Allgemeine Geschäftsbedingungen (AGB)

§ 1 Geltungsbereich und Anbieter

(1) Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“) gelten für alle Verträge zwischen

KI-Shield UG (haftungsbeschränkt)
Geschäftsführerin: Johanna Bringezu
Ritterstraße 2
99718 Greußen
E-Mail: info@ki-shield.de
Registergericht: Amtsgericht Jena
Handelsregisternummer: HRB 524511
EUID: DEY1206.HRB524511
USt-IdNr.: DE358414171

(nachfolgend „Anbieter“) und dem Kunden (nachfolgend „Kunde“) über die Nutzung des Dienstes „KI-Shield“ (erreichbar unter https://kishieldguard.de).

(2) Es gelten ausschließlich diese AGB. Abweichende, entgegenstehende oder ergänzende AGB des Kunden werden nur dann Vertragsbestandteil, wenn der Anbieter ihrer Geltung ausdrücklich schriftlich zugestimmt hat.

(3) Verbraucher im Sinne dieser AGB ist jede natürliche Person, die ein Rechtsgeschäft zu Zwecken abschließt, die überwiegend weder ihrer gewerblichen noch ihrer selbstständigen beruflichen Tätigkeit zugerechnet werden können (§ 13 BGB). Unternehmer ist jede natürliche oder juristische Person oder rechtsfähige Personengesellschaft, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbstständigen beruflichen Tätigkeit handelt (§ 14 BGB).

(4) Free-Plan: Die Nutzung des kostenlosen Free-Plans setzt das vollendete 16. Lebensjahr und – bei Minderjährigen – die Einwilligung der Erziehungsberechtigten in die Datenverarbeitung (Art. 8 DSGVO) voraus. Kostenpflichtige Pläne (Starter/Pro/Business/Enterprise): Diese sind ausschließlich unbeschränkt geschäftsfähigen Personen (Vollendung des 18. Lebensjahres) bzw. Unternehmern im Sinne von § 14 BGB vorbehalten. Mit der Registrierung bestätigt der Kunde, dass er mindestens 16 Jahre alt ist. Bei Minderjährigen zwischen 16 und 18 Jahren ist die Zustimmung eines gesetzlichen Vertreters erforderlich.

§ 2 Leistungsbeschreibung

(1) KI-Shield ist ein Compliance-Proxy für KI-Dienste, der als zusätzliche technische Schutzmaßnahme im Sinne von Art. 25 und Art. 32 DSGVO dient (Software-as-a-Service). Der Dienst erkennt personenbezogene Daten (PII) in Benutzereingaben, ersetzt diese durch Pseudonyme und leitet ausschließlich den pseudonymisierten Text an externe KI-Provider weiter.

(2) Der Leistungsumfang richtet sich nach dem vom Kunden gewählten Plan. Die jeweils aktuellen Preise und Leistungsmerkmale ergeben sich aus der Preisübersicht unter https://kishieldguard.de/pricing. Zum Zeitpunkt dieser AGB-Fassung gelten folgende Pläne (Stand 10.04.2026):

• Free: 0 EUR — 100 Anfragen pro Monat, Mistral inklusive, 2 KI-Provider, 7 Tage Nachrichtenspeicher
• Starter: 49 EUR/Monat netto zzgl. USt — 5.000 Anfragen/Monat, REST API (1 Key), alle Features, 24h E-Mail-Support
• Pro: 149 EUR/Monat netto zzgl. USt — 20.000 Anfragen/Monat, REST API (3 Keys), alle Features, 24h E-Mail-Support
• Business: 499 EUR/Monat netto zzgl. USt — 75.000 Anfragen/Monat, REST API (10 Keys), alle Features, 24h E-Mail-Support
• Enterprise: 1.499 EUR/Monat netto zzgl. USt — 250.000 Anfragen/Monat, REST API (50 Keys), BYOK (jeder Anbieter), eigene Modellauswahl, persönlicher Support, SLA 99,9%. Bei Abweichungen gehen die Enterprise-Vertragsbedingungen diesen AGB vor.

(3) Die PII-Erkennung erfolgt nach dem Best-Effort-Prinzip. Der Anbieter setzt modernste Technologien ein (Presidio, spaCy, eigene Regex-Recognizer mit 43 Erkennern in 42 Kategorien), kann jedoch keine vollständige Erkennung aller personenbezogenen Daten in jedem Kontext garantieren. Der Kunde bleibt für die Überprüfung seiner datenschutzrechtlichen Pflichten selbst verantwortlich. Die Best-Effort-Klausel schränkt die gesetzliche Gewährleistung für die Kernfunktionalität des Dienstes (Pseudonymisierung und Weiterleitung) nicht ein.

