Zusatzvereinbarung – KI-Funktionen

zum Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO · Stand: 27.04.2026

Diese Zusatzvereinbarung ergänzt den Auftragsverarbeitungsvertrag (AVV) und gilt ausschließlich für Verantwortliche, die optionale KI-Funktionen der innnow-Plattform aktivieren lassen. Die KI-Funktionen sind standardmäßig deaktiviert. Fragen an datenschutz@innnow.de.

Auftragsverarbeiterin

innnow GmbH
Bakenfeld-Aruper Str. 7
59387 Ascheberg

Ansprechpartnerin für Datenschutz

Anna Frommer · anna.frommer@innnow.de

Verantwortlicher (Kunde)

[Name der Einrichtung]
[Anschrift]

§ 1 Gegenstand und Verhältnis zum Haupt-AVV

(1) Diese Zusatzvereinbarung ergänzt den zwischen den Parteien geschlossenen Auftragsverarbeitungsvertrag (im Folgenden „Haupt-AVV") für den Fall, dass der Verantwortliche optionale KI-gestützte Funktionen der innnow-Plattform aktivieren lässt.

(2) Die Bestimmungen des Haupt-AVV — insbesondere zu technischen und organisatorischen Maßnahmen, Audits, Meldepflichten, Löschpflichten und behördlichen Anfragen — gelten für die hier beschriebenen Verarbeitungen entsprechend. Bei Widersprüchen zwischen Haupt-AVV und dieser Zusatzvereinbarung gehen für KI-bezogene Sachverhalte die Regelungen dieser Zusatzvereinbarung vor.

§ 2 Aktivierung, Widerruf und Modellwechsel

(1) Die KI-Funktionen sind in der innnow-Plattform standardmäßig deaktiviert (Privacy by Default). Eine Aktivierung erfolgt mandantenbezogen erst nach Unterzeichnung dieser Zusatzvereinbarung durch einen Superadministrator der Auftragsverarbeiterin.

(2) Der Verantwortliche kann die Deaktivierung der KI-Funktionen jederzeit in Textform verlangen. Die Deaktivierung wird unverzüglich, spätestens innerhalb von 5 Werktagen umgesetzt.

(3) Bereits durch die KI vorgeschlagene und vom Verantwortlichen oder seinen Berechtigten übernommene Tags bleiben in der Plattform erhalten, bis der Verantwortliche deren Löschung anweist.

(4) Die Auftragsverarbeiterin behält sich vor, das eingesetzte Sprachmodell innerhalb desselben Dienstes (Amazon Bedrock, EU-Region) durch ein vergleichbares Modell zu ersetzen, sofern das datenschutzrechtliche Schutzniveau dadurch nicht unterschritten wird. Wesentliche Änderungen werden gemäß § 7 Abs. 2 des Haupt-AVV (30 Tage Vorlauf) angekündigt.

§ 3 Beschreibung der KI-Funktionen

(1) Die KI-Funktionen unterstützen Berechtigte des Verantwortlichen bei der inhaltlichen Strukturierung von Mitarbeiter-Feedback durch automatische Vorschläge zur Kategorisierung (Tagging) von Freitext-Kommentaren — einzeln pro Kommentar oder im Stapel über ein gesamtes Board.

(2) Die vorgeschlagenen Tags werden ausschließlich aus der vom Verantwortlichen gepflegten Tag-Liste ausgewählt. Frei generierte oder anderweitig erfundene Kategorien sind technisch ausgeschlossen.

(3) Die Annahme oder Verwerfung eines Vorschlags erfolgt ausschließlich durch berechtigte Personen des Verantwortlichen (Admin-Rolle). Die KI-Vorschläge sind reversibel: vorgeschlagene Tags können jederzeit per Klick wieder entfernt werden.

§ 4 Verarbeitete Daten und Pseudonymisierung

(1) Pro KI-Anfrage werden ausschließlich übermittelt:

der reine Freitext-Inhalt eines einzelnen Kommentars (z. B. „Das KIS lädt morgens sehr langsam");
die vom Verantwortlichen bereitgestellte Liste der zur Auswahl stehenden Tags (Bezeichnungen und interne Identifier).

(2) Nicht übermittelt werden insbesondere:

identifizierende Daten von Mitarbeitenden (Name, E-Mail-Adresse, User-ID),
Bezeichnungen von Bedarfen oder Boards,
organisationsbezogene Daten (Standort, Abteilung, Rolle),
sonstige Metadaten der Plattform.

(3) Aus Sicht des KI-Dienstleisters ist die Verarbeitung pseudonym: Eine Zuordnung des einzelnen Kommentars zu einer konkreten Person, einem konkreten Bedarf oder einer konkreten Einrichtung ist anhand der übermittelten Daten nicht möglich.

(4) Eine Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO — insbesondere Patientendaten — ist nicht vorgesehen. § 3 Abs. 2 des Haupt-AVV gilt entsprechend.

§ 5 Unterauftragnehmer für KI-Verarbeitung

(1) Für die KI-Verarbeitung wird folgender zusätzlicher Unterauftragnehmer eingesetzt:

Amazon Web Services EMEA SARL (Vertragspartner mit Sitz in Luxemburg; Konzernmutter Amazon.com, Inc., USA) — Dienst „Amazon Bedrock"
Verarbeitungsregion: EU – Frankfurt am Main (eu-central-1) — keine Übermittlung in andere Regionen
Eingesetztes Sprachmodell: Claude Haiku 4.5 (Anthropic, im AWS-Bedrock-Verbund)

(2) Der Verantwortliche erteilt mit Unterzeichnung dieser Zusatzvereinbarung die Genehmigung zum Einsatz des in Abs. 1 genannten Unterauftragnehmers.

§ 6 Garantien des Unterauftragnehmers

(1) Die übermittelten Inhalte werden nicht zum Trainieren oder zur Verbesserung der zugrunde liegenden Sprachmodelle verwendet (Standard-Vertragsklausel der AWS Service Terms für Amazon Bedrock).

(2) Die übermittelten Inhalte werden in Amazon Bedrock nicht persistent gespeichert. Audit-Logs der API-Nutzung werden mit beschränkter Aufbewahrung zu Sicherheits- und Abrechnungstransparenz geführt.

(3) AWS verfügt über einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sowie über Zertifizierungen nach ISO 27001, SOC 2 und BSI C5.

§ 7 Drittlandtransfer und behördliche Anfragen

(1) Die KI-Verarbeitung erfolgt physisch in der AWS-Region Frankfurt am Main (eu-central-1). Eine Übermittlung der verarbeiteten Inhalte in andere Regionen findet nicht statt.

(2) Aufgrund der US-Konzernmutter von AWS verbleibt ein theoretisches Restrisiko US-behördlicher Zugriffe (z. B. nach US CLOUD Act). Auf etwaige Anfragen findet § 12 des Haupt-AVV (Behördliche Anfragen) entsprechend Anwendung.

Fragen zu dieser Zusatzvereinbarung oder Wunsch nach einem individuell unterzeichneten Exemplar? Melden Sie sich unter datenschutz@innnow.de.