Claude Enterprise Datenschutz: Checkliste für Unternehmen in Deutschland
Wie führe ich Claude Enterprise DSGVO-konform ein?
Ein DSGVO-konformer Claude-Enterprise-Einsatz setzt eine strukturierte Vorabprüfung voraus: Bereitstellungsweg klären, AVV dokumentieren, Datenarten klassifizieren, Drittlandtransfer prüfen, Speicherfristen absichern, Mitbestimmung einbeziehen und eine interne Nutzungsrichtlinie erstellen.
- Der Kauf von Claude Enterprise schafft keinen automatisch DSGVO-konformen Betrieb — der AVV ist notwendig, aber nicht hinreichend.
- Mitarbeiterdaten erfordern eine gesonderte Prüfung nach § 87 BetrVG und ggf. eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.
- Zero-Data-Retention (ZDR) ist keine Standardeinstellung und muss für Enterprise-Deployments mit erhöhtem Datenschutzbedarf explizit konfiguriert werden.
Für einen DSGVO-konformen Einsatz von Claude Enterprise reicht der Kauf des Enterprise-Tarifs allein nicht aus. Unternehmen müssen vor dem Rollout sieben konkrete Schritte abschließen: Bereitstellungsweg bestimmen, AVV prüfen und dokumentieren, Datenarten klassifizieren, Drittlandtransfer klären, Speicherfristen absichern, Mitbestimmung und Datenschutz-Folgenabschätzung prüfen sowie eine interne Nutzungsrichtlinie erstellen. Diese Claude Enterprise Datenschutz-Checkliste führt Sie strukturiert durch jeden Schritt.
Dieser Beitrag ist allgemeine Information und keine Rechtsberatung für den Einzelfall. Einen umfassenden Überblick zu Claude Enterprise und der DSGVO finden Sie auf unserer Claude Enterprise Seite. Wer spezifische Datenschutzprüfung-Fragen klären möchte, findet auf unserer Seite zur Datenschutz-Expertise von Compound Law weitere Informationen.
Warum Claude Enterprise eine Datenschutzprüfung braucht
Claude Enterprise enthält automatisch einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO — das unterscheidet ihn von Free- und Pro-Tarifen, die keinen AVV vorsehen. Der AVV ist aber eine notwendige, keine hinreichende Bedingung für einen rechtssicheren Betrieb.
Unternehmen in Deutschland müssen vor dem Rollout eigenständig prüfen:
- Rollenverteilung: Gilt Anthropic für den konkreten Deployment-Weg als Auftragsverarbeiter? Bei Bezug über Drittplattformen (Amazon Bedrock, Google Vertex AI) gelten andere Vertragsbeziehungen.
- Drittlandtransfers: Auch mit SCCs müssen Unternehmen eigenständig prüfen, ob ein Drittlandtransfer nach Kapitel V DSGVO vorliegt und ob ein Transfer Impact Assessment (TIA) erforderlich ist.
- Datenarten: Der Prüfungsaufwand steigt erheblich, sobald Mitarbeiterdaten, besondere Kategorien nach Art. 9 DSGVO oder hochvertrauliche Dokumente verarbeitet werden.
- Speicherfristen: Die Zero-Data-Retention-Option (ZDR) muss für die meisten Enterprise-Deployments mit erhöhtem Datenschutzbedarf ausdrücklich konfiguriert werden — sie ist keine Standardeinstellung.
Schritt-für-Schritt-Checkliste: Claude Enterprise DSGVO-konform einführen
Schritt 1: Bereitstellungsweg bestimmen
Klären Sie zunächst, ob Sie Claude Enterprise direkt über Anthropic beziehen oder über eine Cloud-Plattform wie Amazon Bedrock oder Google Vertex AI. Der Bereitstellungsweg bestimmt, mit wem ein AVV besteht und welches Vertragswerk gilt:
- Direktbezug bei Anthropic: Die Anthropic-DPA mit SCCs ist automatisch Vertragsbestandteil.
- Bezug über Amazon Bedrock oder Google Vertex: Der AWS- bzw. Google-Vertragsstack ist maßgeblich — der Anthropic-AVV gilt in diesem Fall nicht.
