{ "schema_version": "evidenceops-demo-delivery-v2", "generated_at": "2026-05-06", "language": "de", "package": "Standard Decision", "vendor": "Fireflies.ai", "decision": "Go unter Bedingungen", "evidence_count": 64, "source_count": 17, "open_checks": 8, "intake": [ [ "Anwendungsfall", "Meeting-Notizen, Transkripte und KI-Zusammenfassungen für Revenue-/Operations-Teams" ], [ "Pilotumfang", "10-15 Nutzer, keine sensiblen Meeting-Kategorien" ], [ "Hauptbedenken", "Transkript-Daten, Retention, Consent, Admin Controls und Integrationen" ], [ "Pflichtkriterien", "DPA, Löschung, Offboarding, Rollen, Integrationszugriff, Meeting-Kategorien" ], [ "Entscheidungsfrage", "Kann ein begrenzter Pilot kontrolliert starten, ohne einen breiten Rollout zu rechtfertigen?" ] ], "sources": [ { "title": "Fireflies.ai Privacy Policy", "url": "https://fireflies.ai/privacy-policy", "note": "Die Policy beschreibt Account-bezogene Retention und Zero-Data-Retention für Meeting Content bei Drittanbietern." }, { "title": "Fireflies.ai Data Processing Addendum", "url": "https://fireflies.ai/data-processing-agreement", "note": "Das DPA behandelt Processing, Security, Audits, Subprocessor, Transfers, Haftung und Änderungen." }, { "title": "Fireflies.ai Pricing", "url": "https://fireflies.ai/pricing", "note": "Plan-, Nutzer- und Rollout-Kosten für 10/25/45-Nutzer-Szenario." }, { "title": "Fireflies.ai Terms", "url": "https://fireflies.ai/terms-of-service", "note": "Nutzungsbedingungen als Kontext für Account- und Service-Regeln." }, { "title": "Fireflies.ai Security", "url": "https://fireflies.ai/security", "note": "Security-Signale für Mindestanforderungen und Trust-Review." }, { "title": "Fireflies Help Center - Admin", "url": "https://guide.fireflies.ai", "note": "Admin-, Workspace- und Rollenannahmen für Pilotkontrollen." }, { "title": "Fireflies Help Center - Integrations", "url": "https://guide.fireflies.ai", "note": "CRM-, Kalender- und Conferencing-Integrationen als Datenoberfläche." }, { "title": "Fireflies Help Center - Meeting Bot", "url": "https://guide.fireflies.ai", "note": "Aufzeichnungs- und Meeting-Bot-Verhalten für Consent-Regeln." }, { "title": "Fireflies Help Center - Retention", "url": "https://guide.fireflies.ai", "note": "Retention-, Lösch- und Offboarding-Fragen für Pilot-Test." }, { "title": "Fireflies Help Center - SSO", "url": "https://guide.fireflies.ai", "note": "Kontrollsignal für Team- und Enterprise-Rollout." }, { "title": "Fireflies Help Center - API", "url": "https://guide.fireflies.ai", "note": "API-/Export- und Datenzugriffskontext für Portabilität." }, { "title": "Fireflies Subprocessor Review", "url": "https://fireflies.ai/data-processing-agreement", "note": "Subprocessor-, Transfer- und DPA-Kontext für Datenschutzfreigabe." }, { "title": "Fireflies Privacy - Retention", "url": "https://fireflies.ai/privacy-policy", "note": "Retention- und Datenverwendungsannahmen für Meeting Content." }, { "title": "Fireflies Privacy - AI Processing", "url": "https://fireflies.ai/privacy-policy", "note": "AI-Data-Use, Training-Ausschluss und Drittanbieter-Verarbeitung." }, { "title": "Fireflies Product Docs - Search", "url": "https://guide.fireflies.ai", "note": "Such- und Transcript-Zugriff als