Claude Enterprise EU-Datenresidenz: EU-Hosting-Optionen und DSGVO-Leitfaden
Bietet Claude EU-Datenresidenz?
EU-Datenresidenz fuer Claude ist nicht ueber claude.ai oder die Anthropic API verfuegbar — nur ueber AWS Bedrock EU-Profile (Frankfurt, Irland, Paris) oder Google Cloud Vertex AI EU-Regionen mit Regionskonfiguration.
- claude.ai und die Anthropic API bieten keine EU-Datenresidenz — nur US-Infrastruktur.
- EU-Datenresidenz ist eine vertragliche Garantie; EU-Hosting ist nur ein Standortfakt.
- AWS Bedrock eu-central-1 (Frankfurt) ist der bestaetigte Weg fuer EU-Datenresidenz in Deutschland.
- Claude Enterprise ist nicht DSGVO-rechtswidrig, enthaelt aber keine EU-Datenresidenz — erfordert Bedrock- oder Vertex-Deployment.
Bietet Claude EU-Datenresidenz? Nein — nicht ueber claude.ai oder die direkte Anthropic API. Claude Enterprise — Anthropics Enterprise-Produkt — aendert daran nichts: Es nutzt standardmaessig US-Infrastruktur und enthaelt keine EU-Datenresidenz. Die beiden bestaetigten Wege fuer EU-Datenresidenz mit Claude sind die Bereitstellung ueber AWS Bedrock EU-Profile (Frankfurt eu-central-1, Irland eu-west-1, Paris eu-west-3) oder Google Cloud Vertex AI EU-Regionen — beide erfordern eine spezifische Regionskonfiguration. Beim direkten Zugang ueber claude.ai oder die Anthropic API greift der Transfermechanismus nach Kapitel V DSGVO auf Standardvertragsklauseln (SCCs) zurueck — ob diese fuer Ihren Einsatz ausreichen, haengt von den Datenkategorien und Ihrem Risikoprofil ab.
Das ist fuer Unternehmen in Deutschland und der DACH-Region relevant, die der DSGVO unterliegen, in regulierten Branchen taetig sind oder vertragliche Zusagen zur EU-lokalen Verarbeitung gegeben haben. Die Architekturentscheidung und die rechtliche Pruefung muessen dabei zusammen betrachtet werden.
Was ist EU-Datenresidenz — und ist sie eine gesetzliche Anforderung?
EU-Datenresidenz und EU-Hosting werden haeufig synonym verwendet, haben aber unterschiedliches rechtliches Gewicht:
- EU-Hosting bedeutet, dass Infrastruktur — Server, Rechenzentren — physisch in der Europaeischen Union liegt.
- EU-Datenresidenz ist eine vertragliche und regulatorische Garantie, dass Daten unter keinen betrieblichen Umstaenden eine definierte Jurisdiktion verlassen.
Kapitel V DSGVO schreibt nicht fuer alle Unternehmen EU-only-Verarbeitung vor. EU-Datenresidenz wird jedoch in mehreren Szenarien zur praktischen Rechtspflicht:
- B2B-Vertraege: Kundenvertraege enthalten zunehmend EU-only-Datenverarbeitungsklauseln, insbesondere in der Finanzdienstleistung, im Gesundheitswesen und bei der oeffentlichen Beschaffung.
- Regulierte Branchen: EBA-Outsourcing-Leitlinien fuer Banken sowie branchenspezifische Rahmenbedingungen fuer Gesundheitswesen, Telekommunikation und Versicherungen verlangen regelmaessig, dass Daten in der EU verbleiben.
- Oeffentliche Beschaffung: Vergaberahmen von Behoerden und oeffentlichen Einrichtungen in Deutschland sehen haeufig EU-Jurisdiktionsanforderungen vor.
- Berufsgeheimnisse: Rechtsanwaelte, Steuerberater und Wirtschaftspruefer unterliegen Verschwiegenheitspflichten, die den Drittlandstransfer einschraenken.
Trifft eines dieser Szenarien auf Ihr Unternehmen zu, genuegt EU-Hosting allein nicht — Sie benoetigen eine vertragliche Datenresidenzgarantie Ihres Cloud-Anbieters und eine technisch durchgesetzte Regionskonfiguration. Einen umfassenden DSGVO-Ueberblick fuer Claude finden Sie in unserem Claude-DSGVO-Leitfaden.
