Allgemeine Geschäftsbedingungen

Gosign GmbH - AI-Infrastruktur, Agentenentwicklung & Softwareentwicklung
Version 3.1 - Stand: März 2026

↓ Als PDF herunterladen

§ 1 Geltungsbereich und Vertragsgegenstand

Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für alle Verträge zwischen der Gosign GmbH (nachfolgend „Gosign") und ihren Kunden über die folgenden Leistungsbereiche:

AI Enterprise Infrastruktur & Agentenentwicklung: Leistungen rund um Künstliche Intelligenz im Unternehmensumfeld, einschließlich Planung und Implementierung von KI-Infrastruktur, Entwicklung von KI-Agenten, Integration von KI-Modellen, Self-Hosting-Lösungen, FinOps-Strategien zur Kostenoptimierung von KI-Workloads sowie zugehörige Beratungs- und Entwicklungsleistungen.

Decision Layer & Governance-Architektur: Entwicklung und Implementierung einer Governance- und Steuerungsschicht (Decision Layer) zwischen KI-Agenten und Unternehmens-Zielsystemen, einschließlich regelbasierter Entscheidungssteuerung, Audit-Trail-Dokumentation, Human-in-the-Loop-Architektur und automatisierter Kontrollnachweise (Cert-Ready).

Softwareentwicklung: Entwicklung individueller Softwarelösungen, Web-Anwendungen und Integrationen, auch unter Einsatz von Open-Source-Frameworks und -Bibliotheken. Dies umfasst Konzeption, Design, Entwicklung, Anpassung, Integration und Dokumentation.

Hosting und Betriebsleistungen (optional): Optional von Gosign angebotene Hosting-Services und Betriebsunterstützung. Der Regelbetrieb der von Gosign entwickelten Lösungen erfolgt grundsätzlich in der Infrastruktur des Kunden. Hosting durch Gosign ist eine Zusatzleistung, die separat vereinbart wird.

Enablement und Wissenstransfer: Gosign verfolgt das Ziel, den Kunden in die Lage zu versetzen, die bereitgestellten Lösungen eigenständig zu betreiben und weiterzuentwickeln. Soweit vereinbart, umfasst der Leistungsumfang Schulungen, Dokumentation und einen strukturierten Wissenstransfer, der darauf ausgerichtet ist, die Abhängigkeit des Kunden von Gosign planmäßig zu reduzieren.

Abgrenzung: Gosign erbringt technische Dienstleistungen. Die von Gosign entwickelten Lösungen ersetzen keine Rechts-, Steuer- oder HR-Fachberatung. Fachliche Endentscheidungen verbleiben beim Kunden. Systeme des Kunden (z. B. SAP, Workday, SuccessFactors, DATEV) bleiben führendes System (System of Record); Gosign-Lösungen integrieren sich in diese Systeme, ersetzen sie aber nicht.

Kundenkreis: Diese AGB richten sich ausschließlich an Unternehmer im Sinne von § 14 BGB. Für Kunden mit Sitz in der EU/dem EWR gelten diese AGB unmittelbar. Für Kunden außerhalb der EU/des EWR gelten sie, sofern die Geltung deutschen Rechts vereinbart wurde. Verträge mit Verbrauchern bietet Gosign nicht an.

Individuelle Vereinbarungen und SLA haben Vorrang vor diesen AGB. Abweichende Bedingungen des Kunden finden keine Anwendung, es sei denn, Gosign hat ihrer Geltung ausdrücklich schriftlich zugestimmt.

§ 2 Definitionen

Die folgenden Begriffe werden in diesen AGB wie folgt verwendet:

„Agent" bezeichnet eine Softwarekomponente, die auf Basis von KI-Modellen und Regelwerken Aufgaben im Auftrag des Kunden automatisiert ausführt oder vorbereitet (z. B. Document Agent, Workflow Agent, Knowledge Agent).

„Audit Trail" bezeichnet die lückenlose, chronologische Aufzeichnung aller Decision Records und Events im System.

„Auditor Portal" bezeichnet eine webbasierte Oberfläche, über die autorisierte Prüfer (intern oder extern) den Live-Status aller Controls und Evidence einsehen können.

„Cert-Ready" bezeichnet die Eigenschaft einer Systemarchitektur, die technischen Voraussetzungen für branchenübliche Zertifizierungen (z. B. ISO 27001, SOC 2, IDW PS 951) zu erfüllen - ohne dass damit eine Zertifizierung selbst geschuldet oder zugesichert wird.

„Component Manifest" bezeichnet die dem Angebot als Anlage beigefügte Übersicht, die jede wesentliche Softwarekomponente entweder als kundenspezifisches Arbeitsergebnis (§ 7.1) oder als Plattform-Komponente (§ 7.2) zuordnet. Näheres regelt § 7.2 Abs. 4.

„Control" bezeichnet eine technisch implementierte Prüfregel, die sicherstellt, dass ein bestimmter Compliance- oder Governance-Standard eingehalten wird (z. B. „Keine Gehaltsentscheidung ohne Vier-Augen-Prinzip").

„Decision Layer" bezeichnet die von Gosign entwickelte Governance- und Steuerungsschicht, die Geschäftsprozesse in Einzelentscheidungen zerlegt und für jeden Schritt festlegt, ob ein Mensch entscheidet, ein Regelwerk greift oder die KI autonom handelt.

„Decision Record" bezeichnet die automatische, unveränderbare Dokumentation einer einzelnen Entscheidung im Decision Layer, bestehend aus Eingabedaten, angewendeter Regel/Modellversion, Konfidenzwert, Entscheidungspfad und Ergebnis.

„Evidence" bezeichnet einen automatisch generierten Nachweis, dass ein Control zu einem bestimmten Zeitpunkt erfüllt war.

