Anthropic DPA & DSGVO-Compliance für Deutschland
Stellt Anthropic eine DPA für Claude bereit?
Ja. Anthropic stellt für kommerzielle Produkte wie Claude Enterprise und die Claude API eine DPA mit SCCs bereit. Ob diese Anthropic DPA für den konkreten Einsatz in Deutschland ausreicht, hängt vom Workflow, den Datenarten und den internen Compliance-Anforderungen ab.
- Die Anthropic DPA ist in die Commercial Terms einbezogen und enthält SCCs für internationale Datentransfers.
- Unternehmen müssen Rollenverteilung, Speicherfristen, Subprozessoren und Drittlandtransfer konkret prüfen.
- Mitarbeiterdaten, Art.-9-Daten und besonders vertrauliche Dokumente verlangen eine strengere Einzelfallprüfung.
Ja, Anthropic stellt für Claude Enterprise und die Claude API eine Data Processing Agreement (DPA) nach Art. 28 DSGVO bereit. Im deutschen Beschaffungskontext wird dieser Vertrag häufig als Anthropic DPA bezeichnet — der präzise DSGVO-Begriff ist Auftragsverarbeitungsvertrag (AVV). Die Anthropic DPA ist in die Commercial Terms eingebettet und wird elektronisch über das Anthropic-Kundenportal abgerufen — ein separates PDF-Download ist nicht verfügbar. Für Unternehmen in Deutschland ist die entscheidende Frage nicht, ob eine DPA existiert, sondern ob sie zum konkreten Einsatz, den verarbeiteten Datenarten und den internen Compliance-Anforderungen passt. Diese Seite erklärt, wie Sie die DPA abrufen, was sie abdeckt und wann eine vertiefte Prüfung erforderlich ist.
Dieser Beitrag ist allgemeine Information und keine Rechtsberatung für den Einzelfall. Den deutschen Begriff AVV und den vollständigen DSGVO-Prüfrahmen für Claude behandelt unsere Seite zum Claude AVV. Den umfassenderen Überblick zum Claude-Einsatz in Deutschland finden Sie auf unserer Seite zu Claude Enterprise.
So erhalten Sie die Anthropic DPA
Die Anthropic DPA ist nicht als separates PDF zum Herunterladen verfügbar. Sie ist in die Commercial Terms eingebettet und wird elektronisch über das Anthropic-Kundenportal abgerufen. Kostenlose Claude.ai-Konten haben keinen Zugang zu einer DPA — der Vertrag setzt einen kostenpflichtigen API- oder Enterprise-Plan voraus.
Die Anthropic DPA in drei Schritten:
- Anthropic Console aufrufen: Melden Sie sich unter console.anthropic.com an (für API-Kunden) oder wenden Sie sich an Ihren Anthropic Enterprise Account Manager.
- Datenschutz- oder Vertragseinstellungen aufrufen: Im Kundenportal finden Sie unter den Privacy- oder Legal-Einstellungen die aktuelle DPA. Anthropic stellt zusätzlich über help.anthropic.com Ressourcen zur DPA-Unterzeichnung bereit.
- Elektronisch bestätigen: Die DPA wird nicht als separates Papierdokument unterzeichnet, sondern elektronisch im Portal bestätigt und gilt damit als Bestandteil der Commercial Terms.
Wichtig: Nur Kunden mit einem kostenpflichtigen Anthropic-Vertrag — Claude API oder Claude Enterprise — können eine DPA abschließen. Nutzer des kostenlosen Claude.ai-Plans haben keinen Zugang zu einem Auftragsverarbeitungsvertrag. Den Überblick zu DPA-Anforderungen im Allgemeinen bietet unsere Seite zum Auftragsverarbeitungsvertrag (AVV).
DPA und AVV — dieselbe Sache, zwei Begriffe
Im internationalen Beschaffungskontext wird der Begriff Data Processing Agreement (DPA) verwendet — das ist die englischsprachige Entsprechung des deutschen Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO. Aus DSGVO-Sicht ist Anthropic bei kommerziellen Produkten wie Claude Enterprise und der Claude API als Auftragsverarbeiter einzuordnen, weil das Unternehmen personenbezogene Daten im Auftrag der kundenseitigen Organisation verarbeitet.
