Anthropic Auftragsverarbeitungsvertrag — DSGVO-Leitfaden

Erfüllt der Anthropic AVV Art. 28 DSGVO?

Der Anthropic AVV deckt die Pflichtinhalte von Art. 28 DSGVO grundsätzlich ab und enthält SCCs für internationale Datentransfers. Für den Enterprise-Einsatz von Claude in Deutschland ist der AVV ein valider Ausgangspunkt — Workflow, Transferpfade und Datenkategorien erfordern jedoch eine Einzelfallprüfung.

• Der Anthropic AVV enthält SCCs nach Art. 46 Abs. 2 lit. c DSGVO für EU-US-Transfers.
• Die Pflichtinhalte von Art. 28 DSGVO sind grundsätzlich abgedeckt — die Passgenauigkeit hängt vom konkreten Workflow ab.
• Mitarbeiterdaten, Art.-9-Daten und branchenspezifische Regulierung erfordern eine vertiefte Einzelfallanalyse.

Der Anthropic Auftragsverarbeitungsvertrag (AVV) — international als Data Processing Addendum (DPA) bezeichnet — ist das Vertragsinstrument für die DSGVO-Art.-28-Compliance beim Einsatz von Claude Enterprise oder der Claude API. Er enthält Standardvertragsklauseln (SCCs) für internationale Datentransfers und deckt die Pflichtanforderungen für gewerbliche KI-Deployments in Deutschland und der EU ab. Für Einkaufs- und Compliance-Teams ist die entscheidende Frage nicht, ob ein AVV existiert — das tut er —, sondern ob Umfang, konkrete Klauseln und Transfermechanismen die Anforderungen des geplanten Einsatzes erfüllen. Dieser Leitfaden analysiert, was der Anthropic Datenverarbeitungsvertrag tatsächlich regelt, wo er ausreicht und wo eine weitergehende rechtliche Prüfung erforderlich ist.

Dieser Beitrag ist allgemeine Information und keine Rechtsberatung für den Einzelfall. Zur praktischen Durchführung des AVV-Abrufs und der Prüfcheckliste vor dem Rollout lesen Sie unsere Seite zur Anthropic DPA. Den vollständigen DSGVO-Prüfrahmen für Claude finden Sie auf unserer Seite zur Claude DSGVO-Prüfung.

Was ist der Anthropic Auftragsverarbeitungsvertrag?

Der Anthropic Auftragsverarbeitungsvertrag ist der Art.-28-DSGVO-Vertrag, der das Verhältnis zwischen dem Unternehmenskunden als Verantwortlichem und Anthropic als Auftragsverarbeiter bei der Verarbeitung personenbezogener Daten über Claude Enterprise oder die Claude API regelt. Der AVV ist in die Commercial Terms einbezogen — er ist nicht als separates PDF verfügbar und gilt nicht für kostenlose Claude.ai-Konten.

Der AVV erfüllt zwei zentrale Rechtsfunktionen:

1. Auftragsverarbeiterpflichten nach Art. 28 DSGVO: Er begründet den vertraglichen Rahmen für Gegenstand, Zweck, Dauer, Datenkategorien, Weisungsgebundenheit und Betroffenenrechte.
2. Mechanismus für internationale Datentransfers: Er stellt Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO bereit für Transfers von EU-personenbezogenen Daten in Drittländer ohne EU-Angemessenheitsbeschluss, insbesondere in die USA.

Anders als manche Enterprise-Anbieter verlangt Anthropic keine separate manuelle Unterzeichnung eines AVV-Dokuments. Der Vertrag ist durch Verweis in die Commercial Terms einbezogen und wird mit der Akzeptanz des kostenpflichtigen Plans rechtswirksam. Enterprise-Kunden bestätigen den AVV in der Regel elektronisch über die Anthropic Console oder über ihren Account-Manager-Kanal.

Im deutschen Rechtskontext wird der Anthropic DPA als Auftragsverarbeitungsvertrag (AVV) bezeichnet — beides sind Bezeichnungen für dasselbe Vertragsinstrument nach Art. 28 DSGVO. Eine ausführliche Erläuterung des deutschen AVV-Begriffs und seiner praktischen Bedeutung finden Sie auf unserer Seite zum Claude AVV.

Erfüllt der Anthropic AVV Art. 28 DSGVO?

Art. 28 DSGVO definiert konkrete Mindestanforderungen, die jeder Auftragsverarbeitungsvertrag zwischen Verantwortlichem und Auftragsverarbeiter erfüllen muss. Ob der Anthropic AVV diese Anforderungen für einen bestimmten Einsatz erfüllt, hängt sowohl von den Vertragsklauseln selbst als auch davon ab, wie gut diese Klauseln zum konkreten Workflow passen.