„Human-in-the-Loop" bezeichnet ein Architekturprinzip, bei dem bestimmte Entscheidungen eine menschliche Freigabe erfordern, bevor sie ausgeführt werden. Die Klassifikation, welche Entscheidungen eine menschliche Freigabe erfordern, wird im Projekt gemeinsam mit dem Kunden festgelegt.

„Maintenance" bezeichnet den optionalen jährlichen Wartungsvertrag für Plattform-Komponenten, der laufende Wartung, Sicherheitsupdates und Weiterentwicklung umfasst. Näheres regelt § 7.7.

„Perpetual License" bezeichnet das dauerhafte Nutzungsrecht des Kunden an der jeweils ausgelieferten Version der Plattform-Komponenten gemäß § 7.2 Abs. 2. Das Nutzungsrecht besteht unabhängig davon, ob ein Wartungsvertrag besteht.

„Plattform-Komponenten" bezeichnet den wiederverwendbaren technischen Kern der Gosign-Lösungen, insbesondere die Decision Engine, das Regel-Engine-Framework, die Audit-Trail-Architektur und Orchestrierungsmodule. Näheres regelt § 7.2 Abs. 1.

„Quellcode-Transfer" bezeichnet die Übertragung des ausschließlichen Nutzungsrechts an den individuell für den Kunden entwickelten Softwarekomponenten einschließlich Quellcode, Prompts, Rule Sets, Konfigurationen und Dokumentation.

„Software Bill of Materials (SBOM)" bezeichnet die Übersicht aller in der Lösung verwendeten Open-Source-Komponenten und deren Lizenzen gemäß § 7.4.

„System of Record" bezeichnet das kundenseitige Führsystem für Stamm- und Bewegungsdaten (z. B. SAP, Workday, SuccessFactors, DATEV). Gosign-Lösungen integrieren sich in das System of Record, ersetzen es aber nicht.

„Zulässige Dritte" bezeichnet die in § 7.1 Abs. 3 abschließend aufgeführten Empfänger, an die der Kunde Arbeitsergebnisse und Plattform-Komponenten ohne gesonderte Zustimmung von Gosign weitergeben darf.

§ 3 Vertragsschluss

Angebot und Bestellung: Die Präsentation von Leistungen von Gosign stellt grundsätzlich kein verbindliches Vertragsangebot dar. Der Vertragsschluss erfolgt durch Beauftragung des Kunden und Annahme durch Gosign innerhalb von 14 Kalendertagen.

Ein Vertrag kommt erst zustande, wenn Gosign die Bestellung in Textform bestätigt oder mit der Ausführung beginnt.

Rahmenvertrag und Leistungsphasen: Der Vertrag kann als Rahmenvertrag mit einzeln beauftragten Leistungsphasen geschlossen werden. Jede Phase kann separat beauftragt werden, ohne Verpflichtung zur Beauftragung nachfolgender Phasen.

Vertragstypen pro Phase: Discovery-Phasen (Analyse, Beratung, Prozessaufnahme) werden als Dienstvertrag erbracht; geschuldet ist die Beratungsleistung, nicht ein bestimmter Erfolg. Build-Phasen (Entwicklung, Implementierung, Proof of Concept) werden als Werkvertrag mit Abnahme erbracht, sofern nicht anders vereinbart. Scale- und Support-Phasen werden als Dienstvertrag erbracht; optionale Service Level Agreements (SLA) gelten ergänzend.

Verträge können schriftlich, elektronisch oder in Textform geschlossen werden. Gosign speichert den Vertragstext und diese AGB.

§ 4 Leistungen durch Gosign

Gosign erbringt die vertraglich vereinbarten Leistungen fachgerecht und mit der Sorgfalt eines ordentlichen Kaufmanns. Gosign ist berechtigt, qualifizierte Mitarbeiter, Erfüllungsgehilfen oder Subunternehmer einzusetzen.

Leistungsort: Die Leistungserbringung erfolgt grundsätzlich remote. Gosign setzt Mitarbeiter an verschiedenen Standorten ein und gewährleistet die Einhaltung der vereinbarten Sicherheits- und Datenschutzstandards unabhängig vom Einsatzort. Vor-Ort-Einsätze werden separat vereinbart.

Projektkoordination: Beide Parteien benennen Ansprechpartner. Gosign informiert regelmäßig über den Projektfortschritt.

Termine und Fristen: Fristen und Termine sind nur verbindlich, wenn ausdrücklich so vereinbart. Bei Verzögerungen, die Gosign nicht zu vertreten hat, verlängern sich Fristen angemessen.

Change Requests: Änderungen des Leistungsumfangs erfordern eine schriftliche Vereinbarung über Mehrkosten und Termine.

Proof of Concept (PoC): Soweit ein PoC vereinbart wird, gelten die im Angebot definierten Erfolgskriterien. Ein PoC dient der Validierung der technischen Machbarkeit. Die im PoC erstellten Arbeitsergebnisse gehen nach vollständiger Bezahlung in das Eigentum des Kunden über, sofern nicht anders vereinbart.

Teilleistungen: Gosign ist berechtigt, zumutbare Teilleistungen zu erbringen.

4.1 Abnahme von Werkleistungen

Der Kunde prüft Werkleistungen innerhalb von 14 Kalendertagen und erklärt die Abnahme oder rügt Mängel. Ohne Rückmeldung gilt die Leistung als abgenommen, sofern auf diese Folge hingewiesen wurde. Unerhebliche Mängel berechtigen nicht zur Verweigerung der Abnahme.

§ 5 Mitwirkungspflichten des Kunden

Der Kunde stellt alle erforderlichen Unterlagen, Informationen, Daten und Zugänge rechtzeitig zur Verfügung.

Der Kunde benennt einen qualifizierten Ansprechpartner mit Entscheidungsbefugnis.

