Nutzungsrichtlinie (Acceptable Use)
Stand11. Mai 2026
Diese Nutzungsrichtlinie („AUP") ist integraler Bestandteil der Nutzungsbedingungen. Großgeschriebene Begriffe, die hier nicht definiert sind, haben die Bedeutung, die ihnen in den AGB zukommt. Mit der Nutzung des Dienstes verpflichten Sie sich, diese Richtlinie einzuhalten.
1. Zweck
Der Dienst unterstützt Privatpersonen, Freiberufler:innen, kleine und mittelständische Unternehmen, Vereine sowie Konzerne dabei, digitale Anwendungen und Websites mit KI-Unterstützung zu erstellen, zu veröffentlichen und zu betreiben. Diese Richtlinie definiert unzulässige Nutzungsformen, um Nutzer:innen, unsere Infrastruktur-Anbieter, Dritte und die Integrität des Dienstes zu schützen.
2. Allgemeine Verbote
Sie dürfen den Dienst weder selbst noch durch Dritte nutzen, um:
- gegen anwendbares Recht, Vorschriften oder Rechte Dritter zu verstoßen, insbesondere Urheber-, Persönlichkeits-, Vertrags- oder Datenschutzrechte;
- Marken, Urheberrechte, Geschäftsgeheimnisse oder andere Schutzrechte zu verletzen, unrechtmäßig anzueignen oder zu verwässern;
- Inhalte hochzuladen, zu hosten, zu generieren oder zu verbreiten, die rechtswidrig, ehrverletzend, belästigend, bedrohend, betrügerisch, obszön, hasserfüllt sind, Gewalt verherrlichen, Minderjährige sexualisieren oder zur Begehung von Straftaten anstiften;
- Spam, Phishing, Smishing, Pharming, Scraping ohne Einwilligung, Credential Stuffing oder umfangreiche unaufgeforderte Nachrichten zu betreiben;
- Schadsoftware, Ransomware, Spyware, Viren, Würmer, Trojaner, Kryptominer oder anderen schädlichen Code zu verbreiten;
- Schwachstellen-Scans, Penetration-Tests oder Load-Tests gegen den Dienst oder Dritte ohne unsere vorherige schriftliche Zustimmung durchzuführen;
- Authentifizierungs-, Rate-Limiting-, Abrechnungs-, Kontingent- oder Sicherheitsmechanismen zu umgehen oder dies zu versuchen;
- den Dienst, unsere Netzwerke oder die Infrastruktur unserer Sub-Prozessoren zu stören, zu beeinträchtigen oder unangemessen zu belasten;
- den Dienst in lebenskritischen Umgebungen (z.B. Medizinprodukte, Nuklearsteuerung, Luftfahrt, Lebenserhaltung) ohne unabhängige, zertifizierte Sicherheitssysteme und menschliche Aufsicht einzusetzen.
3. KI-spezifische Beschränkungen
Zusätzlich zu den allgemeinen Verboten dürfen Sie den Dienst nicht nutzen, um:
- Konkurrierende Modelle zu trainieren. Den Dienst, AI Output, Prompts oder über den Dienst zugängliche Daten zum Trainieren, Fine-Tuning, Destillieren, Evaluieren, Benchmarken oder anderweitigen Entwickeln eines KI- oder Machine-Learning-Modells einzusetzen, das mit dem Dienst konkurriert.
- Modell-Interna zu extrahieren. Zu versuchen, Gewichte, Hyperparameter, System-Prompts, interne Logik, Trainingsdaten oder proprietäre Algorithmen des Dienstes oder seiner zugrundeliegenden Modelle zu entdecken, zu extrahieren oder zu rekonstruieren.
- AI Output falsch darzustellen. AI Output als menschlich erstellt auszugeben, wenn dies täuscht, schädigt oder rechtswidrig ist — etwa in akademischen Arbeiten, in journalistischen Beiträgen, die als Originalrecherche präsentiert werden, oder in politischen Kampagnen, die Wähler:innen täuschen.
- Schädliche Inhalte zu erzeugen. Inhalte zu produzieren oder zu verbreiten, die Selbstverletzung, Terrorismus, Kinderpornografie, nicht-einvernehmliche sexuelle Inhalte oder biologische, chemische, radiologische, nukleare oder Cyber-Massenvernichtungswaffen fördern.
