Generative Text & Wissensarbeit
Mistral Vibe Pro
Mistral AI · Multimodal
Bewertet: Mistral Vibe Pro, Consumer-Tarif ($14,99/Monat, ehemals Le Chat Pro; umbenannt 28.05.2026)
Zuletzt geprüft: 2026-06-23 · Aktuell
Verfügbare Tarife
Kostenloser Einstiegstarif mit begrenzten Nachrichten- und Suchkontingenten. Kein DPA, Training standardmäßig aktiv. Self-Signup ohne Zahlungsmittel.
Tarif-Seite ↗Consumer-Tarif für Einzelnutzer mit erhöhten Kontingenten, Bildgenerierung und Coding-Funktionen. Training standardmäßig aktiv (Opt-out möglich). Kein DPA, da Consumer-Tarif.
Tarif-Seite ↗Geschäftstarif für Teams mit gemeinsamen Arbeitsbereichen. Training standardmäßig inaktiv; DPA verfügbar. SSO und Audit Logs nicht enthalten (nur Enterprise).
Tarif-Seite ↗Unternehmensarif mit SSO (SAML 2.0), Audit Logs, DPA und erweiterten Datenschutzoptionen. Training standardmäßig inaktiv.
Tarif-Seite ↗4 Kernfragen
Training mit Nutzungsdaten
Standardmäßig ja, Opt-out möglich
Selbst prüfen
Für Vibe Pro (Consumer) ist Training mit Nutzerdaten standardmäßig aktiv. Die EU Consumer Terms of Service (Stand 28.05.2026) formulieren: "We do not use Your Data to train our artificial intelligence models except (a) when you (i) use Mistral AI Products under a free subscription, or are subscribed to Vibe Pro or Vibe Student, and (ii) you have not opted-out of training." Das Opt-out muss aktiv über Admin Console > Privacy > Toggle deaktiviert werden. Ein Widerspruch besteht zu docs.mistral.ai, das für Vibe Pro "not used for training by default" angibt (opt-in-Frame). Maßgeblich ist das Rechtsdokument (EU Consumer Terms, Stufe 1, Stand 28.05.2026); der Widerspruch ist in unresolvedQuestions dokumentiert. Quellen: EU Consumer Terms, Help Center Opt-out.
Speicherung ausschließlich EU
Nein
Für Vibe Pro (Consumer) ist der Standard-Speicherort laut Help Center die EU ("your data is hosted in the European Union"). Temporäre Datenübertragungen zu Subprozessoren außerhalb der EU sind jedoch möglich; SCCs werden als Grundlage für diese Transfers angegeben. Zusätzlich kann der US-API-Endpunkt aktiv gewählt werden, was US-Hosting zur Folge hat. Der Speicherort ist damit nicht ausschließlich EU. Zu dataResidencyGuaranteed=yes-enterprise-only: Die Basisquelle (Help Center Q8) belegt eine technische Feature-Option (Deaktivierung bestimmter Transfers auf Enterprise-Org-Ebene), keinen Vertragstext mit Residenz-Garantie. Ein Enterprise-DPA mit EU-Residenz-Klausel wurde nicht eingesehen (Trust Center JS-blockiert). Für den Pro-Tarif ist keine Residenz-Garantie belegt. Quelle: Help Center Datenspeicherort.
Urheberrechtskonformität
Dokumentierte Bedenken
Für Vibe Pro (Consumer) liegen dokumentierte Bedenken zur Urheberrechtssituation vor. Zwei OECD-AI-Incidents belegen konkrete Vorwürfe: Training auf urheberrechtlich geschütztem Material (Bücher, Musik, Artikel) ohne Genehmigung sowie ignorierte Opt-out-Anfragen von Rechteinhabern. Mistral AI legt die Zusammensetzung der Trainingsdaten nicht offen ("responsibly sourced" ohne Nachweis). Ein Indemnification-Programm für Output-Nutzung durch Consumer-Pro-Nutzer ist nicht dokumentiert. Quellen: OECD Incident 2026-02-23, Training Datasets Disclosure Help Center.
