diff --git a/ARCHITEKTUR_GCP_SETUP.md b/ARCHITEKTUR_GCP_SETUP.md index 17f75b6b..fabd9cee 100644 --- a/ARCHITEKTUR_GCP_SETUP.md +++ b/ARCHITEKTUR_GCP_SETUP.md @@ -156,21 +156,25 @@ Wir verfolgen einen zweistufigen Ansatz ("Salami-Taktik"), um Datenschutzrisiken 2. **Zero Retention:** Nutzung der API im Modus ohne Datenspeicherung seitens Google. 3. **Data Residency:** Konfiguration der Datenverarbeitung in EU-Rechenzentren (Frankfurt/Belgien) wo möglich. -## Spickzettel für den Termin (Fragen & Hypothesen) +## Spickzettel für den Termin (Angepasst an IT-Status) -### Deine Einstiegs-Hypothese ("Wir sind schon compliant"): +### 1. Zum aktuellen Status ("Die Sperre ist gut") +**Argument:** +"Dass die Gemini-App (Chat) aktuell für alle Mitarbeiter gesperrt ist, bewerten wir positiv. Das verhindert unkontrollierte 'Schatten-IT'. Ich beantrage daher **keine** pauschale Freischaltung für alle, sondern ein **isoliertes Pilot-Setup** exklusiv für meinen User." -"Da wir bereits Google Workspace Enterprise nutzen, gehe ich davon aus, dass wir für interne KI-Prozesse (Vertex AI) bereits durch das bestehende DPA abgedeckt sind, solange wir die 'Data Use for Training'-Option deaktiviert haben. Wir führen also kein 'neues Tool' ein, sondern nutzen ein Feature unserer bestehenden, sicheren Infrastruktur." +### 2. Zur Architektur ("Das Zwei-Wege-Modell") +**Argument:** +"Wir trennen technisch strikt zwischen Automatisierung und Chat: +1. **Die GTM-Engine (Massenverarbeitung):** Läuft über ein **Google Cloud Projekt (Vertex AI)**. Hier erzwingen wir technisch den Serverstandort 'Frankfurt'. Es gelten die Google Cloud Enterprise Terms (Kein Training). +2. **Der Arbeitsplatz (Mein Browser):** Hierfür benötige ich die Zuweisung einer **'Gemini Enterprise'-Lizenz**. Diese Investition (~30€) ist notwendig, um uns rechtlich abzusichern ('Enterprise Data Protection'). Ohne Lizenz fasse ich das Tool nicht an." +### 3. Zur Datennutzung ("Der Kill-Switch") +**Frage an die IT im Termin:** +"Können wir gemeinsam im Admin-Panel sicherstellen, dass auf der Organisationseinheit meines Users der Haken bei **'Google-Dienste verbessern / Modell-Training'** explizit entfernt ist? Das ist die technische Garantie, die der Datenschutzbeauftragte sehen will." -### Die "Salami"-Frage (Vertrauen bilden): - -"Wir starten strikt mit Phase 1 (B2B-Daten). Wenn wir später Phase 2 (z.B. Support-Mails) angehen würden: Welche technischen Vorbedingungen (wie PII-Schwärzung) müssten wir aus Ihrer Sicht schaffen, damit das genehmigungsfähig wäre? Wir wollen das gemeinsam entwickeln." - - -### Der Haftungs-Hebel (für Axel/Geschäftsführung): - -"Die technische Sicherheit (DSGVO) garantiere ich. Das eigentliche Risiko sehe ich im Wettbewerbsrecht (UWG, Cold Outreach). Das ist eine unternehmerische Entscheidung, keine technische. Ich brauche hierfür die Rückendeckung der GF." +### 4. Die "Salami"-Frage (Vertrauen bilden) +**Angebot:** +"Wir starten in Phase 1 ausschließlich mit B2B-Firmendaten (kein Personenbezug). Bevor wir jemals interne Daten (Support-Mails etc.) anfassen, komme ich mit einem erweiterten Konzept proaktiv auf euch zu." ## Vorlage für Axel (Freigabe Cold Outreach)