Kostenlos beraten
Claude AVV Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
tools

Claude AVV: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Stellt Anthropic einen AVV fuer Claude bereit?

Ja. Anthropic bietet fuer kommerzielle Produkte wie Claude Enterprise und die Claude API einen Auftragsverarbeitungsvertrag (AVV) inklusive SCCs. Ob dieser AVV fuer den konkreten Claude-Einsatz in Deutschland ausreicht, haengt vom Workflow, den Datenarten und den internen Compliance-Anforderungen ab.

  • Der Anthropic-AVV ist in die Commercial Terms einbezogen und enthaelt SCCs fuer Drittlandtransfers.
  • Unternehmen muessen Rollenverteilung, Speicherfristen, Subprozessoren und Drittlandtransfer konkret pruefen.
  • Mitarbeiterdaten, Art.-9-Daten und besonders vertrauliche Dokumente verlangen eine strengere Einzelfallpruefung.

Ja, Anthropic stellt fuer kommerzielle Produkte wie Claude Enterprise und die Claude API einen Auftragsverarbeitungsvertrag (AVV) bereit. Der AVV ist in die Commercial Terms einbezogen und enthaelt Standardvertragsklauseln (SCCs) fuer den Drittlandtransfer. Fuer Unternehmen in Deutschland reicht das allein jedoch nicht aus. Entscheidend ist, ob der Claude AVV zum konkreten Einsatz, den verarbeiteten Datenarten und den internen Compliance-Anforderungen passt. Diese Seite fasst zusammen, was der Anthropic-AVV abdeckt, welche Pflichtinhalte Art. 28 DSGVO verlangt, und wann eine tiefergehende Einzelfallpruefung erforderlich ist.

Dieser Beitrag ist allgemeine Information und keine Rechtsberatung fuer den Einzelfall. Einen umfassenderen Ueberblick ueber den Claude-Einsatz unter der DSGVO finden Sie auf unserer Seite zu Claude Enterprise.

Was ist der Claude AVV?

Der Begriff Claude AVV bezeichnet den vertraglichen Rahmen, den Anthropic fuer die Auftragsverarbeitung nach Art. 28 DSGVO bereitstellt. Aus DSGVO-Sicht ist Anthropic bei kommerziellen Produkten wie Claude Enterprise und der Claude API grundsaetzlich als Auftragsverarbeiter einzuordnen, weil das Unternehmen personenbezogene Daten im Auftrag der kundenseitigen Organisation verarbeitet.

Dabei ist eine wichtige Unterscheidung zu beachten:

  • Direkter Bezug bei Anthropic (Claude Enterprise, Claude for Work, Claude API): Die Anthropic Commercial Terms einschliesslich DPA und SCCs gelten als Vertragsgrundlage.
  • Bezug ueber Drittplattform (z.B. Amazon Bedrock, andere Cloud-Anbieter): Der Vertragsstack des jeweiligen Anbieters ist massgeblich. Hier prueft man nicht den Anthropic-AVV, sondern den AVV des Plattformanbieters.

Diese Unterscheidung klingt technisch, hat aber erhebliche rechtliche Konsequenzen fuer den Beschaffungsprozess.

Was muss der AVV nach Art. 28 DSGVO enthalten?

Art. 28 DSGVO legt zwingend fest, was ein Auftragsverarbeitungsvertrag regeln muss. Unternehmen sollten pruefen, ob der Anthropic-AVV diese Pflichtinhalte vollstaendig und fuer ihren Einsatz passend abdeckt:

PflichtinhaltWas zu pruefen ist
Gegenstand und Dauer der VerarbeitungIst der konkrete Verarbeitungsgegenstand ausreichend beschrieben?
Art und Zweck der VerarbeitungStimmen die im AVV genannten Zwecke mit dem tatsaechlichen Einsatz ueberein?
Art der personenbezogenen DatenSind alle Datenkategorien erfasst, die im Workflow verarbeitet werden?
Kategorien betroffener PersonenSind Kunden, Mitarbeiter, Nutzer korrekt abgegrenzt?
WeisungsgebundenheitIst klar geregelt, dass Anthropic nur auf Weisung verarbeitet?
VertraulichkeitspflichtenSind Vertraulichkeitszusagen fuer Anthropic-Mitarbeitende belastbar?
Sicherheitsmassnahmen (Art. 32 DSGVO)Sind technische und organisatorische Massnahmen konkret benannt?
SubprozessorenIst eine aktuelle Liste vorhanden und ein Genehmigungsregime geregelt?
BetroffenenrechteIst die Unterstuetzung bei Auskunfts-, Loeschungs- und Berichtigungsanfragen geregelt?
Loeschung und RueckgabeGibt es klare Fristen und Optionen nach Vertragsende?
AuditrechteKann das Unternehmen Kontrollen durchfuehren oder Nachweise einfordern?

