Nutzungsbedingungen – OneAI SaaS-Plattform

Allgemeine Geschäftsbedingungen für die Nutzung der OneAI-Plattform (hub.oneai.eu)

Version: 1.1 · Stand: 22. April 2026 Anbieter: oneAI GmbH, Eisenbahnstraße 50, 72072 Tübingen Plattform: OneAI SaaS-Plattform – hub.oneai.eu Rechtsgrundlage: BGB §§ 305–310, EU AI Act (EU) 2024/1689, DSGVO (EU) 2016/679, EU Data Act (EU) 2023/2854, DDG, TDDDG

§ 1 Geltungsbereich und Rollenklarstellung

(1) Diese Nutzungsbedingungen (nachfolgend „NB") gelten für sämtliche Verträge über die Nutzung der OneAI SaaS-Plattform (nachfolgend „Plattform" oder „OneAI"), die die oneAI GmbH (nachfolgend „Anbieter") mit Unternehmern (§ 14 BGB), juristischen Personen des öffentlichen Rechts und öffentlich-rechtlichen Sondervermögen (nachfolgend „Kunde") schließt.

(2) Die Plattform richtet sich ausschließlich an geschäftlich handelnde Kunden und nicht an Verbraucher im Sinne des § 13 BGB.

(3) Im Sinne der Verordnung (EU) 2024/1689 (EU AI Act) nimmt der Anbieter die Rolle des Anbieters (Provider) gemäß Art. 3 Nr. 3 EU AI Act ein. Der Anbieter entwickelt die Plattform und bringt sie unter eigenem Namen auf den EU-Markt. Diese Rolle ergibt sich kraft Gesetzes (Art. 25 Abs. 1 lit. a EU AI Act) und ist nicht abdingbar.

(4) Der Kunde nimmt die Rolle des Betreibers (Deployer) gemäß Art. 3 Nr. 4 EU AI Act ein und trägt die sich daraus ergebenden eigenständigen, gesetzlichen Pflichten, insbesondere nach Art. 26 EU AI Act.

(5) Ergänzend gelten die Allgemeinen Geschäftsbedingungen der oneAI GmbH in der jeweils aktuellen Fassung (abrufbar unter /de/customer-terms). Bei Widersprüchen zwischen diesen NB und den AGB der oneAI GmbH gehen diese NB für die Nutzung der Plattform vor.

(6) Entgegenstehende oder abweichende Geschäftsbedingungen des Kunden werden nicht Vertragsbestandteil, es sei denn, der Anbieter stimmt ihrer Geltung ausdrücklich und schriftlich zu.

§ 2 Vertragsgegenstand und Leistungsbeschreibung

2.1 Plattformleistung

(1) OneAI ist eine KI-Governance- und Produktivitätsplattform für Unternehmen. Sie bietet chat-basierten Zugang zu Large Language Models (LLMs) mit integriertem Compliance-Monitoring, Audit-Logging und Datengovernance für EU-Unternehmen.

(2) Die Plattform umfasst folgende Module:

(3) Der Anbieter stellt die Plattform als Software-as-a-Service (SaaS) unter der URL hub.oneai.eu bereit. Der Kunde benötigt einen eigenen Internetzugang, dessen Bereitstellung nicht zum Leistungsumfang des Anbieters gehört.

2.2 KI-Modelle

(1) Die Plattform ermöglicht den Zugang zu KI-Modellen verschiedener Anbieter (Public Models, z. B. OpenAI GPT, Anthropic Claude, Google Gemini, Mistral AI) sowie zu vom Kunden bereitgestellten oder selbst gehosteten Modellen (Private Models).

(2) Public Models werden von Drittanbietern betrieben und bereitgestellt. Der Anbieter übernimmt keine Gewährleistung für die Funktionsfähigkeit, Verfügbarkeit, Richtigkeit oder Vollständigkeit der Ausgaben von Public Models. Die Nutzungsbedingungen und Datenschutzbestimmungen des jeweiligen LLM-Anbieters gelten zusätzlich zu diesen NB.

(3) Der Anbieter ist berechtigt, LLM-Anbieter zu ändern, neue Modelle hinzuzufügen oder bestehende Modelle zu entfernen, sofern die wesentliche Nutzbarkeit der Plattform nicht erheblich eingeschränkt wird. Der Kunde wird über wesentliche Änderungen mit einer Frist von 14 Tagen informiert. Führt eine Änderung zu einer erheblichen Einschränkung der Nutzbarkeit, hat der Kunde ein Sonderkündigungsrecht mit einer Frist von 30 Tagen zum Monatsende.

2.3 Drittanbieter-Integrationen

(1) Die OneConnect-Konnektoren binden Drittanbieter-Dienste an (Microsoft 365, Google Workspace, GitHub, ClickUp, weclapp u. a.). Für diese Dienste gelten deren jeweilige Nutzungsbedingungen. Der Anbieter haftet nicht für die Verfügbarkeit, Funktionsfähigkeit oder Datenschutzkonformität dieser Drittanbieter-Dienste.

(2) Der Kunde ist für die ordnungsgemäße Autorisierung der Konnektoren (OAuth-Tokens) und die Einhaltung der Nutzungsbedingungen der jeweiligen Drittanbieter selbst verantwortlich.