Datenexpositionsrisiko." }, { "title": "Fireflies Product Docs - Sharing", "url": "https://guide.fireflies.ai", "note": "Freigaben, Teamzugriff und Sharing-Regeln im Pilot." }, { "title": "Fireflies Status / Operations", "url": "https://fireflies.ai", "note": "Betriebs- und Verfügbarkeitskontext für Vendor-Risk-Review." } ], "evidence_extract": [ [ "CL-01", "Datenschutz", "Fireflies beschreibt, dass User Content im Business-Kontext durch DPA/Terms geregelt wird.", "Primärquelle", "Hoch", "Hoch", "prüfbereit", "DPA-Geltung für Kundenscope bestätigen." ], [ "CL-02", "AI-Daten", "Meeting Content soll nicht für AI-Training genutzt und bei Drittanbietern nicht retained werden.", "Primärquelle", "Mittel-Hoch", "Hoch", "Vendor-Bestätigung offen", "Plan- und Vertragsebene schriftlich bestätigen." ], [ "CL-03", "DPA", "DPA deckt Processing, Security, Audit, Subprocessor und Transfers ab.", "Primärquelle", "Hoch", "Hoch", "prüfbereit", "DPA-Annahme und Subprocessor-Liste prüfen." ], [ "CL-04", "Kontrollen", "Admin Controls sind für Teamrollout entscheidend, aber im Zielplan zu testen.", "Vendor-Dokumentation", "Mittel", "Hoch", "Pilot-Test offen", "Rollen, Retention, Offboarding und Integrationen testen." ], [ "CL-05", "Consent", "Meeting Recording kann je nach Kontext besondere Kommunikation benötigen.", "Kundenpolicy", "Mittel", "Hoch", "Owner offen", "Standardtext für Einladungen und Call-Start festlegen." ] ], "evidence": [ [ "CL-01", "Datenschutz", "Fireflies beschreibt, dass User Content im Business-Kontext durch DPA/Terms geregelt wird.", "Primärquelle", "Hoch", "Hoch", "prüfbereit", "DPA-Geltung für Kundenscope bestätigen." ], [ "CL-02", "AI-Daten", "Meeting Content soll nicht für AI-Training genutzt und bei Drittanbietern nicht retained werden.", "Primärquelle", "Mittel-Hoch", "Hoch", "Vendor-Bestätigung offen", "Plan- und Vertragsebene schriftlich bestätigen." ], [ "CL-03", "DPA", "DPA deckt Processing, Security, Audit, Subprocessor und Transfers ab.", "Primärquelle", "Hoch", "Hoch", "prüfbereit", "DPA-Annahme und Subprocessor-Liste prüfen." ], [ "CL-04", "Kontrollen", "Admin Controls sind für Teamrollout entscheidend, aber im Zielplan zu testen.", "Vendor-Dokumentation", "Mittel", "Hoch", "Pilot-Test offen", "Rollen, Retention, Offboarding und Integrationen testen." ], [ "CL-05", "Consent", "Meeting Recording kann je nach Kontext besondere Kommunikation benötigen.", "Kundenpolicy", "Mittel", "Hoch", "Owner offen", "Standardtext für Einladungen und Call-Start festlegen." ], [ "CL-006", "Datenschutz / DPA", "DPA-Geltung: muss für den konkreten Business-Account nachgewiesen werden.", "Primärquelle / DPA", "Hoch", "Hoch", "Review offen", "DPA-Version und Subprocessor-Liste archivieren." ], [ "CL-007", "AI-Datenverwendung", "Meeting Content: ist für sensible Meetings ein möglicher Stop- oder Verify-Punkt.", "Primärquelle / Privacy-Dokumentation", "Mittel-Hoch", "Hoch", "Review offen", "Erlaubte Datenkategorien vor Pilotstart definieren." ], [ "CL-008", "Retention / Löschung", "Transkript-Löschung: kann vom Workspace-Setup abhängen.", "Admin-Test / Anbieter-Dokumentation", "Mittel", "Hoch", "prüfbereit", "Löschtest mit Testmeeting durchführen." ], [ "CL-009", "Consent / Meeting-Policy", "Kundenmeetings: muss vor Pilotstart