erlischt das Widerrufsrecht, wenn KernelScan mit der Vertragsausführung begonnen hat, nachdem der Verbraucher (1.) ausdrücklich zugestimmt hat, dass KernelScan mit der Vertragsausführung vor Ablauf der Widerrufsfrist beginnt, (2.) seine Kenntnis davon bestätigt hat, dass er durch seine Zustimmung mit Beginn der Vertragsausführung sein Widerrufsrecht verliert, und (3.) KernelScan eine Bestätigung gemäß § 312f BGB zur Verfügung gestellt hat. Im Bestellprozess wird der Verbraucher hierauf gesondert hingewiesen und um eine entsprechende ausdrückliche Erklärung gebeten.

§ 8 Verfügbarkeit, Wartung

(1) KernelScan ist bemüht, eine hohe Verfügbarkeit des Dienstes zu gewährleisten. Eine bestimmte Verfügbarkeit wird – außer im Rahmen ausdrücklich vereinbarter Service Level (z. B. im Enterprise‑Plan) – nicht zugesichert.

(2) KernelScan ist berechtigt, den Dienst für Wartungs‑, Sicherheits‑ oder Aktualisierungszwecke vorübergehend zu unterbrechen. Geplante Wartungsfenster werden, soweit zumutbar, vorab angekündigt.

(3) Im kostenfreien Plan besteht kein Anspruch auf Verfügbarkeit, bestimmte Funktionen oder bestimmte Antwortzeiten.

§ 9 Gewährleistung

(1) KernelScan erbringt die Leistungen mit der Sorgfalt eines ordentlichen Kaufmanns nach dem Stand der Technik. Es gelten die gesetzlichen Gewährleistungsvorschriften, soweit in diesen AGB nichts Abweichendes geregelt ist.

(2) Für entgeltliche Verträge mit Verbrauchern über digitale Produkte gelten die §§ 327 ff. BGB. Mängel sind KernelScan unverzüglich nach Entdeckung in Textform anzuzeigen.

(3) Im kostenfreien Plan haftet KernelScan nur für die Eigenschaften, die KernelScan ausdrücklich zugesichert hat, sowie nach Maßgabe von § 10.

§ 10 Haftung

(1) KernelScan haftet unbeschränkt

bei Vorsatz und grober Fahrlässigkeit,
für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit,
nach den Vorschriften des Produkthaftungsgesetzes,
soweit eine Garantie für die Beschaffenheit übernommen wurde,
bei arglistigem Verschweigen eines Mangels.

(2) Bei einfacher Fahrlässigkeit haftet KernelScan nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht), deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf. In diesem Fall ist die Haftung auf den vertragstypisch vorhersehbaren Schaden begrenzt.

(3) Im Übrigen ist die Haftung für einfache Fahrlässigkeit ausgeschlossen.

(4) Besondere Haftungsbeschränkungen:

Für die inhaltliche Richtigkeit und Vollständigkeit von Daten Dritter (insb. NVD, kernel.org, andere CVE‑Quellen) übernimmt KernelScan keine Gewähr.
Für Schäden, die darauf beruhen, dass der Kunde Ergebnisse des Dienstes ohne die nach § 4 Abs. 1 gebotene eigene Prüfung verwendet hat, haftet KernelScan nicht.
Für Schäden aus methodenbedingten Falschpositiven oder Falschnegativen der Analyse haftet KernelScan nicht, sofern die Methodik dem in § 2 Abs. 3a beschriebenen Stand entspricht und der Schaden bei pflichtgemäßer Prüfung nach § 4 Abs. 1 erkennbar gewesen wäre.
Für Schäden aus dem Einsatz des Dienstes in sicherheitskritischen Umgebungen (§ 2 Abs. 4) haftet KernelScan nicht, soweit dies gesetzlich zulässig ist.
Für Datenverluste haftet KernelScan – außerhalb der Fälle des Abs. 1 – nur in dem Umfang, in dem ein Schaden auch bei ordnungsgemäßer und regelmäßiger Datensicherung durch den Kunden eingetreten wäre.

