Kostenlos beraten
Anthropic Standardvertragsklauseln SCC Modul 2 Modul 3 DSGVO Datenübermittlung
tools

Anthropic Standardvertragsklauseln (SCC): DSGVO-Leitfaden Modul 2 und 3

Welche SCCs nutzt Anthropic?

Anthropics aktueller AVV integriert die EU-Standardvertragsklauseln von 2021 automatisch — Modul 2 fuer Verantwortlicher-zu-Auftragsverarbeiter-Transfers und Modul 3 fuer Auftragsverarbeiter-zu-Auftragsverarbeiter-Transfers. Bei direktem Anthropic-Vertrag ist kein separates SCC-Dokument noetig.

  • SCCs sind automatisch im Anthropic-AVV enthalten — regelmaessig ist keine separate Unterzeichnung erforderlich.
  • Modul 2 gilt für Verantwortliche; Modul 3 gilt für Auftragsverarbeiter.
  • Der aktuelle Anthropic-AVV enthaelt auch UK- und Schweiz-Anhaenge fuer UK-GDPR- und Schweizer Transferfaelle.
  • Wer Claude ueber Bedrock, Vertex AI oder andere Plattformen nutzt, muss den Vertragsstack dieser Plattform pruefen.

Anthropics aktueller Auftragsverarbeitungsvertrag mit Stand 24. Februar 2025 definiert die einschlaegigen Standardvertragsklauseln (SCC) als Modul 2 (Verantwortlicher → Auftragsverarbeiter) oder Modul 3 (Auftragsverarbeiter → Auftragsverarbeiter) nach dem Durchfuehrungsbeschluss (EU) 2021/914. Das Anthropic-Hilfecenter, zuletzt aktualisiert am 16. Maerz 2026, erklaert, dass diese SCCs bei direkter Nutzung der kommerziellen Anthropic-Dienste automatisch einbezogen sind. Fuer Unternehmen in Deutschland, die die Claude API oder Claude for Work / Enterprise direkt bei Anthropic beziehen, ist daher regelmaessig keine separate SCC-Unterzeichnung erforderlich. Die praktische Compliance-Frage lautet vielmehr: Gilt fuer den konkreten Datenfluss Modul 2 oder Modul 3, und wie wird der Transfer sauber nach DSGVO dokumentiert?

Diese Seite enthält allgemeine Informationen und ist keine Rechtsberatung für den Einzelfall. Den vollständigen Rahmen zu Anthropics Auftragsverarbeitungsvertrag finden Sie in unserem Leitfaden zum Anthropic AVV und in der Analyse des Anthropic-Datenverarbeitungsvertrags. Eine umfassende DSGVO-Übersicht bietet unsere Anthropic DSGVO-Compliance-Hubseite.

Was sind Standardvertragsklauseln (SCC)?

Standardvertragsklauseln sind von der EU-Kommission genehmigte Musterverträge, die Unternehmen ermöglichen, personenbezogene Daten aus der EU/dem EWR in Länder ohne Angemessenheitsbeschluss — darunter die USA — zu übermitteln. SCCs sind der wichtigste Transfermechanismus nach Art. 46 Abs. 2 lit. c) DSGVO (Kapitel V DSGVO) und wurden 2021 im Nachgang des Schrems-II-Urteils des EuGH (Rs. C-311/18) aktualisiert.

Ohne einen gültigen Transfermechanismus würde die Übermittlung personenbezogener Daten aus der EU an einen US-amerikanischen KI-Anbieter gegen die DSGVO verstoßen. SCCs schließen diese Lücke vertraglich und verpflichten den Datenimporteur zu einem EU-äquivalenten Datenschutzniveau.

Die EU-Kommissions-SCCs von 2021 umfassen vier Module für unterschiedliche Übermittlungsszenarien:

  • Modul 1 — Verantwortlicher an Verantwortlichen
  • Modul 2 — Verantwortlicher an Auftragsverarbeiter
  • Modul 3 — Auftragsverarbeiter an Auftragsverarbeiter
  • Modul 4 — Auftragsverarbeiter an Verantwortlichen

Für die meisten Anthropic-Nutzungsszenarien ist Modul 2 oder Modul 3 einschlägig.

