Kostenlos beraten
Claude DSGVO-Pruefung fuer Deutschland mit AVV, Tarifen und Datenschutzkontrollen
tools

Claude DSGVO: Welche Claude-Tarife fuer Unternehmen zulaessig sind

Ist Claude DSGVO-konform?

Ja, Claude kann in Deutschland DSGVO-konform eingesetzt werden, aber nur auf dem richtigen Vertrags- und Produktpfad. Entscheidend sind der konkrete Claude-Tarif, der AVV nach Art. 28 DSGVO, der Drittlandtransfer, die Speicherlogik und die internen Freigaben vor dem Rollout.

  • Claude Free, Pro und Max sind Consumer-Tarife. Privacy Controls dort ersetzen keinen AVV fuer den Unternehmenseinsatz.
  • Claude Team, Claude Enterprise und die Anthropic API sind kommerzielle Produkte mit AVV in den Commercial Terms.
  • Ein AVV ist nur der Startpunkt. Unternehmen brauchen zusaetzlich Rechtsgrundlage, Transferpruefung, TOMs und oft eine DSFA.

Claude DSGVO-konform einzusetzen ist moeglich, aber nur auf dem richtigen Vertrags- und Produktpfad. Fuer deutsche Unternehmen ist nicht die Frage entscheidend, ob Claude “irgendwie privat” wirkt, sondern ob Consumer Terms oder Commercial Terms gelten, ob ein AVV vorliegt, wie der Drittlandtransfer strukturiert ist und welche internen Regeln Sie vor dem Rollout dokumentieren.

Editor note: Diese Seite und die englische Claude GDPR Seite sollen in den rechtlichen Kernaussagen deckungsgleich bleiben, auch wenn Suchintention und Formulierungen auseinanderlaufen.

Dieser Beitrag ist allgemeine Information und keine Rechtsberatung fuer den Einzelfall. Fuer die vertragliche Tiefenpruefung lesen Sie unsere Seiten zu Claude AVV, Anthropic DPA und Claude Enterprise. Wenn Sie speziell den Team-Einsatz oder Datenlokation bewerten, sind auch Claude Team Datenschutz und Claude EU-Hosting relevant.

Ist Claude DSGVO-konform fuer Unternehmen in Deutschland?

Ja, aber nur unter Bedingungen. Claude kann fuer Unternehmen in Deutschland DSGVO-konform genutzt werden, wenn der Workflow auf einem kommerziellen Tarif laeuft, die Auftragsverarbeitung nach Art. 28 DSGVO sauber dokumentiert ist, der Drittlandtransfer geprueft wurde und es klare interne Regeln dazu gibt, welche Daten ueberhaupt eingegeben werden duerfen.

Die kuerzeste belastbare Antwort lautet:

  • Claude Free, Pro und Max sind Consumer-Produkte. Deren Privacy Controls machen sie nicht zu einer zulaessigen Unternehmensloesung fuer personenbezogene Daten.
  • Claude Team, Claude Enterprise und die Anthropic API sind kommerzielle Produkte. Anthropic erklaert, dass der AVV mit SCCs fuer diese Produkte in die Commercial Terms einbezogen ist.
  • Ein AVV reicht nicht aus. Deutsche Unternehmen brauchen weiterhin eine Rechtsgrundlage nach Art. 6 DSGVO, eine Transferpruefung nach Kapitel V DSGVO und TOMs nach Art. 32 DSGVO.
  • Hochrisiko-Workflows loesen Zusatzpflichten aus. Mitarbeiterdaten, Art.-9-Daten, Berufsgeheimnisse und entscheidungsnahe Automatisierung verlangen regelmaessig mehr als eine Standardbeschaffung.

Genau hier liegt die eigentliche Suchintention hinter claude dsgvo. Viele Privacy-Seiten sprechen ueber Chat-Loeschung, Incognito-Modi oder Modellverbesserungs-Einstellungen. Das kann fuer Einzelpersonen relevant sein, beantwortet aber nicht die Frage, ob ein deutsches Unternehmen Claude fuer reale Arbeitsprozesse mit personenbezogenen Daten freigeben darf.

