Kostenlos beraten
Claude DSGVO-Pruefung — Rechtsgrundlage, AVV und technische Massnahmen fuer Unternehmen
tools

Claude DSGVO: Rechtssicherer Einsatz von Claude in Deutschland

Ist Claude DSGVO-konform?

Ja, Claude kann DSGVO-konform eingesetzt werden — aber die DSGVO-Konformitaet haengt nicht vom Anbieter allein ab, sondern vom konkreten Einsatz, der Rechtsgrundlage, dem Auftragsverarbeitungsvertrag und den technischen Schutzmassnahmen. Diese Seite erklaert den Pruefrahmen.

  • Anthropic stellt fuer kommerzielle Produkte einen AVV mit SCCs bereit — Free und Pro sind nicht DSGVO-tauglich fuer Geschaeftsdaten.
  • Fuer die meisten Claude-Einsaetze greift Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) oder lit. b (Vertragserfullung) — die Wahl der Rechtsgrundlage.
  • Eine Datenschutz-Folgenabschaetzung (DSFA) ist bei hochriskanten Workflows — Mitarbeiterdaten, systematischem Profiling, Art.-9-Daten — in der Regel.

Ja, Claude kann DSGVO-konform eingesetzt werden — aber die DSGVO-Konformitaet haengt nicht vom Anbieter ab, sondern vom konkreten Einsatz, der Rechtsgrundlage, dem Auftragsverarbeitungsvertrag (AVV) und den technischen Schutzmassnahmen. Diese Seite legt den Pruefrahmen aus, den Unternehmen in Deutschland benoetigen, bevor Claude produktiv eingesetzt wird. Sie richtet sich an Legal-, Datenschutz- und Beschaffungsteams, die wissen wollen, was eine belastbare Claude-DSGVO-Pruefung ausmacht.

Dieser Beitrag ist allgemeine Information und keine Rechtsberatung fuer den Einzelfall. Den Vertragsteil — also Zugang und Inhalt des Claude AVV — behandelt unsere separate Seite zum Claude AVV. Den umfassenden Betriebsrahmen fuer Claude Enterprise beschreibt unsere Seite zu Claude Enterprise.

Ist Claude DSGVO-konform?

Ja, aber nur mit strukturierter Pruefung. Claude kann DSGVO-konform genutzt werden, wenn Unternehmen den richtigen Tarif waehlen, einen tragfaehigen AVV haben, die passende Rechtsgrundlage belegen und die technischen Schutzmassnahmen umsetzen. Die DSGVO-Konformitaet ist kein pauschales Anbietermerkmal, sondern das Ergebnis einer konkreten Einsatzbewertung.

Die Kurzantwort: Wer Claude Enterprise oder die Claude API nutzt, hat eine solide vertragliche Grundlage. Wer keine Rechtsgrundlage dokumentiert, den Drittlandtransfer nicht geprueft und keine Schutzmasssnahmen umgesetzt hat, bewegt sich auch mit einem Enterprise-Plan ausserhalb der DSGVO.

Die DSGVO-Bausteine fuer einen rechtssicheren Claude-Einsatz

Ein rechtskonformer Claude-Einsatz setzt sich aus fuenf Pflicht-Bausteinen zusammen. Keiner davon kann durch den anderen ersetzt werden.

Rechtsgrundlage nach Art. 6 DSGVO

Jede Verarbeitung personenbezogener Daten benoetigt eine Rechtsgrundlage. Fuer den Claude-Einsatz in Unternehmen kommen regelmaessig zwei Grundlagen in Betracht:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung): greift, wenn Claude direkt zur Erfullung eines Vertrags mit der betroffenen Person eingesetzt wird — etwa zur Erstellung personalisierter Angebote oder in der Vertragsabwicklung.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): haefig fuer interne Produktivitaets- und Wissensworkflows, soweit die Interessen der betroffenen Personen nicht ueberwiegen. Eine Interessenabwaegung muss dokumentiert werden.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): theoretisch moeglich, praktisch aber fuer Mitarbeiterdaten problematisch, da Einwilligungen im Beschaeftigungskontext selten freiwillig sind.

Die Rechtsgrundlage muss vor dem Einsatz schriftlich festgelegt und im Verarbeitungsverzeichnis dokumentiert werden.

