AI-Dashboard — kuratierte KI-Bewertungen

Generative Text & Wissensarbeit

Google Gemini (Google AI Pro)

Google Ireland Limited · Multimodal

Bewertet: Google Gemini, Tarif Google AI Pro (Consumer, persönliches Google-Konto), ab 21,99 EUR/Monat (DE)

Zuletzt geprüft: 2026-06-23 · Aktuell

Website ↗

Verfügbare Tarife

Free

Kostenloser Tarif mit Zugang zu Gemini (eingeschränktes Modell), kein Cloud-Speicher-Bonus. Self-Signup mit Google-Konto, kein Zahlungsmittel erforderlich. Consumer-Datenbedingungen wie Pro.

Tarif-Seite ↗
Google AI Probewerteter Tarif

Kostenpflichtiger Consumer-Tarif (ab 21,99 EUR/Monat in DE, 19,99 USD/Monat in US). Enthält das leistungsfähigste Gemini-Modell des Pro-Tarifs, 1M-Token-Kontextfenster, Deep Research, 5 TB Google One Cloud-Speicher. Kein AVV/DPA verfügbar.

Tarif-Seite ↗
Google AI Ultra

Höchster Consumer-Tarif mit Gemini Ultra-Modell und erweiterten Kontingenten. Noch höherer Preis als Pro. Ebenfalls Consumer-Konditionen (kein AVV).

Tarif-Seite ↗
Gemini for Google Workspace

Unternehmens-/Bildungstarif mit Google Workspace-Konto, Workspace-DPA, anderen Datenbedingungen. Nicht Bestandteil dieser Bewertung.

Tarif-Seite ↗

4 Kernfragen

Training mit Nutzungsdaten

Standardmäßig ja, Opt-out möglich

Selbst prüfen

Für Google Gemini (Tarif Google AI Pro, Consumer) belegt der Gemini Apps Privacy Hub (Primärquelle, Stufe 1): "Your future chats won't appear in your Activity, and won't be used to train our AI models, unless you choose to send Google feedback." Diese Formulierung ist opt-out-gerahmt: das Training ist aktiv, sofern die Gemini Apps Activity nicht deaktiviert wird. Gemäß Standing Rule §5.1 (opt-out-gerahmte Stufe-1-Quelle) wird opt-out gesetzt.

Zusätzlich relevant: Google Privacy Policy (B1) bestätigt allgemein, dass Interaktionen mit KI-Modellen wie Gemini Apps zur Weiterentwicklung, zum Training und zur Verbesserung genutzt werden. Audio- und Video-Training ist laut der Hilfeseite zur Activity-Verwaltung (C2) standardmäßig deaktiviert und nur per opt-in aktiv.

Der exakte Default-Zustand des Keep-Activity-Toggle ist aus den verfügbaren Primärquellen (ohne Live-UI-Sichtung) ableitbar: Activity ist standardmäßig aktiviert, das Training läuft standardmäßig. Deaktivierung ist über myactivity.google.com möglich. In unresolvedQuestions vermerkt.

Quellen: Gemini Apps Privacy Hub, Google Privacy Policy.

Speicherung ausschließlich EU

Nein

Für Google Gemini (Tarif Google AI Pro, Consumer) belegt die Google Datenschutzrichtlinie (B1, Stufe 1): "We maintain servers around the world" und "information may be processed on servers located outside of the country where you live." Eine EU-exklusive Speicherung ist für den Consumer-Tarif nicht dokumentiert. Die Datenspeicherung findet global statt, darunter in den USA. EU-Datenresidenz ist laut gesonderter Dokumentation für Gemini Enterprise-Editionen reserviert ("Free and Pro consumer tiers cannot enable data residency locking"), nicht für den Consumer-Tarif.

Quellen: Google Privacy Policy, Data residency for Gemini Enterprise.

Urheberrechtskonformität

Dokumentierte Bedenken

Für Google Gemini (Tarif Google AI Pro, Consumer) bestehen konkrete, belegbare urheberrechtliche Bedenken. Die Association of American Publishers, Cengage Group und Hachette Book Group haben wegen unerlaubter Verwendung urheberrechtlich geschützter Werke zum Training von Gemini Klage eingereicht; der Vorwurf lautet auf willful copyright infringement (Quelle: Publishing Perspectives, Januar 2026). Laut Klageschrift führt Google keine Listen der einzeln für das Training verwendeten Werke.

Eine IP-Indemnification für Consumer-Nutzer ist nicht dokumentiert; die verfügbare Indemnification gilt ausschließlich für Enterprise-Kunden der Vertex AI-Plattform, nicht für den Consumer-Tarif (Quelle: Google Cloud Indemnification Blog).

Quellen: Publishing Perspectives Copyright Lawsuit, Google Cloud Indemnification.