(5) Soweit die Haftung von KernelScan ausgeschlossen oder beschränkt ist, gilt dies auch für die persönliche Haftung von Mitarbeitern, gesetzlichen Vertretern und Erfüllungsgehilfen.

§ 11 Datenschutz

(1) KernelScan verarbeitet personenbezogene Daten nach Maßgabe der DSGVO, des BDSG und der Datenschutzerklärung, die unter kernelscan.io/privacy abrufbar ist.

(2) Hochgeladene Kernel‑Konfigurationsdateien enthalten in der Regel keine personenbezogenen Daten; gleichwohl behandelt KernelScan sie vertraulich und verwendet sie ausschließlich zur Erbringung des Dienstes sowie – in anonymisierter und aggregierter Form – zur Verbesserung der Plattform.

(3) Bei Auftragsverarbeitung im Sinne des Art. 28 DSGVO schließt KernelScan auf Anforderung des Unternehmer‑Kunden einen gesonderten Auftragsverarbeitungsvertrag (AVV/DPA) ab.

§ 12 Geistiges Eigentum und Nutzungsrechte

(1) Der Kunde behält sämtliche Rechte an den von ihm hochgeladenen Eingabedaten. Er räumt KernelScan ein einfaches, räumlich und zeitlich auf die Vertragsdauer beschränktes Nutzungsrecht ein, soweit dies für die Erbringung des Dienstes erforderlich ist. Darüber hinaus räumt der Kunde KernelScan ein einfaches, zeitlich unbeschränktes Recht zur Nutzung anonymisierter und aggregierter Daten zur Verbesserung des Dienstes ein.

(2) An den vom Dienst erzeugten VEX‑Berichten erhält der Kunde ein einfaches, nicht ausschließliches, zeitlich unbeschränktes Recht zur internen Nutzung sowie zur Weitergabe an seine Geschäftspartner im Rahmen seiner üblichen Geschäftstätigkeit. Eine darüber hinausgehende kommerzielle Verwertung (z. B. Wiederverkauf der Berichte) bedarf der vorherigen schriftlichen Zustimmung von KernelScan.

(3) Sämtliche Rechte an der Plattform, der Methodik, der Software und den aggregierten Datenbeständen verbleiben bei KernelScan bzw. den jeweiligen Lizenzgebern. Eine über die vertragliche Nutzung hinausgehende Verwertung – insbesondere Vervielfältigung, Bearbeitung, Verbreitung oder das Anbieten gleichartiger Dienste auf Basis der Plattform – ist untersagt.

§ 13 Vertraulichkeit

(1) Beide Parteien verpflichten sich, alle ihnen im Rahmen der Vertragsdurchführung bekannt werdenden vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und nur für vertragliche Zwecke zu verwenden.

(2) Die Verpflichtung gilt nicht für Informationen, die (i) bereits öffentlich bekannt sind oder werden, ohne dass dies auf einem Verstoß gegen diese Vereinbarung beruht, (ii) der empfangenden Partei nachweislich bereits vor der Mitteilung bekannt waren, (iii) von Dritten ohne Vertraulichkeitsverpflichtung rechtmäßig erlangt wurden oder (iv) aufgrund gesetzlicher oder behördlicher Anordnung offenzulegen sind.

§ 14 Exportkontrolle und Sanktionen

(1) Der Kunde verpflichtet sich, bei der Nutzung des Dienstes die jeweils geltenden Export‑, Re‑Export‑ und Sanktionsvorschriften einzuhalten, insbesondere die Verordnung (EU) 2021/821 (EU‑Dual‑Use‑VO), die EU‑Sanktionslisten sowie die einschlägigen Vorschriften der USA (insb. EAR und OFAC‑Listen).

(2) Der Kunde sichert zu, dass er nicht auf einer einschlägigen Sanktionsliste geführt wird und den Dienst nicht für oder im Auftrag von gelisteten Personen, Organisationen oder Staaten nutzt.