Pflichtinhalte nach Art. 28 Abs. 3 DSGVO

Art. 28 Abs. 3 DSGVO schreibt vor, dass ein wirksamer AVV mindestens regeln muss:

• Verarbeitung nur auf dokumentierte Weisung: Der Auftragsverarbeiter handelt ausschließlich auf Weisung des Verantwortlichen.
• Vertraulichkeitspflichten: Zur Verarbeitung ermächtigte Personen unterliegen Vertraulichkeitszusagen.
• Sicherheitsmaßnahmen nach Art. 32 DSGVO: Dem Risiko angemessene technische und organisatorische Maßnahmen.
• Regelungen zu Unterauftragsverarbeitern: Der Auftragsverarbeiter holt die Genehmigung des Verantwortlichen ein und überträgt gleichwertige Datenschutzpflichten auf Unterauftragsverarbeiter.
• Unterstützungspflichten: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Betroffenenrechten (Auskunft, Löschung, Berichtigung), DSFA, Sicherheitspflichten und Meldepflichten bei Datenpannen.
• Löschung oder Rückgabe nach Vertragsende: Der Auftragsverarbeiter löscht oder übergibt alle personenbezogenen Daten nach Vertragsbeendigung.
• Nachweispflichten und Auditrechte: Der Auftragsverarbeiter stellt alle Informationen zum Nachweis der Compliance bereit und ermöglicht Kontrollen.

Dies sind die inhaltlichen Mindestanforderungen, die der Anthropic AVV — wie jeder andere AVV — erfüllen muss.

Was der Anthropic AVV abdeckt

Der Anthropic AVV deckt die Pflichtinhalte des Art. 28 Abs. 3 DSGVO grundsätzlich ab. Wesentliche Regelungsbereiche umfassen:

• Weisungsgebundene Verarbeitung: Anthropic verpflichtet sich, personenbezogene Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten.
• Vertraulichkeit: Anthropic-Mitarbeitende mit Zugang zu Kundendaten unterliegen Vertraulichkeitspflichten.
• Sicherheit (Art. 32 DSGVO): Technische und organisatorische Maßnahmen werden im AVV benannt; Details sind in den Sicherheits- und Datenschutzdokumentationen von Anthropic ausgeführt.
• Unterauftragsverarbeiter: Anthropic führt eine Subprozessorliste und stellt einen Änderungsbenachrichtigungsmechanismus bereit. Der AVV sieht vor, dass gleichwertige Datenschutzpflichten an Unterauftragsverarbeiter weitergegeben werden.
• Unterstützung bei Betroffenenrechten: Anthropic verpflichtet sich zur Unterstützung des Verantwortlichen bei Auskunfts-, Lösch- und Berichtigungsanfragen.
• Löschung und Rückgabe: Der AVV regelt Anthropics Datenlöschpraktiken nach Vertragsende.
• Standardvertragsklauseln: SCCs für internationale Datentransfers sind automatisch in die Commercial Terms einbezogen.

Unternehmen sollten die aktuelle AVV-Version zum Zeitpunkt der Evaluierung abrufen und jeden Regelungsbereich mit dem geplanten Workflow abgleichen. Eine grundsätzliche Abdeckung garantiert keine Passung für jeden konkreten Einsatz oder jede Datenkategorie.

Lücken und Einschränkungen

Kein einzelner AVV ersetzt die eigene Compliance-Arbeit des Unternehmens. Bereiche, in denen der Anthropic AVV ergänzende Analyse erfordert:

Transferarchitektur: Die SCCs decken den rechtlichen Mechanismus für internationale Transfers ab, aber Unternehmen müssen Transferpfade eigenständig kartieren, Subprozessor-Standorte außerhalb des EWR prüfen und beurteilen, ob ein Transfer Impact Assessment (TIA) erforderlich ist.

Mechanismus für Subprozessor-Änderungen: Der Standard-AVV verwendet ein Benachrichtigungsmodell — Kunden werden über Subprozessor-Änderungen informiert, müssen jedoch ggf. aktiv widersprechen, anstatt jeder Änderung zuzustimmen. Unternehmen mit strengen Subprozessor-Kontrollvorgaben sollten diesen Mechanismus genau prüfen.

Auditrechte in der Praxis: Der AVV enthält Auditregelungen, aber die praktische Ausübung von Auditrechten bei Cloud-KI-Diensten bedeutet typischerweise die Prüfung von Drittanbieter-Zertifizierungen und Dokumentationen — keine Vor-Ort-Inspektionen. Unternehmen mit strengen internen Auditanforderungen sollten vor Vertragsschluss klären, was der Auditmechanismus konkret umfasst.

