Allgemeine Geschäftsbedingungen

Diese Allgemeinen Geschäftsbedingungen gelten für sämtliche Verträge zwischen der KI-Quadrat Systemhaus GmbH („Anbieter“) und Behörden sowie Unternehmen („Kunde“) über die Nutzung von Software-as-a-Service-Diensten, KI-gestützten Datenverarbeitungsdiensten, Chat-Assistenten sowie sonstigen KI-Lizenzmodellen.

Abweichende Bedingungen des Kunden finden keine Anwendung, es sei denn, sie wurden vom Anbieter ausdrücklich schriftlich anerkannt.

Der Anbieter stellt dem Kunden cloudbasierte Softwaredienste sowie Funktionen zur automatisierten und KI-gestützten Datenverarbeitung bereit.

Die Dienste werden ausschließlich zur Nutzung über das Internet bereitgestellt; eine Überlassung des Quellcodes erfolgt nicht.

Der Anbieter entwickelt die Anwendungen kontinuierlich weiter und kann daher Funktionen ergänzen, ändern oder entfernen, sofern die wesentliche Funktionalität grundsätzlich erhalten bleibt.

Bereitstellung der vertraglich vereinbarten SaaS und KI-Dienste.

Gewährleistung angemessener technischer und organisatorischer Standards gemäß Artikel 32 der Datenschutz-Grundverordnung.

Einhaltung der Anforderungen des European Union Artificial Intelligence Act, soweit der Anbieter ein KI-System im Sinne des Gesetzes betreibt.

Der Anbieter erbringt Unterstützungsleistungen gemäß dem zwischen den Parteien vereinbarten Service-Level-Modell.

Protokollierung und Nachvollziehbarkeit relevanter Modellentscheidungen, soweit technisch möglich.

Der Anbieter dokumentiert den Einsatz sämtlicher relevanter Drittanbieter und stellt diese Informationen dem Kunden auf Anfrage zur Verfügung, soweit dies rechtlich zulässig ist. Änderungen werden dem Kunden jeweils mit angemessener Frist mitgeteilt.

Der Anbieter verpflichtet sich, die Grundsätze eines Steuerungssystems für künstliche Intelligenz gemäß ISO 42001 einzuhalten. Dies umfasst insbesondere:

• die Einführung und Pflege eines dokumentierten Rahmens zur sicheren und verantwortungsvollen Nutzung von künstlicher Intelligenz,
• die regelmäßige Bewertung von Risiken, die aus dem Betrieb oder der Nutzung von künstlicher Intelligenz entstehen können,
• die Überwachung von künstlicher Intelligenz Ausgaben, um mögliche Fehlfunktionen zu erkennen,
• die Umsetzung geeigneter Schutzmaßnahmen zur Verringerung möglicher Risiken, und
• die fortlaufende Verbesserung aller Abläufe im Zusammenhang mit dem Einsatz künstlicher Intelligenz.

Nutzung der Dienste des Anbieters ausschließlich im Rahmen der gesetzlichen Vorschriften.

Der Kunde stellt weiters sicher, dass alle hochgeladenen Daten auch rechtmäßig verarbeitet werden dürfen.

Es dürfen keine sicherheitsrelevanten Eingriffe versucht oder durchgeführt werden (zum Beispiel Penetration Tests ohne Zustimmung des Anbieters).

Der Kunde ist für die Qualität der Eingangsdaten verantwortlich und erkennt an, dass KI-Modelle auch unvollständige oder unrichtige Antworten erzeugen können.

Der Kunde ist für Wechselwirkungen mit von ihm eingesetzter Drittsoftware verantwortlich.

Setzt der Kunde Drittanbieter, Schnittstellen oder externe Softwarekomponenten ein, so stellt der Kunde sicher, dass deren Nutzung den Anforderungen der Datenschutz-Grundverordnung, den Vorgaben des Artificial Intelligence Act sowie den Informationssicherheitsanforderungen gemäß ISO 27001 genügt. Der Anbieter übernimmt keine Verantwortung für Risiken, die aus der Nutzung solcher externen Komponenten entstehen.

Der Kunde erhält ein zeitlich begrenztes, nicht übertragbares, nicht exklusives Nutzungsrecht.

Eine Weitergabe oder Unterlizenzierung ist ohne schriftliche Zustimmung des Anbieters nicht gestattet.

Der Kunde darf die Dienste nur für eigene Zwecke verwenden.