Dabei ist eine wichtige Unterscheidung zu beachten:
- Direkter Bezug bei Anthropic (Claude Enterprise, Claude API): Die Anthropic Commercial Terms einschließlich DPA und SCCs gelten als Vertragsgrundlage.
- Bezug über Drittplattform (z.B. Amazon Bedrock, andere Cloud-Anbieter): Der Vertragsstack des jeweiligen Anbieters ist maßgeblich — nicht die Anthropic DPA.
Diese Unterscheidung hat erhebliche rechtliche Konsequenzen für den Beschaffungsprozess: Wer Claude über Amazon Bedrock bezieht, prüft den AWS-Vertragsstack, nicht die Anthropic DPA.
Was die Anthropic DPA nach Art. 28 DSGVO abdeckt
Art. 28 DSGVO schreibt vor, was ein Auftragsverarbeitungsvertrag zwingend regeln muss. Rechts- und Datenschutzteams sollten prüfen, ob die Anthropic DPA diese Pflichtinhalte für den konkreten Einsatz vollständig und stimmig abdeckt:
| Pflichtinhalt | Was zu prüfen ist |
|---|---|
| Gegenstand und Dauer | Ist der Verarbeitungsgegenstand für den geplanten Workflow ausreichend beschrieben? |
| Art und Zweck der Verarbeitung | Stimmen die genannten Zwecke mit dem tatsächlichen Claude-Einsatz überein? |
| Kategorien personenbezogener Daten | Sind alle Datenarten erfasst, die im Workflow vorkommen? |
| Kategorien betroffener Personen | Sind Kunden, Mitarbeitende und Nutzer korrekt abgegrenzt? |
| Weisungsgebundenheit | Ist geregelt, dass Anthropic nur auf dokumentierte Weisung verarbeitet? |
| Vertraulichkeitspflichten | Sind Vertraulichkeitszusagen für Anthropic-Mitarbeitende belastbar? |
| Sicherheitsmaßnahmen (Art. 32 DSGVO) | Sind technische und organisatorische Maßnahmen konkret benannt? |
| Subprozessoren | Gibt es eine aktuelle Liste und ein geregeltes Genehmigungsregime für Änderungen? |
| Betroffenenrechte | Ist Anthropic zur Unterstützung bei Auskunfts- und Löschanfragen verpflichtet? |
| Löschung und Rückgabe | Sind Fristen und Optionen nach Vertragsende klar geregelt? |
| Auditrechte | Kann das Unternehmen Kontrollen oder Nachweise bei Anthropic einfordern? |
Die Anthropic DPA deckt diese Pflichtinhalte grundsätzlich ab. Rechts- und Datenschutzteams sollten prüfen, ob die aktuelle Vertragsfassung und die zugehörigen Service-Dokumente mit dem geplanten Workflow und den Datenkategorien übereinstimmen.
Drittlandtransfer und SCCs in der Anthropic DPA
Eine häufige Beschaffungsfrage lautet: “Bleiben unsere Daten in der EU?” Anthropic verarbeitet Daten auf Infrastruktur, die sich nicht ausschließlich im Europäischen Wirtschaftsraum (EWR) befindet. Der primäre Transfermechanismus sind Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO, die Anthropic automatisch in die Commercial Terms einbezieht.
Unternehmen müssen trotzdem eine eigenständige Transferanalyse durchführen:
- Transferpfade dokumentieren: Welche Länder außerhalb des EWR können Daten empfangen — Speicherung, Verarbeitung und potenzieller Support-Zugriff.
- Subprozessoren prüfen: Anthropic setzt eigene Unterauftragsverarbeiter ein. Prüfen Sie, ob diese außerhalb des EWR operieren und ob SCCs konsequent weitergegeben wurden.
- Transfer Impact Assessment erwägen: Bei sensiblen Datenkategorien oder strengen internen Anforderungen kann auch bei vorhandenen SCCs ein eigenständiges Transfer Impact Assessment erforderlich sein.
