Vertex AI ist eine Plattform für maschinelles Lernen (ML), mit der man ML-Modelle und KI-Anwendungen trainieren und bereitstellen und große Sprachmodelle (LLMs) für KI-gestützte Anwendungen anpassen kann.

Wir verwenden diese Plattform zur Unterscheidung von Belegarten.

Die Dienste von Google Vertex werden einerseits für die automatische Erkennung und Zuordnung von Dokumentenarten verwendet (wie z.B. Rechnungsbeleg oder Vertrag), wenn diese hochgeladen werden. Sodass der Nutzende nicht selber auswählen muss um welche Belegart es sich handelt.

Andererseits wird für aktuelle Betatestende bereits das LLM von Google Vertex dafür verwendet Rechnungsbelege automatisch aus dem hochgeladenen Dokument zu extrahieren und in die hierfür vorgesehen Feldern zu einzufügen.

LLMs sind leistungsstarke Modelle, die darauf ausgelegt sind, menschliche Sprache zu verstehen und zu generieren. In unserem Fall wird eine automatische Entscheidungsfindung auf Basis von Daten erzeugt, die erkennt, ob es sich bei einem hochgeladenen Dokument um einen Vertrag, Rechnungsbeleg oder eine andere Art von Dokument handelt.

Die Datenverarbeitung erfolgt ausschließlich im europäischen Wirtschaftsraum, in unserem Fall: Frankfurt am Main. Durch den Dienst Google Vertex von Google Cloud.

Google Cloud EMEA
70 Sir John Rogerson's Quay
Dublin 2
Irland

Der neue Auftragsverarbeitungsvertrag ist über diesen Link abrufbar.

Ja, dies ist aber nicht der primäre Zweck des Verarbeitungsvorgangs. Es ist möglich, dass sich auf den eingesendeten Dokumenten personenbezogene Daten befinden. Wie z.B. Name der Ansprechperson oder eine Mailadresse des Unternehmens, die einen Namen beinhaltet, sowie den ausgeschriebenen Namen eines Unterschreibenden. Bei den eingesendeten Dokumenten handelt es sich um die von Candis bearbeiteten Arten von Dokumenten, also Rechnungsbelege, Verträge für das Vertragsmanagement und sonstige Belege, die zur Ablage hochgeladen werden. Diese Dokumente enthalten ihrer Natur nach direkte personenbezogene Daten.

Für Beta Tester der Dokumenten-Extraktions-Funktion: Auch hier werden die Daten des Rechnungsbelegs erfasst.

Nein. Google hat im Rahmen seiner KI-Angebote für Kund:innen ausdrücklich sichergestellt, dass diese Daten ausschließlich für den von Kund:innen intendierten Zweck verwendet werden und nur in dem von Kund:innen verwendeten Language Model. Die ausschließliche Verarbeitung zum Vertragszweck sichern wir auch im AVV unter 7.9 zu.

Die Profilbildung bezieht sich gem. Art 22 DSGVO auf ein Profil über eine natürliche Person. Durch die KI-Einbindung wird lediglich kategorisiert um welche Art von Dokument es sich handelt; dies könnte personenbezogene Daten wie den Namen einer Ansprechperson oder den Namen in der Mailadresse beinhalten. Somit entsteht kein Profil über die natürliche Person.

Die ist auch der Fall bei der Extraktion von Informationen des Belegs oder des Vertrags, welcher sich aktuell in der Betaphase befindet.

Wir haben mit Google Cloud einen Auftragsverarbeitungsvertrag abgeschlossen sowie die technischen und organisatorischen Maßnahmen geprüft. Des Weiteren haben wir eine Datenschutzfolgeabschätzung und ein Transfer Impact Assessment durchgeführt (diese sind auf Anfrage verfügbar).

Die Daten werden ruhend und bei Übertragung mit einer AES-256-Verschlüsselung verschlüsselt. Hierbei werden die Datensysteme gemäß des folgenden Diagramms aufgeteilt und mit unterschiedlichen Schlüsseln verschlüsselt:

Google Vertex AI verfügt darüber hinaus über die folgenden Zertifizierungen: ISO 27001, 27017, 27018, 27701; SOC 1, 2, 3.

Zudem haben wir die von Google Vertex erbrachten Verarbeitungen mit in unser Verarbeitungsverzeichnis aufgenommen.

weitere Informationen:

https://cloud.google.com/vertex-ai/docs/general/vertexai-compliance?hl=de, https://cloud.google.com/docs/security/infrastructure/design/resources/google_infrastructure_whitepaper_fa.pdf

ausführliche Reports:

https://cloud.google.com/security/compliance/compliance-reports-manager?hl=de)

Nach Prüfung der verschiedenen Anbieter von LLMs haben wir uns für Google Entschieden, da nur hier die vertragliche Grundlage (AVV, sowie Zusicherung eines geschlossenen Learning Models, Dokumentation und Sicherheitsinformationen) und Infrastruktur-Tools für die von uns angestrebte Verarbeitung möglich ist.