Kostenlos beraten
Anthropic Standardvertragsklauseln SCC Modul 2 Modul 3 DSGVO Datenübermittlung
tools

Anthropic Standardvertragsklauseln (SCC): DSGVO-Leitfaden Modul 2 und 3

Welche SCCs nutzt Anthropic?

Anthropic nutzt EU-Standardvertragsklauseln (SCC) nach Art. 46 DSGVO — Modul 2 (Verantwortlicher → Auftragsverarbeiter) und Modul 3 (Auftragsverarbeiter → Auftragsverarbeiter) — automatisch im Auftragsverarbeitungsvertrag (AVV) enthalten.

  • SCCs sind automatisch im Anthropic-AVV enthalten — keine separate Unterzeichnung erforderlich.
  • Modul 2 gilt für Verantwortliche; Modul 3 gilt für Auftragsverarbeiter.
  • UK- und Schweiz-Anhänge passen die EU-SCCs an UK GDPR und revDSG an.

Anthropic nutzt EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c) DSGVO — konkret Modul 2 (Verantwortlicher → Auftragsverarbeiter) und Modul 3 (Auftragsverarbeiter → Auftragsverarbeiter) — die automatisch im Auftragsverarbeitungsvertrag (AVV) enthalten sind, sobald ein Kunde Anthropics Nutzungsbedingungen akzeptiert. Für Unternehmen, die Claude Enterprise oder die Claude API in Deutschland einsetzen, sind die SCCs damit bereits in Kraft — eine separate Verhandlung oder Unterzeichnung ist nicht erforderlich. Die entscheidende Compliance-Aufgabe besteht darin zu bestimmen, welches SCC-Modul auf Ihr Unternehmen zutrifft und welche ergänzenden Dokumentationspflichten Ihre DSGVO-Prüfung verlangt.

Diese Seite enthält allgemeine Informationen und ist keine Rechtsberatung für den Einzelfall. Den vollständigen Rahmen zu Anthropics Auftragsverarbeitungsvertrag finden Sie in unserem Leitfaden zum Anthropic AVV und in der Analyse des Anthropic-Datenverarbeitungsvertrags. Eine umfassende DSGVO-Übersicht bietet unsere Anthropic DSGVO-Compliance-Hubseite.

Was sind Standardvertragsklauseln (SCC)?

Standardvertragsklauseln sind von der EU-Kommission genehmigte Musterverträge, die Unternehmen ermöglichen, personenbezogene Daten aus der EU/dem EWR in Länder ohne Angemessenheitsbeschluss — darunter die USA — zu übermitteln. SCCs sind der wichtigste Transfermechanismus nach Art. 46 Abs. 2 lit. c) DSGVO (Kapitel V DSGVO) und wurden 2021 im Nachgang des Schrems-II-Urteils des EuGH (Rs. C-311/18) aktualisiert.

Ohne einen gültigen Transfermechanismus würde die Übermittlung personenbezogener Daten aus der EU an einen US-amerikanischen KI-Anbieter gegen die DSGVO verstoßen. SCCs schließen diese Lücke vertraglich und verpflichten den Datenimporteur zu einem EU-äquivalenten Datenschutzniveau.

Die EU-Kommissions-SCCs von 2021 umfassen vier Module für unterschiedliche Übermittlungsszenarien:

  • Modul 1 — Verantwortlicher an Verantwortlichen
  • Modul 2 — Verantwortlicher an Auftragsverarbeiter
  • Modul 3 — Auftragsverarbeiter an Auftragsverarbeiter
  • Modul 4 — Auftragsverarbeiter an Verantwortlichen

Für die meisten Anthropic-Nutzungsszenarien ist Modul 2 oder Modul 3 einschlägig.

Welche SCCs nutzt Anthropic?