Öffentliche/unbefugte Einsehbarkeit

Nein (privat)

Für Google Gemini (Tarif Google AI Pro, Consumer) sind Gespräche und generierte Inhalte standardmäßig privat und nur für den angemeldeten Nutzer einsehbar. Der Gemini Apps Privacy Hub (C1) belegt, dass Chats in der Gemini Apps Activity gespeichert und dem Nutzerkonto zugeordnet werden; eine öffentliche Standardsichtbarkeit ist nicht dokumentiert. Das Teilen von Konversationen erfordert eine aktive Nutzeraktion (Share-Funktion). Ohne Fehlkonfiguration des Google-Kontos (z.B. versehentliches Teilen über Link) sind Ausgaben nicht für Unbefugte einsehbar.

Quelle: Gemini Apps Privacy Hub.

Weitere Strukturfragen

Aufbewahrung beim Anbieter

Unbefristet gespeichert

Für Google Gemini (Tarif Google AI Pro, Consumer) gelten folgende Aufbewahrungsregeln, belegt durch den Gemini Apps Privacy Hub (C1, Stufe 1) und die Activity-Verwaltungsseite (C2):

Bei aktiver Gemini Apps Activity: Standard-Aufbewahrungsfrist 18 Monate, konfigurierbar auf 3, 18 oder 36 Monate, oder ohne automatisches Löschen. Nutzer können ihre Activity manuell löschen. Bei Deaktivierung der Activity: Chats werden maximal 72 Stunden für Servicebereitstellung und Sicherheitsschutz aufbewahrt, danach gelöscht.

Kritisch: Chats, die von menschlichen Reviewern geprüft wurden, "are not deleted when you delete your activity. Instead, they are retained for up to three years." Diese anbieterseitige Aufbewahrung von menschlich geprüften Inhalten läuft unabhängig von der Nutzer-Einstellung und kann durch den Nutzer nicht gelöscht werden. Gemäß R1.1 (Achsen-Priorisierung, worst-case) wird retained gesetzt, da anbieterseitig eine unbegrenzte Nachhaltefrist ohne Nutzerkontrolle für geprüfte Inhalte besteht.

Quellen: Gemini Apps Privacy Hub, Manage and delete your activity in Gemini Apps.

Subprozessoren / zugrundeliegende Modelle

Teilweise offengelegt

Für Google Gemini (Tarif Google AI Pro, Consumer) sind Dritte in der Datenverarbeitungskette erkennbar: Der Gemini Apps Privacy Hub (C1, Stufe 1) nennt "Google's trained service providers" als Reviewer von Stichproben aus Gesprächen. Diese Formulierung benennt eine Kategorie, keine konkreten Unternehmen; Identität und Anzahl der Subprozessoren sind nicht offengelegt.

Eine dedizierte, öffentlich zugängliche Subprozessorliste für den Consumer-Gemini-Dienst existiert nicht. Die verfügbare Google-Subprozessorliste (Quelle: Google Cloud Subprocessors) gilt ausschließlich für Google Cloud Platform und Gemini Enterprise Agent Platform, nicht für den Consumer-Tarif.

Da Dritte erkennbar beteiligt sind, aber weder namentlich noch vollständig für den Consumer-Scope offengelegt sind, wird partially-disclosed gesetzt.

Quellen: Gemini Apps Privacy Hub, Google Cloud Platform Subprocessors.

Drittlandtransfer-Grundlage

EU-US Data Privacy Framework

Für Google Gemini (Tarif Google AI Pro, Consumer) findet ein Drittlandtransfer in die USA statt: Anbieter Google Ireland Limited verarbeitet Daten auf globaler Infrastruktur (inklusive USA, belegt durch B1/F1). Als Transfer-Rechtsgrundlage dokumentiert Google auf der Datentransfer-Frameworks-Seite (F2, Stufe 1): "Google LLC complies with the EU-U.S. and Swiss-U.S. Data Privacy Frameworks (DPF)." SCCs werden ergänzend genutzt "where required and in instances where they are not covered by an adequacy decision."

Google LLCs DPF-Zertifizierung ist im offiziellen DPF-Register (F3, Stufe 1, regulator) aktiv verzeichnet (dataprivacyframework.gov/participant/5780). Gemäß R3.1 (DPF ist der Angemessenheitsbeschluss für die USA) wird dpf als primäre Grundlage gesetzt. SCCs bestehen ergänzend (in dieser Note vermerkt).

Quellen: Data transfer frameworks - Google, Data Privacy Framework - Google LLC.

Schatten-IT-Gefährdungspotential

„Hoch" bedeutet „leicht unkontrolliert einsetzbar" — keine Wertung der Tool-Qualität.

Hoch

Die Gemini-Produktfamilie bietet einen kostenlosen Free-Tarif mit Self-Signup über ein Google-Konto, das die meisten Nutzer bereits besitzen. Die Nutzung erfolgt vollständig browser-basiert und per App ohne Installation von Software; es ist kein Zahlungsmittel für den Einstieg erforderlich. Auf Free- und Pro-Consumer-Ebene sind keine zentralen Admin-Kontrollen (SSO, Audit Logs, zentrale Nutzerverwaltung) dokumentiert. Der leichteste Zugangspfad der Familie ist der kostenlose Self-Signup mit bereits vorhandenem Google-Konto, damit ist high gesetzt.

