omega123.ai
Documentation
Legal

© 2026 OSOS/Omega. All rights reserved.

Omega version: 0.1.0

Acceptable Use Policy (AUP)

Produkt: OSOS / Omega ("Software")

Anbieter: Osos AI GmbH, Cosimastraße 121, 81925 München, Germany

Stand: 30.04.2026

Version: 1.0

Verhältnis zu anderen Dokumenten: Diese Acceptable Use Policy ist Anlage zum EULA und konkretisiert insbesondere dessen Ziffer 4 (Nutzungsbeschränkungen). Sie gilt für alle Bereitstellungsmodelle und für alle Authorized User des Lizenznehmers, einschließlich Trial- und Free-Plan-Nutzer.

1. Zweck

Diese Acceptable Use Policy ("AUP") legt verbindlich fest, wie OSOS / Omega genutzt werden darf und welche Verhaltensweisen untersagt sind. Sie schützt die Sicherheit, Verfügbarkeit, Integrität und das Ansehen der Plattform sowie die Interessen aller Lizenznehmer und Authorized User. Verstöße können zu Maßnahmen bis hin zur außerordentlichen Kündigung führen (Ziffer 8).

2. Adressaten und Verantwortlichkeit

Diese AUP gilt für

  • den Lizenznehmer (die Organisation),
  • alle vom Lizenznehmer benannten Authorized User (einschließlich Mitarbeitern, externen Beratern, Geschäftspartnern),
  • maschinelle Identitäten (Service Accounts, API-Tokens, Bots) im Auftrag des Lizenznehmers.

Der Lizenznehmer ist für die Einhaltung dieser AUP durch alle ihm zurechenbaren Nutzer und Identitäten verantwortlich (vgl. EULA Ziffer 5).

3. Allgemein verbotene Nutzungen

Untersagt ist insbesondere jede Nutzung, die

  • gegen geltendes Recht (insbesondere Straf-, Datenschutz-, Urheber-, Marken-, Patent-, Wettbewerbs-, Exportkontroll- und Sanktionsrecht) verstößt;
  • Rechte Dritter verletzt (Persönlichkeitsrechte, Geschäftsgeheimnisse, geistiges Eigentum, Privatsphäre);
  • diffamierende, belästigende, diskriminierende, hass- oder gewaltverherrlichende Inhalte zum Gegenstand hat;
  • der Erstellung, Verbreitung oder Steuerung von Schadsoftware (Viren, Würmer, Trojaner, Ransomware, Spyware) dient;
  • der unautorisierten Erlangung, Veränderung oder Zerstörung fremder Daten oder Systeme dient (Hacking, Penetration Testing ohne ausdrückliche Genehmigung des Lizenzgebers, Phishing, Credential Harvesting);
  • gegen Sanktionen der EU, der Vereinten Nationen oder der USA verstößt oder durch sanktionierte Personen / Entitäten erfolgt;
  • der Vorbereitung oder Durchführung von Waffenentwicklung, Massenvernichtungsgütern oder vergleichbar regulierten Endverwendungen dient, soweit dies nicht ausdrücklich im Order Form vereinbart und exportkontrollrechtlich abgesichert ist.

4. Plattform- und Infrastruktur-Schutz

Untersagt ist:

  • die übermäßige oder unverhältnismäßige Belastung der Plattform-Infrastruktur, insbesondere durch (Denial-of-Service-artige) Anfrage-Spitzen, Endlos-Loops, ungedrosselte parallele API-Calls oder rekursive Workflows, die nicht dem dokumentierten Funktionsumfang entsprechen;
  • das automatisierte Crawlen, Scrapen, Indizieren oder massenhafte Auslesen von Plattform-Inhalten außerhalb der hierfür vorgesehenen offiziellen API-Endpunkte und im Rahmen der dokumentierten Quotas;
  • jede Form von Sicherheits-Probing, Vulnerability-Scanning, Fuzzing oder Penetration-Testing ohne vorherige schriftliche Genehmigung des Lizenzgebers (Genehmigungsverfahren über [security@anbieter.com]);
  • die Umgehung, Deaktivierung oder Manipulation von Rate-Limits, Quotas, Authentifizierungs-, Autorisierungs- oder Abrechnungs-Mechanismen;
  • der Versuch, sich Zugang zu Daten, Konten, Mandanten oder Funktionen zu verschaffen, für die keine Berechtigung besteht;
  • die Verwendung der Plattform als Relay, Proxy oder Tunnel für nicht direkt mit der Software in Zusammenhang stehende Datenströme.

