Wissen

Datenverarbeitung bei Mistral AI: Ein detaillierter Überblick

11. Dezember 2025
10:50
von Marvin Gebicke

Mistral AI gilt als europäische Alternative zu US-amerikanischen KI-Diensten – doch wie transparent sind die Datenschutzpraktiken wirklich? Dieser Beitrag gibt dir einen detaillierten Überblick über Datenerhebung, Speicherfristen und Kontrollmöglichkeiten beim französischen KI-Anbieter. Inklusive Einordnung durch die Incogni-Studie, die Mistral AI 2025 auf Platz 1 im Datenschutz-Ranking setzt.

Large Language Models sind aus dem Unternehmensalltag nicht mehr wegzudenken. Doch bei der Auswahl des richtigen Anbieters steht eine zentrale Frage im Raum: Wie werden meine Daten verarbeitet?

Mit Mistral AI schauen wir uns einen EU-basierten KI-Anbieter an, der als europäische Alternative zu US-amerikanischen Diensten gilt. Was unterscheidet einen französischen Anbieter in puncto Datenschutz von den bekannten US-Modellen? Wie transparent sind die Datenschutzpraktiken? Und welche Kontrollmöglichkeiten hast du als Nutzer?

Dieser Beitrag gibt dir einen faktenbasierten Überblick über die Datenverarbeitung bei Mistral AI. Alle Informationen basieren auf öffentlich zugänglichen Quellen und der offiziellen Dokumentation des Unternehmens.

Wichtiger Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar und ersetzt nicht die Konsultation eines Datenschutzexperten. Er dient ausschließlich der sachlichen Information.

Wer ist verantwortlich? Der rechtliche Rahmen

Mistral AI mit Sitz in Paris agiert als Verantwortlicher (Controller) im Sinne der DSGVO. Das bedeutet: Das Unternehmen unterliegt vollständig dem europäischen Datenschutzrecht und den damit verbundenen strengen Anforderungen. Diese rechtliche Einordnung ist in der Privacy Policy im Abschnitt „Data Controller“ klar dokumentiert.

Anders als bei US-amerikanischen Anbietern, die zusätzlich anderen gesetzlichen Zugriffsbefugnissen unterliegen können, bewegt sich Mistral AI ausschließlich im EU-Rechtsrahmen. Darauf gehen wir später noch genauer ein.

Welche Daten werden erhoben und warum?

Daten, die du aktiv bereitstellst

Wenn du Mistral AI nutzt, gibst du verschiedene Daten bewusst weiter. Dazu gehören:

Identitäts- und Kontaktdaten wie Name und E-Mail-Adresse
Kontodaten für die Account-Verwaltung
Vertrags- und Abrechnungsdaten für die geschäftliche Abwicklung
Input-Daten – also deine Prompts, API-Anfragen oder Daten für Fine-Tuning
Feedback-Daten wie Bewertungen (Thumbs up/down) inklusive der zugehörigen Ein- und Ausgaben

Diese Daten dienen konkreten Zwecken: Konto- und Vertragsverwaltung, Bereitstellung der KI-Dienste, Support und Kommunikation sowie Sicherheit und Missbrauchserkennung. All diese Punkte sind in der Privacy Policy in den Abschnitten 2 und 3 detailliert aufgeführt.

Automatisch entstehende Daten

Neben den Daten, die du aktiv eingibst, entstehen bei der Nutzung automatisch weitere Informationen:

Technische Daten wie IP-Adressen und Logs
Nutzungsdaten über die Interaktion mit dem System
Cookie-Daten
Output-Daten – die von der KI generierten Antworten

Diese Daten werden für den technischen Betrieb, die Systemsicherheit, Fehleranalyse und aggregierte Produktverbesserungen verwendet. Auch hier findest du die genauen Angaben in Punkt 2 der Privacy Policy.

Der Umgang mit Input und Output: Was passiert mit deinen Anfragen?

Eine der wichtigsten Fragen bei KI-Diensten: Wie lange werden meine Eingaben und die Antworten der KI gespeichert?

Bei Mistral AI gilt folgende Regelung: Input und Output werden verarbeitet, um Antworten zu generieren. Nach der Generierung werden sie standardmäßig für 30 Tage auf Rolling-Basis gespeichert, ausschließlich zur Missbrauchsüberwachung. Der Zweck ist klar definiert: Missbrauchs- und Betrugserkennung, Durchsetzung der Nutzungsbedingungen und Systemsicherheit.

Wörtlich heißt es in der Privacy Policy (Punkt 5): „We keep your Input and Output for the period necessary to generate the Output and then for thirty (30) rolling days to monitor abuse.“

Verlängerte Speicherung: nur in Ausnahmefällen

Eine Speicherung über diese 30 Tage hinaus erfolgt nur zur Erfüllung gesetzlicher Pflichten oder bei Rechtsstreitigkeiten. Wichtig dabei: Es gibt in diesen Fällen keinen operativen Zugriff durch Mitarbeitende. Die Daten werden nach Ablauf der gesetzlichen Fristen gelöscht.