Quick-Facts

BetriebsmodellCloud-SaaS
HostingAnbieter-Cloud
DatenlokationUSA, Global
Datenresidenz garantiertNein
AVV/DPA verfügbarNein
SSOvom Anbieter nicht transparent gemacht
Audit-Logsvom Anbieter nicht transparent gemacht
ZertifizierungenISO 27001, ISO 27017, ISO 27018, ISO 27701, SOC 2 Type II, SOC 3
Art.-9-Daten möglichAbhängig vom Einsatz
EU-AI-Act-KlasseAbhängig vom Einsatz
Risikoprofilhoch

Zertifizierungen — Geltung

Google hält als Anbieter ISO 27001, ISO 27017, ISO 27018, ISO 27701, SOC 2/3 sowie weitere Zertifizierungen (Quelle: business.safety.google/compliance/). Der explizit dokumentierte Geltungsbereich dieser Zertifikate umfasst Google Cloud Platform, Google Workspace und Google Ads. Ob der Consumer-Gemini-Dienst (persönliches Google-Konto, Tarif Google AI Pro) im Geltungsbereich der jeweiligen Zertifizierungen liegt, ist aus verfügbaren öffentlichen Quellen nicht belegbar (R4.9 Split-Vorbehalt). Nicht abschließend bewertbar: die tatsächliche Zertifikats-Geltung ist nur über das Anbieter-Trust-Center oder eine direkte Anbieteranfrage prüfbar. Bitte Geltungsbereich unter business.safety.google/compliance/ oder durch direkte Anfrage bei Google Ireland Limited klären. Angabe ohne Gewähr.

Überblick

Kurzbeschreibung

Google Gemini ist der KI-Assistent von Google, verfügbar für Nutzer mit persönlichem Google-Konto. Der kostenpflichtige Tarif Google AI Pro (vormals Gemini Advanced) bietet Zugang zur erweiterten Gemini-Modellstufe mit 1-Million-Token-Kontextfenster, Deep Research und erweiterten Multimodal-Funktionen. Verantwortlicher für EWR-Nutzer ist Google Ireland Limited.

Verdichtetes Urteil

Google Gemini (Google AI Pro) ist ein leistungsstarker multimodaler KI-Assistent mit Zugang zum leistungsfähigsten Gemini-Modell des Pro-Tarifs. Für den Consumer-Tarif gilt: Gespräche fließen standardmäßig in das Modelltraining ein (Opt-out über Gemini Apps Activity möglich). Ein Auftragsverarbeitungsvertrag (AVV/DPA) ist für den Consumer-Tarif nicht verfügbar. Die Datenspeicherung erfolgt global (inklusive USA); EU-exklusive Datenresidenz ist dem Enterprise-Bereich vorbehalten. Laufende Urheberrechtsklagen und das Fehlen einer Consumer-Indemnification begründen Compliance-Bedenken beim Urheberrecht. Organisationen, die personenbezogene Daten Dritter verarbeiten, können diesen Consumer-Tarif datenschutzrechtlich nicht einsetzen, solange kein AVV verfügbar ist.

Funktionsbeschreibung

Google Gemini ist Googles KI-Assistent und als Consumer-Dienst über die Gemini-App (web und mobil) mit persönlichem Google-Konto nutzbar. Der Tarif Google AI Pro (vormals Gemini Advanced, vormals Teil von Google One AI Premium) wurde laut offizieller Release-Note am 20. Mai 2025 umbenannt; die vollständige Konsolidierung des Brandings auf "Google AI Pro" ist für 2026 dokumentiert.

Das zugrunde liegende Modell im Pro-Tarif ist das leistungsfähigste Gemini-Modell des Pro-Tarifs mit einem Kontextfenster von 1 Million Token. Der Pro-Tarif umfasst Deep Research (mehrstufige Web-Recherche), Bild- und Dokument-Upload, Code-Generierung, Multimodale Eingaben (Text, Bild, Dokument) sowie Anbindung an Google-Dienste (Gmail, Docs, Drive) über Gemini Extensions.

Die Datenverarbeitung erfolgt auf Googles globaler Infrastruktur. Für EWR-Nutzer mit persönlichem Google-Konto ist Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) der datenschutzrechtliche Verantwortliche für die Verarbeitung von Daten zur Modellverbesserung. Eingaben (Chats) werden bei aktiver Gemini Apps Activity standardmäßig gespeichert und können für Modelltraining genutzt werden, einschließlich menschlicher Überprüfung von Stichproben durch Googles trainierte Dienstleister.

Vom Consumer-Tarif klar abzugrenzen sind: Gemini for Google Workspace (Workspace-DPA, andere Datenbedingungen), Gemini in Google Cloud / Vertex AI (Cloud-DPA, Enterprise-Zertifizierungen), Gemini API (Entwickler-Nutzungsrichtlinien) sowie der kostenlose Gemini Free-Tarif und Google AI Ultra.

