Zum Inhalt springen
claude-os
Ratgeber

Ist Claude DSGVO-konform?

Die Kurzantwort: Ja, Claude kann DSGVO-konform eingesetzt werden — mit dem richtigen Vertrag, sauberer Dokumentation und definierten Prozessen. Als zertifizierter Datenschutzbeauftragter führe ich dich in diesem Ratgeber durch die komplette Compliance-Landkarte: rechtliche Grundpfeiler, Datentransfer in die USA nach 2025, Plan-Wahl nach Branche, Verarbeitungsverzeichnis und TOMs, DSFA-Schwellen, Mitarbeiter-Pflichten und die 5 häufigsten Fehler im Mittelstand.

MS
Manuel Streit
· · 15 min Lesezeit

Das Wichtigste in 60 Sekunden

  • Claude ist DSGVO-tauglich — bei sauberer Vertragsgestaltung und Dokumentation.
  • Pflicht-Bausteine: AVV mit Anthropic, SCCs, Verarbeitungsverzeichnis, TOMs, Mitarbeiter-Arbeitsanweisung.
  • Datentransfer USA: Über das EU-US Data Privacy Framework (Anthropic zertifiziert) oder SCCs abgesichert.
  • Free-Plan ist tabu für Unternehmen. Pro/Team/Enterprise — alles andere ist rechtlich heikel.
  • Sensible Daten (Gesundheit, HR, Finanzen, Mandant): Enterprise mit EU-Data-Residency.
  • DSB-Pflicht: Ab 20 MA mit regelmäßiger Datenverarbeitung. Externer DSB oft besser als interner.
  • 72-Stunden-Frist bei Datenpanne — also vorher Prozesse definieren, nicht im Ernstfall improvisieren.

Die drei rechtlichen Grundpfeiler

  1. AVV (Auftragsverarbeitungsvertrag) mit Anthropic. Anthropic stellt einen EU-Standard-AVV bereit, der direkt in der Admin-Konsole abrufbar und gegen-zeichenbar ist. Typische Durchlaufzeit: 1–3 Werktage. Wichtig: AVV muss vor produktiver Nutzung unterschrieben sein.
  2. Standardvertragsklauseln (SCCs) für Datentransfer in Drittländer. Anthropic liefert die aktuellen EU-Varianten als Anhang zum AVV mit. Backup-Mechanismus, falls das Data Privacy Framework wackeln sollte.
  3. Verarbeitungsverzeichnis nach Art. 30 DSGVO. Diesen Punkt müsst ihr selbst pflegen — Claude wird als Auftragsverarbeiter für „KI-gestützte Texterstellung / Datenanalyse / …“ eingetragen, mit Datenkategorien, Zweck, Empfängern, Löschfristen. Wir liefern Vorlagen.

Diese drei zusammen sind das Minimum. Ohne sie ist eine produktive Claude-Nutzung mit personenbezogenen Daten formal nicht zulässig.

Datenübermittlung in die USA — Stand 2026

Seit dem EU-US Data Privacy Framework (Juli 2023) ist der Datentransfer in die USA wieder zulässig — vorausgesetzt, der Empfänger ist zertifiziert. Anthropic ist unter dem Framework zertifiziert (Stand 2026 unverändert, prüfbar auf dataprivacyframework.gov).

Zusätzlich vereinbaren wir mit Anthropic SCCs als Belt-and-Braces-Absicherung: Sollte das Framework gerichtlich gekippt werden (Schrems III ist seit Jahren in Vorbereitung), greift dieser Backup-Mechanismus weiter.

Für Branchen mit besonders hohen Anforderungen (Gesundheit, Behörden, Finanzdienstleister) empfehlen wir Claude Enterprise mit EU-Data-Residency: Daten werden ausschließlich in EU-Rechenzentren (AWS Frankfurt oder Google Cloud Europe) verarbeitet. Damit entfällt die Drittland-Übermittlung in der Praxis weitgehend — und die Compliance-Argumentation gegenüber Aufsichtsbehörden wird deutlich einfacher.

Zero-Retention und Training auf euren Daten

Anthropic nutzt eure Daten in API-, Team- und Enterprise-Plänen standardmäßig nicht fürs Training. Auch bei Pro nicht, sofern ihr nicht aktiv ein Opt-in setzt. Beim Free-Plan ist die Lage vorsichtshalber als „nicht garantiert“ einzustufen — daher für Unternehmen tabu.

