Allgemeine Geschäfts- und Nutzungsbedingungen (AGB)
für die CRA-Compliance-Plattform crAIready (SaaS, On-Premise und kostenloser Quick-Check) · Stand: 16.07.2026
Anbieterin
codAIx GmbH, c/o JULITH GmbH, Erlengasse 3, 8240 Thayngen, Schweiz
Handelsregister: Kanton Schaffhausen · UID CHE-249.882.147 · MWST CHE-249.882.147 MWST
Vertretungsberechtigt: Dr. Judith Behr (Vorsitzende der Geschäftsführung), Thomas Riehn (Geschäftsführer)
Stand: 16.07.2026
§ 1 Geltungsbereich, Vertragspartner und Begriffsbestimmungen
(1) Anbieterin dieser Plattform und Vertragspartnerin ist die codAIx GmbH, c/o JULITH GmbH, Erlengasse 3, 8240 Thayngen, Schweiz (nachfolgend „codAIx"). Diese Allgemeinen Geschäfts- und Nutzungsbedingungen (nachfolgend „AGB") regeln die Nutzung der unter den Domains craiready.com, craiready.ch und platform.craiready.ch bereitgestellten Software und Dienste der Plattform „crAIready" (nachfolgend „Plattform" oder „Dienst") durch den Kunden (nachfolgend „Kunde"; codAIx und Kunde gemeinsam die „Parteien").
(2) Ausschliesslich Unternehmer (B2B). Die Angebote von codAIx richten sich ausschliesslich an Unternehmer im Sinne von § 14 BGB (Deutschland), § 1 Abs. 1 Nr. 1 und Nr. 2 KSchG (Österreich) sowie Art. 1 Abs. 2 lit. b UWG (Schweiz) und an juristische Personen des öffentlichen Rechts. Sie richten sich nicht an Verbraucher. Mit Abschluss des Vertrages bzw. mit Nutzung des Dienstes bestätigt der Kunde, in Ausübung seiner gewerblichen, geschäftlichen oder selbständigen beruflichen Tätigkeit zu handeln.
(3) Vorrang und Abwehrklausel. Es gelten ausschliesslich diese AGB sowie die jeweils im Bestell-/Angebotsdokument („Auftrag") getroffenen Vereinbarungen. Abweichenden, entgegenstehenden oder ergänzenden Allgemeinen Geschäftsbedingungen des Kunden wird widersprochen; sie werden nur dann und insoweit Vertragsbestandteil, als codAIx ihrer Geltung ausdrücklich in Textform zugestimmt hat. Dies gilt auch, wenn codAIx in Kenntnis entgegenstehender Bedingungen des Kunden die Leistung vorbehaltlos erbringt.
(4) Rangfolge. Bei Widersprüchen gilt folgende Reihenfolge: (a) der individuell unterzeichnete Auftrag bzw. Einzelvertrag, (b) der Auftragsverarbeitungsvertrag (AVV) für datenschutzrechtliche Fragen, (c) ein etwaiges Service Level Agreement (SLA), (d) eine etwaige Leistungsbeschreibung/Produktdokumentation, (e) diese AGB.
(5) Begriffe. „SaaS" bezeichnet die cloudbasierte Bereitstellung der Plattform über das Internet; „On-Premise" / „Self-Hosted" die Überlassung der Software zum Betrieb in der vom Kunden kontrollierten Infrastruktur; „Quick-Check" das kostenlos und ohne Registrierung zugängliche Selbsteinschätzungs-Werkzeug auf craiready.com; „Kundeninhalte" alle vom Kunden oder seinen Nutzern eingestellten Daten (z. B. Produktdaten, SBOM, Lieferketten- und Schwachstellendaten); „CRA" die Verordnung (EU) 2024/2847 (Cyber Resilience Act); „AI Act" die Verordnung (EU) 2024/1689.
§ 2 Vertragsgegenstand und Leistungsbeschreibung
(1) crAIready ist eine KI-gestützte Software, die cra-pflichtige Unternehmen und weitere Wirtschaftsakteure bei der Organisation, Dokumentation und dem Nachweis ihrer Cybersicherheits-Compliance unterstützt. Die Plattform stellt insbesondere Funktionen zur CRA-Klassifizierung, zum Schwachstellen- und SBOM-Management, zur Dokumentengenerierung, zur Verwaltung von Melde- und Wirtschaftsakteurs-Rollen sowie ein kontinuierliches Monitoring bereit.
(2) Werkzeugcharakter. Die Plattform ist ein Hilfsmittel zur Unterstützung des Kunden. Sie erbringt keine Rechts-, Steuer- oder Unternehmensberatung und trifft keine rechtsverbindlichen Entscheidungen. Der geschuldete Leistungsumfang ergibt sich abschliessend aus dem Auftrag und der jeweils gültigen Leistungsbeschreibung; öffentliche Werbeaussagen, Demonstrationen oder Roadmap-Angaben begründen keinen Leistungsanspruch.
