Hinweis zum Geltungsbereich:Diese Liste bezieht sich auf die Verarbeitung personenbezogener Daten im Rahmen der innnow-Plattform (Auftragsverarbeitung für Kunden). Für die Verarbeitung auf unserer Website (z. B. Kontaktformular, Newsletter) siehe Datenschutzerklärung.
Die zentrale Speicherung und Auswertung der Befragungs- und Bewertungsinhalte erfolgt auf von innnow betriebenen Systemen bei Hetzner in deutschen Rechenzentren. Ergänzende Funktionen wie Authentifizierung, transaktionaler E-Mail-Versand, Sicherheitsfunktionen und optionale KI-Funktionen werden über die nachfolgend genannten Unterauftragnehmer erbracht. Die konkrete Konfiguration, der Verarbeitungsort, die betroffenen Datenarten und die jeweils vereinbarten Schutzmaßnahmen sind je Unterauftragnehmer ausgewiesen.
| Nr. | Unterauftragnehmer | Zweck der Verarbeitung | Standort / Region | Verarbeitete Datenarten | Besondere Hinweise |
|---|---|---|---|---|---|
| 1 | Hetzner Online GmbH | Hosting der Plattform, Server- und Datenbankbetrieb | Nürnberg, Deutschland (EU/EWR) | Befragungsantworten, Freitexte, Nutzerkonten, Auswertungen, technische Protokolldaten | Betrieb in nach anerkannten Sicherheitsstandards zertifizierten Rechenzentren (ISO 27001); Auftragsverarbeitung nach Art. 28 DSGVO; eine Verarbeitung außerhalb der EU/des EWR findet durch Hetzner im Rahmen dieser Leistung nicht statt. |
| 2 | Auth0 (ein Service der Okta-Gruppe) | Identitäts- und Zugriffsmanagement für Nutzerkonten (Login/Authentifizierung) | EU-Tenant mit primärer Datenresidenz in Frankfurt am Main. | Authentifizierungsdaten, insbesondere Benutzername bzw. dienstliche E-Mail-Adresse, Passwort-Hash, technische Login-Metadaten sowie Rollen- und Mandantenkennungen zur Zugriffsteuerung | Auth0 erhält keinen Zugriff auf Befragungsantworten, Bewertungen oder Freitexte. Eine pseudonyme Nutzung der Plattform ohne klarnamenbezogene Identifikationsdaten ist konfigurationsbasiert möglich. Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sind im Verarbeitungsvertrag enthalten. |
| 3 | Twilio Ireland Ltd. (SendGrid) | Ausschließlich Versand transaktionaler E-Mails (z. B. Einladungen, Authentifizierungs-, Hinweis- oder Benachrichtigungstexte) | Vertragspartner: Twilio Ireland Ltd. (Dublin, Irland). Versand erfolgt über die globale SendGrid-Infrastruktur. | Empfänger-E-Mail-Adresse, ggf. Anrede und Name, der jeweilige E-Mail-Inhalt sowie Versand- und Zustellungsmetadaten | Transaktionale E-Mails enthalten keine Befragungsantworten, Freitexte oder Auswertungsinhalte, sondern lediglich Einladungs-, Authentifizierungs-, Hinweis- oder Benachrichtigungstexte sowie Links zur Plattform. In Setups mit pseudonymer Nutzung kommt SendGrid nicht oder nur eingeschränkt zum Einsatz. Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sind im Verarbeitungsvertrag enthalten. |
| 4 | Cloudflare, Inc. | Vorgeschaltete Sicherheits- und Schutzschicht (DDoS-Schutz, Web Application Firewall, TLS-Terminierung) sowie Caching technischer Inhalte | TLS-Terminierung im global verteilten Cloudflare-Anycast-Netzwerk; Anfragen aus Europa werden typischerweise an EU-Edges (z. B. Amsterdam, Frankfurt) geroutet. | Technische Verbindungsdaten, IP-Adressen, Request-Header, TLS-Verbindungsdaten und Sicherheitsereignisse. Im Rahmen der TLS-Terminierung können HTTP(S)-Anfragen technisch kurzzeitig entschlüsselt werden, um Sicherheitsfilter anzuwenden. | Befragungsantworten, Bewertungen und Freitexte werden nicht bewusst bei Cloudflare gespeichert oder gecacht. Caching ist auf statische technische Inhalte beschränkt; dynamische Plattforminhalte und API-Antworten sind vom Caching ausgeschlossen. Cloudflare verarbeitet keine Plattforminhalte zu eigenen Zwecken. Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sind im Verarbeitungsvertrag enthalten. |
| 5 | Amazon Web Services EMEA SARL (Amazon Bedrock) — nur bei aktivierten KI-Funktionen | KI-gestützte Vorschläge zur Kategorisierung von Freitext-Kommentaren; ausschließlich aus der vom Verantwortlichen gepflegten Schlagwortliste | Vertragspartner: Amazon Web Services EMEA SARL (Luxemburg). Die Anwendung ist so konfiguriert, dass Anfragen ausschließlich an die AWS-Region eu-central-1 (Frankfurt am Main) gesendet werden. | Pro Anfrage ausschließlich: Freitext eines einzelnen Kommentars sowie die vom Verantwortlichen gepflegte Schlagwortliste. Nicht übermittelt werden Name, E-Mail-Adresse, Nutzer-ID, Einrichtung, Standort, Abteilung, Bedarfstitel oder Befragungsbezeichnung. | Wird nur eingesetzt, wenn der Verantwortliche die KI-Funktionen aktiv freischaltet (Privacy by Default; siehe gesonderte Zusatzvereinbarung). Eingesetztes Modell: Claude Haiku 4.5. Nach den vertraglichen Bedingungen von AWS Bedrock werden Kundeneingaben und -ausgaben nicht zum Training von Basismodellen verwendet und nicht an Modellanbieter zur Modellverbesserung weitergegeben. Inhalte werden nicht persistent gespeichert. Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sowie Zertifizierungen ISO 27001, SOC 2 und BSI C5 bei AWS sind im Verarbeitungsvertrag enthalten. |
Bestandskunden werden über geplante Änderungen dieser Liste (Hinzunahme oder Ersetzung von Unterauftragnehmern) rechtzeitig, mindestens jedoch 30 Tage vor Wirksamwerden, in Textform informiert – in der Regel per E-Mail an die im Hauptvertrag genannte Kontaktadresse. Der Verantwortliche kann einer geplanten Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund in Textform widersprechen.
Fragen zu dieser Liste oder zum Auftragsverarbeitungsvertrag? Melden Sie sich unter datenschutz@innnow.de.