Google Gemini klingt erstmal vertraut. Es ist Google. Jeder nutzt Google. Also kann man Gemini auch einfach nutzen, oder?
Diese Logik höre ich immer wieder, in Foren, auf LinkedIn, in Branchengruppen. Und sie ist falsch. Nicht weil Google ein schlechtes Produkt baut. Sondern weil die DSGVO-Anforderungen für KI-Tools nicht davon abhängen, wie vertraut der Markenname klingt.
Gemini hat ein paar Eigenheiten, die es von anderen KI-Tools unterscheiden. Nicht in der Qualität der Antworten. In der Frage, was mit Ihren Daten passiert, nachdem Sie sie eingegeben haben.
Die 72-Stunden-Falle
Das ist der Punkt, den fast niemand kennt. Gemini bietet in den Einstellungen eine Option, die Speicherung von Prompts abzuschalten. Klingt gut. Machen Sie das mal. Problem gelöst?
Nein. Auch wenn Sie die Speicherung deaktivieren, behält Google Ihre Eingaben noch 72 Stunden lang. Drei volle Tage. Google begründet das mit “Sicherheits- und Missbrauchsprüfungen”. In diesen 72 Stunden können menschliche Reviewer bei Google Ihre Prompts einsehen.
Stellen Sie sich vor, ein Mitarbeiter in Ihrer Kanzlei gibt eine Mandantenanfrage in Gemini ein. Personenbezogene Daten, Name, Steuernummer, Sachverhalt. Selbst mit deaktivierter Speicherung liegen diese Daten drei Tage lang auf Google-Servern. Zugänglich für menschliche Prüfer.
Für regulierte Unternehmen ist das nicht tragbar. Sie haben keine Kontrolle über die Aufbewahrung. Sie haben keine Kontrolle darüber, wer die Daten einsieht. Und Sie haben keinen Vertrag, der das regelt.
18 Monate Speicherung als Standard
Aber es geht noch weiter. Die 72-Stunden-Falle betrifft Nutzer, die aktiv die Speicherung abschalten. Die Standardeinstellung ist eine andere.
Wer nichts ändert (und das sind die meisten), dessen Prompts werden 18 Monate lang gespeichert. Eineinhalb Jahre. Jede Eingabe, jede Frage, jeder Mandantenname, der versehentlich in den Prompt gelangt.
Ich kenne keine Kanzlei, in der jeder Mitarbeiter seine Google-Einstellungen aktiv konfiguriert. Die Realität sieht so aus: Ein Mitarbeiter öffnet Gemini im Browser, tippt eine Frage ein, bekommt eine Antwort. Das Ganze dauert 30 Sekunden. Die Daten bleiben 18 Monate.
Consumer-Version: Kein AVV
Das ist der Knackpunkt. Die Consumer-Version von Gemini, also die Version, die jeder über sein Google-Konto nutzen kann, bietet keinen Auftragsverarbeitungsvertrag an.
Ohne AVV fehlt die vertragliche Grundlage nach Art. 28 DSGVO. Das ist keine Auslegungsfrage. Das ist geltendes Recht. Wenn Ihre Mitarbeiter personenbezogene Daten in die Consumer-Version von Gemini eingeben, haben Sie keine vertragliche Absicherung für diese Verarbeitung.
Kein AVV bedeutet auch: keine vertraglichen Zusagen zur Datenlöschung, keine definierten technischen und organisatorischen Maßnahmen, keine Kontrollrechte. Sie geben Daten an einen Verarbeiter weiter, ohne dass ein Vertrag existiert, der regelt, was damit passiert.
Consumer vs. Workspace Enterprise
Google bietet tatsächlich eine DSGVO-taugliche Variante an. Gemini in Google Workspace Enterprise hat einen AVV, kein Training mit Ihren Daten, und EU-Datenresidenz.