Funktionen

  • Zugang zur erweiterten Gemini-Modellstufe mit 1-Million-Token-Kontextfenster
  • Deep Research: mehrstufige, autonome Web-Recherche mit Quellenangabe
  • Multimodale Eingaben: Text, Bild, Dokument-Upload
  • Code-Generierung und -Analyse
  • Gemini Extensions: Anbindung an Gmail, Docs, Drive, YouTube, Maps, Google Flights/Hotels
  • Erstellung von Gems (angepasste Gemini-Versionen für spezifische Aufgaben)
  • 5 TB Google One Cloud-Speicher inklusive
  • Verfügbar auf Android, iOS und Web

Einsatzszenarien

  • Text-Erstellung und -Überarbeitung (Zusammenfassungen, Textentwürfe, E-Mails) für Einzelnutzer und Wissensarbeiter.
  • Deep Research: Themeneinstieg und Literaturrecherche mit automatisch erstellten Berichten und Quellenverweisen.
  • Code-Analyse und -Generierung für Entwickler, direkt im Chat ohne Entwicklungsumgebung.
  • Analyse hochgeladener Dokumente und Bilder (OCR, Zusammenfassungen, Q&A).
  • Produktivitäts-Assistent mit Integration in Google Workspace-Dienste (Gmail, Docs, Drive) für persönliche Google-Konten.

Zielgruppen

  • Einzelnutzer / Privatpersonen
  • Wissensarbeiter und Studierende
  • Selbstständige ohne Enterprise-Anforderungen
  • Entwicklerinnen und Entwickler (Consumer-Scope)

Typische Nutzung

  • Textgenerierung
  • Recherche
  • Code-Assistent
  • Dokumentenanalyse
  • Multimodaler Chat

Preismodell

Abonnement-Modell. Google AI Pro: 21,99 EUR/Monat (DE) bzw. 19,99 USD/Monat (US), inkl. 5 TB Google One Cloud-Speicher. Jahresabonnement-Option vorhanden. Aktuelle Preise: https://one.google.com/about/google-ai-plans/ (Stand 2026-06-23, Quellen A1, A3).

Risikobewertung

Begründung des Risikoprofils

  • Kein AVV/DPA für den Consumer-Tarif verfügbar (hasDPA=no, per Negativabgrenzung gegenüber Workspace-DPA belegt): der Einsatz mit personenbezogenen Daten Dritter ist ohne AVV nach Art. 28 DSGVO datenschutzrechtlich nicht zulässig.
  • Trainingslage mit opt-out: Gespräche fließen bei aktiver Gemini Apps Activity standardmäßig in das Modelltraining ein; menschliche Überprüfung von Stichproben durch Drittdienstleister ist dokumentiert; manuell geprüfte Inhalte werden bis zu 3 Jahre aufbewahrt, auch nach Deaktivierung der Activity.
  • Globale Datenspeicherung (US, global) ohne EU-Residenzgarantie für den Consumer-Tarif; Drittlandtransfer in die USA über DPF und SCCs abgesichert, aber Consumer-spezifische Zertifikats-Geltung nicht belegt.
  • Laufende Urheberrechtsklagen gegen Google wegen Gemini-Trainingsdaten; keine Consumer-Indemnification dokumentiert.

Typische Risiken

  • Kein AVV für den Consumer-Tarif: Einsatz mit Drittdaten datenschutzrechtlich unzulässig ohne AVV nach Art. 28 DSGVO.
  • Standardmäßiges Training auf Konversationsdaten (opt-out über Activity-Deaktivierung möglich): bei Nichtnutzung des Opt-out fließen Eingaben in Modellverbesserung ein.
  • Menschlich geprüfte Konversations-Stichproben bleiben bis zu 3 Jahre beim Anbieter gespeichert, auch nach Nutzerlöschung der Activity.
  • Globale Datenspeicherung (USA/global) ohne EU-Residenzgarantie für Consumer-Tarif; DPF als Transfergrundlage mit politischem Stabilitätsrisiko.
  • Laufende Urheberrechtsklagen gegen Google wegen Gemini-Trainingsdaten; Consumer-Indemnification nicht verfügbar.
  • Unkontrollierter Self-Signup über Google-Konto (Schatten-IT): keine Admin-Kontrollen auf Consumer-Ebene.
  • Halluzinationsrisiko bei komplexen Faktenfragen; Deep Research-Ergebnisse erfordern manuelle Verifizierung der Primärquellen.