Welche SCCs nutzt Anthropic?

Anthropics AVV definiert “Standard Contractual Clauses” als Modul Two (controller to processor) oder Modul Three (processor to processor) der EU-SCCs von 2021. Der AVV ist in den kommerziellen Vertragsrahmen einbezogen; die Anthropic Commercial Terms mit Stand 17. Juni 2025 binden den AVV per Verweis ein. Kunden, die die Claude API oder Claude for Work / Enterprise direkt bei Anthropic nutzen, muessen deshalb regelmaessig kein separates SCC-Dokument unterzeichnen.

Zusätzlich stellt Anthropic Anhänge bereit, die die EU-SCCs für folgende Jurisdiktionen anpassen:

  • UK-Übermittlungen: das UK International Data Transfer Addendum (UK IDTA), erforderlich für Übermittlungen aus dem Vereinigten Königreich in Drittländer ohne UK-Angemessenheitsbeschluss
  • Schweizer Übermittlungen: eine Anpassung für das revidierte Datenschutzgesetz (revDSG), in Kraft seit dem 1. September 2023

SCC Modul 2 vs. Modul 3: Was gilt für Ihr Unternehmen?

Das zutreffende SCC-Modul hängt von der Rolle Ihres Unternehmens in der Datenverarbeitungskette ab. Die folgende Tabelle deckt die häufigsten Szenarien ab:

Ihre RolleAnthropics RolleEinschlägiges SCC-Modul
Verantwortlicher (verarbeitet Daten für eigene Zwecke)Auftragsverarbeiter (verarbeitet in Ihrem Auftrag)Modul 2 (Verantwortlicher → Auftragsverarbeiter)
Auftragsverarbeiter (verarbeitet Daten im Auftrag Ihrer Kunden)UnterauftragsverarbeiterModul 3 (Auftragsverarbeiter → Auftragsverarbeiter)

Modul 2 — Verantwortlicher an Auftragsverarbeiter gilt, wenn Ihr Unternehmen der datenschutzrechtliche Verantwortliche ist. Dies ist das Standardszenario für Unternehmen, die Claude für interne Arbeitsabläufe, Kundendatenanalysen oder betriebliche Automatisierung nutzen. Sie bestimmen Zweck und Mittel der Verarbeitung; Anthropic verarbeitet auf Ihre Weisung hin.

Modul 3 — Auftragsverarbeiter an Auftragsverarbeiter gilt, wenn Ihr Unternehmen selbst Auftragsverarbeiter ist — etwa ein SaaS-Anbieter, der ein Produkt auf Basis der Claude API entwickelt und dabei Daten im Auftrag seiner Kunden verarbeitet. In diesem Fall fungiert Anthropic als Ihr Unterauftragsverarbeiter.

Entscheidungshilfe: Wenn Sie personenbezogene Daten im Auftrag Ihrer eigenen Kunden verarbeiten und diese Daten dann in Claude eingegeben werden, ist Modul 3 oft der richtige Ausgangspunkt, weil Anthropic als Unterauftragsverarbeiter eingebunden wird. Wenn Ihr Unternehmen selbst ueber Zweck und Mittel der Verarbeitung entscheidet und Claude fuer interne Workflows mit Kunden-, Interessenten- oder Beschaeftigtendaten nutzt, ist Modul 2 meist der naechste Ausgangspunkt. Hybridszenarien — also Verantwortlicher fuer einige Datenfluesse und Auftragsverarbeiter fuer andere — muessen pro Verarbeitungstaetigkeit getrennt bewertet werden.

Muss ich die SCCs separat mit Anthropic unterzeichnen?

Nein, nicht bei direktem Vertrag mit Anthropic. Kunden muessen mit Anthropic regelmaessig keine gesonderten SCC-Dokumente verhandeln oder unterzeichnen. Das einschlaegige SCC-Modul ist bereits im AVV enthalten, und der AVV ist Bestandteil der kommerziellen Vertragsbedingungen fuer den bezahlten Dienst.