5. KI-spezifische Verbote

Im Hinblick auf die KI-Komponenten der Software ist insbesondere untersagt:

5.1 Missbrauch von KI-Tokens und API-Quotas

  • gezielte Erschöpfung der vereinbarten KI-Token-Kontingente (z.B. durch Anlage mehrerer Free-Plan-Accounts derselben Organisation, automatisierte Abfrage-Loops, Resale von API-Calls an Dritte);
  • Weitergabe oder Wiederverkauf von API-Zugängen außerhalb der Authorized-User-Grenzen;
  • Verwendung der KI-Endpunkte als generischer KI-Backend-Dienst für nicht in OSOS / Omega integrierte Anwendungen außerhalb des dokumentierten Use Cases.

5.2 Modell- und Output-Missbrauch

  • Reverse Engineering, Fine-Tuning, Distillation oder Reproduktion der eingesetzten Modelle;
  • Verwendung von KI-Outputs der Software zum Training, Fine-Tuning oder Benchmarking konkurrierender KI-Modelle (vgl. EULA Ziffer 4 und AI Data Policy);
  • Erzeugung oder Verbreitung von Deepfakes, Identitätsfälschungen oder anderen täuschenden Inhalten unter Verwendung der KI-Funktionen;
  • Erzeugung von Inhalten zur automatisierten Manipulation von Personen (Social Engineering, Massen-Phishing, Wahlbeeinflussung).

5.3 Umgehung von Schutzmechanismen

  • jede Form von Prompt Injection, Jailbreaking oder gezielter Umgehung implementierter Safety-, Compliance- oder Filter-Mechanismen;
  • der Versuch, die KI dazu zu bewegen, die Plattform-Vorgaben, die AI Data Policy oder rechtliche Vorgaben zu unterlaufen;
  • das Einbringen von präparierten Inhalten, die andere Authorized User des Lizenznehmers oder andere Mandanten gezielt schädigen sollen (z.B. Indirect Prompt Injection in geteilten Dokumenten).

5.4 Verbotene Inhalte im KI-Kontext

Unbeschadet Ziffer 6 dürfen über KI-Funktionen insbesondere keine Inhalte erzeugt oder verarbeitet werden, die

  • der Erstellung von Anleitungen zur Herstellung von Waffen, Sprengstoffen oder Schadsoftware dienen;
  • Material darstellen, das Kinder sexualisiert oder gefährdet (CSAM);
  • die Verfolgung, Stigmatisierung oder Diskriminierung von Personen aufgrund geschützter Merkmale bezwecken.

6. Verbotene Inhalte ("Prohibited Content")

Ohne ausdrückliche, schriftliche Einzelvereinbarung mit dem Lizenzgeber dürfen in die Software nicht eingebracht werden:

  • besondere Kategorien personenbezogener Daten i.S.v. Art. 9 DSGVO (Gesundheits-, Genetik-, biometrische Daten, Daten zu ethnischer Herkunft, religiösen oder politischen Überzeugungen, Sexualleben, Gewerkschaftszugehörigkeit);
  • Daten über strafrechtliche Verurteilungen und Straftaten i.S.v. Art. 10 DSGVO;
  • Zahlungsdaten (Kreditkartennummern, Kontodaten, PCI-DSS-relevante Daten);
  • Patient Health Information (PHI) i.S.v. HIPAA bzw. EHDS;
  • klassifizierte Informationen (national / militärisch klassifiziert);
  • pornografische, gewaltverherrlichende oder vergleichbar offensichtlich rechtswidrige Inhalte.

Werden solche Inhalte ohne Vereinbarung eingebracht, kann der Lizenzgeber die Annahme verweigern, die betreffenden Inhalte automatisiert unterdrücken oder den Account suspendieren.

7. Account-, Login- und Anti-Missbrauchsregeln

7.1 Geteilte Logins / Generic Accounts

Account-Sharing, generische Sammel-Logins, Shared Passwords sowie das Umgehen der vereinbarten Authorized-User-Grenze (z.B. durch reihum-Nutzung) sind untersagt. Pro Authorized User ist genau ein personalisierter Account zu nutzen.

7.2 Free-Plan- und Trial-Missbrauch

Untersagt ist insbesondere:

  • die Anlage mehrerer Free- oder Trial-Accounts durch oder im Auftrag derselben Organisation oder natürlichen Person;
  • die wiederholte Trial-Aktivierung mit unterschiedlichen E-Mail-Adressen, Domain-Aliasen, Wegwerf-Mailservices oder gefälschten Identitäten;
  • die Nutzung von Trial-/Free-Accounts für produktive Zwecke unter bewusster Umgehung der Bezahl-Plans;
  • die kommerzielle Weitergabe von Free-Plan-Output ("White-Labeling" über Free-Tier).