(3) Weiterentwicklung. codAIx ist berechtigt, die Plattform fortlaufend weiterzuentwickeln, zu aktualisieren und einzelne Funktionen zu ändern, solange der vertraglich vereinbarte Kernleistungsumfang nicht wesentlich eingeschränkt wird. Sicherheits- und Pflichtaktualisierungen kann codAIx auch ohne vorherige Ankündigung einspielen.
§ 3 Bereitstellungsmodelle
3.1 SaaS (Cloud-Nutzung)
(1) Im SaaS-Modell stellt codAIx dem Kunden die jeweils aktuelle Version der Plattform über das Internet zur Nutzung bereit. Das Hosting erfolgt auf Servern in der Schweiz. Der Kunde erhält für die Vertragslaufzeit ein nicht ausschliessliches, nicht übertragbares Recht zur bestimmungsgemässen Nutzung im vereinbarten Umfang (z. B. Anzahl Nutzer, Mandanten, Produkte). Jedem Kunden wird eine eigene, logisch und betrieblich getrennte Instanz bereitgestellt (Single-Tenant / Instanz-pro-Kunde mit automatischer Bereitstellung); eine Vermischung von Kundendaten findet nicht statt.
(2) Die Software verbleibt auf den Systemen von codAIx bzw. ihrer Auftragsverarbeiter; dem Kunden wird kein Datenträger und kein dauerhaftes Nutzungsrecht überlassen.
3.2 On-Premise / Self-Hosted
(1) Im On-Premise-Modell überlässt codAIx dem Kunden die Software zum Betrieb in der vom Kunden verantworteten Infrastruktur. Der Kunde erhält ein auf die Vertragslaufzeit beschränktes (bzw. bei einer Kauflizenz dauerhaftes), nicht ausschliessliches, nicht übertragbares und nicht unterlizenzierbares Nutzungsrecht im vereinbarten Umfang.
(2) Betrieb, Verfügbarkeit, Sicherung, Härtung und Aktualisierung der vom Kunden betriebenen Instanz liegen in dessen Verantwortung. codAIx stellt Aktualisierungen und Sicherheitspatches nach Massgabe des vereinbarten Wartungs-/Supportumfangs bereit; der Kunde ist verpflichtet, sicherheitsrelevante Aktualisierungen unverzüglich einzuspielen.
(3) Eine Dekompilierung, Disassemblierung oder sonstige Rückübersetzung ist nur in den Grenzen zwingenden Rechts (insb. zur Herstellung der Interoperabilität) zulässig. Urhebervermerke und Lizenzhinweise dürfen nicht entfernt werden.
3.3 Kostenloser Quick-Check
(1) Unentgeltlich und „wie besehen". Der Quick-Check wird unentgeltlich, ohne Registrierung und ohne Anspruch auf Verfügbarkeit bereitgestellt. Er liefert eine unverbindliche, automatisierte Ersteinschätzung und stellt weder eine Rechtsberatung noch eine Konformitätsbescheinigung oder Zusicherung dar.
(2) Einbeziehung ohne aktive Bestätigung. Mit dem Start des Quick-Checks akzeptiert der Nutzer diese AGB in ihrer für den Quick-Check einschlägigen Fassung; ein gesondertes Anklicken (Opt-in) ist im B2B-Verhältnis nicht erforderlich. codAIx weist am Einstiegspunkt des Quick-Checks deutlich sichtbar auf diese AGB hin und hält sie abrufbar.
(3) Haftungs- und Gewährleistungsausschluss. Für den unentgeltlichen Quick-Check haftet codAIx nur nach Massgabe von § 15 dieser AGB und im Übrigen nur für Vorsatz und grobe Fahrlässigkeit. Eine Gewähr für Richtigkeit, Vollständigkeit oder Eignung der Ergebnisse für einen bestimmten Zweck wird nicht übernommen.
(4) Überleitung in die Plattform. Wählt der Nutzer am Ende oder während des Quick-Checks die Überleitung in die Plattform, übermittelt die Webseite die bis dahin erfassten Roh-Antworten (und ggf. die E-Mail-Adresse) an die Plattform; die verbindliche Klassifizierung und der Vertragsschluss erfolgen erst im Login nach § 4. Einzelheiten der Datenverarbeitung regeln die Datenschutzerklärung und der AVV.
§ 4 Vertragsschluss, Registrierung und Zugangsdaten
(1) Vertragsschluss. Die Darstellung der Plattform und der Preise stellt kein bindendes Angebot dar. Der Vertrag über die kostenpflichtige Nutzung kommt durch Annahme des Auftrags durch codAIx zustande, z. B. durch Auftragsbestätigung in Textform, durch Freischaltung des Zugangs oder durch Beginn der Leistungserbringung.