Öffentliche/unbefugte Einsehbarkeit
vom Anbieter nicht transparent gemacht
Für Vibe Pro (Consumer) existiert keine explizite Stufe-1-Quelle, die die Privatheit von Ausgaben positiv belegt. Eine öffentliche Galerie oder ein Community-Feed ist auf der Produktseite nicht dokumentiert; die Produktarchitektur legt private Nutzung nahe. Da keine direkte Primärquelle zur Output-Sichtbarkeit vorliegt und die Ableitung aus der Produktstruktur kein ausreichender Beleg nach R1.1 ist, wird unknown gesetzt. Quelle: Mistral Vibe Produktseite.
Weitere Strukturfragen
Aufbewahrung beim Anbieter
Befristet gespeichert
Für Vibe Pro (Consumer) werden Konversationsdaten bis zur Nutzerlöschung aufbewahrt (Privacy Policy, Stand 08.04.2026). Nach Account-Löschung gilt ein anbieterseitiger Mindest-Nachlauf von 30 Tagen, bevor eine permanente Löschung erfolgt (außer gesetzliche Aufbewahrungspflichten), gemäß EU Consumer Terms (Stand 28.05.2026). Ob einzelne Konversationslöschungen (ohne Account-Löschung) beim Anbieter sofort wirksam werden, ist aus Primärquellen nicht explizit belegt. Nach R1.1 (worst-case-Default) ist die anbieterseitige Frist abzubilden: limited-retention. Zusätzlich: Identitätsdaten 5 Jahre nach Vertragsende, Kontaktdaten 1 Jahr nach Löschung, Log-Daten 1 rollendes Jahr (Help Center Retention). Quellen: Privacy Policy, EU Consumer Terms, Help Center Retention.
Subprozessoren / zugrundeliegende Modelle
Teilweise offengelegt
Für Vibe Pro (Consumer) verweisen Privacy Policy und DPA auf eine Subprozessorliste unter https://trust.mistral.ai/subprocessors. Belegt ist nur die Existenz dieser Liste durch Verweis in Rechtsdokumenten. Der Listeninhalt (Namen einzelner Subprozessoren, Standorte, Verarbeitungszwecke) wurde nicht eingesehen: die Seite ist JS-gerendert und war per WebFetch nicht abrufbar. partially-disclosed bildet ab, dass eine Liste beansprucht wird und öffentlich zugänglich sein soll, nicht dass sie eingesehen wurde. Quellen: Privacy Policy, DPA, Trust Center Subprozessoren (Referenz, nicht eingesehen).
Drittlandtransfer-Grundlage
Standardvertragsklauseln
Für Vibe Pro (Consumer) gilt: Der primäre Speicherort ist die EU. Für temporäre Datenübertragungen zu Subprozessoren außerhalb der EU werden Standardvertragsklauseln (SCCs, Art. 46 DSGVO) als Rechtsgrundlage angegeben. Die Privacy Policy referenziert "the most recent version of the European Commission's Standard Contractual Clauses"; das DPA nennt SCCs Modul 4 sowie den EU Implementing Decision 2021/914. Mistral AI ist ein EU-Unternehmen (Sitz Frankreich); das EU-US Data Privacy Framework (DPF) ist nicht einschlägig und wurde nicht belegt. Quellen: Privacy Policy, DPA, Help Center Datenspeicherort.
Schatten-IT-Gefährdungspotential
„Hoch" bedeutet „leicht unkontrolliert einsetzbar" — keine Wertung der Tool-Qualität.
Hoch
Produktfamilien-Eigenschaft (Familie mistral-vibe). Die Familie Mistral Vibe verfügt über einen kostenlosen Free-Tarif mit Self-Signup ohne Zahlungsmittel und ohne Organisationskontrolle. Die Nutzung erfolgt browserbasiert ohne Installation. Pro-Tarif ist per Kreditkarte Self-Service buchbar. Es bestehen keine wirksamen zentralen Admin-Kontrollen auf Free- oder Pro-Ebene (SSO und Audit Logs nur Enterprise). Leichtester Zugangspfad bestimmt die Stufe: Free-Tier mit trivialem Self-Signup = high.