§ 3 Zweckbestimmung und Nutzungseinschränkungen (Intended Purpose)

3.1 Bestimmungsgemäße Verwendung

(1) OneAI ist eine allgemeine KI-Governance- und Produktivitätsplattform für Unternehmen. Sie bietet chat-basierten Zugang zu Large Language Models mit integriertem Compliance-Monitoring, Audit-Logging und Datengovernance für EU-Unternehmen.

(2) Die bestimmungsgemäße Verwendung umfasst insbesondere: Texterstellung und -bearbeitung, Dokumentenanalyse, Zusammenfassungen, Übersetzungen, Code-Unterstützung, Recherche, Brainstorming, Datenanalyse sowie allgemeine wissensbasierte Aufgaben im geschäftlichen Kontext.

3.2 Ausschluss von Hochrisiko-Anwendungen (Annex III EU AI Act)

⚠️ WICHTIG – Bitte sorgfältig lesen

(1) OneAI ist NICHT konzipiert, bestimmt oder vermarktet für den Einsatz in einem der in Anhang III der Verordnung (EU) 2024/1689 aufgeführten Bereiche. Die Nutzung der Plattform für die folgenden Zwecke ist ausdrücklich untersagt:

(2) Die Nutzung der Plattform für einen der vorstehenden Zwecke stellt eine schwerwiegende Vertragsverletzung dar, die den Anbieter zur sofortigen Sperrung des Zugangs und zur außerordentlichen Kündigung berechtigt.

(3) Gemäß Art. 25 Abs. 1 lit. c EU AI Act kann ein Kunde, der OneAI für einen nicht vorgesehenen Hochrisiko-Zweck einsetzt, selbst die Pflichten eines Anbieters für das resultierende Hochrisiko-KI-System übernehmen. Der Kunde stellt den Anbieter von sämtlichen Ansprüchen Dritter, Behörden und Regulierungsstellen frei, die aus einer vertragswidrigen Nutzung resultieren.

3.3 Art. 6 Abs. 4 – Non-High-Risk-Bewertung

(1) Der Anbieter hat gemäß Art. 6 Abs. 4 EU AI Act eine dokumentierte Bewertung vorgenommen, dass OneAI trotz potenzieller Überschneidungen mit Anhang III kein Hochrisiko-KI-System ist. Die Bewertung stützt sich darauf, dass OneAI:

• ein allgemeines Produktivitätswerkzeug ist, vergleichbar mit einer Suchmaschine oder einem Textverarbeitungsprogramm mit KI-Unterstützung,
• keine autonomen Entscheidungen in Anhang-III-Bereichen trifft,
• keine Profile natürlicher Personen für Entscheidungszwecke erstellt,
• nicht in sicherheitskritische Systeme eingebettet ist.

(2) Diese Bewertung wird auf Anfrage zuständigen nationalen Behörden vorgelegt.

3.4 Compliance-Überwachung

(1) Der Anbieter setzt einen automatisierten Compliance-Copiloten (selbst gehostetes KI-Modell) ein, der Nutzungsanfragen auf mögliche Anhang-III-Muster prüft. Der Compliance-Copilot kann Anfragen blockieren, eskalieren oder mit einem Risikohinweis versehen.

(2) Der Kunde akzeptiert, dass automatisierte Compliance-Prüfungen stattfinden und Anfragen ggf. blockiert oder modifiziert werden können, wenn ein Anhang-III-Muster erkannt wird.

3.5 Ausschluss sicherheitskritischer und lebensgefährdender Einsatzbereiche (Hazardous Environments)

⚠️ WICHTIG – Sicherheitskritische Anwendungen

(1) Die Plattform ist NICHT konzipiert, entwickelt, getestet, lizenziert oder zugelassen für den Einsatz in sicherheitskritischen Umgebungen, in denen ein Versagen der Software zu Tod, Körperverletzung, schweren Sach- oder Umweltschäden oder zu einer Gefährdung der öffentlichen Sicherheit führen könnte (nachfolgend „Sicherheitskritische Anwendungen"). Dies umfasst insbesondere, aber nicht abschließend:

(2) Der Kunde erkennt an, dass die Plattform ein allgemeines Produktivitätswerkzeug ist und nicht die Anforderungen an ausfallsichere Systeme (Fail-Safe-Design) erfüllt, wie sie für die vorgenannten Einsatzbereiche nach dem Stand der Technik und den einschlägigen Normen (u. a. IEC 61508, IEC 62304, DO-178C, ISO 26262, DIN EN 50126, IAEA Safety Standards) erforderlich sind.

(3) Setzt der Kunde die Plattform entgegen dieser Bestimmung in einer Sicherheitskritischen Anwendung ein, geschieht dies ausschließlich auf eigenes Risiko und eigene Verantwortung des Kunden. Der Kunde ist in diesem Fall verpflichtet, alle erforderlichen Fail-Safe-, Backup-, Redundanz- und sonstigen Sicherheitsmaßnahmen eigenständig zu treffen.

(4) Der Anbieter und seine verbundenen Unternehmen schließen jegliche Haftung — soweit gesetzlich zulässig — für Schäden aus, die durch den Einsatz der Plattform in Sicherheitskritischen Anwendungen entstehen. Dies umfasst insbesondere Sachschäden, Umweltschäden sowie mittelbare Schäden und Folgeschäden. Die gesetzlich unabdingbare Haftung (insbesondere bei Vorsatz, grober Fahrlässigkeit, Verletzung von Leben, Körper oder Gesundheit sowie nach dem Produkthaftungsgesetz) bleibt unberührt.