Der Anbieter informiert den Kunden darüber, dass KI-Modelle statistische und wahrscheinlichkeitsbasierte Ergebnisse liefern.

Der Anbieter stellt wesentliche Informationen bereit über:

• Zweck und Funktionsprinzip der eingesetzten künstlichen Intelligenz.
• bekannte Modellgrenzen.
• Anforderungen an menschliche Aufsicht.
• Risiken unsachgemäßer Nutzung.

Der Kunde stellt sicher, dass die Ergebnisse der künstlichen Intelligenz auch durch menschliche Fachkräfte geprüft werden, sofern eine Fehlinterpretation zu Risiken für Dritte führen könnte.

Der Anbieter dokumentiert regelmäßig wesentliche Modellversionen, Trainingsdatenquellen (sofern zulässig) und Risikobewertungen.

Der Anbieter stellt sicher, dass KI-Systeme in Übereinstimmung mit ISO 42001 entwickelt, betrieben und überwacht werden. Dies umfasst:

• die Beschreibung der verwendeten Modelle und deren Zweck,
• die Prüfung, ob die eingesetzten Modelle für den vorgesehenen Einsatz geeignet sind,
• die Festlegung von Verfahren, um unrichtige Ausgaben oder Fehlverhalten frühzeitig zu erkennen,
• die Nutzung von Kontrollmaßnahmen zur Überprüfung, ob KI-gestützte Antworten sachlich zutreffend, nachvollziehbar und sicher nutzbar sind,
• die Dokumentation aller relevanten Abläufe, die für den Betrieb oder die Nachvollziehbarkeit künstlicher Intelligenz erforderlich sind.

Der Anbieter verpflichtet sich, technische und organisatorische Maßnahmen umzusetzen, damit KI-Systeme jederzeit für Menschen verständlich, steuerbar und überwachbar bleiben. Der Anbieter sorgt dafür, dass:

• KI-Antworten nachvollziehbar dargestellt werden können,
• menschliche Eingriffe zur Kontrolle jederzeit möglich sind,
• KI-Anwendungen keine alleinigen Entscheidungen mit rechtlicher Wirkung treffen, es sei denn, dies wurde ausdrücklich vereinbart,
• KI-Systeme bei ungewöhnlichem oder unerwünschtem Verhalten automatisch überwacht oder abgeschaltet werden.

Der Anbieter stellt sicher, dass Daten, die für künstliche Intelligenz genutzt werden, regelmäßig geprüft werden. Dies umfasst:

• die Bewertung von Datenqualität,
• die Prüfung, ob Daten für den vorgesehenen Zweck geeignet sind,
• die Minimierung möglicher Halluzinationen,
• die Dokumentation der Herkunft verwendeter Daten, soweit dies rechtlich zulässig ist.

Der Anbieter richtet Verfahren zur Erkennung, Bewertung und Behandlung von Vorfällen ein, die durch KI-Systeme entstehen können. Der Anbieter verpflichtet sich:

• Vorfälle unverzüglich zu untersuchen,
• Kunden unverzüglich zu informieren, wenn diese betroffen sind,
• geeignete Maßnahmen zu setzen, um eine Wiederholung zu vermeiden,
• Vorfälle zu dokumentieren und in regelmäßigen Abständen auszuwerten.

Der Anbieter verarbeitet personenbezogene Daten ausschließlich im Auftrag des Kunden gemäß Artikel 28 Datenschutz-Grundverordnung.

Ein separater Vertrag zur Auftragsverarbeitung ist Bestandteil des Gesamtvertrags.

Der Anbieter setzt Subunternehmer in relevanten Bereichen, die die Datensicherheit betreffen, nur nach vorheriger Zustimmung des Kunden ein.

Der Anbieter speichert Daten ausschließlich in zertifizierten Rechenzentren innerhalb der Europäischen Union und/oder dem Europäischen Wirtschaftraum.

Der Kunde bleibt Verantwortlicher im Sinne der Datenschutz-Grundverordnung.

Verarbeitung oder Einsatz von Drittanbietern

Der Anbieter ist berechtigt, für die Erbringung seiner Leistungen Drittanbieter, technische Dienstleister und Subunternehmer einzusetzen, sofern die Anforderungen der Datenschutz-Grundverordnung, des European Union Artificial Intelligence Act sowie einschlägiger Sicherheitsnormen (insbesondere ISO 27001, ISO 27017 und ISO 27018) eingehalten werden.

