Aktuelle KI-Funktionen

Versionierte Übersicht der KI-gestützten Funktionen der innnow-Plattform · Stand: 12.05.2026

1. Zweck und Geltung dieser Übersicht

Diese Seite konkretisiert den jeweils aktivierten Funktionsumfang der Zusatzvereinbarung zur Auftragsverarbeitung — KI-gestützte Funktionen (insbesondere § 2 Abs. 1 der KI-Zusatzvereinbarung). Sie ist Bestandteil dieser Zusatzvereinbarung in der zum Zeitpunkt der jeweiligen Unterzeichnung veröffentlichten Fassung. Änderungen werden Bestandskunden gemäß § 2 Abs. 3 der KI-Zusatzvereinbarung mit einer Vorlauffrist von mindestens 30 Tagen in Textform mitgeteilt; ein Widerspruch aus berechtigten datenschutzrechtlichen Gründen ist innerhalb dieser Frist möglich. Eine PDF-Fassung des jeweils maßgeblichen Standes stellen wir auf Anfrage zur Verfügung.

Hinweis zum Geltungsbereich: Diese Seite bezieht sich auf die KI-gestützten Funktionen innerhalb der innnow-Plattform (Auftragsverarbeitung für Kunden). Allgemeine Subprozessor-Informationen finden Sie unter innnow.de/subunternehmer.

Die nachfolgend beschriebenen Funktionen bewegen sich innerhalb der in der KI-Zusatzvereinbarung definierten Zwecke. Ausgeschlossen bleibeninsbesondere Funktionen zur Bewertung, Überwachung, Profilbildung, Leistungsanalyse oder Entscheidung über einzelne Beschäftigte, automatisierte Einzelentscheidungen im Sinne von Art. 22 DS-GVO, die gezielte Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DS-GVO, Training mit Kundendaten sowie mandantenübergreifende Benchmarking-Funktionen ohne gesonderte Vereinbarung.

2. Aktivierte KI-Funktionen

KF-1 · Klassifikation: Schlagwort-Vorschläge für Freitext-Kommentare (Comment-Tagging)

Kategorie	a) Klassifikation und Strukturierung
Status	aktiv
Funktion	Automatische Vorschläge für Schlagwörter („Tags") zu Freitext-Kommentaren auf Basis einer vom Auftraggeber selbst gepflegten Schlagwort-Liste.
Schlagwort-Quelle	Ausschließlich aus der vom Auftraggeber kuratierten Liste; freie Generierung neuer Schlagwörter ist technisch ausgeschlossen.
Übermittelte Daten	Pro Anfrage: reiner Freitext-Inhalt eines einzelnen Kommentars + Tag-Liste mit IDs und Bezeichnungen.
Antwort	Maximal 3 Tag-IDs aus der bereitgestellten Liste; im Zweifelsfall keine Auswahl.
Mensch-Beteiligung	Übernahme mit eindeutiger KI-Kennzeichnung in der Plattform-Oberfläche; jederzeit reversibel durch berechtigte Personen des Auftraggebers.
Eingesetztes Modell	Claude Haiku 4.5 (Anthropic), bereitgestellt über Amazon Bedrock innerhalb der EU/EWR. Maßgeblich ist der zum jeweiligen Zeitpunkt im EU-Bedrock-Setup von AWS verfügbare Modell-Identifier. Modellversionsupdates innerhalb derselben Modellfamilie werden gemäß § 5 Abs. 4 der KI-Zusatzvereinbarung dokumentiert.
Verarbeitungsregion	Verarbeitung erfolgt innerhalb der EU/EWR über AWS Bedrock. Ein Wechsel der Region oder der Inferenz-Strategie wird ausschließlich nach Maßgabe der KI-Zusatzvereinbarung dokumentiert und mitgeteilt.
KI-VO-Einstufung	Nach derzeitiger Einstufung kein Hochrisiko-KI-System im Sinne von Art. 6 KI-VO, da die Funktion ausschließlich der thematischen Zuordnung von Kommentar-Inhalten dient und nicht zur Bewertung, Überwachung, Auswahl, Steuerung oder Entscheidung über einzelne Beschäftigte bestimmt ist. Keine automatisierte Einzelentscheidung im Sinne von Art. 22 DS-GVO.

