Private KI statt Datenkrake: Lumo, Maple & Co. im Vergleich – wie vertraulich sind KI-Chats wirklich?
Einem KI-Chat vertrauen viele Menschen Dinge an, die sie nie in eine Suchmaschine tippen würden: Gesundheitsfragen, Beziehungsprobleme, Finanzen, Geschäftsideen. Genau deshalb lohnt ein nüchterner Blick darauf, wo diese Gespräche landen. Die kurze Antwort: Bei den großen Anbietern sind sie nicht privat – und die Alternativen unterscheiden sich stärker, als ihre Werbeversprechen vermuten lassen.
Warum das Thema gerade jetzt brennt
Zwei Ereignisse haben gezeigt, wie dünn das Eis ist:
- OpenAI musste per Gerichtsbeschluss alle Chats aufbewahren. Im Mai 2025 ordnete ein US-Gericht im Urheberrechtsstreit mit der New York Times an, sämtliche ChatGPT-Konversationen zu speichern – ausdrücklich auch die gelöschten. Der „Löschen“-Button war monatelang eine Attrappe. Die Anordnung endete erst im September 2025, ein Teil der Daten blieb gesichert.
- Anthropic trainiert seit Herbst 2025 standardmäßig mit Consumer-Chats. Wer beim Claude-Chatbot nicht aktiv widerspricht, dessen Gespräche fließen ins Training ein – mit einer Aufbewahrungsfrist von fünf Jahren. Beim Opt-out sind es 30 Tage.
Die Lektion ist dieselbe wie bei Cloud-Speichern und Messengern: Was ein Anbieter im Klartext besitzt, kann er auswerten, verlieren oder herausgeben müssen – ganz gleich, was im Marketing steht. Deshalb entsteht gerade eine neue Kategorie: KI-Dienste, die technisch so gebaut sind, dass der Betreiber möglichst wenig sieht.
Das ehrliche Kleingedruckte: „Ende-zu-Ende“ funktioniert bei KI anders
Bei Signal bedeutet Ende-zu-Ende-Verschlüsselung: Nur Sender und Empfänger können die Nachricht lesen, der Server nie. Bei einer Cloud-KI geht genau das prinzipbedingt nicht – denn der „Empfänger“ ist das Sprachmodell selbst, und das läuft auf dem Server des Anbieters. Irgendwo muss deine Frage im Klartext vorliegen, sonst kann keine Antwort entstehen.
Die spannende Frage ist also nicht ob, sondern wo und wie kurz der Klartext existiert – und was danach gespeichert wird. Daraus ergeben sich vier Schutzmodelle:
- Zero-Access-Speicherung: Der Chat wird verschlüsselt transportiert, auf dem GPU-Server kurz entschlüsselt und beantwortet; gespeichert wird der Verlauf so, dass nur du ihn entschlüsseln kannst. Der Betreiber verspricht, nichts zu loggen – beweisen kann er es nicht. (Lumo)
- Confidential Computing: Die Verarbeitung passiert in einer hardware-isolierten Enklave (Trusted Execution Environment, TEE), in die nicht einmal der Betreiber hineinschauen kann. Per Attestation lässt sich kryptografisch prüfen, dass wirklich der veröffentlichte Code läuft. (Maple)
- Anonymisierungs-Proxy: Deine Anfrage geht im Klartext an Big-Tech-Modelle, aber ohne Konto, ohne IP-Adresse und mit vertraglichem Trainingsverbot. Schützt die Identität, nicht den Inhalt. (Duck.ai, Brave Leo)
- Lokal: Das Modell läuft auf deinem Rechner. Nichts verlässt das Haus. (Self-Hosting, dazu unten mehr)
Lumo von Proton: der europäische Weg
Lumo kommt von Proton, den Machern von Proton Mail, und ist der Dienst mit dem stärksten europäischen Fundament: Die Modelle laufen ausschließlich auf Protons eigener Hardware in der Schweiz, Deutschland und Norwegen, unter Schweizer Datenschutzrecht. Chats werden nicht geloggt, nicht fürs Training verwendet und der Verlauf liegt zero-access-verschlüsselt auf den Servern – Proton selbst kann ihn nicht öffnen. Die Apps sind quelloffen. Seit dem Update auf Lumo 2.0 Ende Juni 2026 gibt es zwei Modellstufen (Lite und Max), Bildgenerierung, Memory und private Websuche.
Die ehrliche Einordnung: Lumo ist kein echtes Ende-zu-Ende-System – die GPU-Server entschlüsseln jede Anfrage, und anders als bei Maple gibt es keine Hardware-Enklave und keine Attestation. Du musst Proton glauben, dass wirklich nichts geloggt wird. Kritiker bemängeln außerdem, dass „Open Source“ nur für die Apps gilt, nicht für den Serverbetrieb. Und: Unter der Haube stecken eher kleine offene Modelle (u. a. Mistral-Varianten, OLMo 2 32B) – solide für Alltagsfragen, aber spürbar unter dem Niveau der Frontier-Modelle. Dafür ist das Vertrauensmodell einfach: ein Anbieter, der seit Jahren vom Datenschutz lebt und vor Gericht schon bewiesen hat, dass er kaum Daten herausgeben kann, weil er kaum welche hat.
