Claude Team Datenschutz: AVV und DSGVO-Konformität im Überblick

Kurzantwort

Claude Team enthält einen AVV und erfüllt die Grundvoraussetzungen für den DSGVO-konformen Einsatz. Einschränkungen bestehen bei EU-Datenresidenz, Zero Data Retention und Sicherheitskontrollen. Ob der Tarif ausreicht, hängt vom Anwendungsfall und den Datenkategorien ab.

• Claude Team enthält einen AVV — Free- und Pro-Tarife erhalten keinen. Mindestens Team ist für geschäftliche DSGVO-Nutzung erforderlich.
• EU-Datenresidenz und Zero Data Retention sind bei Claude Team nicht verfügbar — das schränkt die Eignung für sensible Daten ein.
• Art.-9-Daten, strenge Vertraulichkeit oder Audit-Log-Pflicht erfordern Claude Enterprise oder eine erweiterte Einzelfallprüfung.

Claude Team enthält einen Auftragsverarbeitungsvertrag (AVV) und erfüllt damit die Grundvoraussetzung für den DSGVO-konformen Einsatz in Unternehmen — anders als die Consumer-Tarife Free und Pro. Die entscheidenden Einschränkungen liegen bei EU-Datenresidenz, Zero Data Retention und erweiterten Sicherheitskontrollen, die erst ab Claude Enterprise verfügbar sind. Ob der Team-Tarif für Ihr Unternehmen ausreicht, hängt davon ab, welche Daten verarbeitet werden und welche Compliance-Anforderungen gelten.

Dieser Beitrag ist allgemeine rechtliche Information und keine Rechtsberatung für den Einzelfall. Für eine vollständige DSGVO-Prüfung des Claude-Einsatzes empfehlen wir unsere Seiten zum Claude AVV und zu Claude Enterprise.

Was ist Claude Team?

Claude Team ist der kommerzielle Gruppenplan von Anthropic für mindestens fünf Nutzerinnen und Nutzer. Er richtet sich an Agenturen, kleine und mittlere Unternehmen sowie Teams, die KI-gestützte Arbeit in einem verwalteten Unternehmenskontext einsetzen wollen — ohne die Komplexität einer Enterprise-Implementierung.

Wesentliche Merkmale von Claude Team:

• Mindestanzahl: 5 Nutzerinnen und Nutzer
• Konversationen: werden nicht für das Modelltraining verwendet
• AVV: automatisch in die Commercial Terms einbezogen
• Verwaltung: zentrales Team-Dashboard zur Nutzerverwaltung
• Modellzugang: Zugang zu den leistungsfähigsten Claude-Modellen

Claude Team unterscheidet sich von Claude Pro (persönlicher Einzeltarif, kein AVV) und von Claude Enterprise (erweiterter Unternehmensplan mit SSO, Audit-Logs, Zero Data Retention und konfigurierbarer Datenlokation).

Enthält Claude Team einen AVV?

Ja. Anthropic stellt für alle kommerziellen Produkte — Team, Enterprise und API — automatisch einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO bereit. Dieser ist in die Anthropic Commercial Terms eingebettet und gilt ab dem 1. Januar 2026. Eine gesonderte Unterzeichnung oder Verhandlung ist beim Standardeinsatz nicht erforderlich.

Wichtig: Free- und Pro-Tarife erhalten keinen AVV. Unternehmen, die auf diesen Tarifen personenbezogene Daten verarbeiten, handeln ohne vertragliche Grundlage für die Auftragsverarbeitung — das ist aus datenschutzrechtlicher Sicht nicht vertretbar.

Den AVV rufen Sie elektronisch über das Anthropic-Kundenportal unter console.anthropic.com ab. Er liegt nicht als separates PDF zum Download vor. Ausführliche Informationen zum Inhalt und zur Prüfung des AVV finden Sie auf unserer Seite zum Claude AVV.