(3) KernelScan ist berechtigt, den Zugang zu sperren und den Vertrag fristlos zu kündigen, wenn ein Verstoß gegen Abs. 1 oder Abs. 2 vorliegt oder konkrete Anhaltspunkte hierfür bestehen.

§ 15 Sondervereinbarungen für Unternehmer

Soweit der Kunde Unternehmer i.S.d. § 14 BGB, eine juristische Person des öffentlichen Rechts oder ein öffentlich‑rechtliches Sondervermögen ist, gelten ergänzend bzw. abweichend die folgenden Regelungen:

(1) Das Widerrufsrecht nach § 7 findet keine Anwendung.

(2) Die Gewährleistungsfrist beträgt zwölf (12) Monate ab Bereitstellung der Leistung; ausgenommen sind die in § 438 Abs. 1 Nr. 2, § 634a Abs. 1 Nr. 2 BGB sowie in § 10 Abs. 1 dieser AGB genannten Fälle.

(3) Mängelansprüche setzen voraus, dass der Unternehmer offensichtliche Mängel unverzüglich, spätestens jedoch innerhalb von zwei (2) Wochen nach Bereitstellung, sowie verdeckte Mängel unverzüglich nach Entdeckung in Textform anzeigt.

(4) Die Haftung für die Verletzung von Pflichten, die keine Kardinalpflichten i.S.d. § 10 Abs. 2 sind, ist auch bei grober Fahrlässigkeit nicht‑leitender Erfüllungsgehilfen auf den vertragstypisch vorhersehbaren Schaden begrenzt.

(5) Die Haftung von KernelScan gegenüber Unternehmern ist – außer in den Fällen des § 10 Abs. 1 – pro Schadensereignis auf den Betrag der vom Kunden in den letzten zwölf (12) Monaten vor dem schadensauslösenden Ereignis tatsächlich gezahlten Entgelte begrenzt, höchstens jedoch auf EUR 10.000.

(6) Aufrechnungs‑ und Zurückbehaltungsrechte stehen dem Unternehmer nur insoweit zu, als seine Gegenansprüche rechtskräftig festgestellt, unbestritten oder von KernelScan anerkannt sind.

(7) Erfüllungsort für sämtliche Verpflichtungen aus dem Vertragsverhältnis ist der Sitz von KernelScan.

(8) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dem Vertragsverhältnis ist der Sitz von KernelScan. KernelScan ist berechtigt, den Unternehmer auch an dessen allgemeinem Gerichtsstand zu verklagen.

§ 16 Änderungen der AGB und wesentliche Leistungsänderungen

(1) KernelScan kann diese AGB mit Wirkung für die Zukunft ändern. Geänderte AGB werden dem Kunden in Textform mitgeteilt und gelten für ab ihrem Wirksamwerden neu abgeschlossene Verträge. Für eine bereits laufende Vertragsperiode bleiben die bei deren Beginn vereinbarten AGB maßgeblich; eine einseitige inhaltliche Änderung laufender Verträge durch KernelScan erfolgt nicht. Preisänderungen richten sich nach § 5 Abs. 4.

(2) Wesentliche Leistungsänderungen (Negative Change). Nimmt KernelScan an einem kostenpflichtigen Dienst Änderungen vor, die die vertraglich vereinbarte Leistung wesentlich zum Nachteil des Kunden verändern (insbesondere Wegfall vertraglich zugesicherter Funktionen oder erhebliche Reduzierung vereinbarter Nutzungskontingente), wird KernelScan den Kunden hierüber mindestens dreißig (30) Tage vor Wirksamwerden in Textform informieren. Der Kunde ist in diesem Fall berechtigt, den Vertrag mit Wirkung zum Zeitpunkt des Inkrafttretens der Änderung außerordentlich zu kündigen. Bereits im Voraus für den nicht mehr genutzten Vertragszeitraum gezahlte Entgelte werden anteilig erstattet.