(5) Der Kunde stellt den Anbieter von sämtlichen Ansprüchen Dritter frei, die aus dem Einsatz der Plattform in Sicherheitskritischen Anwendungen resultieren, einschließlich Ansprüchen von Behörden, Regulierungsstellen, geschädigten Dritten und Versicherungen. Die Freistellungspflicht umfasst auch die angemessenen Kosten der Rechtsverteidigung.

(6) Der Einsatz in Sicherheitskritischen Anwendungen stellt eine schwerwiegende Vertragsverletzung dar, die den Anbieter zur sofortigen Sperrung (§ 15) und zur außerordentlichen Kündigung (§ 12 Abs. 4) berechtigt.

§ 4 Registrierung und Kundenkonto

(1) Die Nutzung der Plattform setzt die Registrierung eines Kundenkontos voraus. Der Kunde verpflichtet sich, wahrheitsgemäße, vollständige und aktuelle Angaben bei der Registrierung zu machen und diese aktuell zu halten.

(2) Der Kunde ist für die Geheimhaltung seiner Zugangsdaten verantwortlich. Mitarbeiter des Kunden und von ihm autorisierte Nutzer gelten nicht als Dritte im Sinne dieser Bestimmung. Der Kunde hat den Anbieter unverzüglich zu informieren, wenn Anhaltspunkte dafür bestehen, dass ein Kundenkonto von unbefugten Dritten genutzt wird.

(3) Jede Organisation (Mandant) ist strikt von anderen Mandanten isoliert. Alle Datenbankabfragen werden mandantenspezifisch gefiltert.

§ 5 Vertragsschluss

(1) Die Darstellung der Plattform und der Tarife auf der Website stellt kein verbindliches Angebot des Anbieters dar.

(2) Der Vertrag kommt zustande, wenn der Kunde den Registrierungsprozess abschließt und den gewählten Tarif durch Klicken auf „Zahlungspflichtigen Vertrag abschließen" (oder eine vergleichbare Schaltfläche) bestätigt. Der Anbieter bestätigt den Vertragsschluss per E-Mail innerhalb von 5 Werktagen.

(3) Für Enterprise-Verträge gelten abweichende Regelungen, die in einem gesonderten Enterprise Agreement festgelegt werden.

§ 6 Nutzungsrechte

(1) Der Anbieter räumt dem Kunden für die Vertragslaufzeit ein einfaches (nicht ausschließliches), nicht übertragbares, nicht unterlizenzierbares, widerrufliches Recht zur Nutzung der Plattform im Rahmen dieser NB ein.

(2) Die Nutzung ist auf den eigenen geschäftlichen Gebrauch des Kunden beschränkt. Dem Kunden ist insbesondere untersagt:

• a) die Plattform Dritten zur Nutzung zu überlassen, zu vermieten oder unterzulizenzieren,
• b) die Plattform oder Teile davon zu reproduzieren, zu dekompilieren, zu disassemblieren oder zurückzuentwickeln (außer in dem nach §§ 69d, 69e UrhG gesetzlich zulässigen Umfang),
• c) die Plattform zur Entwicklung eines konkurrierenden Dienstes zu nutzen,
• d) automatisierte Zugriffe (Scraping, Bots) auf die Plattform durchzuführen, sofern dies nicht über die bereitgestellte API im Rahmen der Fair-Use-Policy erfolgt.

§ 7 Pflichten und Verantwortung des Kunden

7.1 Inhaltliche Verantwortung

(1) Der Kunde räumt dem Anbieter an den vom Kunden eingestellten Inhalten (Prompts, Dokumente, Dateien) ein zeitlich auf die Vertragslaufzeit beschränktes Nutzungsrecht ein, soweit dies für die Vertragserfüllung (insbesondere die Verarbeitung durch LLMs, RAG-Indexierung und Speicherung) erforderlich ist.

(2) Der Kunde gewährleistet, dass die von ihm über die Plattform verarbeiteten Inhalte nicht gegen geltendes Recht oder Rechte Dritter verstoßen. Der Kunde darf insbesondere keine Inhalte einstellen oder verarbeiten, die:

• a) gegen Urheber-, Marken-, Patent- oder sonstige Schutzrechte Dritter verstoßen,
• b) strafrechtlich relevant, rassistisch, diskriminierend, pornographisch oder gewaltverherrlichend sind,
• c) gegen die Nutzungsrichtlinien (Acceptable Use Policies) der eingesetzten LLM-Anbieter verstoßen.

(3) Die Nutzung der Plattform für einen der in § 3 Abs. 2 ausgeschlossenen Hochrisiko-Zwecke (Anhang III EU AI Act) oder für Sicherheitskritische Anwendungen gemäß § 3.5 ist ausdrücklich untersagt.

7.2 Kooperationspflichten (Art. 26 EU AI Act)

(1) Der Kunde ist verpflichtet:

• a) den Anbieter über konkrete Use Cases zu informieren, die über die in § 3.1 beschriebene bestimmungsgemäße Verwendung hinausgehen,
• b) die Plattform gemäß den Anweisungen und der technischen Dokumentation des Anbieters zu nutzen,
• c) die menschliche Aufsicht über KI-generierte Ausgaben sicherzustellen (Art. 26 Abs. 2 EU AI Act),
• d) entdeckte Risiken unverzüglich an den Anbieter zu melden (Art. 26 Abs. 5 EU AI Act),
• e) seine eigenen Beschäftigten vor dem Einsatz der Plattform am Arbeitsplatz über die KI-Nutzung zu informieren (Art. 26 Abs. 7 EU AI Act).

