Anthropic & DSGVO — Leitfaden

Wie wir Claude und die Anthropic-API datenschutzkonform nutzen — insbesondere wenn Kundendaten durch die Modelle laufen (Vibe Factory, Becker Stahl, Icking).

Produkt-Matrix — was ist erlaubt wofuer

Produkt	Training auf Daten?	Retention (default)	Datenstandort	DSGVO-tauglich fuer Kundendaten?
Claude.ai Free/Pro/Max	Ja (Opt-out seit 09/2025)	bis 5 Jahre (30 Tage wenn Opt-out)	USA	Nein
Claude.ai Team/Enterprise	Nein	30 Tage	USA	Ja (mit DPA)
Anthropic API / Claude Code	Nein	30 Tage	USA	Ja (mit DPA)
AWS Bedrock (Claude)	Nein	0 Tage default	EU moeglich (Frankfurt/Paris)	Ja, sauberste Variante
Google Vertex AI (Claude)	Nein	konfigurierbar	EU moeglich (Belgien/NL)	Ja, sauberste Variante

Kern-Implikation: Claude.ai Consumer ist fuer Kundendaten tabu. Wir nutzen API bzw. Claude Code (aktuell) oder Bedrock-EU (ab echten Kundendaten-Workloads).

⚠️ CLOUD-Act-Hinweis fuer streng regulierte Kunden: AWS Bedrock und Anthropic API sind US-Unternehmen — der US CLOUD Act greift theoretisch unabhaengig vom Server-Standort (auch in Frankfurt). Fuer Industriekunden mit DSGVO-strenger Brille (Becker, Voit-artige) ist die saubere Empfehlung Mistral La Plateforme (FR) oder IONOS AI Model Hub (DE) statt Bedrock. Vergleichs-Tabelle der 4 Optionen + Argumentation: llm-hosting-eu-optionen.md.

Training-Opt-out bei Pro/Free/Max (Pflicht-Klick pro Account)

Seit September 2025 ist Training auf Consumer-Tier standardmaessig AN. Muss pro Account einzeln deaktiviert werden.

Direktlink: claude.ai/settings/data-privacy-controls
Pfad in UI: Settings → Privacy → “Help Improve Claude” → Off
Bestaetigung offiziell: Anthropic Privacy Center — Model improvement settings
Nebeneffekt: Retention faellt von bis zu 5 Jahren auf 30 Tage sobald Opt-out aktiv ist (Quelle: Anthropic Updates to Consumer Terms)
Nicht betroffen: Claude for Work/Team, Government, Education, API — die haben Training per Default aus.

Was es NICHT macht: es aendert nichts am Datenstandort (bleibt USA) und nichts an der DSGVO-Rechtsgrundlage. Training-Opt-out ist ein Hygiene-Schritt fuer Kunden-Rollouts auf Pro-Tier, kein Ersatz fuer DPA / Bedrock-EU / VVT-Eintrag.

Pflicht-Schritte fuer DSGVO-Konformitaet

1. Auftragsverarbeitungsvertrag (AVV/DPA)

Anthropic direkt: anthropic.com/legal/dpa — per Formular anfordern, wird als signierter PDF zurueckgeschickt
AWS Bedrock: aws.amazon.com/compliance/gdpr-center
Google Vertex: cloud.google.com/terms/data-processing-addendum

Ohne DPA duerfen keine personenbezogenen Daten durch Claude laufen.

2. Datenstandort klaeren

Anthropic direkt → USA. Transfer legitim via Data Privacy Framework (Anthropic ist DPF-zertifiziert seit 2024) oder Standard Contractual Clauses (Teil des DPA).
Bedrock → Region eu-central-1 (Frankfurt) oder eu-west-3 (Paris) — Daten bleiben in EU.
Vertex → Region europe-west1 (Belgien) oder europe-west4 (NL).

3. TOMs (Technische und Organisatorische Massnahmen)

Anthropic-Zertifikate auf Anfrage via trust.anthropic.com: SOC 2 Type II, ISO 27001, HIPAA-ready.

4. Verzeichnis von Verarbeitungstaetigkeiten (VVT/RoPA)

Anthropic als Auftragsverarbeiter eintragen. Felder:

Zweck: “KI-gestuetzte Textverarbeitung / Agent-Workflows”
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Vertragserfuellung mit Kunde) oder lit. f (berechtigtes Interesse, mit Interessenabwaegung)
Kategorien: je nach Workflow (Kundenstammdaten, Kommunikationsdaten, Buchhaltungsdaten)
Empfaenger: Anthropic PBC, USA (bzw. AWS/Google bei Bedrock/Vertex)
Drittlandtransfer: ja (USA) mit DPF-Zertifizierung + SCC

5. Datenschutzerklaerung anpassen

Auf agenticventures.de: Anthropic als Dienstleister nennen, Zweck, Drittlandtransfer, DPF-Zertifizierung verlinken.

Zusaetzliche Haertung fuer sensible Kundendaten

Zero-Retention-Modus

Enterprise-Feature bei Anthropic: Prompts + Responses werden sofort nach Antwort geloescht (nicht 30 Tage gespeichert).
Fuer API verhandelbar mit Anthropic-Sales (Business-Email noetig).
Bei Bedrock automatisch so — AWS speichert Prompts/Responses nie.

