Inhaltsverzeichnis
Das neue AI-Model von Google, Gemini 2.5 Pro Experimental, spielt in vielen Benchmarks ganz vorne mit. Aber wie steht es um den Datenschutz? Erst am 3. April hat Google die "Gemini API Terms" überarbeitet.
Wie auch schon OpenAI und Microsoft Azure AI, nehme ich nun Googles Bestimmungen unter die Lupe.
In der EU müssen wir besonders aufpassen, wie wir KI integrieren. Meine Checkliste zu AI & Datenschutz sollte dir dabei helfen, den Überblick zu behalten.
Datenschutz auf Google-Niveau
Wie so oft, verfolgt Google einen recht eigenen Ansatz hinsichtlich Datenschutz und Datenverarbeitung.
Ein Blick auf die Datenschutzbestimmungen (25.4.2025) der Gemini API verrät, wie Google mit den Nutzerdaten umgeht:
- Datenspeicherung: Google speichert API-Eingaben und -Ausgaben temporär, offiziell primär zur Missbrauchserkennung und zur Verbesserung der Dienstqualität. Standardmäßig werden die Daten nach 30 Tagen gelöscht, ähnlich wie bei OpenAI und Microsoft.
- Datenzugriff: Der Zugriff ist klar geregelt. Google-Mitarbeiter können auf die Daten zugreifen, sofern dies zur Wartung, Fehlerbehebung oder Missbrauchsprävention notwendig ist. Anders als bei OpenAI gibt es keine Erwähnung von Drittanbietern, was aus Datenschutzsicht positiv ist.
- Standort der Datenverarbeitung: Google bietet bisher keine Garantie, dass die Daten ausschließlich innerhalb der EU verarbeitet werden. Stattdessen können Daten global verarbeitet werden, was DSGVO-konforme Nutzung erschwert.
- Datennutzung für AI-Training: Google nutzt API-Daten zur Verbesserung der Modelle, wenn man die Gemini API im Rahmen eines kostenlosen („unpaid“) Angebots nutzt. Sobald jedoch ein Google Billing Account verknüpft ist (also im "paid usage"-Modell), werden die Daten laut Google nicht für Trainingszwecke verwendet.
- Missbrauchskontrolle: Die Missbrauchserkennung erfolgt weitgehend automatisiert. Falls eine menschliche Prüfung notwendig ist, erfolgt dies anscheinend durch Google-Mitarbeiter, deren Standort jedoch nicht explizit auf die EU begrenzt ist.
Besonderheit für EU-Nutzer
Was ich aber besonders amüsant finde: Google schreibt ganz offiziell in den Bedingungen:
"If you're in the European Economic Area, Switzerland, or the United Kingdom, the terms under 'How Google uses Your Data' in 'Paid Services' apply to all Services, including Google AI Studio and unpaid quota in the Gemini API, even though they are offered free of charge."
Sprich: Auch wenn man die Gemini API kostenlos nutzt – sobald man in der EU ist, gelten automatisch die Regeln für "Paid Services". Das bedeutet wiederum: keine Trainingsnutzung der Daten, auch bei "unpaid" Zugriffen – sofern man aus dem EWR kommt. Praktisch gesehen existiert das "unpaid" Modell für EU-Nutzer also gar nicht – zumindest nicht datenschutztechnisch gesehen.
Unterhaltsam finde ich auch, dass Google allen Nutzer:innen der Gemini API explizit verbietet, die Gratis-Variante zu nutzen, wenn die Endkonsumenten im EWR, der Schweiz oder dem Vereinigten Königreich sitzen:
"You may use only Paid Services when making API Clients available to users in the European Economic Area, Switzerland, or the United Kingdom."
Für Anbieter, die ihre Dienste im europäischen Raum anbieten möchten, entfällt somit faktisch die Möglichkeit einer kostenlosen Nutzung der Gemini API.
Achtung bei Grounding-Features
Wer das neue "Grounding"-Feature von Gemini nutzt – etwa für RAG mit Google-Suche oder eigenen Datenquellen – sollte folgendes beachten:
Alle Daten, die im Zuge der Grounding-Nutzung gesendet oder verarbeitet werden, können laut Google bis zu 30 Tage gespeichert werden.
Das gilt unabhängig davon, ob man einen bezahlten Account nutzt oder nicht. Wer also besonders sensible Daten einbindet, sollte hier mit Bedacht vorgehen.
Zusammenfassung: Google Gemini 2.5 Pro vs. Azure OpenAI & OpenAI
| Kriterium | Google Gemini 2.5 Pro | Azure OpenAI | OpenAI API |
|---|---|---|---|
| Datenspeicherung | „Begrenzter Zeitraum“ | 30 Tage | 30 Tage |
| Datenzugriff | Nur Google-Mitarbeiter | Microsoft-Mitarbeiter (EU) | OpenAI-Mitarbeiter & Drittanbieter |
| Datenweitergabe | Nein | Nein | Ja |
| Datenverarbeitung | Global | Innerhalb der EU möglich | USA/EU |
| Training der KI-Modelle | Nein, wenn bezahlt | Nein | Nein (seit 2023, API-only) |
| Missbrauchserkennung | Nicht angegeben | Primär automatisiert (EU) | Manuell & Drittanbieter |
Fazit: Google punktet bei Zugriffskontrolle, aber hat Nachholbedarf bei EU-Datenhaltung
Die neuen Google Gemini Terms of Service überzeugen besonders in einem wichtigen Punkt: Die Zugriffsrechte sind klar und beschränken sich auf Google-Mitarbeiter. Drittanbieter haben laut aktuellem Stand keinen Zugriff. Das ist ein deutlicher Vorteil gegenüber OpenAI.
Allerdings hat Google in puncto EU-konforme Datenhaltung Nachholbedarf. Microsoft Azure punktet hier durch die Möglichkeit, Daten ausschließlich innerhalb der EU zu verarbeiten – ein entscheidender Faktor für Unternehmen mit strengen Compliance-Anforderungen.
Trotzdem: Google Gemini 2.5 Pro bleibt aufgrund seiner Leistungsfähigkeit und transparenten Zugriffsregelungen eine attraktive Option. Unternehmen sollten jedoch sorgfältig prüfen, ob die globale Datenverarbeitung mit ihren Datenschutzanforderungen vereinbar ist.
Wo könnte AI in deinem Unternehmen echten Mehrwert schaffen? Egal ob Prozessautomatisierung oder Analyse – lass uns gemeinsam herausfinden, wie du z.B. Gemini sinnvoll in deinen Workflow integrieren kannst!