Auftragsverarbeitung nach Art. 28 DSGVO

Wer Claude Enterprise oder die Claude API kommerziell nutzt, handelt als Verantwortlicher (Controller); Anthropic ist Auftragsverarbeiter (Processor). Diese Konstellation erfordert einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

Anthropic stellt fuer kommerzielle Produkte einen AVV bereit, der automatisch in die Commercial Terms einbezogen ist. Der AVV muss folgende Pflichtinhalte abdecken:

PflichtinhaltPruefpunkt
Gegenstand und Dauer der VerarbeitungPasst die Beschreibung zum tatsaechlichen Workflow?
Art und ZweckStimmen die im AVV genannten Zwecke mit dem Einsatz ueberein?
DatenkategorienSind alle verarbeiteten Datenkategorien erfasst?
WeisungsgebundenheitVerarbeitet Anthropic nur auf dokumentierte Weisung?
SubprozessorenGibt es eine aktuelle Liste mit Aenderungsbenachrichtigung?
Loeschung und RueckgabeSind Fristen und Optionen nach Vertragsende klar geregelt?
AuditrechteKann das Unternehmen Kontrollen durchfuehren oder Nachweise fordern?

Einen ausfuehrlichen Leitfaden zum Claude AVV — einschliesslich Zugang und Detailpruefung — finden Sie auf unserer Seite zum Claude AVV.

Internationale Datentransfers (Kapitel V DSGVO)

Anthropic verarbeitet Daten auf Infrastruktur, die sich nicht ausschliesslich im Europaischen Wirtschaftsraum (EWR) befindet. Der Transfermechanismus sind Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO, die Anthropic in die Commercial Terms einbezieht.

Unternehmen muessen dennoch eigenstaendig pruefen:

  • Welche Laender ausserhalb des EWR koennen Daten empfangen (Speicherung, Verarbeitung, Support-Zugriff)?
  • Subprozessoren: Betreibt Anthropic Unterauftragsverarbeiter ausserhalb des EWR — und wurden SCCs konsequent weitergegeben?
  • EU-only-Hosting vs. EU-only-Verarbeitung: Wer strikte EU-Datenlokation benoetigt, muss die Architektur konkret bestaetigen lassen. Ueber den direkten Anthropic-API-Weg gibt es kein dediziertes EU-Angebot — fuer strikte EU-Lokation sind AWS Bedrock EU-Profile oder Google Vertex AI EU-Regionen die einzigen bestatigten Wege. Mehr dazu auf unserer Seite zu Claude EU-Hosting.
  • Transfer Impact Assessment: Bei sensiblen Datenarten oder strengen internen Anforderungen kann ein eigenstaendiges TIA erforderlich sein.

Technische und organisatorische Massnahmen nach Art. 32 DSGVO

Art. 32 DSGVO verlangt, dass Verantwortliche und Auftragsverarbeiter angemessene technische und organisatorische Massnahmen (TOMs) umsetzen. Fuer den Claude-Einsatz bedeutet das konkret:

Technische Massnahmen:

  • Verschluesselung personenbezogener Daten im Transit und at Rest
  • Zugriffskontrollen: Wer im Unternehmen darf welche Claude-Workflows nutzen?
  • Nutzungsprotokolle: Sind Zugriffe auf sensitive Workflows nachvollziehbar?
  • Datenlokation und Netzwerksegmentierung, soweit erforderlich

Organisatorische Massnahmen:

  • Interne Richtlinie, welche Daten in Claude-Workflows eingegeben werden duerfen
  • Schulung der Mitarbeitenden zu Eingabegrenzen und Datenschutzpflichten
  • Dokumentation der Freigabeentscheidungen und Risikoabwaegungen
  • Regelmaessige Ueberpruefung der Claude-Konfiguration auf Aenderungen

Anthropic nennt oeffentlich Zertifizierungen wie SOC 2 Type II, ISO 27001 und ISO 42001. Diese sind fuer das Vendor-Management relevant, ersetzen aber nicht die interne TOM-Dokumentation und die eigene Risikoanalyse.

Datenschutz-Folgenabschaetzung (DSFA) — wann ist sie bei Claude erforderlich?

Eine Datenschutz-Folgenabschaetzung (DSFA) nach Art. 35 DSGVO ist immer dann erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko fuer die Rechte und Freiheiten natuerlicher Personen mit sich bringt.

