Inspiring AGI to Benefit Humanity - free AI chatbot & agent powered by GLM
Zhipu AI ist ein chinesischer Large-Language-Model-Anbieter, der international unter Z.ai auftritt. Kern ist die GLM-Modellfamilie für Text, Reasoning, Agenten, Coding, Vision, OCR, Bild-, Video- und Audiofunktionen. Die Plattform bietet API-Zugriff, Coding-Pläne, Web Search, Translation Agent und Slide/Poster Agent.
Zhipu AI / Z.ai – GLM
LLM "Inspiring AGI to Benefit Humanity - free AI chatbot & agent powered by GLM"
Standort: China ⓘ JINGSHENG HENGXING TECHNOLOGY PTE. LTD., 10 Anson Road, #26-03, International Plaza, Singapore 075903
Z.AI beschreibt GLM-4.5-Flash als kostenlose Modellvariante für Reasoning, Coding und Agenten; zusätzlich können je nach Plattformstatus freie Testkontingente verfügbar sein. Abo GLM Coding Plan
Persönlich gebundene Coding-Subscription für offiziell unterstützte Coding-Tools; nicht für allgemeine API-Nutzung, Weiterverkauf oder Nutzung durch Dritte vorgesehen. Sonstiges API-Nutzung / nutzungsbasierte Abrechnung API-Zugriff auf GLM-Modelle, SDKs, OpenAI-kompatible Nutzung, Streaming, Function Calling, Structured Output, Context Caching und Tool-Nutzung; Abrechnung nutzungsabhängig je nach Modell und Plattformregeln.
Enterprise / individuelle Vereinbarungen Separate schriftliche Vereinbarungen sind möglich; keine gesicherten Informationen verfügbar zu standardisierten EU-Enterprise-Plänen oder EU-Hosting.
Zielgruppe
Zhipu AI / Z.ai richtet sich an Entwickler, KI-Produktteams, Unternehmen, Agenturen und technisch versierte Anwender, die LLMs für Coding, Agenten, Tool Calling, Websuche, Dokumentenverarbeitung und multimodale Anwendungen einsetzen möchten.
Herausragende Funktionen
Die GLM-Familie deckt Text, Vision, OCR, Bild, Video, Audio und Agenten ab. Besonders stark ist Z.ai bei Coding-Workflows, Agentic Engineering, langen Ausführungsketten, API-Nutzung und offenen Modellen wie GLM-4.5 und GLM-5.
Wichtigste Anwendungsfelder
Typische Anwendungen sind Coding-Assistenten, Websuche mit KI, RAG, Dokumentenanalyse, Präsentationserstellung, Übersetzungen, Chatbots, Bildanalyse, OCR, Bild- und Videogenerierung sowie mehrstufige Agentenprozesse.
Nutzung & Hinweise
Für schnelle Tests eignet sich der freie Chatbot oder die API-Doku. Für produktiven Einsatz mit EU-Daten sollten Unternehmen jedoch DPA, Subprozessoren, Hosting, Transfermechanismen und Training-Ausschluss sorgfältig prüfen.