Technische Infrastruktur: Soweit Leistungen auf Systemen des Kunden erbracht werden, stellt der Kunde die Infrastruktur bereit. Gosign informiert über die Systemvoraussetzungen.

Tests und Abnahmen: Der Kunde wirkt aktiv mit, dokumentiert Fehler und verzögert Freigaben nicht unangemessen.

Pflege und Datensicherung: Der Kunde installiert Sicherheitsupdates eigenständig und zeitnah, sofern kein Wartungsvertrag mit Gosign besteht. Regelmäßige Backups obliegen dem Kunden.

Rechtmäßigkeit: Der Kunde verantwortet die Rechtmäßigkeit aller übergebenen Inhalte und Daten und stellt Gosign von Drittansprüchen frei.

Verzögerungen und Mehraufwand durch Verletzung von Mitwirkungspflichten gehen zu Lasten des Kunden.

§ 6 Besondere Bestimmungen für KI-Infrastruktur & Agentenentwicklung

6.1 Leistungsumfang

Der Leistungsumfang wird im Angebot festgelegt und kann umfassen: Integration und Anpassung von KI-Modellen, Entwicklung von KI-Agenten, Aufbau des Decision Layers, Beratung zur KI-Infrastruktur, FinOps, Sicherheits- und Compliance-Konzepte, Schulungen.

Das Angebot weist aus, welche Plattform-Komponenten (§ 7.2) eingesetzt werden und enthält ein Component Manifest als Anlage.

6.2 Dreistufige Architektur und Verantwortlichkeiten

Die von Gosign entwickelten KI-Lösungen unterscheiden drei Verarbeitungsstufen mit unterschiedlichen Verantwortlichkeiten:

(a) Analyse (KI-Modell): Das Sprachmodell analysiert Daten und generiert Vorschläge. KI-Modelle liefern probabilistische Ergebnisse; Gosign schuldet die fachgerechte Integration und Konfiguration des Modells, nicht die inhaltliche Richtigkeit jeder einzelnen Ausgabe.

(b) Entscheidung (Decision Layer): Der Decision Layer wendet definierte Regelwerke, Schwellenwerte und Freigabeprozesse auf die Analyse-Ergebnisse an. Gosign schuldet die korrekte Implementierung der vereinbarten Entscheidungslogik. Fehler in der Regelimplementierung sind Softwarefehler und unterliegen der Gewährleistung.

(c) Ausführung (Integration/Tool): Die Ergebnisse werden an Zielsysteme des Kunden übermittelt (z. B. SAP, DATEV, Workday). Gosign schuldet die korrekte technische Integration. Fehler im Zielsystem des Kunden liegen in dessen Verantwortung.

6.3 Human-in-the-Loop

Bei Entscheidungen, die als hochriskant klassifiziert sind (insbesondere Personalentscheidungen, Gehaltsentscheidungen, Entscheidungen mit Mitbestimmungsrelevanz), ist Human-in-the-Loop Standard, sofern nicht ausdrücklich anders vereinbart. Die Klassifikation, welche Entscheidungen eine menschliche Freigabe erfordern, wird im Projekt gemeinsam festgelegt und im Decision Layer konfiguriert. Der Kunde bleibt Verantwortlicher für fachliche Endentscheidungen.

6.4 Model-Agnostik

Gosign setzt KI-Modelle verschiedener Anbieter ein (model-agnostischer Ansatz). Die Auswahl erfolgt in Abstimmung mit dem Kunden. Gosign informiert über geplante Modellwechsel. Sollte ein Anbieter seinen Dienst einstellen, wird Gosign zeitnah ein gleichwertiges Alternativmodell vorschlagen. Für Verfügbarkeit oder Einstellung von Fremddiensten haftet Gosign nicht.

6.5 Bias Monitoring

Soweit vereinbart, implementiert Gosign Mechanismen zur Erkennung und Dokumentation systematischer Verzerrungen (Bias Monitoring). Die regelmäßige Überprüfung im laufenden Betrieb obliegt dem Kunden, sofern kein Wartungsvertrag besteht.

6.6 Verwendung von Daten für KI

Der Kunde bleibt Eigentümer und Verantwortlicher aller Gosign zur Verfügung gestellten Daten. Gosign verwendet diese ausschließlich zur Auftragserfüllung. Der Kunde stellt sicher, dass er die erforderlichen Rechte besitzt. Soweit externe KI-Modelle oder -APIs eingesetzt werden, erfolgt dies nur unter Bedingungen, die eine Nutzung von Kundendaten zum Training der Modelle ausschließen, sofern der Kunde nicht ausdrücklich etwas anderes freigegeben hat.

6.7 FinOps und verbrauchsabhängige Kosten

Verbrauchsabhängige Kosten Dritter (API-Gebühren, GPU-Rechenzeit) trägt der Kunde, sofern nicht anders vereinbart. Gosign informiert vorab über die Kostenstruktur und stellt transparente Verbrauchsberichte bereit.

6.8 Regulatorische Anforderungen

Gosign adressiert die Anforderungen der Verordnung (EU) 2024/1689 (EU AI Act) als technische Architekturprinzipien (Readiness). Die rechtliche Compliance-Bewertung für den konkreten Einsatzkontext liegt beim Kunden und dessen Rechtsberatern. Gosign unterstützt den Kunden auf Wunsch bei der Umsetzung regulatorischer Anforderungen, sofern dies beauftragt wird.

6.9 Indemnität

Die Nutzung der KI-Systeme obliegt dem Kunden in eigener Verantwortung. Der Kunde stellt Gosign von Ansprüchen Dritter frei, die aus missbräuchlicher oder rechtswidriger Nutzung resultieren.