Fuer den Claude-Einsatz ist eine DSFA in der Regel erforderlich bei:

  • Systematischem Profiling oder Scoring von Personen — zum Beispiel automatisierte Kundenbewertungen oder Leistungsanalysen von Mitarbeitenden
  • Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO in grossem Umfang (Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehoerigkeit)
  • Systematischer Ueberwachung von Mitarbeitenden oder oeffentlich zugaenglichen Bereichen
  • Automatisierten Entscheidungen mit rechtlicher Wirkung oder ahnlich erheblicher Beeintraechtigung (Art. 22 DSGVO)
  • Grossflaechiger Verarbeitung sensibler Kundenkommunikation

Die deutschen Datenschutzbehoerden (DSK) haben Positivlisten veroffentlicht, in denen Verarbeitungstypen aufgefuehrt sind, fuer die eine DSFA verbindlich ist. Vor einem breit angelegten Claude-Rollout sollte geprueft werden, ob der Einsatz in diese Kategorien faellt.

Hinweis zum BetrVG: Sobald Claude fuer arbeitsbezogene Auswertungen — Hiring, Leistungsbewertung, Produktivitaetsanalyse — eingesetzt wird, koennen Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG greifen. In diesen Faellen muss der Betriebsrat vor dem Einsatz eingebunden werden. Das ist eine arbeitsrechtliche Pflicht, die unabhaengig von der DSGVO-Pruefung besteht.

Welche Claude-Tarife sind fuer DSGVO-Anwendungsfaelle geeignet?

Die folgende Tabelle fasst zusammen, welche Claude-Tarife fuer den DSGVO-konformen Geschaeftsbetrieb grundsaetzlich geeignet sind:

TarifAVV enthaltenDSGVO-Einsatz moeglichHinweis
Claude FreeNeinNeinNur Consumer-Bedingungen, kein Verarbeitungsvertrag
Claude ProNeinNeinNur Consumer-Bedingungen, kein Verarbeitungsvertrag
Claude TeamJaJaMindestens 5 Nutzer, ca. 25 EUR/Nutzer/Monat
Claude EnterpriseJaJaVollstaendiger AVV, erweiterter Kontrollumfang
Anthropic APIJaJaProgrammatischer Zugang, AVV automatisch einbezogen

Claude Free und Claude Pro sind Consumer-Produkte. Ihr Einsatz fuer die Verarbeitung personenbezogener Daten in einem geschaeftlichen Kontext — ohne AVV und auf Consumer-Bedingungen — ist nach Art. 28 DSGVO nicht vertretbar. Der Mindest-Tarif fuer DSGVO-konformen Geschaeftsbetrieb ist Claude Team (mindestens 5 Nutzer).

Fuer Hochrisiko-Workflows kann es sinnvoll sein, Zero-Data-Retention (ZDR) zu aktivieren, das Anthropic fuer Enterprise-Kunden anbietet. Dabei werden Eingaben und Ausgaben nach Abschluss der Anfrage nicht gespeichert — besonders relevant fuer M&A-Unterlagen, anwaltlich privilegierte Kommunikation oder Vorstandsmaterial.

Praktische DSGVO-Checkliste fuer Unternehmen

Bevor Claude in einem Workflow mit personenbezogenen Daten eingesetzt wird, sollten Legal- und Datenschutzteams folgende Punkte abgearbeitet haben:

  1. Tarif mit AVV gewaehlt? Nur Claude Team, Claude Enterprise und die Anthropic API enthalten einen AVV. Free und Pro scheiden fuer Geschaeftsdaten aus.
  2. Rechtsgrundlage nach Art. 6 DSGVO dokumentiert? Legen Sie fest, ob berechtigtes Interesse, Vertragserfullung oder ein anderer Tatbestand greift, und halten Sie die Abwaegung schriftlich fest.
  3. AVV auf den Workflow abgeglichen? Pruefen Sie, ob Gegenstand, Datenkategorien und Zwecke im AVV mit dem tatsaechlichen Einsatz uebereinstimmen.
  4. Drittlandtransfer und SCCs dokumentiert? Erfassen Sie Transferpfade im Verarbeitungsverzeichnis und belegen Sie den Transfermechanismus.
  5. Subprozessoren geprueft? Fragen Sie die aktuelle Subprozessorliste an und dokumentieren Sie die Pruefung im Vendor-Register.
  6. TOMs nach Art. 32 DSGVO umgesetzt und dokumentiert? Technische Zugangskontrollen, Verschluesselung und interne Nutzungsregeln muessen konkret festgehalten sein.
  7. DSFA-Pflicht geprueft? Bewerten Sie, ob der Workflow systematisches Profiling, Art.-9-Daten oder automatisierte Entscheidungen beinhaltet.
  8. Betriebsrat eingebunden (falls relevant)? Bei Workflows mit Mitarbeiterdaten oder Ueberwachungseffekten muss der Betriebsrat nach § 87 Abs. 1 Nr. 6 BetrVG fruehzeitig einbezogen werden.
  9. Entscheidung dokumentiert? Halten Sie freigegebenen Use Case, Verantwortliche, Schutzmasssnahmen und Review-Termin schriftlich fest.