(4) Antwortlängenbegrenzung: Pro Anfrage gilt eine plan-abhängige maximale Antwortlänge (Output-Tokens) sowie ein plan-abhängiges Maximum für die Eingabelänge (Input-Tokens). Erreicht die KI-Antwort die Output-Grenze, wird sie an dieser Stelle abgeschnitten. Der Kunde kann mit einer Folge-Nachricht (z. B. „Bitte fortsetzen“) weiteren Inhalt anfordern; jede Folge-Nachricht zählt als eigene Anfrage gegen das Monatskontingent. Eingaben, die das Input-Maximum überschreiten, werden automatisch gekürzt oder abgewiesen. Die jeweils aktuellen Werte sind auf der Pricing-Seite unter https://kishieldguard.de/pricing einsehbar. Die Token-Begrenzungen dienen der wirtschaftlichen Bereitstellung des Dienstes und stellen keine Mängel im Sinne von § 15 dieser AGB dar.

(5) Modellzuweisung pro Plan: Für jeden Plan ist ein KI-Standardmodell festgelegt (Free: Mistral Small; Starter, Pro, Business und Enterprise: Mistral Large 3). Der Kunde kann innerhalb seines Plans alternative verfügbare Modelle auswählen, soweit sein Plan dies vorsieht. Der Anbieter behält sich vor, das Standardmodell mit einer Ankündigungsfrist von 4 Wochen anzupassen, sofern dies aus technischen oder wirtschaftlichen Gründen erforderlich ist. Eine Anpassung erfolgt nicht zum wesentlichen Nachteil des Kunden in der Antwortqualität.

§ 3 Vertragsschluss und Registrierung

(1) Die Darstellung des Dienstes auf der Website stellt kein bindendes Angebot dar, sondern eine Aufforderung zur Abgabe eines Angebots (invitatio ad offerendum).

(2) Der Kunde gibt durch Abschluss der Registrierung (E-Mail-Registrierung oder Google-Login) und Bestätigung dieser AGB ein verbindliches Angebot zum Abschluss eines Nutzungsvertrags ab. Der Vertrag kommt mit der Aktivierung des Kundenkontos zustande.

(3) Bei kostenpflichtigen Plänen (Starter, Pro, Business, Enterprise) kommt der Vertrag über die entgeltliche Nutzung zusätzlich mit Abschluss des Zahlungsvorgangs über den Zahlungsdienstleister Stripe zustande.

(4) Der Kunde ist verpflichtet, bei der Registrierung wahrheitsgemäße und vollständige Angaben zu machen und diese aktuell zu halten.

(5) Pro natürlicher oder juristischer Person darf nur ein Benutzerkonto angelegt werden.

(6) Der Vertragstext wird nach Vertragsschluss gespeichert. Der Kunde kann die zum Zeitpunkt des Vertragsschlusses geltenden AGB jederzeit unter https://kishieldguard.de/agb abrufen. Die Vertragsdaten (gewählter Plan, Zeitpunkt des Vertragsschlusses) sind in der Kontoverwaltung einsehbar (§ 312i Abs. 1 Satz 1 Nr. 4 BGB).

(7) Die technischen Schritte, die zum Vertragsschluss führen, ergeben sich aus Abs. 2 und 3 dieses Paragraphen (§ 312i Abs. 1 Satz 1 Nr. 1 BGB). Der Anbieter stellt angemessene, wirksame und zugängliche technische Mittel zur Erkennung und Berichtigung von Eingabefehlern vor Abgabe der Bestellung zur Verfügung (§ 312i Abs. 1 Satz 1 Nr. 1 BGB). Vertragssprache ist Deutsch.

(8) Button-Beschriftung (§ 312j Abs. 3 BGB): Die Bestellschaltfläche bei kostenpflichtigen Plänen ist mit den Worten „Zahlungspflichtig bestellen“ oder einer entsprechenden eindeutigen Formulierung beschriftet. Vor dem Klick auf den Bestell-Button werden dem Kunden die wesentlichen Vertragsmerkmale (Plan, monatlicher Preis brutto inkl. USt, Vertragslaufzeit, automatische Verlängerung) klar und hervorgehoben dargestellt.

§ 4 Preise und Zahlung

(1) Die aktuellen Preise ergeben sich aus der Preisübersicht unter https://kishieldguard.de/pricing. Alle Preise verstehen sich als Nettopreise zuzüglich der gesetzlichen Umsatzsteuer (derzeit 19 %). Die Umsatzsteuer wird beim Checkout durch Stripe Tax automatisch anhand des Kundensitzes berechnet und ausgewiesen. Bei EU-B2B-Kunden mit gültiger USt-IdNr. greift das Reverse-Charge-Verfahren (0 % USt).

(2) Die Abrechnung erfolgt monatlich im Voraus. Der erste Abrechnungszeitraum beginnt mit dem Abschluss des Zahlungsvorgangs. Das Abonnement verlängert sich automatisch um jeweils einen weiteren Monat, sofern es nicht vor Ablauf des laufenden Abrechnungszeitraums gekündigt wird (§ 5).