Enthaelt Claude Enterprise EU-Datenresidenz?
Nein. Dies ist eines der haeufigsten Missverstaendnisse bei der Beschaffung von Claude im Unternehmensumfeld.
Claude Enterprise — Anthropics Enterprise-Produkt, das ueber claude.ai genutzt wird — setzt standardmaessig auf US-Infrastruktur. Anthropic bietet keine EU-Datenresidenzoption ueber die claude.ai-Plattform oder die direkte Anthropic API an. Der Enterprise-Plan stellt einen kommerziellen AVV und erweiterte Adminkontrollen bereit, aendert aber nichts daran, wo Daten verarbeitet werden.
EU-Datenresidenz fuer Claude erfordert eine Aenderung der Bereitstellungsarchitektur:
- AWS Bedrock EU-Profile (Frankfurt eu-central-1, Irland eu-west-1, Paris eu-west-3) — verlagert den primaeren AVV auf AWS
- Google Cloud Vertex AI EU-Regionen (Belgien, Niederlande, Polen) — ordnet die Verarbeitung dem AVV-Rahmen von Google Cloud unter
Keine dieser Optionen laesst sich innerhalb eines Claude-Enterprise-Vertrags aktivieren — beide erfordern eine eigene Cloud-Provider-Beziehung. Umfassendere Compliance-Fragen finden Sie in unserem Claude Enterprise Deutschland-Leitfaden.
Claude Enterprise und DSGVO-Compliance: Was der Plan enthaelt und was nicht
Claude Enterprise bietet einen kommerziellen Auftragsverarbeitungsvertrag (AVV) und Standardvertragsklauseln (SCCs) als Transfermechanismus nach Kapitel V DSGVO fuer die US-basierte Verarbeitung. Das macht den Plan nicht per se DSGVO-rechtswidrig — aber er ist kein EU-Datenresidenz-Produkt.
Was Claude Enterprise enthaelt:
- Kommerzieller AVV nach Art. 28 DSGVO mit Anthropic
- SCCs als Drittlandtransfermechanismus (Kapitel V DSGVO)
- Erweiterte Adminkontrollen und Single-Sign-On
Was Claude Enterprise nicht enthaelt:
- EU-Datenresidenz: Verarbeitung erfolgt auf US-Infrastruktur
- Opt-in-Option fuer EU-only-Routing
- Regionale Standortbeschraenkung
Fuer Unternehmen mit EU-only-Anforderungen — regulierte Branchen (EBA-Outsourcing, Gesundheitswesen), B2B-Vertraege mit EU-Verarbeitungsklauseln, Berufsgeheimnisstraeger — reicht Claude Enterprise allein nicht aus. Einen Ueberblick ueber den Leistungsumfang des Plans finden Sie auf der Claude Enterprise Seite.
Claude Enterprise und DSGVO-Compliance: Was der Plan enthaelt und was nicht
Claude Enterprise bietet einen kommerziellen Auftragsverarbeitungsvertrag (AVV) und Standardvertragsklauseln (SCCs) als Transfermechanismus nach Kapitel V DSGVO fuer die US-basierte Verarbeitung. Das macht den Plan nicht per se DSGVO-rechtswidrig — aber er ist kein EU-Datenresidenz-Produkt.
Was Claude Enterprise enthaelt:
- Kommerzieller AVV nach Art. 28 DSGVO mit Anthropic
- SCCs als Drittlandtransfermechanismus (Kapitel V DSGVO)
- Erweiterte Adminkontrollen und Single-Sign-On
Was Claude Enterprise nicht enthaelt:
- EU-Datenresidenz: Verarbeitung erfolgt auf US-Infrastruktur
- Opt-in-Option fuer EU-only-Routing
- Regionale Standortbeschraenkung
Fuer Unternehmen mit EU-only-Anforderungen — regulierte Branchen (EBA-Outsourcing, Gesundheitswesen), B2B-Vertraege mit EU-Verarbeitungsklauseln, Berufsgeheimnisstraeger — reicht Claude Enterprise allein nicht aus. Einen Ueberblick ueber den Leistungsumfang des Plans finden Sie auf der Claude Enterprise Seite.
