Ist Claude Code DSGVO-konform? AVV, Datenspeicherung und Hosting
Kurzantwort
Ja, Claude Code ist über die Anthropic-API DSGVO-konform einsetzbar. Ein AVV nach Art. 28 DSGVO ist verfügbar, Code wird standardmäßig nicht für das Modelltraining verwendet, und Zero Data Retention ist für Enterprise-API-Kunden konfigurierbar.
- Ein AVV nach Art. 28 DSGVO ist in den Anthropic Commercial Terms für alle API-Nutzer enthalten.
- Claude Code verwendet Ihren Code und Prompts standardmäßig nicht für das Modelltraining.
- Zero Data Retention und EU-Datenresidenz erfordern Claude Enterprise oder API-ZDR-Konfiguration.
Claude Code ist DSGVO-konform einsetzbar, wenn die Anthropic-API im kommerziellen Kontext genutzt wird — ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist verfügbar, Code und Prompts werden standardmäßig nicht für das Modelltraining verwendet, und Zero Data Retention steht Enterprise-API-Kunden zur Verfügung. Die wesentlichen Einschränkungen betreffen EU-Datenresidenz und erweiterte Sicherheitskontrollen, die Claude Enterprise oder eine gesonderte API-Vereinbarung erfordern. Diese Seite erklärt, was der Anthropic-Vertrag abdeckt, wo Ihre Daten verarbeitet werden und was deutsche Unternehmen vor dem Einsatz von Claude Code prüfen müssen.
Diese Seite enthält allgemeine rechtliche Informationen und stellt keine Rechtsberatung für den Einzelfall dar. Weiterführende Informationen finden Sie in unseren Leitfäden zum Claude AVV und zu Claude EU-Hosting.
Ist Claude Code DSGVO-konform?
Ja, mit Einschränkungen. Claude Code ist das KI-gestützte Entwicklerwerkzeug von Anthropic — ein Kommandozeilenwerkzeug (CLI), das auf der Anthropic-API aufsetzt. Bei Nutzung über die kommerzielle Anthropic-API (nicht das Consumer-Angebot claude.ai) gilt es als durch die Anthropic Commercial Terms abgedeckt, einschließlich eines AVV nach Art. 28 DSGVO.
Was DSGVO-Konformität für Claude Code in der Praxis bedeutet:
- Anthropic handelt als Auftragsverarbeiter auf Ihre Weisung
- Ein AVV ist automatisch in den Anthropic Commercial Terms enthalten (gültig ab Januar 2026)
- Code und Prompts werden standardmäßig nicht für das Modelltraining verwendet
- Standardvertragsklauseln (SCCs) decken Transfers in die USA ab, wo Anthropics Infrastruktur betrieben wird
- Subprozessoren werden gelistet und Anthropic verpflichtet sich zu Vorabankündigung wesentlicher Änderungen
Was nicht automatisch enthalten ist:
- EU-exklusive Datenverarbeitung — Code wird standardmäßig auf US-Infrastruktur verarbeitet
- Zero Data Retention ohne gesonderte vertragliche Vereinbarung
- Audit-Logs oder SSO, die nur im Enterprise-Tarif verfügbar sind
Der entscheidende Unterschied für Entwicklerinnen, Entwickler und Unternehmen: Claude Code über claude.ai oder ein persönliches Konto ist nicht durch den AVV abgedeckt und unterliegt Consumer-Bedingungen. Für den geschäftlichen Einsatz ist die kommerzielle API oder eine Enterprise-Vereinbarung erforderlich.
Claude Code AVV: Was der Anthropic-Vertrag abdeckt
Der Auftragsverarbeitungsvertrag von Anthropic ist in die Commercial Terms eingebettet und gilt automatisch für alle kommerziellen API-Kunden, einschließlich Claude Code CLI-Deployments. Eine gesonderte Unterzeichnung oder Verhandlung ist beim Standardeinsatz nicht erforderlich.