Welche Claude-Tarife sind unter der DSGVO geeignet und welche nicht?

Der Tarif ist die erste juristische Weiche. Bevor Sie ueber Schutzmassnahmen sprechen, sollten Sie klaeren, welcher Vertragspfad ueberhaupt gilt.

TarifVertragstypAVV-StatusFuer personenbezogene Geschaeftsdaten geeignet?Hauptgrund
Claude FreeConsumerKein Unternehmens-AVVNeinNur Consumer Terms
Claude ProConsumerKein Unternehmens-AVVNeinNur Consumer Terms
Claude MaxConsumerKein Unternehmens-AVVNeinNur Consumer Terms
Claude TeamKommerziellAVV in Commercial TermsGrundsaetzlich ja, nach PruefungAuftragsverarbeitung moeglich
Claude EnterpriseKommerziellAVV in Commercial TermsGrundsaetzlich ja, nach PruefungMehr Governance und Kontrollen
Anthropic APIKommerziellAVV in Commercial TermsGrundsaetzlich ja, nach PruefungStrukturierter Business-Pfad
AWS Bedrock / Vertex AIDrittanbieter-kommerziellPlattformvertrag pruefenTeilweiseVertragsstack veraendert sich

Claude Free, Pro und Max

Fuer die Suchanfrage claude dsgvo ist der wichtigste Punkt: Consumer-Privacy-Einstellungen ersetzen keinen kommerziellen Datenschutzrahmen. Anthropic trennt in seinen aktuellen Unterlagen deutlich zwischen kommerziellen Produkten und Consumer-Produkten. Free, Pro und Max gehoeren auf die Consumer-Seite.

Warum das praktisch so wichtig ist:

  1. Es fehlt regelmaessig der AVV nach Art. 28 DSGVO.
  2. Consumer-Retention ist nicht dasselbe wie Enterprise-Governance.
  3. Auditierbarkeit und zentrale Steuerung fehlen oder sind schwach ausgepraegt.
  4. Eine interne Richtlinie heilt keinen falschen externen Vertrag.

Deshalb ist Claude Pro fuer personenbezogene Geschaeftsdaten in der Regel keine zulaessige Loesung, auch wenn die Privacy Controls auf den ersten Blick besser wirken als bei manchen anderen Consumer-Tools. Fuer die Detailfrage dazu lesen Sie unsere Seite zu Claude Pro Datenschutz.

Claude Team

Claude Team ist der niedrigste Tarif, der ueberhaupt in eine ernsthafte DSGVO-Pruefung fuer den Unternehmenseinsatz einbezogen werden sollte. Anthropic behandelt Team aktuell als kommerzielles Produkt, und der AVV ist nach den aktuellen Support-Unterlagen in die Commercial Terms einbezogen.

Das bedeutet aber nicht, dass Claude Team automatisch freigegeben werden kann. Es bedeutet nur, dass die vertragliche Mindestbasis vorhanden ist. Danach stellen sich immer noch die eigentlichen Fachfragen:

  • Welche Datenkategorien werden eingegeben?
  • Geht es um internes Drafting, Kundenkommunikation, HR, Compliance oder Entwickler-Workflows?
  • Brauchen Sie eine DSFA?
  • Muss der Betriebsrat eingebunden werden?
  • Reichen die Standard-Retention- und Exportlogiken fuer Ihren Einsatzzweck?

Bei kleineren Organisationen und eher risikoaermeren internen Workflows kann Team ausreichend sein. Unsere Seite zu Claude Team Datenschutz geht auf diesen Fall gesondert ein.

Claude Enterprise

Claude Enterprise verbessert die Compliance-Position vor allem ueber Governance-Funktionen, nicht ueber neue DSGVO-Grundnormen. Die aktuellen Enterprise-Unterlagen von Anthropic nennen insbesondere Audit-Logs, SCIM, Custom Data Retention Controls und Compliance APIs. Diese Funktionen sind wertvoll, weil sie Nachweisfaehigkeit, Richtlinienumsetzung und interne Kontrolle erleichtern.