Die drei Bereitstellungswege — und was sie fuer die EU-Datenlokation bedeuten
Nicht jede Claude-Bereitstellung ist unter der DSGVO gleichwertig. Die Tabelle unten ordnet die vier Hauptwege nach Datenlokation und EU-only-Moeglichkeit:
| Bereitstellungsweg | Datenlokation Standard | EU-only moeglich? | AVV-Weg | Typischer Einsatz |
|---|---|---|---|---|
| claude.ai / Claude.com direkt | USA standardmaessig | Keine dedizierte EU-Option | Anthropic AVV (Team/Enterprise) | Einzel- und Team-Produktivitaet |
| Anthropic API direkt | USA standardmaessig | Keine dedizierte EU-Option | Anthropic Commercial DPA | Eigene Integrationen, Produktentwicklung |
| Claude ueber AWS Bedrock | Regionskonfigurierbar | Ja — Frankfurt, Irland, Paris | AWS AVV + Bedrock-Modellbedingungen | Enterprise mit bestehendem AWS-Setup |
| Claude ueber Google Vertex AI | Regionskonfigurierbar | Ja — Belgien, Niederlande, Polen u.a. | Google Cloud AVV | Enterprise mit bestehendem GCP-Setup |
Der wichtigste Punkt: EU-Hosting ist eine Architekturfrage, kein Produktmerkmal, das sich per Checkbox aktivieren laesst. Unternehmen mit EU-only-Anforderungen muessen ueber Bedrock oder Vertex AI deployen und Regionskonfiguration, Cross-Region-Inference-Einstellungen sowie angebundene Dienste einzeln pruefen.
Claude ueber AWS Bedrock — EU-Regionen im Detail
Fuer die meisten deutschen Unternehmen ist AWS Bedrock eu-central-1 (Frankfurt) die primaere Option fuer EU-lokale Claude-Verarbeitung. Die Region bietet geografische Naehe, fuegt sich in bestehende AWS-Governance- und Beschaffungsrahmen ein, und AWS bestaetigt, dass Kundendaten verschluesselt und im genutzten Betrieb in der jeweiligen Region gespeichert werden.
Wichtige Punkte fuer Legal und Einkauf:
- Primaere EU-Regionen: eu-central-1 (Frankfurt), eu-west-1 (Irland), eu-west-3 (Paris)
- Cross-Region-Inference-Profile: Bedrock unterstuetzt Cross-Region-Inference fuer Verfuegbarkeit und Latenz. Ist dieses Feature aktiv, kann Inferenz in andere Regionen ausserhalb Ihrer gewaenlten Region geroutet werden. Legal-Teams sollten pruefen, ob Cross-Region-Profile in ihrer Konfiguration aktiv sind. Wenn Ihre Datenresidenzpflicht strikte Regionsbindung erfordert, pruefen Sie vor dem Go-live diese Checkliste:
- Bestaetigen Sie, dass Cross-Region-Inference-Profile in Ihrer AWS-Bedrock-Konsole deaktiviert sind
- Vergewissern Sie sich, dass das gewaelte Inference-Profil auf Ihre Zielregion beschraenkt ist (z.B. nur eu-central-1 — kein Cross-Region-Routing)
- Dokumentieren Sie die Regionskonfigurationseinstellungen in Ihren internen Compliance-Unterlagen
- Pruefen Sie die Bedrock-Modellbedingungen fuer Anthropic-Modelle, um sicherzustellen, dass keine Daten die Zielregion fuer Inferenz oder Logging verlassen
- Vertragswechsel: Wer Claude ueber AWS Bedrock nutzt, schliesst den Hauptauftragsverarbeitungsvertrag mit AWS, nicht mit Anthropic. Der AWS-AVV und die Auftragsverarbeiter-Bedingungen nach Art. 28 DSGVO regeln die Infrastrukturschicht — ein wesentlicher Unterschied gegenueber einem direkten Anthropic-Kauf.
- Modell-Provider-Schicht bleibt bestehen: AWS veroeffentlicht eigene Drittanbieter-Modellbedingungen fuer Bedrock. Die Bedingungen fuer Anthropic-Modelle ueber Bedrock enthalten zusaetzliche Anforderungen zu zulassigem Einsatz. Einkauf und Legal muessen beide Schichten pruefen.