Der Anthropic-AVV deckt diese Pflichtinhalte grundsaetzlich ab, aber Rechts- und Datenschutzteams sollten pruefen, ob die konkrete Vertragsfassung und die aktuellen Service-Dokumentationen mit dem geplanten Workflow in Einklang stehen.

Claude AVV und Drittlandtransfer (SCCs)

Eine der haeufigstenBeschaffungsfragen lautet: “Bleiben unsere Daten wirklich in der EU?” Anthropic verarbeitet Daten auf Infrastruktur, die sich nicht ausschliesslich im EWR befinden muss. Deshalb sind Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO der zentrale Transfermechanismus.

Anthropic erklaert, dass die SCCs fuer kommerzielle Produkte automatisch in die Commercial Terms einbezogen sind. Trotzdem muessen Unternehmen folgende Punkte eigenstaendig pruefen:

  • Transferpfade dokumentieren: Welche Laender ausserhalb des EWR koennen Daten erhalten? Das betrifft Speicher, Verarbeitung und potenziellen Supportzugriff.
  • Subprozessoren pruefen: Anthropic setzt seinerseits Unterauftragsverarbeiter ein. Die Frage ist, ob diese ebenfalls ausserhalb des EWR operieren und ob die SCCs konsequent weitergegebenwurden.
  • Transfer Impact Assessment: Fuer sensible Datenarten oder strenge interne Anforderungen kann ein eigenstaendiges Transfer Impact Assessment erforderlich sein.
  • EU-only-Hosting vs. EU-only-Verarbeitung unterscheiden: Diese Begriffe werden oft verwechselt. Wer strikte EU-Datenlokation benoetigt, sollte die konkrete Architektur von Anthropic schriftlich bestaetigen lassen.

Claude AVV fuer verschiedene Datenarten

Die Tragfaehigkeit des Claude AVV haengt stark davon ab, welche Daten tatsaechlich in den Workflow einfliessen.

Kundendaten

Bei Kundendaten ist der Claude-Einsatz in vielen Faellen vertretbar, wenn der Workflow sorgfaeltig gestaltet ist. Sicherer sind Szenarien mit begrenzten Metadaten, pseudonymisierten Inhalten oder nicht sensiblen operativen Daten. Schwieriger wird es bei grossflaechiger Kundenkommunikation, identifizierbaren Beschwerden oder Vertragsinhalten mit klarem Personenbezug.

Mitarbeiterdaten

Mitarbeiterdaten verlangen in Deutschland eine besonders gruendliche Pruefung. Sobald Claude fuer Hiring, Leistungsbewertung, Produktivitaetsanalyse oder andere arbeitsbezogene Auswertungen eingesetzt wird, koennen Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG beruehrt sein. Darueber hinaus ist zu pruefen, ob eine Datenschutz-Folgenabschaetzung (DSFA) nach Art. 35 DSGVO erforderlich wird. Der AVV allein loest diese arbeitsrechtlichen Fragen nicht.

Besondere Kategorien (Art. 9 DSGVO)

Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehoerigkeit und andere Art.-9-Daten unterliegen einem deutlich strengeren Pruefungsmassstab. Ein Standardrollout von Claude Enterprise genuegt hier regelmaessig nicht. Die Verarbeitung erfordert nicht nur einen tragfaehigen AVV, sondern auch eine geeignete Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO und in vielen Faellen eine DSFA.

Geschaeftsgeheimnisse und vertrauliche Dokumente

Nicht jedes Risiko ist ein Datenschutzrisiko. Wer Claude fuer Due-Diligence-Dokumente, Term Sheets, M&A-Vorbereitung oder interne Ermittlungen einsetzen moechte, muss neben dem AVV auch Geheimhaltungsanforderungen, Zugriffsrechte und interne Freigabeprozesse pruefen.