Dies ist die häufigste Fehlannahme bei der DSGVO-Beschaffung von KI-Tools. Anders als manche Enterprise-Anbieter, die eine separate Datentransfer-Vereinbarung verlangen, integriert Anthropic die SCCs durch Verweis in die Standard-Nutzungsbedingungen.

Die wichtige Ausnahme ist die Nutzung ueber Drittplattformen. Anthropics eigenes Hilfecenter stellt klar, dass bei Zugriff ueber eine Drittplattform oder einen Serviceanbieter die Vertragsbedingungen dieser Plattform gelten. Praktisch bedeutet das: AWS Bedrock, Google Vertex AI oder andere vermittelte Setups erfordern eine gesonderte Pruefung von DPA/AVV, SCCs und Transferarchitektur des jeweiligen Plattformanbieters.

Ihre Compliance-Pflichten umfassen:

  1. Bestimmung des einschlägigen Moduls anhand Ihrer Rolle als Verantwortlicher oder Auftragsverarbeiter.
  2. Dokumentation der Übermittlung im Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO — mit Angabe des Transfermechanismus, des einschlägigen SCC-Moduls und der Zielländer.
  3. Durchführung einer Transfer-Folgenabschätzung — SCCs sind ein rechtlicher Mechanismus, bedeuten aber nicht automatisch ein geringes Risiko. Eine TFA ist für die meisten EU-US-Übermittlungen auf Basis von SCCs erforderlich.

UK- und Schweiz-Anhänge

Für Unternehmen, die dem UK GDPR oder dem revDSG anstelle der EU-DSGVO unterliegen, müssen die Standard-EU-SCCs ergänzt werden:

  • UK International Data Transfer Addendum (UK IDTA): Anthropics AVV definiert einen UK-Anhang auf Basis des vom ICO veroeffentlichten International Data Transfer Addendum fuer Transferpfade unter dem UK GDPR.
  • revDSG-Anhang: Für Datenübermittlungen aus der Schweiz nach dem revidierten Datenschutzgesetz (revDSG, in Kraft seit 01.09.2023) stellt Anthropic eine entsprechende Anpassung der EU-SCCs bereit.

Unternehmen, die dem britischen oder schweizerischen Datenschutzrecht unterliegen, sollten mit Anthropic bestätigen, dass der jeweilige Anhang in ihren Nutzungsbedingungen enthalten ist. Dies kann in der Regel über den zuständigen Ansprechpartner bei Anthropic oder das Kundenportal erfolgt werden.

Transfer-Folgenabschätzung (TFA) für Anthropic

Die EU-Kommissions-SCCs von 2021 sowie die nachfolgenden Leitlinien des Europäischen Datenschutzausschusses (EDSA) verlangen, dass Unternehmen eine Transfer-Folgenabschätzung (TFA) durchführen, wenn sie sich für internationale Datenübermittlungen auf SCCs stützen. Eine TFA ist eine dokumentierte Analyse, die bewertet, ob das Rechtssystem im Zielland in der Praxis einen angemessenen Schutz bietet und ob ergänzende Maßnahmen erforderlich sind.

Was eine TFA für Anthropic-Übermittlungen umfassen sollte:

  • Den US-Rechtsrahmen, der auf die Infrastruktur von Anthropic anwendbar ist — einschließlich möglicher Verpflichtungen zur Herausgabe von Daten an Behörden nach Gesetzen wie FISA Section 702
  • Anthropics technische und organisatorische Maßnahmen zum Schutz übermittelter Daten
  • Ob ergänzende technische Maßnahmen — Verschlüsselung, Pseudonymisierung oder Datenminimierung auf API-Ebene — das Restrisiko reduzieren
  • Ob Ihr Unternehmen sich fuer den jeweiligen Importeur auf den Anthropic-SCC-Pfad oder auf eine andere Transfergrundlage stuetzt und ob diese Entscheidung in Datenschutz-, Security- und Procurement-Unterlagen einheitlich dokumentiert ist

Anthropics TFA-Unterstützung: Anthropic stellt nach eigenen Angaben auf Anfrage Informationen bereit, die Kunden bei der Erfüllung ihrer TFA-Pflichten unterstützen. Enterprise-Kunden sollten diese Dokumentation vor dem Einsatz über ihren Ansprechpartner anfordern und die TFA-Dokumentation zusammen mit dem VVT-Eintrag aufbewahren.