Eine vollstaendige Analyse des AWS-Rechtsrahmens finden Sie in unserem AWS Bedrock AVV und DSGVO-Leitfaden.
Claude ueber Google Cloud Vertex AI — EU-Regionen
Google Cloud Vertex AI ist der zweite bestaetigte EU-Hosting-Weg fuer Claude. Google hat Claude-Modelle in mehreren EU-Regionen bereitgestellt:
- europe-west1 (Belgien)
- europe-west4 (Niederlande)
- europe-central2 (Polen)
Je nach Modellverfuegbarkeit koennen weitere Regionen erhaeltlich sein.
Rechtlich laeuft das Vertex-AI-Setup unter dem AVV und dem DSGVO-Rahmen von Google Cloud, nicht unter den Anthropic-Commercial-Terms. Zentrale Pruefpunkte:
- Pruefen Sie, ob der anwendbare Google Cloud AVV Ihren konkreten Vertex-AI-Einsatz und Ihre Datenkategorien abdeckt
- Vergewissern Sie sich, welche EU-Region fuer die genutzte Claude-Modellversion verfuegbar ist
- Pruefen Sie die Subprozessoren-Liste von Google Cloud und beurteilen Sie, ob Zugriffe aus Drittlaendern eine Drittlandexposition erzeugen
- Stellen Sie sicher, dass Ihr Google-Cloud-Vertrag die benoetigt EU-Region-Einschraenkung enthaelt, oder ob eine zusaetzliche Konfiguration erforderlich ist
Unternehmen mit etabliertem Google Cloud Framework finden Vertex AI moeglicherweise den einfacheren Weg; AWS-First-Organisationen werden in der Regel Bedrock bevorzugen.
Direkte Anthropic API — was der Vertrag zur Datenlokation sagt
Wer die Anthropic API direkt nutzt, ohne Bedrock oder Vertex AI, laesst Daten in der US-Infrastruktur von Anthropic verarbeiten. Anthropics kommerzielle DPA adressiert dies ueber Standardvertragsklauseln (SCCs) als Transfermechanismus nach Kapitel V DSGVO — konkret die EU-SCCs gemaess Durchfuehrungs-beschluss 2021/914 der Kommission.
Was das in der Praxis bedeutet:
- SCCs sind ein anerkannter Transfermechanismus, bringen aber Pflichten mit sich. Unternehmen muessen ein Transfer Impact Assessment (TIA) durchfuehren, um zu pruefen, ob die SCCs angesichts des US-Rechts und von Ueberwachungsrahmen tatsaechlich wirksamen Schutz bieten.
- Fuer viele interne Produktivitaets-Workflows mit geringem Datenschutzrisiko koennen SCCs ueber die direkte Anthropic API akzeptabel sein.
- Fuer Workflows mit besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), grossen Mengen an Kundendaten oder branchenspezifisch regulierten Daten sind TIA und vertiefte rechtliche Pruefung erforderlich, bevor man sich allein auf SCCs stuetzt.
Die Praxisregel lautet: Wenn Ihre interne Richtlinie oder Kundenvertraege EU-only-Verarbeitung voraussetzen, genuegt die direkte Anthropic API nicht. Sind SCCs fuer Ihre Daten und Ihr Risikoprofil akzeptabel, kann die direkte API funktionieren — aber diese Entscheidung braucht rechtliche Beratung, keine Beschaffungsannahme.
Microsoft 365 Copilot und Claude — die EU Data Boundary Luecke
Ein wichtiger Hinweis fuer Unternehmen, die Microsoft 365 als geografischen DSGVO-Compliance-Rahmen nutzen: Die Microsoft 365 Copilot-Integration mit Claude ist seit Januar 2026 explizit von der Microsoft EU Data Boundary ausgenommen.
Das bedeutet konkret:
- Unternehmen, die Microsoft 365 Copilot nutzen und davon ausgehen, dass alle Copilot-KI-Dienste von der Microsoft EU Data Boundary erfasst sind, irren sich — Claude ist nicht eingeschlossen.
- Wenn Ihre Datenschutz-Policy die Microsoft EU Data Boundary als geografischen Compliance-Mechanismus nutzt, koennen Sie diese Annahme nicht auf Claude ueber Copilot ausweiten.
