Ist Anthropic DSGVO-konform? Vollständiger Compliance-Leitfaden

Anthropic DSGVO-Compliance im Überblick

Anthropic ist als Auftragsverarbeiter DSGVO-konform, sofern der richtige Vertragsrahmen besteht. Die wesentlichen Bausteine sind ein Auftragsverarbeitungsvertrag (AVV), Standardvertragsklauseln (SCC) für EU-US-Datentransfers sowie optional ein EU-Datenspeicherort. Unternehmen müssen dennoch eine eigene Anbieterbewertung vornehmen, den AVV prüfen und die Rechtsgrundlage der Verarbeitung dokumentieren.

• Anthropics AVV mit Standardvertragsklauseln ist automatisch in den kommerziellen Bedingungen für Claude API und Claude Enterprise enthalten.
• EU-Datenspeicherort ist für Enterprise-Kunden verfügbar, die Datenspeicherung innerhalb der EU benötigen.
• Zero Data Retention (ZDR) verhindert als Enterprise-Option, dass Anthropic Prompts oder Antworten speichert.
• Trotz Anthropics Rahmen müssen Unternehmen eine eigene TFA, AVV-Prüfung und Rechtsberatung sicherstellen.

Ja — Anthropic ist als Auftragsverarbeiter DSGVO-konform, sofern Sie vor der Verarbeitung personenbezogener Daten den richtigen Vertragsrahmen eingerichtet haben. Die zentralen Bestandteile sind ein Auftragsverarbeitungsvertrag (AVV) mit Standardvertragsklauseln (SCC), den Anthropic automatisch in die kommerziellen Bedingungen für Claude API und Claude Enterprise einbezieht. Diese Seite erläutert für Unternehmen in Deutschland und der DACH-Region, was Anthropic bereitstellt, was nicht abgedeckt ist und welche Schritte Ihre Rechts- oder Compliance-Abteilung dennoch unternehmen muss.

Diese Seite enthält allgemeine Informationen und stellt keine Rechtsberatung für einen konkreten Sachverhalt dar. Der erforderliche Dokumentationsumfang hängt von Ihren Datenarten, dem Verarbeitungsvolumen und dem Risikoprofil Ihrer Organisation ab.

DSGVO-Anforderung	Anthropics Mechanismus
Art. 28 DSGVO — Auftragsverarbeitungsvertrag	AVV in den kommerziellen Bedingungen enthalten
Kapitel V DSGVO — Internationale Datentransfers	Standardvertragsklauseln (Modul 2 & 3)
Art. 32 DSGVO — Technische Maßnahmen	SOC 2 Typ II, ISO 27001, EU-US Data Privacy Framework
Datensparsamkeit / Aufbewahrung	Zero Data Retention (ZDR) als Enterprise-Option
EU-Datenspeicherort	Verfügbar für Enterprise-Kunden

Ist Anthropic DSGVO-konform?

Anthropic erfüllt die strukturellen DSGVO-Anforderungen, die für einen Auftragsverarbeiter gelten. Das Unternehmen stellt die vertraglichen Instrumente bereit, die nach Art. 28 und 46 DSGVO erforderlich sind — nämlich AVV und Standardvertragsklauseln —, hält anerkannte Sicherheitszertifizierungen und nimmt am EU-US Data Privacy Framework teil. Für Unternehmen, die Claude in Deutschland einsetzen, lautet die entscheidende Frage nicht, ob Anthropic über einen DSGVO-Rahmen verfügt — das ist der Fall —, sondern ob dieser Rahmen für Ihre konkrete Nutzung korrekt umgesetzt ist.

DSGVO-Konformität liegt nie allein in der Verantwortung des Dienstleisters. Als Verantwortlicher müssen Sie die Rechtsgrundlage der Verarbeitung dokumentieren, eine Anbieterbewertung durchführen, den AVV im Hinblick auf Ihre tatsächlichen Datenflüsse prüfen und für EU-US-Transfers eine Transfer-Folgenabschätzung (TFA) erstellen. Keine noch so umfassende Zertifizierung eines Anbieters ersetzt diese interne Arbeit.