Der AVV deckt die Pflichtinhalte nach Art. 28 DSGVO ab:
| AVV-Bestandteil | Durch Anthropic abgedeckt |
|---|---|
| Gegenstand und Zweck der Verarbeitung | Ja |
| Weisungsgebundenheit | Ja |
| Vertraulichkeitspflichten | Ja |
| Technische und organisatorische Maßnahmen (Art. 32 DSGVO) | Ja |
| Subprozessorliste und Genehmigungsverfahren | Ja |
| Unterstützung bei Betroffenenrechten | Ja |
| Löschung oder Rückgabe nach Vertragsende | Ja |
| Standardvertragsklauseln für Drittlandtransfers | Ja (EU SCCs, Modul 2) |
Der AVV steht nicht als separates PDF zum Download zur Verfügung. Er wird über das Anthropic-Kundenportal unter console.anthropic.com elektronisch abgerufen. Ausführliche Informationen zum AVV-Inhalt und zur Prüfung im Beschaffungskontext finden Sie in unserem Leitfaden zum Claude AVV.
Subprozessoren: Anthropic nutzt eine begrenzte Anzahl von Infrastruktur-Subprozessoren. Amazon Web Services (primär US-East) und Google Cloud sind die wesentlichen Partner. Anthropic führt eine Subprozessorliste und verpflichtet sich zur Vorabankündigung bei wesentlichen Änderungen.
Datenspeicherung: Speichert Claude Code Ihren Code?
Dies ist eine der häufigsten Fragen von deutschen Entwicklerinnen, Entwicklern und Sicherheitsteams. Die Antwort hängt davon ab, wie Claude Code genutzt wird und welcher Vertragstier vorliegt.
Standardverhalten (kommerzielle API):
- Prompts und Code, der an Claude Code übermittelt wird, werden transient verarbeitet — genutzt, um eine Antwort zu generieren, und danach verworfen
- Anthropic verwendet API-Prompts standardmäßig nicht für das Modelltraining
- Für Sicherheits- und Missbrauchsüberwachung kann ein begrenztes Speicherfenster bestehen — getrennt von der Trainingsnutzung
Wichtiger Hinweis: „Nicht für das Training verwendet” ist nicht dasselbe wie „Zero Data Retention”. Anthropic kann Promptdaten für einen begrenzten Zeitraum zu operativen Zwecken speichern. Wenn Ihr Unternehmen eine vertragliche Zusicherung benötigt, dass keine Daten über das Verarbeitungsfenster hinaus gespeichert werden, ist Zero Data Retention (ZDR) erforderlich — dazu mehr im nächsten Abschnitt.
claude.ai vs. kommerzielle API: Wenn Entwicklerinnen und Entwickler claude.ai im Browser für Code-Reviews nutzen, gelten andere Consumer-Bedingungen. Für den geschäftlichen Einsatz muss sichergestellt sein, dass die kommerzielle API oder ein Enterprise-Deployment genutzt wird.
EU-Datenhosting und Claude Code
EU-Datenresidenz ist nativ über die Anthropic-API nicht verfügbar. Standardmäßig werden Claude Code-Anfragen auf der US-Infrastruktur von Anthropic verarbeitet. Die SCCs im AVV bilden den rechtlichen Transfermechanismus nach DSGVO, ändern aber nichts am tatsächlichen Verarbeitungsort.
Wenn Ihr Unternehmen eine Verarbeitung innerhalb der EU benötigt — aufgrund interner Richtlinien, Branchenregulierung oder vertraglicher Vorgaben — bestehen zwei Wege:
-
AWS Bedrock (Frankfurt, Irland, Paris): Deployment über Amazon Bedrock mit ausgewähltem EU-Profil. Claude Code kann auf Bedrock als API-Endpunkt ausgerichtet werden, wobei die Verarbeitung in der gewählten EU-Region verankert bleibt.
-
Google Cloud Vertex AI (EU-Regionen): Vertex AI bietet Claude-Modelle in europäischen Regionen an. Mit entsprechender Region-Lock-Konfiguration verlassen Promptdaten die EU-Infrastruktur nicht.
Beide Optionen erfordern eine Claude Enterprise-Vereinbarung und zusätzliche AWS- oder GCP-Konfiguration. Eine vollständige Übersicht der EU-Hosting-Optionen finden Sie in unserem Leitfaden zu Claude EU-Hosting.
Zero Data Retention (ZDR) für API-Nutzer
Zero Data Retention (ZDR) ist eine vertragliche Zusicherung von Anthropic, dass nach der API-Antwort keine Promptdaten gespeichert werden — auch nicht für die Sicherheitsüberwachung. ZDR ist für Kunden mit entsprechenden Vertragsvereinbarungen verfügbar.