Checkliste — Claude AVV vor dem Rollout

Bevor Claude Enterprise oder die Claude API produktiv eingesetzt wird, sollten Legal- und Datenschutzteams diese Punkte abgehakt haben:

  1. AVV und DPA heruntergeladen und mit konkretem Workflow abgeglichen? Pruefen Sie, ob Gegenstand, Zweck und Datenkategorien im Vertrag zu Ihrem tatsaechlichen Einsatz passen.
  2. Rollenverteilung (Auftragsverarbeiter vs. Verantwortlicher) geklaert? Bestaetigen Sie, dass Anthropic fuer Ihren Workflow als Auftragsverarbeiter handelt, und legen Sie die eigene Verantwortlichkeit dokumentiert fest.
  3. SCCs und Drittlandtransfer dokumentiert? Erfassen Sie, welche Laender ausserhalb des EWR involviert sind, und belegen Sie den Transfermechanismus in Ihrer Verarbeitungstaetigkeits-aufzeichnung.
  4. Subprozessoren geprueft und im Vendor-Register erfasst? Fragen Sie die aktuelle Subprozessorliste an und halten Sie die Pruefung im Vendor-Management-System fest.
  5. Mitarbeiterdaten oder Art.-9-Daten separat bewertet? Klaren Sie fruehzeitig, ob Betriebsrat, HR und Privacy eingebunden werden muessen und ob eine DSFA erforderlich ist.

Wann reicht der Claude AVV nicht aus?

Der Anthropic-AVV ist eine notwendige, aber keine hinreichende Bedingung fuer einen rechtskonformen Claude-Einsatz. Eine vertiefte Pruefung ist regelmaessig erforderlich, wenn:

  • der Claude-Workflow grosse Mengen an Kundenkommunikation, Vertragsunterlagen oder Support-Tickets verarbeitet
  • Mitarbeiterdaten, Bewerberdaten oder leistungsbezogene Auswertungen einfliessen
  • besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO betroffen sind
  • strikte EU-Lokation oder spezifische Zertifizierungsanforderungen vorliegen
  • branchenspezifische Regulierung (Finanz, Gesundheit, regulierte Beratung) zu beachten ist

In diesen Szenarien genuegt es nicht, den AVV abzuhaken. Stattdessen wird eine Gesamtbeurteilung von AVV, Verarbeitungsarchitektur, Rechtsgrundlage, Transfermechanismus und internen Governance-Regeln benoetigt.

Compound Law unterstuetzt Unternehmen, Gruender und In-house-Teams in Deutschland bei der Pruefung von KI-Vertraegen, DSGVO-Compliance und der Gestaltung von AI-Procurement-Prozessen. Wenn Sie den Claude AVV oder einen anderen KI-Anbietervertrag vor dem Rollout pruefen moechten, nehmen Sie Kontakt auf.

FAQ

Was ist der Claude AVV?

Der Claude AVV (Auftragsverarbeitungsvertrag) ist der vertragliche Rahmen, den Anthropic fuer kommerzielle Produkte wie Claude Enterprise und die Claude API bereitstellt, um die Anforderungen von Art. 28 DSGVO zu erfuellen. Er ist in die Commercial Terms einbezogen und enthaelt Standardvertragsklauseln (SCCs) fuer internationale Datentransfers.

Ist der Claude AVV fuer Art. 28 DSGVO ausreichend?

Der Anthropic-AVV deckt die Pflichtinhalte von Art. 28 DSGVO grundsaetzlich ab. Ob er fuer Ihren konkreten Einsatz ausreicht, haengt davon ab, ob Rollenverteilung, Datenkategorien, Transferpfade und Subprozessoren korrekt erfasst sind und zum tatsaechlichen Workflow passen.

Gilt der Claude AVV auch fuer die Claude API?

Ja. Anthropic erklaert, dass die DPA mit SCCs fuer kommerzielle Produkte einschliesslich der Claude API gilt. Wer Claude ueber eine Drittplattform wie Amazon Bedrock nutzt, muss den Vertragsstack des jeweiligen Anbieters separat pruefen.

Was kostet ein Claude Enterprise AVV?