Anthropic als Auftragsverarbeiter: Die entscheidende Unterscheidung

Die Datenschutz-Grundverordnung verlangt, dass jedes Unternehmen, das ein KI-Tool zur Verarbeitung personenbezogener Daten einsetzt, die Rollen Verantwortlicher und Auftragsverarbeiter klar abgrenzt.

Wenn Ihr Unternehmen Claude über die API oder Claude Enterprise nutzt, ergibt sich folgende Rollenverteilung:

• Ihr Unternehmen — Verantwortlicher: Sie bestimmen Zwecke und Mittel der Verarbeitung.
• Anthropic — Auftragsverarbeiter: Anthropic verarbeitet personenbezogene Daten ausschließlich auf der Grundlage Ihrer dokumentierten Weisungen.

Diese Rollenverteilung bildet die Grundlage von Art. 28 DSGVO. Ihr Unternehmen trägt die primäre Verantwortung für die Rechtmäßigkeit der Verarbeitung — einschließlich Rechtsgrundlage, Datensparsamkeit und Zweckbindung. Der Anthropic-AVV regelt, was Anthropic mit den Daten tut, sobald sie übermittelt wurden. Ihre internen Richtlinien bestimmen, ob Sie die Daten überhaupt übermitteln sollten.

Nutzen Sie Claude über eine Zwischenplattform wie Amazon Bedrock oder Azure OpenAI, verlängert sich die Vertragskette: Sie müssen dann sowohl den AVV der Zwischenplattform als auch die zugrundeliegenden Pflichten von Anthropic separat prüfen und dokumentieren.

Auftragsverarbeitungsvertrag (AVV)

Anthropic stellt einen Auftragsverarbeitungsvertrag (AVV) bereit, der die Mindestinhaltsvorgaben des Art. 28 Abs. 3 DSGVO erfüllt. Der AVV:

• benennt Anthropic als Auftragsverarbeiter und legt seine Pflichten fest,
• listet die betroffenen Kategorien personenbezogener Daten und Betroffenengruppen auf,
• definiert Gegenstand, Art und Dauer der Verarbeitung,
• gibt Anthropics Unterauftragsverarbeiter an und verpflichtet zur Mitteilung bei Änderungen,
• enthält eine Beschreibung technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO.

Der Anthropic-AVV gilt automatisch — er ist in die kommerziellen Bedingungen für Claude API und Claude Enterprise einbezogen. Es gibt kein separates Dokument, das unterzeichnet oder heruntergeladen werden müsste. Viele Unternehmen zweifeln zunächst daran, ob ein solch automatisch geltender AVV ausreichend ist: Er ist es, sofern Sie die aktuelle Version dokumentieren und für Ihren Workflow prüfen.

Ausführliche Informationen zu Inhalt, Umfang und Dokumentation des AVV finden Sie auf unserer Seite zum Anthropic-AVV und in unserer umfassenden Analyse des Anthropic-Datenverarbeitungsvertrags.

Standardvertragsklauseln (SCC) für EU-US-Datentransfers

Die Infrastruktur von Anthropic befindet sich überwiegend in den Vereinigten Staaten. Daten, die über die API an Claude übermittelt werden, sind damit eine Übermittlung in ein Drittland im Sinne der DSGVO — auch wenn für die Speicherung ein EU-Datenspeicherort aktiviert ist. Für solche Transfers ist ein gültiger Mechanismus nach Kapitel V DSGVO erforderlich.

Anthropic verwendet die EU-Standardvertragsklauseln (SCC) gemäß dem Beschluss der Europäischen Kommission von 2021:

• Modul 2 — Verantwortlicher zu Auftragsverarbeiter: die Standardkonfiguration für Unternehmen, die die Claude API direkt nutzen.
• Modul 3 — Auftragsverarbeiter zu Auftragsverarbeiter: relevant, wenn Sie Claude über eine Zwischenplattform nutzen.