- Microsofts eigene Dokumentation bestaetigt diesen Ausschluss. Einkauf und Datenschutzverantwortliche sollten den aktuellen Geltungsbereich der Microsoft EU Data Boundary gegenueber KI-Tool-Integrationen pruefen, bevor sie diese pauschal als EU-konform behandeln.
Dies ist ein haeufig uebersehener Punkt in Beschaffungspruefungen. Die Microsoft EU Data Boundary erfasst einen definierten Kreis von Microsoft-Diensten — Drittanbieter-KI-Modelle, die ueber Copilot integriert werden, sind nicht automatisch einbezogen.
Entscheidungshilfe — welcher Weg passt?
| Szenario | Empfohlener Weg |
|---|---|
| EU-only erforderlich, AWS-Vertrag vorhanden | Claude ueber AWS Bedrock (Frankfurt eu-central-1) |
| EU-only erforderlich, Google Cloud vorhanden | Claude ueber Vertex AI (EU-Region) |
| SCCs akzeptabel, keine EU-only-Pflicht | Direkte Anthropic API mit TIA |
| Microsoft 365 Copilot im Einsatz | EU Data Boundary deckt Claude nicht ab — separat pruefen |
| Hybrid (teils EU-only, teils nicht) | Bedrock / Vertex AI fuer EU-sensible Workflows; API fuer andere |
Die richtige Wahl haengt von Ihrer bestehenden Cloud-Infrastruktur, Ihrem Beschaffungsrahmen und den Datenkategorien ab, die Sie verarbeiten moechten. Fuer die meisten deutschen Unternehmen mit bestehendem AWS-Umfeld ist Bedrock der reibungsaermste EU-Hosting-Weg fuer Claude.
Was EU-Hosting allein nicht loest
Die Wahl eines EU-gehosteten Bereitstellungswegs ist ein notwendiger Schritt fuer die geografische Compliance — aber keine vollstaendige DSGVO-Loesung fuer sich genommen.
Auch mit Bedrock Frankfurt oder Vertex AI in der EU brauchen Sie:
- Einen gueltigen AVV (Auftragsverarbeitungsvertrag): Entweder den AWS-AVV fuer Bedrock, den Google Cloud AVV fuer Vertex AI oder den Anthropic Commercial DPA fuer den direkten Einsatz. Der Vertrag muss die tatsaechliche Verarbeitungssituation widerspiegeln.
- Eine Subprozessoren-Pruefung: AWS und Google fuehren Subprozessoren-Listen. Legal sollte sicherstellen, dass etwaige Drittlandzugriffe durch den jeweils anwendbaren Transfermechanismus gedeckt sind.
- Eine DSFA (Datenschutz-Folgenabschaetzung) wo erforderlich: Art. 35 DSGVO verlangt eine DSFA, wenn die Verarbeitung voraussichtlich ein hohes Risiko fuer betroffene Personen mit sich bringt. EU-Hosting reduziert das Transferrisiko, beseitigt aber nicht den DSFA-Ausloesungsgrund.
- Interne Nutzungsregeln: Welche Daten an Claude uebermittelt werden duerfen, von wem, unter welchen Bedingungen und mit welchen Datensparsamkeitsmassnahmen — das muss unabhaengig von der geografischen Region dokumentiert sein.
- Betriebsratsbeurteilung wo erforderlich: Gemaess § 87 Abs. 1 Nr. 6 BetrVG koennen mitarbeiterbezogene Claude-Einsaetze in Deutschland Mitbestimmungsrechte ausloesen. Das EU-Hosting hat keinen Einfluss auf diese Analyse.
Den Anthropic AVV und seine Regelungen zu Drittlandtransfers finden Sie in unserem Claude-AVV-Leitfaden. Eine vollstaendige DSGVO- und Beschaffungspruefung fuer Claude finden Sie in unserem Claude Enterprise Deutschland-Leitfaden.
FAQ
Bietet claude.ai EU-Server an?
Nein, nicht zum Stand April 2026. Der direkte Zugang ueber claude.ai oder die Anthropic API laeuft standardmaessig ueber US-Infrastruktur. Unternehmen mit EU-only-Anforderungen koennen die Consumer- oder Standard-API-Produkte dafuer nicht nutzen.
Welche AWS-Bedrock-Region liegt Deutschland am naechsten?