| Zielgruppe | Einschätzung |
|---|---|
| Privatpersonen | Bedingt – für Chat, Coding und Experimentieren geeignet, aber vor allem technisch bzw. entwicklernah. |
| Selbstständige / Freelancer | Ja, wenn API-/Coding-Nutzung relevant ist – sinnvoll für Text, Code, Agenten, Recherche- und Automatisierungsprojekte. |
| KMU | Bedingt bis ja – geeignet für produktnahe LLM-Integration, wenn Datenschutz, Anbieterstandort und Vertragslage geprüft werden. |
| Großunternehmen | Bedingt – API-DPA vorhanden, aber für EU-regulierte Nutzung sind zusätzliche Prüfungen zu SCCs, Subprozessoren und Governance nötig. |
| Entwickler / Teams | Ja – starker Fokus auf API, SDKs, OpenAI-kompatible Nutzung, Function Calling, Structured Output und Coding-Workflows. |
| Datenschutzkritische Organisationen | Eher nur bedingt – Verarbeitung über Singapur; EU-Datenresidenz, AVV nach deutschem Muster und Subprozessorentransparenz sind nicht durchgängig gesichert. |
| Modell / Familie | Typ | Am besten geeignet für |
|---|---|---|
| GLM-5.2 | Flagship-Foundation-LLM für Text, Reasoning und Agentic Coding | Langlaufende, projektweite Softwareentwicklung: große Codebases analysieren, komplexe Features über viele Dateien umsetzen, Refactorings, Tests, Debugging und autonome Entwicklungsabläufe von der Anforderung bis zum deploybaren Produkt. (Z.AI) |
| GLM-5.1 | Text-/Reasoning-LLM | Aktuelle GLM-Spitzenklasse für komplexe Agenten-, Coding- und Reasoning-Aufgaben. (Z.AI) |
| GLM-5 | Flagship-LLM, offen laut Z.ai-Blog | Agentic Engineering, komplexe Softwareentwicklung, Systemdesign, autonome Workflows. (Z.AI) |
| GLM-5-Turbo | Schnelleres GLM-5-Modell | Tool Calling, lange Agentenketten, Coding-Assistenten, produktive API-Workflows. (Z.ai) |
| GLM-4.7 / GLM-4.7-FlashX / GLM-4.7-Flash | Textmodelle | Allround-Text, kosteneffiziente API-Nutzung, schnelle Chat- und Assistenzfunktionen. (Z.AI) |
| GLM-4.6 | Text-LLM mit langem Kontext | Coding, Smart Office, Übersetzung, Agenten, lange Dokumente. (Z.AI) |
| GLM-4.5 / GLM-4.5-Air | Offene MoE-Modelle | Self-Hosting, Forschung, Agenten, Coding, Reasoning; Air für effizientere Deployments. (Hugging Face) |
| GLM-4.5-X / GLM-4.5-AirX | Leistungs-/Geschwindigkeitsvarianten | High-Performance-API-Workloads, schnelle Agenten- und Coding-Workflows. (Z.AI) |
| GLM-4-32B-0414-128K | Kompakteres Textmodell | Kostengünstige LLM-Anwendungen mit langem Kontext. (Z.AI) |
| GLM-5V-Turbo | Vision-Language-Modell | Bildverständnis, visuelle QA, multimodale Agenten. (Z.AI) |
| GLM-4.6V / GLM-4.6V-FlashX / GLM-4.6V-Flash | Vision-Language | Visuelles Reasoning, OCR-nahe Aufgaben, Bildanalyse, Funktionsaufrufe mit Bildern. (Z.ai) |
| GLM-OCR | OCR-/Dokumentenmodell | PDF-, Bild- und Codeblock-Erkennung, Dokumentenextraktion. (Z.AI) |
| AutoGLM-Phone-Multilingual | Agent-/VLM-Modell | Mobile Agenten, App-Steuerung, mehrsprachige Smartphone-Workflows. (Z.AI) |
| GLM-Image / CogView-4 | Bildgenerierung | Text-zu-Bild, kreative Bildgenerierung, Marketing-Visuals. (Z.AI) |
| CogVideoX-3 / Vidu Q1 / Vidu 2 | Videogenerierung | Text-zu-Video, Bild-zu-Video, Start-End-Video-Generierung. (Z.AI) |
| GLM-ASR-2512 | Audio / Speech Recognition | Audio-Transkription und Spracherkennung. (Z.AI) |
| GLM Slide/Poster Agent | Agent | Präsentationen, Poster, visuelle Office-Erstellung. (Z.ai) |
| Translation Agent | Agent | Mehrsprachige Übersetzungen und Übersetzungsworkflows. (Z.ai) |
Hosting & Daten
1) On-Prem / lokales Hosting
Bedeutung: Die Firma betreibt die Lösung auf eigener Hardware oder in der eigenen Infrastruktur. Im strengsten Sinn läuft dabei nicht nur die Anwendung, sondern idealerweise auch das Modell lokal.
2) Private Cloud / RZ
Bedeutung: Die Lösung läuft in einer dedizierten oder stärker abgegrenzten Cloud-Umgebung, oft bei einem Hosting-Anbieter oder Hyperscaler, aber in einem deutschen Rechenzentrum oder in einer besonders kontrollierten Umgebung.
3) EU-SaaS / Managed
Bedeutung: Der Anbieter betreibt die Lösung selbst als Dienst. Die Firma nutzt das Tool als fertigen Cloud-Service, idealerweise mit EU-Datenresidenz.