Produktbezogene Unterschiede: Le Chat, API und OCR

Nicht alle Produkte von Mistral AI verarbeiten Daten auf die gleiche Weise. Je nach Dienst gibt es wichtige Unterschiede:

Le Chat

Le Chat ist die ChatGPT-ähnliche Benutzeroberfläche von Mistral AI. Hier ist eine Speicherung technisch erforderlich, etwa für den Chat-Verlauf. Die Option „Zero Data Retention“ (dazu gleich mehr) ist bei Le Chat nicht verfügbar. Training erfolgt nur gemäß den Vorgaben der Privacy Policy.

Die Memory-Funktion: Personalisierung mit Kontrolle

Mistral AI bietet in Le Chat eine Memory-Funktion, die bestimmte Inhalte speichert, um deine Interaktionen zu personalisieren. Das kann praktisch sein, wirft aber auch Datenschutzfragen auf.

Die gute Nachricht: Du kannst Memory jederzeit deaktivieren. Wenn du das tust, verhindert das die langfristige Speicherung dieser personalisierten Inhalte. Mehr Informationen dazu findest du im Help Center-Artikel zur Memory-Funktion.

Mistral AI Studio (API / La Plateforme)

Wenn du die API nutzt, sieht die Situation anders aus. Standardmäßig werden API-Daten nicht für Modelltraining verwendet. Du kannst das Training zusätzlich deaktivieren und hast Zugriff auf die Option „Zero Data Retention“, allerdings nur unter bestimmten Bedingungen:

Du benötigst ein Scale-Abonnement
Ein Mindestabrechnungsniveau von 2.000 € muss erreicht sein
Die Aktivierung erfolgt direkt im Studio

Mit Zero Data Retention werden deine Input- und Output-Daten nach der Generierung nicht mehr gespeichert – auch nicht zur Missbrauchsüberwachung. Details findest du im Help Center-Artikel zum Training Opt-out.

Mistral OCR

Bei Mistral OCR ist Zero Data Retention standardmäßig aktiv. Deine Daten werden hier gar nicht gespeichert. Die konkreten Rahmenbedingungen der Zero Data Retention sind in der dazugehörigen Help-Center-Dokumentation von Mistral AI beschrieben.

Wer hat Zugriff auf deine Daten?

Laut Support-Aussagen und offizieller Dokumentation ist der Zugriff auf deine Daten streng beschränkt. Zugriff haben ausschließlich:

Automatisierte Systeme zur Missbrauchsüberwachung (sofern Zero Data Retention nicht aktiv ist)
Personen und Systeme zur Erfüllung gesetzlicher Verpflichtungen

Entscheidend: Kein Modelltraining findet statt, sofern nicht ausdrücklich vereinbart. Diese Informationen stammen aus offiziellen Support-Aussagen sowie dem Data Processing Addendum (DPA).

Weitergabe und Subprozessoren

Mistral AI gibt Daten nur weiter, wenn es erforderlich ist. Empfänger können sein:

Autorisierte Mitarbeitende
Zahlungsdienstleister
Aufsichtsbehörden
Gerichte und Anwälte
Technische Dienstleister (Subprozessoren)

Wichtig dabei: Alle Subprozessoren sind vertraglich gebunden, und Mistral AI bleibt verantwortlich für die Einhaltung der Datenschutzstandards. Die Details findest du in der Privacy Policy (Punkt 6) und im DPA (Punkt 7).

Drittlandsübermittlung: Bevorzugung von EU-Dienstleistern

Mistral AI bevorzugt nach eigenen Angaben EU-Dienstleister. Wenn Daten dennoch in Drittländer übermittelt werden, geschieht das ausschließlich mit EU-Standardvertragsklauseln gemäß Art. 46 DSGVO.

Diese Standardvertragsklauseln sind ein von der EU-Kommission genehmigtes Instrument, das ein angemessenes Datenschutzniveau auch außerhalb der EU sicherstellen soll. Die rechtliche Grundlage findest du in der Privacy Policy (Punkt 7), im DPA und im entsprechenden EU-Durchführungsbeschluss.

Vergleich mit US-Anbietern: Unterschiedliche Rechtsrahmen

Ein sachlicher Vergleich zeigt: EU-Anbieter wie Mistral AI unterliegen vollständig der DSGVO. US-Anbieter hingegen unterliegen zusätzlich anderen gesetzlichen Zugriffsbefugnissen – beispielsweise dem CLOUD Act oder FISA 702.

Das bedeutet nicht automatisch, dass US-Anbieter unsicherer sind. Es bedeutet aber, dass unterschiedliche regulatorische Ausgangslagen existieren. Für Unternehmen, die besonders sensible Daten verarbeiten oder strengen Compliance-Anforderungen unterliegen, kann dieser Unterschied relevant sein.

Diese Einordnung ist rein deskriptiv und stellt keine Bewertung dar. Jedes Unternehmen muss basierend auf seiner individuellen Risikobewertung und seinen Anforderungen entscheiden, welcher Anbieter am besten passt.