Kritische Konstellationen

  • Verarbeitung personenbezogener Daten Dritter (Kunden, Mitarbeiter, Patienten) durch Organisationen: kein AVV/DPA für Consumer-Tarif verfügbar (hasDPA=no), datenschutzrechtlich unzulässig ohne AVV nach Art. 28 DSGVO.
  • Eingabe vertraulicher Geschäftsinformationen oder Art.-9-DSGVO-Daten (Gesundheit, Biometrie, politische Meinung): Training-Opt-out möglich, aber menschliche Reviewer können Stichproben mit bis zu 3-jährigem Rückhalt einsehen.
  • Einsatz von Gemini Extensions mit Gmail, Docs, Drive in einem Unternehmenskontext: Google-Dienste mit möglicherweise vertraulichen Inhalten fließen in die Gemini-Verarbeitung ein. Consumer-Tarif bietet keine organisatorische Zugangskontrolle über diese Verbindung.
  • Einsatz in automatisierten Entscheidungsprozessen über Personen (Personalauswahl, Kreditwürdigkeit, Scoring): potenziell Hochrisiko nach EU AI Act Anhang III; Deployer-Pflichten nach Art. 26 prüfen.
  • Nutzung ohne Opt-out der Gemini Apps Activity: alle Konversationen fließen in Modelltraining ein und können menschlich überprüft werden. Vertrauliche Inhalte in Konversationen sind strukturell von dieser Verarbeitung betroffen, sofern der Opt-out nicht aktiv gesetzt wurde.

Organisatorische Anforderungen

  • Einsatz auf eigene, nicht-personenbezogene Daten beschränken: Da kein AVV für den Consumer-Tarif Google AI Pro verfügbar ist (hasDPA=no), ist der Einsatz zur Verarbeitung personenbezogener Daten Dritter (Kunden, Mitarbeiter, Patienten) nicht datenschutzkonform. Für Organisationen, die personenbezogene Daten Dritter verarbeiten müssen, ist Gemini for Google Workspace mit Workspace-DPA zu prüfen. Quelle: [Workspace DPA](https://workspace.google.com/terms/09242021/dpa_terms/) als Abgrenzungsbeleg.
  • Gemini Apps Activity deaktivieren (Opt-out): Über myactivity.google.com kann "Gemini Apps Activity" deaktiviert werden, um zu verhindern, dass neue Konversationen für Modelltraining genutzt werden. Dieser Schritt ist für alle beruflich genutzten Google-Konten empfohlen, solange keine Workspace-Lösung eingesetzt wird. Hinweis: bereits menschlich geprüfte Inhalte bleiben bis zu 3 Jahre gespeichert. Quelle: [Gemini Apps Privacy Hub](https://support.google.com/gemini/answer/13594961?hl=en), [Manage Activity](https://support.google.com/gemini/answer/13278892?hl=en).
  • Nutzungsrichtlinie für Mitarbeitende erstellen: Festlegen, welche Datenklassen in Gemini Consumer eingegeben werden dürfen (keine personenbezogenen Drittdaten, keine Betriebs- oder Geschäftsgeheimnisse, keine Art.-9-DSGVO-Daten). Extension-Aktivierungen (Gmail, Docs, Drive) restriktiv handhaben oder für berufliche Nutzung untersagen.
  • Schatten-IT-Kontrolle: Prüfen, ob Mitarbeitende Gemini Free oder Gemini Pro über persönliche Google-Konten ohne IT-Genehmigung nutzen. Keine nativen Admin-Kontrollen auf Consumer-Ebene; Erkennung nur über Netzwerk-Monitoring oder Policy-Kommunikation.
  • KI-Kompetenz (Art. 4 EU AI Act, gilt ab 02.02.2025): Mitarbeitende, die Gemini Pro einsetzen, müssen eine angemessene KI-Kompetenzschulung erhalten. Dokumentation der Schulungsmaßnahmen empfohlen. Quelle: [Verordnung (EU) 2024/1689, Art. 4](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32024R1689#art_4).
  • Interaktions-Transparenz (Art. 50 Abs. 1 EU AI Act, gilt ab 02.08.2026): Werden Gemini-gestützte Antworten oder Inhalte gegenüber Dritten eingesetzt, müssen betroffene Personen darüber informiert werden, dass sie mit KI interagieren. Quelle: [Verordnung (EU) 2024/1689, Art. 50 Abs. 1](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32024R1689#art_50).
  • Kennzeichnung synthetischer Inhalte (Art. 50 Abs. 4 EU AI Act, gilt ab 02.08.2026): KI-generierte Texte, Bilder oder andere Inhalte, die nach außen kommuniziert werden, sind als künstlich erzeugt zu kennzeichnen. Quelle: [Verordnung (EU) 2024/1689, Art. 50 Abs. 4](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32024R1689#art_50).