für Nutzer verständlich sein.", "Kundenpolicy / Analystensynthese", "Mittel", "Hoch", "Owner offen", "Pilotnutzer vor Aktivierung briefen." ], [ "CL-010", "Kontrollen / Admin", "Rollenmodell: muss im Zielplan praktisch verifiziert werden.", "Admin-Test / Produktdokumentation", "Mittel", "Mittel-Hoch", "Review offen", "Admin-Rollen und Integrationsrechte im Pilot testen." ], [ "CL-011", "Integrationen", "CRM-Integration: sollte im Pilot nur aktiviert werden, wenn für den Use Case nötig.", "Vendor-Dokumentation / Kundenkontext", "Mittel", "Mittel-Hoch", "Owner offen", "Integrationszugriffe nach Pilotende entfernen und prüfen." ], [ "CL-012", "TCO / Plan-Fit", "10-Nutzer-Pilot: sollte vor breitem Rollout in Szenarien übersetzt werden.", "Pricing-/Plan-Dokumentation", "Mittel", "Mittel", "Plan-Check offen", "10/25/45-Nutzer-Szenario erstellen." ], [ "CL-013", "Security-Signale", "SOC-2-Signal: sollte nicht mit Zertifizierung verwechselt werden.", "Trust-/Security-Dokumentation", "Mittel", "Mittel-Hoch", "prüfbereit", "Offene Security-Fragen in Vendor-Queue aufnehmen." ], [ "CL-014", "Datenschutz / DPA", "Rollenverteilung: ist vor breitem Rollout ein Freigabekriterium.", "Primärquelle / DPA", "Hoch", "Hoch", "Review offen", "Datenschutzfreigabe für Pilot-Scope dokumentieren." ], [ "CL-015", "AI-Datenverwendung", "Transkriptverarbeitung: kann sich zwischen Produktfunktion und Vertragsebene unterscheiden.", "Primärquelle / Privacy-Dokumentation", "Mittel-Hoch", "Hoch", "Review offen", "AI-Data-Use auf Plan- und Vertragsebene bestätigen." ], [ "CL-016", "Retention / Löschung", "Workspace-Retention: muss mit interner Löschpolicy zusammenpassen.", "Admin-Test / Anbieter-Dokumentation", "Mittel", "Hoch", "prüfbereit", "Offboarding und Retention als Pilotnachweis dokumentieren." ], [ "CL-017", "Consent / Meeting-Policy", "HR-Gespräche: braucht eine klare Ausschluss- oder Hinweisregel.", "Kundenpolicy / Analystensynthese", "Mittel", "Hoch", "Owner offen", "Meeting-Kategorien und Hinweistext festlegen." ], [ "CL-018", "Kontrollen / Admin", "Suchrechte: bestimmt, ob der Rollout begrenzt und kontrolliert bleibt.", "Admin-Test / Produktdokumentation", "Mittel", "Mittel-Hoch", "Review offen", "Least-Privilege-Konfiguration dokumentieren." ], [ "CL-019", "Integrationen", "Kalenderintegration: braucht Owner und Offboarding-Test.", "Vendor-Dokumentation / Kundenkontext", "Mittel", "Mittel-Hoch", "Owner offen", "Nur notwendige Integrationen freigeben." ], [ "CL-020", "TCO / Plan-Fit", "25-Nutzer-Rollout: ist kein Stopper, aber ein Verhandlungspunkt.", "Pricing-/Plan-Dokumentation", "Mittel", "Mittel", "Plan-Check offen", "Plan-Fit gegen benötigte Controls prüfen." ], [ "CL-021", "Security-Signale", "Verschlüsselung: ist ein Signal, aber keine technische Security-Prüfung.", "Trust-/Security-Dokumentation", "Mittel", "Mittel-Hoch", "prüfbereit", "Trust-/Security-Dokumente gegen Mindestkriterien mappen." ], [ "CL-022", "Datenschutz / DPA", "Subprocessor-Regel: darf nicht nur über die Produktseite bewertet werden.", "Primärquelle / DPA", "Hoch", "Hoch", "Review offen", "DPA-Version und Subprocessor-Liste archivieren." ], [ "CL-023", "AI-Datenverwendung", "KI-Zusammenfassungen: braucht klare Datenkategorien für den Pilot.", "Primärquelle / Privacy-Dokumentation", "Mittel-Hoch", "Hoch", "Review offen", "Erlaubte Datenkategorien vor Pilotstart definieren." ], [ "CL-024", "Retention / Löschung", "User-Offboarding: muss in den Admin-Einstellungen getestet werden.", "Admin-Test / Anbieter-Dokumentation", "Mittel", "Hoch", "prüfbereit", "Löschtest mit Testmeeting durchführen." ], [ "CL-025", "Consent / Meeting-Policy", "Legal Calls: sollte nicht durch Tool-Default entschieden werden.", "Kundenpolicy / Analystensynthese", "Mittel", "Hoch", "Owner offen", "Pilotnutzer vor Aktivierung briefen." ], [ "CL-026", "Kontrollen / Admin", "Freigaben: kann Datenexposition über Meeting-Inhalte erhöhen.", "Admin-Test / Produktdokumentation", "Mittel", "Mittel-Hoch", "Review offen", "Admin-Rollen und Integrationsrechte im Pilot testen." ], [ "CL-027", "Integrationen", "Zoom/Meet/Teams-Zugriff: kann aus einem Meeting-Tool ein breiteres Datenrisiko machen.", "Vendor-Dokumentation / Kundenkontext", "Mittel", "Mittel-Hoch", "Owner offen", "Integrationszugriffe nach Pilotende entfernen und prüfen." ], [ "CL-028", "TCO / Plan-Fit", "45-Nutzer-Rollout: muss über Pilotkosten hinaus modelliert werden.", "Pricing-/Plan-Dokumentation", "Mittel", "Mittel", "Plan-Check offen", "10/25/45-Nutzer-Szenario erstellen." ], [ "CL-029", "Security-Signale", "Access Controls: muss gegen interne Mindestanforderungen geprüft werden.", "Trust-/Security-Dokumentation", "Mittel", "Mittel-Hoch", "prüfbereit", "Offene Security-Fragen in Vendor-Queue aufnehmen." ], [ "CL-030", "Datenschutz / DPA", "Transfermechanismus: braucht interne Akzeptanz durch Datenschutz oder Owner.", "Primärquelle / DPA", "Hoch", "Hoch", "Review offen", "Datenschutzfreigabe für Pilot-Scope dokumentieren." ], [ "CL-031", "AI-Datenverwendung", "Drittanbieter-Verarbeitung: muss schriftlich zum Zielplan bestätigt werden.", "Primärquelle / Privacy-Dokumentation", "Mittel-Hoch", "Hoch", "Review offen", "AI-Data-Use auf Plan- und Vertragsebene bestätigen." ], [ "CL-032", "Retention / Löschung", "Kalenderdaten: entscheidet, ob der Pilot reversibel bleibt.", "Admin-Test / Anbieter-Dokumentation", "Mittel", "Hoch", "prüfbereit", "Offboarding und Retention als Pilotnachweis dokumentieren." ], [ "CL-033", "Consent / Meeting-Policy", "Strategiemeetings: kann Akzeptanz und Compliance-Risiko beeinflussen.", "Kundenpolicy / Analystensynthese", "Mittel", "Hoch", "Owner offen", "Meeting-Kategorien und Hinweistext festlegen." ], [ "CL-034", "Kontrollen / Admin", "Integrationszugriff: muss mit Least-Privilege-Prinzip abgeglichen werden.", "Admin-Test / Produktdokumentation", "Mittel", "Mittel-Hoch", "Review offen", "Least-Privilege-Konfiguration dokumentieren." ], [ "CL-035", "Integrationen", "Slack-Sync: erweitert die Datenoberfläche und muss begrenzt werden.", "Vendor-Dokumentation / Kundenkontext", "Mittel", "Mittel-Hoch", "Owner offen", "Nur notwendige Integrationen freigeben." ], [ "CL-036", "TCO / Plan-Fit", "Abteilungsfreigabe: kann die Entscheidung bei Expansion verändern.", "Pricing-/Plan-Dokumentation", "Mittel", "Mittel", "Plan-Check offen", "Plan-Fit gegen benötigte Controls prüfen." ], [ "CL-037", "Security-Signale", "Datenzugriff durch Support: kann Pilotbedingungen