§ 7 Nutzungsrechte, geistiges Eigentum und Quellcode-Zugang

7.1 Nutzungsrechte an kundenspezifischen Arbeitsergebnissen

Der Kunde erhält mit vollständiger Bezahlung ein dauerhaftes, örtlich unbeschränktes, nicht-exklusives Nutzungsrecht an den folgenden kundenspezifischen Arbeitsergebnissen:

(a) Kundenspezifische Konfigurationen (Regelwerke, Decision Tables, Policies, Routing-Regeln, kundenspezifische Datenmodelle, Entscheidungstabellen)

(b) Prompts und Prompt-Templates, die für den Kunden entwickelt wurden und im Component Manifest als kundenspezifisch gekennzeichnet sind

(c) Kundenspezifische Integrationen und Adapter gemäß Component Manifest (z. B. kundenspezifische SAP-Anbindungen, API-Konnektoren, UI-Texte)

(d) Technische Dokumentation der kundenspezifischen Lösung

(e) Kundendaten und -konfigurationen in allen Formaten

Die Zuordnung zu § 7.1 oder § 7.2 ergibt sich aus dem Component Manifest gemäß § 7.2 Abs. 4.

Das Nutzungsrecht umfasst das Recht zur Bearbeitung und Weiterentwicklung für den eigenen Geschäftsbetrieb des Kunden.

Eine Weitergabe an Dritte oder Sublizenzierung bedarf der vorherigen schriftlichen Zustimmung von Gosign. Keiner Zustimmung bedarf die Weitergabe an zulässige Dritte. Zulässige Dritte sind:

(i) Verbundene Unternehmen des Kunden im Sinne von §§ 15 ff. AktG oder nach vergleichbarem ausländischem Konzernrecht (Konzerngesellschaften, Tochtergesellschaften, Shared-Service-Einheiten)

(ii) IT-Dienstleister und Auftragsverarbeiter des Kunden, die unter Vertraulichkeitsverpflichtung und Zweckbindung handeln

(iii) Wirtschaftsprüfer, interne Revision und Regulierungsbehörden im Rahmen gesetzlicher oder vertraglicher Prüfpflichten

(iv) Rechtsnachfolger des Kunden bei Umstrukturierung, Verschmelzung oder Asset Deal, sofern die Weitergabe im Rahmen einer Übertragung desjenigen Geschäftsbetriebs erfolgt, in dem die Lösung eingesetzt wird, und der Rechtsnachfolger die Pflichten aus § 7 übernimmt; ausgenommen ist die Weitergabe an unmittelbare Wettbewerber von Gosign

Der Kunde stellt sicher, dass zulässige Dritte mindestens gleichwertige Schutz- und Vertraulichkeitspflichten einhalten.

§ 7.1 geht der allgemeinen Abtretungsregelung in § 19 vor, soweit die Weitergabe an zulässige Dritte oder Rechtsnachfolger betroffen ist.

Der Kunde hat spätestens ab Deployment der Lösung in seiner Infrastruktur, andernfalls spätestens mit Abnahme oder vollständiger Bezahlung, vollen Zugang zum Quellcode aller in seiner Umgebung betriebenen Komponenten - einschließlich der Plattform-Komponenten gemäß § 7.2. Zugang bedeutet lesbaren, nicht absichtlich unlesbar gemachten Quellcode in einem im Kundenumfeld geführten Repository oder als Code-Export (mindestens nach jedem produktiven Release sowie auf Anfrage innerhalb von 10 Werktagen) einschließlich Build-Anleitung und Abhängigkeitsverzeichnis (Dependency Lockfiles). Zusätzliche Code-Exporte außerhalb der regelmäßigen Releases erfolgen bis zu zweimal pro Quartal kostenfrei; darüber hinausgehende Exporte werden nach Aufwand vergütet.

7.2 Gosign-Plattform-Komponenten

Gosign setzt bei der Entwicklung eigene Plattform-Komponenten ein. Plattform-Komponenten sind der wiederverwendbare technische Kern, insbesondere die Decision Engine, das Regel-Engine-Framework, die Audit-Trail-Architektur und Orchestrierungsmodule (nachfolgend „Plattform-Komponenten"). An diesen Plattform-Komponenten verbleibt das ausschließliche geistige Eigentum und Nutzungsrecht bei Gosign.

Der Kunde erhält ein dauerhaftes Nutzungsrecht an der jeweils ausgelieferten Version der Plattform-Komponenten (Perpetual License). Dieses Nutzungsrecht ist nicht-exklusiv und umfasst den Betrieb, die Konfiguration und die Integration in die Systeme des Kunden für den eigenen Geschäftsbetrieb. Das Nutzungsrecht besteht unabhängig davon, ob ein Wartungsvertrag besteht. Die Weitergabe-Regeln aus § 7.1 (einschließlich der zulässigen Dritten und der Flow-down-Pflicht) gelten entsprechend.

Der Kunde hat ab Deployment (bzw. mit Abnahme/Zahlung gemäß § 7.1) vollen Zugang zum Quellcode aller Plattform-Komponenten, die in seiner Infrastruktur betrieben werden. Gosign stellt vollständige technische Dokumentation einschließlich Build-Anleitung bereit. Der Quellcode wird nicht absichtlich unlesbar gemacht (keine Obfuskation, keine absichtliche Erschwerung der Lesbarkeit). Die Verschlüsselung von Quellcode im Ruhezustand und bei der Übertragung zum Schutz der Integrität bleibt hiervon unberührt.

Die Plattform-Komponenten werden im Angebot in einem Component Manifest als solche gekennzeichnet. Das Component Manifest listet mindestens alle wesentlichen Plattform-Komponenten und ordnet jede Komponente entweder § 7.1 (kundenspezifisch) oder § 7.2 (Plattform) zu. Das Component Manifest ist maßgeblich für die Zuordnung. Änderungen am Component Manifest bedürfen der Textform und werden als Nachtrag zum Angebot oder im Change Request vereinbart. Komponenten, die im Manifest nicht aufgeführt sind, gelten als kundenspezifisch im Sinne von § 7.1, sofern sie nicht Open-Source- oder Drittkomponenten sind oder bereits in anderen Kundenprojekten als Plattform-Komponente eingesetzt werden; eine Klarstellung per Nachtrag bleibt möglich.