IT- & Informationssicherheit

IT-Sicherheit

  • Verschlüsselung: Die Google-Sicherheitsdokumentation (K1, vendor-security-whitepaper) belegt AES-256 für Daten at rest und TLS für Daten in Transit für Googles Cloud-Infrastruktur. Die direkte Geltung für den Consumer-Gemini-Dienst ist in dieser Quelle nicht explizit ausgewiesen; Consumer-Gemini nutzt Googles allgemeine Infrastruktur, jedoch ist ein Consumer-spezifischer Geltungsbeleg nicht verfügbar. Einschränkung: Übertragung mit Vorbehalt (K1 explizit auf Google Cloud).
  • Zertifizierungen: Google hält ISO 27001, ISO 27017, ISO 27018, ISO 27701, SOC 2/3 und weitere Zertifikate (Quelle: business.safety.google/compliance/). Dokumentierter Geltungsbereich: Google Cloud Platform, Google Workspace, Google Ads. Ob Consumer-Gemini im Geltungsbereich liegt, ist nicht aus Primärquellen belegbar (R4.9 Split-Vorbehalt; certificationsNote).
  • Authentifizierung: Zugang über Google-Konto mit Google-Authentifizierungsinfrastruktur (2-Faktor-Authentifizierung für das Google-Konto generell verfügbar). SSO für den Consumer-Tarif ist in verfügbaren Primärquellen nicht dokumentiert (hasSSO=unknown).
  • Datenlöschung: Nutzerkontrollierte Löschung der Activity ist möglich ("immediately start the process of removing it from the product and our systems", Quelle: C2). Ausnahme: menschlich geprüfte Inhalte werden bis zu 3 Jahre aufbewahrt unabhängig von Nutzerlöschung (Quelle: C1).

Informationssicherheit

  • AVV-Lage: Für den Consumer-Tarif Google AI Pro ist kein Auftragsverarbeitungsvertrag verfügbar (hasDPA=no). Der Workspace-DPA und Cloud-DPA gelten ausschließlich für Workspace- bzw. Cloud-Kunden. Für Organisationen, die über Google Gemini (Consumer) personenbezogene Daten Dritter verarbeiten, fehlt damit die datenschutzrechtliche Grundlage nach Art. 28 DSGVO.
  • Trainingsdaten-Rückhalt durch menschliche Reviewer: Auch nach Deaktivierung der Gemini Apps Activity bleiben menschlich geprüfte Inhalte bis zu 3 Jahre beim Anbieter gespeichert. Diese Daten können vertrauliche Unternehmensinformationen enthalten, wenn Mitarbeitende den Consumer-Tarif beruflich nutzen. Organisationen haben keinen Einfluss auf diesen Rückhaltemechanismus.
  • Schatten-IT: Der Free-Tarif erlaubt unkontrollierten Self-Signup mit einem bestehenden Google-Konto. Auf Consumer-Ebene sind keine zentralen Admin-Kontrollen (SSO, Audit Logs, zentrale Nutzerverwaltung) dokumentiert. Mitarbeitende können Gemini Consumer ohne IT-Genehmigung nutzen; Erkennung ist nur über Netzwerk-Monitoring oder Policy-Kommunikation möglich.
  • Gemini Extensions: Die Integration mit Gmail, Docs, Drive und anderen Google-Diensten über Gemini Extensions bedeutet, dass bei aktivierten Extensions der Inhalt dieser Dienste in die Gemini-Verarbeitung einbezogen werden kann. Organisationen mit vertraulichen Inhalten in Google Workspace sollten prüfen, welche Extensions Mitarbeitende aktiviert haben.
  • Prompt-Injection: Bei Nutzung des Deep Research-Features (autonome Web-Recherche) können manipulierte Web-Inhalte die Ausgabe beeinflussen. Das Risiko ist geringer als bei autonomen Agenten mit Ausführungsrechten, aber bei der Verarbeitung nicht vertrauenswürdiger Web-Inhalte relevant.

Datenschutz (DSGVO)

Verarbeitete Daten

  • Freitext-Prompts und Konversationsverläufe der Nutzenden
  • Hochgeladene Bilder und Dokumente (bei Multimodal-Nutzung)
  • Audio-Eingaben (bei Sprachfunktion, separat opt-in für Audio-Training)
  • Inhalte verknüpfter Google-Dienste (Gmail, Docs, Drive) bei aktivierten Extensions
  • Account-Daten (Google-Konto, E-Mail, Profileinstellungen)
  • Gemini Apps Activity (Gesprächshistorie, abrufbar über myactivity.google.com)
  • Nutzungs- und Produktverbesserungsdaten (Feedback, Interaktionsdaten)

Datenschutzrechtliche Einordnung

Für den Consumer-Tarif Google AI Pro agiert Google Ireland Limited (Dublin) als datenschutzrechtlicher Verantwortlicher gegenüber dem Nutzer im Sinne von Art. 4 Nr. 7 DSGVO. Die Google Privacy Policy (B1) benennt Google Ireland Limited ausdrücklich als Verantwortlichen für EWR-Nutzer und als Verantwortlichen für die Verarbeitung von Daten zum Training von KI-Modellen für EWR-Dienste.

Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist für den Consumer-Tarif nicht verfügbar (hasDPA=no). Google stellt einen AVV nur für Workspace- und Cloud-Kunden bereit; Consumer-Nutzer mit persönlichem Google-Konto sind strukturell von diesen Verträgen ausgenommen. Der Einsatz von Google Gemini (Google AI Pro) durch eine Organisation zur Verarbeitung personenbezogener Daten Dritter (Kunden, Mitarbeiter, Patienten) ist ohne AVV nach Art. 28 DSGVO datenschutzrechtlich nicht zulässig.

Drittlandtransfers in die USA finden statt; die Transfergrundlage ist das EU-US Data Privacy Framework (DPF), ergänzt durch SCCs (thirdCountryTransferBasis=dpf, Quellen F2/F3). Die Datenspeicherung erfolgt global ohne EU-Residenzgarantie für den Consumer-Tarif.

Gespräche fließen standardmäßig in das Modelltraining ein (opt-out-Möglichkeit über Gemini Apps Activity). Menschlich geprüfte Stichproben werden bis zu 3 Jahre aufbewahrt, auch nach Nutzerlöschung. Dies ist bei der Verarbeitung vertraulicher Daten datenschutzrechtlich relevant.

Art. 5 DSGVO (Grundsätze)

Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Gemini verarbeitet Konversationen zur Diensterbringung und, bei aktiver Gemini Apps Activity, auch zur Modellverbesserung (einschließlich menschlicher Überprüfung von Stichproben). Der Privacy Hub (C1) benennt den Zweck klar: Dienstbereitstellung, Qualitäts- und Sicherheitsverbesserung. Die Zwecke sind dokumentiert; die Kombination von Diensterbringung und Modelltraining als parallele Zwecke ist für Consumer-KI-Dienste typisch und muss bei der Einwilligungsgestaltung berücksichtigt werden.

Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Für den normalen Chat-Betrieb verarbeitet Gemini Konversationsinhalte und hochgeladene Dateien. Bei aktivierten Extensions werden zusätzlich Inhalte aus Gmail, Docs und Drive einbezogen. Organisationen sollten Extension-Berechtigungen auf das notwendige Minimum beschränken und keine Dateien mit personenbezogenen Drittdaten hochladen.

Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO): Verschlüsselung (AES-256/TLS) ist für Googles Infrastruktur dokumentiert (K1), Consumer-Gemini-spezifischer Scope nicht direkt belegt. Menschlich geprüfte Konversations-Stichproben werden von Drittdienstleistern ("trained service providers") verarbeitet (C1); Vollständigkeit der Subprozessor-Offenlegung für Consumer eingeschränkt.

Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO): Google veröffentlicht eine umfangreiche Privacy Policy (B1) und einen Gemini Apps Privacy Hub (C1). Zertifizierungen sind für Google Cloud/Workspace belegt; Consumer-Gemini-Geltung nicht gesichert. AVV für Consumer nicht verfügbar, was die Rechenschaftspflicht gegenüber Organisationen strukturell einschränkt.

Art. 6 DSGVO (Rechtsgrundlagen)

Rechtsgrundlage für den Nutzer als Einzelperson (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung von Konversationsdaten zur Diensterbringung für den Consumer-Nutzer stützt sich auf Vertragserfüllung. Dies gilt für die rein persönliche Nutzung von Gemini.

Rechtsgrundlage für Modelltraining und Produktverbesserung: Das Modelltraining auf Basis von Consumer-Konversationen (bei aktiver Gemini Apps Activity) stützt Google auf berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) und/oder Einwilligung. Die Google Privacy Policy (B1) dokumentiert die Nutzung für Training; die genaue Rechtsgrundlage für diese Verarbeitung ist aus den Consumer-Bedingungen nicht explizit für jede Verarbeitungsform benannt. Opt-out ist möglich, was auf berechtigtes Interesse als Grundlage hindeutet.

Einsatz mit Drittdaten (Organisationskontext): Sobald eine Organisation Google Gemini (Consumer) zur Verarbeitung personenbezogener Daten Dritter nutzt, reicht Art. 6 DSGVO allein nicht. Ohne AVV nach Art. 28 DSGVO ist der Einsatz mit Drittdaten unzulässig. Da für den Consumer-Tarif kein AVV verfügbar ist, ist dieser Einsatzfall datenschutzrechtlich nicht abgedeckt.

Drittlandtransfer (Art. 44 ff. DSGVO): Transfer in die USA auf Basis des EU-US Data Privacy Framework (Art. 45 DSGVO, Angemessenheitsbeschluss) und ergänzend SCCs (Art. 46 DSGVO). Primäre Grundlage DPF ist aktiv dokumentiert (F2, F3).

EU AI Act

Art. 5 (verbotene Praktiken)

Google Gemini (Google AI Pro) ist ein multimodaler KI-Assistent für allgemeine Zwecke und in der Standardnutzung nicht auf verbotene Praktiken nach Art. 5 EU AI Act ausgerichtet. Für den normalen Einsatz (Text, Bild, Recherche, Code) greift kein Verbotstatbestand.

