AGB

KurokoLabs GmbH, vertreten durch den Geschäftsführer Wessal Furmoly
Poccistraße 5, 85375 Neufahrn bei Freising, Deutschland
HRB: Platzhalter Amtsgericht München
USt-IdNr.: Platzhalter · StNr.: Platzhalter
kurokolabs@gmail.com · +49 176 30472811

(1) Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB") gelten ausschließlich gegenüber Unternehmern im Sinne des § 14 BGB, juristischen Personen des öffentlichen Rechts und öffentlich-rechtlichen Sondervermögen. Ein Vertragsschluss mit Verbrauchern im Sinne des § 13 BGB erfolgt nicht.

(2) Der Auftraggeber bestätigt mit Annahme eines Angebots, Beauftragung oder Akzeptanz im Kundenportal, dass er als Unternehmer handelt und die vorliegenden AGB zur Kenntnis genommen hat.

(3) Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen des Auftraggebers werden nur dann Vertragsbestandteil, wenn und soweit der Auftragnehmer ihrer Geltung ausdrücklich und in Textform (§ 126b BGB) zugestimmt hat. Das Schweigen des Auftragnehmers auf ein kaufmännisches Bestätigungsschreiben des Auftraggebers gilt nicht als Zustimmung zu abweichenden AGB.

(4) Diese AGB gelten auch für alle zukünftigen gleichartigen Rechtsgeschäfte zwischen den Vertragsparteien, ohne dass es eines erneuten ausdrücklichen Hinweises bedarf.

(5) Die jeweils bei Vertragsschluss gültige Fassung dieser AGB — identifiziert durch Datum und Versionsnummer — ist maßgeblich. Die aktuelle Version ist unter /agb abrufbar. Im Kundenportal wird der Auftraggeber bei vertragsrelevanten Handlungen (Angebotsannahme, Abonnementabschluss) zur Bestätigung der AGB aufgefordert; der Zeitpunkt der Bestätigung wird mit IP-Adresse und Browserkennung protokolliert (§ 126b BGB — Beweissicherung).

(1) Der Auftragnehmer erbringt die folgenden Hauptleistungen:

• Entwicklung, Konfiguration, Bereitstellung und Wartung von KI-Agenten und KI-gestützten Automatisierungslösungen
• Webdesign-Services (Konzeption, Gestaltung, technische Umsetzung)
• Strategieberatung in den Bereichen Digitalisierung, Prozessautomatisierung und KI-Implementierung
• Laufende Betreuung und Wartung (Dauerschuldverhältnisse / Abonnements)

(2) Der konkrete Leistungsumfang ergibt sich aus dem jeweiligen Angebot oder Projektvertrag. Sofern KI-Systeme Bestandteil der Leistung sind, basieren diese auf generativen Sprachmodellen (Large Language Models, „LLMs") und anderen stochastischen Verfahren. Der Auftragnehmer schuldet daher die sorgfältige Auswahl, Konfiguration und Integration solcher Systeme nach dem Stand der Technik — nicht jedoch die sachliche Richtigkeit, Vollständigkeit oder Eignung jedes einzelnen KI-generierten Outputs (vgl. § 8 — KI-spezifische Bestimmungen).

(3) KI-generierte Outputs stellen Informationen und Arbeitsergebnisse dar, keine eigenständigen Produkte im Sinne des Produkthaftungsgesetzes (ProdHaftG). Sie ersetzen keine fachliche Beratung und stellen insbesondere keinen Rechts-, Steuer-, Finanz- oder Medizinrat dar.

(4) Der Auftragnehmer ist berechtigt, zur Leistungserbringung qualifizierte Subunternehmer einzusetzen, sofern dies die Qualität der Leistung nicht beeinträchtigt und datenschutzrechtliche Anforderungen eingehalten werden (vgl. § 7).

(5) Im Rahmen der Risikoklassifizierung nach dem EU AI Act (Verordnung (EU) 2024/1689) unterstützt der Auftragnehmer den Auftraggeber bei der Einordnung der KI-Systeme. Die Verantwortung für die korrekte Risikoklassifizierung und etwaige regulatorische Konformitätsbewertungen für den konkreten Einsatzzweck verbleibt jedoch beim Auftraggeber als Betreiber (Deployer) im Sinne des Art. 3 Nr. 4 KI-VO.

(1) Alle Angebote des Auftragnehmers sind freibleibend und unverbindlich, sofern sie nicht ausdrücklich als verbindlich gekennzeichnet sind. Ein Vertrag kommt erst zustande durch:

• eine schriftliche oder elektronische Auftragsbestätigung des Auftragnehmers, oder
• die Annahme eines Angebots durch den Auftraggeber über das Kundenportal (mit AGB-Bestätigung gemäß § 1 Abs. 5), oder
• die Aufnahme der Leistungserbringung durch den Auftragnehmer.

(2) Angebote sind, sofern nicht anders angegeben, 5 Kalendertage ab Übermittlung gültig. Angebote, die über das Kundenportal übermittelt werden (Angebotsnummer AG-JJJJ-NNNN), können innerhalb dieser Frist elektronisch angenommen oder abgelehnt werden.

(3) Änderungen oder Ergänzungen des Vertrages bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Aufhebung dieses Textformerfordernisses.

(1) Allgemeine Mitwirkung: Der Auftraggeber ist verpflichtet, alle für die Leistungserbringung erforderlichen Informationen, Unterlagen und Zugänge rechtzeitig und vollständig bereitzustellen. Ferner hat der Auftraggeber einen festen Ansprechpartner mit ausreichender Entscheidungsbefugnis zu benennen.