§ 17 Schlussbestimmungen

(1) Anwendbares Recht. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN‑Kaufrechts (CISG). Bei Verbrauchern gilt diese Rechtswahl nur insoweit, als nicht der durch zwingende Bestimmungen des Rechts des Staates, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat, gewährte Schutz entzogen wird (Art. 6 Abs. 2 Rom‑I‑VO).

(2) Gerichtsstand für Verbraucher. Für Klagen gegen Verbraucher mit Wohnsitz in der EU gelten die gesetzlichen Gerichtsstände; insbesondere können Verbraucher gemäß Art. 17 ff. Brüssel‑Ia‑VO an ihrem Wohnsitz klagen.

(3) Außergerichtliche Streitbeilegung. KernelScan ist nicht verpflichtet und nicht bereit, an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen (§ 36 VSBG).

(4) Vertragssprache. Vertragssprache ist Deutsch. KernelScan kann englischsprachige Übersetzungen dieser AGB zur Information bereitstellen; bei Abweichungen zwischen der deutschen und einer übersetzten Fassung ist ausschließlich die deutsche Fassung maßgeblich.

(5) Textform. Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Textformerfordernisses.

(6) Salvatorische Klausel. Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt die gesetzliche Regelung.

Ende der AGB · Version 1.0 · Stand: 28. Mai 2026

Terms and Conditions

of KernelScan UG (haftungsbeschränkt) · Last updated: 28 May 2026 · Version 1.0

The German version is authoritative and legally binding. This English translation is provided for information only; in case of discrepancies, the German version prevails.

§ 1 Scope, contracting party, definitions

(1) These Terms and Conditions (“T&C”) apply to all contracts between

KernelScan UG (haftungsbeschränkt)
Silcherstraße 25
72631 Aichtal, Germany
Registration court: Amtsgericht Stuttgart, HRB 805753
Managing Director: Steffen Pfendtner
VAT ID: to be provided
Email: info@kernelscan.io

(hereinafter “KernelScan” or “Provider”) and its customers regarding the use of the services provided at kernelscan.io and associated subdomains.

(2) Deviating, conflicting or supplementary terms of the customer do not become part of the contract unless KernelScan expressly agrees to their validity in text form.

(3) For the purposes of these T&C:

a consumer is a natural person who concludes the contract for purposes that are predominantly outside their trade, business or profession (§ 13 BGB);
an entrepreneur is a natural or legal person or a partnership with legal capacity acting in the exercise of their trade, business or profession when concluding the contract (§ 14 BGB);
the Service means the services described in § 2, including the web application, API and any reports (VEX reports).

(4) Whether the customer acts as a consumer or as an entrepreneur is determined by the objective purpose of the contract under §§ 13, 14 BGB; this statutory classification is mandatory and cannot be altered by agreement. The customer states upon registration in which capacity they act. Indicators such as a VAT ID, a company name or a business email domain may be used as evidence of acting as an entrepreneur; on their own they do not establish entrepreneur status if the customer actually concludes the contract for predominantly private purposes. In case of doubt, KernelScan may request clarification or proof of classification.

§ 2 Subject matter and description of services

(1) KernelScan provides an internet-based platform for the informational, AI-assisted analysis of security vulnerabilities (CVEs) in the Linux kernel. Core functions are in particular:

access to a curated database of publicly known Linux kernel CVEs (sources include NVD, kernel.org/CVEProject);
uploading a Linux kernel .config file and receiving an assessment of exposure in the form of a CycloneDX VEX report;
in paid plans: product-specific security assessments and API access.

(1a) Subject matter and limits of the analysis. The analysis assesses solely the exposure of the Linux kernel, in the configuration provided by the customer, to known CVEs on the basis of publicly available vulnerability data. In particular, it does not include:

assessment of user-space components, distribution packages, containers, runtime libraries or application layers;
assessment of product-specific configurations, the deployment environment, network topology, hardware platform or organizational safeguards;
consideration of non-public, embargoed, not-yet-assigned vulnerabilities or those published only after the time of analysis;
a full-risk or residual-risk assessment of the customer's end product.