Quick-Facts
Zertifizierungen — Geltung
ISO/IEC 27001:2022, ISO/IEC 27701:2019, SOC 2 Type I und SOC 2 Type II sind laut Help-Center-Artikel belegt (https://help.mistral.ai/en/articles/347638-do-you-have-soc-2-or-iso-27001-certification, abgerufen 2026-06-23). Das Trust Center (https://trust.mistral.ai/) ist technisch JS-gerendert und war nicht direkt abrufbar; Zertifikatsdokumente konnten nicht eingesehen werden. Ob der Pro-Consumer-Tarif explizit im Geltungsbereich der Zertifikate liegt, ist aus verfügbaren Quellen nicht belegbar. Angabe ohne Gewähr -- bitte Tarif-Scope direkt beim Anbieter oder im Trust Center prüfen.
Überblick
Kurzbeschreibung
Mistral Vibe (ehemals Le Chat) ist der KI-Assistent von Mistral AI, einem europäischen KI-Unternehmen mit Sitz in Paris. Der Pro-Tarif richtet sich an Einzelnutzer und bietet erweiterte Nachrichtenkontingente, Websuche, Coding-Funktionen und Bildgenerierung. Datenhaltung erfolgt standardmäßig in der EU.
Verdichtetes Urteil
Mistral Vibe Pro ist ein europäischer KI-Assistent mit EU-Datenstandort. Im Pro-Tarif werden Nutzerdaten standardmäßig zum Training herangezogen; ein Opt-out ist dokumentiert, aber muss aktiv erfolgen. Ein Auftragsverarbeitungsvertrag (DPA) ist für Consumer-Pro-Nutzer nicht verfügbar, da das DPA nur für kommerzielle Kunden gilt. Organisationen, die personenbezogene Daten über das Tool verarbeiten, müssen das Opt-out aktiv setzen und können keinen AVV abschließen, was den Einsatz für berufliche Zwecke datenschutzrechtlich einschränkt.
Funktionsbeschreibung
Mistral Vibe ist der multimodale Chat-Assistent von Mistral AI (früherer Name: Le Chat). Die Umbenennung erfolgte am 28. Mai 2026; bestehende Konten, Pläne und Konversationen wurden migriert, die URL chat.mistral.ai blieb unverändert. Vibe Pro ist der kostenpflichtige Consumer-Tarif und richtet sich an Einzelnutzer.
Funktional verarbeitet das Tool textbasierte Eingaben, unterstützt Websuche für aktuelle Informationen, kann Code generieren und analysieren (CLI, IDE, Web) und ermöglicht Bildgenerierung. Nutzer interagieren über einen webbasierten Chat; eine mobile App ist vorhanden. Im Hintergrund betreibt Mistral AI eigene Sprachmodelle (Mistral-Familie). Eingaben und Ausgaben werden serverseitig verarbeitet; Konversationen werden gespeichert, bis der Nutzer sie löscht.
Für EWR-Nutzer (inkl. DACH) gelten die EU Consumer Terms of Service (Stand 28.05.2026), die explizit den Tarif "Vibe Pro" adressieren. Training mit Nutzerdaten ist im Pro-Tarif standardmäßig aktiv und muss per Opt-out deaktiviert werden. Für Team- und Enterprise-Tarife gelten abweichende Regelungen (Training dort standardmäßig inaktiv, DPA verfügbar).
Funktionen
- Textbasierter Chat mit multimodalem Sprachmodell
- Websuche und Echtzeit-Informationsabruf
- Code-Generierung und -Analyse (CLI, IDE, Web)
- Bildgenerierung
- Erhöhte Nachrichtenkontingente gegenüber Free-Tarif
- Chat- und E-Mail-Support
Einsatzszenarien
- Textformulierung, Zusammenfassungen und Recherche für Einzelpersonen im beruflichen Alltag.
- Code-Unterstützung für Entwicklerinnen und Entwickler, die kein API-Konto benötigen.
- Bildgenerierung für kreative Einzelnutzer.
Zielgruppen
- Einzelnutzer / Privatpersonen
- Selbstständige
- Entwicklerinnen und Entwickler (ohne API-Bedarf)
Typische Nutzung
- Texterstellung
- Coding-Assistenz
- Websuche
- Bildgenerierung
Preismodell
Freemium-Modell mit kostenlosen und kostenpflichtigen Tarifen. Pro: monatliche Abo-Gebühr, Preis laut Anbieter-Preisseite (https://mistral.ai/pricing/). Team und Enterprise: separate Preise. Fair-Use-Limits gemäß Terms of Service.