(2) Prüf- und Abnahmepflicht für KI-Outputs: Der Auftraggeber ist verpflichtet, sämtliche von den im Auftrag entwickelten KI-Systemen generierten Outputs — einschließlich Texte, Daten, Empfehlungen, Entscheidungsvorlagen und automatisierter Handlungen — vor jeder geschäftlichen, rechtlichen oder öffentlichen Verwendung eigenverantwortlich auf sachliche Richtigkeit, Vollständigkeit, Rechtskonformität und Eignung für den konkreten Einsatzzweck zu prüfen. Die ungeprüfte Übernahme von KI-generierten Outputs stellt eine Sorgfaltspflichtverletzung im Sinne des § 276 Abs. 2 BGB dar und schließt Gewährleistungs- und Schadensersatzansprüche gegen den Auftragnehmer aus.

(3) Freigabe autonomer Agenten-Handlungen: Soweit die im Auftrag entwickelten KI-Systeme in der Lage sind, eigenständig Handlungen auszulösen (z.B. E-Mails versenden, API-Aufrufe tätigen, Daten ändern, Bestellungen auslösen), ist der Auftraggeber verpflichtet, vor der produktiven Inbetriebnahme einen angemessenen Freigabe- und Überwachungsprozess einzurichten (Human-in-the-Loop). Der Auftraggeber trägt die alleinige Verantwortung für alle durch freigegebene Automatisierungen ausgelösten Handlungen und deren rechtliche Folgen. Eine KI ist nicht rechtsfähig; sämtliche von einem KI-System ausgelösten oder vorbereiteten Handlungen werden dem Auftraggeber als Betreiber zugerechnet.

(4) Regulatorische Compliance: Der Auftraggeber trägt die alleinige Verantwortung für:

• die rechtmäßige Verwendung der erbrachten Leistungen im Hinblick auf den EU AI Act (KI-VO), die DSGVO und sämtliche auf seinen Geschäftsbereich anwendbaren Gesetze und Verordnungen — insbesondere branchenspezifische Aufsicht (BaFin, BSI, BNetzA), Geldwäschegesetz (GwG), NIS2-Richtlinie sowie sektorale Cybersicherheits-Anforderungen;
• die Einhaltung der Transparenzpflichten nach Art. 50 KI-VO, insbesondere die Information von Endnutzern darüber, dass sie mit einem KI-System interagieren (vgl. § 8 Abs. 2);
• die Durchführung etwaiger Konformitätsbewertungen bei Einsatz als Hochrisiko-KI-System gemäß Art. 6–7 KI-VO;
• die Einholung eigener fachspezifischer Rechtsberatung für branchenspezifische regulatorische Anforderungen.

(5) Datenqualität und Rechtmäßigkeit: Sämtliche vom Auftraggeber bereitgestellten Daten, Inhalte und Trainingsdaten müssen frei von Rechten Dritter sein. Der Auftraggeber gewährleistet die Richtigkeit, Vollständigkeit und Rechtmäßigkeit der von ihm bereitgestellten Daten, insbesondere im Hinblick auf personenbezogene Daten (DSGVO), urheberrechtlich geschütztes Material und diskriminierende oder rechtswidrige Inhalte. Der Auftraggeber stellt den Auftragnehmer von sämtlichen Ansprüchen Dritter frei, die auf einer Verletzung dieser Pflicht beruhen, einschließlich angemessener Kosten der Rechtsverteidigung sowie etwaiger gesetzlicher Verzugszinsen auf bereits geleistete Schadensersatzzahlungen.

(6) Open-Source-Lizenz-Compliance: Soweit die Arbeitsergebnisse Open-Source-Komponenten enthalten, ist der Auftraggeber als Betreiber für die Einhaltung der jeweiligen Open-Source-Lizenzbedingungen (insb. MIT, Apache 2.0, GPL, AGPL, LGPL, BSD) verantwortlich. Der Auftragnehmer dokumentiert die eingesetzten Open-Source-Bibliotheken einschließlich deren Lizenzen in einer Stückliste (SBOM/Software Bill of Materials) und übergibt diese mit dem Abschluss des Projekts. Eine etwaige Copyleft-Wirkung (insb. AGPL-3.0 bei serverseitigem Einsatz) wird vom Auftragnehmer angezeigt; die Entscheidung über den Einsatz und die Befolgung der Lizenz-Pflichten (Quellcode-Veröffentlichung, License-Notices) obliegt allein dem Auftraggeber.

(7) Eigene Backup- und Geschäftskontinuitäts-Pflicht: Der Auftraggeber ist verpflichtet, von allen für seinen Geschäftsbetrieb relevanten Daten eigenverantwortlich regelmäßig Sicherungskopien (Backups) auf einem vom Produktivsystem getrennten Speicher anzufertigen. Der Auftragnehmer schuldet — soweit nicht im Einzelvertrag explizit ein Backup-Service mit konkreter RPO/RTO vereinbart ist — kein Backup und keine Datenwiederherstellung. Bei Datenverlust ohne eigene Backup-Strategie des Auftraggebers liegt ein anspruchsminderndes Mitverschulden im Sinne des § 254 BGB vor (vgl. § 11 Abs. 4).

(8) Verzögerungen oder Mehraufwände, die durch mangelhafte, verspätete oder unvollständige Mitwirkung des Auftraggebers entstehen, gehen zu dessen Lasten und können zu einer angemessenen Anpassung von Fristen und Vergütung führen.

(1) Alle Preise verstehen sich ausschließlich in Euro (EUR) und zuzüglich der jeweils geltenden gesetzlichen Umsatzsteuer. Für Leistungen an Unternehmer mit Sitz außerhalb Deutschlands gelten die umsatzsteuerlichen Regelungen des § 3a Abs. 2 UStG (Reverse-Charge-Verfahren; vgl. § 14). Zahlungen erfolgen ausschließlich per SEPA-Banküberweisung; externe Zahlungsdienstleister (Stripe, PayPal, Kreditkarte) werden nicht akzeptiert.