Der AVV deckt die wesentlichen Pflichtinhalte nach Art. 28 DSGVO ab:

• Gegenstand, Dauer und Zweck der Verarbeitung
• Weisungsgebundenheit von Anthropic
• Vertraulichkeitspflichten
• Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
• Regelungen zu Unterauftragsverarbeitern (Subprozessoren)
• Unterstützung bei Betroffenenrechten
• Löschung und Rückgabe nach Vertragsende
• Standardvertragsklauseln (SCCs) für Drittlandtransfers

Ist Claude Team DSGVO-konform?

Claude Team kann DSGVO-konform eingesetzt werden — allerdings mit Einschränkungen, die für einen Teil der Unternehmensszenarien relevant sind. Die folgende Übersicht zeigt, wie sich die Tarife unterscheiden:

Merkmal	Claude Free / Pro	Claude Team	Claude Enterprise
AVV verfügbar	Nein	Ja	Ja
EU-Datenresidenz	Nein	Nein	Konfigurierbar (via Bedrock / Vertex)
Zero Data Retention	Nein	Nein	Konfigurierbar
SSO / SCIM	Nein	Nein	Ja
Audit-Logs	Nein	Nein	Ja
Trainingsausschluss	Nein	Ja	Ja
Mindestnutzer	—	5	Individuell

Die entscheidende Erkenntnis: Claude Team erfüllt die Mindestvoraussetzung für DSGVO-konformen Geschäftseinsatz (AVV, Trainingsausschluss), bietet aber keine erweiterten Sicherheitskontrollen. Wer EU-Datenlokation vertraglich absichern muss oder Zero Data Retention für sensible Projekte benötigt, kommt mit Claude Team an Grenzen.

Für welche Daten eignet sich Claude Team?

Die Eignung von Claude Team hängt stark von den verarbeiteten Datenkategorien ab.

Geeignet — in der Regel unkritisch:

• Interne Dokumente ohne oder mit minimalem Personenbezug
• Produktivitätsaufgaben (Textentwürfe, Zusammenfassungen, Übersetzungen)
• Interne Analysen und Recherchen ohne Kundenbezug
• Allgemeines Wissensmanagement und Onboarding-Materialien

Mit Vorsicht — individuelle Prüfung empfohlen:

• Allgemeine Kundenkommunikation mit begrenztem Personenbezug
• Mitarbeiterdaten für nicht-bewertende, administrative Zwecke
• Vertragsentwürfe ohne besonders vertrauliche Inhalte

Nicht empfohlen — Claude Enterprise oder individuelle Prüfung erforderlich:

• Besondere Kategorien nach Art. 9 DSGVO (Gesundheit, Biometrie, Gewerkschaftszugehörigkeit, Strafverfolgung)
• Streng vertrauliche Geschäftsdokumente (M&A, Term Sheets, Vorstandsunterlagen)
• Finanz-, Bank- oder Patientendaten
• Workflows, bei denen EU-exklusive Verarbeitung vertraglich zugesichert sein muss
• HR-Entscheidungen mit Überwachungs- oder Profiling-Effekt

Die Grenze ist nicht immer eindeutig. Bei Unsicherheit gilt: Je sensibler die Daten, desto stärker sollte die Prüfung auf Claude Enterprise oder eine juristisch begleitete Einzelfallbewertung ausgerichtet sein.

Wann reicht Claude Team nicht aus?

Die folgende Entscheidungshilfe zeigt, wann Claude Team ausreicht und wann Claude Enterprise die bessere Wahl ist:

Anforderung	Claude Team ausreichend?	Empfehlung
AVV nach Art. 28 DSGVO	Ja	Team ausreichend
Trainingsausschluss	Ja	Team ausreichend
EU-Datenresidenz vertraglich erforderlich	Nein	Enterprise + AWS Bedrock EU
Zero Data Retention für sensible Projekte	Nein	Enterprise (konfigurierbar)
Audit-Logs für Compliance-Nachweise	Nein	Enterprise
SSO / SCIM-Provisioning	Nein	Enterprise
Art.-9-Daten oder M&A-Unterlagen	Nein	Enterprise + individuelle Prüfung
Interne, nicht-sensible Workflows	Ja	Team ausreichend

Für einen vollständigen Vergleich der Datenschutzmerkmale beider Tarife empfehlen wir unsere Seite zu Claude Enterprise. Informationen zur EU-Datenresidenz und den verfügbaren Bereitstellungswegen finden Sie auf unserer Seite zu Claude EU-Hosting.