Risikobewertung
Begründung des Risikoprofils
- Training mit Nutzerdaten ist im Pro-Tarif standardmäßig aktiv (opt-out); Eingaben fließen ohne aktives Opt-out in das Modelltraining ein.
- Kein DPA für Consumer-Pro-Nutzer verfügbar; Einsatz mit personenbezogenen Daten anderer Personen ist ohne AVV datenschutzrechtlich nicht zulässig.
- Temporäre Datenverarbeitung durch Subprozessoren außerhalb der EU möglich; vollständige Subprozessorliste nicht direkt verifizierbar (JS-gerendert).
- Free-Tier mit trivialem Self-Signup erhöht Schatten-IT-Risiko in Organisationen.
- Dokumentierte Urheberrechtsbedenken (OECD-Incidents, Klage-Vorwürfe wegen Trainingsdaten).
Typische Risiken
- Training mit beruflichen oder vertraulichen Eingaben ohne aktives Opt-out.
- Fehlende AVV-Grundlage für Drittdatenverarbeitung im Consumer-Pro-Tarif.
- Temporäre Datenübertragung zu nicht vollständig verifizierbaren Subprozessoren außerhalb der EU.
- Unkontrollierter Einsatz durch Mitarbeiter über den Free-Tarif (Schatten-IT).
- Urheberrechtlich umstrittene Trainingsdatenbasis; kein dokumentiertes Indemnification-Programm für Consumer-Pro.
- Halluzinationsrisiko bei faktenkritischen oder rechtlich relevanten Aufgaben.
Kritische Konstellationen
- Verarbeitung von Kundendaten, Mitarbeiterdaten oder anderen personenbezogenen Drittdaten ohne DPA -- datenschutzrechtlich unzulässig, da kein AVV für Consumer-Pro verfügbar.
- Eingabe vertraulicher Geschäftsinformationen ohne aktiv gesetztes Opt-out -- Daten fließen in das Modelltraining ein.
- Einsatz in automatisierten Entscheidungsprozessen über Personen (Personalwesen, Kreditwürdigkeitsprüfung) -- potenziell Hochrisiko nach EU AI Act Anhang III.
- Verarbeitung von Art.-9-DSGVO-Daten (Gesundheit, politische Meinung, Biometrie) -- kein DPA, Rechtsgrundlage nach Art. 9 DSGVO nicht strukturell gesichert.
Organisatorische Anforderungen
- Opt-out für Training aktivieren: Vor produktivem Einsatz das Training in der Admin Console unter Privacy > Toggle deaktivieren. Gilt je Nutzerkonto. Quelle: [Help Center Opt-out](https://help.mistral.ai/en/articles/455207-can-i-opt-out-of-my-input-or-output-data-being-used-for-training).
- Nutzungsbeschränkung auf persönliche Daten: Den Einsatz auf Szenarien beschränken, in denen ausschließlich eigene Daten verarbeitet werden. Kein Einbringen personenbezogener Daten Dritter (Kunden, Mitarbeiter, Patienten) ohne DPA -- das Mistral-DPA gilt nicht für Consumer-Pro.
- Nutzungsrichtlinie für Mitarbeiter erstellen: Dokumentieren, welche Inhalte in Vibe Pro eingegeben werden dürfen und welche nicht (Datenklassifizierung). Besonders: keine Kundendaten, keine Geheimnisse, keine Art.-9-Daten.
- Schatten-IT-Kontrolle: Organisationen sollten prüfen, ob Mitarbeiter den Free-Tarif ohne IT-Genehmigung nutzen, da Self-Signup ohne Zahlungsmittel möglich ist. Kein natives Admin-Dashboard auf Free/Pro-Ebene vorhanden.
- KI-Kompetenz (Art. 4 EU AI Act, gilt ab 02.02.2025): Mitarbeiter, die Vibe Pro einsetzen, müssen eine angemessene KI-Schulung erhalten. Dokumentation empfohlen. Quelle: [Verordnung (EU) 2024/1689, Art. 4](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32024R1689#art_4).
