Rechtliches einfach gemacht

Die ehrlichen Antworten auf eure Compliance-Fragen.

Wer Bots im Team einsetzen will, muss sich vor dem Einkauf Fragen stellen, die anderen Software-Anbietern egal sind. Wir beantworten sie hier — in klarer Sprache, ohne Paragraphen-Wand. Für die offizielle Version gibt's danach gern das Paper mit Stempel.

01 // DSGVO

Wo laufen die Bots? Wer sieht die Daten?

Deutschland / EU, DSGVO-konform, AV-Vertrag Standard. Wir beantworten jede Datenschutz-Frage, die dein DSB stellen wird.

 02 // EU AI-Act

Sind eure Bots „Hochrisiko"-KI?

Nein — und wir zeigen dir pro Bot, wie wir unter „Limited Risk" oder darunter bleiben. Transparenz-Pflichten erfüllen wir grundsätzlich.

 03 // Haftung

Wer haftet, wenn der Bot Unsinn schreibt?

Wir — bis zu einer klar definierten Grenze. Die Pate:in ist dein Ansprechperson, nicht ein Support-Ticket-System.

 04 // AVV

Auftragsverarbeitung auf Knopfdruck

Unser Standard-AVV liegt bereit, auf Anfrage signiert binnen 48 Stunden. Anpassungen möglich, aber selten nötig.

 05 // Transparenz

Was macht der Bot, was macht der Mensch?

Monatlicher Bot-Report, jederzeit einsehbare Logs, dokumentierte Eskalations-Pfade. Keine Blackbox.

 06 // Daten-Exit

Wie kommt ihr wieder raus?

Ende-Deal = Export-Deal. Alle eure Inhalte, Konfigurationen und Logs kriegst du in maschinenlesbarer Form zurück — binnen 14 Tagen.
// 01 DSGVO

Deine Daten bleiben in Europa — und sichtbar.

Alle Bots laufen auf EU-Servern (Deutschland und Österreich). Keine Inhalte werden an US-Cloud-Anbieter weitergereicht, außer ihr entscheidet das explizit — z. B. wenn ihr bewusst OpenAI- oder Claude-Modelle über US-Endpunkte nutzen wollt. Selbst dann läuft das über unsere auftragsverarbeitungskonforme Schicht.

Standard-Setup:

  • Hosting in Deutschland (Netcup GmbH, Nürnberg/Karlsruhe) und Österreich
  • Modell-Inferenz standardmäßig auf EU-Instanzen, mit europäischen Sub-Auftragnehmern
  • AVV nach Art. 28 DSGVO — unsere Standard-Vorlage liegt bereit
  • TOMs (Technische und organisatorische Maßnahmen) dokumentiert, auf Anfrage als PDF

Fragt euer DSB nach Art. 44–49 (Drittlandübermittlung)? Wir haben die Antwort pro Bot dokumentiert — nicht generisch, sondern pro Fall.

// 02 EU AI-Act

Kein „Hochrisiko" — aber auch keine Ausreden.

Die meisten unserer Bots fallen in die AI-Act-Kategorie „Limited Risk" (Transparenzpflicht) oder sind gänzlich ausgenommen. Einige Rollen — etwa im HR-Umfeld — können punktuell unter „High Risk" fallen. Das sagen wir vor dem Vertrag, nicht nach einem Audit.

Pro Bot liefern wir eine Kurz-Einstufung:

  • Risk-Klasse nach AI-Act (Prohibited / High / Limited / Minimal)
  • Wer ist Provider, wer ist Deployer (rechtlich unterschiedliche Pflichten)
  • Transparenzpflicht: Wo weisen wir darauf hin, dass ein Bot antwortet?
  • Bei High-Risk-Kandidaten: FRIA-Vorlage (Fundamental Rights Impact Assessment)

Übrigens: Einer unserer Bots — Kompaktus — macht genau diese Einstufungsarbeit für eure eigenen KI-Use-Cases.

// 03 Haftung

Wir haften. Innerhalb klarer Grenzen.

Ein Bot, der falsch antwortet, kann Schaden verursachen. Andere Anbieter schieben das vollständig in die AGB-Tiefen („keinerlei Haftung für Outputs"). Wir nicht. Unser Modell:

  • Pate:in prüft regelmäßig Stichproben — nicht erst wenn etwas brennt.
  • Bot eskaliert, statt zu raten — jeder Bot hat dokumentierte Grenzen, an denen er „frag lieber einen Menschen" sagt.
  • Haftungssumme pro Vorfall — vertraglich festgelegt, nicht per AGB-Klausel versteckt. Skaliert mit Auftragsgröße.
  • Betriebshaftpflicht — bei uns vorhanden, Details teilen wir im Vertragsgespräch.

Wir sind ehrlich zu den Grenzen: KI ersetzt kein gerichtliches Gutachten und keinen fachlichen Letztentscheid. Genau deshalb steckt bei uns immer ein Mensch hinter dem Bot.

// 04 Auftragsverarbeitung

AV-Vertrag in 48 Stunden. Unterschrieben.

Unser Standard-AVV nach Art. 28 DSGVO ist jederzeit abrufbar — ihr müsst nicht warten, bis der Deal fast unterschrieben ist. Wir schicken ihn auf Anfrage vorab, damit euer DSB in Ruhe lesen kann.

  • Subunternehmer-Liste liegt bei (Hosting, Modell-Anbieter, Support-Tools)
  • Sub-Auftragnehmer-Wechsel kündigen wir mit 30-Tage-Vorlauf an
  • TOMs beigefügt — kein „siehe ISO 27001-Zertifikat" ohne Details
  • Anpassungen üblich, werden nicht „aus Prinzip" abgelehnt

AVV-Muster jetzt ansehen → Signierte Fassung anfordern

// 05 Transparenz

Keine Blackbox. Nicht bei Bots, nicht bei Menschen.

Ein Bot, dessen Entscheidungen niemand einsehen kann, ist ein Risiko. Deshalb haben bei uns alle Bots:

  • Log-Zugriff auf Anfrage — Konversationen, Entscheidungen, Eskalationen, jederzeit exportierbar
  • Monatlicher Bot-Report — was wurde bearbeitet, wo eskaliert, welche Muster zeigen sich
  • Modell- und Prompt-Dokumentation — welches Sprachmodell, welche System-Prompts, welche Tools
  • Kenntlichmachung im Gespräch — wo ein Bot antwortet, steht das lesbar dran
// 06 Daten-Exit

Ende des Deals = Export-Deal.

Kein Lock-in. Wenn ihr geht, kriegt ihr alles zurück, was euch gehört:

  • Alle Konversationsverläufe als JSON / Markdown-Export
  • Eure Konfigurationen, Prompts, Policies, Wissensbasis — offen, portabel
  • Alle Logs und Reports aus der aktiven Laufzeit
  • Lösch-Bestätigung für alles andere — fristgerecht, schriftlich

Lieferzeit: 14 Tage nach Kündigung. Kein Extra-Preis, kein „wir schicken euch einen USB-Stick per Post".

Fragen, die hier nicht drin stehen?

Compliance ist kein „Copy-Paste"-Thema. Wenn euer Fall besonders ist — Branchen­regulierung, internationale Rollouts, besondere Zertifizierungen — sagt uns das früh. Wir schreiben lieber eine längere Mail als einen schlechten Vertrag.

Rechtsfrage mailen Briefing starten