(2) Aktive Zustimmung bei Registrierung. Bereits bei der Registrierung — auch für die kostenlose Nutzung (geführter Wizard/Trial) vor Abschluss eines kostenpflichtigen Plans — bestätigt der Kunde diese AGB aktiv durch eine nicht vorausgewählte Checkbox; ohne Bestätigung erfolgt keine Registrierung. Mit der Registrierung werden dem Kunden diese AGB, der Auftragsverarbeitungsvertrag (AVV) und die Datenschutzerklärung bereitgestellt bzw. zur Kenntnis gebracht, bevor er Inhalte (z. B. ein Repository) hochlädt. codAIx dokumentiert die Zustimmung revisionssicher (Versions-ID und SHA-256-Hash der akzeptierten Fassung, UTC-Zeitstempel, Nutzer-/Account-ID, akzeptierte Sprachfassung).
(3) Zugangsdaten. Der Kunde hat die Zugangsdaten geheim zu halten, gegen Zugriff Dritter zu schützen und codAIx einen Verdacht auf Missbrauch unverzüglich mitzuteilen. Der Kunde ist für sämtliche unter seinen Zugängen vorgenommenen Handlungen verantwortlich; die rollenbasierte Vergabe von Nutzerrechten obliegt ihm.
(4) Kundenangaben. Angaben des Kunden (z. B. Firma, Anschrift, Vertretungsbefugnis) müssen zutreffend und aktuell sein. codAIx ist berechtigt, die Unternehmereigenschaft zu überprüfen.
(5) Vertriebspartner. codAIx kann sich für die Anbahnung von Verträgen selbständiger Vertriebspartner (Vermittlungsagenten) bedienen. Vertriebspartner sind nicht bevollmächtigt, Verträge im Namen oder für Rechnung von codAIx abzuschliessen, zu ändern oder aufzuheben oder Zahlungen entgegenzunehmen. Verträge kommen ausschliesslich unmittelbar zwischen codAIx und dem Kunden nach Massgabe der Absätze 1 bis 4 zustande. Erklärungen, Zusagen oder Konditionen, die über die von codAIx freigegebenen Unterlagen, den jeweiligen Auftrag oder diese AGB hinausgehen, binden codAIx nur, wenn codAIx sie in Textform bestätigt.
§ 5 Rollenverteilung, CRA-/AI-Act-Verantwortung und Grenzen der Leistung
(1) Rollenverteilung. codAIx ist Anbieterin eines Werkzeugs, nicht Herstellerin der Kundenprodukte. Die Verantwortung für die Einhaltung der für den Kunden geltenden Pflichten – insbesondere als Hersteller, Bevollmächtigter, Einführer oder Händler im Sinne der CRA und dessen nationaler Umsetzung – trägt allein der Kunde. crAIready unterstützt den Kunden bei der Erfüllung dieser Pflichten, übernimmt sie aber nicht und tritt nicht an seine Stelle.
(2) Keine Konformitäts- oder Erfolgsgarantie. codAIx schuldet die vertraglich beschriebene Funktionalität der Plattform, nicht den Eintritt eines bestimmten rechtlichen Erfolgs. Insbesondere garantiert codAIx nicht, dass ein Produkt des Kunden die Anforderungen der CRA (einschliesslich Anhang I), des AI Act oder sonstiger Vorschriften erfüllt, dass eine CE-Kennzeichnung rechtmässig angebracht ist oder dass eine Konformitätsbewertung erfolgreich verläuft.
(3) Eigenverantwortliche Pflichten des Kunden. In der Verantwortung des Kunden verbleiben insbesondere: die Erstellung und – nach Art. 13 Abs. 13 CRA für zehn Jahre bzw. die Lebensdauer des Produkts – die Aufbewahrung der technischen Dokumentation, die Konformitätsbewertung und Konformitätserklärung, die CE-Kennzeichnung, die Meldepflichten nach Art. 14 CRA gegenüber CSIRT und ENISA sowie die fachliche Prüfung aller von der Plattform erzeugten Inhalte vor deren Verwendung. codAIx ist nicht verpflichtet, Kundeninhalte über das Vertragsende hinaus aufzubewahren (siehe § 11).
(4) KI-gestützte Funktionen. Bestimmte Funktionen (z. B. Quick-Check, Klassifizierungs-Wizard, Schwachstellen-Triage, Dokument-Generator, KI-Chat) werden durch KI-Systeme unterstützt. Deren Ausgaben sind unverbindliche Vorschläge ohne rechtlich bindende Wirkung; die abschliessende Bewertung und Entscheidung trifft stets ein Mensch (Human-in-the-Loop). Es findet keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO statt. codAIx erfüllt die Transparenzpflichten nach Art. 50 AI Act und kennzeichnet KI-gestützte Funktionen entsprechend.
