diff --git a/ARCHITEKTUR_GCP_SETUP.md b/ARCHITEKTUR_GCP_SETUP.md index 1af81113..226f470c 100644 --- a/ARCHITEKTUR_GCP_SETUP.md +++ b/ARCHITEKTUR_GCP_SETUP.md @@ -55,13 +55,12 @@ Sobald die Projekte da sind, führe ich folgende Schritte durch: 3. **API Key erstellen:** * Klick auf **"Create API Key"**. * Wähle das verknüpfte GCP-Projekt. - * Kopiere den Key (`AIza...`) sicher weg. Diesen nutze ich in meinen lokalen Skripten. + * Kopiere den Key (`AIza...`) sicher weg. -4. **Vertex AI API aktivieren (Optional/Advanced):** - * Falls ich Service Accounts (JSON-Dateien) statt API-Keys nutzen will (für Server-zu-Server): - * Gehe in die GCP Console -> "APIs & Dienste" -> "Bibliothek". - * Suche nach "Vertex AI API". - * Klick auf "Aktivieren". +4. **Environment Variablen setzen (Lokal):** + Damit wir Dev und Prod sauber trennen, nutzen wir standardisierte Variablennamen in `.env` Dateien: + * `GEMINI_API_KEY_DEV` -> Für CLI, OpenClaw, lokale Tests (Projekt: `roboplanet-ai-dev`) + * `GEMINI_API_KEY_PROD` -> Für Company Explorer, GTM-Engine (Projekt: `roboplanet-ai-prod`) ### Checklist für den Termin - [ ] Projekte `roboplanet-ai-dev` und `roboplanet-ai-prod` existieren. @@ -184,27 +183,6 @@ flowchart TD * Vorteil: Wir nutzen die sichere Enterprise-API, ohne Office-Lizenzen ändern zu müssen. * Daten bleiben im kontrollierten GCP-Bereich. -## Datenschutz & Compliance Strategie - -### Grundsatz: "Safe Space" & Transparenz -Wir verfolgen einen zweistufigen Ansatz ("Salami-Taktik"), um Datenschutzrisiken zu minimieren und Vertrauen aufzubauen. - -**Phase 1: Der "Safe Space" (Aktueller Status)** -* **Datenbasis:** Ausschließlich öffentlich zugängliche B2B-Firmendaten (Handelsregister, Webseiten). -* **Personenbezug:** Keiner (oder nur reine B2B-Kontaktdaten gem. DSGVO Erwägungsgrund 47 / berechtigtes Interesse). -* **Infrastruktur:** Nutzung der bestehenden Google Workspace Enterprise Umgebung ("Walled Garden"). -* **Training:** Expliziter Ausschluss der Datennutzung zu Trainingszwecken in der Google Admin Konsole (Enterprise Data Protection). - -**Phase 2: Erweiterte Szenarien (Zukunft / Genehmigungspflichtig)** -* **Szenario:** Nutzung interner Daten (z.B. Support-Tickets) zur Mustererkennung. -* **Voraussetzung:** Vorherige Abstimmung eines separaten Datenschutzkonzeptes (z.B. PII-Redaction/Schwärzung vor API-Transfer, Nutzung lokaler LLMs). -* **Commitment:** Keine Verarbeitung kritischer Daten ohne explizites "Go" durch den Datenschutzbeauftragten. - -### Technische Maßnahmen -1. **Vertrag:** Nutzung von Vertex AI im Rahmen des bestehenden Google Workspace Enterprise-Vertrags (DPA). -2. **Zero Retention:** Nutzung der API im Modus ohne Datenspeicherung seitens Google. -3. **Data Residency:** Konfiguration der Datenverarbeitung in EU-Rechenzentren (Frankfurt/Belgien) wo möglich. - ## Strategie zur Lizenzierung & Kosten (Der "Cloud Identity Free" Ansatz) **Ausgangslage:**