ChatGPT-Alternativen für deutsche Firmen — was ist DSGVO-tauglich?

Das Problem in einem Satz

Du willst LLMs produktiv einsetzen, hast aber eine Rechtsabteilung, einen Datenschutzbeauftragten und vielleicht einen Compliance-Manager. Alle drei fragen dich seit Monaten das Gleiche: "Ist das DSGVO-konform?"

Bei OpenAI über die Standard-API ist die kurze Antwort: "Mit Auftragsverarbeitungsvertrag und EU-US Data Privacy Framework... Grauzone."

Die lange Antwort ist dieser Artikel — mit fünf realistischen Alternativen.

Die fünf Kandidaten im Überblick

Ich habe jeweils fünf identische Aufgaben abgearbeitet. Textzusammenfassung, Code-Review auf Deutsch, strukturierte Dokumentenextraktion, Übersetzung Englisch-Deutsch und ein Reasoning-Task. Notizen zu Qualität und Eindruck am Ende.

1. Mistral AI — Frankreich

Herkunft: EU-Unternehmen in Paris. Modelle: Mistral Large 3, Mixtral 8x22B, Codestral. Hosting: EU-Rechenzentren verfügbar (Frankreich, Deutschland-Frankfurt). DSGVO-Status: Grün. EU-Unternehmen, EU-Hosting, deutscher Auftragsverarbeitungsvertrag ist Standard. Qualität: Large 3 liegt in meinen Tests etwa auf GPT-4o-Niveau. Für Deutsch bemerkenswert gut — natürlichere Satzstruktur als viele Konkurrenten.

Für wen: Standard-Empfehlung für den deutschen Mittelstand. "Einfach sauberes Setup ohne rechtliches Gefrickel."

2. Aleph Alpha — Heidelberg

Herkunft: Deutschland. Modelle: Pharia-1, Luminous-Serie. Hosting: Deutsche Rechenzentren. DSGVO-Status: Grün plus Bundes-Datenschutz. Qualität: Bei deutschem Fachvokabular (Jura, Medizin) bemerkenswert. Bei allgemeinen Benchmarks hinter Mistral und OpenAI — Mistral ist spürbar flüssiger im Schreiben.

Für wen: Öffentlicher Sektor, Gesundheitswesen, Behörden, Kritis-Branchen. Überall wo nicht nur DSGVO-Compliance, sondern auch deutscher Standort politisch wichtig ist.

3. Anthropic Claude via AWS Bedrock EU — USA mit Frankfurt-Hosting

Herkunft: Anthropic ist USA. Modelle: Claude Opus 4.7, Sonnet 4.6, Haiku 4.5. Hosting: Via AWS Bedrock in eu-central-1 (Frankfurt). DSGVO-Status: Gelb bis grün. Bei Bedrock-Deployment mit AV-Vertrag gut handhabbar. Direkte Anthropic-API ist strenger zu argumentieren. Qualität: Claude Opus ist für komplexe Reasoning-Aufgaben mein Top-Pick. Für Coding und strukturierte Dokumentenanalyse ist es nach meiner Erfahrung das beste Modell am Markt.

Für wen: Tech-Unternehmen, Coding-Teams, komplexe Dokumentenanalyse. Wer seine Rechtsabteilung durch einen Bedrock-Contract kriegen kann, bekommt Top-Qualität in handhabbarer DSGVO-Form.

4. Azure OpenAI — USA mit Frankfurt-Hosting

Herkunft: Microsoft, USA. Modelle: GPT-4o, GPT-4.1, o3-mini, GPT-5 (Preview Stand Frühjahr 2026). Hosting: Azure Region West Europe oder Germany West Central. DSGVO-Status: Gelb. Mit deutschem AV und ordentlicher Konfiguration machbar, aber vertraglich aufwendiger als Mistral. Qualität: Top-Niveau. GPT-5 und o3 können Reasoning-intensive Aufgaben die andere Modelle noch nicht schaffen.

Für wen: Firmen die schon im Microsoft-Stack drin sind. Wer Azure hat, kriegt das am einfachsten integriert.

5. Lokale LLMs — Open Source

Modelle: Llama 4 Scout, Qwen 3, Mistral-Small (Open Weights). Hosting: Deine eigene Hardware. DSGVO-Status: Dunkelgrün. Daten verlassen das Haus nie. Qualität: Stand 2026: gut genug für etwa 80 Prozent der typischen Unternehmens-Use-Cases. Für komplexe Reasoning-Aufgaben weiter hinter Frontier-Modellen.

Für wen: Alle die maximale Kontrolle wollen. Kritis-Branchen, Finanzsektor, Verteidigung. Auch für Firmen die aus Überzeugung keine US-Abhängigkeit wollen.

Die Empfehlungs-Matrix

| Anwendungsfall | Empfehlung | |---|---| | Customer-Support-Bot auf Deutsch | Mistral Large 3 oder lokales Llama 4 Scout | | Dokumenten-Extraktion, hohe Präzision | Claude Sonnet via AWS Bedrock | | Code-Assistent für internes Dev-Team | Claude Sonnet oder lokales Qwen 3 Coder | | Öffentliche Behörde, Gesundheitssektor | Aleph Alpha oder lokal | | Reasoning-intensive Aufgaben | Claude Opus via Bedrock oder Azure GPT-5 | | Mass-Processing, günstig | Mistral Small oder lokales Qwen Haiku-Äquivalent |

Was Rechtsabteilungen tatsächlich prüfen

Du kommst mit einer dieser fünf Optionen an den DPO, und er fragt dich. Drei Punkte die du vorbereitet haben musst.

Erstens: Wo liegen die Daten während der Verarbeitung? Nicht nur wo der Provider sitzt — sondern wo konkret die Inferenz läuft. Für Mistral Cloud beispielsweise kann das je nach Endpoint unterschiedlich sein.

Zweitens: Werden Daten für Training verwendet? Das musst du explizit in den Commercial-Terms ausschließen lassen. Alle großen Anbieter bieten das inzwischen an, aber nicht immer ist das der Default.

Drittens: Was passiert bei einem Datenleak beim Anbieter? Haftung, Meldekette, Frist nach Art. 33 DSGVO. Das ist die Frage nach der Unbestimmtheit. Ein guter AV-Vertrag regelt das in klaren Zahlen.

Die unbequeme Realität: Shadow-IT

Niemand spricht offen darüber, aber es ist überall Thema. Mitarbeiter die privat ChatGPT Plus zahlen und dort mit Kundendaten arbeiten, weil es schneller geht als der Firmen-Prozess. Das ist ein DSGVO-Vorfall der wartet bis er passiert.

Drei realistische Ansätze.

Der Proxy-Block auf der Firewall funktioniert technisch, frustriert aber die Mitarbeiter und führt oft nur dazu dass sie mobilen Datenverkehr nutzen. Schwierig durchzusetzen.

Die Legitimierung — Firmen-Claude oder Firmen-Mistral bereitstellen, klare Policy schreiben, Verbot für Private-Copy-Paste mit sensiblen Daten — ist was ich empfehle. Du gibst den Leuten das Werkzeug das sie brauchen, in einer sauberen Form.

Die dritte Option — ignorieren und hoffen — ist keine Option. Das endet schlecht.

Weiterlesen

Für technische Setups mit lokalen Modellen siehe Lokale LLMs 2026. Für konkrete Prompt-Injection-Defense in deinen neuen LLM-Apps siehe Prompt-Injection-Defense.

Fragen zu DSGVO-Setups bei dir? Zone "Business & Automation" im Discord. Konkret werden, dann sind die Antworten brauchbar.