Enterprise ist meist die bessere Wahl, wenn:

  • viele Nutzer aus mehreren Teams Zugriff brauchen,
  • die Organisation Nutzung und Admin-Aktionen dokumentieren muss,
  • Procurement und Security zusaetzliche Retention- oder Administrationskontrollen verlangen,
  • Developer-Workflows oder Claude Code zentral freigegeben werden sollen,
  • der interne Freigabeprozess ohne belastbare Auditierbarkeit nicht durchgeht.

Hinzu kommt: Nach den aktuellen Anthropic-Unterlagen existiert Enterprise inzwischen als Self-Serve- und Sales-assisted-Modell mit Mindest-Sitzschwellen und nutzungsbasierter Abrechnung zusaetzlich zum Seat-Zugang. Das ist nicht nur kaufmaennisch relevant, sondern auch juristisch, weil mit dem org-weiten Einkauf regelmaessig ein formellerer Datenschutz- und Vendor-Review ausgeloest wird.

Anthropic API und Drittplattformen

Die Anthropic API ist fuer viele Unternehmen der sauberste Weg, weil sich Anwendungsschicht, Logging, Prompting, Filter und interne Freigabelogik strenger steuern lassen als in einer allgemeinen Chat-Oberflaeche. Zugleich sind die offiziellen Unterlagen hier am praezisesten, wenn es um Zero Data Retention (ZDR) und Datenverarbeitung geht.

Aber: API bedeutet nicht automatisch EU-only. Die aktuellen kommerziellen Privacy-Unterlagen von Anthropic sagen, dass Daten standardmaessig in den USA gespeichert werden. Gleichzeitig bietet die First-Party-API inzwischen Geosteuerung fuer die Inferenz. Das ist eine relevante Weiterentwicklung, ersetzt aber keine echte EU-only-Speicherung auf derselben Vertragsstrecke.

Wenn Sie Claude ueber AWS Bedrock oder Google Vertex AI nutzen, veraendert sich die Rechtsanalyse erneut. Dann muessen Sie den Vertragsstack, die Regionseinstellungen und die Logging- bzw. Retention-Logik der jeweiligen Plattform pruefen. Genau deshalb sind “Claude AVV” und “Claude auf Bedrock” verwandte, aber nicht identische Beschaffungsthemen.

Welche Rechtsdokumente zaehlen neben der Privacy Policy?

Der haeufigste Fehler bei claude dsgvo-Pruefungen ist, die Privacy Policy zu wichtig zu nehmen. Datenschutzinformationen sind relevant, aber fuer den Unternehmenseinsatz nicht das Kern-Dokument.

AVV / Art. 28 DSGVO

Fuer kommerzielle Produkte erklaert Anthropic, dass der AVV mit SCCs automatisch in die Commercial Terms einbezogen ist. Das ist der Ausgangspunkt der Controller-Processor-Analyse.

In der Praxis sollte Ihre AVV-Pruefung bestaetigen:

  • dass der konkrete Workflow wirklich auf dem kommerziellen Produktpfad laeuft,
  • dass die Verarbeitungsbeschreibung zum realen Einsatz passt,
  • dass Subprozessoren und Aenderungsmechanismen dokumentiert sind,
  • dass Loeschung und Rueckgabe zu Ihren internen Anforderungen passen,
  • dass Audit- und Nachweisunterstuetzung fuer Procurement ausreicht,
  • dass klar ist, wann Anthropic im betreffenden Workflow als Auftragsverarbeiter handelt.

Fuer die Vertragsdetails siehe unsere Seiten zu Claude AVV und Anthropic DPA.