SCCs vs. EU-Datenspeicherort: Kein Entweder-oder

SCCs und EU-Datenspeicherort werden in Beschaffungsgesprächen häufig verwechselt — sie adressieren jedoch unterschiedliche Compliance-Anforderungen.

Standardvertragsklauseln sind ein rechtlicher Transfermechanismus — sie genehmigen die Übermittlung personenbezogener Daten außerhalb des EWR, indem sie den Datenimporteur vertraglich auf EU-äquivalente Datenschutzstandards verpflichten. SCCs verhindern nicht, dass Daten die EU verlassen; sie regeln die Bedingungen, unter denen dies rechtmäßig geschehen kann.

EU-Datenspeicherort bedeutet, dass personenbezogene Daten physisch auf Infrastruktur innerhalb des EWR gespeichert und verarbeitet werden. Das Vorliegen von SCCs bedeutet nicht, dass Ihre Daten in Europa verbleiben — es bedeutet, dass die Übermittlung, wohin auch immer sie erfolgt, datenschutzrechtlich genehmigt ist.

Für Unternehmen, die zusätzlich zum SCC-Transfermechanismus einen EU-Datenspeicherort benötigen — etwa bei sektorspezifischen Datenlokalisierungspflichten — sind die SCCs im Anthropic-AVV allein nicht ausreichend. Einen EU-Datenspeicherort für Claude erfordert eine gesonderte Infrastrukturkonfiguration. Aktuelle Optionen und Analyse finden Sie auf unserer Seite zu Claude EU-Hosting.

Was ist über Anthropics SCCs hinaus erforderlich?

Die automatisch in Anthropics Nutzungsbedingungen enthaltenen SCCs sind eine notwendige, aber nicht hinreichende Grundlage für einen DSGVO-konformen Claude-Einsatz. Ein vollständiges Compliance-Bild erfordert:

  • Prüfung des AVV nach Art. 28 DSGVO: Überprüfen Sie, ob der Anthropic-Datenverarbeitungsvertrag Ihre spezifischen Arbeitsabläufe, Datenkategorien, Unterauftragsverarbeiter und Aufbewahrungsfristen abdeckt.
  • Rechtsgrundlage der Verarbeitung: Stellen Sie eine gültige Rechtsgrundlage nach Art. 6 DSGVO sicher — und nach Art. 9 DSGVO, soweit besondere Kategorien personenbezogener Daten betroffen sind.
  • VVT-Dokumentation: Erfassen Sie die Anthropic-Verarbeitungstätigkeit — einschließlich des einschlägigen SCC-Moduls, der Zielländer und des Transfermechanismus — im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO.
  • TFA-Dokumentation: Führen Sie eine Transfer-Folgenabschätzung für den EU-US-Übermittlungsweg und etwaige Unterauftragsverarbeiter-Übermittlungswege außerhalb des EWR durch und bewahren Sie diese auf.
  • DSFA-Prüfung: Stellen Sie fest, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist — abhängig von Umfang, Art und Risikoprofil der Verarbeitung.
  • Unterauftragsverarbeiter-Prüfung: Prüfen Sie Anthropics aktuelle Unterauftragsverarbeiterliste unter anthropic.com/subprocessors und dokumentieren Sie die für jeden Unterauftragsverarbeiter außerhalb des EWR angewendeten Transfermechanismen.

Bei Beschäftigtendaten können zudem Mitbestimmungspflichten nach § 87 Abs. 1 Nr. 6 BetrVG unabhängig vom AVV- und SCC-Review bestehen. Diese Pflichten entstammen dem deutschen Arbeitsrecht und werden durch den DSGVO-Vertragsrahmen allein nicht erfüllt.