4) Hybrid
Bedeutung: Ein Teil der Verarbeitung bleibt intern / lokal / in privater Cloud, ein anderer Teil läuft in einer externen Cloud oder EU-SaaS.
5) AVV / DPA
Bedeutung: Das ist der Auftragsverarbeitungsvertrag bzw. Data Processing Addendum.
Er regelt, dass der Anbieter personenbezogene Daten im Auftrag verarbeitet und an die Weisungen des Kunden gebunden ist.
6) Kein Training
Bedeutung: Der Anbieter nutzt deine Prompts, Uploads, Anhänge, Chatverläufe oder Outputs nicht zum Training oder zur Verbesserung des allgemeinen Modells — idealerweise vertraglich ausgeschlossen.
7) Open-Source-/Transparenz-Pfad
Bedeutung: Es gibt einen Weg zu mehr technischer Transparenz und Souveränität, etwa durch:
- offene Modelle
- dokumentierte Komponenten
- self-hostbare Teile
- nachvollziehbare Architektur
- Export-/Wechselmöglichkeiten
| On-prem / local hosting | ❓ |
| Private cloud / data center | ❓ |
| EU SaaS / Managed | ❓ |
| Hybrid | ❓ |
| DPA / AVV | ⚠️ |
| No training on customer data | ⚠️ |
| Open source / transparency path | ⚠️ |
On-Prem / lokales Hosting: indirekt / nicht verfuegbar
Ein On-Premise- oder lokales Hosting der Z.ai-/GLM-Lösung wird auf der Website nicht angegeben. Es gibt zwar Hinweise auf 'open-source' bzw. 'open-weight' Modelle, aber keine dokumentierte Self-Hosting- oder lokale Deployment-Anleitung für den hier bewerteten Dienst.
Private Cloud / RZ: unklar
Eine dedizierte Private-Cloud-, Single-Tenant- oder speziell abgegrenzte RZ-Option wird auf der Website nicht angegeben.
EU-SaaS / Managed: indirekt / nicht verfuegbar
Die Website nennt keinen EU-/EWR-basierten Managed-SaaS-Betrieb. Stattdessen wird angegeben, dass die Services generell aus Singapur bereitgestellt werden und Kundendaten grundsätzlich in Singapur verarbeitet werden.
Hybrid: unklar
Ein Hybrid-Betriebsmodell mit teilweise lokaler/interner und teilweise externer Verarbeitung wird auf der Website nicht angegeben.
AVV / DPA: teilweise
Ein DPA für API-Services ist auf der Website dokumentiert und enthält typische Auftragsverarbeiterpflichten. Es ist jedoch kein separater AVV-/DPA-Abschlussprozess, kein herunterladbares Vertragsdokument für Kunden und keine weitergehende EU-spezifische Vertragsdokumentation auf der Website angegeben.
Kein Training: teilweise
Für API-Services wird angegeben, dass End User Content nur zur Bereitstellung der API-Services, zur Einhaltung von Recht, zur Durchsetzung von Richtlinien und zur Missbrauchsverhinderung genutzt wird und nicht zur Entwicklung oder Verbesserung der Services, außer bei ausdrücklicher Zustimmung. Für sonstige Website-/Produktnutzung außerhalb des API-Kontexts ist ein gleich starker Ausschluss auf der Website nicht eindeutig dokumentiert.
Open-Source / Transparenz-Pfad: teilweise
Die Website verweist mehrfach auf 'open-source' bzw. 'open-weight' im Zusammenhang mit Modellleistung und nennt offene bzw. quelloffene Tools wie OpenCode oder Eigent als Integrationspfad. Ein vollständiger souveräner Open-Source-/Self-Hosting-Pfad für den bewerteten Dienst selbst wird jedoch auf der Website nicht angegeben.
Datenverarbeitung
Für API-Services beschreibt die Website eine Verarbeitung im Auftragsverarbeiter-Modell. Laut DPA werden Kundendaten grundsätzlich in Singapur verarbeitet. Inhalte der API-Eingaben und -Ausgaben sollen nicht gespeichert werden, sondern in Echtzeit verarbeitet werden; andere Kundendaten können vorübergehend zur Leistungserbringung oder zur Erfüllung gesetzlicher Pflichten gespeichert werden. Für internationale Datenübermittlungen verweist die Website nur allgemein auf geeignete Schutzmaßnahmen und gesetzlich anerkannte Transfermechanismen. Subprozessoren und konkrete Rechenzentrumsstandorte werden auf der Website nicht angegeben.