Klarstellung zu Kategorie a):Die KI-Funktion KF-1 dient ausschließlich der thematischen Sortierung von Kommentaren und erzeugt keine Aussage über die Person, Leistung, Stimmung, Eignung oder das Verhalten der Verfasser:innen. Die Kategorie ist zum Stand dieser Seite ausschließlich auf die inhaltliche Thema-Zuordnung begrenzt. Eine Erweiterung um KI-gestützte personenbezogene Klassifikationsfunktionen (z. B. Sentiment-Klassifikation einzelner Verfasser:innen, Emotions-, Persönlichkeits-, Stil- oder Profilbildungs-Analysen) ist nicht Bestandteil des aktuellen Funktionsumfangs.

3. Datenübersicht aktivierter Funktionen

Für jede aktivierte Funktion werden ausschließlich diejenigen Inhalte übermittelt, die zur Erbringung der jeweiligen Funktion erforderlich sind (Datenminimierung gemäß Art. 5 Abs. 1 lit. c DS-GVO). Bei der aktuell aktivierten Funktion KF-1 werden keine strukturierten Identifikatoren oder Organisationsmerkmale wie Klarnamen, E-Mail-Adressen, Mandanten-IDs, Bezeichnungen der Befragung, Standort, Abteilung, Rolle einzelner Personen, Zeitpunkte der Erfassung oder User-IDs an die KI übermittelt. Für künftig aktivierte Funktionen wird funktionsbezogen dokumentiert, ob und in welcher Form Organisationsmerkmale wie Standort, Abteilung, Rolle, Modul oder Roll-out-Phase verarbeitet werden. Eine Verarbeitung erfolgt ausschließlich, soweit dies für die jeweilige Funktion erforderlich ist, und nicht zur Bewertung einzelner Personen.

Funktion	Input an die KI	Output	Strukturelle Identifikatoren
KF-1 Comment-Tagging	reiner Freitext-Kommentar + kuratierte Tag-Liste (IDs + Bezeichnungen)	max. 3 Tag-IDs	keine — siehe Abschnitt 7 zu Restrisiken in Freitexten

4. Vorläufige Planungsübersicht geplanter Funktionen

Die nachfolgende Übersicht beschreibt den derzeitigen technischen Zielzustand geplanter Funktionen. Sie ist nicht Bestandteil des aktivierten Funktionsumfangs, solange die jeweilige Funktion nicht entsprechend aktiviert wurde. Eine Aktivierung erfolgt entweder als Erweiterung innerhalb des vereinbarten Funktionsumfangs nach § 2 Abs. 3 der KI-Zusatzvereinbarung (mit 30-Tage-Vorab-Information und Widerspruchsrecht) oder — bei Substanz-Änderungen— nach erneuter Vereinbarung gemäß § 2 Abs. 4.

Funktion	Kategorie	Kurzbeschreibung	Mensch-Beteiligung
KF-2 Adressaten-Routing	a) Klassifikation	Vorschlag für organisatorische Zuständigkeit auf Rollen-/Funktions-Ebene (z. B. IT, Anwendungsbetreuung) — nicht auf Personen-Ebene.	KI-Kennzeichnung + Reversibilität
KF-3 Smart Reply	b) Antwort-/Inhaltsvorschläge	Automatisch erzeugte Vorschläge für Antworten auf Kommentare oder Auswertungsfragen. Personenbezogene Anreden und organisationsbezogene Kontextdaten werden serverseitig außerhalb der KI ergänzt; an die KI gehen ausschließlich neutralisierte Inhalte.	Pflicht: fachliche Prüfung und Edit-vor-Save
KF-4 Auswertungs-Summary	c) Aggregation	KI-generierte Zusammenfassungen mehrerer Kommentare oder einer Befragung als Texte für Reports.	Pflicht: fachliche Prüfung und Edit-vor-Save
KF-5 Maßnahmenvorschläge	c) Aggregation	Aus geclusterten Bedarfen werden Maßnahmenformulierungen als Vorschlag generiert. Maßnahmenvorschläge sind unverbindliche Formulierungshilfen und müssen vor Übernahme fachlich geprüft und freigegeben werden.	Pflicht: fachliche Prüfung und Edit-vor-Save
KF-6 Freitext-Redaction / Pseudonymisierung	f) Datenminimierung	KI-gestützte Erkennung und Entfernung bzw. Maskierung unbeabsichtigt in Freitexten enthaltener Identifikatoren (z. B. Namen, E-Mail-Adressen, Telefonnummern) oder besonders schutzwürdiger Angaben. Keine inhaltliche Bewertung der Verfasser:innen.	Maskierung mit Audit-Log; bei sensiblen Vorgängen Prüfung/Freigabe durch berechtigte Person
KF-7 Semantische Suche	e) Suche / Empfehlung	KI-gestützte Suche nach inhaltlich ähnlichen Bedarfen, Kommentaren oder Befragungs-Items. Embeddings werden mandantenbezogen verarbeitet und nicht mandantenübergreifend zusammengeführt.	Auto-Anzeige; keine Persistenz
KF-8 Frage-/Template-Empfehlung	e) Suche / Empfehlung	Beim Anlegen neuer Befragungen werden passende Fragen bzw. Templates auf Basis von Modul, Rolle und Roll-out-Phase vorgeschlagen.	Auto-Anzeige mit Begründung