- Interaktions-Transparenz (Art. 50 Abs. 1 EU AI Act, gilt ab 02.08.2026): Werden Vibe-Pro-gestützte Chatbot-Interaktionen gegenüber Dritten eingesetzt, müssen betroffene Nutzer darüber informiert werden, dass sie mit KI interagieren. Quelle: [Verordnung (EU) 2024/1689, Art. 50 Abs. 1](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32024R1689#art_50).
- Kennzeichnung synthetischer Inhalte (Art. 50 Abs. 4 EU AI Act, gilt ab 02.08.2026): KI-generierte Texte, Bilder oder andere Inhalte, die nach außen kommuniziert werden, sind als künstlich erzeugt zu kennzeichnen. Quelle: [Verordnung (EU) 2024/1689, Art. 50 Abs. 4](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32024R1689#art_50).
IT- & Informationssicherheit
IT-Sicherheit
- Verschlüsselung: Mistral AI gibt AES-256-Verschlüsselung im Ruhezustand und TLS 1.2+ für Daten in Transit an. Backups sind verschlüsselt und werden über mehrere EU-Verfügbarkeitszonen repliziert. Quelle: [Help Center Encryption](https://help.mistral.ai/en/articles/347626-how-does-mistral-ai-ensure-that-my-data-remains-encrypted-and-secure-in-transit-and-at-rest).
- Technische und organisatorische Maßnahmen (TOMs) sind im Trust Center hinterlegt. Das DPA erlaubt Anpassungen der TOMs, sofern das Gesamtsicherheitsniveau nicht wesentlich sinkt. Das Trust Center (trust.mistral.ai) ist JS-gerendert und war nicht direkt abrufbar; die genauen TOMs konnten nicht eingesehen werden. Quelle: [DPA](https://legal.mistral.ai/terms/data-processing-addendum).
- Zertifizierungen: ISO/IEC 27001:2022, ISO/IEC 27701:2019, SOC 2 Type I und Type II sind laut Help Center belegt. Ob der Pro-Consumer-Tarif explizit im Geltungsbereich liegt, ist nicht aus Primärquellen verifizierbar. Quelle: [Help Center Zertifizierungen](https://help.mistral.ai/en/articles/347638-do-you-have-soc-2-or-iso-27001-certification).
Informationssicherheit
- Training-Opt-out: Im Pro-Tarif werden Nutzereingaben standardmäßig zum Training verwendet. Werden berufliche oder vertrauliche Inhalte eingegeben, ohne das Opt-out aktiv zu setzen, fließen diese in das Modelltraining ein. Pflichtmaßnahme vor Einsatz: Opt-out in der Admin Console aktivieren.
- Kein DPA für Consumer-Pro: Da kein Auftragsverarbeitungsvertrag für Consumer-Pro-Nutzer verfügbar ist, besteht eine strukturelle Lücke für Einsatzszenarien, in denen Drittdaten (z.B. Kundendaten, Mitarbeiterdaten) verarbeitet werden. Der Einsatz mit personenbezogenen Daten Dritter ist ohne AVV datenschutzrechtlich nicht zulässig.
- Schatten-IT: Der Free-Tarif ermöglicht unkontrollierten Self-Signup ohne Organisationsgenehmigung. Mitarbeiter können das Tool nutzen, ohne dass die IT-Abteilung davon weiß; es gibt keine zentralen Admin-Kontrollen auf Consumer-Ebene.
- Temporäre Drittland-Transfers: Subprozessoren können Daten vorübergehend außerhalb der EU verarbeiten. Die Subprozessorliste ist nicht direkt verifizierbar (JS-blockiert); konkrete Standorte der Subprozessoren sind nicht öffentlich maschinenlesbar geprüft.