Externe Einordnung: Incogni-Studie platziert Mistral AI auf Platz 1

Eine unabhängige Perspektive bietet die Studie „Gen AI and LLM Data Privacy Ranking 2025″ des Datenschutz-Unternehmens Incogni. In diesem Vergleich verschiedener KI-Anbieter erreichte Mistral AI Platz 1 im Datenschutz-Ranking.

Die Bewertungskriterien im Überblick

Incogni hat neun führende KI-Plattformen anhand von 11 Kriterien untersucht, die in drei Hauptkategorien gruppiert wurden. Die Kategorien wurden unterschiedlich gewichtet, um ihre Relevanz für den Datenschutz abzubilden:

Kategorie	Gewichtung	Bewertete Aspekte
Datennutzung & Weitergabe	50%	– Werden Prompts für Modelltraining verwendet? – Gibt es Opt-out-Möglichkeiten? – Werden Daten mit Dritten geteilt? – Welche Datenquellen werden genutzt?
Transparenz	30%	– Wie klar sind die Datenschutzerklärungen? – Ist die Dokumentation leicht auffindbar? – Werden FAQ und Support-Ressourcen angeboten? – Lesbarkeit der Privacy Policy
Trainingsdaten	20%	– Herkunft und Art der Trainingsdaten – Umgang mit personenbezogenen Daten im Training – Transparenz über Datenquellen

Die Studie untersuchte unter anderem: Le Chat (Mistral AI), ChatGPT (OpenAI), Gemini (Google), Copilot (Microsoft), Meta AI, Grok (xAI), Claude (Anthropic), DeepSeek und Pi AI.

Die wichtigsten Ergebnisse

Top 3 – Am wenigsten invasiv:

Le Chat (Mistral AI) – Minimale Datensammlung, gute Opt-out-Optionen
ChatGPT (OpenAI) – Klarste Datenschutzerklärung, gute Transparenz
Grok (xAI) – Solide Transparenz bei Datenschutzpraktiken

Bottom 3 – Am invasivsten:

Meta AI – Umfangreiche Datensammlung, keine klaren Opt-out-Optionen
Gemini (Google) – Intransparent bei Trainingsdaten
Copilot (Microsoft) – Wenig proaktive Information über Datennutzung

Was bei Mistral AI besonders positiv bewertet wurde

Mistral AI punktete vor allem in folgenden Bereichen:

Begrenzte Datensammlung: Im Vergleich zu anderen Anbietern werden deutlich weniger Daten erhoben
DSGVO-Ausrichtung: Konsequente Einhaltung europäischer Datenschutzstandards
Opt-out-Möglichkeiten: Zero Data Retention für API-Nutzer verfügbar
Kurze Speicherfristen: 30 Tage Rolling-Speicherung zur Missbrauchsüberwachung
Mobile Apps: Le Chat sammelt auf iOS und Android weniger Daten als Konkurrenten

Interessant: Während Mistral AI bei der Transparenz einige Punkte verlor (die Dokumentation könnte klarer sein), machte das Unternehmen dies durch exzellente Werte in den datenschutzrelevanten Kategorien mehr als wett.

Die vollständige Studie findest du im Incogni-Blog. Auch wenn solche Rankings immer mit Vorsicht zu genießen sind und die Bewertungskriterien transparent geprüft werden sollten, liefern sie doch einen wertvollen Außenblick auf die Datenschutzpraktiken verschiedener Anbieter.

Fazit: Transparenz als Grundlage für informierte Entscheidungen

Mistral AI bietet durch seine DSGVO-Compliance und die verschiedenen Opt-out-Optionen ein relativ hohes Maß an Datenschutz. Besonders die Zero-Data-Retention-Option für API-Nutzer und die kurzen Speicherfristen sind aus Datenschutzsicht positiv hervorzuheben.

Dennoch gilt: Jedes Unternehmen muss basierend auf seinen individuellen Anforderungen, der Art der verarbeiteten Daten und den geltenden Compliance-Vorgaben selbst bewerten, welcher KI-Anbieter am besten passt. Dieser Beitrag soll dir die nötigen Fakten an die Hand geben, um diese Entscheidung informiert treffen zu können.

Wenn du spezifische Fragen zur Datenverarbeitung bei Mistral AI hast oder eine individuelle Datenschutz-Folgenabschätzung durchführen möchtest, solltest du einen spezialisierten Datenschutzexperten oder Rechtsanwalt konsultieren.

Quellen:

Marvin Gebicke

Marvin Gebicke ist Gründer von procid. Nach mehreren Jahren in der Software- und Datenschutzbranche kennt er die Herausforderungen, die entstehen, wenn Abläufe wachsen, aber die Zeit für Prozessoptimierung fehlt. Heute begleitet er kleine und mittelständische Unternehmen dabei, ihre Arbeit einfacher, effizienter und zeitgemäßer zu gestalten.

Klarheit schafft Zeit. Zeit schafft Fortschritt.

Beginnen wir dort, wo es sich wirklich lohnt.

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy