Modell-Vergleich fuer DSGVO-Agent-Use-Cases
Stand Mai 2026. Drei Achsen: Modell-Qualitaet fuer Agent-Workflows, DSGVO-Pfad (Datenfluss + Vertrag), Cost. Ein Modell kann auf einer Achse stark sein und auf anderen versagen — daher die Entscheidung pro Use-Case, nicht pauschal.
Marktbewegung seit Marvins Cutoff (Jan 2026)
Recherchiert 2026-05-17:
- Claude Sonnet 4.6 auf Bedrock EU Frankfurt (Feb 2026) — als bestes Computer-Use- und Agent-Modell positioniert. ZDR-Addendum plus region-locked Inference-Profile ist der saubere DSGVO-Pfad.
- Mistral Large 3 (Dez 2025) — 675B MoE / 41B aktiv, agent-optimiert, harte JSON-Schema-Compliance.
- Mistral Medium 3.5 (April 2026) — explizit „optimized for agentic and coding use cases”, deutlich guenstiger als Large 3.
- Codestral 25.08 (Juli 2025) — Coding-Specialist, low-latency Fill-in-the-Middle.
- Gemma 4 (April 2026) — 4 Varianten (E2B, E4B, 26B MoE, 31B Dense), τ2-bench Tool-Use 86.4 %, Apache 2.0, self-host in EU moeglich.
- Aleph Alpha + Cohere Merger (April 2026, 20 Mrd. USD, Schwarz-Gruppe als Lead) — Pharia AI als sovereign EU-Stack, jetzt mit Cohere-Command-A.
- Claude Code Enterprise auf Azure EU angekuendigt, Timeline unklar.
Tabelle — DSGVO-Agent-Champions
| Modell | Hosting-Pfad | Agent-Tool-Use | DSGVO-Profil | Preis $/M (in/out) |
|---|---|---|---|---|
| Claude Sonnet 4.6 | Bedrock EU Frankfurt + ZDR + region-lock | sehr stark (Computer-Use-Champion) | US-Anbieter unter AWS-EU-Sub-Processor — Schrems-II-TIA noetig | 3 / 15 |
| Claude Opus 4.7 | Bedrock EU Frankfurt + ZDR | sehr stark, beste Plans | wie Sonnet | 15 / 75 |
| Mistral Medium 3.5 | Mistral EU API (FR-Hosting) | stark, agent-optimiert | EU-Anbieter, keine Schrems-Frage, klare AVV | ~1 / 3 |
| Mistral Large 3 | Mistral EU API ODER self-host (open-weights) | stark, hartes JSON-Schema | wie Medium, selbst-hostbar | ~2 / 6 (API) |
| Gemma 4 31B Dense | self-host (1x H100, Hetzner GEX44) | stark (τ2-bench 86.4) | maximale Souveraenitaet, Apache 2.0, kein US-Vertrag | Infra ~1k EUR/Mo |
| Gemma 4 26B MoE | self-host (1x RTX 5090/6000 Ada) | stark | wie 31B, billiger | Infra ~300 EUR/Mo |
| Codestral 25.08 | Mistral EU API ODER self-host | sehr stark im Coding-Tool-Use | wie Mistral | ~0.3 / 0.9 |
| Aleph Alpha PhariaAI | on-prem oder EU-Cloud, sovereign | mittel-stark | maximale Compliance (BSI C5, BaFin, Defense) | Enterprise, intransparent |
| Llama 4 Maverick | Bedrock EU Frankfurt | mittel | wie Claude (US-Anbieter, EU-Hosting) | ~3 / 8 |
Zahlen sind Q2-2026-Stand, gerundet.
