Rechtliches einfach gemacht

Die ehrlichen Antworten auf eure Compliance-Fragen.

Wer Bots im Team einsetzen will, muss sich vor dem Einkauf Fragen stellen, die anderen Software-Anbietern egal sind. Wir beantworten sie hier — in klarer Sprache, ohne Paragraphen-Wand. Für die offizielle Version gibt's danach gern das Paper mit Stempel.

01 // DSGVO

Wo laufen die Bots? Wer sieht die Daten?

Deutschland / EU, DSGVO-konform, AV-Vertrag Standard. Wir beantworten jede Datenschutz-Frage, die dein DSB stellen wird.

 02 // EU AI-Act

Sind eure Bots „Hochrisiko"-KI?

Nein — und wir zeigen dir pro Bot, wie wir unter „Limited Risk" oder darunter bleiben. Transparenz-Pflichten erfüllen wir grundsätzlich.

 03 // Haftung

Wer trägt das Risiko, wenn der Bot Unsinn schreibt?

Standard-BGB-Haftung wie ein seriöser B2B-Dienstleister. Klare Trennung zwischen Bauphase (wir verantworten) und Betrieb (du verantwortest).

 04 // AVV

Auftragsverarbeitung auf Knopfdruck

Unser Standard-AVV liegt bereit, auf Anfrage signiert binnen 48 Stunden. Anpassungen möglich, aber selten nötig.

 05 // Transparenz

Was macht der Bot, was macht der Mensch?

Monatlicher Bot-Report, jederzeit einsehbare Logs, dokumentierte Eskalations-Pfade. Keine Blackbox.

 06 // Daten-Exit

Wie kommt ihr wieder raus?

Ende-Deal = Export-Deal. Alle eure Inhalte, Konfigurationen und Logs kriegst du in maschinenlesbarer Form zurück — binnen 14 Tagen.
// 01 DSGVO

Deine Daten bleiben in Europa — und sichtbar.

Alle Bots laufen auf EU-Servern in Deutschland (Netcup GmbH, Nürnberg/Karlsruhe). Keine Inhalte werden an US-Cloud-Anbieter weitergereicht, außer ihr entscheidet das explizit — z. B. wenn ihr bewusst OpenAI- oder Claude-Modelle über US-Endpunkte nutzen wollt. Selbst dann läuft das über unsere auftragsverarbeitungskonforme Schicht.

Standard-Setup:

  • Hosting in Deutschland (Netcup GmbH, Nürnberg/Karlsruhe)
  • Modell-Inferenz standardmäßig auf EU-Instanzen, mit europäischen Sub-Auftragnehmern
  • AVV nach Art. 28 DSGVO — unsere Standard-Vorlage liegt bereit
  • TOMs (Technische und organisatorische Maßnahmen) dokumentiert, auf Anfrage als PDF

Fragt euer DSB nach Art. 44–49 (Drittlandübermittlung)? Wir haben die Antwort pro Bot dokumentiert — nicht generisch, sondern pro Fall.

// 02 EU AI-Act

Kein „Hochrisiko" — aber auch keine Ausreden.

Die meisten unserer Bots fallen in die AI-Act-Kategorie „Limited Risk" (Transparenzpflicht) oder sind gänzlich ausgenommen. Einige Rollen — etwa im HR-Umfeld — können punktuell unter „High Risk" fallen. Das sagen wir vor dem Vertrag, nicht nach einem Audit.

Pro Bot liefern wir eine Kurz-Einstufung:

  • Risk-Klasse nach AI-Act (Prohibited / High / Limited / Minimal)
  • Wer ist Provider, wer ist Deployer (rechtlich unterschiedliche Pflichten)
  • Transparenzpflicht: Wo weisen wir darauf hin, dass ein Bot antwortet?
  • Bei High-Risk-Kandidaten: FRIA-Vorlage (Fundamental Rights Impact Assessment)

Konkrete Einstufung pro Use-Case machen wir gemeinsam im Diagnose-Gespräch — der Pre-Flight-Quiz liefert in 3 Minuten eine erste Risikoklassen-Einschätzung, komplett im Browser.

