Was genau ist Google Vertex?
Vertex AI ist eine Plattform für maschinelles Lernen (ML), mit der man ML-Modelle und KI-Anwendungen trainieren und bereitstellen und große Sprachmodelle (LLMs) für KI-gestützte Anwendungen anpassen kann.
Wir verwenden diese Plattform zur Unterscheidung von Belegarten.
Was ist ein Large Learning Model (LLM)?
LLMs sind leistungsstarke Modelle, die darauf ausgelegt sind, menschliche Sprache zu verstehen und zu generieren. In unserem Fall wird eine automatische Entscheidungsfindung auf Basis von Daten erzeugt, die erkennt, ob es sich bei einem hochgeladenen Dokument um einen Vertrag, Rechnungsbeleg oder eine andere Art von Dokument handelt.
Wo werden die Daten verarbeitet?
Die Datenverarbeitung erfolgt ausschließlich im europäischen Wirtschaftsraum, in unserem Fall: Frankfurt am Main. Durch den Dienst Google Vertex von Google Cloud.
Wie lautet die Anschrift von Google Cloud?
Google Cloud EMEA
70 Sir John Rogerson's Quay
Dublin 2
Irland
Der neue Auftragsverarbeitungsvertrag ist über diesen Link abrufbar: Link.
Werden personenbezogene Daten verarbeitet?
Ja, dies ist aber nicht der primäre Zweck des Verarbeitungsvorgangs. Es ist möglich, dass sich auf den eingesendeten Dokumenten personenbezogene Daten befinden. Wie z.B. Name der Ansprechperson oder eine Mailadresse des Unternehmens, die einen Namen beinhaltet, sowie den ausgeschriebenen Namen eines Unterschreibenden. Bei den eingesendeten Dokumenten handelt es sich um die von Candis bearbeiteten Arten von Dokumenten, also Rechnungsbelege, Verträge für das Vertragsmanagement und sonstige Belege, die zur Ablage hochgeladen werden. Diese Belege enthalten ihrer Natur nach direkte personenbezogene Daten.
Ab wann beginnt die Verarbeitung?
Frühestens ab dem 26.09.2024. Bis dahin wird es weitere Informationen zur Implementierung des neuen Features geben.
Werden die Daten zum allgemeinen Training einer Google KI verwendet?
Nein. Google hat im Rahmen seiner KI-Angebote für Kund:innen ausdrücklich sichergestellt, dass diese Daten ausschließlich für den von Kund:innen intendierten Zweck verwendet werden und nur in dem von Kund:innen verwendeten Language Model. Die ausschließliche Verarbeitung zum Vertragszweck sichern wir auch im AVV unter 7.9 zu.
Entsteht durch die KI eine Profilbildung gemäß Art. 22 DSGVO?
Die Profilbildung bezieht sich gem. Art 22 DSGVO auf ein Profil über eine natürliche Person. Durch die KI-Einbindung wird lediglich kategorisiert um welche Art von Dokument es sich handelt; dies könnte personenbezogene Daten wie den Namen einer Ansprechperson oder den Namen in der Mailadresse beinhalten. Somit entsteht kein Profil über die natürliche Person.
Welche Sicherheitsmaßnahmen haben wir ergriffen?
Wir haben mit Google Cloud einen Auftragsverarbeitungsvertrag abgeschlossen sowie die technischen und organisatorischen Maßnahmen geprüft. Des Weiteren haben wir eine Datenschutzfolgeabschätzung und ein Transfer Impact Assessment durchgeführt (diese sind auf Anfrage verfügbar).
Die Daten werden ruhend und bei Übertragung mit einer AES-256-Verschlüsselung verschlüsselt. Hierbei werden die Datensysteme gemäß des folgenden Diagramms aufgeteilt und mit unterschiedlichen Schlüsseln verschlüsselt:
Google Vertex AI verfügt darüber hinaus über die folgenden Zertifizierungen: ISO 27001, 27017, 27018, 27701; SOC 1, 2, 3.
(weitere Informationen:
https://cloud.google.com/vertex-ai/docs/general/vertexai-compliance?hl=de, https://cloud.google.com/docs/security/infrastructure/design/resources/google_infrastructure_whitepaper_fa.pdf
ausführliche Reports:
Warum gerade Google Vertex?
Nach Prüfung der verschiedenen Anbieter von LLMs haben wir uns für Google Entschieden, da nur hier die vertragliche Grundlage (AVV, sowie Zusicherung eines geschlossenen Learning Models, Dokumentation und Sicherheitsinformationen) und Infrastruktur-Tools für die von uns angestrebte Verarbeitung möglich ist.