Der Quellcode der Plattform-Komponenten ist vertrauliche Information und Geschäftsgeheimnis von Gosign im Sinne von § 14. Der Kunde darf den Quellcode einsehen, für den Vertragszweck nutzen und an zulässige Dritte gemäß § 7.1 unter Einhaltung der Flow-down-Pflicht weitergeben. Eine darüber hinausgehende Nutzung, Weitergabe oder Verwertung ist unzulässig. Der Kunde schützt den Quellcode der Plattform-Komponenten mindestens mit derselben Sorgfalt wie seine eigenen Geschäftsgeheimnisse.

Der Kunde darf Plattform-Komponenten einschließlich Quellcode und daraus gewonnenem Know-how nicht zur Entwicklung, Vermarktung oder Erbringung eines mit Gosign konkurrierenden Produkts oder Services oder zur Produktisierung für Dritte verwenden.

7.3 Source Code Escrow

Auf Wunsch des Kunden hinterlegt Gosign den vollständigen Quellcode aller Plattform-Komponenten einschließlich Build-Anleitung, Dependency Lockfiles und Deployment-Dokumentation bei einem unabhängigen Escrow-Dienstleister. Die Kosten der Hinterlegung trägt der Kunde, soweit nicht im Angebot anders vereinbart.

Gosign räumt dem Kunden bereits bei Vertragsschluss unter aufschiebender Bedingung des jeweiligen Release-Events sämtliche Nutzungsrechte an den Plattform-Komponenten ein, einschließlich des Rechts zur Bearbeitung, Weiterentwicklung und zum Eigenbetrieb. Die aufschiebende Bedingung tritt in folgenden Fällen ein:

(a) Insolvenzantrag von Gosign (Eröffnung oder Abweisung mangels Masse)

(b) Einstellung des Produktsupports: Gosign stellt für die eingesetzten Plattform-Komponenten keine Sicherheitsupdates mehr binnen 90 Kalendertagen nach Bekanntwerden einer kritischen Schwachstelle bereit, ohne innerhalb dieses Zeitraums eine gleichwertige Nachfolgelösung anzubieten, oder erklärt offiziell das End-of-Life der Komponente. Kritische Schwachstelle im Sinne dieser Klausel ist eine Sicherheitslücke, die nach international anerkannten Standards (insbesondere CVSS) als hoch oder kritisch eingestuft wird. Nähere Kriterien können in der Escrow-Vereinbarung vereinbart werden. Gleichwertige Nachfolgelösung deckt mindestens die wesentlichen Kernfunktionen der ersetzten Komponente ab und gewährleistet ein vergleichbares Sicherheitsniveau. Nähere Anforderungen können in der Escrow-Vereinbarung vereinbart werden.

(c) Wesentliche Vertragsverletzung durch Gosign, die trotz schriftlicher Fristsetzung von 60 Kalendertagen nicht behoben wird.

Die technischen Details der Hinterlegung, Aktualisierung und Herausgabe regelt eine separate Escrow-Vereinbarung zwischen Gosign, dem Kunden und dem Escrow-Dienstleister. Diese umfasst insbesondere: Hinterlegungsumfang (Repository, Keys, Build-Chain, Dokumentation, Dependencies), Aktualisierungsrhythmus, Release Conditions, Prüfrecht des Kunden und Herausgabemechanik.

7.4 Open-Source-Komponenten

Gosign setzt nach Möglichkeit Open-Source-Software ein. Die Rechte des Kunden an Open-Source-Komponenten richten sich nach den jeweiligen Lizenzbedingungen (z. B. MIT, Apache, GPL). Gosign stellt dem Kunden eine Übersicht der verwendeten Open-Source-Komponenten und deren Lizenzen zur Verfügung (Software Bill of Materials). Der Kunde verpflichtet sich, diese Lizenzbedingungen einzuhalten. Soweit individueller Code auf Open-Source-Komponenten aufbaut und dadurch deren Lizenzbedingungen unterfallen kann, wird Gosign den Kunden hierauf hinweisen.

Gosign setzt keine Komponenten unter Copyleft-Lizenzen (insbesondere GPL, AGPL) ein, sofern diese nicht im Angebot ausdrücklich ausgewiesen und vom Kunden zugestimmt sind.

7.5 Wiederverwendbare Komponenten und Mandantenisolation

Gosign entwickelt die Plattform-Komponenten kontinuierlich weiter und setzt sie in Projekten für verschiedene Kunden ein. Kundenspezifische Konfigurationen, Geschäftsgeheimnisse und Daten fließen nicht in andere Projekte ein.

Die technische Architektur gewährleistet nach dem Stand der Technik durch Mandantenisolation, dass Kundendaten strikt getrennt bleiben. Dies umfasst insbesondere die Trennung auf Ebene der Daten, Logs, Prompt-Historien, Storage und Tenant-spezifischer Schlüssel. Gosign dokumentiert die Isolationsarchitektur auf Anfrage.

7.6 Eingeschränktes Nutzungsrecht (Alternative für reine Softwareprojekte)

Sofern im Angebot weder Plattform-Komponenten eingesetzt noch ein Component Manifest vereinbart werden (insbesondere bei reinen Softwareentwicklungsprojekten ohne Decision-Layer-Einsatz), erhält der Kunde ein dauerhaftes, örtlich unbeschränktes, nicht-exklusives Nutzungsrecht an den individuellen Entwicklungen. Das Nutzungsrecht umfasst das Recht zur Bearbeitung und Weiterentwicklung für den eigenen Geschäftsbetrieb. Die Weitergabe-Regeln gemäß § 7.1 Abs. 3 (einschließlich zulässiger Dritter und Flow-down-Pflicht) gelten entsprechend.