Schritt 2: AVV/DPA prüfen und dokumentieren
Rufen Sie die aktuelle Anthropic-DPA über das Anthropic Console-Portal ab und prüfen Sie die Pflichtinhalte nach Art. 28 DSGVO: Weisungsgebundenheit, Subprozessorliste, Löschfristen, technische und organisatorische Maßnahmen (TOM) sowie Regelungen zu Betroffenenrechten. Details zum Anthropic-AVV finden Sie in unserem Claude AVV-Ratgeber.
Dokumentieren Sie intern, welche DPA-Version zum Zeitpunkt der Beschaffung gilt.
Schritt 3: Datenarten klassifizieren
Definieren Sie vor dem Rollout, welche Datenkategorien in Claude eingegeben werden:
| Datenkategorie | Prüfungsintensität |
|---|---|
| Allgemeine Produktivitätsdaten ohne Personenbezug | Gering |
| Allgemeine Kundendaten mit Personenbezug | Mittel |
| Mitarbeiterdaten | Hoch |
| Besondere Kategorien nach Art. 9 DSGVO | Sehr hoch |
| Vertrauliche Unternehmens- oder M&A-Dokumente | Hoch |
Je nach Datenkategorie steigen die Anforderungen an Rechtsgrundlage, Löschfristen und technische Schutzmaßnahmen.
Schritt 4: Drittlandtransfer und EU-Hosting klären
Anthropic verarbeitet Daten primär in den USA. Prüfen Sie:
- Ob für den konkreten Bereitstellungsweg SCCs als Transfermechanismus gelten und ob ein TIA erforderlich ist.
- Ob Anforderungen an EU-only-Hosting bestehen und wie diese vertraglich bestätigt werden können.
- Welche Subprozessoren Anthropic für die Verarbeitung einsetzt und wo diese ansässig sind.
Weitere Details finden Sie auf unserer Seite zu Claude EU-Hosting.
Schritt 5: Speicherfristen und ZDR-Option prüfen
Claude Enterprise bietet eine Zero-Data-Retention (ZDR)-Option, die verhindert, dass Anthropic Eingaben über die Session hinaus speichert oder für Trainingszwecke nutzt. Klären Sie:
- Ob ZDR für Ihren Plan standardmäßig aktiviert ist oder explizit konfiguriert werden muss.
- Wie lang die Standard-Retention-Fristen bei nicht aktivierter ZDR sind.
- Ob die resultierenden Löschfristen den internen Datenschutzanforderungen und den Vorgaben aus dem AVV entsprechen.
Schritt 6: Mitbestimmung und DSFA prüfen
Wenn Claude Enterprise für Workflows mit Mitarbeiterdaten eingesetzt werden soll, sind zwei zusätzliche Prüfpunkte obligatorisch:
- § 87 BetrVG: Der Einsatz technischer Systeme zur Verhaltens- oder Leistungskontrolle von Mitarbeitern unterliegt dem Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Prüfen Sie frühzeitig, ob eine Betriebsvereinbarung vor dem Rollout erforderlich ist.
- Datenschutz-Folgenabschätzung (DSFA): Bei Workflows, die systematisch Mitarbeiterdaten verarbeiten, Profiling ermöglichen oder Entscheidungen mit erheblichen Auswirkungen auf Beschäftigte treffen, ist eine DSFA nach Art. 35 DSGVO durchzuführen.
Schritt 7: Interne Nutzungsrichtlinie erstellen
Technische und vertragliche Voraussetzungen allein reichen nicht aus. Unternehmen brauchen eine interne KI-Nutzungsrichtlinie, die mindestens regelt:
- Welche Datenarten in Claude eingegeben werden dürfen (und welche nicht)
- Wer Claude für welche Workflows nutzen darf und wer Ausnahmen freigibt
- Wie mit unerwarteten oder fehlerhaften Ausgaben umzugehen ist
- Wie Nutzung und Vorfälle protokolliert und intern gemeldet werden
Die Richtlinie sollte mit dem Datenschutzbeauftragten abgestimmt werden.
Wann reicht die Standard-Prüfung nicht aus?