Branchenspezifische Anforderungen: Der Anthropic AVV ist ein Standard-Enterprise-Vertrag ohne branchenspezifische Regelungen für Finanzdienstleistungen, Gesundheitswesen oder regulierte Berufe. Unternehmen in regulierten Branchen müssen prüfen, ob ergänzende vertragliche Maßnahmen oder Zertifizierungen erforderlich sind.

Mitbestimmung nach BetrVG: Der AVV regelt datenschutzrechtliche Auftragsverarbeiterpflichten, adressiert aber nicht die deutschen Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG. Betriebsratsbeteiligungspflichten bei bestimmten KI-Überwachungs- oder Analyseanwendungen entstehen unabhängig vom AVV und müssen gesondert beurteilt werden.

Standardvertragsklauseln (SCCs) im Anthropic AVV

Standardvertragsklauseln sind der primäre Rechtsmechanismus für die Übertragung personenbezogener Daten aus der EU/dem EWR in Länder ohne EU-Angemessenheitsbeschluss. Anthropic bezieht SCCs in seine Commercial Terms ein, um Datentransfers in die USA und andere Drittländer außerhalb des EWR abzudecken.

Welches SCC-Modul gilt?

Für Unternehmenskunden mit Direktvertrag bei Anthropic gilt Modul 2 (Verantwortlicher an Auftragsverarbeiter). Es regelt den Datenfluss vom Unternehmenskunden (Verantwortlicher) zu Anthropic (Auftragsverarbeiter) für außerhalb des EWR verarbeitete Daten. Anzuwenden sind die EU-Kommissions-SCCs von 2021.

Was SCCs nicht leisten:

SCCs sind ein vertraglicher Transfermechanismus — sie garantieren kein gleichwertiges Datenschutzniveau im Zielland. Nach dem Schrems-II-Urteil des EuGH (Rs. C-311/18) hat der Europäische Datenschutzausschuss (EDSA) klargestellt, dass Unternehmen bei Rückgriff auf SCCs ein eigenständiges Transfer Impact Assessment (TIA) durchführen müssen.

Für US-Transfers bietet das EU-US-Datenschutzrahmenabkommen (Data Privacy Framework, DPF) von 2023 einen alternativen Angemessenheitsmechanismus. Soweit Anthropic als zertifizierter Teilnehmer des DPF eingetragen ist, können Unternehmen für abgedeckte Transfers auf den Angemessenheitsbeschluss statt auf SCCs zurückgreifen — der aktuelle Zertifizierungsstatus sollte zum Zeitpunkt der Beschaffung geprüft werden.

Dokumentationspflichten nach DSGVO:

Unternehmen, die SCCs als Transfergrundlage nutzen, müssen:

1. Den Transfer im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentieren.
2. SCC-Version, Wirksamkeitsdatum und Vertragsparteien festhalten.
3. Prüfen und dokumentieren, ob ergänzende Maßnahmen angesichts der Rechtslage im Zielland erforderlich sind.

Für deutsche Unternehmen sollten die aktuellen Hinweise des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu SCCs und US-Transfers für die geltenden Durchsetzungserwartungen zum Zeitpunkt des Rollouts konsultiert werden.

EU-Datenlokation und der Anthropic AVV

Eine häufige Frage in der europäischen Unternehmens-Beschaffung lautet, ob Daten unter dem Anthropic AVV innerhalb der EU verbleiben können. Dafür sind drei zusammenhängende, aber rechtlich unterschiedliche Konzepte zu unterscheiden:

EU-Datenspeicherung: Personenbezogene Daten werden auf Servern physisch innerhalb der EU/des EWR gespeichert.

EU-Datenverarbeitung: Alle Verarbeitungsvorgänge einschließlich Modellinferenz werden auf Infrastruktur innerhalb der EU/des EWR ausgeführt.

EU-exklusiver Zugriff: Kein Personal und keine automatisierten Systeme außerhalb der EU/des EWR können auf die Daten zugreifen.

Die Standard-Architektur von Anthropic garantiert für alle Workflow-Konfigurationen keine ausschließliche EU-Verarbeitung oder -Speicherung. Der AVV mit SCCs stellt den rechtlichen Transfermechanismus bereit, autorisiert aber internationale Transfers — er verhindert sie nicht. Unternehmen, die für ihren Anwendungsfall eine strikte EU-Datenlokation benötigen — etwa bei branchenspezifischen Datenlokalisierungspflichten —, müssen die tatsächliche technische Architektur verifizieren, nicht nur die vertraglichen Regelungen.