SCCs und Drittlandtransfer

SCCs bedeuten nicht automatisch “Problem erledigt”. Deutsche Unternehmen sollten dokumentieren:

  • wo Daten gespeichert werden,
  • wo Inferenz stattfindet,
  • ob Support- oder Safety-Zugriffe ausserhalb des EWR moeglich sind,
  • welche Subprozessoren beteiligt sind,
  • ob zusaetzliche interne Schutzmassnahmen erforderlich sind.

Die aktuellen Anthropic-Unterlagen zeigen hier ein differenziertes Bild:

  • kommerzieller Traffic kann standardmaessig ueber mehrere Geographien geroutet werden,
  • die First-Party-API bietet inzwischen Inference-Geo-Kontrollen,
  • die Datenspeicherung wird weiterhin standardmaessig in den USA beschrieben,
  • Partnerplattformen haben eigene Regionen- und Retention-Regeln.

Deshalb ist die pauschale Aussage “Claude hat EU-Datenresidenz” ebenso ungenau wie die pauschale Aussage “Claude hat gar keine Geosteuerung”.

Subprozessoren, Retention und Trainingsnutzung

Eine belastbare Claude DSGVO-Pruefung trennt drei Themen, die oft unzulassig zusammengeschoben werden:

  1. Subprozessoren Wo sitzen sie, welche Funktion haben sie, und wie sind Aenderungen organisiert?
  2. Retention Standard-Retention, individuelle Enterprise-Retention und ZDR sind drei verschiedene Dinge.
  3. Modelltraining Anthropic erklaert, dass Daten aus kommerziellen Produkten nicht fuer Modelltraining verwendet werden, ausser der Kunde nimmt am Development Partner Program teil.

Diese Trainingsaussage ist wichtig, aber eben nur ein Teil des Bildes. Ein Tool kann kein Modelltraining mit Kundendaten machen und trotzdem noch datenschutzrechtliche Probleme bei Rechtsgrundlage, Retention oder Mitarbeiterdaten ausloesen.

Wann loest ein Claude-Workflow zusaetzliche deutsche Risiken aus?

Manche Claude-Workflows lassen sich mit einer Standardbeschaffung abdecken. Andere fallen in eine deutlich strengere Risikoklasse.

Mitarbeiterdaten und Betriebsrat

Sobald Mitarbeiterdaten betroffen sind, entstehen neben der DSGVO weitere arbeitsrechtliche Themen. Das gilt insbesondere fuer Leistungsbewertung, Produktivitaetsanalyse, Hiring-Unterstuetzung, disziplinarnahe Sachverhalte oder ueberwachungsnahe Einsatzformen.

Die zentralen Punkte sind:

  • Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG,
  • eine klar dokumentierte Nutzungsrichtlinie,
  • Verbote oder enge Grenzen fuer HR-sensitive Eingaben,
  • haeufig eine DSFA bei risikoreicheren Workflows.

Selbst wenn die reine Privacy-Pruefung vertretbar wirkt, kann ein Rollout intern scheitern, wenn der Betriebsrat und die arbeitsrechtliche Perspektive zu spaet eingebunden werden.

Art.-9-Daten und DSFA-Pflicht

Eine DSFA nach Art. 35 DSGVO ist haeufig erforderlich, wenn Claude eingesetzt wird fuer:

  • besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO,
  • systematisches Profiling oder Scoring,
  • automatisierte Entscheidungen mit erheblicher Wirkung,
  • grossvolumige sensible Kommunikation,
  • systematische Ueberwachung von Personen.

Das betrifft viele reale Unternehmensfaelle: HR-Screening, Gesundheitsbezug, Compliance-Monitoring oder Risiko-Triage. Dass Claude “nur assistiert”, beseitigt die DSFA-Frage nicht automatisch.

Berufsgeheimnisse und regulierte Sektoren

Fuer Kanzleien, Steuerberatung, Gesundheitswesen, Finanzdienstleistungen und andere regulierte Bereiche reicht die DSGVO-Perspektive allein nicht aus. Zusaetzlich relevant sind:

  • berufsrechtliche Vertraulichkeit,
  • Geschaeftsgeheimnisse,
  • branchenspezifische Dokumentationspflichten,
  • regulierte Entscheidungs- oder Beratungskontexte,
  • aufsichtsrechtliche Erwartungen an Nachweis und Governance.