Das Problem: Die meisten Mitarbeiter nutzen nicht diese Version. Sie nutzen die Consumer-Version. Über ihr privates Google-Konto. Oder über das Google-Konto, das sie sich irgendwann für die Arbeit angelegt haben, das aber nicht Teil der Workspace-Enterprise-Lizenz ist.
Der Unterschied ist von außen kaum sichtbar. Gemini sieht in beiden Fällen gleich aus. Die Oberfläche ist dieselbe. Die URL ist dieselbe. Aber die DSGVO-Bedingungen sind komplett unterschiedlich.
Ich habe in meinem KI-Tools-DSGVO-Vergleich alle gängigen Plattformen nebeneinander gestellt. Bei Gemini ist der Abstand zwischen Consumer und Enterprise besonders groß.
Wie Gemini im Vergleich zu Copilot abschneidet
Microsoft Copilot für Microsoft 365 hat seine eigenen Baustellen. Oversharing, die Anthropic-Subprozessor-Thematik, die DSK-Bewertung. Aber in einem Punkt ist Microsoft weiter: Es gibt einen DPA (Data Processing Addendum, also den AVV), eine EU Data Boundary und vertragliche Zusagen, die für alle Business-Lizenzen gelten.
Bei Google Gemini gibt es das auch. Aber nur für Workspace Enterprise. Die Consumer-Version steht ohne alles da. Kein AVV, keine EU-Datenresidenz, 72-Stunden-Speicherung selbst bei deaktivierter Option, 18 Monate im Standard.
Wenn ein Mitarbeiter auf seinem Dienstlaptop google.com öffnet und Gemini nutzt, ist er in der Consumer-Welt. Nicht in der Enterprise-Welt. Und die meisten Unternehmen merken das nicht.
Was Sie jetzt tun sollten
Drei Schritte. Keiner davon ist kompliziert.
Erstens: Prüfen Sie, welche Google-Lizenzen in Ihrer Organisation aktiv sind. Haben Sie Google Workspace Enterprise mit dem Gemini-Add-on? Oder nutzen Ihre Mitarbeiter Consumer-Konten?
Zweitens: Wenn Mitarbeiter die Consumer-Version nutzen, nehmen Sie Gemini Consumer in Ihre KI-Nutzungsrichtlinie auf. Als gesperrtes Tool. Nicht als Empfehlung, sondern als klare Ansage: Personenbezogene Daten haben dort nichts zu suchen. Falls Sie noch keine Nutzungsrichtlinie haben, ist das der Moment, eine zu erstellen. Ich habe die Bausteine dafür in meinem Beitrag zur KI-Nutzungsrichtlinie zusammengestellt.
Drittens: Wenn Sie Google Workspace Enterprise nutzen und Gemini aktivieren wollen, prüfen Sie die Konfiguration. AVV unterschrieben? EU-Datenresidenz aktiviert? Training deaktiviert? Die Möglichkeit zur DSGVO-konformen Nutzung ist da. Aber sie muss konfiguriert werden.
Nicht verbieten, aber steuern
Ich sage nicht, dass Gemini schlecht ist. Gemini ist ein leistungsfähiges Tool. In der Enterprise-Version mit den richtigen Einstellungen kann es DSGVO-konform eingesetzt werden.
Aber die Consumer-Version ist für den geschäftlichen Einsatz mit personenbezogenen Daten nicht geeignet. Das ist kein Urteil über die Technik. Das ist eine Feststellung über die vertraglichen und regulatorischen Rahmenbedingungen.
Und die 72-Stunden-Falle zeigt, dass selbst die Einstellungen, die Google anbietet, nicht so weit gehen, wie viele annehmen. “Speicherung aus” bedeutet nicht “Daten sofort weg”. Es bedeutet: noch drei Tage da, mit menschlichem Zugriff.
Sie nutzen Google Workspace und wollen wissen, ob Ihr Setup DSGVO-konform ist? In meinem kostenlosen KI-Check gehen wir in 30 Minuten durch, welche Tools Ihre Mitarbeiter nutzen und wo die Lücken sind.