Anthropic hat EU-spezifische Hosting-Optionen für bestimmte Produkte eingeführt. Umfang, Verfügbarkeit und technische Architektur dieser Optionen sollten zum Beschaffungszeitpunkt bestätigt werden. Vertragliche Zusagen zur EU-Datenverarbeitung sollten schriftlich eingeholt werden. Den aktuellen Stand analysiert unsere Seite zu Claude EU-Hosting.

Der AVV allein ersetzt keine klare schriftliche Aussage zu den Verarbeitungsstandorten. Bei Einsatzszenarien mit harter EU-Datenlokationsanforderung ist die schriftliche Bestätigung der Verarbeitungsarchitektur ein unverzichtbarer Beschaffungsschritt.

So schließen Sie den Anthropic AVV für Ihr Unternehmen ab

Der Abschluss des Anthropic AVV ist für direkte Geschäftskunden verfahrensmäßig unkompliziert — Rechts- und Datenschutzteams sollten den Abschluss jedoch als Beginn, nicht als Abschluss des Compliance-Prozesses verstehen.

Schritt 1 — Anwendbare Commercial Terms bestätigen: Prüfen Sie, welcher Anthropic-Produktplan gilt (Claude Enterprise oder Claude API) und ob die aktuellen Vertragsbedingungen den AVV einbeziehen. Enterprise-Kunden bestätigen die konkrete Vertragsversion über ihren Account Manager.

Schritt 2 — AVV abrufen und prüfen: Der aktuelle AVV ist elektronisch über die Anthropic Console (console.anthropic.com) oder über help.anthropic.com verfügbar. Rechts- oder Datenschutzteams sollten den AVV vor Akzeptanz der Commercial Terms mit dem geplanten Workflow abgleichen.

Schritt 3 — Abschluss dokumentieren: Halten Sie intern fest, dass der AVV geprüft und akzeptiert wurde. Bewahren Sie eine Kopie des AVV in der zum Abschlusszeitpunkt geltenden Fassung zusammen mit den Commercial Terms auf. Erfassen Sie den AVV-Abschluss im Vendor-Management-System.

Schritt 4 — AVV ins Verarbeitungsverzeichnis übertragen: Erfassen Sie die Anthropic-Verarbeitungstätigkeit im Verarbeitungsverzeichnis nach Art. 30 DSGVO mit Rechtsgrundlage, Datenkategorien, Transfermechanismus (SCCs) und relevanten Unterauftragsverarbeitern.

Schritt 5 — Subprozessor-Änderungsbenachrichtigungen einrichten: Registrieren Sie sich für Anthropics Subprozessor-Update-Benachrichtigungen und legen Sie interne Kalenderfristen zur Prüfung von Änderungen an — inklusive Bewertung, ob Änderungen eine Aktualisierung des Verarbeitungsverzeichnisses oder ein internes Freigabeverfahren erfordern.

Schritt 6 — Ergänzende Anforderungen prüfen: Ermitteln Sie auf Basis der Datenarten und des Workflows vor dem Go-Live, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, ein Transfer Impact Assessment oder eine Betriebsratsbeteiligung nach § 87 Abs. 1 Nr. 6 BetrVG erforderlich ist.

Anthropic AVV vs. AWS-Bedrock-AVV — Wesentliche Unterschiede

Unternehmen, die Claude über Amazon Bedrock statt direkt bei Anthropic einsetzen, müssen einen beschaffungsrechtlich wesentlichen Unterschied kennen: Der Anthropic AVV gilt nicht für über AWS Bedrock verarbeitete Daten. Bei Claude-Nutzung über Amazon Bedrock greift der AWS-Vertragsstack — einschließlich AWS-AVV und AWS-spezifischer SCCs.

Die praktischen Unterschiede für Compliance-Teams:

Thema	Direktbezug Anthropic (Claude Enterprise / API)	Claude über AWS Bedrock
Maßgeblicher AVV	Anthropic AVV	AWS AVV
Transfermechanismus	Anthropic SCCs	AWS SCCs
Subprozessorliste	Anthropic-Subprozessorliste	AWS-Subprozessoren (Anthropic als AWS-Unterauftragsverarbeiter)
Datenlokations-Optionen	Gemäß Anthropic-Servicebedingungen	AWS-EU-Region-Kontrollen anwendbar
Auditrechte	Gemäß Anthropic AVV	Gemäß AWS AVV

Für Unternehmen mit bestehendem AWS-AVV kann der Claude-Einsatz über Bedrock das Vendor-Management vereinfachen — die DSGVO-Analyse erfolgt im bestehenden AWS-Vertragsrahmen, ohne einen neuen Anbieter hinzuzufügen. Allerdings werden technische Möglichkeiten, SCC-Konditionen und Unterauftragsverarbeiterpflichten dann von AWS — nicht von Anthropic — geregelt.