Genau deshalb ist claude dsgvo kein reines Privacy-Website-Thema, sondern ein Procurement- und Governance-Thema.

Praktische Checkliste fuer den Claude-Rollout in Deutschland

Bevor Sie Claude fuer einen Workflow mit personenbezogenen Daten freigeben, arbeiten Sie diese Punkte ab:

  1. Produktpfad exakt bestimmen. Klaeren Sie, ob Nutzer auf Free, Pro, Max, Team, Enterprise, der First-Party-API oder auf einer Drittplattform arbeiten.
  2. Consumer-Tarife fuer personenbezogene Geschaeftsdaten ausschliessen. Wenn der Workflow auf einem Consumer-Konto aufsetzt, ist die Struktur in der Regel falsch.
  3. Rechtsgrundlage nach Art. 6 DSGVO dokumentieren. Meist geht es um berechtigtes Interesse oder Vertragserfuellung, aber das muss schriftlich festgehalten werden.
  4. AVV und Transfermechanismus pruefen. Kontrollieren Sie Art.-28-Abdeckung, SCCs, Subprozessoren und die aktuelle Speicher- und Routing-Realitaet.
  5. Eingaberegeln und technische Kontrollen definieren. Legen Sie fest, welche Daten nie eingegeben werden duerfen, wer Zugriff hat und wie Exporte oder Logs gehandhabt werden.
  6. Retention bewerten. Unterscheiden Sie zwischen Standard-Retention, Custom Retention und ZDR-faehigen Workflows.
  7. DSFA durchfuehren, wenn noetig. Warten Sie bei Mitarbeiterdaten, Profiling oder Art.-9-Daten nicht bis nach dem Rollout.
  8. Die richtigen Stellen intern einbinden. Legal, Datenschutz, Security, IT, Procurement und gegebenenfalls der Betriebsrat.
  9. Die Freigabeentscheidung dokumentieren. Halten Sie Use Case, Restriktionen, Verantwortliche und Review-Datum fest.

Warum die Privacy-Policy-Antwort nicht reicht

Hinter der Suchanfrage claude dsgvo steckt meist nicht die Frage “Kann ich einen Chat loeschen?”, sondern: “Darf mein Unternehmen dieses Tool fuer echte Arbeit mit personenbezogenen Daten einsetzen?”

Diese Frage laesst sich nicht allein aus einer Privacy Policy beantworten, weil eine belastbare Unternehmensantwort von folgenden Faktoren abhaengt:

  • Vertragsstack,
  • Rolle als Auftragsverarbeiter,
  • Drittlandtransfer,
  • Speicher- und Logging-Logik,
  • interne Eingaberegeln,
  • Hochrisiko-Use-Cases,
  • Nachweisfaehigkeit fuer Datenschutz, Procurement und Betriebsrat.

Genau diese Luecke muessen gute Claude-Datenschutzseiten schliessen. Eine privacy-freundliche Oberflaeche kann rechtlich trotzdem der falsche Produktpfad sein. Ein guter AVV kann fuer einen Hochrisiko-Workflow trotzdem nicht ausreichen. Und eine nuetzliche Consumer-Einstellung kann fuer die Unternehmensfreigabe trotzdem irrelevant sein.

Compound Law beraet Unternehmen, Gruender und In-house-Teams in Deutschland zu KI-Beschaffung, DSGVO, Arbeitsrecht, Vertragsrecht und AI Governance. Wenn Sie einen konkreten Claude-Rollout, den Anthropic-Vertragsstack oder eine interne KI-Richtlinie pruefen lassen moechten, nehmen Sie Kontakt auf.

FAQ

Ist Claude DSGVO-konform?

