Nutzungsbedingungen (Acceptable Use Policy)

Version 1.0 · Stand 2026-04-27

Diese Nutzungsbedingungen ergänzen die Allgemeinen Geschäftsbedingungen (AGB) der HanseImpact GmbH und regeln das zulässige Verhalten bei der Inanspruchnahme des KI Impact Audit.

§ 1 Geltungsbereich und Verhältnis zu den AGB

(1) Diese Acceptable Use Policy (im Folgenden "AUP") ist integraler Bestandteil des Vertragsverhältnisses zwischen dem Kunden und der HanseImpact GmbH. Sie konkretisiert die zulässigen und unzulässigen Nutzungsformen des KI Impact Audit.

(2) Im Falle eines Widerspruchs zwischen dieser AUP und den AGB gehen die Regelungen der AGB vor.

(3) Adressat dieser AUP ist ausschließlich der Kunde als Unternehmer im Sinne des § 14 BGB. Verbraucher sind nicht Vertragspartner und damit nicht Adressat dieser AUP.

§ 2 Verbotene Handlungen

Der Kunde verpflichtet sich, die folgenden Handlungen weder selbst vorzunehmen noch durch Dritte vornehmen zu lassen:

(1) Automatisiertes Absaugen von Inhalten (Scraping): systematisches, automatisiertes Auslesen, Kopieren oder Indizieren der bereitgestellten Reports, Cockpit-Inhalte oder API-Antworten über das für die vertragsgemäße Nutzung erforderliche Mass hinaus.

(2) Reverse Engineering: Versuch der Rekonstruktion, Dekompilierung, Disassemblierung oder anderweitiger Ableitung der zugrundeliegenden KI-Pipeline, Prompts, Modellparameter, Tool-Schemata oder Source-Code-Strukturen.

(3) Missbrauch der API-/Zugangs-Schnittstellen: unautorisierter Zugriff auf nicht für den Kunden bestimmte Endpunkte, Massenabfragen über das vertragsgemäß vereinbarte Volumen hinaus, Umgehung von Rate-Limits oder Capability-URL-Mechaniken.

(4) Störung der Verfügbarkeit: Handlungen, die geeignet sind, die Stabilität, Verfügbarkeit oder Integrität des Dienstes zu beeinträchtigen, einschließlich Denial-of-Service-aehnlichen Anfragemustern, Prompt-Injection mit dem Ziel der Systemkompromittierung sowie der bewussten Ausnutzung erkannter Sicherheitslücken.

(5) Weitergabe von Zugangsdaten: Weitergabe von Magic-Link-URLs, Capability-URLs oder sonstigen Authentifizierungsmerkmalen an unberechtigte Dritte außerhalb des Unternehmens des Kunden.

(6) Umgehung von Sicherheits- oder Schutzmechanismen: technische oder organisatorische Maßnahmen zur Mandantentrennung, Zugangskontrolle oder Inhaltsfilterung.

§ 3 Nutzungsgrenzen nach KI-Verordnung

Der Kunde wird die Reports und die zugrundeliegende KI-Funktionalität nicht für Zwecke einsetzen, die gegen die Verordnung (EU) 2024/1689 (KI-Verordnung) oder andere zwingende rechtliche Vorgaben verstossen. Insbesondere untersagt sind:

(1) Bewertung natürlicher Personen: Einsatz des Reports oder von KI-Ausgaben zur Bewertung persönlicher Aspekte einzelner natürlicher Personen, insbesondere im Recruiting, im Personalmanagement, in der Bonitätsprüfung oder in Bildungs- und Strafverfolgungskontexten.

(2) Generierung von Deepfakes oder synthetischen Personeninhalten: Erstellung von Inhalten, die natürliche Personen in irreführender Weise darstellen, ohne dass die Voraussetzungen einer rechtmäßigen Verwendung vorliegen.

(3) Diffamierende, diskriminierende oder rechtswidrige Inhalte: Generierung, Verbreitung oder Verarbeitung von Inhalten, die geeignet sind, Personen oder Gruppen zu diffamieren, zu diskriminieren oder die gegen geltendes Recht (insbesondere Äußerungs-, Wettbewerbs-, Marken- und Urheberrecht) verstossen.

(4) Sicherheitsrelevante Hochrisiko-Anwendungen: Verwendung der Reports als alleinige Entscheidungsgrundlage in Anhang-III-Hochrisikobereichen der KI-Verordnung, sofern HanseImpact dies nicht ausdrücklich freigegeben hat.

§ 4 Folgen von Verstößen

(1) Bei einem Verstoß gegen § 2 oder § 3 ist HanseImpact berechtigt, den Zugang des Kunden zum Dienst zu sperren, betroffene Capability-URLs zu invalidieren und Reports zurückzuhalten. Vor einer dauerhaften Sperrung erfolgt nach Möglichkeit eine Aufforderung zur Unterlassung mit angemessener Frist; in Fällen schwerwiegender Verstöße oder bei Gefahr für Dritte oder den Dienst kann die Sperrung auch ohne vorherige Aufforderung erfolgen.

(2) Schadensersatzansprüche der HanseImpact GmbH bleiben unberührt. Die Haftung der HanseImpact GmbH richtet sich nach den allgemeinen AGB-Regelungen.

(3) Bei behördlich relevanten Verstößen (insbesondere gegen die KI-Verordnung) ist HanseImpact zur Auskunft und Zusammenarbeit mit zuständigen Aufsichtsbehörden berechtigt und gegebenenfalls verpflichtet.

§ 5 Änderungsvorbehalt

(1) HanseImpact behält sich vor, diese AUP einseitig anzupassen, sofern dies aus einem der folgenden triftigen Gründe erforderlich ist:

(2) Änderungen der AUP dürfen das kaufmännische Äquivalenzverhältnis aus den AGB (insbesondere Leistungsbeschreibung, Preise, Haftung) nicht zu Lasten des Kunden verschieben. Solche Änderungen erfordern statt einer einseitigen AUP-Anpassung eine AGB-Änderung mit aktiver Zustimmung des Kunden.

(3) HanseImpact informiert den Kunden über Änderungen dieser AUP per E-Mail an die hinterlegte Vertragsadresse. Die geänderte AUP gilt für Vorgänge, die nach dem Inkrafttreten der Änderung erfolgen. Bestandskunden sind berechtigt, der einseitigen Änderung binnen vier Wochen ab Zugang der Mitteilung mit Wirkung für die Zukunft zu widersprechen; im Widerspruchsfall gilt die bisherige AUP fort, bis das laufende Vertragsverhältnis abgewickelt ist.

§ 6 Versionierung und Inkrafttreten

(1) Diese AUP ist als versionierte Fassung archiviert. Massgeblich ist die Fassung, die zum Zeitpunkt der Inanspruchnahme des Dienstes gilt und dem Kunden zumindest in Textform zugänglich gemacht wurde.

(2) Früheren Vertragsabschlüssen gegenüber wirken Änderungen nach den Bedingungen des § 5 Abs. 3.

Aktuelle Fassung: Version 1.0, Stand 2026-04-27. HanseImpact GmbH, Hamburg.