Unternehmen, die beide Beschaffungswege aus DSGVO-Sicht vergleichen, sollten prüfen, ob der AWS-Vertragsrahmen interne Anforderungen erfüllt, ob EU-Region-Kontrollen für das konkrete Bedrock-Claude-Modell verfügbar sind und ob Unterauftragsverarbeiterpflichten in der AWS-Lieferkette gleichwertig weitergegeben werden. Die DSGVO-Analyse für AWS Bedrock finden Sie auf unserer Seite zu AWS Bedrock DSGVO.

Compound Law berät Unternehmen und In-house-Teams in Deutschland bei DSGVO-Compliance, KI-Verträgen und AI-Procurement. Wenn Sie den Anthropic AVV vor dem Rollout rechtlich prüfen lassen möchten, nehmen Sie Kontakt auf.

FAQ

Ist der Anthropic AVV DSGVO-konform?

Der Anthropic AVV ist darauf ausgelegt, die Pflichtanforderungen des Art. 28 DSGVO grundsätzlich zu erfüllen — einschließlich weisungsgebundener Verarbeitung, Vertraulichkeit, Sicherheit, Subprozessor-Kontrollen, Betroffenenrechten, Löschpflichten und Auditregelungen. Der AVV enthält zudem SCCs für internationale Transfers. Ob er für einen konkreten Einsatz ausreicht, hängt von Workflow, Datenkategorien und anwendbarer Branchenregulierung ab. „DSGVO-konform” erfordert darüber hinaus eine gültige Rechtsgrundlage, einen vollständigen Verarbeitungsverzeichniseintrag und ggf. eine DSFA — der AVV ist ein Element dieses Gesamtbildes.

Brauchen deutsche Unternehmen einen separaten AVV mit Anthropic?

Nein. Bei Direktvertrag mit Anthropic erfüllt die DPA die Funktion des Auftragsverarbeitungsvertrags (AVV) nach deutschem DSGVO-Recht; sie ist in die Commercial Terms einbezogen. Ein gesondertes deutschsprachiges AVV-Dokument ist nicht erforderlich. Unternehmen sollten jedoch prüfen, ob der AVV den konkreten Workflow, die Datenkategorien und etwaige deutsche Rechtspflichten abdeckt — etwa Mitbestimmungsanforderungen nach § 87 Abs. 1 Nr. 6 BetrVG bei bestimmten Mitarbeiterdaten-Einsatzszenarien.

Welche SCCs verwendet Anthropic in seiner DPA?

Anthropic bezieht Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO — konkret Modul 2 (Verantwortlicher an Auftragsverarbeiter) — für internationale Datentransfers einschließlich US-Transfers ein. Es gelten die EU-Kommissions-SCCs von 2021. Unternehmen müssen weiterhin ein Transfer Impact Assessment durchführen, soweit die zuständige Datenschutzbehörde dies fordert, und sollten prüfen, ob Anthropics Teilnahme am EU-US-Datenschutzrahmenabkommen (DPF) zum Zeitpunkt des Einsatzes einen alternativen Angemessenheitsmechanismus bietet.

Wie lange speichert Anthropic Daten gemäß AVV?

Der AVV verpflichtet Anthropic, personenbezogene Daten nach Vertragsende zu löschen oder zurückzugeben. Konkrete Speicherfristen variieren je nach Produkt und sind in Anthropics Servicebedingungen dokumentiert. Unternehmen sollten aktuelle Fristen mit ihren Datenminimierungspflichten nach Art. 5 Abs. 1 lit. e DSGVO abgleichen und bei Vertragsschluss klären, wie die Löschung ausgelöst werden kann.

Kann der Anthropic AVV für Enterprise verhandelt werden?

Der Standard-AVV von Anthropic ist in die Commercial Terms einbezogen und nicht für alle Kunden individuell verhandelbar. Enterprise-Kunden im Claude-Enterprise-Plan können spezifische Anforderungen über ihren Account-Manager-Kanal besprechen. Ob individuelle AVV-Anpassungen — etwa strengere Subprozessor-Genehmigungsrechte oder erweiterte Auditregelungen — möglich sind, hängt vom Auftragsvolumen und der aktuellen Enterprise-Vertragspolitik von Anthropic ab. Unternehmen mit besonderen Anforderungen sollten diese in der Enterprise-Verhandlungsphase vor Akzeptanz der Standard-Commercial-Terms ansprechen.