Fable 5 hebelt eure Zero-Data-Retention-Verträge aus
Fable 5 erzwingt 30 Tage Datenaufbewahrung und überschreibt bestehende Zero-Data-Retention-Verträge. Was das für DSGVO-bewusste Teams bedeutet.
Als Fable 5 am 12. Juni per US-Exportkontrolle über Nacht abgeschaltet wurde, ging die Aufmerksamkeit verständlicherweise dahin. Eine zweite Änderung, die für Unternehmen eigentlich wichtiger ist, fand dabei kaum Beachtung: Anthropic speichert sämtliche Ein- und Ausgaben der Mythos-Klasse 30 Tage lang, und diese Pflicht sticht bestehende Zero-Data-Retention-Verträge aus. Genau die Zusage, die viele DSGVO-bewusste Teams überhaupt erst verhandelt hatten.
Was sich genau geändert hat
Anthropic hat für alle Modelle der Mythos-Klasse, zu der Fable 5 gehört, eine feste 30-Tage-Aufbewahrung eingeführt. Im Help Center steht es wörtlich: "Prompts submitted to, and outputs generated by, Mythos-class models are retained for 30 days for trust and safety purposes, on every platform where these models are offered." Die Daten gehen laut Anthropic nicht ins Training, sondern dienen der Abwehr neuartiger Angriffe wie Jailbreaks und der Reduktion von Fehlalarmen. Nach 30 Tagen werden sie gelöscht.
Der entscheidende Satz für Geschäftskunden ist ein anderer: Wer bisher ein Zero-Data-Retention-Agreement (ZDR) hatte, bei dem greift dieses für Fable-5-Traffic nicht mehr. Das betrifft Console-Workspaces mit ZDR, Claude Enterprise und ausdrücklich auch den Zugriff über Drittplattformen, also AWS Bedrock, Google Cloud Agent Platform und Microsoft Foundry. Abwählen lässt sich die Aufbewahrung nicht. Sie ist Bedingung für die Nutzung des Modells.
Wichtig zur Einordnung: Das gilt nur für die Mythos-Klasse. Für Opus 4.8, Sonnet 4.6 und Haiku 4.5 bleibt ein bestehendes ZDR-Agreement unverändert bestehen.
Bemerkenswert ist, wie beiläufig das bei der Einführung ankam. Bei der Vorstellung von Fable 5 standen Benchmarks und Fähigkeiten im Vordergrund, die neue Datenhaltung lief nebenher, und dass sie bestehende ZDR-Verträge überschreibt, ergibt sich vor allem aus dem Support-Dokument. Selbst aufmerksame Berichterstattung, unsere eigene zum Release eingeschlossen, nannte die 30-Tage-Aufbewahrung, ohne die Tragweite für ZDR-Kunden herauszustellen. Erst als Fachmedien Wochen später nachzogen, wurde der Punkt breiter sichtbar. Für eine Änderung, die verhandelte Datenschutzzusagen aushebelt, ist das reichlich leise.
Warum das für DACH-Teams ein Problem ist
Ein ZDR-Agreement verhandelt niemand zum Spaß. Wer es hat, hat es in der Regel genau deshalb, weil die Speicherung von Prompts und Ausgaben auf US-Servern unter der DSGVO nicht akzeptabel war, etwa bei Personendaten, Mandantenkommunikation oder Betriebsgeheimnissen. Die vertragliche Sicherheit, dass nichts gespeichert wird, war der Grund, das stärkste Modell überhaupt einsetzen zu dürfen.
Für Fable 5 ist diese Sicherheit jetzt weg. Anthropic räumt selbst ein, dass die Policy reale Kosten im Kundenverhältnis verursacht, weiß also, dass Unternehmen deshalb abspringen könnten. Für die Praxis heißt das: Sobald regulierte Daten über Fable 5 laufen, liegen sie 30 Tage auf Anthropic-Infrastruktur, egal über welche Plattform der Zugriff erfolgt.
