Floke/Brancheneinstufung2
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

docs: Update meeting cheat sheet with new IT constraints (blocked Gemini)

Browse Source
This commit is contained in:
Jarvis
2026-02-05 07:53:12 +00:00
parent cdb8bacb32
commit 622689e2f5
1 changed files with 15 additions and 11 deletions
Download Patch File Download Diff File Expand all files Collapse all files

26
ARCHITEKTUR_GCP_SETUP.md
View File

@@ -156,21 +156,25 @@ Wir verfolgen einen zweistufigen Ansatz ("Salami-Taktik"), um Datenschutzrisiken
2. **Zero Retention:** Nutzung der API im Modus ohne Datenspeicherung seitens Google.
3. **Data Residency:** Konfiguration der Datenverarbeitung in EU-Rechenzentren (Frankfurt/Belgien) wo möglich.
## Spickzettel für den Termin (Fragen & Hypothesen)
## Spickzettel für den Termin (Angepasst an IT-Status)
### Deine Einstiegs-Hypothese ("Wir sind schon compliant"):
### 1. Zum aktuellen Status ("Die Sperre ist gut")
**Argument:**
"Dass die Gemini-App (Chat) aktuell für alle Mitarbeiter gesperrt ist, bewerten wir positiv. Das verhindert unkontrollierte 'Schatten-IT'. Ich beantrage daher **keine** pauschale Freischaltung für alle, sondern ein **isoliertes Pilot-Setup** exklusiv für meinen User."
"Da wir bereits Google Workspace Enterprise nutzen, gehe ich davon aus, dass wir für interne KI-Prozesse (Vertex AI) bereits durch das bestehende DPA abgedeckt sind, solange wir die 'Data Use for Training'-Option deaktiviert haben. Wir führen also kein 'neues Tool' ein, sondern nutzen ein Feature unserer bestehenden, sicheren Infrastruktur."
### 2. Zur Architektur ("Das Zwei-Wege-Modell")
**Argument:**
"Wir trennen technisch strikt zwischen Automatisierung und Chat:
1. **Die GTM-Engine (Massenverarbeitung):** Läuft über ein **Google Cloud Projekt (Vertex AI)**. Hier erzwingen wir technisch den Serverstandort 'Frankfurt'. Es gelten die Google Cloud Enterprise Terms (Kein Training).
2. **Der Arbeitsplatz (Mein Browser):** Hierfür benötige ich die Zuweisung einer **'Gemini Enterprise'-Lizenz**. Diese Investition (~30€) ist notwendig, um uns rechtlich abzusichern ('Enterprise Data Protection'). Ohne Lizenz fasse ich das Tool nicht an."
### 3. Zur Datennutzung ("Der Kill-Switch")
**Frage an die IT im Termin:**
"Können wir gemeinsam im Admin-Panel sicherstellen, dass auf der Organisationseinheit meines Users der Haken bei **'Google-Dienste verbessern / Modell-Training'** explizit entfernt ist? Das ist die technische Garantie, die der Datenschutzbeauftragte sehen will."
### Die "Salami"-Frage (Vertrauen bilden):
"Wir starten strikt mit Phase 1 (B2B-Daten). Wenn wir später Phase 2 (z.B. Support-Mails) angehen würden: Welche technischen Vorbedingungen (wie PII-Schwärzung) müssten wir aus Ihrer Sicht schaffen, damit das genehmigungsfähig wäre? Wir wollen das gemeinsam entwickeln."
### Der Haftungs-Hebel (für Axel/Geschäftsführung):
"Die technische Sicherheit (DSGVO) garantiere ich. Das eigentliche Risiko sehe ich im Wettbewerbsrecht (UWG, Cold Outreach). Das ist eine unternehmerische Entscheidung, keine technische. Ich brauche hierfür die Rückendeckung der GF."
### 4. Die "Salami"-Frage (Vertrauen bilden)
**Angebot:**
"Wir starten in Phase 1 ausschließlich mit B2B-Firmendaten (kein Personenbezug). Bevor wir jemals interne Daten (Support-Mails etc.) anfassen, komme ich mit einem erweiterten Konzept proaktiv auf euch zu."
## Vorlage für Axel (Freigabe Cold Outreach)