Zusätzlich lässt sich Zero-Retention aktivieren — Daten werden innerhalb von 30 Tagen gelöscht (statt der Standard-Speicherung von 90 Tagen für Abuse-Erkennung). Im Enterprise-Plan ist das ein einfacher Toggle, in API-Workspaces bei Bedarf konfigurierbar.

Praxis-Empfehlung für KMU:

  • Standard-Setup: Pro/Team mit normalen Speicher-Defaults — reicht für die meisten Anwendungen.
  • Erhöhter Schutz: Enterprise + Zero-Retention + EU-Residency — für regulierte Branchen.
  • Niemals Free für produktive Daten — selbst kurzes Testen nicht.

Pläne im DSGVO-Vergleich

DSGVO-AspektProTeamEnterprise
AVV verfügbarjajaja, individuell
SCCsStandardStandardindividuell anpassbar
Training auf euren Datennein (Default)neinnein, vertraglich
Zero-Retentioneingeschränkteingeschränktja, konfigurierbar
EU-Data-Residencyneinneinja (Option)
Audit-LogsneinbasicSIEM-export
SSO + MFA-Pflichtneinneinja

Mehr zum Plan-Vergleich: Claude Pro vs. Team vs. Enterprise.

Verarbeitungsverzeichnis und TOMs

Verarbeitungsverzeichnis (Art. 30 DSGVO)

Pflicht-Eintrag für jede Claude-Verarbeitung. Mindest-Inhalt:

  • Verarbeitungstätigkeit: z. B. „KI-gestützte Erstellung von Marketing-Texten“.
  • Zweck: Textgenerierung, Recherche-Unterstützung.
  • Datenkategorien: personenbezogene Daten (Namen, Mailadressen, ggf. besondere Kategorien).
  • Betroffene: Mitarbeiter, Kunden, Interessenten.
  • Empfänger: Anthropic PBC, USA — als Auftragsverarbeiter.
  • Drittland-Übermittlung: ja, USA, abgesichert per Data Privacy Framework + SCCs.
  • Löschfristen: entsprechend Anthropic-Default oder Zero-Retention.
  • Technische und organisatorische Maßnahmen (TOMs): Verweis aufs TOM-Dokument.

TOMs für Claude

Mindest-Bausteine für die TOMs:

  • Zugangskontrolle (Pro-Account pro MA, MFA verpflichtend, SSO bei Enterprise).
  • Datenträgerkontrolle (keine Speicherung sensibler Daten lokal).
  • Eingabekontrolle (Logging, Audit, Mitarbeiter-Anweisung).
  • Auftragskontrolle (AVV mit Anthropic, regelmäßige Prüfung).
  • Verfügbarkeitskontrolle (Anthropic-Uptime, Backup-Strategie für eigene Daten).

Mitarbeiter-Arbeitsanweisung: Was darf rein, was nicht?

Der wichtigste praktische Schutz ist eine klare Arbeitsanweisung. Vorlage, die wir bei Kunden ausrollen:

Erlaubt

  • Allgemeine Recherchen, Branchen-Wissen, Konzepte.
  • Anonymisierte Texte (ohne Klarnamen, Aktenzeichen, Diagnosen).
  • Eigene Texte und nicht-vertrauliche Firmen-Inhalte.
  • Code, der keine Secrets enthält.

Verboten

  • Klarnamen-Dateien von Kunden, Patienten, Mandanten ohne Anonymisierung.
  • Personalakten, Bewerbungen, Bewertungen.
  • Finanzdaten mit Klarbezug (Kontonummern, Steuer-IDs).
  • Besondere Kategorien personenbezogener Daten (Gesundheit, Religion, sexuelle Orientierung) ohne explizite DSFA und Rechtsgrundlage.
  • Geschäftsgeheimnisse, Source-Code für sicherheitskritische Systeme.

Generelle Verhaltensregel

„Im Zweifel anonymisieren oder weglassen.“ Lieber dem Mitarbeiter beibringen, wie er Personenbezug rausnimmt, bevor er einen Text in Claude wirft.

Datenschutz-Folgenabschätzung (DSFA)

Eine DSFA wird Pflicht, wenn die Verarbeitung „voraussichtlich ein hohes Risiko für Rechte und Freiheiten“ mit sich bringt. Bei Claude relevant für:

  • Verarbeitung besonderer Kategorien (Gesundheit, Genetik, Religion, biometrische Daten).
  • Systematische Bewertung von Personen (Scoring, Profiling).
  • Großvolumige automatisierte Entscheidungen mit Rechtsfolgen.
  • Verarbeitung von Mitarbeiterdaten in HR-Kontexten.