Fazit
Aus EU-/EWR-Sicht ist die Dokumentation für eine DSGVO-konforme Nutzung nicht ausreichend. Zwar existieren Datenschutzdokumente und ein DPA für API-Services, aber der dokumentierte Standardbetrieb liegt in Singapur, ohne ausgewiesene EU-Datenresidenz, ohne EU-Rechenzentren, ohne belegten europäischen Hosting-Pfad und ohne klar dokumentierte Subprozessoren oder Zertifizierungen. Damit ist für ein europäisches Tool-Verzeichnis keine belastbare positive DSGVO-Bewertung dokumentiert; der beste auf der Website belegte Weg reicht nicht aus.
Quellen
| On-prem / local hosting | ❓ |
| Private cloud / data center | ❓ |
| EU SaaS / Managed | ❓ |
| Hybrid | ❓ |
| DPA / AVV | ⚠️ |
| No training on customer data | ⚠️ |
| Open source / transparency path | ⚠️ |
On-Prem / lokales Hosting: indirekt / nicht verfuegbar
Ein On-Premise- oder lokales Hosting der Z.ai-/GLM-Lösung wird auf der Website nicht angegeben. Es gibt zwar Hinweise auf 'open-source' bzw. 'open-weight' Modelle, aber keine dokumentierte Self-Hosting- oder lokale Deployment-Anleitung für den hier bewerteten Dienst.
Private Cloud / RZ: unklar
Eine dedizierte Private-Cloud-, Single-Tenant- oder speziell abgegrenzte RZ-Option wird auf der Website nicht angegeben.
EU-SaaS / Managed: indirekt / nicht verfuegbar
Die Website nennt keinen EU-/EWR-basierten Managed-SaaS-Betrieb. Stattdessen wird angegeben, dass die Services generell aus Singapur bereitgestellt werden und Kundendaten grundsätzlich in Singapur verarbeitet werden.
Hybrid: unklar
Ein Hybrid-Betriebsmodell mit teilweise lokaler/interner und teilweise externer Verarbeitung wird auf der Website nicht angegeben.
AVV / DPA: teilweise
Ein DPA für API-Services ist auf der Website dokumentiert und enthält typische Auftragsverarbeiterpflichten. Es ist jedoch kein separater AVV-/DPA-Abschlussprozess, kein herunterladbares Vertragsdokument für Kunden und keine weitergehende EU-spezifische Vertragsdokumentation auf der Website angegeben.
Kein Training: teilweise
Für API-Services wird angegeben, dass End User Content nur zur Bereitstellung der API-Services, zur Einhaltung von Recht, zur Durchsetzung von Richtlinien und zur Missbrauchsverhinderung genutzt wird und nicht zur Entwicklung oder Verbesserung der Services, außer bei ausdrücklicher Zustimmung. Für sonstige Website-/Produktnutzung außerhalb des API-Kontexts ist ein gleich starker Ausschluss auf der Website nicht eindeutig dokumentiert.
Open-Source / Transparenz-Pfad: teilweise
Die Website verweist mehrfach auf 'open-source' bzw. 'open-weight' im Zusammenhang mit Modellleistung und nennt offene bzw. quelloffene Tools wie OpenCode oder Eigent als Integrationspfad. Ein vollständiger souveräner Open-Source-/Self-Hosting-Pfad für den bewerteten Dienst selbst wird jedoch auf der Website nicht angegeben.
Datenverarbeitung
Für API-Services beschreibt die Website eine Verarbeitung im Auftragsverarbeiter-Modell. Laut DPA werden Kundendaten grundsätzlich in Singapur verarbeitet. Inhalte der API-Eingaben und -Ausgaben sollen nicht gespeichert werden, sondern in Echtzeit verarbeitet werden; andere Kundendaten können vorübergehend zur Leistungserbringung oder zur Erfüllung gesetzlicher Pflichten gespeichert werden. Für internationale Datenübermittlungen verweist die Website nur allgemein auf geeignete Schutzmaßnahmen und gesetzlich anerkannte Transfermechanismen. Subprozessoren und konkrete Rechenzentrumsstandorte werden auf der Website nicht angegeben.