Claude kann DSGVO-konform eingesetzt werden, aber nur nach einer workflow-bezogenen Pruefung. Entscheidend sind Tarif, AVV, Rechtsgrundlage, Drittlandtransfer, Retention und interne Governance.

Welcher Claude-Tarif ist fuer personenbezogene Geschaeftsdaten zulaessig?

Claude Team, Claude Enterprise und die direkt bezogene Anthropic API sind die relevanten kommerziellen Startpunkte. Free, Pro und Max sind Consumer-Tarife und keine geeignete Vertragsbasis fuer personenbezogene Geschaeftsdaten.

Brauche ich einen AVV fuer Claude?

Ja in den meisten Unternehmens-Workflows, in denen Anthropic personenbezogene Daten in Ihrem Auftrag verarbeitet. Der AVV ist die Mindestschicht nach Art. 28 DSGVO, aber nicht die vollstaendige Compliance-Pruefung.

Ist Claude Pro fuer Geschaeftsdaten zulaessig?

Nicht fuer personenbezogene Geschaeftsdaten, wenn ein Auftragsverarbeitungsrahmen benoetigt wird. Claude Pro ist ein Consumer-Produkt; Privacy Controls dort ersetzen keinen Unternehmens-AVV.

Gilt der Claude AVV auch fuer die API?

Ja fuer die direkt von Anthropic bezogene API. Anthropic erklaert, dass der AVV mit SCCs fuer kommerzielle Produkte in die Commercial Terms einbezogen ist. Bei AWS Bedrock, Vertex AI oder anderen Plattformen muessen Sie deren Vertragsstack separat bewerten.

Bietet Claude EU-Datenresidenz?

Nur eingeschraenkt und nicht als einfache EU-only-Antwort auf dem direkten Anthropic-Stack. Die aktuellen API-Unterlagen zeigen Inference-Geo-Kontrollen, waehrend die kommerziellen Privacy-Unterlagen die Datenspeicherung standardmaessig in den USA verorten. Bei strikter EU-only-Speicherung muessen Sie die Architektur sehr genau pruefen.

Wann ist fuer Claude eine DSFA erforderlich?

Typischerweise bei Mitarbeiterueberwachung, Profiling, Art.-9-Daten in relevantem Umfang oder automatisierten Entscheidungen mit erheblicher Wirkung. Neben der konkreten Prozessgestaltung sind auch die deutschen Aufsichtslisten massgeblich.

Nutzt Claude kommerzielle Kundendaten fuer Modelltraining?

Anthropic erklaert, dass Daten aus kommerziellen Produkten nicht fuer Modelltraining verwendet werden, es sei denn, der Kunde nimmt freiwillig am Development Partner Program teil. Das ist hilfreich, ersetzt aber nicht die restliche DSGVO-Pruefung.

Weitere Tool-Guides

Anthropic Standardvertragsklauseln SCC Modul 2 Modul 3 DSGVO Datenübermittlung
tools

Anthropic Standardvertragsklauseln (SCC): DSGVO-Leitfaden Modul 2 und 3

Anthropics EU-SCCs (Modul 2 und 3) sind automatisch im AVV enthalten. Welches Modul gilt für Ihr Unternehmen und was ist zusätzlich erforderlich?
Zoom AI Companion DSGVO-Konformität für deutsche Unternehmen
tools

Zoom AI Companion DSGVO-Konformität für deutsche Unternehmen

Ist Zoom AI Companion in Deutschland DSGVO-konform? Prüfen Sie AVV, KI-Verarbeitung, EU-Datenspeicherung und die Checkliste für Unternehmen.
Airtable DSGVO und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

Airtable DSGVO: Hat Airtable einen Auftragsverarbeitungsvertrag (AVV)?