Datenschutz (DSGVO)
Verarbeitete Daten
- Freitext-Eingaben der Nutzer (Prompts, Fragen, Anweisungen)
- KI-generierte Ausgaben (Text, Code, Bilder)
- Hochgeladene Dokumente und Dateien (soweit Funktion verfügbar)
- Konversationsverläufe (gespeichert bis zur Nutzerlöschung)
- Kontodaten (Name, E-Mail, Zahlungsdaten für Pro-Abonnement)
- Nutzungs- und Verbindungsmetadaten (Logs, IP-Adressen)
Datenschutzrechtliche Einordnung
Mistral AI agiert gegenüber dem Consumer-Pro-Nutzer als Verantwortlicher (Art. 4 Nr. 7 DSGVO), nicht als Auftragsverarbeiter. Ein DPA steht für Consumer-Pro nicht zur Verfügung. Die Einordnung hasDPA=no stützt sich auf zwei Quellen: (1) Das DPA (Stand 12.03.2026) definiert seinen Geltungsbereich explizit als "kommerzielle Kunden" (vendor-dpa, Stufe 1). (2) Die EU Consumer Terms (Stand 28.05.2026, Stufe 1) verweisen auf ein gesondertes DPA ausschließlich für "kommerzielle Kunden" -- Consumer-Pro-Nutzer fallen strukturell nicht darunter, da diese Nutzungsklasse durch die EU Consumer Terms geregelt wird, nicht durch das Commercial Agreement. Kein positiver Beleg für ein Consumer-Pro-DPA existiert; die Indizienkette beider Quellen ergibt no.
Für den Einsatz im beruflichen Kontext entsteht eine datenschutzrechtliche Lücke: Sobald personenbezogene Daten Dritter (z.B. Mitarbeiter- oder Kundendaten) in das Tool eingegeben werden, fehlt die erforderliche AVV-Grundlage nach Art. 28 DSGVO. Der Pro-Tarif ist daher für die Verarbeitung fremder personenbezogener Daten strukturell nicht geeignet.
Training mit Nutzerdaten ist standardmäßig aktiv; ohne aktives Opt-out werden Eingaben in das Modelltraining eingespeist, was bei sensiblen oder vertraulichen Inhalten ein Datenschutzrisiko darstellt. Drittlandtransfers zu Subprozessoren sind möglich und durch SCCs abgedeckt; die konkrete Subprozessorliste ist nicht direkt verifizierbar.
Art. 5 DSGVO (Grundsätze)
Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Mistral AI verarbeitet Nutzerdaten zur Diensterbringung und, sofern kein Opt-out gesetzt, zum Modelltraining. Im Pro-Tarif ist das Training standardmäßig aktiv. Der Zweck "Modellverbesserung" ist in den EU Consumer Terms benannt, stellt aber eine Zweckerweiterung über die reine Servicebereitstellung hinaus dar, die Nutzer aktiv abwählen müssen.
Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Mistral AI speichert Konversationen dauerhaft bis zur Nutzerlöschung. Metadaten (Logs, IP-Adressen) werden laut Help Center ein Jahr aufbewahrt. Eine automatische Minimierung oder zeitliche Begrenzung für Konversationsdaten ist nicht dokumentiert; Minimierung liegt in der Verantwortung des Nutzers (aktives Löschen).
Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO): AES-256 at rest und TLS 1.2+ in transit sind dokumentiert. Subprozessoren können Daten temporär außerhalb der EU verarbeiten; SCCs sind als Schutzmechanismus angegeben, Subprozessor-Details aber nicht vollständig verifizierbar.
Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO): Mistral AI hat ISO 27001:2022 und ISO 27701:2019 sowie SOC 2 Type II. Ein Trust Center ist vorhanden, aber JS-gerendert und nicht direkt abrufbar. Für Consumer-Pro-Nutzer gibt es kein DPA und damit kein vertragliches Rahmenwerk für Rechenschaftspflichten gegenüber Organisationen.
Art. 6 DSGVO (Rechtsgrundlagen)
Rechtsgrundlage für den Nutzer als Einzelperson (Vertrag, Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung der Nutzerdaten zur Erbringung des Vibe-Pro-Dienstes stützt sich auf Vertragserfüllung mit dem Consumer-Nutzer. Das ist für die rein persönliche Nutzung tragfähig.