Die primaere Region fuer deutsche Unternehmen ist eu-central-1 in Frankfurt. Dies ist die Standardwahl fuer Organisationen, die deutsche oder EU-nahe Datenverarbeitung benoetigen. Irland (eu-west-1) und Paris (eu-west-3) sind zusaetzliche EU-Optionen.
Aendert der Wechsel zu Bedrock die Rechtslage beim AVV?
Ja — der Wechsel zu Claude ueber AWS Bedrock bedeutet, dass der Hauptverarbeitungsvertrag auf AWS uebergeht, nicht auf Anthropic. Der AWS-AVV regelt die Infrastrukturschicht, und die Anthropic-Modellbedingungen gelten darueber hinaus. Das ist eine andere Rechtsstruktur als ein direkter Anthropic-Kauf und benoetigt eine eigene Pruefung.
Ist Google Vertex AI DSGVO-konform fuer Claude?
Vertex AI operiert im DSGVO-Rahmen von Google Cloud, der EU-Infrastruktur und eine AVV-Struktur bietet. Ob eine konkrete Claude-Bereitstellung ueber Vertex AI DSGVO-konform ist, haengt von Konfiguration, genutzter EU-Region und den Datenkategorien ab. Individuelle rechtliche Beratung ist empfehlenswert.
Ist Claude Enterprise DSGVO-konform?
Claude Enterprise bietet einen kommerziellen AVV und Standardvertragsklauseln (SCCs) als Transfermechanismus nach Kapitel V DSGVO. Der Plan ist nicht per se DSGVO-rechtswidrig, enthaelt aber keine EU-Datenresidenz. Fuer EU-only-Anforderungen (B2B-Vertraege, regulierte Branchen, Berufsgeheimnisstraeger) reicht Claude Enterprise allein nicht aus — ein Bedrock- oder Vertex-AI-EU-Deployment ist erforderlich.
Ist EU-Datenresidenz dasselbe wie EU-Hosting im DSGVO-Sinne?
Nein — es handelt sich um rechtlich unterschiedliche Konzepte. EU-Hosting bedeutet, dass Infrastruktur (Server, Rechenzentren) physisch in der Europaeischen Union liegt. EU-Datenresidenz ist eine vertragliche Garantie, dass Daten unter keinen betrieblichen Umstaenden aus der definierten Jurisdiktion herausgefuehrt werden. Viele Unternehmens-Beschaffungsvertraege, regulierte Branchen (Banken, Gesundheitswesen, Telekommunikation) und oeffentliche Vergaberahmen verlangen eine Datenresidenzgarantie — nicht nur geografisch nahe Infrastruktur. Ohne vertragliche Zusage stellt EU-gehostete Infrastruktur allein keine Datenresidenz dar.
Enthaelt Claude Enterprise EU-Datenresidenz?
Nein. Der ueber claude.ai genutzte Claude-Enterprise-Plan laeuft auf US-Infrastruktur und enthaelt keine EU-Datenresidenz als Produktmerkmal. EU-Datenresidenz fuer Claude erfordert ein eigenes Deployment ueber AWS Bedrock EU-Profile oder Google Cloud Vertex AI EU-Regionen. Dies aendert auch die Rechtsstruktur: Der primaere Verarbeitungsvertrag wechselt von Anthropic zu AWS oder Google Cloud. Beschaffungsteams, die Claude Enterprise fuer regulierte Branchen oder B2B-Vertraege evaluieren, sollten diese Unterscheidung vorab klaeren.
Genuegt AWS Bedrock Frankfurt fuer EU-Datenresidenz nach DSGVO?
Fuer die meisten Anwendungsfaelle ja — bei korrekter Konfiguration. AWS eu-central-1 (Frankfurt) bestaetigt, dass Kundendaten in der Region verarbeitet und im Ruhezustand gespeichert werden. Die zentrale Konfigurationsanforderung ist, dass Cross-Region-Inference-Profile deaktiviert und das Deployment auf eu-central-1 beschraenkt sind. Ob die Frankfurter Datenresidenz fuer Ihre spezifische Pflicht — etwa eine B2B-Vertragsklausel, regulatorische Anforderung oder interne Richtlinie — rechtlich ausreicht, haengt vom genauen Wortlaut ab und erfordert bei weitreichenden Entscheidungen individuelle Rechtsberatung.