The security of the customer's end product depends on numerous factors that KernelScan neither knows nor can assess. The analysis provided by KernelScan is therefore necessarily only one building block of a comprehensive product-related security assessment, which the customer must carry out under their own responsibility or have carried out by qualified third parties.

(2) The content provided by KernelScan is exclusively of an informational and advisory nature. It does not constitute a binding security clearance, certification or professional security advice in the individual case. In particular, it does not replace a security audit, penetration testing or expert assessment by qualified security professionals.

(3) Note on the use of artificial intelligence: Substantial parts of the assessments are generated using large language models (LLMs) and automated pipelines. Results may be incomplete, outdated, misleading or erroneous. The customer is obliged to review all results on their own responsibility before any use.

(3a) Methodological limits. The assessments are based on heuristic mapping of CVEs to kernel configuration options and on LLM-assisted evaluation of patch contents and vulnerability descriptions. False positives and false negatives are inherent to the method and do not constitute a defect of the service, provided the methodology corresponds to the state of the art recognized at the time of assessment. KernelScan gives no guarantee as to the completeness of CVE coverage, the correctness of subsystem mapping or the conclusive assessability of individual CVEs.

(4) Not suitable for safety-critical applications and high-risk AI systems. The Service is not intended or approved for use in environments where a failure could directly lead to personal injury, severe environmental damage or comparably serious consequences (e.g. medical devices, control of critical infrastructure, aviation, nuclear power, weapons systems). In particular, the Service is neither intended, approved nor assessed as a high-risk AI system within the meaning of Art. 6 of Regulation (EU) 2024/1689 (“AI Act”) or as a component of such a system, and must not be used for practices prohibited under Art. 5 of the AI Act. Any use in the aforementioned applications is solely at the customer's own risk and without any warranty by KernelScan; responsibility for classifying the specific use under the AI Act rests solely with the customer.

(5) KernelScan provides the Service in two variants:

Free plan: heavily limited scope of functions; in particular, access is limited to CVEs published within the last 60 days (no access to the older full corpus); no availability commitment; no warranty of quality; modifiable or discontinuable at any time.
Paid plans (Basic / Pro / Enterprise): scope of functions as described on the website.

(6) The current features, quantity allowances and any service levels result from the description of the chosen plan on kernelscan.io at the time of conclusion of the contract.

§ 3 Conclusion of contract, registration, billing via payment service provider

(1) The presentation of the Service on the website does not constitute a binding offer but an invitation to the customer to submit an offer.

(2) The contract for use of the free plan is concluded upon confirmation of registration by KernelScan (activation of the account).

(3) The contract for a paid plan is concluded as soon as KernelScan or the payment service provider engaged by KernelScan (“Merchant of Record”) confirms the customer's order or activates the plan.

(4) For the processing of paid contracts, KernelScan may use a Merchant of Record (e.g. Lemon Squeezy). In that case, the contracting party for the paid part of the contract (payment, invoicing, taxes) is the Merchant of Record under its own terms; the service is provided by KernelScan on the basis of these T&C.

(5) The customer warrants that they will provide true and complete information upon registration and update changes without undue delay. KernelScan is entitled to request proof of identity or business status in case of suspicion.

(6) The contract text is stored by KernelScan; the customer receives the order confirmation and these T&C by email.

§ 4 Customer obligations

(1) The customer is obliged to:

keep access credentials (in particular API keys of the form ks_live_*) secret and not enable unauthorized third parties to access the Service;
inform KernelScan without undue delay if there is a suspicion of misuse of the account or an API key;
not use the Service in a way liable to impair the functionality or security of the platform, in particular not to carry out automated mass requests beyond the defined rate limits, not to reverse engineer the platform and not to use mechanisms to circumvent access control;
not use the Service for benchmarking aimed at developing comparable or competing services and not to develop competing offerings based on the platform;
upload only lawfully obtained input data (e.g. kernel configuration files) and ensure that their processing by KernelScan does not infringe third-party rights;
review the results comprehensively and on their own responsibility before any use as to plausibility, completeness and currentness, in particular by comparison with the original CVE sources (e.g. NVD, kernel.org), vendor advisories and the specific deployment environment of the end product.