- EU-Hosting und EU-Verarbeitung unterscheiden: Diese Begriffe werden oft verwechselt. Wer strikte Datenlokation benötigt, sollte die konkrete Architektur schriftlich von Anthropic bestätigen lassen — mehr dazu auf unserer Seite zu Claude EU-Hosting.
Anthropic DPA für verschiedene Datenarten
Wie tragfähig die Anthropic DPA für einen konkreten Workflow ist, hängt wesentlich davon ab, welche Daten tatsächlich verarbeitet werden.
Kundendaten
Claude kann in vielen Kundendaten-Workflows eingesetzt werden, wenn der Workflow sorgfältig gestaltet ist. Risikoärmere Szenarien umfassen begrenzte Metadaten, pseudonymisierte Inhalte oder nicht sensible operative Daten mit menschlicher Prüfung des Outputs. Schwieriger wird es bei großflächiger Kundenkommunikation, Beschwerdemanagement oder Vertragsanalysen mit klarem Personenbezug.
Mitarbeiterdaten
Mitarbeiterdaten erfordern in Deutschland eine besonders gründliche Prüfung. Sobald Claude für Hiring, Leistungsbewertung, Produktivitätsanalyse oder betriebliche Überwachung eingesetzt wird, sind Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG zu beachten. In vielen Fällen wird zudem eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich. Die DPA allein löst diese arbeitsrechtlichen Fragen nicht.
Besondere Kategorien (Art. 9 DSGVO)
Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit und andere Art.-9-Daten erfordern einen deutlich höheren Rechtfertigungsmaßstab. Ein Standard-Enterprise-Rollout reicht hier in der Regel nicht aus. Der Einsatz von Claude für diese Datenarten setzt nicht nur eine tragfähige DPA voraus, sondern auch eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO und in vielen Fällen eine DSFA.
Geschäftsgeheimnisse und vertrauliche Unterlagen
Nicht jedes Risiko ist ein Datenschutzrisiko. Wer Claude für Due-Diligence-Unterlagen, Term Sheets, M&A-Vorbereitung oder interne Ermittlungen einsetzen möchte, muss neben der DPA auch Geheimhaltungspflichten, Zugriffsrechte und interne Freigabeprozesse gesondert prüfen.
Checkliste — Anthropic DPA vor dem Rollout prüfen
Bevor Claude Enterprise oder die Claude API produktiv eingesetzt wird, sollten Legal- und Datenschutzteams diese Punkte abarbeiten:
- DPA abgerufen und mit dem Workflow abgeglichen? Prüfen Sie, ob Gegenstand, Zweck und Datenkategorien im Vertrag zum tatsächlichen Einsatz passen.
- Rollenverteilung (Auftragsverarbeiter vs. Verantwortlicher) dokumentiert? Bestätigen Sie, dass Anthropic für Ihren Workflow als Auftragsverarbeiter handelt, und dokumentieren Sie die eigene Verantwortlichkeit.
- SCCs und Drittlandtransfer erfasst? Kartieren Sie, welche Länder außerhalb des EWR involviert sind, und belegen Sie den Transfermechanismus im Verarbeitungsverzeichnis.
- Subprozessoren geprüft und im Vendor-Register erfasst? Fordern Sie die aktuelle Subprozessorliste an und dokumentieren Sie die Prüfung im Vendor-Management-System.
- Mitarbeiterdaten oder Art.-9-Daten separat bewertet? Klären Sie frühzeitig, ob Betriebsrat, HR und Datenschutz eingebunden werden müssen und ob eine DSFA erforderlich ist.
Wann reicht die Anthropic DPA allein nicht aus?