7.7 Lizenzgebühren und Wartung

Für kundenspezifische Arbeitsergebnisse (§ 7.1) fallen keine laufenden Lizenzgebühren an.

Für Gosign-Plattform-Komponenten (§ 7.2) gilt: Das Nutzungsrecht an der ausgelieferten Version (Perpetual License) ist mit der im Angebot vereinbarten Vergütung abgegolten. Darüber hinausgehende laufende Gebühren fallen nur an, wenn sie im Angebot ausdrücklich ausgewiesen sind.

Für laufende Wartung, Sicherheitsupdates und Weiterentwicklung der Plattform-Komponenten kann ein jährlicher Wartungsvertrag (Maintenance) vereinbart werden. Art, Umfang, Reaktionszeiten und Höhe der Wartungsgebühren werden im jeweiligen Angebot transparent ausgewiesen.

Kündigt der Kunde den Wartungsvertrag, bleibt das Nutzungsrecht an der zuletzt ausgelieferten Version vollständig bestehen. Der Kunde erhält dann keine weiteren Updates, Sicherheitspatches oder technischen Support für die Plattform-Komponenten. Gosign empfiehlt in diesem Fall den Abschluss einer Source-Code-Escrow-Vereinbarung gemäß § 7.3.

Ohne ausdrückliche Vereinbarung im Angebot fallen keine laufenden Gebühren an.

7.8 Kundenmodifikationen an Plattform-Komponenten

Der Kunde hat das Recht, Plattform-Komponenten für den eigenen Geschäftsbetrieb zu modifizieren. Gosign stellt nach Möglichkeit dokumentierte Erweiterungspunkte (Extension Points) bereit, die Änderungen ohne Eingriff in den Plattform-Kern ermöglichen.

Nimmt der Kunde Änderungen an Plattform-Komponenten außerhalb der dokumentierten Extension Points vor, entfällt die Gewährleistung und der Supportanspruch für die betroffenen Teile, bis (a) die Änderungen rückgängig gemacht werden oder (b) Gosign eine kostenpflichtige Analyse durchführt und die Kompatibilität bestätigt.

Der Kunde wirkt im Rahmen des Zumutbaren daran mit, dass Sicherheitsupdates von Gosign auch bei bestehenden Kundenmodifikationen eingespielt werden können. Verweigert der Kunde die erforderliche Mitwirkung oder blockieren seine Modifikationen die Einspielung eines Sicherheitsupdates, ist Gosign berechtigt, den Support für die betroffenen Komponenten bis zur Auflösung der Blockade auszusetzen. Eine Blockade liegt vor, wenn das Update mit vertretbarem Aufwand nicht eingespielt werden kann, weil kundenseitige Änderungen außerhalb der Extension Points die Kompatibilität beeinträchtigen.

Die Sicherheitspflichten des Kunden gemäß § 9 bleiben von Modifikationen unberührt.

7.9 Beiträge des Kunden zu Plattform-Komponenten

Soweit im Angebot oder in einer gesonderten Vereinbarung vorgesehen, kann der Kunde Fehlerkorrekturen, Verbesserungsvorschläge oder Erweiterungen für Plattform-Komponenten einreichen („Beiträge").

Der Kunde räumt Gosign an solchen Beiträgen ein einfaches, nicht-exklusives, zeitlich und örtlich unbeschränktes Nutzungsrecht ein, soweit die Beiträge Plattform-Komponenten betreffen und keine Geschäftsgeheimnisse oder kundenspezifischen Konfigurationen des Kunden enthalten. Gosign darf diese Beiträge in die Plattform-Komponenten einpflegen und allen Kunden zur Verfügung stellen.

Diese Klausel begründet keine Pflicht des Kunden zur Einreichung von Beiträgen.

7.10 Übergabezeitpunkt

Die Übergabe der Arbeitsergebnisse (einschließlich Quellcode-Repository, Dokumentation, Component Manifest, Konfigurationen und Software Bill of Materials) erfolgt spätestens mit Abnahme der letzten Projektphase und vollständiger Bezahlung. Gosign wird die Übergabe aktiv unterstützen und dem Kunden vollständigen Zugang gewähren.

§ 8 Hosting und Betriebsleistungen

Der Regelbetrieb der von Gosign entwickelten Lösungen erfolgt in der Infrastruktur des Kunden. Hosting durch Gosign ist eine optionale Zusatzleistung. Sofern der Kunde Hosting in Anspruch nimmt, gelten die folgenden Bedingungen:

Managed Services in Kundeninfrastruktur: Sofern Gosign die Lösung in der Cloud-Umgebung des Kunden betreibt, gelten die Hosting-Bestimmungen sinngemäß. Die Verantwortung für die Basisinfrastruktur verbleibt beim Kunden. Gosign verantwortet die Applikationsschicht.

Rechenzentrum: Hosting erfolgt in Deutschland oder der EU, sofern nicht anders vereinbart. Präferenzen des Kunden sind bei Vertragsschluss mitzuteilen.

Verfügbarkeit: Ohne SLA keine Garantie für minimale Verfügbarkeit. Gosign strebt hohe Verfügbarkeit an.

Wartungsfenster: Geplante Wartung außerhalb der Geschäftszeiten mit Vorankündigung.

Datensicherung: Tägliche Sicherung, 7 Tage Rolling Backup, sofern nicht anders vereinbart.

Transition und Exit: Nach Beendigung von Hosting-Leistungen unterstützt Gosign den Kunden für bis zu 90 Tage bei der Migration (Transition). Die Transition wird nach Aufwand vergütet. Alle Kundendaten sind vollständig in gängigem Format exportierbar.