(3) Die Zahlung wird über den Zahlungsdienstleister Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland) abgewickelt. Es gelten zusätzlich die Nutzungsbedingungen von Stripe. Akzeptierte Zahlungsmittel: Kreditkarte (Visa, Mastercard, AMEX), SEPA-Lastschrift, Apple Pay und Google Pay (je nach Verfügbarkeit durch Stripe). Bei der Zahlungsabwicklung werden der Name, die E-Mail-Adresse und die Zahlungsdaten (Kreditkartendaten, IBAN) direkt an Stripe übermittelt und dort verarbeitet. Der Anbieter speichert keine Kreditkarten- oder Bankdaten. Näheres regelt die Datenschutzerklärung von Stripe.

(4) Bei Zahlungsverzug ist der Anbieter berechtigt, den Zugang zu kostenpflichtigen Funktionen bis zum Zahlungseingang zu sperren. Der Anspruch auf Rückstände bleibt unberührt. Bei fehlgeschlagener SEPA-Lastschrift (Rücklastschrift) trägt der Kunde die dadurch entstehenden Bankgebühren, sofern er die Rücklastschrift zu vertreten hat.

(5) Der Anbieter behält sich das Recht vor, Preise für zukünftige Abrechnungszeiträume mit einer Ankündigungsfrist von mindestens 4 Wochen zum nächsten Abrechnungszeitraum zu ändern. Der Kunde hat in diesem Fall ein Sonderkündigungsrecht zum Zeitpunkt des Inkrafttretens der Preiserhöhung. Erfolgt keine Kündigung, gilt der neue Preis als akzeptiert. Der Anbieter wird den Kunden in der Preisänderungsmitteilung ausdrücklich auf das Sonderkündigungsrecht und die Frist hinweisen.

§ 5 Vertragslaufzeit und Kündigung

(1) Der Nutzungsvertrag für den Free-Plan wird auf unbestimmte Zeit geschlossen und kann von beiden Seiten jederzeit ohne Angabe von Gründen gekündigt werden.

(2) Kostenpflichtige Pläne (Starter, Pro, Business, Enterprise) haben keine Mindestvertragslaufzeit und sind monatlich kündbar. Das Abonnement verlängert sich automatisch um jeweils einen weiteren Monat, sofern es nicht vor Ablauf des laufenden Abrechnungszeitraums gekündigt wird. Die Kündigung wird zum Ende des laufenden, bereits bezahlten Abrechnungszeitraums wirksam. Bis dahin stehen alle Funktionen des gebuchten Plans weiter zur Verfügung.

(3) Die Kündigung kann erfolgen über:

• Den Kündigungsbutton in der Kontoverwaltung unter https://kishieldguard.de/account (gemäß § 312k BGB)
• Das Stripe-Kundenportal (über „Abonnement verwalten“)
• Per E-Mail an info@ki-shield.de

(4) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund für den Anbieter liegt insbesondere vor, wenn der Kunde gegen § 8 (Pflichten des Kunden) verstößt.

(5) Nach Kündigung eines kostenpflichtigen Plans wird das Konto automatisch auf den Free-Plan zurückgestuft. Gespeicherte Daten (Chat-Verläufe, Einstellungen) bleiben erhalten, sofern der Kunde sein Konto nicht löscht. Funktionen, die im Free-Plan nicht enthalten sind (z. B. Echtzeit-Streaming, Audit-Log-Export, Compliance-Reports), werden mit Wirksamkeit der Kündigung deaktiviert. Bereits exportierte Daten verbleiben beim Kunden.

§ 6 Datenlöschung nach Vertragsende und Datenexport

(1) Bei vollständiger Kontolöschung werden alle personenbezogenen Daten des Kunden innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(2) Folgende Aufbewahrungsfristen gelten auch nach Kontolöschung:

• Rechnungsdaten: 10 Jahre (§ 147 AO, § 257 HGB)
• Audit-Logs: 12 Monate ab Erstellung (Compliance-Nachweis gem. EU AI Act). Audit-Logs enthalten keine Klartextdaten.
• Blockchain-Verankerungen: Auf der Polygon-Blockchain verankerte kryptographische Hashes sind technisch unveränderlich und können nicht gelöscht werden. Diese enthalten keine personenbezogenen Daten.

(3) Der Kunde hat vor der Kontolöschung die Möglichkeit, seine Daten (Chat-Verläufe, Audit-Logs, Einstellungen) über die Kontoverwaltung zu exportieren. Nach erfolgter Kontolöschung ist ein Datenexport nicht mehr möglich.

(4) Pseudonym-Mappings werden unabhängig von einer Kontolöschung automatisch nach Ablauf der konfigurierten Frist (Standard: 24 Stunden) gelöscht.

§ 7 Widerrufsrecht für Verbraucher

(1) Verbraucher haben bei Fernabsatzverträgen grundsätzlich ein gesetzliches Widerrufsrecht gemäß §§ 355 ff. BGB.