Anthropic stellt zudem einen UK International Data Transfer Addendum und einen Schweiz-Anhang (DSG) bereit, für Unternehmen, die dem UK GDPR oder dem schweizerischen Bundesgesetz über den Datenschutz unterliegen.

Die Standardvertragsklauseln sind gemeinsam mit dem AVV in Anthropics kommerziellen Bedingungen enthalten. Ihr Unternehmen muss prüfen, ob die Klauseln Ihren tatsächlichen Datenflüssen entsprechen, und dokumentieren, dass die konkreten abgedeckten Verarbeitungstätigkeiten korrekt identifiziert sind.

EU-Datenspeicherort

Für Organisationen, die eine Speicherung personenbezogener Daten innerhalb der Europäischen Union benötigen, bietet Anthropic EU-Datenspeicherort für Enterprise-Kunden an. In dieser Konfiguration werden Daten in EU-Rechenzentren gespeichert und verarbeitet, nicht in den USA.

EU-Datenspeicherort reduziert — beseitigt aber nicht — Transferpflichten. Verarbeitungsaktivitäten wie die Modell-Inferenz können auch bei aktiviertem EU-Datenspeicherort US-Infrastruktur einbeziehen. Klären Sie mit Anthropic, welche Komponenten des Dienstes genau unter den EU-Datenspeicherort fallen, und dokumentieren Sie dies in Ihrer Transfer-Folgenabschätzung.

Eine vollständige Analyse der EU-Hosting-Optionen von Claude und deren Konfiguration finden Sie auf unserer Seite zu Claude EU Hosting.

Zero Data Retention (ZDR)

Enterprise-API-Kunden können Zero Data Retention (ZDR) beantragen — eine Option, bei der Anthropic die Inhalte von API-Anfragen und -Antworten weder protokolliert noch speichert. Im ZDR-Modus gilt:

• Prompts und Completions werden nur im Arbeitsspeicher verarbeitet und nicht auf Datenträger geschrieben.
• Anthropic behält nach Sitzungsende keine Gesprächshistorie.
• Eine Echtzeit-Sicherheitsüberwachung des Live-Traffics findet weiterhin statt.

ZDR ist insbesondere relevant für Organisationen, die besondere Datenkategorien nach Art. 9 DSGVO, anwaltlich privilegierte Dokumente, Finanzdaten oder Mitarbeiterkommunikation verarbeiten — Kategorien, bei denen der Grundsatz der Datensparsamkeit nach Art. 5 Abs. 1 lit. c DSGVO besonders bedeutsam ist. Details zur Beantragung, Konfiguration und DSGVO-konformen Dokumentation von ZDR finden Sie auf unserer Seite zu Claude Zero Data Retention.

Zertifizierungen und Audits

Anthropic hält mehrere Drittanbieterzertifizierungen, die für eine Bewertung technischer Maßnahmen nach Art. 32 DSGVO unmittelbar relevant sind:

SOC 2 Typ II — Anthropics Infrastruktur wird nach dem SOC-2-Standard geprüft, der Sicherheit, Verfügbarkeit und Vertraulichkeit abdeckt. SOC 2 Typ II umfasst einen nachhaltigen Prüfzeitraum statt einer Stichtagsbetrachtung und ist der Maßstab, den Anbieterbewertungsprogramme in Unternehmen typischerweise voraussetzen.

ISO 27001 — Anthropic ist nach ISO 27001 zertifiziert, dem internationalen Standard für Informationssicherheitsmanagementsysteme. Dies ist relevant für den Nachweis geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.

EU-US Data Privacy Framework (DPF) — Anthropic nimmt am EU-US Data Privacy Framework teil, einem Programm des US-Handelsministeriums, das einen rechtlichen Mechanismus für transatlantische Datentransfers bietet. Die meisten Enterprise-Deployments dokumentieren die Standardvertragsklauseln als primären Transfermechanismus und den DPF als sekundäre Grundlage.