5. Nicht Bestandteil dieser Vereinbarung

Folgende geplanten KI-Anwendungen sind nicht Bestandteil der KI-Zusatzvereinbarung und werden, sofern sie produktreif werden, über eigenständige Vereinbarungen geregelt:

Cross-Hospital-Benchmarks — anonymisierte Vergleichswerte über die Plattform-Datenbank hinweg. Eine etwaige Einführung erfolgt nur auf Grundlage eines gesonderten Benchmarking- und Anonymisierungskonzepts sowie einer gesonderten vertraglichen Regelung. Mindestens erforderlich sind echte Anonymisierung mit nachgewiesener Mindestgruppengröße, gesonderte Zweck-, Rechtsgrundlagen- und Freigabe-Mechanik sowie eine eigene Risikobewertung.
Anschluss externer Sprach- oder Transkriptions-Pipelines (z. B. Auswertung von Sales- oder Kundengesprächen) — eigenständige Sub-Auftragsverarbeiter, neue Datenkategorien (Sprachaufzeichnungen), eigene Rechtsgrundlagen-Mechanik.
Personenbezogene Klassifikations- oder Bewertungsfunktionen (z. B. Sentiment- oder Persönlichkeitsanalyse einzelner Verfasser:innen, individuelle Beschäftigtenempfehlungen) — können insbesondere im Beschäftigungskontext eine Hochrisiko-Einstufung nach Art. 6 i. V. m. Anhang III KI-VO auslösen und sind daher nicht Bestandteil dieser Vereinbarung.

6. Eingesetzter Sub-Auftragsverarbeiter

Sub-Auftragsverarbeiter	Sitz	Funktion	Region
Amazon Web Services EMEA SARL	Luxemburg (LU)	Bereitstellung Compute, Storage und KI-Inferenz-Endpunkte über den Dienst „Amazon Bedrock" einschließlich Modell-Hosting und -Bereitstellung innerhalb der AWS-Infrastruktur	Verarbeitung innerhalb der EU/EWR über AWS Bedrock

Erweiterungen um zusätzliche Dienste innerhalb desselben Sub-Auftragsverarbeiters und desselben EU/EWR-Verarbeitungsraums (z. B. weitere AWS-Bedrock-Modelle, Embedding-Dienste innerhalb der EU/EWR) gelten nicht als Wechsel des Sub-Auftragsverarbeiters. Bei über Amazon Bedrock bereitgestellten Drittmodellen (Modellanbieter, z. B. Anthropic) werden zusätzlich die jeweils anwendbaren Bedingungen des Modellanbieters geprüft und berücksichtigt.

Hinweis zur Austauschbarkeit:Die konkrete Wahl von Cloud-Anbieter und KI-Modell ist eine technische Entscheidung der innnow GmbH und nicht im Vertragstext der KI-Zusatzvereinbarung festgeschrieben. Ein Wechsel zu einem gleichwertigen Sub-Auftragsverarbeiter im EU/EWR-Verarbeitungsraum ist nach Maßgabe von § 5 Abs. 3 der KI-Zusatzvereinbarung möglich, sofern sämtliche Gleichwertigkeits-Kriterien erfüllt sind: EU/EWR-Verarbeitung, vertraglicher Trainings-Ausschluss, wirksamer Art.-28-DSGVO-Vertrag, keine Art.-9-Daten, keine Hochrisiko-Einstufung sowie — bei Mutterkonzern außerhalb EU/EWR — zusätzliche Schutzmaßnahmen gegen Drittlandzugriff inkl. SCCs. Ein solcher Wechsel wird Bestandskunden mit mindestens 30 Tagen Vorlauf in Textform angekündigt; ein Widerspruch aus berechtigten datenschutzrechtlichen Gründen ist möglich.

7. Pseudonymisierung und Datenminimierung

Bei der aktuell aktivierten Funktion KF-1 werden an Amazon Bedrock keine strukturierten Identifikatoren oder Organisationsmerkmale übermittelt, insbesondere keine Klarnamen, E-Mail-Adressen, Mandanten-IDs, Befragungsbezeichnungen, Standorte, Abteilungen, Rollen, Zeitpunkte der Erfassung oder User-IDs.