7.3 Einhaltung von LLM-Provider-Richtlinien

(1) Bei Nutzung von Public Models ist der Kunde zusätzlich zur Einhaltung der Acceptable Use Policies (AUPs) der jeweiligen LLM-Anbieter verpflichtet, insbesondere:

• Microsoft Azure Code of Conduct (für über Azure bereitgestellte Modelle),
• OpenAI Usage Policies,
• Anthropic Acceptable Use Policy,
• Google Cloud Terms of Service.

7.4 Fair-Use-Policy

(1) Die Nutzung unterliegt einer Fair-Use-Policy. Der Anbieter behält sich vor, bei missbräuchlicher oder übermäßiger Nutzung (z. B. automatisierte Massenabfragen, systematisches Auslesen) den Zugang einzuschränken.

7.5 Freistellung

(1) Der Kunde stellt den Anbieter von sämtlichen Ansprüchen Dritter frei, die auf einer vertragswidrigen Nutzung der Plattform durch den Kunden beruhen. Dies umfasst insbesondere Ansprüche aus der Verletzung von Rechten Dritter durch vom Kunden eingestellte Inhalte, Ansprüche aus einer verbotswidrigen Nutzung für Hochrisiko-Zwecke (§ 3.2) sowie Ansprüche aus dem Einsatz in Sicherheitskritischen Anwendungen (§ 3.5).

7.6 Datensicherung

(1) Der Kunde ist für die regelmäßige Sicherung seiner Daten eigenverantwortlich. Der Anbieter empfiehlt den regelmäßigen Export wichtiger Inhalte über die bereitgestellten Exportfunktionen (JSON, CSV, PDF).

§ 8 Verfügbarkeit und Wartung

(1) Der Anbieter strebt eine monatliche durchschnittliche Verfügbarkeit von 99 % der Plattform an (gemessen am jeweiligen Kalendermonat). Nicht in die Berechnung einbezogen werden:

• a) geplante Wartungsfenster gemäß Abs. 3,
• b) Störungen durch höhere Gewalt (§ 12 Abs. 5),
• c) Störungen, die der Kunde zu vertreten hat,
• d) Einschränkungen oder Ausfälle der LLM-Provider, die außerhalb des Einflussbereichs des Anbieters liegen.

(2) Die Verfügbarkeit der eingesetzten LLM-Modelle wird vom Anbieter nicht garantiert, da diese von Drittanbietern betrieben werden. Der Anbieter informiert den Kunden unverzüglich über ihm bekannte Einschränkungen bei LLM-Providern.

(3) Wartungsarbeiten finden nach Möglichkeit an Samstagen und Sonntagen zwischen 00:00 und 07:00 Uhr statt und werden mindestens 7 Tage im Voraus angekündigt. Die Wartungszeit beträgt maximal 24 Stunden pro Kalendermonat.

(4) Der Kunde meldet Störungen per E-Mail an support@oneai.eu. Der Anbieter bestätigt den Eingang innerhalb von 1 Werktag und leitet die Fehlerbehebung ein.

§ 9 Vergütung und Zahlungsbedingungen

(1) Die Vergütung richtet sich nach dem vom Kunden gewählten Tarif (Starter, Team, Enterprise) und dem tatsächlichen Nutzungsumfang (Token-Verbrauch, Anzahl Nutzer, Speichervolumen). Die aktuellen Tarife sind unter hub.oneai.eu/pricing einsehbar.

(2) Alle Preise verstehen sich als Nettopreise zuzüglich der jeweils geltenden gesetzlichen Umsatzsteuer.

(3) Die Abrechnung erfolgt monatlich. Rechnungen sind innerhalb von 14 Tagen ab Rechnungsstellung ohne Abzug zu zahlen. Der Kunde stimmt der elektronischen Rechnungsstellung zu.

(4) Kosten für LLM-Nutzung, die auf Preisänderungen der LLM-Anbieter (OpenAI, Anthropic, Google, Mistral u. a.) zurückgehen, werden an den Kunden weitergegeben. Der Anbieter informiert den Kunden mindestens 30 Tage vor Inkrafttreten von Preisänderungen. Beträgt die Erhöhung mehr als 10 % des bisherigen Monatsentgelts, hat der Kunde ein Sonderkündigungsrecht mit einer Frist von 4 Wochen zum Monatsende.

(5) Fremdwährungskosten (insbesondere USD-basierte LLM-Kosten) werden zum Referenzkurs der Europäischen Zentralbank am Tag der Rechnungsstellung umgerechnet.

(6) Die Zahlungsabwicklung erfolgt über Stripe, Inc. (EU-Verarbeitung via Stripe Payments Europe, Ltd., Irland).

(7) Der Kunde ist zur Aufrechnung oder Zurückbehaltung nur mit unbestrittenen oder rechtskräftig festgestellten Gegenforderungen berechtigt.

(8) Der Anbieter ist bei Zahlungsverzug des Kunden von mehr als 30 Kalendertagen berechtigt, den Zugang zur Plattform vorläufig zu sperren, bis die offenen Forderungen beglichen sind. Die Sperrung gilt nicht als Rücktritt vom Vertrag. Die vertraglichen Zahlungspflichten des Kunden bleiben unberührt.

§ 10 Gewährleistung

(1) Für die Bereitstellung der Plattform als SaaS gelten die §§ 536 ff. BGB (Mietrecht) entsprechend. Eine verschuldensunabhängige Haftung für Mängel bei Vertragsschluss (§ 536a Abs. 1 Alt. 1 BGB) ist ausgeschlossen.