(2) Eine Anzahlung in Höhe von 50 % des vereinbarten Gesamtbetrages kann bei Vertragsschluss fällig gestellt werden (Anzahlungsrechnung gem. § 14 Abs. 5 UStG). Die Schlussrechnung weist die geleisteten Anzahlungen einzeln aus (§ 14 Abs. 5 S. 2 UStG). Das Zahlungsziel für alle Rechnungen beträgt 14 Kalendertage ab Rechnungsdatum ohne Abzug; ein Skonto wird nicht gewährt.

(3) Mahnwesen / Verzug: Bei Zahlungsverzug erfolgt ein viertstufiges Mahnverfahren: Zahlungserinnerung (7 Tage Verzug, ohne Pauschale), 1. Mahnung (14 Tage, 40 € Pauschale gem. § 288 Abs. 5 BGB), 2. Mahnung (28 Tage, weiterer Hinweis), letzte Mahnung vor Inkasso (45 Tage). Verzugszinsen werden in Höhe von 9 Prozentpunkten über dem Basiszinssatz gemäß § 288 Abs. 2 BGB berechnet. Die 40 €-Pauschale wird nur einmal je Forderung erhoben. Die Geltendmachung eines weitergehenden Verzugsschadens (Inkasso-Kosten gem. RDG-VV) bleibt vorbehalten.

(4) Dauerschuldverhältnisse (Abonnements, Wartungs- und Supportverträge) werden gemäß dem vereinbarten Abrechnungsintervall (monatlich, quartalsweise oder jährlich) jeweils im Voraus abgerechnet. Der Abschluss eines Abonnements setzt die Bestätigung der aktuellen AGB im Kundenportal voraus (§ 1 Abs. 5).

(5) Bei einer Erhöhung von Drittanbieterkosten (insbesondere API-Kosten, Lizenzgebühren, Hosting-Kosten) ist der Auftragnehmer berechtigt, die Vergütung mit einer Vorankündigung von 6 Wochen in Textform anzupassen. In diesem Fall steht dem Auftraggeber ein Sonderkündigungsrecht zum Zeitpunkt des Wirksamwerdens der Anpassung zu.

(6) Eine Aufrechnung durch den Auftraggeber ist nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen zulässig. Ein Zurückbehaltungsrecht des Auftraggebers kann nur geltend gemacht werden, soweit es auf demselben Vertragsverhältnis beruht.

(1) Nutzungsrecht: Nach vollständiger Zahlung der vereinbarten Vergütung räumt der Auftragnehmer dem Auftraggeber ein einfaches (nicht-ausschließliches), nicht übertragbares, zeitlich unbefristetes Nutzungsrecht an den vertragsgemäß erstellten Arbeitsergebnissen ein, beschränkt auf den im Vertrag vereinbarten Einsatzzweck.

(2) Quellcode: Die vollständige Übertragung oder Offenlegung von Quellcodes bedarf einer gesonderten schriftlichen Vereinbarung und ist mit einem zusätzlichen Entgelt verbunden. Ohne gesonderte Vereinbarung verbleibt der Quellcode beim Auftragnehmer.

(3) KI-generierte Outputs und Urheberrecht: KI-generierte Outputs (Texte, Bilder, Code, Daten) genießen nach geltendem deutschen Urheberrecht in der Regel keinen eigenständigen Urheberrechtsschutz, da es an einer persönlichen geistigen Schöpfung im Sinne des § 2 Abs. 2 UrhG fehlt (vgl. AG München, Urt. v. 13.02.2026, Az. 142 C 9786/25). Der Auftragnehmer kann daher keine exklusiven Urheberrechte an rein KI-generierten Outputs übertragen. Dem Auftraggeber wird stattdessen ein umfassendes, zeitlich und räumlich unbeschränktes Nutzungsrecht an diesen Outputs eingeräumt, soweit die zugrunde liegenden Lizenzbedingungen der KI-Anbieter dies zulassen.

(4) Eigentum des Auftragnehmers: Das Urheberrecht und sonstige Schutzrechte an Konzepten, Prompt-Architekturen, Workflow-Designs, intern entwickelten Frameworks, Dokumentationen und der Systemarchitektur verbleiben beim Auftragnehmer, soweit nicht abweichend vereinbart. Diese Elemente verkörpern die menschliche schöpferische Leistung und unterliegen dem vollen urheberrechtlichen Schutz.

(5) Drittanbieter-Lizenzen: Die Lizenzbedingungen eingesetzter Drittanbieter-Tools und -Bibliotheken (Open Source, proprietäre Software, LLM-API-Nutzungsbedingungen) gelten unverändert und werden dem Auftraggeber auf Anfrage mitgeteilt. Eine Weiterlizenzierung der Arbeitsergebnisse durch den Auftraggeber an Dritte ist ohne ausdrückliche schriftliche Zustimmung des Auftragnehmers untersagt.

(6) Geschäftsgeheimnisschutz für KI-Outputs: Soweit KI-generierte Outputs keinen urheberrechtlichen Schutz genießen (vgl. Abs. 3), können diese als Geschäftsgeheimnisse im Sinne des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) geschützt werden, sofern der Auftraggeber angemessene Geheimhaltungsmaßnahmen trifft. Der Auftragnehmer unterstützt den Auftraggeber hierbei durch technische Schutzmaßnahmen (Zugriffskontrollen, Verschlüsselung) und vertragliche Geheimhaltung (§ 12). Der Auftraggeber ist für die Einrichtung und Aufrechterhaltung eigener Geheimhaltungsmaßnahmen selbst verantwortlich.

(7) Referenznennung: Der Auftraggeber stimmt einer namentlichen Referenznennung des Auftragnehmers (z.B. in Portfolio oder Referenzlisten) zu, sofern er dieser nicht innerhalb von 14 Tagen nach Vertragsschluss in Textform widerspricht.