§ 9 Sicherheit, Wartung und Updates

Verpflichtende Sicherheitsupdates: Gosign darf sicherheitsrelevante Updates auch ohne vorherige Zustimmung des Kunden durchführen, wenn Zuwarten die Sicherheit gefährden würde. Der Kunde wird nachträglich informiert.

Duldungspflicht: Der Kunde darf Sicherheitsupdates nicht verweigern. Sicherheit und Integrität des Systems haben Vorrang.

Weigerung: Bei verweigerter Sicherheitsmaßnahme darf Gosign die Leistung aussetzen. Ansprüche des Kunden wegen resultierender Schäden sind ausgeschlossen.

Optionale Updates: Nicht sicherheitsrelevante Updates nur nach Absprache.

Penetration Testing: Der Kunde darf nach Vorankündigung (mindestens 14 Kalendertage) Sicherheitsaudits oder Penetration Tests durchführen lassen, sofern Vertraulichkeit gewährleistet ist. Details können im SLA geregelt werden.

Incident Response: Im Falle eines Sicherheitsvorfalls, der die Verfügbarkeit, Integrität oder Vertraulichkeit der Kundendaten oder -systeme beeinträchtigt, informiert Gosign den Kunden unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis, und ergreift Sofortmaßnahmen zur Eindämmung. Die Erstmeldung und Sofortmaßnahmen sind Bestandteil der vertraglichen Leistung. Darüber hinausgehende Leistungen (insbesondere forensische Analyse, Root-Cause-Ermittlung und Erstellung eines detaillierten Incident Reports) werden nach Aufwand vergütet, sofern der Vorfall nicht auf ein Verschulden von Gosign zurückzuführen ist. Soweit Gosign den Vorfall zu vertreten hat, sind sämtliche Maßnahmen zur Analyse und Behebung für den Kunden kostenfrei.

§ 10 Vergütung und Zahlungsbedingungen

Preise ergeben sich aus dem Angebot, zuzüglich Umsatzsteuer.

Abrechnung nach Aufwand oder Festpreis gemäß Vereinbarung.

Neben- und Reisekosten nur nach vorheriger Abstimmung.

Zahlungsziel: 14 Kalendertage, sofern nicht abweichend vereinbart. Abweichende Zahlungsziele können individuell vereinbart werden. Verzugszinsen: 9 Prozentpunkte über Basiszinssatz (§ 288 Abs. 2 BGB).

Abschlagszahlungen bei längeren Projekten gemäß Meilensteinplan.

Aufrechnung nur mit unbestrittenen oder rechtskräftig festgestellten Gegenforderungen.

§ 11 Haftung

Unbeschränkt: Bei Vorsatz, grober Fahrlässigkeit, Verletzung von Leben/Körper/Gesundheit, Garantie, Produkthaftung.

Kardinalpflichten: Bei einfacher Fahrlässigkeit begrenzt auf vertragstypisch vorhersehbaren Schaden.

Haftungshöchstgrenze: Die Haftung von Gosign für Schäden aus der Verletzung von Kardinalpflichten ist pro Schadensfall auf die Höhe der im betroffenen Einzelvertrag vereinbarten Nettovergütung begrenzt. Die Gesamthaftung von Gosign aus einem Vertragsverhältnis ist auf das Zweifache der jährlichen Nettovergütung begrenzt. Abweichende Haftungshöchstgrenzen können im Einzelvertrag vereinbart werden.

Mittelbare Schäden, Folgeschäden und entgangener Gewinn: Ausgeschlossen außer bei Vorsatz, grober Fahrlässigkeit oder Kardinalpflichtverletzung.

Datenverlust: Haftung nur für Wiederherstellungsaufwand aus ordnungsgemäßen Backups des Kunden.

KI-Ergebnisse: Keine Haftung für Entscheidungen auf Basis von KI-Ausgaben, sofern Gosign nicht gegen Kardinalpflichten verstoßen hat (siehe § 6.2).

Versicherung: Gosign unterhält eine marktübliche Betriebs- und Berufshaftpflichtversicherung. Nachweis auf Anfrage.

Verjährung: Zwei Jahre, nicht gültig bei Vorsatz, grober Fahrlässigkeit oder Personenschäden.

§ 12 Mängelansprüche (Gewährleistung)

Gewährleistungsfrist: 12 Monate ab Abnahme für Sach- und Rechtsmängel.

Mängel unverzüglich in Textform anzeigen. Nacherfüllung durch Nachbesserung oder Ersatzlieferung.

Fehlschlagen nach zwei Versuchen: Minderung oder Rücktritt.

Keine Gewährleistung für unwesentliche Abweichungen oder vom Kunden verursachte Störungen.

Fehler in Open-Source- oder Drittsoftware gelten nicht als Mangel der Gosign-Leistung, sofern korrekt integriert.

Die Gewährleistung für Plattform-Komponenten unterliegt den Einschränkungen gemäß § 7.8 (Kundenmodifikationen).

Bei Dauerschuldverhältnissen: Gesetzliche Regelungen für Dienst-/Mietverhältnisse.

§ 13 Datenschutz und Auftragsverarbeitung

Beide Parteien halten DSGVO, BDSG und weitere anwendbare Datenschutzgesetze ein.

Soweit der Kunde Daten verarbeitet, die dem brasilianischen LGPD oder sonstigen internationalen Datenschutzgesetzen unterliegen, unterstützt Gosign bei der Einhaltung.

Gosign handelt als Auftragsverarbeiter (Art. 28 DSGVO). Die Parteien schließen eine AVV ab.

Gosign akzeptiert auch vom Kunden bereitgestellte AVV, sofern diese DSGVO-konform sind.

Gosign trifft geeignete TOM (Art. 32 DSGVO).

Subprozessoren mit genereller Zustimmung, sofern vertraglich auf gleichwertiges Datenschutzniveau verpflichtet.