// 03 Haftung

Werkvertrag in der Bauphase, Betreiber-Verantwortung danach.

Ein Bot, der falsch antwortet, kann Schaden verursachen. Andere Anbieter schieben das vollständig in die AGB-Tiefen („keinerlei Haftung für Outputs"). Wir machen das nicht — aber wir bauen die Verantwortung auch nicht künstlich groß, sondern teilen sie klar auf:

  • Bauphase = Werkvertrag. Wir bauen den Companion-Bot als Werkleistung nach §§ 631 ff. BGB. Du hast die Werkvertrags-Mängelrechte (Nachbesserung, im Misserfolgsfall Rücktritt) inklusive Abnahme nach § 640 BGB. Standard, jeder Mittelstands-Anwalt kennt das.
  • Haftung in der Bauphase: Standard-BGB. Vorsatz und grobe Fahrlässigkeit unbegrenzt, ProdHaftG und Leib+Leben unbegrenzt, einfache Fahrlässigkeit bei Kardinalpflichten gedeckelt auf das Projekt-Honorar (in der laufenden Begleitung: zwölf Monats-Retainer). Volle Klausel: AGB § 7.
  • Betriebsphase = du als Betreiber. Mit der Abnahme übernimmst du den Bot. Du wirst Anbieter und Betreiber im Sinne des AI-Acts (Art. 26). Drittansprüche aus dem Bot-Betrieb stellen wir uns wechselseitig frei: du stellst half-work frei, soweit wir nicht selbst pflichtverletzt haben (AGB § 8). Das ist im B2B-SaaS- und Dev-Tool-Markt Standard und sauber.
  • Bot-Pat:in als Sub-Auftragnehmer:in. Sie steht mit Klarnamen hinter dem Vorgehensmodell und unterhält eine eigene Beratungs-Berufshaftpflicht (Mindestdeckung 250 k €), die ihre eigene Beratungs- und Audit-Leistung abdeckt — nicht Bot-Outputs als solche. Ein Direktanspruch zwischen dir und der Bot-Pat:in entsteht nicht; alle Ansprüche laufen über half-work.
  • Compliance-Doku-Paket im Werkvertrag. Bei der Übergabe bekommst du ein PDF-Bundle (DSFA-Vorlage, AVV-Entwurf, TOM-Auszug, AI-Act-Klassifikation, Audit-Trail-Sample). Was du damit machst — selbst archivieren, deinem Versicherer/Makler vorlegen, in dein Compliance-System einfließen lassen — entscheidest du. Wir liefern es neutral, ohne Versicherungs-Aussagen.
  • Audit-Trail + Hybrid-Signatur. Jede Bot-Antwort wird mit Ed25519 + ML-DSA-65 (post-quantum-konform) signiert protokolliert. In der laufenden Begleitung gibt es einen quartalsweisen Compliance-Report, strukturanalog zu IDW PS 951 (kein WP-Testat, aber WP-tauglicher Aufbau).
  • Bot eskaliert, statt zu raten. Jeder Bot hat dokumentierte Grenzen, an denen er „frag lieber einen Menschen" sagt. Bei Hochrisiko-Tasks (AI-Act Anhang III) ist Human-in-the-Loop technisch erzwungen.

Wir sind ehrlich zu den Grenzen: KI ersetzt kein gerichtliches Gutachten und keinen fachlichen Letztentscheid. Eine Plattform-Cyber-Police betreiben wir nicht, eine Vermittlung von Versicherungen findet nicht statt. Volldetails: So arbeiten wir.

// 04 Auftragsverarbeitung

AV-Vertrag in 48 Stunden. Unterschrieben.

Unser Standard-AVV nach Art. 28 DSGVO ist jederzeit abrufbar — ihr müsst nicht warten, bis der Deal fast unterschrieben ist. Wir schicken ihn auf Anfrage vorab, damit euer DSB in Ruhe lesen kann.