Ein gesondert kostenpflichtiger AVV wird von Anthropic nicht angeboten. Der AVV ist Bestandteil der Commercial Terms und damit automatisch Teil der kostenpflichtigen Produkte wie Claude Enterprise oder die Claude API.

Wer muss den Claude AVV unterzeichnen?

Bei direktem Vertragsschluss mit Anthropic ist der AVV Bestandteil der Commercial Terms und wird nicht als separates Dokument unterzeichnet. Unternehmen sollten die aktuell gueltige Version der Commercial Terms und DPA herunterladen, intern dokumentieren und mit dem konkreten Workflow abgleichen.

Weitere Tool-Guides

ChatGPT Enterprise Compliance Deutschland DSGVO AI Act
tools

ChatGPT Enterprise in Deutschland: DSGVO, AI Act und Betriebsrat 2025

ChatGPT Enterprise DSGVO-konform in Deutschland einsetzen: AVV, EU-Datenresidenz, AI Act, Betriebsrat. Aktueller Compliance-Leitfaden 2025.
Miro DSGVO und AVV Compliance für deutsche Unternehmen
tools

Miro DSGVO: AVV und Datenschutz für deutsche Unternehmen

Miro DSGVO-konform einsetzen: AVV prüfen, Datentransfers bewerten und Miro rechtssicher in Deutschland nutzen.
Grammarly DSGVO-konform einsetzen: AVV und Datenschutz für deutsche Unternehmen
tools

Grammarly DSGVO-konform nutzen: AVV und Beschäftigtendatenschutz

Grammarly bietet einen AVV für Enterprise-Kunden. Was deutsche Unternehmen vor dem Einsatz von Grammarly unter der DSGVO prüfen müssen.
HubSpot DSGVO-konform nutzen: AVV und Datenschutz für deutsche Unternehmen
tools

HubSpot AVV und DSGVO: Was deutsche Unternehmen wissen müssen

HubSpot bietet einen Auftragsverarbeitungsvertrag für alle Kunden. Was deutsche Unternehmen vor dem Einsatz prüfen und unterzeichnen müssen.
OpenAI API DSGVO-Compliance und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

OpenAI API DSGVO-Compliance: AVV und Datenschutz für Unternehmen

OpenAI bietet einen AVV für API-Kunden. Deutsche Unternehmen müssen ihn abschließen und eine Rechtsgrundlage dokumentieren.
Perplexity DSGVO-Compliance und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

Perplexity DSGVO-Compliance: AVV und Datenschutz für Unternehmen

Perplexity AI bietet einen AVV nur für Enterprise-Kunden. Vor dem geschäftlichen Einsatz müssen Unternehmen einen AVV abschließen.

Mehr KI-Tools durchsuchen

Häufige Fragen

Bietet Anthropic einen AVV fuer Claude Enterprise?

Ja. Anthropic erklaert, dass fuer kommerzielle Produkte wie Claude Enterprise und die Claude API eine DPA mit SCCs in die Commercial Terms einbezogen ist. Unternehmen sollten dennoch pruefen, ob der Vertrag zum konkreten Workflow und den tatsaechlichen Datenfluessen passt.

Ist der Claude AVV fuer Art. 28 DSGVO ausreichend?

Das haengt vom Einsatz ab. Der Anthropic-AVV liefert eine Grundlage, aber Unternehmen muessen pruefen, ob Rollenverteilung, Loeschfristen, Subprozessoren und Drittlandtransfer zum konkreten Claude-Workflow passen.

Gilt der Claude AVV auch fuer die Claude API?

Ja, Anthropic erklaert, dass die DPA mit SCCs fuer kommerzielle Produkte einschliesslich der Claude API gilt. Wer Claude ueber eine Drittplattform wie Amazon Bedrock nutzt, muss den dortigen Vertragsstack separat pruefen.

Was kostet ein Claude Enterprise AVV?

Ein separater kostenpflichtiger AVV wird von Anthropic nicht angeboten. Der AVV ist Bestandteil der Commercial Terms fuer kostenpflichtige Produkte wie Claude Enterprise oder die Claude API.

Wer muss den Claude AVV unterzeichnen?

Bei direktem Abschluss mit Anthropic ist der AVV Vertragsbestandteil und wird nicht separat unterzeichnet. Unternehmen sollten die aktuelle Version der Commercial Terms und DPA herunterladen und intern dokumentieren.

Kostenlos beraten