(2) Der Anbieter schuldet die Bereitstellung der Plattform in vertragsgemäßem Zustand und deren Instandhaltung. Eine Nacherfüllung erfolgt nach Wahl des Anbieters durch kostenfreie Behebung des Mangels oder Bereitstellung einer mangelfreien Version.

(3) Eine Minderung durch den Kunden setzt voraus, dass der Anbieter trotz angemessener Fristsetzung den Mangel nicht behebt. Die Selbstvornahme gemäß § 536a Abs. 2 BGB ist ausgeschlossen.

(4) Für den Internetzugang des Kunden sowie für die hardware- und softwareseitige Kompatibilität auf Kundenseite übernimmt der Anbieter keine Gewährleistung.

10.1 KI-spezifischer Haftungsausschluss

⚠️ Wichtiger Hinweis zu KI-generierten Inhalten

(5) KI-generierte Inhalte (Texte, Zusammenfassungen, Code, Bilder, Analysen) werden von Drittanbieter-LLMs erzeugt und können fehlerhaft, unvollständig, irreführend oder sachlich falsch sein (sog. „Halluzinationen"). Der Anbieter übernimmt keine Gewähr für:

• a) die Richtigkeit, Vollständigkeit oder Aktualität von KI-generierten Ausgaben,
• b) die Eignung der Ausgaben für einen bestimmten Zweck,
• c) die urheberrechtliche Unbedenklichkeit KI-generierter Inhalte,
• d) die Freiheit von Voreingenommenheit (Bias) der eingesetzten KI-Modelle.

(6) Der Kunde ist verpflichtet, KI-generierte Ausgaben eigenverantwortlich zu prüfen, bevor er sie für geschäftliche Entscheidungen, rechtliche Zwecke oder die Kommunikation mit Dritten verwendet. Die Plattform ersetzt keine fachkundige Beratung (rechtlich, medizinisch, steuerlich, technisch oder sonstig).

§ 11 Haftung und Schadensersatz

(1) Die Haftung des Anbieters richtet sich nach den folgenden Bestimmungen, die die Haftung des Anbieters auf Schadensersatz oder Aufwendungsersatz – gleich aus welchem Rechtsgrund (Vertragsverletzung, Verzug, unerlaubte Handlung, vorvertragliche Pflichtverletzung) – regeln.

(2) Der Anbieter haftet unbeschränkt:

• a) bei Vorsatz und grober Fahrlässigkeit,
• b) bei Verletzung des Lebens, des Körpers oder der Gesundheit,
• c) nach den Vorschriften des Produkthaftungsgesetzes (ProdHaftG),
• d) für garantierte Beschaffenheitsmerkmale.

(3) Der Anbieter haftet nicht bei einfacher Fahrlässigkeit, außer bei Verletzung vertragswesentlicher Pflichten (Kardinalpflichten). Vertragswesentlich sind Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf. Hierzu zählen insbesondere:

• die Bereitstellung der Plattform in vertragsgemäßem Zustand,
• die Einhaltung der vereinbarten Verfügbarkeit,
• der Schutz der Kundendaten vor unberechtigtem Zugriff,
• die ordnungsgemäße Durchführung der Auftragsverarbeitung.

(4) Soweit der Anbieter nach Abs. 3 dem Grunde nach haftet, ist die Haftung auf den bei Vertragsschluss vorhersehbaren, typischerweise eintretenden Schaden begrenzt. Mittelbare Schäden und Folgeschäden (insbesondere entgangener Gewinn, Produktionsausfall, Datenverlust) sind nur ersatzfähig, soweit sie typischerweise zu erwarten sind.

(5) Im Falle einer Haftung für einfache Fahrlässigkeit ist die Ersatzpflicht des Anbieters begrenzt auf:

• 50.000 € pro Schadensfall, bzw.
• 100.000 € für sämtliche innerhalb eines Kalenderjahres entstehenden Schadensfälle.

(6) Die vorstehenden Haftungsausschlüsse und -beschränkungen gelten in gleichem Umfang zugunsten der Organe, gesetzlichen Vertreter, Angestellten und sonstigen Erfüllungsgehilfen des Anbieters.

11.1 Besondere Haftungsregelungen für LLM-Provider

(7) Soweit ein Schaden auf das Verhalten eines LLM-Drittanbieters (OpenAI, Anthropic, Google, Mistral u. a.) zurückzuführen ist, ist die Haftung des Anbieters darauf beschränkt, dem Kunden seine gegen den LLM-Anbieter bestehenden Ansprüche abzutreten. Der Anbieter unterstützt den Kunden bei der Durchsetzung dieser Ansprüche.

11.2 Haftung nach EU AI Act

(8) Eine gesetzliche Haftung des Anbieters nach den Vorschriften der Verordnung (EU) 2024/1689 (EU AI Act) kann durch diese NB nicht ausgeschlossen werden. Insbesondere bleiben die Pflichten des Anbieters als Provider gemäß Art. 16 EU AI Act unberührt.

11.3 Haftung bei vertragswidriger Hochrisiko-Nutzung und Sicherheitskritischen Anwendungen

(9) Der Anbieter haftet nicht für Schäden, die daraus resultieren, dass der Kunde die Plattform entgegen § 3.2 für Hochrisiko-Zwecke (Anhang III EU AI Act) oder entgegen § 3.5 für Sicherheitskritische Anwendungen einsetzt. In diesem Fall übernimmt der Kunde gemäß Art. 25 Abs. 1 lit. c EU AI Act ggf. selbst die Pflichten eines Anbieters und stellt den Anbieter von sämtlichen resultierenden Ansprüchen frei.