(5) Datenquellen Dritter. Die Plattform greift zur Anreicherung auf öffentliche und kommerzielle Quellen zu (z. B. NVD/NIST, OSV, CISA KEV, EUVD/ENISA, GitHub sowie Paket-Registries wie PyPI, npm, crates.io und Maven Central). codAIx übernimmt keine Gewähr für Richtigkeit, Vollständigkeit oder Aktualität dieser von Dritten verantworteten Daten.
(6) Eigene Rolle von codAIx. Soweit crAIready selbst ein Produkt mit digitalen Elementen im Sinne der CRA darstellt — insbesondere im On-Premise-/Self-Hosted-Modell, in dem codAIx dem Kunden installierbare Software überlässt —, erfüllt codAIx die sie als Herstellerin treffenden Pflichten eigenverantwortlich und unabhängig von diesem Vertragsverhältnis. In der reinen SaaS-/Cloud-Bereitstellung — ohne lokal installierte Komponente und ohne herstellerseitige Datenfernverarbeitungslösung (RDPS) i. S. v. Art. 3 Nr. 2 CRA — ist crAIready demgegenüber in der Regel kein Produkt mit digitalen Elementen im Sinne der CRA. codAIx beurteilt die Einordnung anhand der Funktionalitäts- und Herstellerverantwortlichkeitskriterien einzelfallbezogen. Hiervon unberührt bleiben die gesetzliche Gewährleistung sowie — im On-Premise-/Self-Hosted-Modell — die Bereitstellung der zum Produkt gehörenden Konformitätsunterlagen (insbesondere EU-Konformitätserklärung nach Art. 28 i. V. m. Anhang V CRA sowie Benutzerinformationen nach Anhang II CRA). Darüber hinausgehende Ansprüche aus den codAIx als Herstellerin treffenden öffentlich-rechtlichen CRA-Pflichten werden durch diese AGB nicht begründet.
§ 6 Zweckbestimmung, menschliche Aufsicht und Verantwortungsübergang (AI Act)
(1) Zweckbestimmung. crAIready wird ausschliesslich als Entscheidungsunterstützung (Advisory Tool) bereitgestellt und ist nicht dazu bestimmt, als Entscheidungssystem zu wirken. Die Ausgaben – einschliesslich der KI-gestützten Klassifizierung – sind Vorschläge; eine qualifizierte natürliche Person prüft sie eigenständig und trifft die abschliessende Entscheidung (menschliche Aufsicht). Die Plattform richtet sich an Entwickler, Sicherheitsforschende (Bug-Bounty) und Security-Teams kleiner und mittlerer Unternehmen zur Unterstützung ihrer CRA-/Compliance-Dokumentation; sie ist nicht dazu bestimmt, als Steuerungs- oder Entscheidungskomponente kritischer Infrastrukturen – insbesondere der Energie-, Wasser-, Telekommunikations-, Banken- und Finanzinfrastruktur – eingesetzt zu werden.
(2) Zweckänderung. Der Kunde wird das System nicht so konfigurieren oder einsetzen, dass dessen Ausgaben ohne wirksame menschliche Prüfung entscheidungswirksam werden (autonome oder vorweggenommene Entscheidung). Setzt der Kunde das System dennoch in dieser Weise ein, verändert er dessen Zweckbestimmung im Sinne von Art. 25 Abs. 1 lit. c der Verordnung (EU) 2024/1689 (AI Act). Der Kunde gilt in diesem Fall als Anbieter des betreffenden Hochrisiko-KI-Systems und übernimmt sämtliche Anbieterpflichten nach Art. 16 der Verordnung (insbesondere Konformitätsbewertung, technische Dokumentation und Registrierung).
(3) Freistellung. Der Kunde stellt codAIx von allen Ansprüchen Dritter sowie behördlichen Massnahmen frei, die aus einem Einsatz ausserhalb der Zweckbestimmung oder aus einer Zweckänderung nach Absatz 2 resultieren, einschliesslich angemessener Kosten der Rechtsverteidigung.
(4) Grenzen. Die zwingende Produkthaftung gegenüber geschädigten Personen (Richtlinie (EU) 2024/2853) sowie die Pflicht zur Bereitstellung sicherheitsrelevanter Updates bleiben unberührt und werden hierdurch nicht ausgeschlossen.