(2) Accounts are personal. Each account is limited to a single natural person. Sharing an account or API key among several persons, passing on or jointly using credentials, and setting up collective accounts for multiple users are not permitted. A separate account must be created for each additional user; for paid plans, the plan intended for multi-user use or a separate license allowance must be chosen. KernelScan is entitled to use technical and organizational measures to detect account sharing and, in the event of a detected breach, to temporarily suspend the account, demand additional licenses or terminate the contract for cause.

(3) The customer is solely responsible for applying the insights provided, in particular for installing security updates and operating their systems. KernelScan has no obligation to monitor or update the customer's systems.

(3a) No unreviewed adoption. The unreviewed adoption of analysis results into product-related security clearances, declarations of conformity, VEX publications or comparable statements towards third parties is excluded. If the customer fails to perform the review under paragraph 1 or continues to use results despite recognizable discrepancies, they bear predominant contributory fault within the meaning of § 254 BGB.

(4) In the event of a breach of material obligations under this section, KernelScan is entitled to temporarily suspend the account or terminate the contract for cause.

§ 5 Prices and payment terms

(1) The prices stated on kernelscan.io at the time of conclusion of the contract apply. For consumers, the stated prices are total prices and include statutory VAT. For entrepreneurs, prices are exclusive of the applicable statutory VAT unless expressly stated otherwise.

(2) Paid plans are billed — unless otherwise agreed — in advance for the respective billing period (monthly or annually). Payment is made via the payment method chosen by the customer and supported by the Merchant of Record.

(3) In the event of payment default, KernelScan is entitled to suspend access to paid functions until the arrears are settled. The statutory default provisions remain unaffected.

(4) Price changes are communicated to the customer in text form at least eight (8) weeks before they take effect. The customer is entitled to terminate the contract within this period as of the date the price change takes effect.

§ 6 Term and termination

(1) The free plan is concluded for an indefinite period and may be terminated by either party at any time without notice.

(2) Paid plans are concluded for the chosen initial term (monthly or annually). If the contract is not terminated with one month's notice as of the end of the initial term, it is extended for an indefinite period. After the extension takes effect, the contract may be terminated at any time with one month's notice. This provision complies with § 309 No. 9 BGB; it applies mandatorily to consumers and otherwise also to entrepreneurs.

(3) The right of either party to extraordinary termination for cause remains unaffected.

(4) No particular form is required to cancel. You may cancel at any time via the function provided in your account or by an informal message — e.g. an email to info@kernelscan.io. For paid plans, an easily accessible cancellation option within the meaning of § 312k BGB is provided.

(5) After the end of the contract, the customer's personal data is deleted or anonymized in accordance with the privacy policy, unless statutory retention obligations apply.

§ 7 Right of withdrawal for consumers

(1) Consumers have the statutory right of withdrawal under §§ 355 ff. BGB. The details are set out in the separate withdrawal policy, which is made available to the consumer before conclusion of the contract and forms part of these T&C.

(2) Early expiry of the right of withdrawal for digital services (§ 356(5) BGB): For contracts on the supply of digital content or digital services, the right of withdrawal expires once KernelScan has begun performing the contract after the consumer (1.) has expressly consented to KernelScan beginning performance before the end of the withdrawal period, (2.) has acknowledged that by giving consent they lose their right of withdrawal once performance begins, and (3.) KernelScan has provided a confirmation under § 312f BGB. The consumer is informed of this separately during the order process and asked to provide a corresponding express statement.

§ 8 Availability, maintenance

(1) KernelScan endeavours to ensure high availability of the Service. A specific availability is not guaranteed — except within the scope of expressly agreed service levels (e.g. in the Enterprise plan).

(2) KernelScan is entitled to temporarily interrupt the Service for maintenance, security or update purposes. Planned maintenance windows are announced in advance where reasonable.