PII-Minimierung vor Versand

Namen/Emails/Adressen pseudonymisieren wenn nicht zwingend noetig
Tools: Microsoft Presidio oder eigener Regex-Filter vor API-Call
Fuer Agent-Workflows mit personenbezogenen Daten Pflicht

Einwilligungen bei Personen-Daten Dritter

Wenn Klartexte mit Daten von Kunden-Mitarbeitern oder Endkunden durch Claude laufen:

Berechtigtes Interesse sauber dokumentieren (Interessenabwaegung), oder
Einwilligung einholen (selten praktikabel)

Kunde (als Verantwortlicher) muss das in seiner Datenschutzerklaerung abdecken — wir als Auftragsverarbeiter sind seine verlaengerte Werkbank.

Checkliste fuer neue Kundenprojekte

Bei jedem Kunden, dessen Daten durch Claude laufen, diese Punkte durchgehen:

DPA mit Kunde abgeschlossen (wir als Auftragsverarbeiter)
Sub-Processor-Liste an Kunde: Anthropic (+ AWS/Google bei Bedrock/Vertex) ausgewiesen
DPA mit Anthropic liegt vor
Datenstandort mit Kunde abgestimmt (US / EU-Bedrock)
VVT-Eintrag beim Kunden ergaenzt
TOMs an Kunden geliefert (Anthropic-Zertifikate + unsere eigenen)
Geklaert welche Daten tatsaechlich an Claude gehen (Minimierung)
Bei personenbezogenen Daten: PII-Filter oder Pseudonymisierung aktiv

Konkret fuer unsere laufenden Projekte

Vibe Factory (TicketPAY + Papierkram): Enthaelt echte Personendaten (Ticket-Kaeufer, Rechnungen). Sobald der Bestandsaufnahme-Agent diese an Claude schickt → DPA mit Vibe Factory + Sub-Processor-Regelung mit Anthropic zwingend. Fuer Produktiv-Workloads Bedrock-EU pruefen.

Becker Stahl: Wenn Mitarbeiter-Emails oder Kundendaten durch Agenten laufen → gleiches Setup. Bei B2B-Kontext weniger sensibel als Endkunden-PII, aber formal dieselben Anforderungen.

Icking / Leistungen Dach: AI-Pipeline (Mistral + Claude) verarbeitet Dach-Datenbank — teils mit Adressdaten. Bei Mistral-Einbau DPA-Frage auch fuer Mistral klaeren (Mistral ist EU-Anbieter, das ist einfacher).

claude-dsgvo-setup.md — technischer Setup-Guide (Bedrock Frankfurt + LibreChat) als Ergaenzung zu dieser Compliance-Uebersicht
zugriffsmodell.md — wie Kundendaten grundsaetzlich fliessen (Repo → Zwischenschicht → Kunde)
_index.md — offene DSGVO-TODOs
Anthropic Trust Center
Anthropic DPA-Request
Anthropic Privacy Policy
Anthropic Commercial Terms

Agentic Ventures Wiki

Explorer

Anthropic & DSGVO — Pflicht-Schritte fuer Kundenprojekte

Anthropic & DSGVO — Leitfaden

Produkt-Matrix — was ist erlaubt wofuer

Training-Opt-out bei Pro/Free/Max (Pflicht-Klick pro Account)

Pflicht-Schritte fuer DSGVO-Konformitaet

1. Auftragsverarbeitungsvertrag (AVV/DPA)

2. Datenstandort klaeren

3. TOMs (Technische und Organisatorische Massnahmen)

4. Verzeichnis von Verarbeitungstaetigkeiten (VVT/RoPA)

5. Datenschutzerklaerung anpassen

Zusaetzliche Haertung fuer sensible Kundendaten

Zero-Retention-Modus

PII-Minimierung vor Versand

Einwilligungen bei Personen-Daten Dritter

Checkliste fuer neue Kundenprojekte

Konkret fuer unsere laufenden Projekte

Graphansicht

Inhaltsverzeichnis

Backlinks

Agentic Ventures Wiki

Explorer

Anthropic & DSGVO — Pflicht-Schritte fuer Kundenprojekte

Anthropic & DSGVO — Leitfaden

Produkt-Matrix — was ist erlaubt wofuer

Training-Opt-out bei Pro/Free/Max (Pflicht-Klick pro Account)

Pflicht-Schritte fuer DSGVO-Konformitaet

1. Auftragsverarbeitungsvertrag (AVV/DPA)

2. Datenstandort klaeren

3. TOMs (Technische und Organisatorische Massnahmen)

4. Verzeichnis von Verarbeitungstaetigkeiten (VVT/RoPA)

5. Datenschutzerklaerung anpassen

Zusaetzliche Haertung fuer sensible Kundendaten

Zero-Retention-Modus

PII-Minimierung vor Versand

Einwilligungen bei Personen-Daten Dritter

Checkliste fuer neue Kundenprojekte

Konkret fuer unsere laufenden Projekte

Related

Graphansicht

Inhaltsverzeichnis

Backlinks