Maple AI: das technisch stärkste Vertrauensmodell
Maple AI vom US-Startup OpenSecret geht einen Schritt weiter: Deine Nachricht wird auf dem Gerät verschlüsselt und erst innerhalb einer Hardware-Enklave (Confidential Computing auf AWS Nitro bzw. GPU-TEEs) entschlüsselt und verarbeitet. Der Clou ist die Attestation: Der Enklaven-Code ist veröffentlicht, und dein Client prüft kryptografisch, dass genau dieser Code auf der Hardware läuft – nicht eine heimlich veränderte Version mit Logging. Das ist der Unterschied zwischen „vertrau mir“ und „prüf es nach“.
Dazu passt der Rest: Registrierung geht ohne E-Mail-Adresse, und bezahlen kannst du mit Bitcoin – mit 10 % Rabatt. Die Modellauswahl ist die stärkste unter den privaten Anbietern: neben Llama 3.3 70B und gpt-oss-120b auch echte Reasoning-Schwergewichte wie DeepSeek R1 und Kimi K2 Thinking. Preislich: eingeschränkter Gratis-Tarif, danach ab ca. 6 $ im Monat, der Pro-Tarif mit allen Modellen kostet 20 $.
Die ehrliche Einordnung: Auch TEEs sind kein Zauber – du verlagerst das Vertrauen vom Betreiber auf die Chip-Hersteller (AMD, Intel, NVIDIA), gegen deren Enklaven es in der Vergangenheit Seitenkanal-Angriffe gab. Und Maple ist ein US-Unternehmen, mit allem, was das juristisch bedeutet. Trotzdem: Wer Cloud-KI mit dem derzeit besten überprüfbaren Schutz will, landet hier.
Die pragmatischen Alternativen: Duck.ai, Brave Leo, Venice
- Duck.ai (DuckDuckGo) ist der einfachste Einstieg: kein Konto, gratis, Verlauf nur lokal im Browser. Deine Anfragen gehen über einen Proxy, der IP-Adresse und Identität entfernt, an Modelle von OpenAI, Anthropic und Mistral – mit vertraglichem Trainingsverbot und maximal 30 Tagen Speicherung. Gut für die Identität, aber der Inhalt liegt weiter im Klartext bei Big Tech.
- Brave Leo steckt direkt im Brave-Browser, loggt nach der Antwort nichts und proxyt ebenfalls die IP. Praktisch, aber gleiches Grundmodell wie Duck.ai.
- Venice AI speichert Verläufe nur im Browser, verzichtet auf die meisten Inhaltsfilter und ist in der Krypto-Szene beliebt. Unzensiert heißt allerdings auch: kein europäisches Datenschutz-Fundament, und das Vertrauensmodell ist schwächer dokumentiert als bei Lumo oder Maple.
Der Vergleich auf einen Blick
| Lumo (Proton) | Maple AI | Duck.ai | Venice AI | |
|---|---|---|---|---|
| Schutzmodell | Zero-Access-Speicherung, No-Logs | Hardware-Enklave (TEE) + Attestation | Anonymisierungs-Proxy | Client-seitig, Verlauf nur im Browser |
| Betreiber sieht Klartext? | Kurz, bei der Verarbeitung (Versprechen: kein Log) | Nein (hardwareseitig verhindert, prüfbar) | Nein – aber OpenAI & Co. schon | Kurz, bei der Verarbeitung |
| Konto nötig? | Für Verlauf ja | Ja, aber ohne E-Mail möglich | Nein | Nein (Free) |
| Jurisdiktion | Schweiz/EU | USA | USA | USA |
| Modelle | Eigene Stufen (Lite/Max) auf Basis offener Modelle | Kimi K2 Thinking, DeepSeek R1, gpt-oss-120b, Llama 3.3 u. a. | GPT, Claude, Mistral (fremdgehostet) | Offene Modelle, unzensiert |
| Bitcoin-Zahlung | Nein | Ja (10 % Rabatt) | – (gratis) | Ja |
| Leistungsniveau | Alltag gut, Frontier nein | Bestes privates Angebot | Frontier-Modelle, aber Klartext | Mittelfeld |
Kurz zu Self-Hosted: die eigene Node unter den KIs
Wer maximale Privatsphäre will, lässt das Modell lokal laufen – mit Ollama, LM Studio oder llama.cpp ist das inzwischen erstaunlich einfach: Programm installieren, offenes Modell laden, fertig. Nichts verlässt deinen Rechner, keine Firma, kein Vertrag, kein Vertrauensvorschuss. Es ist dieselbe Logik wie bei der eigenen Bitcoin-Node: Verifizieren statt vertrauen.