(3) The free plan grants no entitlement to availability, specific functions or specific response times.

§ 9 Warranty

(1) KernelScan provides the services with the care of a prudent businessperson according to the state of the art. The statutory warranty provisions apply unless otherwise provided in these T&C.

(2) For paid contracts with consumers concerning digital products, §§ 327 ff. BGB apply. Defects must be reported to KernelScan in text form without undue delay after discovery.

(3) Under the free plan, KernelScan is liable only for the characteristics it has expressly warranted, and subject to § 10.

§ 10 Liability

(1) KernelScan is liable without limitation

for intent and gross negligence,
for damage arising from injury to life, body or health,
under the provisions of the Product Liability Act,
insofar as a guarantee of quality has been assumed,
for fraudulent concealment of a defect.

(2) In the case of slight negligence, KernelScan is liable only for breach of a material contractual obligation (cardinal obligation) whose fulfilment is essential to the proper performance of the contract and on whose observance the customer may regularly rely. In this case, liability is limited to the foreseeable damage typical for the contract.

(3) Otherwise, liability for slight negligence is excluded.

(4) Specific limitations of liability:

KernelScan gives no warranty as to the accuracy and completeness of third-party data (in particular NVD, kernel.org, other CVE sources).
KernelScan is not liable for damage based on the customer using results of the Service without the review required under § 4(1).
KernelScan is not liable for damage from method-related false positives or false negatives of the analysis, provided the methodology corresponds to the state described in § 2(3a) and the damage would have been recognizable upon a review performed in accordance with § 4(1).
KernelScan is not liable for damage arising from use of the Service in safety-critical environments (§ 2(4)), to the extent legally permissible.
For data loss, KernelScan is liable — outside the cases of paragraph 1 — only to the extent that the damage would also have occurred with proper and regular data backup by the customer.

(5) Insofar as KernelScan's liability is excluded or limited, this also applies to the personal liability of employees, legal representatives and vicarious agents.

§ 11 Data protection

(1) KernelScan processes personal data in accordance with the GDPR, the German Federal Data Protection Act (BDSG) and the privacy policy available at kernelscan.io/privacy.

(2) Uploaded kernel configuration files generally contain no personal data; nevertheless, KernelScan treats them confidentially and uses them solely to provide the Service and — in anonymized and aggregated form — to improve the platform.

(3) In the case of processing on behalf within the meaning of Art. 28 GDPR, KernelScan concludes a separate data processing agreement (DPA) at the request of the entrepreneur customer.

§ 12 Intellectual property and rights of use

(1) The customer retains all rights to the input data they upload. They grant KernelScan a non-exclusive right of use, limited geographically and in time to the term of the contract, to the extent necessary to provide the Service. In addition, the customer grants KernelScan a non-exclusive, perpetual right to use anonymized and aggregated data to improve the Service.

(2) For the VEX reports generated by the Service, the customer receives a non-exclusive, perpetual right of internal use and of sharing with their business partners in the course of their ordinary business. Any commercial exploitation beyond this (e.g. resale of the reports) requires KernelScan's prior written consent.

(3) All rights to the platform, the methodology, the software and the aggregated datasets remain with KernelScan or the respective licensors. Any exploitation beyond contractual use — in particular reproduction, modification, distribution or offering comparable services based on the platform — is prohibited.

§ 13 Confidentiality

(1) Both parties undertake to treat as confidential all confidential information of the other party that becomes known to them in the course of performing the contract, and to use it only for contractual purposes.

(2) The obligation does not apply to information that (i) is or becomes publicly known without a breach of this agreement, (ii) was demonstrably already known to the receiving party before disclosure, (iii) was lawfully obtained from third parties without a confidentiality obligation, or (iv) must be disclosed due to a statutory or official order.

§ 14 Export control and sanctions

(1) When using the Service, the customer undertakes to comply with the applicable export, re-export and sanctions regulations, in particular Regulation (EU) 2021/821 (EU Dual-Use Regulation), the EU sanctions lists and the relevant U.S. provisions (in particular EAR and OFAC lists).

