Allgemeine Geschäftsbedingungen (AGB)

1. Geltungsbereich und Vertragsgegenstand

1.1 Diese AGB gelten für alle Verträge zwischen der Lutz Hoffmann / Invory (nachfolgend „Anbieter") und ihren Kunden (nachfolgend „Kunde") über die Nutzung der SaaS-Plattform „Act-Check".

1.2 Das Angebot richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB, juristische Personen des öffentlichen Rechts oder öffentlich-rechtliche Sondervermögen.

1.3 Vertragsgegenstand ist die Bereitstellung von Software-as-a-Service-Leistungen zur Identifikation, Analyse und Compliance-Bewertung von KI-Systemen im Hinblick auf den EU AI Act, die NIS2-Richtlinie und geltendes Datenschutzrecht.

2. Leistungsumfang und Verfügbarkeit

2.1 Der genaue Leistungsumfang ergibt sich aus der zum Zeitpunkt des Vertragsschlusses gewählten Paketbeschreibung (Basic, Pro, Enterprise).

2.2 Der Anbieter gewährleistet eine Verfügbarkeit der SaaS-Dienste von 99,5 % im Jahresmittel. Ausgenommen sind Wartungsfenster, die dem Kunden rechtzeitig angekündigt werden.

2.3 Der Anbieter nutzt für das Hosting ausschließlich ISO 27001 zertifizierte Rechenzentren innerhalb der Europäischen Union (Hetzner Online GmbH, Deutschland).

3. Besondere Bestimmungen zum EU AI Act & NIS2

3.1 Unterstützungsleistung: Act-Check unterstützt den Kunden bei der Erfüllung seiner gesetzlichen Pflichten (z. B. Inventarisierung nach EU AI Act Art. 11/51 oder Risikomanagement nach NIS2).

3.2 Eigenverantwortung: Die durch Act-Check bereitgestellten Analysen und RAG-gestützten Compliance-Bewertungen stellen keine Rechtsberatung dar. Die finale rechtliche Bewertung der genutzten KI-Systeme sowie die Entscheidung über deren Einsatz obliegen ausschließlich dem Kunden als „Betreiber" oder „Anbieter" im Sinne des AI Acts.

3.3 NIS2-Konformität: Der Anbieter setzt technische und organisatorische Maßnahmen (TOM) gemäß dem Stand der Technik ein, um die Sicherheit der Lieferkette (Supply Chain Security) des Kunden im Sinne der NIS2-Richtlinie zu gewährleisten.

4. Datenschutz (DSGVO)

4.1 Die Parteien schließen zeitgleich mit dem Hauptvertrag einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO ab.

4.2 Der Anbieter sichert zu, dass personenbezogene Daten (z. B. in Proxy-Logs) bereits bei der Ingestion durch kryptografisches Hashing (SHA-256) anonymisiert bzw. pseudonymisiert werden, sofern dies technisch für den Analyseprozess möglich ist.

4.3 Der Master-Key zur Entschlüsselung von Kunden-Secrets verbleibt in der Sphäre des Anbieters und wird nach aktuellem Stand der Technik gesichert.

5. Pflichten des Kunden

5.1 Der Kunde ist verpflichtet, die ihm zugewiesenen Zugangsberechtigungen vor dem Zugriff Dritter zu schützen.

5.2 Der Kunde stellt sicher, dass die in Act-Check eingespeisten Daten (z. B. GitHub-Repositories oder Proxy-Logs) rechtmäßig erhoben wurden. Insbesondere bei der Analyse von Mitarbeiter-Traffic obliegt die Einbeziehung des Betriebsrats sowie die Informationspflicht gegenüber den Betroffenen dem Kunden.

6. Haftung und Gewährleistung

6.1 Der Anbieter haftet unbeschränkt für Vorsatz und grobe Fahrlässigkeit. Für leichte Fahrlässigkeit haftet der Anbieter nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht).

6.2 Die Haftung für indirekte Schäden, entgangenen Gewinn oder Bußgelder, die dem Kunden durch Aufsichtsbehörden (z. B. wegen Verstößen gegen den AI Act) auferlegt werden, ist ausgeschlossen, sofern diese nicht auf einer vorsätzlichen Pflichtverletzung des Anbieters beruhen.

6.3 Der Anbieter übernimmt keine Haftung für die Richtigkeit der RAG-basierten KI-Bewertungen, da diese auf Wahrscheinlichkeitsmodellen basieren.

7. Laufzeit und Kündigung

7.1 Die Vertragslaufzeit richtet sich nach dem gewählten Abonnement (monatlich oder jährlich).

7.2 Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

8. Schlussbestimmungen

8.1 Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

8.2 Gerichtsstand für alle Streitigkeiten aus diesem Vertrag ist der Sitz des Anbieters.

8.3 Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.