Bei künftig aktivierten Funktionen können organisationsbezogene Segmentinformationen wie Standort, Abteilung, Rolle, Modul oder Roll-out-Phase verarbeitet werden, sofern dies für die jeweilige Funktion erforderlich ist. In diesem Fall werden Umfang, Zweck, Aggregationsniveau und Schutzmaßnahmen vor Aktivierung in dieser Übersicht dokumentiert.

Freitext-Inhalte können im Einzelfall unbeabsichtigt personenbezogene Angaben enthalten (z. B. selbstgenannte Namen oder Positionen in einem Kommentar). Die KI-Funktionen sind nicht auf deren Verarbeitung ausgelegt; die Übermittlung erfolgt ausschließlich zur beauftragten Inferenz. Aus Sicht des Sub-Auftragsverarbeiters ist eine systematische Zuordnung des einzelnen Kommentars zu einer konkreten Person, einer konkreten Befragung oder einer konkreten Einrichtung anhand der übermittelten Daten nicht möglich.

8. Vertragliche Zusicherungen und technische Schutzmaßnahmen

Zusicherungen des Sub-Auftragsverarbeiters AWS Bedrock

Nach den zum Stand dieser Übersicht dokumentierten AWS-Bedrock-Bedingungen werden Kundeneingaben und Modellausgaben nicht zum Training oder zur Verbesserung der zugrunde liegenden Modelle verwendet und nicht dauerhaft in Amazon Bedrock gespeichert. Eine Nutzung durch Modellanbieter zu eigenen Trainings- oder Verbesserungszwecken ist ausgeschlossen; eine Weitergabe an Modellanbieter erfolgt nur, soweit dies nach den jeweils anwendbaren Bedrock-Bedingungen für die Bereitstellung des Dienstes vorgesehen ist. Änderungen der Anbieterbedingungen werden im Rahmen der Versionierung dieser Übersicht nachgehalten. Soweit sich Anbieterbedingungen ändern und dies Auswirkungen auf die zugesicherten Schutzmaßnahmen hat, erfolgt eine Bewertung nach den Änderungs- und Gleichwertigkeitsregelungen der KI-Zusatzvereinbarung.
AWS verfügt über einen Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO mit Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sowie über Zertifizierungen nach ISO 27001, SOC 2 und BSI C5.
Die Verarbeitung erfolgt nach der von innnow gewählten Konfiguration innerhalb der EU/EWR; behördliche Anfragen werden nach den Bestimmungen des Haupt-AVV entsprechend behandelt.
Bei über Amazon Bedrock bereitgestellten Drittmodellen werden zusätzlich die jeweils anwendbaren Bedingungen des Modellanbieters geprüft und berücksichtigt.

Technische Schutzmaßnahmen an den Schnittstellen

TLS 1.2 oder höher für sämtliche Übertragungen zwischen Endgerät, innnow-Plattform und AWS Bedrock;
serverseitige Verwaltung der KI-API-Schlüssel; keine clientseitige Übertragung;
Mandantentrennung — KI-Inferenz erfolgt mandantenbezogen, ohne Zusammenführung von Daten verschiedener Verantwortlicher;
Audit-Log der KI-Aufrufe enthält ausschließlich Referenzen (interne Datensatz-ID, Funktion, Zeitstempel, Sub-Auftragsverarbeiter); der Wortlaut der übermittelten Inputs oder Outputs wird nicht protokolliert.

9. Versionierung und Änderungsprotokoll

Diese Seite wird versioniert geführt. Jeder Stand ist über das Repository der innnow-Website nachvollziehbar; auf Anfrage stellen wir eine PDF-Fassung des zum Vertragsschluss maßgeblichen Standes zur Verfügung. Änderungen werden Bestandskunden gemäß § 2 Abs. 3 der KI-Zusatzvereinbarung mit mindestens 30 Tagen Vorlauf in Textform mit begründeter Einordnung mitgeteilt.

Datum	Änderung
12.05.2026	Erstveröffentlichung. Aktive Funktion: KF-1 Comment-Tagging. Geplante Funktionen: KF-2 bis KF-8 in technischer Vorbereitung; KF-6 (Freitext-Redaction / Pseudonymisierung) gemäß Kategorie f) der KI-Zusatzvereinbarung angekündigt. Hinweis zur Austauschbarkeit des Sub-Auftragsverarbeiters in Abschnitt 6 ergänzt.

Fragen zu dieser Seite oder zur KI-Zusatzvereinbarung? Melden Sie sich unter datenschutz@innnow.de.