(1) Die Verarbeitung personenbezogener Daten erfolgt gemäß den Bestimmungen der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie — soweit anwendbar — des japanischen Act on the Protection of Personal Information (APPI).

(2) Soweit der Auftragnehmer personenbezogene Daten des Auftraggebers oder von dessen Kunden im Auftrag verarbeitet, schließen die Parteien vor Beginn der Verarbeitung einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ab. Ein AVV-Muster wird vom Auftragnehmer auf Anfrage bereitgestellt.

(3) Sub-Auftragsverarbeiter (KI-Anbieter): Im Rahmen der Leistungserbringung können insbesondere folgende Anbieter als Sub-Auftragsverarbeiter eingesetzt werden:

• OpenAI LLC (USA) — GPT-Modelle — DPA vorhanden, EU-US Data Privacy Framework zertifiziert + SCCs
• Anthropic PBC (USA) — Claude-Modelle — DPA vorhanden, SCCs, kein Training mit API-Daten
• Google LLC (USA/EU) — Gemini-Modelle — DPA vorhanden, EU-US Data Privacy Framework zertifiziert + SCCs
• weitere KI- und Cloud-Dienstleister nach projektspezifischer Vereinbarung

(4) Kein Modelltraining: Der Auftragnehmer stellt sicher, dass sämtliche über die APIs der genannten KI-Anbieter gesendeten Daten nicht zum Training generativer Modelle verwendet werden. Dies wird durch die entsprechenden API-Nutzungsbedingungen und DPAs der Anbieter vertraglich abgesichert sowie durch technische Konfiguration (Training-Opt-Out) gewährleistet.

(5) Drittlandtransfer: Soweit personenbezogene Daten an Empfänger in Drittländern übermittelt werden, erfolgt dies auf Grundlage von Angemessenheitsbeschlüssen gem. Art. 45 DSGVO. Für USA gilt das EU-US Data Privacy Framework (zertifizierte Anbieter) sowie ergänzend Standardvertragsklauseln (SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO) und Transfer Impact Assessments (TIA). Für Japan besteht seit 23.01.2019 ein gegenseitiger Angemessenheitsbeschluss; Übermittlungen zwischen EU und Japan erfordern keine zusätzlichen Garantien. Daten werden soweit technisch möglich auf EU-Servern verarbeitet.

(6) Verantwortlichkeit des Auftraggebers: Der Auftraggeber ist als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Rechtmäßigkeit der Datenverarbeitung verantwortlich, soweit er personenbezogene Daten zur Verarbeitung durch den Auftragnehmer bereitstellt. Der Auftraggeber gewährleistet, dass er über eine wirksame Rechtsgrundlage für die Übermittlung der Daten verfügt und etwaige Betroffeneninformationspflichten (Art. 13, 14 DSGVO) erfüllt hat. Der Auftraggeber stellt den Auftragnehmer von Ansprüchen Dritter frei, die auf einer rechtswidrigen Datenbereitstellung durch den Auftraggeber beruhen.

(7) Weiterführende Informationen zum Datenschutz finden sich in der Datenschutzerklärung. Protokolldaten (Logs) werden zur Qualitätssicherung und Fehleranalyse erhoben; die Aufbewahrungsdauer wird im AVV festgelegt. Audit-Logs werden 3 Jahre, Server-Logs 7 Tage gespeichert (siehe Datenschutzerklärung Abschnitt 18).

(1) Entwicklungsstandards und Rollenverteilung: Der Auftragnehmer konfiguriert und integriert KI-Systeme unter Beachtung der Anforderungen der Verordnung (EU) 2024/1689 (EU AI Act, „KI-VO"), des aktuellen Stands der Technik sowie anerkannter Best Practices für verantwortungsvolle KI-Entwicklung. Der Auftragnehmer agiert in der Regel als Integrator, der bestehende KI-Dienste Dritter (insbesondere OpenAI, Anthropic, Google) auswählt, konfiguriert und in Geschäftsprozesse des Auftraggebers einbettet. Die Rolle des Anbieters (Provider) im Sinne des Art. 3 Nr. 3 KI-VO liegt bei den jeweiligen Modellanbietern. Der Auftragnehmer wird nur dann zum Anbieter, wenn dies im Einzelvertrag ausdrücklich vereinbart wird. Der Auftraggeber ist Betreiber (Deployer) im Sinne des Art. 3 Nr. 4 KI-VO.

(2) Transparenzpflichten nach Art. 50 KI-VO (ab 02.08.2026):

• Der Auftragnehmer stellt sicher, dass die von ihm entwickelten KI-Systeme, die für die direkte Interaktion mit natürlichen Personen bestimmt sind, so konzipiert sind, dass eine Information über die KI-Interaktion technisch möglich ist.
• Der Auftraggeber ist als Betreiber verpflichtet, Endnutzer seiner Systeme vor Beginn der Interaktion darüber zu informieren, dass sie mit einem KI-System interagieren, es sei denn, dies ist aus dem Kontext und den Umständen der Nutzung offensichtlich (Art. 50 Abs. 1 KI-VO).
• Soweit die KI-Systeme Inhalte erzeugen (Text, Bild, Audio, Video), hat der Auftraggeber sicherzustellen, dass die KI-generierte Natur der Outputs maschinenlesbar gekennzeichnet wird, sofern dies nach Art. 50 Abs. 2 KI-VO erforderlich ist.
• Bei Verstößen gegen die Kennzeichnungspflichten durch den Auftraggeber haftet der Auftragnehmer nicht. Bußgelder nach Art. 99 KI-VO (bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes) treffen den jeweiligen Verpflichteten.