Es existiert kein genehmigtes DSGVO-Zertifizierungsschema nach Art. 43 DSGVO. Die Zertifizierungen von Anthropic sind Sicherheits- und Datenschutz-Rahmenwerke — keine formellen DSGVO-Zertifizierungen —, aber für Ihre Anbietersorgfaltspflicht und Ihre Art.-32-Bewertung unmittelbar relevant.

Transfer-Folgenabschätzung (TFA) und Datentransfer-Risikoanalyse

Infolge des Schrems-II-Urteils und der ergänzenden Empfehlungen des Europäischen Datenschutzausschusses (EDSA) müssen Organisationen, die personenbezogene Daten in die USA übermitteln, eine Transfer-Folgenabschätzung (TFA) erstellen. Diese dokumentiert, warum die Übermittlungen trotz des US-amerikanischen Überwachungsrechts zulässig sind.

Anthropic stellt auf Anfrage unterstützende Dokumentation für TFA-Zwecke bereit. Diese umfasst in der Regel:

• Informationen zu Anthropics Speicher- und Verarbeitungsstandorten,
• technische Maßnahmen zum Schutz von Daten bei der Übertragung und im Ruhezustand,
• Informationen zur Anwendbarkeit US-amerikanischer Überwachungsgesetze auf Anthropics Infrastruktur,
• Details zu den implementierten Standardvertragsklauseln und deren Funktionsweise im US-Rechtskontext.

Ihr Unternehmen muss die TFA intern erstellen und dokumentieren — unter Einbeziehung der Anthropic-Unterlagen. Eine TFA ist kein einmaliger Vorgang: Sie sollte überprüft werden, sobald sich der rechtliche oder technische Kontext ändert oder wenn Sie neue Datenflüsse mit Claude hinzufügen.

Was bleibt offen? (Compound Law Analyse)

Anthropics DSGVO-Rahmen gehört zu den vollständigeren Ansätzen unter den großen KI-Anbietern. Dennoch erfordert der Einsatz von Claude zur Verarbeitung personenbezogener Daten in Deutschland oder der DACH-Region Schritte, die kein Anbieter für Sie übernehmen kann:

1. Anbieterbewertung — Dokumentieren Sie, dass Sie Anthropics AVV, Standardvertragsklauseln, Zertifizierungen und Datenflüsse im Hinblick auf Ihren konkreten Anwendungsfall geprüft haben. Unsere DSGVO-Checkliste für KI-Tools liefert Ihnen die 10 Fragen, die jedes Beschaffungsteam stellen muss.

2. Transfer-Folgenabschätzung — Erstellen und dokumentieren Sie eine TFA für EU-US-Datenflüsse, die nicht vollständig durch den EU-Datenspeicherort abgedeckt sind, unter Einbeziehung der Anthropic-Unterlagen.

3. Rechtsgrundlagendokumentation — Bestätigen Sie die DSGVO-Rechtsgrundlage für jede Verarbeitungstätigkeit mit Claude (in der Regel berechtigte Interessen oder Vertragserfüllung, abhängig vom konkreten Workflow und den betroffenen Datenarten).

4. Verarbeitungsverzeichnis — Aktualisieren Sie Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO und nehmen Sie Claude als Verarbeitungswerkzeug und Anthropic als Unterauftragsverarbeiter auf — mit Angabe der Datenkategorien und Transfers.

5. Rechtsberatung — Holen Sie bei risikoreichen Verarbeitungen (besondere Datenkategorien nach Art. 9 DSGVO, Mitarbeiterüberwachung, automatisierte Entscheidungen mit Rechtswirkung nach Art. 22 DSGVO) vor dem Einsatz individuelle Rechtsberatung ein.

Compound Law berät Unternehmen in Deutschland zur DSGVO-konformen Nutzung von KI-Tools, einschließlich Claude-Deployments. Wir prüfen Ihren konkreten Anwendungsfall, bewerten die Angemessenheit Ihres Vertragsrahmens und erstellen die Dokumentation, die Ihr Datenschutzbeauftragter oder Ihre Rechtsabteilung benötigt.