Anthropic integriert EU-Kommissions-SCCs — Modul 2 und Modul 3 — in seine Nutzungsbedingungen. Sie sind automatisch im Auftragsverarbeitungsvertrag enthalten, der bei der Annahme von Anthropics Bedingungen für kostenpflichtige Produkte akzeptiert wird. Kunden, die Claude Enterprise oder die Claude API nutzen, müssen keine gesonderten SCC-Dokumente unterzeichnen.

Zusätzlich stellt Anthropic Anhänge bereit, die die EU-SCCs für folgende Jurisdiktionen anpassen:

  • UK-Übermittlungen: das UK International Data Transfer Addendum (UK IDTA), erforderlich für Übermittlungen aus dem Vereinigten Königreich in Drittländer ohne UK-Angemessenheitsbeschluss
  • Schweizer Übermittlungen: eine Anpassung für das revidierte Datenschutzgesetz (revDSG), in Kraft seit dem 1. September 2023

SCC Modul 2 vs. Modul 3: Was gilt für Ihr Unternehmen?

Das zutreffende SCC-Modul hängt von der Rolle Ihres Unternehmens in der Datenverarbeitungskette ab. Die folgende Tabelle deckt die häufigsten Szenarien ab:

Ihre RolleAnthropics RolleEinschlägiges SCC-Modul
Verantwortlicher (verarbeitet Daten für eigene Zwecke)Auftragsverarbeiter (verarbeitet in Ihrem Auftrag)Modul 2 (Verantwortlicher → Auftragsverarbeiter)
Auftragsverarbeiter (verarbeitet Daten im Auftrag Ihrer Kunden)UnterauftragsverarbeiterModul 3 (Auftragsverarbeiter → Auftragsverarbeiter)

Modul 2 — Verantwortlicher an Auftragsverarbeiter gilt, wenn Ihr Unternehmen der datenschutzrechtliche Verantwortliche ist. Dies ist das Standardszenario für Unternehmen, die Claude für interne Arbeitsabläufe, Kundendatenanalysen oder betriebliche Automatisierung nutzen. Sie bestimmen Zweck und Mittel der Verarbeitung; Anthropic verarbeitet auf Ihre Weisung hin.

Modul 3 — Auftragsverarbeiter an Auftragsverarbeiter gilt, wenn Ihr Unternehmen selbst Auftragsverarbeiter ist — etwa ein SaaS-Anbieter, der ein Produkt auf Basis der Claude API entwickelt und dabei Daten im Auftrag seiner Kunden verarbeitet. In diesem Fall fungiert Anthropic als Ihr Unterauftragsverarbeiter.

Entscheidungshilfe: Fließen Daten Ihrer Endkunden in Claude ein, sind Sie wahrscheinlich Auftragsverarbeiter — dann gilt Modul 3. Nutzen Sie Claude als internes Werkzeug zur Verarbeitung eigener Kunden- oder Mitarbeiterdaten, ist Modul 2 der häufigere Ausgangspunkt. Hybridszenarien — bei denen ein Unternehmen für unterschiedliche Datenflüsse zugleich Verantwortlicher und Auftragsverarbeiter ist — erfordern eine getrennte Analyse je Verarbeitungstätigkeit.

Muss ich die SCCs separat mit Anthropic unterzeichnen?

Nein. Kunden müssen keine gesonderten SCC-Dokumente mit Anthropic verhandeln oder unterzeichnen. Die EU-Kommissions-SCCs — einschließlich des einschlägigen Moduls — sind automatisch in Anthropics Nutzungsbedingungen für kostenpflichtige Produkte enthalten.

Dies ist die häufigste Fehlannahme bei der DSGVO-Beschaffung von KI-Tools. Anders als manche Enterprise-Anbieter, die eine separate Datentransfer-Vereinbarung verlangen, integriert Anthropic die SCCs durch Verweis in die Standard-Nutzungsbedingungen.