§ 8 Pflichten des Kunden

(1) Der Kunde verpflichtet sich:

(1a) Ausdrücklich verbotene Inhalte:

• Kinder- und jugendpornografische Inhalte (§§ 184b, 184c StGB) — absolut verboten, sofortige BKA-Meldung
• Phishing-Texte, Fake-Login-Generatoren, Malware-Code (§ 263a StGB)
• Volksverhetzung, terroristische Inhalte nach VO 2021/784 (TerrCO)
• Anleitung zu Straftaten (§§ 91, 130a StGB)
• Doxing, Persoenlichkeitsrechtsverletzungen, Stalking
• Marken-/Urheberrechtsverletzungen, irrefuehrende KI-generierte Inhalte ohne Kennzeichnung (Art. 50 AI Act)

• den Dienst nur im Rahmen der geltenden Gesetze zu nutzen, insbesondere der DSGVO, des BDSG und des AI Acts (Verordnung (EU) 2024/1689);
• seine Zugangsdaten (API-Keys, Passwörter) vertraulich zu behandeln und vor dem Zugriff Dritter zu schützen;
• den Dienst nicht für rechtswidrige, beleidigende, diskriminierende oder anderweitig verbotene Inhalte zu nutzen;
• den Dienst nicht zur automatisierten Massenerstellung von Inhalten zu nutzen, die gegen die Nutzungsbedingungen der jeweiligen KI-Provider verstoßen;
• keine Maßnahmen zu ergreifen, die die Infrastruktur des Anbieters übermäßig belasten oder die Sicherheitsmechanismen (PII-Erkennung, Rate-Limiting) zu umgehen versuchen;
• den Dienst nicht an Dritte weiterzuverkaufen, unterzulizenzieren oder im Rahmen von White-Label-Lösungen ohne vorherige schriftliche Genehmigung des Anbieters anzubieten.

(2) Bei Verstößen gegen diese Pflichten ist der Anbieter berechtigt, den Zugang des Kunden vorübergehend zu sperren oder den Vertrag außerordentlich zu kündigen. Der Anbieter wird den Kunden vor einer Sperrung den Kunden unter Angabe der konkreten Gründe und der verletzten AGB-Klausel anhören und eine angemessene Frist von mindestens 14 Tagen zur Stellungnahme oder Abhilfe einräumen (BGH III ZR 179/20). Der Kunde hat das Recht, gegen die Entscheidung Beschwerde beim Anbieter einzulegen (s. § 22 Beschwerdeverfahren). Eine sofortige Sperrung ohne vorherige Anhörung ist zur Gefahrenabwehr erforderlich.

§ 9 Free-Plan und Kontingentregelung

(1) Der Free-Plan umfasst ein Kontingent von 100 Anfragen pro Monat. Eine Anfrage ist ein einzelner Nutzer-Request, der an einen KI-Provider weitergeleitet wird.

(2) Bei Erschöpfung des täglichen Kontingents wird der Zugang zu den KI-Funktionen bis zum nächsten Tag (00:00 Uhr UTC) gesperrt. Es erfolgt kein automatisches Upgrade auf einen kostenpflichtigen Plan.

(3) Der Nutzer wird in der Benutzeroberfläche über seinen aktuellen Kontingentverbrauch und die verbleibenden Anfragen informiert.

(4) Der Anbieter behält sich vor, das Kontingent des Free-Plans mit einer Ankündigungsfrist von 4 Wochen anzupassen. Es gilt das zum Zeitpunkt der Nutzung auf der Pricing-Seite veröffentlichte Kontingent.

§ 10 BYOK — Bring Your Own Key

(1) Der Dienst ermöglicht es dem Kunden, eigene API-Schlüssel für externe KI-Provider zu hinterlegen („BYOK“). In diesem Fall nutzt der Kunde die Infrastruktur des jeweiligen KI-Providers auf eigene Rechnung und unter dessen Nutzungsbedingungen.

(2) Vom Kunden hinterlegte API-Schlüssel werden verschlüsselt (AES-256) gespeichert. Der Anbieter übernimmt keine Haftung für Kosten, die durch die Nutzung kundeneigener API-Schlüssel bei den jeweiligen KI-Providern entstehen.

(3) Der Kunde ist für die Einhaltung der Nutzungsbedingungen der jeweiligen KI-Provider selbst verantwortlich.

§ 11 API-Nutzungsbedingungen

(1) Der Anbieter stellt für alle kostenpflichtigen Pläne (Starter, Pro, Business, Enterprise) eine PII-Redaction REST API bereit. Der Zugang erfolgt über API-Keys, die im Kunden-Dashboard generiert werden.

(2) Die API unterliegt einem Rate-Limiting von 300 Anfragen pro Minute (Standard). Höhere Limits können individuell für Enterprise-Kunden vereinbart werden.

(3) Für die API-Verfügbarkeit gelten die SLA-Regelungen gemäß § 14 dieser AGB.