Folgende Konstellationen erfordern Prüfung durch den Deployer: Einsatz in automatisierten Entscheidungsprozessen über Personen (z.B. Personalauswahl, Scoring) kann je nach Ausgestaltung Art. 5 Abs. 1 lit. a EU AI Act (unterschwellige Beeinflussung durch KI-System) berühren. Einsatz zur biometrischen Kategorisierung oder Emotionserkennung ist aus Gemini-Primärquellen für Consumer nicht dokumentiert; falls solche Funktionen aktiviert werden, sind Art. 5 Abs. 1 lit. c/d EU AI Act zu prüfen.

Die Einordnung als GPAI-Modell bedeutet, dass für Google als Anbieter spezifische GPAI-Pflichten ab 2. August 2025 gelten (Transparenz, technische Dokumentation, Urheberrechts-Policy). Diese Pflichten treffen den Anbieter, nicht den Deployer.

Keine dedizierte Google-Primärquelle zur eigenen EU-AI-Act-Einordnung von Gemini Consumer gefunden; Einordnung basiert auf Regulatorik-Quelle J1 und Verordnungstext.

Art. 6 (Hochrisiko)

Google Gemini (Google AI Pro) ist ein General-Purpose-AI-Modell (GPAI) im Sinne des EU AI Acts; die Risikoklasse nach Art. 5/6 ist einsatzabhängig (euAiActRiskClass=depends-on-use). In der Standardverwendung als multimodaler KI-Assistent für Consumer-Zwecke ist Gemini kein Hochrisiko-KI-System nach Art. 6 EU AI Act in Verbindung mit Anhang III.

Einsatzabhängige Hochrisiko-Einordnung: Wenn Nutzer oder Organisationen Gemini in Prozessen einsetzen, die unter Anhang III EU AI Act fallen (z.B. KI-gestützte Personalentscheidungen, Kreditwürdigkeitsbewertung, Bildungs-Bewertungsszenarien), gelten die Hochrisikovorschriften für den jeweiligen Einsatzkontext. In diesem Fall treffen den Deployer die Betreiberpflichten nach Art. 26 EU AI Act (Hochrisiko-Prüfpfad; Zeitplan beachten: Omnibus-Verschiebung auf 12/2027 für Hochrisiko-Pflichten).

Gemini Ultra könnte als systemisches GPAI nach Art. 51 EU AI Act eingestuft werden (Schwelle: 10^25 FLOP Trainingsrechenleistung). Für den bewerteten Tarif Google AI Pro ist diese Schwelle aus verfügbaren Quellen nicht belegt; eine Einstufung als systemisches GPAI (Art. 51) wird für Pro nicht gesetzt.

Quelle: EU AI Act Summary: Complete Guide 2026.

Nachvollziehbarkeit

Reviewer

ai-research / claude-sonnet-4-6

Quellen

Offene Fragen

  • Exaktes Datum der vollständigen Umbenennung von Gemini Advanced zu Google AI Pro: Release-Notes (A2) datieren auf 2025-05-20 (App-Rollout); Sekundärquellen nennen März 2026 für vollständige Subscription-Konsolidierung. Widerspruch konnte nicht aus Primärquelle aufgelöst werden; aktueller Markenname Google AI Pro ist belegt.
  • trainsOnUserData Toggle-Default: Die Primärquelle (C1) belegt opt-out-Rahmung ("won't be used to train... if you disable Activity"), der exakte Default-Zustand des Keep-Activity-Toggle ist ohne Live-UI-Sichtung des Google-Kontos nicht direkt verifizierbar (account-/UI-seitiges Feld nach §5b). Activity gilt nach Quellenlage als standardmäßig aktiviert.
  • Geltungsbereich der Zertifizierungen (ISO 27001/27017/27018/27701, SOC 2/3) für den Consumer-Gemini-Dienst: aus verfügbaren Primärquellen (G1, G2, G3) nicht belegt. Alle dokumentierten Scope-Angaben beziehen sich auf Cloud/Workspace/Ads.
  • Consumer-Subprozessor-Vollständigkeit: "trained service providers" sind in C1 erwähnt, aber nicht namentlich gelistet für den Consumer-Scope. Eine dedizierte Consumer-Subprozessorliste ist nicht öffentlich verfügbar.
  • Verschlüsselungsstandard Consumer-Scope: AES-256/TLS für Google Cloud-Infrastruktur belegt (K1), direkte Geltung für Consumer-Gemini nicht aus Primärquelle belegt.
  • Exakte Modell-/Versionsbezeichnung des im Pro-Tarif enthaltenen Gemini-Modells nicht aus zitierbarer technischer Primärquelle (Doku/Release-Note mit Versionsnummer) belegbar; Modellbezeichnung daher generisch gehalten.
  • hasSSO und hasAuditLogs für Consumer: keine Primärquelle belegt Vorhandensein oder ausdrückliches Fehlen dieser Features im Consumer-Tarif Google AI Pro; beide auf `unknown` gesetzt (fehlende Dokumentation ist kein Positivbeleg für `no`).

Siehe auch