Wann reicht eine allgemeine DSGVO-Pruefung nicht aus?

Eine einfache Checkliste genuegt regelmaessig nicht, wenn der Claude-Einsatz:

  • grosse Mengen an Kundenkommunikation verarbeitet (Support-Tickets, Beschwerden, Vertragskorrespondenz mit identifizierbaren Personen)
  • Mitarbeiter- oder Bewerberdaten betrifft, insbesondere fuer Leistungsbewertung, Hiring oder Produktivitaetsanalyse
  • besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO einbezieht (Gesundheit, Biometrie, Gewerkschaftszugehoerigkeit)
  • in regulierten Sektoren wie Finanzdienstleistungen, Gesundheitswesen oder rechtsberatenden Berufen eingesetzt wird
  • hochrelevante automatisierte Entscheidungen vorbereitet oder trifft
  • strikte EU-Datenlokation oder branchenspezifische Zertifizierungen erfordert

In diesen Szenarien ist eine Gesamtbeurteilung von Rechtsgrundlage, AVV, Transfermechanismus, DSFA und internen Governance-Regeln erforderlich — kein pauschales “AVV vorhanden, fertig”.

Compound Law unterstuetzt Unternehmen, Gruender und In-house-Teams in Deutschland bei der DSGVO-Pruefung von KI-Systemen, Auftragsverarbeitungsvertraegen und KI-Procurement. Wenn Sie den Claude-Einsatz oder einen anderen KI-Rollout datenschutzrechtlich absichern moechten, nehmen Sie Kontakt auf.

FAQ

Ist Claude DSGVO-konform?

Claude kann DSGVO-konform eingesetzt werden. Die DSGVO-Konformitaet haengt nicht pauschal vom Anbieter ab, sondern vom konkreten Workflow, der Rechtsgrundlage nach Art. 6 DSGVO, dem Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, dem Transfermechanismus nach Kapitel V DSGVO und den technischen Schutzmassnahmen nach Art. 32 DSGVO.

Brauche ich fuer den Claude-Einsatz eine DSGVO-Pruefung?

Ja. Jeder Einsatz von Claude, bei dem personenbezogene Daten verarbeitet werden, erfordert eine dokumentierte Rechtsgrundlage, einen AVV und eine Bewertung der Datenfluesse. Bei erhoehtem Risiko kommt eine Datenschutz-Folgenabschaetzung (DSFA) hinzu.

Was muss ich fuer einen DSGVO-konformen Claude-Einsatz tun?

Die wesentlichen Pflichten: kostenpflichtigen Plan mit AVV waehlen (mindestens Claude Team), Rechtsgrundlage nach Art. 6 DSGVO dokumentieren, AVV auf den Workflow abgleichen, Drittlandtransfer mit SCCs absichern, TOMs nach Art. 32 DSGVO umsetzen und bei Hochrisiko-Workflows eine DSFA durchfuehren.

Welcher Claude-Tarif ist fuer DSGVO-konforme Geschaeftsdaten geeignet?

Claude Team, Claude Enterprise und die Anthropic API enthalten einen AVV und sind damit fuer den DSGVO-konformen Geschaeftsbetrieb grundsaetzlich geeignet. Claude Free und Claude Pro bieten keinen AVV und sind fuer die Verarbeitung personenbezogener Geschaeftsdaten datenschutzrechtlich nicht vertretbar.

Wann ist eine Datenschutz-Folgenabschaetzung (DSFA) bei Claude erforderlich?

Eine DSFA ist regelmaessig erforderlich bei systematischem Profiling, Verarbeitung von Art.-9-Daten in grossem Umfang, automatisierten Entscheidungen mit erheblicher Wirkung oder systematischer Ueberwachung von Personen. Prufen Sie die DSK-Positivliste fuer Ihren Anwendungsfall.

Gilt der Claude AVV auch fuer die Claude API?