Ihre Compliance-Pflichten umfassen:

  1. Bestimmung des einschlägigen Moduls anhand Ihrer Rolle als Verantwortlicher oder Auftragsverarbeiter.
  2. Dokumentation der Übermittlung im Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO — mit Angabe des Transfermechanismus, des einschlägigen SCC-Moduls und der Zielländer.
  3. Durchführung einer Transfer-Folgenabschätzung — SCCs sind ein rechtlicher Mechanismus, bedeuten aber nicht automatisch ein geringes Risiko. Eine TFA ist für die meisten EU-US-Übermittlungen auf Basis von SCCs erforderlich.

UK- und Schweiz-Anhänge

Für Unternehmen, die dem UK GDPR oder dem revDSG anstelle der EU-DSGVO unterliegen, müssen die Standard-EU-SCCs ergänzt werden:

  • UK International Data Transfer Addendum (UK IDTA): Erforderlich für Übermittlungen aus dem Vereinigten Königreich in Drittländer ohne UK-Angemessenheitsbeschluss. Der UK IDTA passt die EU-SCCs für die Anwendung unter dem UK GDPR an. Anthropic unterstützt den UK IDTA für Übermittlungen von Daten, die dem britischen Datenschutzrecht unterliegen.
  • revDSG-Anhang: Für Datenübermittlungen aus der Schweiz nach dem revidierten Datenschutzgesetz (revDSG, in Kraft seit 01.09.2023) stellt Anthropic eine entsprechende Anpassung der EU-SCCs bereit.

Unternehmen, die dem britischen oder schweizerischen Datenschutzrecht unterliegen, sollten mit Anthropic bestätigen, dass der jeweilige Anhang in ihren Nutzungsbedingungen enthalten ist. Dies kann in der Regel über den zuständigen Ansprechpartner bei Anthropic oder das Kundenportal erfolgt werden.

Transfer-Folgenabschätzung (TFA) für Anthropic

Die EU-Kommissions-SCCs von 2021 sowie die nachfolgenden Leitlinien des Europäischen Datenschutzausschusses (EDSA) verlangen, dass Unternehmen eine Transfer-Folgenabschätzung (TFA) durchführen, wenn sie sich für internationale Datenübermittlungen auf SCCs stützen. Eine TFA ist eine dokumentierte Analyse, die bewertet, ob das Rechtssystem im Zielland in der Praxis einen angemessenen Schutz bietet und ob ergänzende Maßnahmen erforderlich sind.

Was eine TFA für Anthropic-Übermittlungen umfassen sollte:

  • Den US-Rechtsrahmen, der auf die Infrastruktur von Anthropic anwendbar ist — einschließlich möglicher Verpflichtungen zur Herausgabe von Daten an Behörden nach Gesetzen wie FISA Section 702
  • Anthropics technische und organisatorische Maßnahmen zum Schutz übermittelter Daten
  • Ob ergänzende technische Maßnahmen — Verschlüsselung, Pseudonymisierung oder Datenminimierung auf API-Ebene — das Restrisiko reduzieren
  • Ob die EU-US Data Privacy Framework (DPF)-Zertifizierung eine alternative Angemessenheitsgrundlage für betroffene Anthropic-Datenflüsse bietet und damit die Notwendigkeit von SCCs für diese Flüsse entfällt

Anthropics TFA-Unterstützung: Anthropic stellt nach eigenen Angaben auf Anfrage Informationen bereit, die Kunden bei der Erfüllung ihrer TFA-Pflichten unterstützen. Enterprise-Kunden sollten diese Dokumentation vor dem Einsatz über ihren Ansprechpartner anfordern und die TFA-Dokumentation zusammen mit dem VVT-Eintrag aufbewahren.

SCCs vs. EU-Datenspeicherort: Kein Entweder-oder

SCCs und EU-Datenspeicherort werden in Beschaffungsgesprächen häufig verwechselt — sie adressieren jedoch unterschiedliche Compliance-Anforderungen.

