Mistral – der Wind weht vom Westen

Beim Wort „Mistral“ werden die meisten wohl zunächst an den böigen Wind des Mittelmeerraums denken. Ebenfalls aus Frankreich stammend und derzeit für einigen Wirbel sorgend ist das gleichnamige KI-Unternehmen Mistral AI, das mit seinem Chatbot „Le Chat“ als der europäische Shooting-Star und Hoffnungsträger der KI-Szene gehandelt wird.

Nicht nur kann sich der Chatbot mit Blick auf Qualität und Schnelligkeit des genierten Outputs mit den Angeboten der großen US-Unternehmen (ChatGPT, Claude, Gemini etc.) messen. Der Unternehmensstandort in Europa hat zudem zur Konsequenz, dass Mistral AI bei der Entwicklung von Le Chat an die strengen Vorgaben der Datenschutzgrundverordnung (DSGVO) gebunden ist, was zumindest auf den ersten Blick eine gewisse Datenschutzkonformität des Tools nahelegt. Denn gerade um diese ist es bei den Anbietern aus Übersee oft schlecht bestellt. Von intransparenten Weiterverarbeitungen der „geprompteten“ (Prompt = Eingabe/Input des Users) Daten zu eigenen Zwecken bis zu fehlenden Auftragsverarbeitungsverträgen – bei so manchem der KI-Anbieter liegt datenschutzrechtlich so einiges im Argen. So warnte etwa das BSI vor der Nutzung des chinesischen KI-Chatbots „DeepSeek“, das vor allem wegen der umfassenden Speicherung von Nutzerdaten scharfer Kritik ausgesetzt ist.

Doch wie ist es um den Datenschutz bei „Le Chat“ tatsächlich bestellt?

Handelt es sich hier um einen Geheimtipp und Unternehmen können das Tool datenschutz-bedenkenlos nutzen?

1. Standort Europa

Für einen Vertrauensvorschuss sorgt zunächst der Umstand, dass Mistral AI seinen Sitz in Paris (Frankreich) hat und damit an die im internationalen Vergleich eher strengen Voraussetzungen der DSGVO gebunden ist.

Es ist also davon auszugehen, dass bei sämtlichen Zyklen der Entwicklung des KI-Modells bzw. KI-Systems, beginnend bei der Erhebung der Datensätze bis hin zum Training der Modelle die Grundätze der Datenschutzgrundverordnung nicht außer Acht gelassen wurden.

2. Datentransfer in die USA

Hieraus den Rückschluss zu ziehen, dass die bei der Nutzung von „Le Chat“ verarbeiteten Daten in Europa bleiben, wäre jedoch falsch. Ein Blick in die Privacy Policy (abrufbar unter https://mistral.ai/terms#privacy-policy) und die dort aufgeführten Subunternehmer zeigt, dass zahlreiche Tools von US-Anbietern eingesetzt werden.

Speicherort der Daten ist dann in den meisten Fällen die USA. Hierzu gibt Mistral AI an, dass es sich nicht allein auf das Vorliegen des für die USA geltenden Angemessenheitsbeschlusses verlässt, sondern in allen Verträgen zusätzlich die EU-Standardvertragsklauseln verwendet werden. Dieser Umstand ist positiv hervorzuheben, da der Abschluss der Standardvertragsklauseln, insbesondere in Hinblick auf das in den Klauseln 14 und 15 festgehaltene Erfordernis der TIA-Durchführung (sog. Transfer Impact Assessment, eine Risikobewertung im Rahmen von Datenübermittlung in bestimmte Länder außerhalb der EU bzw. des EWR), in der Regel für ein „Mehr“ an Datenschutz sorgt.

3. Transparente Datenschutzdokumentation

Insgesamt werfen Machart und Umfang der Privacy Policy ein positives Licht auf die Einstellung des Unternehmens zum Thema Datenschutz.  Transparent, gut strukturiert und in einer auch für Laien verständlichen Sprache werden die Rechtsgrundlagen und Zwecke der Verarbeitung in den einzelnen Entwicklungs- bzw. Verarbeitungsstadien aufgeschlüsselt und sämtliche relevanten Hintergrundinformationen bereitgestellt.

Gleich zu Beginn adressiert Mistral AI die nicht unproblematische Thematik des Erhebens und Kuratierens von Trainingsdaten. KI-Modelle müssen mit einer enormen Menge an Daten trainiert werden, um ihre Parameter anpassen und qualitativ hochwertigen Output liefern zu können. Je besser kuratiert die Daten sind, desto besser ist in der Regel das Endergebnis. Der einfachste Weg, an diese Vielzahl an erforderlichen Daten zu gelangen, ist die Nutzung von im Internet öffentlich verfügbaren Daten. Neben urheberrechtlichen Problematiken können sich hier jedoch auch datenschutzrechtliche Fragestellungen auftun.

Mistral AI gibt als Quelle für die Trainingsdaten an, im Internet abrufbare Daten zu nutzen („data publicly available on the Internet”) und weist in dem Zuge darauf hin, dass potenziell auch personenbezogene Daten Teil dieser Datensätze sein können.  Durch den Einsatz bewährter Verfahren zur (Aus)Selektierung solcher personenbezogenen Daten („we use good practices to filter out such personal data“) werden dem jedoch gezielt entgegengewirkt. Auch wenn es mit Blick auf den Transparenzgrundsatz wünschenswert wäre zu erfahren, was genau sich hinter diesen „good practices“ verbirgt, sind diese Angaben doch mehr, als von vielen anderen Anbietern gemacht werden.