Der Haken ist – wie du richtig vermutest – die Power. Auf einem normalen Laptop oder einer Gaming-GPU mit 8–24 GB Speicher laufen Modelle mit 7 bis 32 Milliarden Parametern flüssig (etwa Qwen 3, Mistral Small, Gemma 3 oder gpt-oss-20b). Die sind für Zusammenfassungen, Textentwürfe und Alltagsfragen gut brauchbar, spielen aber zwei Ligen unter den Frontier-Modellen. Die offenen Schwergewichte wie DeepSeek oder Kimi K2 brauchen Server-Hardware jenseits privater Budgets. Self-Hosting ist also perfekt für sensible Einzelfragen und als Grundsatzentscheidung – als vollwertiger Ersatz für ein Spitzenmodell taugt es (noch) nicht.
Kann eine private KI mit Claude Opus 4.8 mithalten?
Die ehrliche Antwort: ganz mithalten nein – aber der Abstand ist kleiner, als die meisten denken, und für viele Aufgaben egal.
Die besten offenen Modelle haben 2026 mächtig aufgeholt: Beim Coding-Benchmark SWE-bench Verified liegt etwa MiniMax M2.5 mit rund 80 % praktisch gleichauf mit Claude Opus 4.6 – dem Spitzenmodell von vor wenigen Monaten. Opus 4.8 liegt mit knapp 89 % darüber, die neueste Anthropic-Generation noch einmal deutlich höher. Das Muster: Die offenen Modelle hängen der geschlossenen Spitze etwa eine halbe bis eine Generation hinterher.
Für dich heißt das konkret:
- Alltag (Texte, Erklärungen, Übersetzungen, Recherche): Lumo oder Duck.ai reichen locker; einen Unterschied zu Opus wirst du selten merken.
- Anspruchsvolles Denken und Programmieren mit Privatsphäre: Maple mit Kimi K2 Thinking oder DeepSeek R1 ist die derzeit stärkste private Option – Niveau der Frontier-Modelle von vor sechs bis zwölf Monaten, was objektiv sehr gut ist.
- Absolute Spitzenleistung (komplexe Agenten-Aufgaben, schwierigste Coding-Probleme): Da führt an den geschlossenen Modellen von Anthropic & Co. noch kein Weg vorbei – dann aber bewusst: Training-Opt-out setzen, nichts Sensibles hineinschreiben, oder über einen Proxy wie Duck.ai zumindest die Identität schützen.
Fazit
Deine Chats bei ChatGPT und Claude sind standardmäßig Rohstoff – für Training, Gerichtsverfahren oder beides. Wer das nicht will, hat 2026 echte Alternativen: Lumo für das europäische Rundum-Paket mit einfachem Vertrauensmodell, Maple AI für den technisch besten, nachprüfbaren Schutz samt Bitcoin-Zahlung und der stärksten Modellauswahl, Duck.ai für schnelle anonyme Fragen ohne Konto – und ein lokales Modell für alles, was wirklich niemanden etwas angeht. An die absolute Leistungsspitze von Opus 4.8 kommt davon noch keine heran, aber die private zweite Reihe ist inzwischen besser als die Weltspitze von vor einem Jahr. Für die meisten Fragen des Lebens ist das mehr als genug.
Mehr zum Thema digitale Selbstverteidigung: 5 Schritte für mehr Online-Privatsphäre und warum ein VPN dazugehört.
Privatsphäre ist kein Zufall
Auf unserer Privacy-Seite findest du Werkzeuge und Anleitungen für ein souveränes digitales Leben – oder du lernst es hands-on im Privacy-Workshop in München.
Berater für Informationssicherheit · Bitcoinlighthouse
Seit 2021 helfe ich Menschen dabei, sich durch Open-Source-Lösungen wie Bitcoin, Linux und GrapheneOS unabhängiger zu machen und digitale Sicherheit sowie Souveränität zu erlangen.
Verwandte Beiträge

Clientseitige vs. Serverseitige Verschlüsselung – Was ist der Unterschied?
Wenn ein Cloud-Anbieter sagt „wir verschlüsseln deine Daten“, klingt das erstmal gut. Aber die entscheidende Frage ist: Wer hat den Schlüssel? Die Antwort darauf trennt echten Datenschutz von einer Marketingaussage.

Das Gerät in deiner Tasche gehört nicht dir.
Du hast dafür bezahlt, natürlich. Du trägst es überallhin, schläfst daneben und vertraust ihm deine privatesten Mitteilungen an. Doch in jeder bedeutenden Hinsicht gehört es jemand anderem. Es meldet deinen

Wichtiges Sicherheitsupdate für GrapheneOS: Android-Sicherheit gefährdet
In Anbetracht der jüngsten Sicherheitswarnungen von Google ist es für dich als Nutzer von GrapheneOS unerlässlich, dich über die aktuellen Entwicklungen im Bereich der Android-Sicherheit zu informieren. Zwei kritische Zero-Day-Schwachstellen