Praktische Datenschutz-Checkliste für Claude Team

Vor dem unternehmensweiten Rollout von Claude Team sollten die folgenden sieben Schritte abgearbeitet sein:

1. AVV einsehen und dokumentieren. Rufen Sie die aktuelle Fassung der Anthropic Commercial Terms über console.anthropic.com ab und halten Sie den Abruf intern dokumentiert.

2. Unterauftragsverarbeiter prüfen. Fordern Sie die aktuelle Subprozessorliste von Anthropic an und gleichen Sie sie mit Ihrem internen Vendor-Register ab. Prüfen Sie insbesondere, ob Unterauftragsverarbeiter außerhalb des EWR involviert sind.

3. Standardvertragsklauseln für Drittlandtransfer prüfen. Anthropic verarbeitet Daten nicht ausschließlich im EWR. Die SCCs sind in die Commercial Terms einbezogen — stellen Sie sicher, dass dieser Transfermechanismus in Ihrem Verzeichnis der Verarbeitungstätigkeiten dokumentiert ist.

4. Verzeichnis der Verarbeitungstätigkeiten aktualisieren. Ergänzen Sie Claude Team als neuen Auftragsverarbeiter mit Zweck, Datenkategorien, betroffenen Personengruppen, Transfermechanismus und Speicherfristen.

5. DSFA-Schwellenwertprüfung durchführen. Für eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist eine systematische, umfangreiche automatisierte Verarbeitung mit Profiling ein typisches Auslösekriterium. Prüfen Sie, ob Ihr geplanter Claude-Einsatz diesen Schwellenwert erreicht.

6. Mitarbeitende informieren und Nutzungsrichtlinien festlegen. Legen Sie intern fest, welche Datenkategorien in Claude Team eingegeben werden dürfen und welche ausgeschlossen sind. Schulen Sie Ihre Mitarbeitenden entsprechend.

7. Verbotene Datenkategorien kommunizieren. Stellen Sie sicher, dass Art.-9-Daten, Geschäftsgeheimnisse und besonders vertrauliche Dokumente nicht in Claude Team verarbeitet werden, solange kein entsprechender Freigabeprozess besteht.

Wann reicht allgemeine Information nicht aus?

Die in diesem Leitfaden enthaltenen Informationen beschreiben den typischen Standardfall. Eine vertiefte rechtliche Prüfung ist in der Regel erforderlich, wenn:

• Regulierte Branche: Ihr Unternehmen ist im Finanz-, Gesundheits- oder Versicherungsbereich tätig, wo branchenspezifische Anforderungen über die DSGVO hinausgehen.
• Großangelegte Verarbeitung: Claude Team wird für umfangreiche Kundenkommunikation, HR-Auswertungen oder Profiling eingesetzt.
• Besondere Datenkategorien: Personenbezogene Daten nach Art. 9 DSGVO sind involviert.
• Strikte Datenlokation: Vertragliche oder regulatorische Vorgaben fordern EU-exklusive Verarbeitung.
• Betriebsrat: Ihr Unternehmen hat einen Betriebsrat, der bei Einführung technischer Überwachungs- oder Analysesysteme Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG hat.

In diesen Situationen löst der AVV von Anthropic die Compliance-Frage nicht allein. Entscheidend ist, ob der konkrete Workflow unter DSGVO, Vertragsrecht und internen Governance-Regeln tragfähig ist.

Compound Law berät Unternehmen, Gründerinnen und Gründer sowie In-house-Teams in Deutschland zu DSGVO, KI-Procurement und Commercial Contracts. Wenn Sie Claude Team oder einen anderen KI-Einsatz vor dem Rollout prüfen möchten, kontaktieren Sie uns.

---

Dieser Leitfaden stellt allgemeine rechtliche Informationen bereit und ersetzt keine individuelle Rechtsberatung. Konkrete Datenschutzprüfungen — insbesondere DSFA-Entscheidungen und Vertragsanalysen — erfordern eine auf Ihren Anwendungsfall zugeschnittene Beratung.