(3) Stochastische Natur und Halluzinationsrisiko: Generative KI-Modelle (LLMs) basieren auf statistischen Wahrscheinlichkeiten und können sogenannte „Halluzinationen" produzieren — sachlich falsche, unvollständige oder widersprüchliche Outputs, die dennoch kohärent erscheinen. Der Auftragnehmer weist den Auftraggeber ausdrücklich auf dieses systemimmanente Risiko hin. Die Prüf- und Abnahmepflicht des Auftraggebers nach § 4 Abs. 2 berücksichtigt dieses Risiko.

(4) Zurechnung autonomer Agenten-Handlungen: KI-Systeme besitzen keine Rechtspersönlichkeit. Automatisierte Handlungen eines KI-Agenten (z.B. Versand von Nachrichten, Datenbankänderungen, API-Aufrufe, Bestellvorgänge) stellen keine eigenständigen Willenserklärungen der KI dar, sondern werden dem Betreiber (Auftraggeber) als eigene Erklärung zugerechnet. Dies gilt insbesondere für Preis-, Liefer- oder Verfügbarkeitsangaben, die ein KI-Chatbot gegenüber Dritten macht. Der Auftraggeber hat die in § 4 Abs. 3 genannten Vorkehrungen (Human-in-the-Loop) zu treffen.

(5) Verbotene Verwendungen: Die folgenden Nutzungen der erbrachten KI-Leistungen sind ausdrücklich verboten:

• Erstellung oder Verbreitung von Desinformation oder Deepfakes
• Jegliche Verwendung, die gegen geltendes Recht verstößt
• Social Scoring oder Bewertung natürlicher Personen auf Basis von KI-gestützter Profilerstellung (Art. 5 Abs. 1 lit. c KI-VO)
• Biometrische Echtzeit-Fernidentifikation in öffentlich zugänglichen Räumen (Art. 5 Abs. 1 lit. h KI-VO)
• Unterschwellige oder manipulative Techniken, die das Verhalten von Personen wesentlich beeinflussen (Art. 5 Abs. 1 lit. a KI-VO)
• Diskriminierung oder Belästigung von Personen oder Personengruppen
• Umgehung von Sicherheitsmechanismen der eingesetzten Modelle (Jailbreaking, Prompt Injection)
• Einsatz als Hochrisiko-KI-System ohne vorherige Konformitätsbewertung gemäß Art. 6–7 KI-VO

(6) Modell-Updates: Wesentliche Änderungen an eingesetzten KI-Modellen (Modellwechsel, Major-Version-Updates, Providerwechsel) werden dem Auftraggeber mit einem Vorlauf von mindestens 5 Werktagen in Textform angekündigt. Sicherheitskritische Updates (z.B. Patching bekannter Schwachstellen) können ohne Vorankündigung eingespielt werden.

(7) API-Abhängigkeit und Verfügbarkeit: Die Verfügbarkeit der KI-Funktionalitäten hängt von der Erreichbarkeit der eingesetzten Drittanbieter-APIs ab. Der Auftragnehmer schuldet ausdrücklich keine bestimmte Verfügbarkeitsquote (SLA), keine Uptime-Garantie und keine garantierte Antwortzeit für die KI-Funktionalitäten, soweit diese von der Verfügbarkeit Dritter abhängen. Die Verfügbarkeit der KI-Dienste stellt keine Kardinalpflicht im Sinne des § 11 Abs. 2 dar. Bei wiederkehrenden oder dauerhaften Ausfällen eines API-Anbieters bemüht sich der Auftragnehmer, nach Möglichkeit einen gleichwertigen Alternativanbieter einzusetzen.

(8) Änderungen durch Drittanbieter: Die Anbieter der eingesetzten KI-Modelle (OpenAI, Anthropic, Google u.a.) können jederzeit ihre Nutzungsbedingungen, Preise, Funktionalitäten, Modellversionen oder API-Schnittstellen ändern, einschränken oder einstellen. Der Auftragnehmer übernimmt keine Haftung für derartige Änderungen durch Drittanbieter. Führen solche Änderungen zu einer wesentlichen Beeinträchtigung der vereinbarten Leistung, wird der Auftragnehmer den Auftraggeber unverzüglich informieren. Beiden Parteien steht in diesem Fall ein Sonderkündigungsrecht zu.

(1) Projektverträge enden mit der Abnahme der vereinbarten Leistungen. Die Abnahme gilt als erfolgt, wenn der Auftraggeber nicht innerhalb von 14 Tagen nach Aufforderung zur Abnahme unter Angabe konkreter Mängel widerspricht.

(2) Dauerschuldverhältnisse (Abonnements, Wartungs- oder Supportverträge) können von beiden Parteien mit einer Frist von 8 Wochen zum Ende eines Kalendermonats ordentlich in Textform gekündigt werden.

(3) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Als wichtiger Grund gilt insbesondere:

• Zahlungsverzug des Auftraggebers von mehr als 30 Tagen nach Mahnung
• Wesentliche Pflichtverletzung durch eine der Vertragsparteien, die trotz schriftlicher Abmahnung mit angemessener Frist nicht abgestellt wird
• Insolvenzantragstellung, Eröffnung eines Insolvenzverfahrens oder Ablehnung mangels Masse über das Vermögen einer Vertragspartei
• Verstoß des Auftraggebers gegen die verbotenen Verwendungen gemäß § 8 Abs. 5

(4) Nach Vertragsende werden sämtliche nicht aufbewahrungspflichtigen Daten des Auftraggebers innerhalb von 30 Tagen unwiderruflich gelöscht oder pseudonymisiert. Steuer- und handelsrechtlich aufbewahrungspflichtige Unterlagen werden gemäß § 147 Abs. 3 AO (Buchungsbelege: 8 Jahre ab Wirtschaftsjahren ab 01.01.2025; ältere Belege: 10 Jahre) bzw. § 257 Abs. 4 HGB (Handelsbücher, Bilanzen, Inventare, Jahresabschlüsse: 10 Jahre) aufbewahrt; Handelsbriefe gemäß § 257 Abs. 4 HGB 6 Jahre. Auf Wunsch des Auftraggebers erfolgt zuvor eine vollständige Datenübergabe in einem gängigen, maschinenlesbaren Format (JSON-Export im Kundenportal — DSGVO Art. 20).