Im Mittelstand sind DSFAs oft nicht zwingend, aber dringend ratsam. Wir liefern Vorlagen, in denen Risiken, Maßnahmen und Restrisiko strukturiert dokumentiert sind. Die Aufsichtsbehörden in NRW und Bayern haben spezielle Hinweisblätter zu KI-DSFAs veröffentlicht — wir orientieren uns daran.

Mitarbeiter-Schulung — Pflicht oder Kür?

Pflicht. Art. 39 DSGVO und Art. 32 DSGVO verlangen Sensibilisierung der Mitarbeiter, die personenbezogene Daten verarbeiten. Bei KI-Tools ist das besonders kritisch, weil Mitarbeiter oft nicht erkennen, dass Daten an einen Drittanbieter fließen.

Sinnvolle Inhalte einer Schulung:

  • Was ist Claude technisch? Wo gehen die Daten hin?
  • Was darf rein, was nicht? Konkrete Beispiele aus eurem Alltag.
  • Anonymisierungs-Techniken.
  • Was tun, wenn versehentlich sensible Daten reingegeben wurden?
  • An wen wendet man sich bei Fragen? (DSB, IT, Compliance.)

Wir machen für Kunden Live-Schulungen (60–90 Min, online oder vor Ort) plus kurze Selbst-Lern-Module — inklusive Teilnahme-Nachweis fürs Audit-Trail.

Datenpanne: 72-Stunden-Frist und Eskalation

Bei einer Datenpanne (Art. 33 DSGVO) müsst ihr binnen 72 Stunden die Aufsichtsbehörde informieren — sonst drohen Bußgelder. Praktischer Eskalations-Plan:

  1. Sofort: Vorfall dokumentieren (was, wann, wer, welche Daten, welche Quelle).
  2. Innerhalb 1 Std: DSB informieren, technische Eindämmung (Account sperren, Anthropic-Support kontaktieren).
  3. Innerhalb 24 Std: Risikobewertung — sind betroffene Personen betroffen? Wenn ja: Benachrichtigung vorbereiten.
  4. Innerhalb 72 Std: Meldung an Aufsichtsbehörde (z. B. LDI NRW), wenn Risiko vorliegt.
  5. Nachgelagert: Ursachenanalyse, Prozess-Änderungen, Dokumentation.

Als externer DSB übernehmen wir Punkte 2–5 für Kunden komplett: DSGVO-Service.

Branchenspezifika

Gesundheitswesen

§ 22 BDSG, § 203 StGB Schweigepflicht, KHZG. Anonymisierung essenziell. Enterprise mit EU-Residency Pflicht.

Recht und Mandantenarbeit

§ 43e BRAO, § 203 StGB. Mandantengeheimnis. Spezielle anwaltsspezifische AVV-Klauseln. Enterprise + EU-Residency.

Finanzdienstleistung

BaFin BAIT/MaRisk, KWG, GwG. Audit-Logs Pflicht, dokumentierte Prozesse, regelmäßige Risikobewertungen.

Öffentliche Hand

Landesdatenschutzgesetze (z. B. DSG NRW), VS-NfD-Vorgaben. Oft Enterprise + zusätzliche Hosting-Anforderungen (BSI C5, ggf. eigene Cloud).

Personalwirtschaft

BetrVG (Mitbestimmung bei KI-Einsatz), § 26 BDSG. Betriebsvereinbarung erforderlich, Betriebsrat einbinden.

Brauche ich einen Datenschutzbeauftragten?

DSB-Pflicht besteht nach Art. 37 DSGVO und § 38 BDSG bei:

  • Behörden und öffentlichen Stellen (immer).
  • Unternehmen mit ≥ 20 Mitarbeitern, die personenbezogene Daten regelmäßig verarbeiten.
  • Kerntätigkeit ist umfangreiche Verarbeitung besonderer Datenkategorien.
  • Profiling/Scoring-Tätigkeiten mit hohem Risiko.

Externer DSB ist meist günstiger und kompetenter als interner — ein zertifizierter DSB kostet im Mittelstand 200–800 €/Monat (je nach Größe), spart aber Bußgeld-Risiken im fünfstelligen Bereich. Wir bieten DSB-Mandate für Claude-nutzende KMU im Paket: DSGVO-Service.