Standardvertragsklauseln sind ein rechtlicher Transfermechanismus — sie genehmigen die Übermittlung personenbezogener Daten außerhalb des EWR, indem sie den Datenimporteur vertraglich auf EU-äquivalente Datenschutzstandards verpflichten. SCCs verhindern nicht, dass Daten die EU verlassen; sie regeln die Bedingungen, unter denen dies rechtmäßig geschehen kann.

EU-Datenspeicherort bedeutet, dass personenbezogene Daten physisch auf Infrastruktur innerhalb des EWR gespeichert und verarbeitet werden. Das Vorliegen von SCCs bedeutet nicht, dass Ihre Daten in Europa verbleiben — es bedeutet, dass die Übermittlung, wohin auch immer sie erfolgt, datenschutzrechtlich genehmigt ist.

Für Unternehmen, die zusätzlich zum SCC-Transfermechanismus einen EU-Datenspeicherort benötigen — etwa bei sektorspezifischen Datenlokalisierungspflichten — sind die SCCs im Anthropic-AVV allein nicht ausreichend. Einen EU-Datenspeicherort für Claude erfordert eine gesonderte Infrastrukturkonfiguration. Aktuelle Optionen und Analyse finden Sie auf unserer Seite zu Claude EU-Hosting.

Was ist über Anthropics SCCs hinaus erforderlich?

Die automatisch in Anthropics Nutzungsbedingungen enthaltenen SCCs sind eine notwendige, aber nicht hinreichende Grundlage für einen DSGVO-konformen Claude-Einsatz. Ein vollständiges Compliance-Bild erfordert:

  • Prüfung des AVV nach Art. 28 DSGVO: Überprüfen Sie, ob der Anthropic-Datenverarbeitungsvertrag Ihre spezifischen Arbeitsabläufe, Datenkategorien, Unterauftragsverarbeiter und Aufbewahrungsfristen abdeckt.
  • Rechtsgrundlage der Verarbeitung: Stellen Sie eine gültige Rechtsgrundlage nach Art. 6 DSGVO sicher — und nach Art. 9 DSGVO, soweit besondere Kategorien personenbezogener Daten betroffen sind.
  • VVT-Dokumentation: Erfassen Sie die Anthropic-Verarbeitungstätigkeit — einschließlich des einschlägigen SCC-Moduls, der Zielländer und des Transfermechanismus — im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO.
  • TFA-Dokumentation: Führen Sie eine Transfer-Folgenabschätzung für den EU-US-Übermittlungsweg und etwaige Unterauftragsverarbeiter-Übermittlungswege außerhalb des EWR durch und bewahren Sie diese auf.
  • DSFA-Prüfung: Stellen Sie fest, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist — abhängig von Umfang, Art und Risikoprofil der Verarbeitung.
  • Unterauftragsverarbeiter-Prüfung: Fordern Sie Anthropics aktuelle Unterauftragsverarbeiterliste an und prüfen Sie die für jeden Unterauftragsverarbeiter außerhalb des EWR angewendeten Transfermechanismen.

Bei Beschäftigtendaten können zudem Mitbestimmungspflichten nach § 87 Abs. 1 Nr. 6 BetrVG unabhängig vom AVV- und SCC-Review bestehen. Diese Pflichten entstammen dem deutschen Arbeitsrecht und werden durch den DSGVO-Vertragsrahmen allein nicht erfüllt.

Compound Law berät Unternehmen, Startups und Inhouse-Teams in Deutschland zu DSGVO, KI-Verträgen und Datentransfer-Compliance. Wenn Sie eine vollständige SCC- und AVV-Prüfung für Ihren Anthropic-Einsatz benötigen, kontaktieren Sie uns.

FAQ

Welche SCCs nutzt Anthropic?