(5) Der Vergütungsanspruch für bereits erbrachte Leistungen bleibt durch die Kündigung unberührt. Bei außerordentlicher Kündigung durch den Auftragnehmer wegen Pflichtverletzung des Auftraggebers wird die gesamte vereinbarte Vergütung abzüglich ersparter Aufwendungen fällig.

(6) Höhere Gewalt (Force Majeure): Keine der Vertragsparteien haftet für die Nichterfüllung oder verspätete Erfüllung ihrer vertraglichen Pflichten, soweit diese auf Ereignisse höherer Gewalt zurückzuführen ist, die außerhalb ihres zumutbaren Einflussbereichs liegen. Als höhere Gewalt gelten insbesondere: Naturkatastrophen, Epidemien und Pandemien, Krieg, Terrorismus, Bürgerunruhen, Sanktionen und Embargos, Streiks und Aussperrungen (soweit nicht selbst verursacht), behördliche Anordnungen, Gesetzesänderungen, großflächige Cyberangriffe auf Infrastruktur, langanhaltende Ausfälle von Energie- oder Telekommunikationsnetzen sowie Ausfälle wesentlicher Drittanbieter-Dienste (Cloud-Infrastruktur, KI-APIs), die nicht durch zumutbare Alternativmaßnahmen kompensiert werden können. Die betroffene Partei hat die andere Partei unverzüglich über das Hindernis und dessen voraussichtliche Dauer zu informieren. Dauert das Hindernis länger als 60 Tage an, steht beiden Parteien ein Sonderkündigungsrecht zu.

(1) Der Auftragnehmer erbringt seine Leistungen mit der gebotenen Sorgfalt und nach dem aktuellen Stand der Technik.

(2) Untersuchungs- und Rügepflicht (§ 377 HGB analog): Der Auftraggeber ist verpflichtet, die Leistungen unverzüglich nach Erbringung zu untersuchen. Erkennbare Mängel sind unverzüglich, spätestens jedoch innerhalb von 14 Tagen nach Entdeckung, in Textform unter konkreter Beschreibung des Mangels anzuzeigen. Eine verspätete oder unzureichend substantiierte Rüge führt zum Verlust der Gewährleistungsrechte.

(3) Der Auftragnehmer ist berechtigt und verpflichtet, festgestellte Mängel innerhalb einer angemessenen Nacherfüllungsfrist zu beheben (Nachbesserung oder Neuherstellung nach Wahl des Auftragnehmers). Schlägt die Nacherfüllung nach zwei Versuchen fehl, stehen dem Auftraggeber die gesetzlichen Rechte (Minderung, Rücktritt, Schadensersatz nach Maßgabe des § 11) zu.

(4) Die Gewährleistungsfrist beträgt 12 Monate ab Abnahme bzw. Leistungserbringung.

(5) Ausschluss: Mängel, die auf einer mangelhaften, unvollständigen oder fehlerhaften Mitwirkung des Auftraggebers beruhen, auf einem Verstoß gegen die Prüf- und Abnahmepflicht nach § 4 Abs. 2 basieren, oder auf einer eigenmächtigen Änderung der Leistung durch den Auftraggeber oder Dritte zurückzuführen sind, begründen keine Gewährleistungsansprüche. Dies gilt insbesondere für Mängel, die aus der Stochastizität von KI-Outputs resultieren und bei pflichtgemäßer Prüfung hätten erkannt werden können.

(1) Unbeschränkte Haftung: Der Auftragnehmer haftet unbeschränkt für:

• Schäden aus vorsätzlichem oder grob fahrlässigem Handeln
• Schäden an Leben, Körper oder Gesundheit
• Ansprüche nach dem Produkthaftungsgesetz (ProdHaftG)
• arglistig verschwiegene Mängel oder die Verletzung einer ausdrücklich übernommenen Garantie

(2) Begrenzte Haftung bei Kardinalpflichten: Bei leicht fahrlässiger Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) — also Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen darf — ist die Haftung des Auftragnehmers beschränkt auf den typischerweise vorhersehbaren Schaden, maximal jedoch auf die Gesamtnettovergütung des betreffenden Einzelauftrags. Bei Dauerschuldverhältnissen ist die Haftung auf die Nettovergütung der letzten 12 Monate begrenzt. Im Übrigen ist die Haftung für leichte Fahrlässigkeit ausgeschlossen.

(2a) Gesamthaftungsobergrenze (Annual Cap): Die Gesamthaftung des Auftragnehmers für sämtliche Ansprüche des Auftraggebers aus dem Vertragsverhältnis — gleich aus welchem Rechtsgrund — ist je Kalenderjahr auf die im betreffenden Kalenderjahr an den Auftragnehmer gezahlte Nettovergütung beschränkt, mindestens jedoch auf EUR 10.000. Diese Obergrenze gilt nicht für Ansprüche nach Abs. 1 (unbeschränkte Haftung).