(4) Der Kunde darf die API nicht für White-Label-Lösungen oder den Weiterverkauf an Dritte nutzen, ohne vorherige schriftliche Genehmigung des Anbieters.

(5) Der Anbieter haftet nicht für Schäden, die durch Ausfälle oder Latenz der API entstehen, soweit diese auf Umstände zurückzuführen sind, die außerhalb des Einflussbereichs des Anbieters liegen (insbesondere Ausfälle externer KI-Provider).

(6) API-Nutzungslogs (Anzahl Calls, genutzter Endpoint, Zeitpunkt) werden für Abrechnungszwecke 90 Tage aufbewahrt und danach automatisch gelöscht.

§ 12 Datenschutz und Auftragsverarbeitung

(1) Der Anbieter verarbeitet personenbezogene Daten des Kunden gemäß der Datenschutzerklärung unter https://kishieldguard.de/datenschutz.

(2) Die PII-Erkennung und -Pseudonymisierung erfolgt ausschließlich auf Servern in Deutschland (Hetzner Online GmbH). Personenbezogene Daten im Klartext verlassen den europäischen Rechtsraum nicht.

(3) An externe KI-Provider werden ausschließlich pseudonymisierte Daten übermittelt. Nach Erwägungsgrund 26 DSGVO handelt es sich bei pseudonymisierten Daten, die ohne Zuordnungstabelle nicht rückführbar sind, für den Empfänger nicht um personenbezogene Daten.

(4) Soweit der Anbieter personenbezogene Daten im Auftrag des Kunden verarbeitet (Auftragsverarbeitung gemäß Art. 28 DSGVO), wird dem Kunden bei Accounterstellung automatisch ein Auftragsverarbeitungsvertrag (AVV) bereitgestellt. Mit der erstmaligen Nutzung der datenverarbeitenden Funktionen (insbesondere Chat-Anfragen mit PII-Erkennung) akzeptiert der Kunde den bereitgestellten AVV. Der AVV ist jederzeit unter https://kishieldguard.de/avv einsehbar.

(5) Der Anbieter handelt bei der Verarbeitung personenbezogener Daten des Kunden ausschließlich als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Der Anbieter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden und nicht zu eigenen Zwecken.

(6) Das Verarbeitungsverzeichnis gemäß Art. 30 Abs. 2 DSGVO wird dem Kunden auf Anfrage bereitgestellt und ist einsehbar unter https://kishieldguard.de/verarbeitungsverzeichnis.

§ 13 Updates und Aktualisierungspflichten

(1) Der Anbieter stellt als SaaS-Dienst funktions- und sicherheitsrelevante Updates gemäß §§ 327e, 327f BGB bereit. Updates erfolgen serverseitig und werden dem Kunden automatisch zur Verfügung gestellt, ohne dass eine Mitwirkung des Kunden erforderlich ist.

(2) Der Anbieter stellt sicher, dass der Dienst während der gesamten Vertragslaufzeit die vereinbarte Funktionalität aufweist und den zum Zeitpunkt der Bereitstellung üblichen Sicherheitsstandards entspricht.

(3) Sicherheitsupdates werden unverzüglich nach Bekanntwerden einer Schwachstelle bereitgestellt. Funktionsupdates werden nach pflichtgemäßem Ermessen des Anbieters durchgeführt.

(4) Der Anbieter informiert den Kunden über wesentliche Änderungen der Funktionalität (z.B. Wegfall oder Änderung von Features) mit einer Frist von mindestens 4 Wochen. Der Anbieter wird Features nur entfernen oder wesentlich ändern, wenn hierfür ein sachlicher Grund vorliegt (z. B. Sicherheitsgründe, rechtliche Vorgaben, Wegfall technischer Voraussetzungen, Einstellung eines externen Dienstes). Bei wesentlichen Leistungsänderungen hat der Kunde ein Sonderkündigungsrecht zum Zeitpunkt des Inkrafttretens der Änderung.

§ 14 Verfügbarkeit und SLA

(1) Der Anbieter stellt den Dienst mit einer angestrebten Verfügbarkeit von 99,5 % im Jahresmittel bereit (für den Enterprise-Plan: 99,9 %). Die Verfügbarkeit wird gemessen als prozentualer Anteil der Minuten eines Kalendermonats, in denen der Dienst unter https://kishieldguard.de/api/v1/health erreichbar ist.

(2) Nicht als Ausfall gelten:

• Geplante Wartungsarbeiten, die mit einer Frist von mindestens 48 Stunden per E-Mail angekündigt werden;
• Ausfälle oder Leistungseinschränkungen externer KI-Provider;
• Ereignisse höherer Gewalt gemäß § 20 dieser AGB;
• Ausfälle durch Umstände, die der Kunde zu vertreten hat.