Anthropic nutzt EU-Kommissions-genehmigte Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c) DSGVO — konkret Modul 2 (Verantwortlicher → Auftragsverarbeiter) und Modul 3 (Auftragsverarbeiter → Auftragsverarbeiter). Es gelten die EU-Kommissions-SCCs von 2021. Sie sind automatisch im Anthropic-Auftragsverarbeitungsvertrag (AVV) enthalten, der bei der Annahme der Nutzungsbedingungen für Claude Enterprise und die Claude API akzeptiert wird. Kunden müssen keine gesonderten SCC-Dokumente verhandeln oder unterzeichnen.

Sind Anthropics SCCs DSGVO-konform?

Ja — Anthropic nutzt die aktuellen EU-Kommissions-SCCs von 2021, die nach Art. 46 Abs. 2 lit. c) DSGVO der rechtlich gültige Transfermechanismus sind. SCCs sind jedoch eine rechtliche Genehmigung der Übermittlung, keine Garantie gleichwertigen Schutzes in der Praxis. Nach dem Schrems-II-Urteil müssen Unternehmen weiterhin eine Transfer-Folgenabschätzung durchführen und erforderlichenfalls ergänzende Maßnahmen dokumentieren. Das EU-US Data Privacy Framework (DPF) kann eine alternative Angemessenheitsgrundlage bieten — der aktuelle Zertifizierungsstatus sollte zum Beschaffungszeitpunkt geprüft werden.

Brauche ich eine Transfer-Folgenabschätzung für Anthropic?

In den meisten Fällen ja. Die EDSA-Leitlinien nach Schrems II verlangen eine Transfer-Folgenabschätzung, wenn bei Drittlandsübermittlungen auf SCCs zurückgegriffen wird. Für EU-US-Übermittlungen zu Anthropic sollte die TFA den US-Rechtsrahmen (einschließlich FISA Section 702), Anthropics technische und organisatorische Maßnahmen sowie etwaigen Ergänzungsbedarf bewerten. Anthropic stellt TFA-Unterstützungsdokumentation auf Anfrage bereit — fordern Sie diese über Ihren Ansprechpartner vor dem Produktiveinsatz an.

Gilt Claude Enterprise auch für die SCCs?

Ja. SCCs sind automatisch in Anthropics Nutzungsbedingungen für Claude Enterprise und die Claude API enthalten. Eine gesonderte SCC-Unterzeichnung ist nicht erforderlich. UK- und Schweizer Kunden sollten mit Anthropic bestätigen, dass der UK IDTA- bzw. revDSG-Anhang ebenfalls in ihren Nutzungsbedingungen enthalten ist. Kunden, die Claude über Amazon Bedrock nutzen, sollten beachten, dass dort der AWS-AVV und die AWS-SCCs gelten — der Anthropic-AVV mit SCCs gilt nur bei direktem Vertragsschluss mit Anthropic.

Weitere Tool-Guides

Claude Zero Data Retention ZDR Leitfaden DSGVO-Datensparsamkeit für Unternehmen in Deutschland
tools

Claude Zero Data Retention (ZDR): Leitfaden für Unternehmen

Anthropics Zero Data Retention (ZDR): Eingaben und Ausgaben werden nach der API-Antwort nicht gespeichert. Berechtigte, Ausnahmen und DSGVO-Datensparsamkeit.
Claude Enterprise für Kanzleien und juristische Rechtsabteilungen
tools

Claude Enterprise für Kanzleien und Rechtsabteilungen

Claude Enterprise für Kanzleien: Vertragsanalyse, Due Diligence und Compliance-Dokumentation DSGVO-konform einsetzen — Leitfaden für Juristen.
Zapier DSGVO 2026 — AVV, Art. 28, SCCs und EU-Datentransfer fuer deutsche Unternehmen
tools

Zapier DSGVO 2026: AVV, Art. 28 & EU-Datentransfer aktuell

Ist Zapier DSGVO-konform? AVV nach Art. 28, SCCs, EU-Datenhaltung und Datentransfer 2026 — aktueller Compliance-Leitfaden fuer Deutschland.
Anthropic Auftragsverarbeitungsvertrag AVV Art. 28 DSGVO Prüfleitfaden
tools