(3) KI-spezifische Haftungsregelung:

• Der Auftragnehmer haftet für die sorgfältige Auswahl, Konfiguration und Integration der KI-Systeme, nicht jedoch für die sachliche Richtigkeit einzelner KI-generierter Outputs, soweit der Auftraggeber seiner Prüfpflicht nach § 4 Abs. 2 nachgekommen ist.
• Hat der Auftraggeber KI-generierte Outputs ohne die in § 4 Abs. 2 vorgeschriebene Prüfung verwendet, sind Schadensersatzansprüche gegen den Auftragnehmer insoweit ausgeschlossen, als der Schaden bei pflichtgemäßer Prüfung vermieden oder gemindert worden wäre (§ 254 BGB — Mitverschulden).
• Der Auftragnehmer haftet nicht für die Nichtverfügbarkeit, Leistungsverschlechterung oder Verhaltensänderungen von Drittanbieter-APIs (insbesondere OpenAI, Anthropic, Google), soweit er diese nicht zu vertreten hat. Der Auftragnehmer ist verpflichtet, bekannte Ausfälle und Einschränkungen unverzüglich mitzuteilen.
• Der Auftragnehmer haftet nicht für Schäden, die aus einer vertragswidrigen Verwendung der KI-Systeme durch den Auftraggeber oder Dritte resultieren, insbesondere bei Verstoß gegen die Nutzungsverbote des § 8 Abs. 5 oder bei Nichtbeachtung der Freigabepflicht nach § 4 Abs. 3.

(3a) Drittanbieter sind keine Erfüllungsgehilfen: Die in § 7 Abs. 3 genannten KI- und Cloud-Anbieter (insbesondere OpenAI, Anthropic, Google, AWS, Hostinger, Qonto) sind eigenständige, vom Auftraggeber im Rahmen seiner Betreiber-Verantwortlichkeit (Art. 4 Nr. 7 DSGVO, Art. 3 Nr. 4 KI-VO) eingeschaltete Sub-Auftragsverarbeiter im Sinne des Art. 28 Abs. 4 DSGVO. Sie sind keine Erfüllungsgehilfen des Auftragnehmers im Sinne des § 278 BGB. Eine Zurechnung von Pflichtverletzungen oder Schäden, die durch diese Drittanbieter verursacht werden, an den Auftragnehmer findet nicht statt; die Haftung richtet sich ausschließlich gegen den jeweiligen Drittanbieter nach Maßgabe der dortigen Nutzungsbedingungen und DPAs.

(4) Ausschluss mittelbarer Schäden: Der Auftragnehmer haftet nicht für mittelbare Schäden, Folgeschäden, entgangenen Gewinn oder den Verlust von Daten, soweit die Haftung nicht nach Abs. 1 unbeschränkt ist. Dies gilt insbesondere für Schäden, die durch Entscheidungen des Auftraggebers auf Basis ungeprüfter KI-Outputs entstehen sowie für Datenverlust-Schäden, soweit der Auftraggeber seiner eigenen Backup-Pflicht nach § 4 Abs. 7 nicht nachgekommen ist (§ 254 BGB — Mitverschulden).

(4a) Vorvertragliche Haftung (culpa in contrahendo): Bei Pflichtverletzungen im Rahmen der Vertragsanbahnung (§ 311 Abs. 2 BGB) haftet der Auftragnehmer nur bei Vorsatz oder grober Fahrlässigkeit, ausgenommen Verletzungen des Lebens, des Körpers oder der Gesundheit (Abs. 1). Die Haftung für leicht fahrlässige Verletzungen vorvertraglicher Aufklärungs- und Beratungspflichten ist ausgeschlossen, soweit nicht eine ausdrückliche Beratungs-Vertragsbeziehung mit gesonderter Vergütung begründet wurde.

(5) Die vorstehenden Haftungsbeschränkungen gelten auch zugunsten der Mitarbeiter, Vertreter, Organe und Erfüllungsgehilfen des Auftragnehmers.

(6) Verjährung: Schadensersatzansprüche des Auftraggebers gegen den Auftragnehmer verjähren — soweit gesetzlich zulässig — innerhalb von 12 Monaten ab dem Zeitpunkt, in dem der Auftraggeber von dem Schaden und den anspruchsbegründenden Umständen Kenntnis erlangt oder ohne grobe Fahrlässigkeit hätte erlangen müssen. Dies gilt nicht für Ansprüche nach Abs. 1 (unbeschränkte Haftung); für diese gelten die gesetzlichen Verjährungsfristen.

(7) Versicherung: Der Auftragnehmer unterhält eine Betriebs- und IT-Haftpflichtversicherung in branchenüblichem Umfang. Auf Anfrage des Auftraggebers wird der Auftragnehmer den Versicherungsschutz in angemessenem Umfang nachweisen. Die Höhe der Versicherungssumme begrenzt nicht die Haftung des Auftragnehmers nach diesem Vertrag.

(8) Freistellung bei regulatorischen Bußgeldern: Der Auftraggeber stellt den Auftragnehmer von sämtlichen Bußgeldern, Verwaltungsstrafen und behördlichen Sanktionen frei, die gegen den Auftragnehmer verhängt werden und auf einer Pflichtverletzung des Auftraggebers beruhen — insbesondere bei Verstößen gegen die DSGVO (Art. 83), den EU AI Act (Art. 99) oder sonstige anwendbare Vorschriften, soweit der Auftraggeber für die Einhaltung dieser Vorschriften verantwortlich ist (vgl. § 4 Abs. 4). Die Freistellung umfasst auch angemessene Kosten der Rechtsverteidigung.

(1) Beide Vertragsparteien verpflichten sich zur strikten Vertraulichkeit über alle vertraulichen Informationen, Geschäftsgeheimnisse und Kundendaten der jeweils anderen Partei, die ihnen im Rahmen der Vertragsbeziehung bekannt werden (nachfolgend „vertrauliche Informationen"). Dies umfasst insbesondere technische, kaufmännische und organisatorische Informationen, Prompt-Architekturen, Trainingsdaten, Geschäftsprozesse und Kundenlisten.

(2) Die Vertraulichkeitspflicht gilt nicht für Informationen, die (a) zum Zeitpunkt der Offenlegung allgemein bekannt waren oder danach ohne Verschulden der empfangenden Partei allgemein bekannt geworden sind, (b) der empfangenden Partei bei Offenlegung bereits nachweislich bekannt waren, (c) von einem Dritten ohne Vertraulichkeitsverpflichtung rechtmäßig erhalten wurden, oder (d) aufgrund gesetzlicher Verpflichtung, behördlicher Anordnung oder gerichtlicher Entscheidung offengelegt werden müssen.