(3) Wird die zugesagte Verfügbarkeit in einem Kalendermonat unterschritten, hat der Kunde Anspruch auf eine anteilige Gutschrift auf die Monatsrechnung:

• 99,0 % – 99,4 % Verfügbarkeit: 10 % Gutschrift
• 95,0 % – 98,9 % Verfügbarkeit: 25 % Gutschrift
• unter 95,0 % Verfügbarkeit: 50 % Gutschrift

(4) Die Gutschrift wird auf den nächsten Abrechnungszeitraum angerechnet. Eine Barauszahlung ist ausgeschlossen. Die Gutschrift ist auf maximal 50 % des monatlichen Planpreises des betroffenen Monats begrenzt. Nicht verrechnete Gutschriften verfallen nach 3 Monaten. Die Gutschrift setzt voraus, dass der Kunde den Ausfall innerhalb von 14 Tagen nach Ende des betroffenen Monats unter Angabe des Zeitraums meldet.

§ 15 Gewährleistung und Mängelrechte

(1) Für die Gewährleistung digitaler Produkte gelten die §§ 327 ff. BGB. Der Dienst gilt als mangelhaft, wenn er nicht die vereinbarte Beschaffenheit aufweist oder sich nicht für die nach dem Vertrag vorausgesetzte Verwendung eignet (§ 327e BGB).

(2) Die vereinbarte Beschaffenheit ergibt sich aus der Leistungsbeschreibung (§ 2) und der zum Zeitpunkt des Vertragsschlusses aktuellen Dokumentation unter https://kishieldguard.de.

(3) Bei Vorliegen eines Mangels hat der Kunde zunächst Anspruch auf Nacherfüllung (Behebung des Mangels). Der Anbieter wird den Mangel in angemessener Frist beheben. Ist die Nacherfüllung fehlgeschlagen, unmöglich oder unzumutbar, kann der Kunde den Vertrag beenden oder die Gegenleistung mindern (§ 327m BGB).

(4) Die Beweislastumkehr gemäß § 327k Abs. 1 BGB gilt: Zeigt sich ein Mangel innerhalb eines Jahres nach Bereitstellung, wird vermutet, dass der Mangel bereits bei Bereitstellung vorlag.

(5) Die Best-Effort-Klausel für die PII-Erkennung (§ 2 Abs. 3) bedeutet, dass der Anbieter keine 100%ige Erkennungsquote schuldet. Die Kernfunktionalität (Pseudonymisierung erkannter PII und Weiterleitung an KI-Provider) muss jedoch vertragsgemäß funktionieren. Ein Mangel liegt vor, wenn die Erkennungsrate systematisch und erheblich unter dem Stand der Technik liegt.

(6) Die gesetzliche Verjährungsfrist für Mängelansprüche beträgt zwei Jahre ab Bereitstellung (§ 327j Abs. 1 BGB). Bei fortlaufender Bereitstellung (Abo-Modell) kann der Kunde Mängelansprüche während der gesamten Vertragslaufzeit geltend machen.

§ 16 Geistiges Eigentum und Nutzungsrechte

(1) Alle Rechte an der Software KI-Shield, einschließlich Quellcode, Algorithmen, Oberflächendesign und Dokumentation, verbleiben beim Anbieter.

(2) Der Kunde erhält für die Dauer des Vertragverhältnisses ein einfaches, nicht übertragbares, nicht unterlizenzierbares Recht zur Nutzung des Dienstes im Rahmen des gewählten Plans.

(3) Die vom Kunden eingegebenen Inhalte und die daraus generierten KI-Antworten verbleiben im Eigentum des Kunden. Der Anbieter erwirbt daran keine Rechte. Der Anbieter nutzt Kundeninhalte nicht zu Trainingszwecken.

(4) Reverse Engineering, Dekompilierung oder Disassemblierung der Software ist nicht gestattet, soweit nicht zwingende gesetzliche Vorschriften (§ 69e UrhG) dies ausdrücklich erlauben.

§ 17 Haftung und Haftungsbeschränkung

(1) Der Anbieter haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer vorsätzlichen oder fahrlässigen Pflichtverletzung des Anbieters beruhen.

(2) Der Anbieter haftet unbeschränkt für Schäden, die auf Vorsatz oder grober Fahrlässigkeit des Anbieters beruhen.

(3) Bei leichter Fahrlässigkeit haftet der Anbieter nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten). Wesentliche Vertragspflichten sind solche, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf. In diesem Fall ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt. Gegenüber Unternehmern (§ 14 BGB) ist die Haftung bei Verletzung von Kardinalpflichten zudem der Höhe nach auf den Gesamtbetrag der vom Kunden in den letzten 12 Monaten vor dem schädigenden Ereignis geleisteten Zahlungen begrenzt, mindestens jedoch auf 500 EUR. Diese Haftungsbegrenzung gilt nicht gegenüber Verbrauchern.