Fazit
Aus EU-/EWR-Sicht ist die Dokumentation für eine DSGVO-konforme Nutzung nicht ausreichend. Zwar existieren Datenschutzdokumente und ein DPA für API-Services, aber der dokumentierte Standardbetrieb liegt in Singapur, ohne ausgewiesene EU-Datenresidenz, ohne EU-Rechenzentren, ohne belegten europäischen Hosting-Pfad und ohne klar dokumentierte Subprozessoren oder Zertifizierungen. Damit ist für ein europäisches Tool-Verzeichnis keine belastbare positive DSGVO-Bewertung dokumentiert; der beste auf der Website belegte Weg reicht nicht aus.
Quellen
Stärken & Schwächen im Überblick
| Stärken | Schwächen |
|---|---|
| • Sehr breites Modellportfolio. | • DSGVO-Lage für EU-Unternehmen nicht vollständig transparent. |
| • Gute Eignung für Coding, Agenten, Tool-Nutzung, Websuche und multimodale Workflows. | • Kein öffentlich eindeutig belegter EU-only-Betrieb. |
| • Offene Modellgewichte bei GLM-4.5 und GLM-5 laut offiziellen Quellen. | • Chinesischer Anbieter mit internationalem Singapore-Vertragspfad; Datentransfers und Subprozessoren müssen vertraglich geprüft werden. |
| • Internationaler API-/Developer-Dokumentationspfad vorhanden. | • Viele Modelle/Versionen ändern sich schnell, daher ist Versionskontrolle wichtig. |
Bewertungen
0 Bewertungen insgesamt
Für dieses Tool liegen noch keine bestätigten Bewertungen vor.
Bewertung absenden
Deine Bewertung wird erst nach der Bestätigung per E-Mail sichtbar. Damit schützen wir das Portal vor Missbrauch.
Bewertung melden
Bitte wähle den Grund aus, warum diese Bewertung geprüft werden soll.
DSGVO-konforme Nutzung möglich?
Die Website dokumentiert zwar eine Datenschutzerklärung sowie ein in die Datenschutzerklärung eingebettetes DPA für API-Services, belegt aber für den europäischen Raum keine vollumfänglich DSGVO-konforme Nutzung. Maßgeblich dagegen spricht, dass der Anbieter die Services nach eigener Angabe generell aus Singapur bereitstellt und Kundendaten grundsätzlich in Singapur verarbeitet. Eine EU-/EWR-Datenresidenz, EU-Rechenzentren, ein EU-SaaS-Angebot, On-Premise-/Self-Hosting des eigentlichen Modells oder ein europäischer Hosting-Pfad werden auf der Website nicht angegeben.
Positiv
Positiv dokumentiert sind eine Datenschutzerklärung, ein DPA für API-Services, die Einordnung des Anbieters als Auftragsverarbeiter für Kundendaten im API-Kontext, Zusagen zur Verarbeitung auf Weisung sowie die Aussage, dass End User Content für API-Services nicht zur Entwicklung oder Verbesserung der Services genutzt wird, außer bei ausdrücklicher Zustimmung. Zudem wird angegeben, dass Inhalte im API-Service nicht gespeichert, sondern in Echtzeit verarbeitet werden.
Negativ
Negativ ist vor allem, dass laut Website die Services allgemein aus Singapur erbracht werden und Kundendaten grundsätzlich in Singapur verarbeitet werden. Für internationale Übermittlungen werden nur allgemein 'geeignete Schutzmaßnahmen' und 'gesetzlich anerkannte Transfermechanismen' erwähnt, ohne konkrete EU-Mechanismen, SCC-Dokumente, EU-Rechenzentren oder EU-Datenresidenz zu benennen. Subprozessoren, konkrete Serverstandorte, Zertifizierungen wie ISO 27001 oder SOC 2 sowie ein AVV-/DPA-Abschlussprozess als separates Kundenartefakt sind auf der Website nicht angegeben. Ein Self-Hosting- oder On-Premise-Weg für die Plattform wird ebenfalls nicht angegeben.
Serverstandort
Auf der Website wird angegeben, dass der Anbieter die Services generell aus Singapur bereitstellt, dass Gruppengesellschaften und beauftragte Dienstleister typischerweise in Singapur ansässig sind und dass Kundendaten grundsätzlich in Singapur verarbeitet werden. Ein EU-/EWR-Rechenzentrum oder eine EU-Datenresidenz wird auf der Website nicht angegeben.