Compound Law berät Unternehmen, Startups und Inhouse-Teams in Deutschland zu DSGVO, KI-Verträgen und Datentransfer-Compliance. Wenn Sie eine vollständige SCC- und AVV-Prüfung für Ihren Anthropic-Einsatz benötigen, kontaktieren Sie uns.

FAQ

Welche SCCs nutzt Anthropic?

Anthropic nutzt EU-Kommissions-genehmigte Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c) DSGVO — konkret Modul 2 (Verantwortlicher → Auftragsverarbeiter) und Modul 3 (Auftragsverarbeiter → Auftragsverarbeiter). Es gelten die EU-Kommissions-SCCs von 2021. Sie sind automatisch im Anthropic-Auftragsverarbeitungsvertrag (AVV) enthalten, der bei der Annahme der Nutzungsbedingungen für Claude Enterprise und die Claude API akzeptiert wird. Kunden müssen keine gesonderten SCC-Dokumente verhandeln oder unterzeichnen.

Sind Anthropics SCCs DSGVO-konform?

Ja — Anthropic nutzt die aktuellen EU-Kommissions-SCCs von 2021, die nach Art. 46 Abs. 2 lit. c) DSGVO einen gueltigen Transfermechanismus darstellen. SCCs sind aber nur die rechtliche Grundlage der Uebermittlung, nicht der Nachweis gleichwertigen Schutzes in der Praxis. Nach Schrems II muessen Unternehmen daher weiterhin eine Transfer-Folgenabschaetzung durchfuehren und erforderlichenfalls Zusatzmassnahmen dokumentieren. Wenn Ihr Beschaffungsteam sich fuer einen bestimmten Importeur auf eine andere Transfergrundlage stuetzt, sollte das separat dokumentiert und nicht aus dem Anthropic-SCC-Text abgeleitet werden.

Brauche ich eine Transfer-Folgenabschätzung für Anthropic?

In den meisten Fällen ja. Die EDSA-Leitlinien nach Schrems II verlangen eine Transfer-Folgenabschätzung, wenn bei Drittlandsübermittlungen auf SCCs zurückgegriffen wird. Für EU-US-Übermittlungen zu Anthropic sollte die TFA den US-Rechtsrahmen (einschließlich FISA Section 702), Anthropics technische und organisatorische Maßnahmen sowie etwaigen Ergänzungsbedarf bewerten. Anthropic stellt TFA-Unterstützungsdokumentation auf Anfrage bereit — fordern Sie diese über Ihren Ansprechpartner vor dem Produktiveinsatz an.

Gilt Claude Enterprise auch für die SCCs?

Ja. Bei direktem Vertrag mit Anthropic sind SCCs automatisch in den Vertragsrahmen fuer Claude for Work / Enterprise und die Claude API einbezogen. Eine gesonderte SCC-Unterzeichnung ist in diesem direkten Setup regelmaessig nicht erforderlich. Unternehmen mit UK- oder Schweiz-Bezug sollten den jeweiligen Anhang bestaetigen lassen. Wer Claude ueber Amazon Bedrock, Google Vertex AI oder andere Intermediaere nutzt, muss dagegen den DPA-/AVV- und Transferrahmen dieses Anbieters pruefen.

Weitere Tool-Guides

HubSpot DSGVO-Konformitaet fuer Unternehmen in Deutschland
tools

Ist HubSpot DSGVO-konform? AVV, SCC und Betriebsrat in Deutschland

HubSpot kann DSGVO-konform genutzt werden, aber nur mit AVV, SCC-Pruefung, EU-Datenspeicherung-Bewertung und Betriebsratspruefung in Deutschland.
Claude Enterprise Preise Plan und DSGVO fuer Unternehmen in Deutschland
tools

Claude Enterprise: Preise, Plan und DSGVO fuer Deutschland

Claude Enterprise fuer deutsche Unternehmen: Preise, Planlogik, AVV, EU-Hosting-Grenzen und Enterprise-Beschaffung.
Claude DSGVO-Pruefung fuer Deutschland mit AVV, Tarifen und Datenschutzkontrollen
tools