(4) Die PII-Erkennung erfolgt nach dem Best-Effort-Prinzip — bei leichter Fahrlässigkeit. Der Anbieter haftet bei einfacher Fahrlässigkeit nicht dafür, dass einzelne personenbezogene Daten in bestimmten Kontexten nicht erkannt oder fehlerhaft pseudonymisiert werden. Die Haftung bei Vorsatz und grober Fahrlässigkeit sowie bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten — die PII-Erkennung selbst ist als Hauptleistung Kardinalpflicht) bleibt unberührt (§ 309 Nr. 7 BGB). Bei systematischen Erkennungsausfällen schuldet der Anbieter Nacherfüllung. Hinweis fuer Berufsgeheimnisträger: Wir empfehlen vor Eingabe sensibler Mandanten-/Patientendaten zusätzliche Vorsicht (Vorprüfung, ZK-Modus). Der Anbieter haftet nicht für Schäden, die dadurch entstehen, dass einzelne personenbezogene Daten in bestimmten Kontexten nicht erkannt und folglich nicht pseudonymisiert werden. Der Kunde wird hierauf bei Vertragsschluss ausdrücklich hingewiesen. Die Nutzung des Dienstes entbindet den Kunden nicht von seiner eigenen datenschutzrechtlichen Verantwortlichkeit.

(5) Der Anbieter haftet nicht für Ausfälle oder Fehlverhalten externer KI-Provider (OpenAI, Anthropic, Google etc.). Die Verfügbarkeit und Qualität der KI-Antworten liegen in der Verantwortung des jeweiligen Providers.

(6) Die Haftung nach dem Produkthaftungsgesetz (ProdHaftG) bleibt unberührt.

§ 18 Freistellung

Der Kunde stellt den Anbieter von allen Ansprüchen Dritter frei, die auf einer rechtswidrigen Nutzung des Dienstes durch den Kunden oder auf einem Verstoß gegen diese AGB beruhen. Dies umfasst auch angemessene Kosten der Rechtsverteidigung. Der Kunde ist verpflichtet, den Anbieter im Falle einer solchen Inanspruchnahme unverzüglich, wahrheitsgemäß und vollständig zu informieren.

(3) Diese Freistellung gilt nur gegenüber Unternehmern (§ 14 BGB). Gegenüber Verbrauchern bleibt es bei der gesetzlichen Haftungsverteilung; der Verbraucher ist nicht zur Freistellung verpflichtet.

§ 19 Änderungen der AGB

(1) Der Anbieter ist berechtigt, diese AGB mit Wirkung für die Zukunft zu ändern, soweit dies sachlich gerechtfertigt ist (z. B. bei Gesetzesänderungen, Änderungen der Rechtsprechung, Änderungen des Leistungsumfangs oder zur Schließung von Regelungslücken).

(2) Änderungen werden dem Kunden mindestens 6 Wochen vor Inkrafttreten per E-Mail und im Login-Bereich angekündigt unter Angabe von Aenderungsgrund und konkreter Aenderung. Es wird zwischen redaktionellen und wesentlichen Aenderungen unterschieden:

(a) Redaktionelle und gesetzlich erzwungene Aenderungen (z. B. neue gesetzliche Pflichten, Tippfehler-Korrekturen, klarstellende Anpassungen ohne wirtschaftliche Auswirkung): Widerspricht der Kunde nicht binnen 6 Wochen, gelten die geaenderten AGB als akzeptiert. Auf diese Wirkung wird gesondert hingewiesen.

(b) Wesentliche Aenderungen (insbesondere Aenderungen der Hauptleistungspflichten, Preise, Haftungsregelungen oder Vertragslaufzeit): Diese werden nur wirksam mit ausdruecklicher Zustimmung des Kunden (Opt-in-Bestätigung beim nächsten Login). Erteilt der Kunde keine Zustimmung innerhalb von 6 Wochen, kann der Anbieter den Vertrag ordentlich mit einer Frist von 4 Wochen zum Monatsende kündigen; bis dahin gelten die bisherigen Bedingungen fort (BGH XI ZR 26/13; EuGH C-119/22).

(3) Widerspricht der Kunde fristgemäß, besteht der Vertrag zu den bisherigen Bedingungen fort. Dem Anbieter steht in diesem Fall ein Sonderkündigungsrecht mit einer Frist von 4 Wochen zum Monatsende zu.

§ 20 Höhere Gewalt

(1) Der Anbieter ist von der Leistungspflicht befreit, soweit und solange die Leistung infolge höherer Gewalt nicht erbracht werden kann. Höhere Gewalt umfasst insbesondere Naturkatastrophen, Pandemien, behördliche Anordnungen, Ausfall von Telekommunikationsnetzen oder Gateways anderer Betreiber, Störungen im Bereich der Hostinginfrastruktur sowie Cyberangriffe.

(2) Der Anbieter wird den Kunden über Ereignisse höherer Gewalt unverzüglich informieren.