§ 12 Vertragslaufzeit und Beendigung

(1) Der Vertrag wird auf unbestimmte Zeit geschlossen (monatliche Tarife) oder für eine feste Laufzeit (jährliche Tarife).

(2) Monatliche Tarife können mit einer Frist von 7 Tagen zum Ende des Kalendermonats gekündigt werden. Jährliche Tarife verlängern sich automatisch um jeweils 12 Monate, sofern nicht mit einer Frist von 30 Tagen vor Ablauf der Laufzeit gekündigt wird.

(3) Die Kündigungsfrist beträgt maximal 2 Monate (Art. 25 Abs. 1 Verordnung (EU) 2023/2854 – EU Data Act).

(4) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt für den Anbieter insbesondere vor, wenn:

• a) der Kunde die Plattform für ausgeschlossene Hochrisiko-Zwecke nutzt (§ 3.2) oder in Sicherheitskritischen Anwendungen einsetzt (§ 3.5),
• b) der Kunde gegen die Acceptable Use Policies der LLM-Anbieter verstößt,
• c) der Kunde mit der Zahlung fälliger Beträge um mehr als 2 Monate in Verzug ist,
• d) über das Vermögen des Kunden ein Insolvenzverfahren eröffnet oder die Eröffnung mangels Masse abgelehnt wird.

(5) Wird ein Fall höherer Gewalt (Naturkatastrophen, Pandemien, Krieg, Unruhen, Cyberangriffe, die auch mit zumutbarer Sorgfalt nicht hätten abgewendet werden können, behördliche Anordnungen, Streiks) die Leistungserbringung wesentlich erschweren oder unmöglich machen und dauert die Behinderung länger als 30 Tage, sind beide Parteien zur außerordentlichen Kündigung berechtigt.

(6) Die Kündigung bedarf der Schriftform oder der elektronischen Übermittlung per E-Mail an die hinterlegte Adresse.

§ 13 Datenexport und Wechsel (EU Data Act)

(1) Der Kunde hat jederzeit das Recht, alle seine Daten und digitalen Assets aus der Plattform zu exportieren. Der Export erfolgt in strukturierten, gängigen und maschinenlesbaren Formaten (JSON, CSV, PDF).

(2) Nach Kündigung stellt der Anbieter innerhalb einer 30-tägigen Übergangsperiode den vollständigen Datenexport sicher und unterstützt den Kunden bei der Migration.

(3) Ab dem 12. Januar 2027 werden keine Wechsel- oder Daten-Egress-Gebühren erhoben (Art. 29 Verordnung (EU) 2023/2854).

(4) Der Anbieter veröffentlicht eine aktuelle Dokumentation der verfügbaren Export-Formate, API-Endpunkte und Datenstrukturen.

§ 14 Folgen der Vertragsbeendigung

(1) Nach Beendigung des Vertrags gilt:

(2) Gesetzlich vorgeschriebene Aufbewahrungsfristen bleiben unberührt. Dies betrifft insbesondere:

• Abrechnungsdaten: 10 Jahre (§ 257 HGB, § 147 AO),
• Provider Audit Log: 36 Monate (EU AI Act Art. 19, 72).

(3) Bei Self-Managed- oder Private-Cloud-Installationen hat der Kunde alle Kopien der Software zu löschen und die Löschung auf Verlangen schriftlich zu bestätigen.

§ 15 Sperrung des Zugangs

(1) Der Anbieter ist berechtigt, den Zugang des Kunden vorübergehend oder dauerhaft zu sperren, wenn:

• a) ein begründeter Verdacht auf einen Verstoß gegen § 3.2 (Hochrisiko-Nutzung), § 3.5 (Sicherheitskritische Anwendungen) oder § 7.1 Abs. 2 (verbotene Inhalte) besteht,
• b) der Kunde trotz Mahnung mit der Zahlung fälliger Beträge in Verzug ist,
• c) die Sperrung zur Abwehr einer unmittelbaren Gefahr für die Plattform, andere Kunden oder Dritte erforderlich ist.

(2) Der Anbieter informiert den Kunden unverzüglich per E-Mail über die Sperrung und deren Gründe. Bei einer vorübergehenden Sperrung wird der Zugang wieder freigegeben, sobald der Sperrgrund entfallen ist.

(3) Eine dauerhafte Sperrung ist gleichbedeutend mit einer außerordentlichen Kündigung und berechtigt den Anbieter zur sofortigen Löschung vertragswidriger Inhalte.

§ 16 KI-Transparenzhinweise (Art. 50 EU AI Act)

(1) OneAI informiert den Nutzer an der Benutzeroberfläche, dass er mit einem KI-System interagiert und dass Antworten KI-generiert sind (Art. 50 Abs. 1 EU AI Act).

(2) Von OneAI generierte synthetische Inhalte (Texte, Bilder) werden als KI-generiert gekennzeichnet. KI-generierte Bilder enthalten maschinenlesbare Metadaten zur Kennzeichnung als synthetische Inhalte (Art. 50 Abs. 2 EU AI Act).

(3) Exportierte Dokumente enthalten einen KI-Disclaimer in der Fußzeile, der auf die KI-Generierung hinweist.