Empfehlung nach Use-Case
| Use-Case | Modell | Warum |
|---|---|---|
| Open WebUI VF Daily-Driver | Sonnet 4.6 + Bedrock EU + ZDR | beste Tool-Use-Reliabilitaet, akzeptabler DSGVO-Pfad |
| Receptionist, Friseur-Bot, WhatsApp | Sonnet 4.6 + Bedrock EU | gleiches Pattern, geringe Kontextlast |
| Industriekunden-Pattern (Becker-Mirror) | Mistral Medium 3.5 (Mistral EU API) | EU-Anbieter, klare AVV, agent-optimiert |
| Industriekunden „nichts in die Cloud” | Gemma 4 31B Dense self-host (Hetzner GEX44) | Apache 2.0, maximale Souveraenitaet, agent-faehig |
| Behoerden/Banking/Healthcare/Defense | Aleph Alpha PhariaAI | einziger Stack mit BSI-C5-/BaFin-Compliance-Tiefe |
| Pure Coding-Agents intern | Codestral 25.08 (Mistral EU API) | Coding-Specialist, low-latency |
| Lokales Routing / Klassifikation (Hot-Path) | Haiku 4.5 ODER Gemma 4 26B MoE | 3-10x billiger als Sonnet |
Ranking als One-Liner
- Claude Sonnet 4.6 (Bedrock EU + ZDR) — beste Agent-Qualitaet, akzeptabler DSGVO-Pfad
- Mistral Medium 3.5 (Mistral EU API) — beste DSGVO-Story bei guter Agent-Qualitaet
- Gemma 4 31B Dense (self-host) — beste Souveraenitaet, gute Agent-Qualitaet, hoechster Eigenaufwand
- Aleph Alpha PhariaAI — fuer harte regulierte Faelle die andere drei nicht abdecken
- Mistral Large 3 (API oder self-host) — wenn Medium 3.5 nicht reicht, Mistral-Welt bleibt
DSGVO-Konfigurations-Checkliste fuer Bedrock-Pfad
Bei Claude-Modellen via Bedrock EU:
- Region-Lock in LiteLLM-Whitelist (
eu.anthropic.*Profile, nie nackteanthropic.*) - Cross-Region-Inference disabled in den verwendeten Inference-Profilen (CRIS-Profile sind explizit EU-only — pruefen)
- ZDR-Addendum mit Anthropic ueber AWS-TAM beantragt + schriftlich bestaetigt
- AVV mit Kunde signiert, Subprocessor-Liste vollstaendig (AWS EMEA SARL, Cloudflare Germany, Anthropic via AWS-DPA, ggf. Scalekit, ggf. Replicate)
- Schrems-II-TIA dokumentiert (AWS als US-Mutter, EU-Hosting + EMEA-Vertrag schliesst die Luecke)
- CloudWatch-Logs Retention auf < 30 Tage gesetzt wo keine Audit-Pflicht (sonst Datenfluss-Erweiterung)
Was schief geht: Cross-Region-Inference standardmaeßig aktiv (US-Failover). Inference-Profile-Setup explizit pinnen.
Konsequenzen fuer den AV-Stack
Drei Wissens-Eintraege sind durch diese Recherche stale und sollten ein Update kriegen:
- hosting-industriekunden — Mistral Large 2 raus, Mistral Medium 3.5 + Gemma 4 31B rein
- zugriffsmodell — ZDR-Addendum-Pattern ergaenzen
- anthropic-datenschutz — Bedrock-EU-CRIS-Profile-Verifikation
Aktualisierungs-Trigger
Diese Tabelle altert schnell. Re-Review-Pflicht:
- Bei neuem Modell-Release (Claude X.0, Mistral Large 4, Gemma 5, neuer Anthropic-Partner)
- Bei AWS-Bedrock-Region-Expansion (z.B. wenn Image-Gen in EU verfuegbar wird)
- Bei DSGVO-Rechtsprechungs-Aenderung (z.B. neuer Schrems-Entscheid)
- Mindestens quartalsweise
Quellen
Recherche 2026-05-17 (_index Trigger):
- Mistral Docs Changelog + Serenities-AI-Guide
- Artificial Analysis Mistral Large 3
- AWS Bedrock Frankfurt-Verfuegbarkeitsdaten
- Anthropic Data-Residency-Docs + Claude EU Hosting Guide (compound.law)
- DeepMind Gemma 4 + Google Blog
- Kai Waehner Enterprise Agentic AI Landscape 2026
- PhariaAI Docs + Cohere/Aleph-Alpha-Merger-Analyse
Cross-Refs
- agent-system-best-practices — verwendet diese Modell-Wahl
- hosting-industriekunden — aelteres Pattern, Update faellig
- bedrock-eu-image-gen-limitation — warum Image-Gen separat
- anthropic-datenschutz — Schrems-II-Hintergrund