Anthropic Auftragsverarbeitungsvertrag — DSGVO-Leitfaden

Was der Anthropic AVV nach Art. 28 DSGVO enthält, welche SCCs einbezogen sind und was vor dem Claude-Einsatz in Deutschland zu prüfen ist.
Claude Enterprise DSGVO-Compliance für Unternehmen in Deutschland
tools

Claude Enterprise für Deutschland — DSGVO-konform & sicher

Claude Enterprise bietet deutschen Unternehmen eine DSGVO-konforme KI-Plattform mit AVV, ohne Modelltraining und mit EU-Datenschutzstandards.
Anthropic DPA Auftragsverarbeitung nach Art. 28 DSGVO für Claude Enterprise
tools

Anthropic DPA & DSGVO-Compliance für Deutschland

Ja – Anthropic stellt für Claude Enterprise und die Claude API eine DPA bereit. Was die DPA abdeckt und wann sie für Deutschland ausreicht.

Mehr KI-Tools durchsuchen

Häufige Fragen

Welche SCCs nutzt Anthropic?

Anthropic nutzt EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c) DSGVO — konkret Modul 2 (Verantwortlicher → Auftragsverarbeiter) und Modul 3 (Auftragsverarbeiter → Auftragsverarbeiter). Diese sind automatisch im Anthropic-Auftragsverarbeitungsvertrag (AVV) enthalten. Kunden müssen die SCCs nicht separat unterzeichnen oder verhandeln.

Sind Anthropics SCCs DSGVO-konform?

Ja. Anthropic nutzt die EU-Kommissions-SCCs von 2021, die nach Art. 46 Abs. 2 lit. c) DSGVO ein gültiger Transfermechanismus für Drittlandsübermittlungen sind. SCCs sind jedoch ein rechtlicher Transfermechanismus, keine Garantie gleichwertigen Schutzes in der Praxis. Unternehmen müssen zusätzlich eine Transfer-Folgenabschätzung durchführen und die Übermittlung im Verzeichnis der Verarbeitungstätigkeiten dokumentieren. Das EU-US Data Privacy Framework (DPF) kann eine alternative Rechtsgrundlage bieten — der aktuelle Zertifizierungsstatus sollte zum Beschaffungszeitpunkt geprüft werden.

Brauche ich eine Transfer-Folgenabschätzung für Anthropic?

In den meisten Fällen ja. Die EDSA-Leitlinien nach dem Schrems-II-Urteil verlangen eine Transfer-Folgenabschätzung (TFA), wenn für Drittlandsübermittlungen auf SCCs zurückgegriffen wird. Für EU-US-Übermittlungen zu Anthropic sollte die TFA das US-Rechtssystem (einschließlich FISA Section 702), Anthropics technische und organisatorische Maßnahmen sowie etwaigen Ergänzungsbedarf prüfen. Anthropic stellt auf Anfrage Informationen zur Unterstützung der TFA bereit — Enterprise-Kunden sollten diese Dokumentation vor dem Einsatz über ihren Ansprechpartner anfordern.

Gilt Claude Enterprise auch für die SCCs?

Ja. SCCs sind automatisch in Anthropics Nutzungsbedingungen für Claude Enterprise und die Claude API enthalten. Eine separate Unterzeichnung von SCC-Dokumenten ist nicht erforderlich. UK- und Schweizer Kunden sollten mit Anthropic bestätigen, dass der UK IDTA- bzw. revDSG-Anhang ebenfalls in ihren Vertragsbedingungen enthalten ist. Kunden, die Claude über Amazon Bedrock nutzen, sollten beachten, dass dort der AWS-AVV und die AWS-SCCs gelten — der Anthropic-AVV mit SCCs gilt nur bei direktem Vertragsschluss mit Anthropic.

Kostenlos beraten