Claude DSGVO: Welche Claude-Tarife fuer Unternehmen zulaessig sind

Claude DSGVO-konform einsetzen: Tarif, AVV, Transfer und Governance entscheiden. Dieser Leitfaden trennt Consumer-Tarife von Business-Optionen.
Zoom AI Companion DSGVO-Konformität für deutsche Unternehmen
tools

Zoom AI Companion DSGVO-Konformität für deutsche Unternehmen

Ist Zoom AI Companion in Deutschland DSGVO-konform? Prüfen Sie AVV, KI-Verarbeitung, EU-Datenspeicherung und die Checkliste für Unternehmen.
Airtable DSGVO und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

Airtable DSGVO: Hat Airtable einen Auftragsverarbeitungsvertrag (AVV)?

Airtable AI und DSGVO: AVV nur für Enterprise. Datentransfer, KI-Funktionen 2025, Unterauftragsverarbeiter und Betriebsratspflichten im Überblick.
Claude Team vs. Enterprise Tarifvergleich für deutsche Unternehmen
tools

Claude Team vs. Enterprise: Tarifvergleich für Unternehmen in Deutschland

Claude Team (~25 €/Nutzer/Monat) vs. Claude Enterprise: Funktionen, DSGVO-Unterschiede und welcher Tarif für Ihr Unternehmen geeignet ist.

Tool Library

Mehr KI-Tools nach Thema durchsuchen

Vergleichen Sie weitere Tools, Datenschutzfragen und Einsatzszenarien in unserer vollständigen KI-Tool-Bibliothek.

Alle KI-Tools ansehen

Häufige Fragen

Anthropic nutzt EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c) DSGVO — konkret Modul 2 (Verantwortlicher → Auftragsverarbeiter) und Modul 3 (Auftragsverarbeiter → Auftragsverarbeiter). Diese sind automatisch im Anthropic-Auftragsverarbeitungsvertrag (AVV) enthalten. Kunden müssen die SCCs nicht separat unterzeichnen oder verhandeln.

Ja. Anthropic nutzt die EU-Kommissions-SCCs von 2021, die nach Art. 46 Abs. 2 lit. c) DSGVO ein gültiger Transfermechanismus für Drittlandsübermittlungen sind. SCCs sind jedoch ein rechtlicher Transfermechanismus, keine Garantie gleichwertigen Schutzes in der Praxis. Unternehmen müssen zusätzlich eine Transfer-Folgenabschätzung durchführen und die Übermittlung im Verzeichnis der Verarbeitungstätigkeiten dokumentieren. Das EU-US Data Privacy Framework (DPF) kann eine alternative Rechtsgrundlage bieten — der aktuelle Zertifizierungsstatus sollte zum Beschaffungszeitpunkt geprüft werden.

In den meisten Fällen ja. Die EDSA-Leitlinien nach dem Schrems-II-Urteil verlangen eine Transfer-Folgenabschätzung (TFA), wenn für Drittlandsübermittlungen auf SCCs zurückgegriffen wird. Für EU-US-Übermittlungen zu Anthropic sollte die TFA das US-Rechtssystem (einschließlich FISA Section 702), Anthropics technische und organisatorische Maßnahmen sowie etwaigen Ergänzungsbedarf prüfen. Anthropic stellt auf Anfrage Informationen zur Unterstützung der TFA bereit — Enterprise-Kunden sollten diese Dokumentation vor dem Einsatz über ihren Ansprechpartner anfordern.

Ja. SCCs sind automatisch in Anthropics Nutzungsbedingungen für Claude Enterprise und die Claude API enthalten. Eine separate Unterzeichnung von SCC-Dokumenten ist nicht erforderlich. UK- und Schweizer Kunden sollten mit Anthropic bestätigen, dass der UK IDTA- bzw. revDSG-Anhang ebenfalls in ihren Vertragsbedingungen enthalten ist. Kunden, die Claude über Amazon Bedrock nutzen, sollten beachten, dass dort der AWS-AVV und die AWS-SCCs gelten — der Anthropic-AVV mit SCCs gilt nur bei direktem Vertragsschluss mit Anthropic.

Kostenlos beraten