§ 21 Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG). Bei Verbrauchern gilt diese Rechtswahl nur insoweit, als hierdurch nicht der durch zwingende Bestimmungen des Rechts des Staates des gewöhnlichen Aufenthalts des Verbrauchers gewährte Schutz entzogen wird (Art. 6 Abs. 2 Rom-I-VO).

(2) Ist der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag der Sitz des Anbieters (Greußen). Gegenüber Verbrauchern gelten die gesetzlichen Gerichtsstände.

(3) Sollten einzelne Bestimmungen dieser AGB unwirksam sein oder werden, bleibt die Gültigkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt die gesetzliche Regelung. § 306 Abs. 2 BGB bleibt unberührt; eine geltungserhaltende Reduktion zulasten von Verbrauchern findet nicht statt.

(4) Der Anbieter ist weder verpflichtet noch bereit, an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.

(5) Die Europäische Kommission stellte bis zum 20.07.2025 unter ec.europa.eu/consumers/odr eine Plattform zur Online-Streitbeilegung (OS) bereit. Diese Plattform wurde mit Wirkung zum 20.07.2025 abgeschafft (Art. 14 ODR-VO).

§ 22 Berufsgeheimnis (Aerzte, Anwaelte, Steuerberater, etc.)

(1) Die KI-Shield UG sowie alle ihre Mitarbeiter und Erfuellungsgehilfen sind im Sinne des § 203 Abs. 4 Satz 2 Nr. 1 StGB als »mitwirkende Personen« zur Verschwiegenheit verpflichtet, soweit sie im Rahmen der Diensterbringung von fremden Geheimnissen Kenntnis erlangen koennten.

(2) Strafbewehrte Verschwiegenheitserklaerungen aller Mitarbeiter (Verpflichtung nach § 203 Abs. 4 StGB) liegen vor und werden Berufsgeheimnistraegern auf Anfrage in Textform vorgelegt.

(3) Berufsgeheimnistraeger werden ausdruecklich darauf hingewiesen, dass die Eingabe von Mandanten-, Patienten- oder vergleichbaren Geheimnissen die vorherige Pruefung der Schweigepflichts-Konformitaet (insbesondere Auswahl, Information, Ueberwachung des Auftragsverarbeiters gem. § 203 Abs. 3 StGB) voraussetzt. Wir empfehlen den Abschluss einer separaten Geheimhaltungsvereinbarung (NDA) bei besonders sensiblen Mandaten.

(4) Die Schweigepflicht gilt zeitlich unbegrenzt ueber das Vertragsende hinaus.

§ 23 Beschwerdeverfahren (DSA-konform)

(1) Kunden und Dritte koennen Beschwerden gegen Inhalts- oder Sperrentscheidungen des Anbieters innerhalb von 6 Monaten nach der Entscheidung einlegen unter beschwerde@ki-shield.de (Art. 20 DSA).

(2) Die Beschwerde wird binnen 14 Tagen durch eine qualifizierte Person geprueft, die an der urspruenglichen Entscheidung nicht beteiligt war und nicht ausschliesslich auf KI-gestuetzter Auswertung beruht.

(3) Meldungen rechtswidriger Inhalte (Phishing, CSAM nach §§ 184b/c StGB, terroristische Inhalte nach VO 2021/784, Volksverhetzung § 130 StGB, Markenrechtsverletzungen) bitte an abuse@ki-shield.de. Bearbeitungsfristen: CSAM <1h, Phishing/Malware <4h, sonstige rechtswidrige Inhalte <24h (Art. 16 DSA).

(4) Single Point of Contact gem. Art. 11 DSA fuer Behoerden: dsa@ki-shield.de. Sprachen: Deutsch, Englisch.

§ 24 KI-Antworten als fremde Inhalte (§ 8 DDG)

(1) Antworten der externen KI-Modelle (OpenAI, Anthropic, Mistral, etc.) stellen aus Sicht des Anbieters fremde Informationen i.S.d. § 8 DDG dar. Eine inhaltliche Vorprüfung erfolgt nicht.

(2) Der Anbieter wird bei Kenntnis offensichtlich rechtswidriger KI-generierter Inhalte unverzüglich tätig (Sperrung, Löschung, Meldung an Behörden). Eine allgemeine Überwachungspflicht besteht nicht (§ 7 Abs. 2 DDG).

(3) Hinweis Art. 50 AI Act: Antworten der KI sind als KI-generierte Inhalte gekennzeichnet. Der Nutzer wird darauf hingewiesen, dass er mit einem KI-System interagiert.

§ 25 Beta-Funktionen

(1) Funktionen, die ausdrücklich als „Beta“ gekennzeichnet sind, werden ohne Gewährleistung erbracht. Für Beta-Funktionen gelten die Verfügbarkeits- und Gewährleistungs-Regelungen nicht. Die Haftung bleibt auf Vorsatz und grobe Fahrlässigkeit beschränkt.

(2) Beta-Funktionen koennen jederzeit ohne Vorankündigung geändert oder eingestellt werden.