(4) Der Kunde als Betreiber ist verpflichtet, seinerseits die Art.-50-Pflichten einzuhalten, insbesondere gegenüber Personen, mit denen er KI-generierte Inhalte teilt.

§ 17 Datenverarbeitung und Datenschutz

17.1 Auftragsverarbeitung

(1) Der Anbieter verarbeitet personenbezogene Daten der Nutzer des Kunden im Auftrag des Kunden. Der Kunde ist Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO; der Anbieter ist Auftragsverarbeiter gemäß Art. 28 DSGVO.

(2) Die Nutzung der Plattform setzt den Abschluss eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO voraus. Der AVV wird mit Annahme dieser NB automatisch Vertragsbestandteil und ist unter hub.oneai.eu/legal/avv abrufbar.

(3) Für bestimmte eigene Zwecke (Account-Verwaltung, Abrechnung, anonymisiertes Provider Audit Log, Plattform-Analytics, Missbrauchsprävention) ist der Anbieter eigener Verantwortlicher. Näheres regelt die Datenschutzerklärung unter hub.oneai.eu/legal/datenschutz.

17.2 Kein Training auf Kundendaten

(4) Der Anbieter verwendet Kundendaten niemals zum Training eigener oder fremder KI-Modelle. Dies ist vertraglich garantiert und technisch durchgesetzt.

17.3 Unterauftragsverarbeiter

(5) Der Anbieter setzt externe Unterauftragsverarbeiter ein. Die aktuelle Liste ist unter hub.oneai.eu/legal/subprocessors abrufbar und als Anlage 1 beigefügt.

(6) Der Kunde wird über Änderungen der Unterauftragsverarbeiter-Liste mindestens 30 Tage im Voraus per E-Mail informiert und hat ein Widerspruchsrecht. Kann keine einvernehmliche Lösung erzielt werden, steht dem Kunden ein außerordentliches Kündigungsrecht zu.

17.4 Drittlandtransfer

(7) Daten werden primär in Deutschland (Hetzner Online GmbH, Rechenzentren Nürnberg/Falkenstein) verarbeitet. Soweit Daten an US-basierte Unterauftragsverarbeiter (OpenAI, Anthropic, Stripe u. a.) übermittelt werden, geschieht dies auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 und ergänzenden technischen Maßnahmen (TLS-Verschlüsselung, Zero Data Retention, vertragliche No-Training-Klauseln).

(8) Der Drittlandtransfer kann durch ausschließliche Nutzung von Private Models und EU-basierten Diensten (Mistral AI, Hetzner, weclapp) vollständig vermieden werden.

§ 18 Dual Audit Log

(1) Der Anbieter betreibt ein Dual-Audit-Log-System:

(2) Beide Log-Systeme sind unveränderlich (Hash-Chain + Datenbankregeln gegen UPDATE/DELETE) und sichern die lückenlose Nachvollziehbarkeit aller KI-Interaktionen.

(3) Der Deployer Log ist vom Kunden im CSV-, JSON- oder PDF-Format exportierbar.

(4) Protokolliert werden insbesondere: KI-Interaktionen (Modellauswahl, Token-Verbrauch), Risikoklassifikationen durch den Compliance-Copiloten, blockierte oder eskalierte Anfragen, Nutzerverwaltungsereignisse, Connector-Synchronisierungen und Systemereignisse.

§ 19 Geistiges Eigentum und Urheberrecht

(1) Alle Rechte an der Plattform (Software, Benutzeroberfläche, Algorithmen, Dokumentation, Marken) stehen ausschließlich dem Anbieter zu. Der Kunde erwirbt durch diese NB kein Eigentum oder sonstige Rechte über das in § 6 eingeräumte Nutzungsrecht hinaus.

(2) Der Anbieter übernimmt keine Gewähr für die urheberrechtliche Unbedenklichkeit KI-generierter Inhalte. Die LLMs der Drittanbieter wurden mit Materialien trainiert, deren urheberrechtlicher Status nicht in jedem Fall geklärt ist. Der Kunde ist für die Prüfung und Nutzung der generierten Inhalte selbst verantwortlich.

(3) An den vom Kunden in die Plattform eingegebenen Inhalten verbleiben alle Rechte beim Kunden. Der Anbieter erwirbt daran nur die in § 7.1 Abs. 1 genannten Nutzungsrechte zur Vertragserfüllung.

§ 20 Vertraulichkeit

(1) Beide Parteien verpflichten sich, sämtliche im Rahmen der Vertragsbeziehung erlangten vertraulichen Informationen der jeweils anderen Partei (insbesondere Geschäftsgeheimnisse, technisches Know-how, Kundendaten, Algorithmen, Preisgestaltung, Geschäftsstrategien) vertraulich zu behandeln und nicht an Dritte weiterzugeben.

(2) Die Vertraulichkeitspflicht gilt nicht für Informationen, die:

• a) zum Zeitpunkt der Mitteilung bereits öffentlich bekannt waren oder ohne Verschulden der empfangenden Partei öffentlich bekannt werden,
• b) der empfangenden Partei vor der Mitteilung bereits bekannt waren,
• c) von der empfangenden Partei unabhängig entwickelt wurden,
• d) aufgrund gesetzlicher oder behördlicher Anordnung offengelegt werden müssen.

(3) Die Vertraulichkeitspflicht besteht über das Ende des Vertragsverhältnisses hinaus fort.