§ 7 Nutzerpflichten und zulässige Nutzung
Der Kunde verpflichtet sich, die Plattform nur bestimmungsgemäss und im Rahmen der geltenden Gesetze zu nutzen. Insbesondere wird der Kunde:
- keine Inhalte einstellen, die Rechte Dritter (z. B. Urheber-, Marken-, Persönlichkeits- oder Datenschutzrechte) verletzen oder rechtswidrig sind;
- die Plattform nicht missbräuchlich nutzen, insbesondere keine Schadsoftware einschleusen, keine Sicherheitsmechanismen umgehen, keine unverhältnismässige Last erzeugen und kein automatisiertes Auslesen (Scraping) ausserhalb bereitgestellter Schnittstellen vornehmen;
- die erforderlichen Rechte und Einwilligungen für die von ihm eingestellten Kundeninhalte sicherstellen;
- die ihm zugewiesenen Zugänge und API-Schlüssel sorgfältig verwalten und nur berechtigten Personen zugänglich machen.
(1) Sperrung bei Verstössen. Bei erheblichen oder wiederholten Verstössen ist codAIx berechtigt, betroffene Inhalte zu sperren und – nach erfolgloser Abmahnung bzw. bei Unzumutbarkeit sofort – den Zugang vorübergehend zu sperren. Weitergehende Rechte (Kündigung, Schadensersatz) bleiben unberührt.
(2) Freistellung durch den Kunden. Der Kunde stellt codAIx von Ansprüchen Dritter frei, die auf einer rechtswidrigen Nutzung der Plattform durch den Kunden oder seine Nutzer oder auf den vom Kunden eingestellten Inhalten beruhen, einschliesslich angemessener Kosten der Rechtsverteidigung.
(3) Einsatz in Hochrisiko-Bereichen. crAIready ist ein Werkzeug zur Unterstützung der Compliance-Dokumentation und nicht dafür bestimmt, als Bestandteil oder Steuerungskomponente sicherheitskritischer Systeme zu dienen — insbesondere nicht in der Humanmedizin und bei Medizinprodukten, in Gentechnologie und Pharmazie, in der Militär- und Waffentechnik, im Flugbetrieb und in der Flugsicherung sowie in kern-/nukleartechnischen Anlagen — und ist auch nicht für den Einsatz im Zusammenhang mit Finanzdienstleistungen bestimmt. Diese Bereiche sind zugleich nach der Berufshaftpflichtversicherung von codAIx ausgeschlossen (vgl. AVB B3.3 und B3.4, Ausgabe 06.2024). Ein gleichwohl in dieser Weise erfolgender Einsatz geschieht auf eigenes Risiko des Kunden; eine Haftung von codAIx ist insoweit nach Massgabe von § 15 ausgeschlossen, soweit gesetzlich zulässig. Der Kunde sichert zu, crAIready nicht in den vorgenannten Bereichen oder als Bestandteil bzw. Steuerungskomponente sicherheitskritischer Systeme einzusetzen. Bei einem Verstoss stellt der Kunde codAIx von sämtlichen hieraus resultierenden Ansprüchen Dritter frei. Ein Verstoss berechtigt codAIx zur ausserordentlichen Kündigung aus wichtigem Grund und zur sofortigen Sperrung des Zugangs (§ 10 Abs. 2); bereits gezahlte Entgelte für die laufende Vertragsperiode werden in diesem Fall nicht zurückerstattet.
§ 8 Verfügbarkeit, Wartung und Support
(1) Im SaaS-Modell strebt codAIx eine Verfügbarkeit der Plattform von 99,5 % im Jahresmittel an, gemessen am Übergabepunkt (Ausgang Rechenzentrum). Zeiten geplanter Wartung, Störungen ausserhalb des Verantwortungsbereichs von codAIx (insb. Internet, Drittdienste) sowie höhere Gewalt bleiben unberücksichtigt.
(2) Geplante Wartungsarbeiten werden, soweit zumutbar, vorab angekündigt und möglichst in nutzungsarme Zeiten gelegt. codAIx ist berechtigt, den Zugang zur Abwehr akuter Sicherheitsgefahren ohne Vorankündigung einzuschränken.
(3) Support wird im vereinbarten Umfang erbracht; ohne abweichende Vereinbarung per E-Mail an Werktagen (Mo–Fr, 09:00–17:00 Uhr MEZ) mit einer Reaktionszeit von 24 Stunden. Reaktionszeit bedeutet die erste qualifizierte Rückmeldung, nicht die Behebung.
§ 9 Vergütung, Preise und Zahlungsbedingungen
(1) Die Vergütung richtet sich nach dem Auftrag bzw. den im Bestell-/Kaufprozess angezeigten Preisen. Alle Preise verstehen sich, sofern nicht anders angegeben, netto zuzüglich der jeweils geltenden gesetzlichen Steuern. Bei innergemeinschaftlichen B2B-Leistungen kommt das Reverse-Charge-Verfahren zur Anwendung.
(2) Wiederkehrende Entgelte (Abonnement) sind, sofern nicht anders vereinbart, im Voraus für die jeweilige Abrechnungsperiode fällig. Rechnungen sind innerhalb von 10 Tagen ohne Abzug zur Zahlung fällig.
(3) Bei Zahlungsverzug ist codAIx berechtigt, Verzugszins in gesetzlicher Höhe zu verlangen und – nach erfolgloser Mahnung mit angemessener Frist – den Zugang zu sperren. Die Pflicht zur Zahlung der vereinbarten Entgelte bleibt während einer vom Kunden zu vertretenden Sperre bestehen.
(4) Preisanpassung. codAIx kann die Entgelte für Dauerschuldverhältnisse mit einer Frist von 6 Wochen zum Beginn einer neuen Vertragsperiode anpassen. Übersteigt eine Erhöhung 5 % gegenüber der Vorperiode, steht dem Kunden ein Sonderkündigungsrecht zum Wirksamwerden der Erhöhung zu.
(5) Zahlungsabwicklung. Die Abrechnung kostenpflichtiger Pläne und die Zahlungsabwicklung erfolgen über den Zahlungsdienstleister Stripe (Stripe Payments Europe, Ltd., Irland). Der Kunde stellt zutreffende Zahlungs- und Rechnungsdaten bereit; Einzelheiten der damit verbundenen Datenverarbeitung regeln die Datenschutzerklärung und der AVV. codAIx behält sich vor, weitere oder andere Zahlungsdienstleister einzusetzen.
(6) Einführungsangebot. codAIx kann zeitlich befristete Einführungsangebote gewähren (z. B. die ersten drei Monate des kleinsten Jahresplans zu einem vergünstigten Einführungspreis, danach zum regulären Preis). Einzelheiten, Geltungsdauer und ein etwaiges Sonderkündigungsrecht ergeben sich aus dem jeweiligen Angebot bzw. Auftrag.
§ 10 Laufzeit und Kündigung
(1) Die Vertragslaufzeit und Kündigungsfristen ergeben sich aus dem Auftrag. Ohne abweichende Vereinbarung beträgt die Laufzeit 12 Monate und verlängert sich um jeweils 12 Monate, sofern nicht mit einer Frist von 3 Monaten zum Laufzeitende gekündigt wird.
(2) Das Recht zur ausserordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt für codAIx insbesondere bei erheblichem Zahlungsverzug oder schwerwiegendem Verstoss gegen § 7 vor.
(3) Kündigungen bedürfen mindestens der Textform.
§ 11 Pflichten bei Vertragsende, Datenexport und Löschung
(1) codAIx stellt dem Kunden die Kundeninhalte zum Vertragsende für einen Zeitraum von 30 Tagen in einem gängigen, strukturierten Format zum Export bereit. Der Kunde ist für den rechtzeitigen Export selbst verantwortlich.
(2) Nach Ablauf der Exportfrist ist codAIx berechtigt und – nach Massgabe des AVV (Art. 28 Abs. 3 lit. g DSGVO) – verpflichtet, die Kundeninhalte zu löschen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Die gesetzlichen Aufbewahrungspflichten des Kunden (insbesondere die 10-Jahres-Frist nach Art. 13 Abs. 13 CRA) trägt der Kunde eigenverantwortlich; eine darüber hinausgehende Archivierung durch codAIx erfolgt nur bei gesonderter Vereinbarung.
§ 12 Nutzungsrechte und geistiges Eigentum
(1) Alle Rechte an der Plattform, ihrer Software, Struktur, Dokumentation und an Weiterentwicklungen verbleiben bei codAIx bzw. ihren Lizenzgebern. Der Kunde erhält nur die in § 3 beschriebenen, einfachen Nutzungsrechte für die Vertragslaufzeit (bzw. im Umfang der vereinbarten Lizenz).
(2) Kundeninhalte. Die Rechte an den Kundeninhalten verbleiben beim Kunden. Der Kunde räumt codAIx das nicht ausschliessliche, auf den Vertragszweck beschränkte Recht ein, die Kundeninhalte zu speichern, zu verarbeiten und anzuzeigen, soweit dies zur Leistungserbringung erforderlich ist.
(3) Anonyme Nutzungsdaten. codAIx ist berechtigt, anonymisierte oder aggregierte Daten, die keinen Rückschluss auf den Kunden oder betroffene Personen zulassen, zur Verbesserung, Sicherheit und Statistik der Plattform zu nutzen.
(4) Feedback. Macht der Kunde Verbesserungsvorschläge, darf codAIx diese unentgeltlich und zeitlich unbeschränkt nutzen, ohne dass dem Kunden hieraus Rechte erwachsen.