Ja. Anthropic erklaert, dass der AVV mit SCCs fuer kommerzielle Produkte einschliesslich der Claude API gilt. Wer Claude ueber eine Drittplattform wie AWS Bedrock nutzt, muss den Vertragsstack des jeweiligen Anbieters separat pruefen.

Ist Claude DSGVO-konform fuer Mitarbeiterdaten?

Die Verarbeitung von Mitarbeiterdaten durch Claude ist moeglich, aber deutlich anspruchsvoller als bei anderen Datenkategorien. Neben der DSGVO-Pruefung muessen Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG beachtet werden, und in vielen Faellen wird eine DSFA nach Art. 35 DSGVO erforderlich. Der Betriebsrat muss fruehzeitig eingebunden werden.

Weitere Tool-Guides

KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit fuer.

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.
HubSpot Breeze AI DSGVO-konform nutzen: Leitfaden für deutsche Unternehmen
tools

HubSpot Breeze AI und DSGVO: Was deutsche Unternehmen wissen müssen

HubSpot KI-Funktionen (Breeze AI) können DSGVO-konform genutzt werden — wenn automatisierte Entscheidungen nach Art. 22, Datenanreicherung und.
Airtable DSGVO Ratgeber für deutsche Unternehmen
tools

Airtable DSGVO: AVV, Datenspeicherung und Compliance in Deutschland

Airtable ist DSGVO-konform auf dem Enterprise-Plan mit AVV. Das müssen deutsche Unternehmen vor dem Einsatz von Airtable für personenbezogene Daten prüfen.
Asana DSGVO Ratgeber für deutsche Unternehmen
tools

Asana DSGVO: AVV, EU-Datenspeicherung und Datenschutz für deutsche.

Asana bietet einen AVV für alle kostenpflichtigen Pläne und EU-Datenspeicherung auf Enterprise-Plänen. Was deutsche Unternehmen vor dem Einsatz von Asana.

Mehr KI-Tools durchsuchen

Häufige Fragen

Ist Claude DSGVO-konform?

Claude kann DSGVO-konform eingesetzt werden, aber die Antwort haengt vom konkreten Workflow, der Rechtsgrundlage, dem AVV, dem Drittlandtransfer und den technischen Schutzmassnahmen ab. Ein pauschales Ja gibt es nicht — entscheidend ist die strukturierte Einzelfallpruefung.

Brauche ich fuer den Claude-Einsatz eine DSGVO-Pruefung?

Ja. Jeder geschaeftliche Claude-Einsatz, bei dem personenbezogene Daten verarbeitet werden, erfordert eine Rechtsgrundlage nach Art. 6 DSGVO, einen tragfaehigen AVV nach Art. 28 DSGVO und eine Dokumentation der Datenfluesse. Bei erhoehtem Risiko kommt eine DSFA hinzu.

Was muss ich fuer einen DSGVO-konformen Claude-Einsatz tun?

Die wesentlichen Schritte: (1) kostenpflichtigen Plan mit AVV waehlen, (2) Rechtsgrundlage nach Art. 6 DSGVO festlegen, (3) AVV pruefen und dokumentieren, (4) Drittlandtransfer mit SCCs absichern, (5) TOMs nach Art. 32 DSGVO sicherstellen, (6) bei Hochrisiko-Workflows eine DSFA durchfuehren.

Welcher Claude-Tarif ist DSGVO-konform fuer Unternehmen?

Claude Team, Claude Enterprise und die Anthropic API enthalten einen AVV und sind damit fuer den DSGVO-konformen Geschaeftsbetrieb grundsaetzlich geeignet. Claude Free und Claude Pro bieten keinen AVV — ihr Einsatz fuer personenbezogene Geschaeftsdaten ist datenschutzrechtlich nicht vertretbar.

Wann ist eine Datenschutz-Folgenabschaetzung (DSFA) bei Claude erforderlich?

Eine DSFA nach Art. 35 DSGVO ist in der Regel erforderlich, wenn Claude fuer systematisches Profiling, Mitarbeiterbewertungen, die Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO oder grossflaechige automatisierte Entscheidungen eingesetzt wird.

Gilt der Claude AVV auch fuer die Claude API?

Ja. Anthropic erklaert, dass der AVV mit SCCs fuer kommerzielle Produkte einschliesslich der Claude API gilt. Wer Claude ueber eine Drittplattform wie AWS Bedrock nutzt, muss den Vertragsstack des jeweiligen Anbieters separat pruefen.

Kostenlos beraten