Wer ZDR erhalten kann:
- Enterprise-API-Kunden können ZDR als Teil der Vertragsverhandlungen mit Anthropic vereinbaren
- Standardmäßige kommerzielle API-Kunden erhalten ZDR nicht automatisch — es gilt Anthropics operativer Datenretention-Standard
Wann ZDR besonders relevant ist:
- Quellcode mit Geschäftsgeheimnissen oder proprietären Algorithmen
- Code in regulierten Bereichen (Finanzen, Gesundheitswesen, Versicherungen)
- Mitarbeitercode, der Vertraulichkeitsvereinbarungen oder Mitbestimmungsrechten unterliegt
- Workflows, bei denen gesetzliche oder regulatorische Rahmenbedingungen spezifische Datensparsamkeitspflichten erfordern
Wenn ZDR eine Compliance-Anforderung für Ihr Unternehmen ist, sollte dies vor dem Deployment im Rahmen des Enterprise-Beschaffungsprozesses geklärt werden — es ist nicht standardmäßig enthalten.
Claude Code vs. Claude Enterprise: Wichtige DSGVO-Unterschiede
Claude Code ist ein Werkzeug, kein Tarifmodell. Es läuft auf dem Anthropic-API-Zugang, der entweder die Standard-Handels-API oder den Enterprise-Tarif umfassen kann. Die folgende Tabelle vergleicht die relevanten Compliance-Merkmale:
| Merkmal | Standard-API (Claude Code CLI) | Claude Enterprise |
|---|---|---|
| AVV nach Art. 28 DSGVO | Ja | Ja |
| Trainingsausschluss | Ja | Ja |
| Zero Data Retention | Nein (gesonderte Vereinbarung nötig) | Konfigurierbar |
| EU-Datenresidenz | Nein (nur SCCs) | Konfigurierbar (Bedrock / Vertex) |
| SSO / SCIM | Nein | Ja |
| Audit-Logs | Nein | Ja |
| Individuelle Datenretention-Policy | Nein | Ja |
| Mindestbindung | Pay-as-you-go | Jahresvertrag |
Für die meisten Entwicklungsteams mit Standardworkflows und ohne besondere Datenkategorien ist die kommerzielle API mit Claude Code CLI aus DSGVO-Sicht ausreichend. Teams, die sensiblen Code verarbeiten, in regulierten Branchen tätig sind oder strenge Datenlokalisierungsanforderungen haben, sollten Claude Enterprise oder eine ZDR-Vereinbarung prüfen. Einen detaillierten Vergleich der Claude-Tarife für den Geschäftseinsatz finden Sie in unserem Leitfaden zu Claude Enterprise.
Checkliste für deutsche Unternehmen
Vor einem unternehmensweiten Rollout von Claude Code sollten die folgenden sieben Schritte abgearbeitet sein:
-
Kommerziellen API-Zugang bestätigen. Sicherstellen, dass Entwicklerinnen und Entwickler Claude Code über den kommerziellen API-Tarif nutzen, nicht über claude.ai-Privatkonten. Der AVV gilt nur für kommerzielle Kunden.
-
AVV dokumentieren. Aktuelle Anthropic Commercial Terms über console.anthropic.com abrufen und datiert in der internen Vendor-Dokumentation ablegen.
-
Subprozessoren prüfen. Anthropic-Subprozessorliste mit dem internen Vendor-Register abgleichen. Subprozessoren außerhalb des EWR notieren und sicherstellen, dass die SCCs im Verzeichnis der Verarbeitungstätigkeiten dokumentiert sind.
-
Verzeichnis der Verarbeitungstätigkeiten aktualisieren (Art. 30 DSGVO). Claude Code als neuen Auftragsverarbeiter eintragen: Zweck (KI-Codeassistenz), Datenkategorien (Quellcode, Prompts, ggf. in Code eingebettete Personendaten), Transfermechanismus (SCCs in die USA) und Speicherfristen.
-
DSFA-Schwellenwert prüfen (Art. 35 DSGVO). Claude Code für individuelle Entwicklerproduktivität löst selten eine obligatorische Datenschutz-Folgenabschätzung aus. Automatisierte Code-Reviews im großen Maßstab, Verarbeitung personenbezogener Daten in Code oder Workflows mit Überwachungscharakter erfordern jedoch eine Schwellenwertprüfung.