Der Lizenzgeber behält sich vor, Free- und Trial-Accounts mit erkannten Missbrauchssignalen (z.B. Wegwerf-Mail-Domains, identische IP-Cluster, ungewöhnliche Nutzungsmuster) ohne Vorankündigung zu sperren oder zur Verifikation der Zahlungs- bzw. Identitätsdaten aufzufordern.

7.3 Bots und automatisierte Aktivität

Automatisierte Aktivität (Bots, Crawler, Scripts) ist nur über die offiziellen API-Endpunkte und im Rahmen der dafür vorgesehenen Quotas zulässig. Die Nutzung der Web-UI über Headless-Browser, Browser-Automatisierung (Selenium, Puppeteer, Playwright o.ä.) zu Zwecken, die nicht dem dokumentierten Use Case entsprechen, ist untersagt.

7.4 Sicherheitspflichten

Authorized User sind verpflichtet, Multi-Faktor-Authentifizierung zu nutzen, ihre Zugangsdaten geheim zu halten und kompromittierte Zugänge unverzüglich an [security@anbieter.com] zu melden. Verdächtige Aktivitäten oder mutmaßliche Sicherheitslücken sind nach den Maßgaben der Responsible-Disclosure-Hinweise zu kommunizieren (siehe Trust Center).

8. Maßnahmen bei Verstößen

8.1 Verfahren

Bei einem Verdacht auf Verstoß gegen diese AUP wird der Lizenzgeber – soweit Art und Schwere des Verstoßes dies zulassen – in folgender Reihenfolge vorgehen:

1. Hinweis und Aufforderung zur Beseitigung in Textform an den Organization Owner / Administrator des Lizenznehmers, mit angemessener Frist zur Beseitigung;

2. bei fortgesetztem oder schwerem Verstoß: temporäre Sperrung (Suspension) des betroffenen Accounts, Mandanten oder einzelner Funktionen;

3. bei besonders schwerem oder wiederholtem Verstoß: außerordentliche Kündigung gemäß EULA Ziffer 14.2.

8.2 Sofortige Maßnahmen ohne Vorankündigung

Bei akuten Sicherheitsrisiken, drohendem Schaden für andere Mandanten, illegalen Inhalten (insb. CSAM), aktiven Angriffen auf die Plattform oder behördlicher Anordnung ist der Lizenzgeber berechtigt, ohne vorherige Ankündigung und mit sofortiger Wirkung zu sperren oder Inhalte zu entfernen. Der Lizenznehmer wird im Anschluss unverzüglich informiert.

8.3 Kein Erstattungsanspruch

Suspensions und Sperrungen aufgrund eines Verstoßes gegen diese AUP lösen keinen Erstattungs- oder Service-Credit-Anspruch aus. Die Pflicht zur Zahlung der vereinbarten Vergütung bleibt während der Suspension bestehen.

8.4 Schadensersatz und Freistellung

Verursacht der Lizenznehmer durch einen AUP-Verstoß einen Schaden des Lizenzgebers oder Dritter, gelten die Schadensersatz- und Freistellungsregelungen des EULA (Ziffer 12, Ziffer 13.2).

9. Meldung von Verstößen durch Dritte

Hinweise auf Verstöße gegen diese AUP – insbesondere durch Dritte oder unbekannte Akteure – können an [abuse@anbieter.com] gemeldet werden. Notice-and-Action-Anforderungen gemäß Digital Services Act (DSA) werden über [notice@anbieter.com] entgegengenommen und gemäß den dort beschriebenen Verfahren bearbeitet.

10. Änderungen dieser AUP

Diese AUP kann insbesondere bei Auftreten neuer Missbrauchsmuster oder veränderter regulatorischer Vorgaben angepasst werden. Wesentliche Änderungen werden mit einer Vorlaufzeit von mindestens 30 Tagen über die Status-Page sowie per E-Mail an den Organization Owner / Administrator angekündigt; im Übrigen gelten die Änderungsregelungen des EULA Ziffer 18 entsprechend.

11. Kontakt

  • Allgemein / Support: [support@anbieter.com]
  • Sicherheitsvorfälle / Vulnerability Disclosure: [security@anbieter.com]
  • Missbrauchsmeldungen: [abuse@anbieter.com]
  • DSA Notice-and-Action: [notice@anbieter.com]
  • Postanschrift: [Anbieter GmbH, Anschrift]