In bestimmten Sonderfällen empfiehlt sich eine vertiefte rechtliche Begleitung:
- Regulierte Branchen: Finanzdienstleister (BaFin-reguliert), Gesundheitseinrichtungen und Anwaltskanzleien unterliegen über die DSGVO hinausgehenden Anforderungen.
- Art.-9-Daten: Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit und ähnliche besondere Kategorien verlangen eine gesonderte Rechtsgrundlage und erhöhte Schutzmaßnahmen.
- M&A und Insiderinformationen: Hochvertrauliche Unternehmensdaten sollten generell nicht in externe KI-Systeme eingespeist werden — unabhängig von der Datenschutzprüfung.
- Automatisierte Entscheidungen: Wenn Claude-Outputs rechtliche oder erhebliche faktische Konsequenzen für Personen haben sollen, sind zusätzliche Anforderungen nach Art. 22 DSGVO zu prüfen.
Compound Law berät Unternehmen, Gründer und In-house-Teams in Deutschland zu DSGVO, Commercial Contracts und KI-Procurement. Wenn Sie einen Claude-Rollout, Vendor-Verträge oder interne KI-Richtlinien prüfen möchten, kontaktieren Sie uns.
Claude Enterprise Datenschutz im Vergleich zu anderen KI-Tools
| Kriterium | Claude Enterprise | ChatGPT Enterprise | Gemini Enterprise |
|---|---|---|---|
| AVV/DPA vorhanden | Ja (automatisch) | Ja (automatisch) | Ja (automatisch) |
| SCCs für Drittlandtransfer | Ja | Ja | Ja |
| Zero-Data-Retention-Option | Ja | Ja | Ja (GCP-Konfiguration) |
| EU-Datenresidenz | Begrenzt verfügbar | Begrenzt verfügbar | Ja (GCP EU-Regionen) |
| Mitbestimmungsrelevanz (§ 87 BetrVG) | Ja (bei Mitarbeiterdaten) | Ja (bei Mitarbeiterdaten) | Ja (bei Mitarbeiterdaten) |
Die DSGVO-Compliance-Anforderungen sind für alle drei Anbieter grundsätzlich vergleichbar. Entscheidend ist nicht, welcher Anbieter “DSGVO-konformer” ist, sondern wie der konkrete Einsatz konfiguriert, dokumentiert und rechtlich abgesichert wird.
FAQ
Brauche ich einen AVV, wenn ich Claude Enterprise nutze?
Ja. Claude Enterprise enthält automatisch einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Dieser ist notwendige Voraussetzung für jeden Einsatz mit personenbezogenen Daten — reicht aber für eine vollständige DSGVO-Freigabe allein nicht aus.
Ist Claude Enterprise automatisch DSGVO-konform?
Nein. Der Kauf von Claude Enterprise ist keine DSGVO-Compliance-Bestätigung. Unternehmen müssen Rechtsgrundlage, Rollenverteilung, Drittlandtransfer, Speicherfristen, Subprozessoren und den konkreten Workflow eigenständig prüfen und dokumentieren.
Müssen wir den Betriebsrat vor der Einführung von Claude Enterprise einbinden?
Möglicherweise ja. Wenn Claude Enterprise für Workflows eingesetzt wird, die Mitarbeiterdaten verarbeiten oder Mitarbeiterverhalten überwachen können, besteht nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht. Eine rechtliche Prüfung vor dem Rollout ist dringend empfehlenswert.
Was ist die ZDR-Option und wie aktiviere ich sie?
Zero-Data-Retention verhindert, dass Anthropic Eingaben über die Session hinaus speichert oder für Trainingszwecke nutzt. Diese Option ist kein Standard und muss für Enterprise-Deployments mit erhöhtem Datenschutzbedarf explizit konfiguriert oder bei Anthropic beantragt werden.
Gilt der Claude-AVV auch bei Bezug über Amazon Bedrock?
Nein. Bei Bezug über Amazon Bedrock gilt der AWS-Vertragsstack. Der Anthropic-AVV ist in diesem Fall nicht maßgeblich. Unternehmen müssen die AWS-DPA und einschlägige AWS-Datenschutzdokumente separat prüfen.