-
Betriebsrat einbeziehen. Wenn Ihr Unternehmen einen Betriebsrat hat, kann die Einführung von Claude Code — insbesondere für Code-Reviews oder Auswertungen von mitarbeiterverfasstem Code — Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG auslösen. Frühzeitige Einbindung des Betriebsrats ist empfehlenswert.
-
Interne Nutzungsrichtlinien festlegen. Definieren Sie, welche Daten in Claude Code eingegeben werden dürfen: keine Kundenpersonendaten ohne geeignete Schutzmaßnahmen, keine Geschäftsgeheimnisse ohne ZDR, keine Daten nach Art. 9 DSGVO. Schulen Sie Ihre Entwicklerinnen und Entwickler entsprechend.
Wann reicht allgemeine Information nicht aus?
Dieser Leitfaden beschreibt den typischen Standardfall. Eine vertiefte rechtliche Prüfung ist in der Regel erforderlich, wenn:
- Regulierte Branche: Ihr Unternehmen ist im Finanz-, Gesundheits- oder Versicherungsbereich tätig, wo branchenspezifische Pflichten über die DSGVO hinausgehen
- Systematische Codeanalyse: Claude Code wird zur systematischen Auswertung von mitarbeiterverfasstem Code eingesetzt — das berührt Datenschutz- und Arbeitsrecht
- Personenbezogene Daten im Code: Quellcode, der Personendaten (Gesundheitsdaten, Finanzdaten, Biometrie) verarbeitet oder enthält, erfordert sorgfältige Abgrenzung
- Strikte Datenlokalisierung: Vertragswerke oder Branchenregulierung schreiben EU-exklusive Verarbeitung vor
- Betriebsrat: Offene Fragen zur KI-Tool-Einführung mit Mitbestimmungsrelevanz bestehen
Compound Law berät Unternehmen, Entwicklungsteams und In-house-Juristinnen und -Juristen in Deutschland zu DSGVO, KI-Beschaffung und Commercial Contracts. Wenn Sie eine spezifische Prüfung Ihres Claude Code-Einsatzes benötigen, kontaktieren Sie uns.
Dieser Leitfaden enthält allgemeine rechtliche Informationen und ersetzt keine individuelle Rechtsberatung. Datenschutzrechtliche Prüfungen — insbesondere DSFA-Entscheidungen und Vertragsanalysen — erfordern eine auf Ihren Anwendungsfall zugeschnittene Beratung.
Ist Claude Code DSGVO-konform?
Ja. Claude Code über die kommerzielle Anthropic-API ist durch einen AVV nach Art. 28 DSGVO abgedeckt, der in den Anthropic Commercial Terms (gültig ab Januar 2026) eingebettet ist. Code und Prompts werden standardmäßig nicht für das Modelltraining verwendet.
Hat Claude Code einen AVV?
Ja. Anthropic stellt für alle kommerziellen API-Kunden automatisch einen Auftragsverarbeitungsvertrag bereit. Der AVV erfüllt die Pflichtinhalte nach Art. 28 DSGVO: Weisungsgebundenheit, Subprozessorverwaltung, SCCs für US-Transfers, technische und organisatorische Maßnahmen sowie Unterstützung bei Betroffenenrechten.
Speichert Claude Code meinen Code?
Claude Code verarbeitet Prompts transient und verwendet sie standardmäßig nicht für das Modelltraining. Für operative Zwecke kann ein begrenztes Speicherfenster bestehen. Zero Data Retention ist für Enterprise-API-Kunden vertraglich absicherbar.
Gibt es EU-Datenresidenz für Claude Code?
Nicht standardmäßig. EU-Datenresidenz für Claude Code erfordert den Einsatz über AWS Bedrock Frankfurt oder Google Cloud Vertex AI EU-Regionen mit einer Claude Enterprise- oder kommerziellen API-Vereinbarung und entsprechender Regionskonfiguration.
Welche Subprozessoren nutzt Claude Code?
Anthropic nutzt Amazon Web Services und Google Cloud als wesentliche Infrastruktur-Subprozessoren. Die vollständige Subprozessorliste ist in den Anthropic Commercial Terms und der Datenschutzerklärung verfügbar. Anthropic verpflichtet sich zur Vorabankündigung wesentlicher Änderungen.