Alle Drittanbieter werden vor ihrem Einsatz durch den Anbieter hinsichtlich technischer, organisatorischer und vertraglicher Sicherheitsmaßnahmen geprüft. Der Anbieter stellt sicher, dass die eingesetzten Drittanbieter ein angemessenes Schutzniveau nach Artikel 28 und Artikel 32 der Datenschutz-Grundverordnung gewährleisten.

Der Einsatz von Unterauftragsverarbeitern erfolgt erst nach vorheriger schriftlicher Zustimmung des Kunden, sofern die jeweilige Verarbeitung wesentliche personenbezogene Daten betrifft. Der Anbieter informiert den Kunden über relevante Änderungen in der Liste der eingesetzten Unterauftragsverarbeiter.

Der Anbieter stellt sicher, dass mit sämtlichen Drittanbietern und Unterauftragsverarbeitern verbindliche vertragliche Vereinbarungen bestehen, die mindestens das vom Anbieter zugesicherte Datenschutzniveau einhalten und dem Kunden keine Nachteile verursachen.

Falls ein Drittanbieter außerhalb des Europäischen Wirtschaftsraums eingesetzt wird, erfolgt dies nur auf Grundlage der gesetzlichen Anforderungen, insbesondere:

• Angemessenheitsbeschluss der Europäischen Kommission, oder
• Einsatz von Standardvertragsklauseln, ergänzt durch geeignete technische und organisatorische Maßnahmen.

Für den Einsatz von Drittsoftware oder technischen Integrationen, die durch den Kunden selbst eingebracht oder beauftragt werden, trägt der Kunde die Verantwortung. Der Anbieter haftet nicht für Störungen, Inkompatibilitäten oder Schäden, die durch nicht autorisierte oder vom Kunden selbst eingebrachte Drittsoftware entstehen.

Der Anbieter stellt sicher, dass die Verarbeitung personenbezogener Daten in KI-Systemen gemäß den Vorschriften der Datenschutz-Grundverordnung und den Leitlinien der ISO 42001 erfolgt. Dies umfasst unter anderem:

• die Trennung personenbezogener Daten von Trainingsdaten, sofern technisch möglich,
• den Schutz von Daten vor unbefugtem Zugriff,
• die Umsetzung von Löschkonzepten, die auch KI-Systeme einschließen.

Der Anbieter gewährleistet eine Verfügbarkeit von 99 % im Monatsmittel, ausgenommen Wartungsfenster.

Wartungsarbeiten werden mindestens 24 Stunden vorher angekündigt, außer in Notfällen.

Der Anbieter kann Updates einspielen, sofern keine wesentlichen Einschränkungen entstehen.

Die Nutzung der Dienste erfolgt auf Basis eines Lizenzmodells (monatlich oder jährlich).

Anpassungen der Preise sind mit einer Frist von 60 Tagen möglich.

Bei Zahlungsverzug kann der Anbieter Leistungen vorübergehend oder dauerhaft sperren.

Der Anbieter haftet nur bei Vorsatz und grober Fahrlässigkeit.

Für KI-Antworten wird keine Gewähr für Richtigkeit, Vollständigkeit oder Eignung übernommen.

Die Haftung für indirekte Schäden, entgangenen Gewinn oder Datenverluste ist ausgeschlossen, sofern gesetzlich zulässig.

Die Gesamthaftung ist, auf die im letzten Vertragsjahr gezahlten Entgelte, begrenzt.

Die Verträge haben eine Mindestlaufzeit von 12 Monaten, sofern nicht anders vereinbart.

Kündigungsfrist: jeweils 3 Monate zum Quartalsende.

Eine außerordentliche Kündigung bleibt hiervon jedoch unberührt.

Beide Parteien verpflichten sich zur Vertraulichkeit über alle nicht öffentlichen Informationen, auch nach Vertragsende.

Der Anbieter informiert den Kunden rechtzeitig über relevante Änderungen am Steuerungssystems für künstliche Intelligenz, die Auswirkungen auf Sicherheit, Qualität, Transparenz oder Überwachung haben können. Der Anbieter stellt dem Kunden auf Anfrage geeignete Nachweise über die Einhaltung der ISO 42001 Grundsätze zur Verfügung.

Es gilt grundsätzlich österreichisches Recht in der jeweils geltenden Fassung.

Gerichtsstand ist das sachlich zuständige Gericht am Sitz des Anbieters.

Änderungen dieser allgemeinen Geschäftsbedingungen bedürfen der Schriftform. Die vorliegende Version ist vom 1. Dezember 2025.