Ebenfalls adressiert wird das Thema der (Weiter-)Verwendung des User-Inputs zu Trainingszwecken. Mit Blick auf das weiter oben bereits erwähnte Interesse an Trainingsdaten ist diese (Weiter-)Nutzung der User-Eingaben („Prompts“) und der von der KI generierten Antworten für Anbieter von KI-Tools sehr interessant. Auch bei der Nutzung von „Le Chat“ werden in der kostenfreien Version die Inputs, Outputs und das Feedback des Nutzers für das Training der KI verwendet. Laut eigenen Angaben bemüht sich Mistral AI dabei jedoch im Rahmen dessen, was „wirtschaftlich sinnvoll“ ist, diese Daten vorher zu anonymisieren. Wem das zu schwammig ist, der hat die Möglichkeit mittels der Bezahlversion „Le Chat Pro“ der Verarbeitung seiner Daten zu widersprechen (Opt-Out), sodass der eigene Content nicht mehr zu Trainingszwecken verwendet wird.

Schön zu lesen, sind auch die sehr transparenten Angaben zur Speicherdauer. Wo sich andere mit floskelartigen Formulierungen („Wir speichern ihre Daten bis zum Wegfall des bei der Erhebung verfolgten Zwecks“) zufriedengeben, differenziert Mistral AI zwischen den unterschiedlichen Datenkategorien und macht relativ genaue Angaben zu den jeweiligen Löschvorgaben.

4. Die Rolle des Auftragsverarbeiters

Positiv fällt zudem auf, dass Mistral AI gleich zu Beginn klarstellt, dass es beim Einsatz im beruflichen Kontext als Auftragsverarbeiter auftritt und hierfür ein Auftragsverarbeitungsvertrag angeboten wird. Was zunächst selbstverständlich erscheinen mag, ist in der KI-Realität nicht unbedingt Gang und gäbe. Insbesondere Open AI tat sich gerade zu Beginn schwer mit dieser Rollenverteilung. Zwar wurde in den AGB eingeräumt, potenziell als Auftragsverarbeiter qualifiziert werden zu können, gleichzeitig wurde jedoch keine entsprechende vertragliche Regelung bereitgestellt und angesichts der umfangreich stattfindenden Datenverarbeitung zu eigenen Zwecken der Rolle des Auftragsverarbeiters auch nicht entsprochen.  

5. Und was sagt „Le Chat“?

Und was sagt Le Chat selbst zum eigenen Datenschutz? Auf die Eingabe „Bitte bewerte das bei der Nutzung von Le Chat gegebene Niveau des Datenschutzes unter Berücksichtigung der Angaben aus der Privacy Policy von Mistral AI“ antwortet die KI wie folgt:

Das Niveau des Datenschutzes bei der Nutzung von Le Chat, basierend auf den Angaben aus der Privacy Policy von Mistral AI, lässt sich wie folgt bewerten:

1. Einhaltung der DSGVO: Mistral AI betont, dass Le Chat den europäischen Datenschutzstandards, insbesondere der Datenschutz-Grundverordnung (DSGVO), entspricht. Dies bedeutet, dass die Verarbeitung personenbezogener Daten strengen Regeln unterliegt und Nutzer bestimmte Rechte haben, wie das Recht auf Widerspruch gegen die Datenverarbeitung.
2. Datenverarbeitung und Opt-Out-Optionen: Nutzer der kostenlosen Version von Le Chat können der Verarbeitung ihrer Daten widersprechen, indem sie Mistral AI per E-Mail kontaktieren oder eine Anfrage über das Hilfezentrum stellen. Premium-Nutzer haben die Möglichkeit, sich jederzeit über ein Feature in ihrem Konto von der Modelltrainingsdatenverarbeitung abzumelden.
3. Datenstandort und Sicherheit: Mistral AI nutzt Infrastrukturen in Irland und den USA für die Datenverarbeitung. Die Daten werden sowohl im Transit als auch im Ruhezustand verschlüsselt, um die Sicherheit zu gewährleisten.
4. Privatsphäre und Datenschutzmaßnahmen: Le Chat bietet vollständig private Optionen an und stellt sicher, dass die Datenspeicherung den Unternehmensdatenschutzstandards entspricht. Dies umfasst auch Maßnahmen zur Datensicherheit und zum Schutz der Privatsphäre.
5. Keine Weitergabe von Nutzerdaten: Der Entwickler von Le Chat gibt an, dass die App keine Nutzerdaten mit anderen Unternehmen oder Organisationen teilt. Dies unterstreicht das Engagement von Mistral AI für den Datenschutz.

Zusammenfassend lässt sich sagen, dass Le Chat ein hohes Niveau an Datenschutz bietet und den strengen europäischen Standards entspricht. Nutzer haben Kontrolle über ihre Daten und können der Verarbeitung widersprechen. Die Daten werden sicher verschlüsselt und nicht an Dritte weitergegeben.“

6. Fazit zur Nutzung von „Le Chat"

Alles in Allem scheint es sich bei „Le Chat“ damit um eines der aus datenschutzrechtlicher Sicht vertretbarsten Tools zu handeln, das insbesondere im Vergleich zu seinen internationalen Konkurrenten mit Transparenz und weitgehender DSGVO-Compliance zu punkten weiß.

Sie haben Fragen oder benötigen eine Beratung?

Dann sprechen Sie uns gerne an!