- Verzerrungsverstärkende Hochrisiko-Entscheidungen zu treffen. AI Output als alleinige Grundlage für folgenreiche Entscheidungen über Personen (z.B. medizinische Diagnose, Personalentscheidungen, Kredit, Versicherung, Wohnen, Strafjustiz, Sozialleistungen) ohne qualifizierte menschliche Prüfung und ohne Einhaltung des anwendbaren Rechts, einschließlich der EU-KI-Verordnung (EU AI Act), zu verwenden.
- Großflächige Täuschungsinhalte. Desinformationskampagnen zu betreiben, Deepfakes realer Personen ohne Einwilligung oder klare Kennzeichnung zu erstellen oder koordiniert unauthentisches Verhalten zu produzieren.
4. Ihre Verantwortung für generierten Code
AI Output wird probabilistisch generiert und kann Fehler, Sicherheitslücken, lizenzunverträgliche Muster, Ähnlichkeiten zu vorbestehenden Werken oder kontextungeeignete Inhalte enthalten. Vor dem produktiven Einsatz oder der Weitergabe an Dritte sind Sie verantwortlich für:
- Review. Lesen und Verstehen des generierten Codes, der Konfigurationen, Prompts und Dokumentation.
- Tests. Durchführen von Unit-, Integrations-, End-to-End- und gegebenenfalls Lasttests in produktionsnahen Umgebungen.
- Sicherheit. Dependency-, Secrets-, SAST- und DAST-Prüfungen; Rotation versehentlich generierter oder eingecheckter Zugangsdaten; Überprüfung von Zugriffsrichtlinien, CORS, CSP, Authentifizierung und Autorisierung.
- Lizenz-Compliance. Sicherstellen der Kompatibilität mit Open-Source-Lizenzen aller Dependencies, die vom Dienst vorgeschlagen oder installiert werden, einschließlich Beachtung von Namensnennungs- und Copyleft-Pflichten.
- Datenschutz. Durchführen einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO, soweit anwendbar; Dokumentation der Rechtsgrundlagen; Konfiguration von Aufbewahrung, Löschung und Betroffenenrechten.
- Barrierefreiheit. Einhaltung der für Ihre Jurisdiktion und Zielgruppe geltenden Barrierefreiheitsanforderungen (z.B. WCAG 2.2, EAA ab 2025).
- Regulierte Branchen. Einholung erforderlicher Zertifizierungen und Zulassungen vor Einsatz in regulierten Sektoren.
5. Prompt- und Inhaltshygiene
Sie übermitteln dem Dienst keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. Gesundheits-, biometrische Daten, politische Ansichten, sexuelle Orientierung) oder Daten Minderjähriger unter 16 Jahren, sofern Sie keine eindeutige Rechtsgrundlage besitzen. Vermeiden Sie das Einreichen von Zugangsdaten, API-Keys oder Produktionsgeheimnissen in Prompts; nutzen Sie die Secrets-Management-Funktionen des Dienstes.
6. Subdomain- und Domain-Verhalten
Namen von *.xaio.app-Subdomains und alle mit dem Dienst verbundenen eigenen Domains dürfen keine Marken verletzen, keine Personen oder Organisationen täuschend nachahmen, keine illegalen Inhalte hosten, keine Schadsoftware verbreiten, kein Phishing betreiben und keine ungeschützte kritische Infrastruktur exponieren. Wir können Subdomains gemäß Abschnitt 15 der AGB zurückfordern oder deaktivieren.
7. Meldung von Verstößen
Zur Meldung von Missbrauch, Sicherheitsproblemen oder Urheberrechtsbeschwerden wenden Sie sich an abuse@xaio.dev (allgemeiner Missbrauch / illegale Inhalte), security@xaio.dev (Responsible-Disclosure-Schwachstellen) oder legal@xaio.dev (Urheberrechts-, Marken-, Datenschutzbeschwerden). Bitte URLs, Zeitstempel und Beschreibung des Verstoßes angeben.
8. Durchsetzung
Wir können vermutete Verstöße untersuchen, weitere Informationen von Ihnen anfordern, betroffene Inhalte entfernen oder den Zugang dazu deaktivieren, Accounts drosseln oder sperren, Accounts beenden oder rechtswidrige Aktivitäten an die Strafverfolgungsbehörden melden. Soweit zumutbar geben wir Ihnen vor unwiderruflichen Maßnahmen Gelegenheit zur Beseitigung; bei drohendem Schaden, Sicherheitsvorfällen oder gesetzlichem Zwang können wir sofort handeln.
9. Änderungen
Wir können diese Richtlinie von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden gemäß Abschnitt 27 der AGB mitgeteilt. Es gilt jeweils die zum Zeitpunkt Ihrer Nutzung wirksame Fassung.