Airtable AI und DSGVO: AVV nur für Enterprise. Datentransfer, KI-Funktionen 2025, Unterauftragsverarbeiter und Betriebsratspflichten im Überblick.
Claude Team vs. Enterprise Tarifvergleich für deutsche Unternehmen
tools

Claude Team vs. Enterprise: Tarifvergleich für Unternehmen in Deutschland

Claude Team (~25 €/Nutzer/Monat) vs. Claude Enterprise: Funktionen, DSGVO-Unterschiede und welcher Tarif für Ihr Unternehmen geeignet ist.
Claude Zero Data Retention ZDR Leitfaden DSGVO-Datensparsamkeit für Unternehmen in Deutschland
tools

Claude Zero Data Retention: ZDR-Leitfaden zur DSGVO

Claude Zero Data Retention (ZDR) für Unternehmen in Deutschland: Berechtigung, Ausnahmen, Claude Code und DSGVO-Datensparsamkeit.
Claude Enterprise für Kanzleien und juristische Rechtsabteilungen
tools

Claude Enterprise für Kanzleien und Rechtsabteilungen

Claude Enterprise für Kanzleien: Vertragsanalyse, Due Diligence und Compliance-Dokumentation DSGVO-konform einsetzen — Leitfaden für Juristen.

Tool Library

Mehr KI-Tools nach Thema durchsuchen

Vergleichen Sie weitere Tools, Datenschutzfragen und Einsatzszenarien in unserer vollständigen KI-Tool-Bibliothek.

Alle KI-Tools ansehen

Häufige Fragen

Claude kann in Deutschland DSGVO-konform eingesetzt werden, aber nur nach einer strukturierten Einzelfallpruefung. Entscheidend sind Tarif, AVV nach Art. 28 DSGVO, Drittlandtransfer, Speicherlogik und die internen Kontrollen des Unternehmens.

Claude Team, Claude Enterprise und die Anthropic API sind die relevanten Startpunkte, weil Anthropic sie als kommerzielle Produkte behandelt und den AVV in die Commercial Terms einbezieht. Claude Free, Pro und Max sind Consumer-Tarife und fuer personenbezogene Geschaeftsdaten regelmaessig nicht geeignet.

Ja, wenn Claude personenbezogene Daten in Ihrem Auftrag verarbeitet. Nach Art. 28 DSGVO ist ein AVV in den meisten Unternehmens-Workflows Mindestvoraussetzung. Er ist erforderlich, ersetzt aber weder die Rechtsgrundlage noch die Transferpruefung oder technische Schutzmassnahmen.

Nicht fuer Workflows mit personenbezogenen Geschaeftsdaten. Claude Pro ist ein Consumer-Tarif und schafft keinen belastbaren Auftragsverarbeitungsrahmen nach Art. 28 DSGVO, auch wenn einzelne Privacy-Einstellungen vorhanden sind.

Ja fuer die direkt von Anthropic bezogene API. Anthropic erklaert, dass der AVV mit SCCs fuer kommerzielle Produkte wie Claude for Work und die Anthropic API in die Commercial Terms einbezogen ist. Bei AWS Bedrock, Vertex AI oder anderen Drittplattformen ist dagegen der jeweilige Vertragsstack zu pruefen.

Nicht in einem einfachen Sinn von "alles bleibt in der EU" auf dem direkten Anthropic-Stack. Die aktuellen Unterlagen zeigen zwar Geosteuerung fuer API-Inferenz, beschreiben die Datenspeicherung aber weiterhin standardmaessig in den USA. Wer strikte EU-only-Speicherung braucht, muss die Architektur und gegebenenfalls Partnerplattformen gesondert pruefen.

Eine DSFA ist haeufig erforderlich bei Mitarbeiterdaten, Profiling, Scoring, Art.-9-Daten in relevantem Umfang oder automatisierten Entscheidungen mit erheblicher Wirkung. Auch die Positivlisten deutscher Aufsichtsbehoerden sind zu beruecksichtigen.

Anthropic erklaert, dass Daten aus kommerziellen Produkten nicht fuer das Modelltraining genutzt werden, es sei denn, der Kunde nimmt freiwillig am Development Partner Program teil. Das hilft, beantwortet aber nicht alleine die gesamte DSGVO-Pruefung.

Kostenlos beraten