Rechtsgrundlage für das Training (berechtigtes Interesse oder Einwilligung): Das Training mit Nutzerdaten im Pro-Tarif ist standardmäßig aktiv. Mistral AI beruft sich in den EU Consumer Terms auf diese Verarbeitung im Rahmen der Vertragsbeziehung; die Rechtsgrundlage für das Training ist aus dem verfügbaren Quellenbestand nicht eindeutig bestimmbar (Einwilligung oder berechtigtes Interesse). Das Opt-out-Modell deutet auf berechtigtes Interesse hin, das Widerspruchsrecht ist gewährt. Eine abschließende Einordnung ist ohne tiefere Analyse der Rechtslage nicht möglich.
Einsatz mit Drittdaten (Organisationskontext): Sobald eine Organisation den Pro-Tarif für die Verarbeitung personenbezogener Daten Dritter (Kunden, Mitarbeiter) einsetzt, ist Art. 6 DSGVO allein nicht ausreichend. Es fehlt ein AVV nach Art. 28 DSGVO, da das Mistral-DPA für Consumer-Tarife nicht gilt. Der Einsatz mit Drittdaten ist ohne AVV rechtlich nicht zulässig.
EU AI Act
Art. 5 (verbotene Praktiken)
Mistral Vibe Pro ist ein Allzweck-KI-Assistent ohne erkennbare Ausrichtung auf verbotene Praktiken nach Art. 5 EU AI Act. Folgende Konstellationen müssen beachtet werden:
In der Standard-Nutzung (Texterstellung, Coding, Suche) greift kein Verbotstatbestand nach Art. 5 EU AI Act. Das Tool ist nicht für Social Scoring, emotionale Manipulation oder biometrische Fernidentifikation konzipiert.
Kritische Einsatzkonstellation: Werden Outputs aus Vibe Pro in automatisierten Entscheidungsprozessen über Personen verwendet (z.B. Bewerberselektion, Kreditwürdigkeitsprüfung), kann je nach Ausgestaltung Art. 5 Abs. 1 lit. a EU AI Act (unterschwellige Beeinflussung) oder lit. b (Ausnutzung von Vulnerabilitäten) relevant werden. Dies liegt jedoch in der Deployer-Verantwortung, nicht im Tool selbst.
Keine Primärquelle von Mistral AI zur eigenen EU-AI-Act-Einordnung von Vibe gefunden; die Einordnung basiert auf der regelbasierten Lektüre der Verordnung.
Art. 6 (Hochrisiko)
Mistral Vibe Pro ist kein Hochrisiko-KI-System im Sinne von Art. 6 EU AI Act in seiner Standard-Verwendung als Consumer-Chat-Assistent. Das Produkt fällt nicht unter die in Anhang III genannten Hochrisikoanwendungen (Biometrie, kritische Infrastruktur, Bildung im Bewertungskontext, Beschäftigung, Zugang zu wesentlichen Diensten, Strafverfolgung, Migration, Rechtspflege).
Einsatzabhängige Hochrisiko-Einordnung: Wenn Nutzer oder Organisationen das Tool in Prozessen einsetzen, die in Anhang III fallen (z.B. KI-unterstützte Personalentscheidungen, Kreditwürdigkeitsbewertung), gelten die Hochrisikovorschriften für den jeweiligen Einsatzkontext. In diesem Fall treffen den Deployer die Betreiberpflichten nach Art. 26 EU AI Act (ab 12/2027 gemäß Omnibus-Verschiebung).
Als GPAI-Modell (General Purpose AI) unterliegt das zugrundeliegende Mistral-Modell den GPAI-Anforderungen nach Art. 51 ff. EU AI Act; dies betrifft den Anbieter Mistral AI, nicht den Deployer.
