Merge branch 'main' of https://floke-gitea.duckdns.org/Floke/Brancheneinstufung2

ARCHITEKTUR_GCP_SETUP.md

@@ -94,6 +94,62 @@ graph TD
     *   **Input:** Wir senden Webseiten-Texte und Firmennamen an die API. Wir senden *keine* Mitarbeiterlisten oder Kunden-Adressdaten zur Analyse.
     *   **Enterprise-Garantie:** Durch Nutzung der Enterprise-Verträge (via GCP) ist vertraglich geregelt, dass Google die Daten **nicht** zum Training eigener Modelle verwendet (anders als bei der kostenlosen ChatGPT/Gemini-Consumer-Version).
 
+## Datenschutz & Compliance Strategie
+
+### Grundsatz: "Safe Space" & Transparenz
+Wir verfolgen einen zweistufigen Ansatz ("Salami-Taktik"), um Datenschutzrisiken zu minimieren und Vertrauen aufzubauen.
+
+**Phase 1: Der "Safe Space" (Aktueller Status)**
+*   **Datenbasis:** Ausschließlich öffentlich zugängliche B2B-Firmendaten (Handelsregister, Webseiten).
+*   **Personenbezug:** Keiner (oder nur reine B2B-Kontaktdaten gem. DSGVO Erwägungsgrund 47 / berechtigtes Interesse).
+*   **Infrastruktur:** Nutzung der bestehenden Google Workspace Enterprise Umgebung ("Walled Garden").
+*   **Training:** Expliziter Ausschluss der Datennutzung zu Trainingszwecken in der Google Admin Konsole (Enterprise Data Protection).
+
+**Phase 2: Erweiterte Szenarien (Zukunft / Genehmigungspflichtig)**
+*   **Szenario:** Nutzung interner Daten (z.B. Support-Tickets) zur Mustererkennung.
+*   **Voraussetzung:** Vorherige Abstimmung eines separaten Datenschutzkonzeptes (z.B. PII-Redaction/Schwärzung vor API-Transfer, Nutzung lokaler LLMs).
+*   **Commitment:** Keine Verarbeitung kritischer Daten ohne explizites "Go" durch den Datenschutzbeauftragten.
+
+### Technische Maßnahmen
+1.  **Vertrag:** Nutzung von Vertex AI im Rahmen des bestehenden Google Workspace Enterprise-Vertrags (DPA).
+2.  **Zero Retention:** Nutzung der API im Modus ohne Datenspeicherung seitens Google.
+3.  **Data Residency:** Konfiguration der Datenverarbeitung in EU-Rechenzentren (Frankfurt/Belgien) wo möglich.
+
+
+
+##2. Spickzettel für den Termin (Fragen & Hypothesen)
+
+### Deine Einstiegs-Hypothese ("Wir sind schon compliant"):
+
+"Da wir bereits Google Workspace Enterprise nutzen, gehe ich davon aus, dass wir für interne KI-Prozesse (Vertex AI) bereits durch das bestehende DPA abgedeckt sind, solange wir die 'Data Use for Training'-Option deaktiviert haben. Wir führen also kein 'neues Tool' ein, sondern nutzen ein Feature unserer bestehenden, sicheren Infrastruktur."
+
+
+### Die "Salami"-Frage (Vertrauen bilden):
+
+"Wir starten strikt mit Phase 1 (B2B-Daten). Wenn wir später Phase 2 (z.B. Support-Mails) angehen würden: Welche technischen Vorbedingungen (wie PII-Schwärzung) müssten wir aus Ihrer Sicht schaffen, damit das genehmigungsfähig wäre? Wir wollen das gemeinsam entwickeln."
+
+
+### Der Haftungs-Hebel (für Axel/Geschäftsführung):
+
+"Die technische Sicherheit (DSGVO) garantiere ich. Das eigentliche Risiko sehe ich im Wettbewerbsrecht (UWG, Cold Outreach). Das ist eine unternehmerische Entscheidung, keine technische. Ich brauche hierfür die Rückendeckung der GF."
+
+
+## 3. Vorlage für Axel (Freigabe Cold Outreach)
+
+Betreff: Go für GTM-Engine / Risikoübernahme Cold Outreach
+
+Hallo Axel,
+
+für den Start der GTM-Engine brauche ich noch kurz deine formale Bestätigung.
+
+Entscheidung:
+Wir nutzen technisch generierte Leads für die Direktansprache ("Cold Outreach"). Wir sind uns bewusst, dass dies in Deutschland rechtlich eine Grauzone ist (UWG), entscheiden uns aber aus strategischen Wachstumsgründen dafür.
+
+Die IT stellt die sichere Infrastruktur; die Verantwortung für die Durchführung der Kampagnen liegt beim Vertrieb/GF.
+
+Bitte kurz bestätigen, damit wir loslegen können.
+
+
 ## Backend API (Company Explorer)
 
 Das System verfügt bereits über eine standardisierte, dokumentierte API (FastAPI) zur Datenverarbeitung. Dies ermöglicht eine saubere Trennung von Frontend und Backend sowie eine granulare Zugriffskontrolle.