# Trust Access Automation fuer anrufer.info

CRM-/NDA-Automation für anrufer.info: 6 Regel(n), 4 NDA-Regel(n), 2 Manual-Review-Schutzregeln.

> Diese Automation ist ein Betreiber-Blueprint. Die öffentliche Seite prüft keine echten CRM-, Vertrags- oder NDA-Daten und genehmigt keine realen Zugriffe.

## Regeln
- **CRM-Konto plus vorhandene NDA prüfen**: requester_domain matches CRM account AND nda_on_file=true AND requested_package=public_or_standard -> eligible_for_auto_approval_after_domain_claim
- **Opportunity-Kontext in Review-Queue anzeigen**: requester_domain matches active CRM opportunity BUT nda_on_file=false -> send_nda_then_manual_review
- **Ironclad/Contract-Record für NDA-Bypass nutzen**: contract_counterparty matches requester email domain AND nda_or_msa_active=true -> bypass_new_nda_keep_access_review
- **DocuSign oder Clickwrap vor privaten Dokumenten erzwingen**: requested_package contains restricted_document AND no_valid_nda=true -> require_nda_signature_before_delivery
- **High-Risk-Anfragen nie automatisch freigeben**: public_mailbox OR competitor_domain OR incident_package OR unknown_company -> manual_review_only
- **Ablauf und Widerruf systemübergreifend synchronisieren**: delivery_created OR access_revoked OR viewer_deletion_requested -> sync_expiry_revocation_and_viewer_deletion

## Guardrails
- [ ] Auto-Approval erst nach Domain-Claim aktivieren: blocked_until_verified
- [ ] CRM- und Contract-Scopes nur lesend und minimal halten: required
- [ ] Keine E-Mail-Adressen, Vertragsfelder oder CRM-Secrets exportieren: enforced_in_public_blueprint
- [ ] Manual Override, Deny, Revoke und Viewer Deletion immer ermöglichen: required
- [ ] Jede Entscheidung mit Regel-ID, Signal-Hash und Approver protokollieren: required