Das schlechteste beider Welten
Wenn man beide Fable-5-Geschichten nebeneinanderlegt, ergibt sich eine Lage, die schwer zu rechtfertigen ist. Wer Fable 5 nutzen wollte, musste die 30-Tage-Speicherung akzeptieren, auch mit ZDR-Vertrag. Und wer das akzeptiert und Arbeitsabläufe darauf aufgebaut hatte, erlebte Mitte Juni, dass das Modell trotzdem über Nacht abgeschaltet werden konnte. Matthias Bauer, CTO Data Analytics & AI bei atvantage, fasst die Lage so zusammen:
"Man gibt Datensouveränität auf und bekommt trotzdem keine Verfügbarkeitsgarantie. Das ist das schlechteste beider Welten: Die Daten werden gespeichert, aber der Zugang kann jederzeit entzogen werden. Für eine DSGVO-Argumentation gegenüber einer Aufsichtsbehörde ist das kaum zu vertreten."
Der Punkt sitzt, weil sich beide Risiken nicht gegeneinander aufrechnen lassen. Die Datenspeicherung ist ein Compliance-Risiko, die Abschaltbarkeit ein Betriebsrisiko. Bei Fable 5 trägt man beide gleichzeitig.
Der zweite Schauplatz: Trumps KI-Verordnung
Unabhängig von der Retention-Frage hat die Trump-Administration am 2. Juni 2026 die Executive Order "Promoting Advanced Artificial Intelligence Innovation and Security" erlassen. Sie etabliert ein freiwilliges Verfahren, bei dem KI-Anbieter ihre stärksten Modelle der Regierung bis zu 30 Tage vor der Veröffentlichung zur Prüfung überlassen können.
Das ist ein anderer Mechanismus als die Datenretention. Beide tragen zufällig die Zahl 30 Tage, haben aber nichts miteinander zu tun: Das eine ist eine Prüffrist vor dem Release, das andere eine Speicherdauer nach der Nutzung. Und die Abschaltung am 12. Juni lief nicht über diese Verordnung, sondern über eine Exportkontroll-Direktive des Handelsministeriums, ausgelöst durch eine Warnung von Amazon. Den Hintergrund haben wir hier aufgearbeitet. Festzuhalten bleibt nur, dass der regulatorische Rahmen um Frontier-Modelle gerade in Bewegung ist, in den USA wie in Europa.
Was Teams jetzt tun können
Das Modell wird vermutlich in irgendeiner Form zurückkommen. Die Datenhaltungs-Frage bleibt davon unberührt. Konkret:
- Prüfen, welche Modelle regulierte Daten berühren. Läuft personenbezogener oder vertraulicher Traffic über Fable 5 oder Mythos 5, greift die 30-Tage-Speicherung, ZDR-Vertrag hin oder her.
- Sensible Workloads auf ZDR-fähige Modelle routen. Opus 4.8 und Sonnet 4.6 behalten ihr ZDR-Agreement. Für Daten, die nicht gespeichert werden dürfen, sind sie die sichere Wahl, auch wenn sie eine Stufe schwächer sind.
- Datenverarbeitungsverträge nachziehen. Wer ZDR vereinbart hatte, sollte mit der Rechtsabteilung klären, ob und wie die neue Policy die bestehende Vereinbarung berührt.
- Ausweichpfad einplanen. Wie man Abhängigkeiten von einzelnen US-Anbietern systematisch bewertet, beschreibt der Artikel zur digitalen Souveränität für KI-Teams. Die DSGVO-Seite vertieft der Beitrag zur DSGVO-Compliance bei KI.
Die nüchterne Lehre: Eine Datenschutz-Zusage ist nur so belastbar wie ihre Ausnahmen. Bei der Mythos-Klasse hat Anthropic gezeigt, dass eine als verbindlich verstandene ZDR-Zusage durch eine spätere Sicherheits-Policy ausgehebelt werden kann. Wer auf Datensparsamkeit angewiesen ist, sollte das Modell danach auswählen, was vertraglich garantiert bleibt, nicht danach, was im besten Fall gilt.
Quellen5
- Anthropic Help Center: Data retention practices for Mythos-class modelssupport.claude.com
- Anthropic: Introducing Claude Fable 5 and Mythos 5anthropic.com
- Developers Digest: Fable 5 Broke Enterprise ZDR Agreementsdevelopersdigest.tech
- The White House: Promoting Advanced Artificial Intelligence Innovation and Securitywhitehouse.gov
- PBS: Trump signs executive order that allows voluntary federal vetting of top AI modelspbs.org