(3) KI-Verarbeitung: Der Auftragnehmer stellt sicher, dass vertrauliche Informationen des Auftraggebers, die im Rahmen der KI-Verarbeitung an Drittanbieter-APIs übermittelt werden, nicht zum Training generativer Modelle verwendet werden (vgl. § 7 Abs. 4). Verarbeitungsdaten (Prompts, Outputs, Logs) werden nach Auftragsende gemäß den im AVV vereinbarten Fristen gelöscht.

(4) Die Vertraulichkeitspflicht besteht fort für einen Zeitraum von 5 Jahren nach Beendigung des Vertragsverhältnisses. Für Geschäftsgeheimnisse im Sinne des GeschGehG gilt die Vertraulichkeitspflicht zeitlich unbegrenzt.

(5) Beide Parteien verpflichten sich, auch ihre Mitarbeiter, Subunternehmer und Erfüllungsgehilfen entsprechend dieser Vertraulichkeitsverpflichtung zu binden.

(6) Audit-Recht: Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen und vertraglichen Pflichten des Auftragnehmers in angemessenen Abständen zu überprüfen (Audit). Audits sind mit einer Vorankündigungsfrist von mindestens 20 Werktagen in Textform anzukündigen und während der üblichen Geschäftszeiten durchzuführen. Der Auftraggeber kann das Audit durch einen zur Vertraulichkeit verpflichteten unabhängigen Dritten durchführen lassen. Der Auftragnehmer gewährt im Rahmen des Audits Einblick in die für die Vertragsdurchführung relevanten Prozesse und Dokumentationen, soweit hierdurch keine Geschäftsgeheimnisse des Auftragnehmers oder Rechte Dritter verletzt werden. Die Kosten des Audits trägt der Auftraggeber, es sei denn, das Audit deckt einen wesentlichen Verstoß des Auftragnehmers auf. Die Anzahl der Audits ist auf eines pro Kalenderjahr begrenzt, sofern nicht ein begründeter Verdacht auf einen Pflichtverstoß vorliegt.

(1) Die Vertragsparteien verpflichten sich, Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag zunächst gütlich beizulegen. Zu diesem Zweck wird vor Einleitung eines gerichtlichen Verfahrens ein Schlichtungsgespräch auf Geschäftsführerebene durchgeführt.

(2) Führt das Schlichtungsgespräch nicht innerhalb von 30 Tagen nach schriftlicher Aufforderung zu einer Einigung, steht den Parteien der Rechtsweg offen.

(3) Bei Fragen und Anliegen wenden Sie sich bitte direkt an: kurokolabs@gmail.com

(1) Für alle Verträge gilt deutsches Recht (siehe auch § 15).

(2) Japan: Für Auftraggeber mit Geschäftssitz in Japan gelten ergänzend die Datenschutzrechte des Act on the Protection of Personal Information (APPI). Japanische Auftraggeber haben das Recht, Auskunft, Berichtigung und Löschung ihrer personenbezogenen Daten gemäß APPI zu verlangen. Bei Weitergabe von Daten an Drittanbieter in den USA (LLM-APIs) informiert der Auftragnehmer über das Zielland und das dortige Datenschutzniveau gemäß Art. 28 APPI. Entsprechende Anfragen sind per E-Mail an kurokolabs@gmail.com zu richten.

(3) B2B außerhalb der EU: Leistungen an Unternehmer mit Sitz außerhalb der EU werden gemäß § 3a Abs. 2 UStG steuerfrei erbracht (Reverse-Charge-Verfahren). Der Leistungsempfänger ist für die ordnungsgemäße Besteuerung in seinem Sitzstaat eigenverantwortlich. Rechnungen werden entsprechend ohne Umsatzsteuer unter Angabe der USt-IdNr. beider Parteien ausgestellt.

(4) Die Vertragssprache ist Deutsch. Übersetzungen dienen lediglich der Information; im Zweifel ist die deutsche Fassung maßgeblich.

(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG). Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist München.

(2) Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht (Salvatorische Klausel). Anstelle der unwirksamen Regelung tritt die gesetzlich zulässige Regelung, die dem wirtschaftlichen Zweck der unwirksamen Regelung am nächsten kommt. Gleiches gilt für etwaige Regelungslücken.

(3) Diese AGB ersetzen alle vorherigen Absprachen, Vereinbarungen und Geschäftsbedingungen zwischen den Parteien bezüglich desselben Gegenstands. Individuelle Vereinbarungen im Einzelfall (z.B. Projektverträge, Master Service Agreements, Sonderkonditionen, Enterprise-Rahmenverträge) haben stets Vorrang vor diesen AGB (§ 305b BGB). Der Auftragnehmer bietet auf Anfrage individuelle Vertragsgestaltungen für Enterprise-Kunden an.

(4) Änderungen: Änderungen dieser AGB werden dem Auftraggeber mit einer Ankündigungsfrist von 6 Wochen in Textform mitgeteilt. Widerspricht der Auftraggeber den geänderten AGB nicht innerhalb von 4 Wochen nach Zugang der Änderungsmitteilung in Textform, gelten die geänderten AGB als angenommen. Auf dieses Widerspruchsrecht und die Folgen des Schweigens wird in der Änderungsmitteilung ausdrücklich hingewiesen. Bei wesentlichen Änderungen (insbesondere Haftungsregelungen, Vergütung, KI-spezifische Bestimmungen) ist eine erneute aktive Bestätigung im Kundenportal erforderlich.

(5) AGB-Version: Diese AGB tragen die Versionsnummer 2.0 (Stand: 10. April 2026). Die jeweils aktuelle Fassung ist unter /agb abrufbar. Frühere Fassungen werden auf Anfrage bereitgestellt.