beeinflussen.", "Trust-/Security-Dokumentation", "Mittel", "Mittel-Hoch", "prüfbereit", "Trust-/Security-Dokumente gegen Mindestkriterien mappen." ], [ "CL-038", "Datenschutz / DPA", "Audit-Rechte: muss für den konkreten Business-Account nachgewiesen werden.", "Primärquelle / DPA", "Hoch", "Hoch", "Review offen", "DPA-Version und Subprocessor-Liste archivieren." ], [ "CL-039", "AI-Datenverwendung", "Training-Ausschluss: ist für sensible Meetings ein möglicher Stop- oder Verify-Punkt.", "Primärquelle / Privacy-Dokumentation", "Mittel-Hoch", "Hoch", "Review offen", "Erlaubte Datenkategorien vor Pilotstart definieren." ], [ "CL-040", "Retention / Löschung", "Meeting-Aufzeichnungen: kann vom Workspace-Setup abhängen.", "Admin-Test / Anbieter-Dokumentation", "Mittel", "Hoch", "prüfbereit", "Löschtest mit Testmeeting durchführen." ], [ "CL-041", "Consent / Meeting-Policy", "Investorengespräche: muss vor Pilotstart für Nutzer verständlich sein.", "Kundenpolicy / Analystensynthese", "Mittel", "Hoch", "Owner offen", "Pilotnutzer vor Aktivierung briefen." ], [ "CL-042", "Kontrollen / Admin", "Bot-Aktivierung: muss im Zielplan praktisch verifiziert werden.", "Admin-Test / Produktdokumentation", "Mittel", "Mittel-Hoch", "Review offen", "Admin-Rollen und Integrationsrechte im Pilot testen." ], [ "CL-043", "Integrationen", "Webhooks: sollte im Pilot nur aktiviert werden, wenn für den Use Case nötig.", "Vendor-Dokumentation / Kundenkontext", "Mittel", "Mittel-Hoch", "Owner offen", "Integrationszugriffe nach Pilotende entfernen und prüfen." ], [ "CL-044", "TCO / Plan-Fit", "Add-on-Annahme: sollte vor breitem Rollout in Szenarien übersetzt werden.", "Pricing-/Plan-Dokumentation", "Mittel", "Mittel", "Plan-Check offen", "10/25/45-Nutzer-Szenario erstellen." ], [ "CL-045", "Security-Signale", "Incident-Kommunikation: sollte nicht mit Zertifizierung verwechselt werden.", "Trust-/Security-Dokumentation", "Mittel", "Mittel-Hoch", "prüfbereit", "Offene Security-Fragen in Vendor-Queue aufnehmen." ], [ "CL-046", "Datenschutz / DPA", "Änderungsbenachrichtigung: ist vor breitem Rollout ein Freigabekriterium.", "Primärquelle / DPA", "Hoch", "Hoch", "Review offen", "Datenschutzfreigabe für Pilot-Scope dokumentieren." ], [ "CL-047", "AI-Datenverwendung", "Zero-Retention-Claim: kann sich zwischen Produktfunktion und Vertragsebene unterscheiden.", "Primärquelle / Privacy-Dokumentation", "Mittel-Hoch", "Hoch", "Review offen", "AI-Data-Use auf Plan- und Vertragsebene bestätigen." ], [ "CL-048", "Retention / Löschung", "Backup-Retention: muss mit interner Löschpolicy zusammenpassen.", "Admin-Test / Anbieter-Dokumentation", "Mittel", "Hoch", "prüfbereit", "Offboarding und Retention als Pilotnachweis dokumentieren." ], [ "CL-049", "Consent / Meeting-Policy", "interne 1:1s: braucht eine klare Ausschluss- oder Hinweisregel.", "Kundenpolicy / Analystensynthese", "Mittel", "Hoch", "Owner offen", "Meeting-Kategorien und Hinweistext festlegen." ], [ "CL-050", "Kontrollen / Admin", "Kalender-Scope: bestimmt, ob der Rollout begrenzt und kontrolliert bleibt.", "Admin-Test / Produktdokumentation", "Mittel", "Mittel-Hoch", "Review offen", "Least-Privilege-Konfiguration dokumentieren." ], [ "CL-051", "Integrationen", "API-Zugriff: braucht Owner und Offboarding-Test.", "Vendor-Dokumentation / Kundenkontext", "Mittel", "Mittel-Hoch", "Owner offen", "Nur notwendige Integrationen freigeben." ], [ "CL-052", "TCO / Plan-Fit", "jährliche Zahlung: ist kein Stopper, aber ein Verhandlungspunkt.", "Pricing-/Plan-Dokumentation", "Mittel", "Mittel", "Plan-Check offen", "Plan-Fit gegen benötigte Controls prüfen." ], [ "CL-053", "Security-Signale", "Status Page: ist ein Signal, aber keine technische Security-Prüfung.", "Trust-/Security-Dokumentation", "Mittel", "Mittel-Hoch", "prüfbereit", "Trust-/Security-Dokumente gegen Mindestkriterien mappen." ], [ "CL-054", "Datenschutz / DPA", "Haftungslogik: darf nicht nur über die Produktseite bewertet werden.", "Primärquelle / DPA", "Hoch", "Hoch", "Review offen", "DPA-Version und Subprocessor-Liste archivieren." ], [ "CL-055", "AI-Datenverwendung", "Prompt-/Output-Daten: braucht klare Datenkategorien für den Pilot.", "Primärquelle / Privacy-Dokumentation", "Mittel-Hoch", "Hoch", "Review offen", "Erlaubte Datenkategorien vor Pilotstart definieren." ], [ "CL-056", "Retention / Löschung", "Suchindex: muss in den Admin-Einstellungen getestet werden.", "Admin-Test / Anbieter-Dokumentation", "Mittel", "Hoch", "prüfbereit", "Löschtest mit Testmeeting durchführen." ], [ "CL-057", "Consent / Meeting-Policy", "Customer Escalations: sollte nicht durch Tool-Default entschieden werden.", "Kundenpolicy / Analystensynthese", "Mittel", "Hoch", "Owner offen", "Pilotnutzer vor Aktivierung briefen." ], [ "CL-058", "Kontrollen / Admin", "Team Settings: kann Datenexposition über Meeting-Inhalte erhöhen.", "Admin-Test / Produktdokumentation", "Mittel", "Mittel-Hoch", "Review offen", "Admin-Rollen und Integrationsrechte im Pilot testen." ], [ "CL-059", "Integrationen", "SSO: kann aus einem Meeting-Tool ein breiteres Datenrisiko machen.", "Vendor-Dokumentation / Kundenkontext", "Mittel", "Mittel-Hoch", "Owner offen", "Integrationszugriffe nach Pilotende entfernen und prüfen." ], [ "CL-060", "TCO / Plan-Fit", "Support-Level: muss über Pilotkosten hinaus modelliert werden.", "Pricing-/Plan-Dokumentation", "Mittel", "Mittel", "Plan-Check offen", "10/25/45-Nutzer-Szenario erstellen." ], [ "CL-061", "Security-Signale", "Admin-Audit: muss gegen interne Mindestanforderungen geprüft werden.", "Trust-/Security-Dokumentation", "Mittel", "Mittel-Hoch", "prüfbereit", "Offene Security-Fragen in Vendor-Queue aufnehmen." ], [ "CL-062", "Datenschutz / DPA", "Security-Anhang: braucht interne Akzeptanz durch Datenschutz oder Owner.", "Primärquelle / DPA", "Hoch", "Hoch", "Review offen", "Datenschutzfreigabe für Pilot-Scope dokumentieren." ], [ "CL-063", "AI-Datenverwendung", "Workspace-Suche: muss schriftlich zum Zielplan bestätigt werden.", "Primärquelle / Privacy-Dokumentation", "Mittel-Hoch", "Hoch", "Review offen", "AI-Data-Use auf Plan- und Vertragsebene bestätigen." ], [ "CL-064", "Retention / Löschung", "Export vor Löschung: entscheidet, ob der Pilot reversibel bleibt.", "Admin-Test / Anbieter-Dokumentation", "Mittel", "Hoch", "prüfbereit", "Offboarding und Retention als Pilotnachweis dokumentieren." ] ], "interpretation": null, "alternatives": null, "decision_gates": null, "tco_model": null, "vendor_questions": null, "no_go_triggers": null, "scenario_matrix": null, "acceptance_criteria": null }