(2) The customer warrants that they are not listed on a relevant sanctions list and do not use the Service for or on behalf of listed persons, organizations or states.

(3) KernelScan is entitled to block access and terminate the contract without notice if there is a breach of paragraph 1 or 2 or specific indications thereof.

§ 15 Special provisions for entrepreneurs

Insofar as the customer is an entrepreneur within the meaning of § 14 BGB, a legal entity under public law or a special fund under public law, the following provisions apply additionally or by way of derogation:

(1) The right of withdrawal under § 7 does not apply.

(2) The warranty period is twelve (12) months from provision of the service; excepted are the cases referred to in § 438(1) No. 2, § 634a(1) No. 2 BGB and in § 10(1) of these T&C.

(3) Claims for defects require the entrepreneur to report obvious defects without undue delay, but no later than within two (2) weeks of provision, and hidden defects without undue delay after discovery, in text form.

(4) Liability for the breach of obligations that are not cardinal obligations within the meaning of § 10(2) is, even in the case of gross negligence of non-managerial vicarious agents, limited to the foreseeable damage typical for the contract.

(5) KernelScan's liability towards entrepreneurs is — except in the cases of § 10(1) — limited per event of damage to the amount of the fees actually paid by the customer in the twelve (12) months before the event causing the damage, but at most to EUR 10,000.

(6) The entrepreneur is entitled to set-off and retention rights only insofar as their counterclaims have been legally established, are undisputed or have been recognized by KernelScan.

(7) The place of performance for all obligations arising from the contractual relationship is KernelScan's registered office.

(8) The exclusive place of jurisdiction for all disputes arising from or in connection with the contractual relationship is KernelScan's registered office. KernelScan is also entitled to sue the entrepreneur at their general place of jurisdiction.

§ 16 Changes to the T&C and material changes to the service

(1) KernelScan may amend these T&C with effect for the future. Amended T&C are communicated to the customer in text form and apply to contracts newly concluded as of their effective date. For a contract period already running, the T&C agreed at the start of that period remain authoritative; KernelScan does not unilaterally change the content of ongoing contracts. Price changes are governed by § 5(4).

(2) Material changes to the service (negative change). If KernelScan makes changes to a paid service that materially alter the contractually agreed service to the customer's disadvantage (in particular the removal of contractually warranted functions or a significant reduction of agreed usage allowances), KernelScan will inform the customer in text form at least thirty (30) days before they take effect. In this case the customer is entitled to terminate the contract extraordinarily with effect as of the date the change takes effect. Fees already paid in advance for the unused contract period are refunded on a pro rata basis.

§ 17 Final provisions

(1) Applicable law. The law of the Federal Republic of Germany applies, excluding the UN Convention on Contracts for the International Sale of Goods (CISG). For consumers, this choice of law applies only insofar as it does not deprive the consumer of the protection afforded by mandatory provisions of the law of the state in which they have their habitual residence (Art. 6(2) Rome I Regulation).

(2) Jurisdiction for consumers. For actions against consumers domiciled in the EU, the statutory places of jurisdiction apply; in particular, consumers may sue at their domicile pursuant to Art. 17 ff. of the Brussels Ia Regulation.

(3) Out-of-court dispute resolution. KernelScan is neither obliged nor willing to participate in dispute resolution proceedings before a consumer arbitration board (§ 36 VSBG).

(4) Contract language. The contract language is German. KernelScan may provide English translations of these T&C for information; in case of discrepancies between the German and a translated version, the German version is exclusively authoritative.

(5) Text form. Amendments and additions to this contract require text form. This also applies to the waiver of this text-form requirement.

(6) Severability. Should individual provisions of these T&C be or become wholly or partially invalid or unenforceable, the validity of the remaining provisions shall not be affected. The invalid or unenforceable provision shall be replaced by the statutory rule.

End of the T&C · Version 1.0 · Last updated: 28 May 2026