Die 5 häufigsten Fehler im Mittelstand

  1. Kein AVV abgeschlossen. Häufigster Fehler. „Wir zahlen ja über Kreditkarte“ — reicht nicht. Ohne AVV ist die Verarbeitung formal unzulässig.
  2. Free-Accounts im produktiven Einsatz. Aus Bequemlichkeit oder Sparsamkeit — ein Bußgeld kostet das 100-Fache.
  3. Kein Verarbeitungsverzeichnis. Pflicht nach Art. 30 DSGVO, Aufsichtsbehörden fragen das im Audit als erstes.
  4. Keine Mitarbeiter-Schulung. Im Ernstfall haftet die Geschäftsführung — selbst wenn ein einzelner Mitarbeiter Mist gebaut hat.
  5. Kundendaten aus Bequemlichkeit eingegeben. Ein einziger Vorfall („Kollege hat den ganzen Bewerbungs-Pool in Claude gekippt“) kann reichen.

Alle 5 Fehler haben gemeinsam: sie sind in einer Stunde Setup vermeidbar. Wir machen genau das.

Nächster Schritt

Wenn ihr Claude DSGVO-konform einführen wollt — wir liefern das komplette Paket: AVV-Vermittlung, Verarbeitungsverzeichnis, TOMs, Mitarbeiter-Anweisung, Schulung, optional externer DSB. Typischer Aufwand: 5.000–12.000 € einmalig + 200–800 €/Monat DSB-Mandat. DSGVO-Service anfragen oder 30-Min-Erstgespräch buchen.

Häufige Fragen

Noch offene Punkte?

Schreib uns auf hello@claude-os.de — oder buche direkt einen Termin, wir nehmen uns Zeit.

Brauche ich einen Datenschutzbeauftragten, wenn ich Claude einführe?
Pflichtig bist du ab 20 Mitarbeitern mit regelmäßiger Datenverarbeitung. Ein externer DSB ist oft günstiger und kompetenter als interne Lösungen. Mehr: DSGVO-Service.
Was tun bei einer Datenpanne?
72-Stunden-Meldepflicht an die Aufsichtsbehörde. Sofort Vorfall dokumentieren, DSB informieren, technisch eindämmen. Als externe DSB-Betreuung übernehmen wir Meldung und Dokumentation komplett.
Reicht der Anthropic-Standard-AVV, oder brauche ich was Eigenes?
Für die meisten KMU reicht der Standard-AVV. Bei besonderen Branchen (Gesundheit, Anwaltschaft, Behörden) verhandeln wir Zusatz-Klauseln im Enterprise-Vertrag.
Was ist mit dem EU-AI-Act?
Claude fällt für die meisten typischen KMU-Use-Cases unter „Limited Risk“ oder „Minimal Risk“ — keine zusätzliche Pflichten über die DSGVO hinaus. Bei Hochrisiko-Anwendungen (HR-Entscheidungen, Kreditbewertung) gelten zusätzliche Transparenz- und Dokumentations-Pflichten ab 2026.
Kann ich Claude nutzen, wenn ich Mandanten- oder Patientendaten verarbeite?
Ja, aber nur mit Anonymisierung oder mit Einwilligung der Betroffenen. Für Anwaltschaft und Gesundheitswesen empfehlen wir Enterprise + EU-Residency und zusätzliche organisatorische Maßnahmen (Schulung, Audit-Logs, DSFA).
Wie hoch ist das Bußgeld-Risiko?
Bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. Euro. In der Praxis verhängen DSGVO-Behörden bei KMU oft 5- bis 6-stellige Bußgelder, dazu kommen Schadensersatzforderungen Betroffener.
Funktioniert Claude mit dem deutschen IT-Sicherheitsgesetz / KRITIS?
Mit Enterprise + EU-Residency + zusätzlichen Maßnahmen ja. Bei kritischen Infrastrukturen empfehlen wir vorgelagerte n8n-Schicht (Daten vorfiltern, anonymisieren) und ein eigenes Audit-Setup.
Wie kontrolliere ich, ob Mitarbeiter sich an die Vorgaben halten?
In Team/Enterprise: Audit-Logs (Wer hat wann was reingegeben?). In Pro-Setups: Stichproben + Schulungs-Auffrischung. Wir richten für Kunden ein quartalsweises DSGVO-Audit ein.

Noch Fragen zu Claude DSGVO-konform?

Wir beraten ehrlich — 30 Minuten, unverbindlich.

Termin buchen