§ 13 Datenschutz und Auftragsverarbeitung
(1) Soweit codAIx im Auftrag des Kunden personenbezogene Daten verarbeitet (insb. vom Kunden eingestellte Geschäftsdaten), schliessen die Parteien einen separaten Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO bzw. Art. 9 nDSG. Der AVV geht diesen AGB in datenschutzrechtlichen Fragen vor.
(2) Für die Verwaltung der Benutzerkonten und die Zugriffsprotokollierung ist codAIx selbst Verantwortliche. Einzelheiten der Verarbeitung, der Auftragsverarbeiter, der Drittlandtransfers (CH/USA) und der Betroffenenrechte ergeben sich aus der Datenschutzerklärung unter craiready.ch/datenschutz.
(3) KI-Datenverarbeitung. Die KI-gestützten Funktionen sind standardmässig aktiviert und laufen im Default ohne Übermittlung an Dritte innerhalb der Betriebsumgebung der Plattform — im SaaS-Modell auf den Servern von codAIx, im On-Premise-Modell in der vom Kunden betriebenen Infrastruktur (Ollama/Self-Hosted). Eine Cloud-Verarbeitung über Anthropic (USA, gestützt auf EU-Standardvertragsklauseln) oder OpenAI (USA, gestützt auf den EU-US Data Privacy Framework) erfolgt nur auf ausdrückliche Wahl des Kunden; die Anbieterwahl gilt als Weisung des Kunden im Sinne des AVV. Der Kunde ist für die datenschutzrechtliche Zulässigkeit der von ihm aktivierten KI-Verarbeitung mitverantwortlich.
§ 14 Gewährleistung
(1) codAIx gewährleistet im SaaS-Modell die vertragsgemässe Bereitstellung der Plattform während der Vertragslaufzeit. Bei On-Premise- und Kauflizenzen gewährleistet codAIx, dass die Software bei Übergabe der vereinbarten Beschaffenheit entspricht.
(2) Der Kunde meldet Mängel nachvollziehbar und unverzüglich. codAIx behebt reproduzierbare, erhebliche Mängel innerhalb angemessener Frist durch Nachbesserung (z. B. Update, Workaround). Unerhebliche Beeinträchtigungen der Nutzbarkeit begründen keine Gewährleistungsansprüche.
(3) Eine Gewähr wird nicht übernommen für Beeinträchtigungen, die auf vom Kunden zu vertretenden Umständen, auf der Nutzung ausserhalb der vereinbarten Systemumgebung, auf nicht autorisierten Eingriffen oder auf Diensten Dritter beruhen. Für den unentgeltlichen Quick-Check gilt § 3.3.
§ 15 Haftung
(1) codAIx haftet unbeschränkt für Vorsatz und grobe Fahrlässigkeit sowie für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit und nach zwingendem Recht (insb. Produktehaftung). Eine Wegbedingung der Haftung für rechtswidrige Absicht oder grobe Fahrlässigkeit ist nach Art. 100 Abs. 1 OR ausgeschlossen.
(2) Bei leichter Fahrlässigkeit haftet codAIx nur bei Verletzung einer wesentlichen Vertragspflicht (Pflicht, deren Erfüllung die ordnungsgemässe Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmässig vertrauen darf). In diesem Fall ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt.
(3) Haftungshöchstgrenze. Die Haftung für leichte Fahrlässigkeit ist – soweit gesetzlich zulässig – je Schadensfall der Höhe nach auf den vertragstypischen, vorhersehbaren Schaden begrenzt, höchstens jedoch auf die Deckungssumme der von codAIx unterhaltenen Berufs- bzw. Vermögensschadenhaftpflichtversicherung je Schadensfall. codAIx schliesst eine Berufshaftpflichtversicherung für IT-Dienstleister ab, die auch Tätigkeiten im Bereich KI/Machine-Learning (Entwicklung, Beratung, Schulung, generative KI) umfasst; die Deckungssumme beträgt gemäss diesem Angebot CHF 1'000'000 je Schadensfall für Vermögensschäden sowie CHF 10'000'000 für Personen- und Sachschäden (AXA-Berufshaftpflicht für IT-Dienstleister; Grundlage ist das Versicherungsangebot Nr. 14.605.731 — die Versicherung befindet sich im Abschluss, die endgültige Policennummer wird nach Ausstellung ergänzt). Übersteigt der nachgewiesene Schaden die Deckungssumme nicht, gilt der jeweils niedrigere Betrag. Für den unentgeltlichen Quick-Check besteht keine über § 3.3 hinausgehende Haftung.
(4) Ausschluss. Im Rahmen des Zulässigen ist die Haftung für mittelbare Schäden, entgangenen Gewinn und Datenverlust bei leichter Fahrlässigkeit ausgeschlossen. Für Datenverlust haftet codAIx nur in dem Umfang, in dem er auch bei ordnungsgemässer und regelmässiger Datensicherung durch den Kunden eingetreten wäre.
