Auftragsverarbeitungsvereinbarung - Anlage KI
1. Gegenstand der Anlage
1.1 Diese Anlage regelt insbesondere die Transparenz- und Nutzerhinweise im Zusammenhang mit den KI-Komponenten und Funktionen von Hivebuy. Die KI-Funktionen sind nicht bestimmt für Entscheidungen, die nach anwendbarem Recht einer qualifizierten menschlichen Prüfung bedürfen oder die erhebliche, rechtliche, wirtschaftliche, persönliche oder gesundheitliche Folgen für natürliche Personen haben können.
1.2 Die KI-Funktionen dienen ausschließlich dazu, Nutzern einen erleichterten Zugang zu den von Hivebuy bereitgestellten oder vermittelten Inhalten zu ermöglichen. Dies umfasst insbesondere:
- das Auffinden und Zusammenführen relevanter Informationen aus Unternehmensdokumenten mittels natürlichsprachlicher Abfragen,
- die automatisierte Zusammenfassung von Dokumenten zur orientierenden Vorinformation,
- und die navigationale Unterstützung in umfangreichen Dokumenten- und Wissensbeständen.
1.3 Die KI-Funktionen sind ein Werkzeug zur Informationserschließung, nicht zur Entscheidungsfindung. Sie ersetzen weder die fachkundige Prüfung durch qualifiziertes Personal noch stellen sie eine verbindliche Auskunft, Empfehlung oder Handlungsanweisung dar.
2. Technische Funktionsbeschreibung (Leistungsbild)
Mitarbeiter des Kunden (folgend: „Nutzer") können über Hivebuy Bedarfe erfassen, Bestellanforderungen erstellen und über konfigurierbare Genehmigungsworkflows freigeben lassen, Bestellungen bei Lieferanten auslösen sowie Eingangsrechnungen prüfen und verarbeiten – alles über eine cloudbasierte SaaS-Plattform (EU-Hosting), die per Webbrowser sowie über Microsoft Teams und Slack zugänglich ist und bidirektional an ERP-Systeme angebunden werden kann.3. Zweckbindung und zwingende Nutzungsgrenzen
3.1 Die KI-Funktionen dienen ausschließlich der Informationsauffindung, Navigation, Zusammenfassung und internen Wissensorganisation auf Basis der vom Kunden bereitgestellten oder angefragten Inhalte. Die KI-Funktionen sind ausdrücklich nicht bestimmt für:
- Ersatz für vorgeschriebene Dokumentenprüfungen durch geschultes Personal
- Verwendung als Rechtsauskunft oder Ersatz für rechtliche Prüfung durch qualifizierte Personen
3.3 Der Kunde darf das KI-System von Hivebuy weder technisch noch prozessual so zu integrieren oder zu konfigurieren, dass sich die Zweckbestimmung (Intended Purpose) ändert oder neue Risiken entstehen. Das KI-System darf damit nicht in ein Hochrisiko-KI System umgewandelt werden. Eine Pflicht von Seiten Hivebuy zur Übergabe der Dokumentation bei entsprechender Änderung bzw. Umwandlung des Kunden besteht nicht. Der Kunde nimmt zur Kenntnis, dass eine Nutzung des KI-Systems entgegen der festgelegten Zweckbestimmung eine wesentliche Änderung des Systems darstellen kann. Gemäß Art. 25 KI-VO gilt der Kunde in diesem Fall als Anbieter des KI-Systems und übernimmt vollumfänglich die daraus resultierenden gesetzlichen Pflichten.
3.4 Hivebuy darf Modelle, Prompting-Strategien, Indexierungsverfahren ändern, sofern hierdurch das Sicherheitsniveau nicht verschlechtert wird und wesentliche Änderungen angekündigt werden.
4. Verantwortlichkeiten & Rollen
4.1 Die Parteien sind sich einig, dass Hivebuy die KI-Funktionen als Bestandteil von Hivebuy bereitstellt. Der Kunde bleibt für die inhaltliche Governance (Kundeninhalte, Freigabeprozesse, Aktualität, interne Compliance) verantwortlich.4.2 Der Kunde trifft die Entscheidung, ob und in welchem Umfang KI-Funktionen für Nutzer freigeschaltet werden, und ist insoweit Verantwortlicher für die organisatorische Einbettung.
5. Transparenz- und Nutzerhinweise
5.1 Der Kunde stellt sicher, dass Nutzer vor der ersten Nutzung und während der Nutzung klar und in eindeutiger Weise darauf hingewiesen werden, dass sie mit einer KI interagieren und dass KI-Ausgaben fehlerhaft sein können.5.2 KI-Ausgaben werden automatisiert erzeugt und können:
- ungenau, unvollständig, veraltet, widersprüchlich oder falsch sein,
- Inhalte „hinzuerfinden“ oder Zahlen/Parameter erfinden (Halluzinationen),
- Inhalte aus Kundeninhalten in neuer Form wiedergeben (einschließlich personenbezogener Daten).
6. Datenverarbeitung
6.1 Kundeninhalte können personenbezogene Daten enthalten. Hivebuy verarbeitet diese nur nach Maßgabe des AVV und dieser Anlage.6.2 Hivebuy verarbeiten keine personenbezogenen Daten zu Trainingszwecken der KI.
6.3 Hivebuy darf zur Sicherstellung von Betrieb/Sicherheit und zur Aufklärung von Vorfällen Protokolle führen (z. B. Zeit, Nutzerkennung, Dokument-ID, Query, verwendete Chunks, Modellversion, Antwort-ID) aufbewahren.
7. Haftung
7.1 Hivebuy übernimmt keine Verantwortung dafür, dass KI-Ausgaben für individuelle kaufmännische Entscheidungen geeignet sein können. Eine solche Eignung ist nicht vom Zweck des KI-Systems umfasst und auch nicht geschuldet.
7.2 Nutzt der Kunde bzw. Nutzer die KI-Funktionen entgegen der Zweckbestimmung dieser Anlage handelt der Kunde vertragswidrig. In diesen Fällen haftet Hivebuy im Rahmen seines Verantwortungsbereichs für daraus resultierende Schäden nur, soweit Hivebuy den Schaden durch vorsätzliches oder grob fahrlässiges Verhalten verursacht hat, es sich um Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit handelt, oder zwingende gesetzliche Haftung greift.
7.3 Bei vertragsgemäßer Nutzung haftet Hivebuy im Übrigen nur nach den Regelungen des Hauptvertrags (Rahmenvertrages). Ein Anspruch wegen fehlerhafter KI-Ausgaben besteht nur, wenn Hivebuy eine nach dem Stand der Technik erforderliche Sorgfalt bei Bereitstellung/Betrieb der KI-Funktionen schuldhaft verletzt hat und der Schaden bei vertragsgemäßer Nutzung adäquat kausal hierauf beruht; im Übrigen gelten die Haftungsbegrenzungen des Hauptvertrags.
Stand: 14.04.2026