Nachvollziehbarkeit
Reviewer
ai-research / claude-sonnet-4-6
Quellen
- Pricing -- Mistral AI · Anbieter-Website · Zugriff: 2026-06-23
- Mistral Vibe (formerly Le Chat) -- Produktseite · Anbieter-Website · Zugriff: 2026-06-23
- Le Chat is now Vibe -- Mistral Help Center · Anbieter-Doku · Zugriff: 2026-06-23
- Privacy Policy -- Mistral AI (Stand 08.04.2026) · Datenschutzerklärung · Zugriff: 2026-06-23
- Terms of Service for consumers in the EEA -- Mistral AI (Stand 28.05.2026) · Anbieter-Doku · Zugriff: 2026-06-23
- Terms of Service for consumers outside of the EEA -- Mistral AI (Stand 28.05.2026) · Anbieter-Doku · Zugriff: 2026-06-23
- Data Processing Addendum -- Mistral AI (Stand 12.03.2026) · AVV/DPA · Zugriff: 2026-06-23
- Where do you store my data? -- Mistral Help Center · Anbieter-Doku · Zugriff: 2026-06-23
- Can I opt out of training? -- Mistral Help Center · Anbieter-Doku · Zugriff: 2026-06-23
- Privacy -- Mistral Docs · Anbieter-Doku · Zugriff: 2026-06-23
- Data Encryption -- Mistral Help Center · Anbieter-Doku · Zugriff: 2026-06-23
- SOC 2 / ISO 27001 -- Mistral Help Center · Anbieter-Doku · Zugriff: 2026-06-23
- Trust Center -- Mistral AI · Trust Center · Zugriff: 2026-06-23
- Subprozessoren -- Mistral Trust Center · Trust Center · Zugriff: 2026-06-23
- Audit Logs -- Mistral Docs · Anbieter-Doku · Zugriff: 2026-06-23
- SSO -- Mistral Docs · Anbieter-Doku · Zugriff: 2026-06-23
- Mistral AI Accused of Massive Copyright Infringement -- OECD.AI · Unabhängige Bewertung · Zugriff: 2026-06-23
- Mistral AI Faces Data Privacy Controversy Over Chatbot Le Chat -- OECD.AI · Unabhängige Bewertung · Zugriff: 2026-06-23
- Commercial Terms of Service -- Mistral AI · Anbieter-Doku · Zugriff: 2026-06-23
- How long do you store my data? -- Mistral Help Center · Anbieter-Doku · Zugriff: 2026-06-23
- Training Datasets Disclosure -- Mistral Help Center · Anbieter-Doku · Zugriff: 2026-06-23
Offene Fragen
- Widerspruch Training-Regelung: docs.mistral.ai nennt Vibe Pro "not used for training by default" (opt-in-Frame), während EU Consumer Terms und Help Center klar opt-out formulieren. Primärquelle ist das Rechtsdokument (EU Consumer Terms, Stand 28.05.2026); der Widerspruch in der Entwicklerdokumentation ist nicht aufgelöst.
- DPA-Geltung Consumer-Pro: Das Mistral-DPA adressiert "kommerzielle Kunden"; ob Consumer-Pro-Nutzer ein DPA abschließen können, ist nicht positiv belegt. hasDPA=no basiert auf der Formulierung des DPA und des EU Consumer Terms-Verweises; eine explizite Ausschlussklausel für Consumer-Pro ist nicht wörtlich vorhanden, aber die Geltung ist aus verfügbaren Quellen nicht belegbar.
- Subprozessoren-Inhalt: Die Subprozessorliste unter trust.mistral.ai/subprocessors ist JS-gerendert und nicht direkt verifizierbar. Konkrete Subprozessor-Namen, Standorte und Verarbeitungszwecke konnten nicht einzelverifiziert werden.
- Zertifikats-Geltungsbereich für Pro-Consumer-Tarif: Ob ISO 27001, ISO 27701 und SOC 2 Type II den Pro-Consumer-Tarif explizit umfassen, ist aus verfügbaren Quellen nicht belegbar (Trust Center JS-blockiert, Zertifikatsdokumente nicht einsehbar).
- Retention (limited-retention): EU Consumer Terms belegen Mindest-Nachlauf von 30 Tagen nach Account-Löschung. Ob Einzel-Konversationslöschungen beim Anbieter sofort wirksam werden, ist primärbelegt nicht belegt; R1.1 worst-case gilt. Primärquelle zur sofortigen Löschung würde Neubewertung ermöglichen.
- Output-Sichtbarkeit (outputDataExposure=unknown): Keine Stufe-1-Quelle belegt, dass Ausgaben privat sind. Einordnung aus Produktarchitektur (persönlicher Chat, kein dokumentierter Community-Feed) reicht nach R1.1 nicht. Direkte Anbieteraussage zur Output-Sichtbarkeit würde Flip auf `no` ermöglichen.
Siehe auch
Exportiert am