(5) codAIx haftet insbesondere nicht für Bussgelder, Sanktionen oder Nachteile, die den Kunden infolge eigener Nicht-Erfüllung seiner CRA-Pflichten treffen, sowie nicht für Entscheidungen, die der Kunde auf Grundlage von KI-Vorschlägen oder Plattform-Ausgaben ohne eigene fachliche Prüfung trifft (vgl. § 5).
(6) Die vorstehenden Haftungsregelungen gelten auch zugunsten der gesetzlichen Vertreter, Mitarbeitenden und Erfüllungsgehilfen von codAIx.
§ 16 Vertraulichkeit
(1) Die Parteien behandeln vertrauliche Informationen der jeweils anderen Partei zeitlich unbegrenzt vertraulich und nutzen sie nur zu Vertragszwecken. Ausgenommen sind Informationen, die offenkundig sind, rechtmässig von Dritten erlangt wurden oder aufgrund Gesetzes, behördlicher oder gerichtlicher Anordnung offenzulegen sind.
(2) codAIx darf den Kunden nur nach vorheriger Zustimmung als Referenz nennen.
§ 17 Höhere Gewalt
Ereignisse höherer Gewalt (z. B. Naturkatastrophen, Krieg, Streik, behördliche Massnahmen, grossflächige Internet- oder Stromausfälle, Cyberangriffe Dritter) befreien die betroffene Partei für deren Dauer von der Leistungspflicht. Dauert das Ereignis länger als 60 Tage an, kann jede Partei den betroffenen Leistungsteil kündigen.
§ 18 Unterauftragnehmer und Drittdienste
codAIx darf zur Leistungserbringung Unterauftragnehmer und Drittdienste einsetzen (z. B. Hosting, Umami-Analyse durch die JULITH GmbH, Schwachstellen-Datenquellen, optionale KI-Anbieter). Datenschutzrechtliche Anforderungen an Unterauftragsverarbeiter regelt der AVV. codAIx bleibt für die vertragsgemässe Leistungserbringung verantwortlich. Zu den eingesetzten Drittdiensten zählt insbesondere der Zahlungsdienstleister Stripe (Zahlungsabwicklung).
§ 19 Änderungen dieser AGB
(1) codAIx kann diese AGB mit Wirkung für die Zukunft ändern, wenn dies aus triftigem Grund (z. B. geänderte Rechtslage, höchstrichterliche Rechtsprechung, neue Funktionen, Sicherheitsanforderungen) erforderlich ist und den Kunden nicht unangemessen benachteiligt.
(2) Änderungen werden dem Kunden mindestens 6 Wochen vor Inkrafttreten in Textform mitgeteilt. Widerspricht der Kunde nicht innerhalb von 6 Wochen nach Zugang, gelten die Änderungen als angenommen; hierauf wird in der Mitteilung gesondert hingewiesen. Widerspricht der Kunde, kann jede Partei zum geplanten Inkrafttreten ausserordentlich kündigen.
§ 20 Schlussbestimmungen
(1) Anwendbares Recht. Es gilt ausschliesslich schweizerisches Recht unter Ausschluss der Kollisionsnormen und des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (CISG/UN-Kaufrecht). Diese Rechtswahl ist im Verhältnis zwischen Unternehmern zulässig (Art. 3 Rom-I-VO für Kunden in der EU; Art. 116 IPRG für Kunden in der Schweiz). Zwingende Bestimmungen am Sitzstaat des Kunden, soweit sie im B2B-Verhältnis ausnahmsweise nicht abdingbar sind, bleiben unberührt.
(2) Gerichtsstand. Ausschliesslicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Sitz von codAIx in Schaffhausen, Schweiz. codAIx ist berechtigt, den Kunden auch an dessen allgemeinem Gerichtsstand zu verklagen.
(3) Textform. Änderungen und Ergänzungen des Vertrages bedürfen mindestens der Textform; dies gilt auch für die Aufhebung dieses Formerfordernisses.
(4) Abtretung und Aufrechnung. Der Kunde kann Rechte aus diesem Vertrag nur mit vorheriger Zustimmung von codAIx abtreten. Mit Gegenforderungen kann der Kunde nur aufrechnen, wenn diese unbestritten oder rechtskräftig festgestellt sind.
(5) Salvatorische Klausel. Sollte eine Bestimmung dieser AGB unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine Regelung, die dem wirtschaftlich Gewollten am nächsten kommt.
(6) Sprache. Massgeblich ist die deutsche Fassung dieser AGB.
Stand: 16.07.2026 · codAIx GmbH, Thayngen (CH)