Data Residency: Auf Wunsch vertragliche Zusicherung, dass Datenverarbeitung ausschließlich in Deutschland oder einem bestimmten EU-/EWR-Staat erfolgt. Bei KI-API-Aufrufen an Drittländer vorab Information und - sofern möglich - europäische Endpunkte.

Bei Datenschutzverletzungen: Unverzügliche Information und Zusammenarbeit bei Meldepflichten.

§ 14 Vertraulichkeit

Beide Parteien behandeln vertrauliche Informationen streng vertraulich.

Ausnahmen: Öffentlich bekannt, bereits vorbekannt, unabhängig entwickelt, gesetzliche Pflicht.

Weitergabe: Nur Need-to-know an Mitarbeiter mit Vertraulichkeitsverpflichtung.

Schutzstandard: Beide Parteien schützen vertrauliche Informationen mindestens wie ihre eigenen Geschäftsgeheimnisse, mindestens jedoch durch angemessene technische und organisatorische Maßnahmen nach dem Stand der Technik.

Dauer: 5 Jahre nach Vertragsende. Für Informationen, die als Geschäftsgeheimnisse gekennzeichnet sind (insbesondere gemäß § 7.2 Abs. 5), gilt die Vertraulichkeitspflicht über die Vertragslaufzeit hinaus fort.

Rückgabe und Vernichtung: Auf Verlangen, spätestens bei Vertragsende.

Referenznennung: Gosign darf den Namen und das Logo des Kunden als Referenz nur nach vorheriger schriftlicher Freigabe des Kunden verwenden.

§ 15 Vertragslaufzeit und Kündigung

15.1 Projektverträge enden mit Abnahme der letzten Leistung und vollständiger Bezahlung.

15.2 Dauerschuldverhältnisse: Mindestlaufzeit 12 Monate. Danach Verlängerung um jeweils 12 Monate, kündbar mit 3 Monaten Frist zum Laufzeitende.

15.2a Für Wartungsverträge gemäß § 7.7 (Maintenance) gelten die Regelungen für Dauerschuldverhältnisse gemäß Abs. 2 entsprechend, sofern im Wartungsvertrag keine abweichenden Laufzeiten und Kündigungsfristen vereinbart werden.

15.3 Außerordentliche Kündigung bei: (a) wesentlicher Pflichtverletzung nach 30-Tage-Frist; (b) Insolvenz; (c) dauerhafter Update-Verweigerung (§ 9); (d) rechtswidriger Systemnutzung.

15.4 Folgen der Beendigung: Rückgabe/Löschung aller Kundendaten. Transition gemäß § 8. Erworbene Nutzungsrechte bestehen fort nach vollständiger Bezahlung.

§ 16 Compliance, Zertifizierungen und Mitbestimmung

16.1 Cert-Ready: Gosign richtet seine Lösungen darauf aus, die technischen Voraussetzungen für branchenübliche Zertifizierungen zu erfüllen (Cert-Ready by Design). Konkret bedeutet dies: Controls sind als Datenobjekte erster Klasse im System implementiert, Evidence wird automatisch generiert, der Audit Trail ist lückenlos und exportierbar, und der Zugang über ein Auditor Portal ist vorgesehen. Die Erlangung eines konkreten Zertifikats ist kein geschuldeter Leistungserfolg und bedarf einer gesonderten Vereinbarung zwischen Kunde, Prüfer und Gosign.

16.2 Betriebsrat und Mitbestimmung: Soweit KI-Lösungen in mitbestimmungspflichtigen Bereichen eingesetzt werden (§ 87 Abs. 1 Nr. 6 BetrVG), unterstützt Gosign bei der Erstellung von Dokumentation und Informationsunterlagen für den Betriebsrat. Die formale Einbindung des Betriebsrats und der Abschluss von Betriebsvereinbarungen liegen in der Verantwortung des Kunden. Die Architektur des Decision Layers ist darauf ausgelegt, Betriebsvereinbarungen als konfigurierbare, technisch durchsetzbare Regeln abzubilden.

16.3 Sanktions-Compliance: Gosign versichert, keine Geschäftsbeziehungen zu sanktionierten Personen, Unternehmen oder Staaten zu unterhalten.

16.4 Nachhaltigkeit: Gosign berücksichtigt bei der Infrastrukturauswahl Aspekte der Energieeffizienz. Informationen auf Anfrage.

§ 17 Exportkontrolle

Der Kunde hält Export- und Sanktionsvorschriften ein. Gosign weist auf exportkontrollierte Komponenten hin. Die Erfüllung steht unter dem Vorbehalt, dass keine gesetzlichen Hindernisse entgegenstehen.

§ 18 Höhere Gewalt

Keine Haftung für Nichterfüllung bei höherer Gewalt (Naturkatastrophen, Krieg, Pandemien, Arbeitskämpfe, staatliche Maßnahmen, großflächige Infrastrukturausfälle). Unverzügliche Information. Fristen verlängern sich entsprechend. Rücktrittsrecht nach 3 Monaten.

§ 19 Schlussbestimmungen

Anwendbares Recht: Deutsches Recht unter Ausschluss des UN-Kaufrechts.

Gerichtsstand: Hamburg (für Kaufleute und juristische Personen).

Vertragssprache: Deutsch. Englische Fassungen dienen der internationalen Zusammenarbeit; im Zweifel geht Deutsch vor.

Versionierung: Diese AGB tragen Versionsnummer und Stand-Datum. Aktuelle Version unter gosign.de/de/agb/.

Änderungen in Textform. AGB-Änderungen mit 6 Wochen Vorlauf; Widerspruchsfrist 4 Wochen.

Abtretung: Abtretung nur mit schriftlicher Zustimmung. Die Weitergabe an zulässige Dritte und Rechtsnachfolger gemäß § 7.1 Abs. 3 bleibt hiervon unberührt.

Salvatorische Klausel. Vorrang der Individualabrede.