Die Anthropic DPA ist ein notwendiger, aber kein hinreichender Ausgangspunkt für jeden Claude-Einsatz. Eine vertiefte rechtliche Prüfung ist regelmäßig erforderlich, wenn:
- der Workflow große Mengen an Kundenkommunikation, Vertragsunterlagen oder Support-Tickets verarbeitet
- Mitarbeiterdaten, Bewerberdaten oder leistungsbezogene Auswertungen einfließen
- besondere Datenkategorien nach Art. 9 DSGVO betroffen sind
- strikte EU-Datenlokation oder spezifische Zertifizierungsanforderungen vorliegen
- branchenspezifische Regulierung greift — etwa in Finanzdienstleistungen, Gesundheitswesen oder regulierten Beratungsberufen
In diesen Szenarien reicht es nicht, die DPA abzuhaken. Erforderlich ist eine Gesamtbewertung von DPA, Verarbeitungsarchitektur, Rechtsgrundlage, Transfermechanismus und internen Governance-Regeln. Den vollständigen DSGVO-Prüfrahmen für den Claude-Einsatz finden Sie auf unserer Seite zur Claude DSGVO-Prüfung.
Compound Law berät Unternehmen, Gründer und In-house-Teams in Deutschland bei DSGVO-Compliance, KI-Verträgen und AI-Procurement. Wenn Sie die Anthropic DPA oder einen anderen KI-Anbietervertrag vor dem Rollout prüfen möchten, nehmen Sie Kontakt auf.
FAQ
Was ist die Anthropic DPA?
Die Anthropic DPA (Data Processing Agreement) ist der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, den Anthropic für kommerzielle Produkte bereitstellt. Im deutschen Kontext entspricht die DPA dem AVV (Auftragsverarbeitungsvertrag). Sie ist in die Commercial Terms einbezogen und enthält Standardvertragsklauseln (SCCs) für internationale Datentransfers.
Bietet Anthropic eine DPA für Claude Enterprise an?
Ja. Anthropic erklärt, dass die DPA mit SCCs in die Commercial Terms für Claude Enterprise und die Claude API einbezogen ist. Unternehmen sollten dennoch prüfen, ob der Vertrag zum konkreten Workflow und den tatsächlichen Datenflüssen passt.
Reicht die Anthropic DPA für Art. 28 DSGVO aus?
Die Anthropic DPA deckt die Pflichtinhalte von Art. 28 DSGVO grundsätzlich ab. Ob sie für den konkreten Einsatz ausreicht, hängt davon ab, ob Rollenverteilung, Datenkategorien, Transferpfade und Subprozessoren korrekt zum tatsächlichen Workflow passen.
Gilt die Anthropic DPA auch für die Claude API?
Ja. Anthropic erklärt, dass die DPA mit SCCs für kommerzielle Produkte einschließlich der Claude API gilt. Wer Claude über eine Drittplattform wie Amazon Bedrock nutzt, muss den Vertragsstack des jeweiligen Anbieters separat prüfen.
Was kostet die Anthropic DPA?
Anthropic bietet keinen gesondert kostenpflichtigen DPA an. Die DPA ist Bestandteil der Commercial Terms und damit automatisch in kostenpflichtigen Produkten wie Claude Enterprise und der Claude API enthalten. Ein separates Entgelt für den Vertragsabschluss wird nicht erhoben.
Wer muss die Anthropic DPA unterzeichnen?
Bei direktem Vertragsschluss mit Anthropic ist die DPA in die Commercial Terms einbezogen und wird nicht als separates Dokument unterzeichnet. Unternehmen sollten die aktuelle Version abrufen, intern dokumentieren und mit dem konkreten Workflow abgleichen.
Wo finde ich die Anthropic DPA zum Download?
Die Anthropic DPA ist kein separates PDF. Sie ist in die Commercial Terms einbezogen und wird elektronisch über das Kundenportal (console.anthropic.com) abgerufen. Enterprise-Kunden erhalten Zugang über ihren Account Manager. Weitere Hinweise bietet help.anthropic.com.
Gilt die Anthropic DPA für den kostenlosen Plan?
Nein. Eine DPA steht ausschließlich Kunden mit einem kostenpflichtigen Anthropic-Vertrag zur Verfügung – Claude API oder Claude Enterprise. Nutzer des kostenlosen Claude.ai-Plans können keine DPA abschließen und sollten keine personenbezogenen Daten verarbeiten, für die ein AVV erforderlich ist.