§ 21 Besondere Regelungen für regulierte Branchen

(1) Finanzsektor (DORA – EU 2022/2554): Für Kunden, die der Verordnung (EU) 2022/2554 unterliegen, stellt der Anbieter auf Anfrage eine DORA-Zusatzvereinbarung bereit, die IKT-Risikomanagement-Anforderungen, Meldepflichten und Prüfungsrechte der Finanzaufsicht adressiert.

(2) Gesundheitswesen: Kunden im Gesundheitswesen wird die ausschließliche Nutzung von Private Models empfohlen. Eine gesonderte Vereinbarung zur Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist erforderlich.

(3) Öffentliche Verwaltung: Der Anbieter unterstützt BSI-IT-Grundschutz-konforme Konfigurationen und bietet die Möglichkeit der ausschließlichen EU-Datenverarbeitung (Mistral AI + Private Models + Hetzner).

§ 22 Deployment-spezifische Bedingungen

(1) Diese NB gelten vollumfänglich für die SaaS-Nutzung unter hub.oneai.eu.

(2) Für Private-Cloud-Installationen gelten diese NB ergänzend zu einem gesonderten Enterprise Agreement, das individuelle Regelungen zu Hosting, Wartung, SLA und Compliance enthält.

(3) Für On-Premises-Installationen gelten gesonderte Lizenzbedingungen. In diesem Fall entfallen die §§ 8, 9, 14 und 17 dieser NB ganz oder teilweise und werden durch die Lizenzvereinbarung ersetzt.

§ 23 Änderung der Leistungen und Nutzungsbedingungen

(1) Der Anbieter ist berechtigt, diese NB und die angebotenen Leistungen zu ändern, soweit dies aufgrund geänderter technischer, rechtlicher oder regulatorischer Anforderungen (insbesondere Änderungen des EU AI Act, der DSGVO, des EU Data Acts) erforderlich oder aufgrund von Änderungen bei den LLM-Providern oder der Infrastrukturkosten gerechtfertigt ist.

(2) Änderungen werden dem Kunden mindestens 6 Wochen vor dem vorgeschlagenen Zeitpunkt des Wirksamwerdens per E-Mail mitgeteilt. Die Zustimmung des Kunden gilt als erteilt, wenn er seine Ablehnung nicht vor dem vorgeschlagenen Zeitpunkt schriftlich angezeigt hat. Der Anbieter wird den Kunden in der Änderungsmitteilung auf diese Rechtsfolge ausdrücklich hinweisen.

(3) Der Anbieter ist nicht berechtigt, den Vertragsgegenstand (Hauptleistungspflichten) durch einseitige Änderung wesentlich zu verändern.

§ 24 Schlussbestimmungen

(1) Anwendbares Recht: Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG) und der Verweisungsnormen des internationalen Privatrechts.

(2) Gerichtsstand: Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesen NB ist der Sitz des Anbieters (Tübingen), soweit der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist oder seinen Sitz im Ausland hat.

(3) Sprache: Maßgeblich ist ausschließlich die deutsche Fassung dieser NB. Übersetzungen dienen nur der Information.

(4) Salvatorische Klausel: Sollten einzelne Bestimmungen dieser NB ganz oder teilweise unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(5) Schriftformklausel: Änderungen und Ergänzungen dieser NB bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieser Schriftformklausel.

Anlage 1 – Unterauftragsverarbeiter-Liste (Stand: April 2026)

Anlage 2 – Intended Purpose Declaration (Kurzfassung)

OneAI ist eine allgemeine KI-Governance- und Produktivitätsplattform für Unternehmen. Sie bietet chat-basierten Zugang zu Large Language Models mit integriertem Compliance-Monitoring, Audit-Logging und Datengovernance für EU-Unternehmen.

OneAI ist NICHT konzipiert, bestimmt oder vermarktet für den Einsatz in einem der in Anhang III der Verordnung (EU) 2024/1689 aufgeführten Bereiche. Die Nutzung von OneAI für Anhang-III-Zwecke stellt einen Verstoß gegen die Nutzungsbedingungen dar.

OneAI ist darüber hinaus NICHT konzipiert, entwickelt, getestet oder zugelassen für den Einsatz in sicherheitskritischen Umgebungen (Hazardous Environments), insbesondere nicht in Nuklearanlagen, Luftfahrt- und Flugsicherungssystemen, Waffensystemen, lebenserhaltenden Systemen, autonomer Verkehrssteuerung, kritischer Versorgungsinfrastruktur, chemischen/petrochemischen Anlagen, Weltraumtechnik, Notfall-/Katastrophenschutzsystemen oder im sicherheitskritischen Bergbau.

Gemäß Art. 25 Abs. 1 lit. c EU AI Act kann ein Kunde, der OneAI für einen nicht vorgesehenen Hochrisiko-Zweck einsetzt, selbst die Anbieterpflichten für das resultierende Hochrisiko-KI-System übernehmen.

Anlage 3 – Regulatorischer Steckbrief

Haftungsausschluss: Diese Nutzungsbedingungen wurden unter Heranziehung der Allgemeinen Geschäftsbedingungen der oneAI GmbH (November 2025), der Verordnung (EU) 2024/1689 (EU AI Act), der DSGVO und der Verordnung (EU) 2023/2854 (EU Data Act) erstellt.

Erstellt: 22. April 2026 · Version 1.1 · Anbieter: oneAI GmbH, Eisenbahnstraße 50, 72072 Tübingen

© 2026 oneAI GmbH. Alle Rechte vorbehalten.