  • Subunternehmer-Liste liegt bei (Hosting, Modell-Anbieter, Support-Tools)
  • Sub-Auftragnehmer-Wechsel kündigen wir mit 30-Tage-Vorlauf an
  • TOMs beigefügt — kein „siehe ISO 27001-Zertifikat" ohne Details
  • Anpassungen üblich, werden nicht „aus Prinzip" abgelehnt

AVV-Muster jetzt ansehen → Signierte Fassung anfordern

// 05 Transparenz

Keine Blackbox. Nicht bei Bots, nicht bei Menschen.

Ein Bot, dessen Entscheidungen niemand einsehen kann, ist ein Risiko. Deshalb haben bei uns alle Bots:

  • Log-Zugriff auf Anfrage — Konversationen, Entscheidungen, Eskalationen, jederzeit exportierbar
  • Monatlicher Bot-Report — was wurde bearbeitet, wo eskaliert, welche Muster zeigen sich
  • Modell- und Prompt-Dokumentation — welches Sprachmodell, welche System-Prompts, welche Tools
  • Kenntlichmachung im Gespräch — wo ein Bot antwortet, steht das lesbar dran
// 06 Daten-Exit

Ende des Deals = Export-Deal.

Kein Lock-in. Wenn ihr geht, kriegt ihr alles zurück, was euch gehört:

  • Alle Konversationsverläufe als JSON / Markdown-Export
  • Eure Konfigurationen, Prompts, Policies, Wissensbasis — offen, portabel
  • Alle Logs und Reports aus der aktiven Laufzeit
  • Lösch-Bestätigung für alles andere — fristgerecht, schriftlich

Lieferzeit: 14 Tage nach Kündigung. Kein Extra-Preis, kein „wir schicken euch einen USB-Stick per Post".

// 07 Vertragsdokumente

Alle Verträge und Policies — in einer Liste.

AGB · B2B

Unternehmenskund:innen

Companion-Bot-Projekte als Werkvertrag (§§ 631 ff. BGB), Festpreis + Retainer, Indemnification, Standard-BGB-Haftung.

 AGB · Bot-Pat:innen

Fachexpert:innen-Netzwerk

Netzwerk-Aufnahme, Honorar, Audit-Pflicht, Beratungs-BHV, IP-Lizenz, Beschwerdeverfahren, klare Haftungsabgrenzung.

 AVV · DSGVO

Auftragsverarbeitungs-Vertrag

Standard-AVV nach Art. 28 DSGVO, Subunternehmer-Liste, TOMs.

 So arbeiten wir

Werkvertrag, Klarnamen, Audit-Trail

Substanz statt Garantie-Wand: Werkvertrag mit Abnahme, Klarnamen-Bot-Pat:in mit eigener BHV, manipulationssicherer Audit-Trail, Compliance-Doku-Paket im Werkvertrag enthalten. Klare AI-Act-Rollen-Trennung Anbieter/Betreiber.

 Pilotpfad · ISO 42001 / NIST AI RMF

Bot-Pilotpfad & Pre-Flight-Quiz

Die 6-Phasen-Methodik vom Diagnose-Gespräch zum auditierten Companion-Bot. Eingebettet in ISO/IEC 42001, NIST AI RMF, EU AI Act Art. 26, IDW PS 951. Inkl. interaktivem Pre-Flight-Quiz für eine erste Risiko-Einschätzung.

 DSGVO

Datenschutzerklärung

Welche Daten, welche Rechtsgrundlagen, welche Empfänger, welche Rechte.

 DDG

Impressum

Anbieter-Kennzeichnung nach § 5 DDG · DSB-Kontakt.

Fragen, die hier nicht drin stehen?

Compliance ist kein „Copy-Paste"-Thema. Wenn euer Fall besonders ist — Branchen­regulierung, internationale Rollouts, besondere Zertifizierungen — sagt uns das früh. Wir schreiben lieber eine längere Mail als einen schlechten Vertrag.

Rechtsfrage mailen Diagnose-Gespräch