Rechtlicher Hinweis

Ich bin kein Rechtsanwalt. Dieser Artikel gibt meinen persönlichen Wissensstand wieder und ersetzt keine rechtliche Beratung. Bei konkreten Fragen zu deiner Datenschutzsituation wende dich an einen spezialisierten Anwalt.

Du öffnest claude.ai, tippst den Namen eines Kunden, seine E-Mail-Adresse oder ein paar Zeilen aus einem Auftrag. Dann kommt die Frage, entweder von deinem Kunden oder von deinem eigenen Hinterkopf: Darf ich das eigentlich?

Claude Datenschutz ist kein binäres Ja oder Nein. Es hängt davon ab, welchen Plan du nutzt und was du eingibst. Wer das richtig versteht, kann Claude täglich im Büroalltag einsetzen, ohne DSGVO-Risiken einzugehen. Wer es ignoriert, riskiert einen Verstoß nach Art. 28 DSGVO.

Dieser Artikel erklärt den Unterschied. Kein Juristendeutsch, für Selbstständige und kleine Unternehmen.

Claude Datenschutz: Die Antwort hängt von deinem Plan ab

Das ist die wichtigste Tabelle in diesem Artikel:

PlanAVV vorhanden?Training deiner Daten?Für Kundendaten geeignet?
Claude Free / Pro / MaxNeinMöglich (Toggle in Einstellungen)Nein
Claude for TeamsJa, automatischNeinJa
Claude EnterpriseJa, automatischNeinJa
Claude Code via Anthropic APIJa, automatischNeinJa

Ein Auftragsverarbeitungsvertrag (kurz: AVV) ist der Vertrag, der nach Art. 28 DSGVO regelt, was ein externer Dienstleister mit deinen Kundendaten machen darf. Ohne ihn darfst du personenbezogene Daten, also Namen, E-Mail-Adressen, Telefonnummern oder Inhalte aus Kundenkorrespondenz, nicht an Claude weitergeben.

Claude Free, Pro und Max sind Konsumprodukte. Sie laufen unter den Consumer Terms of Service von Anthropic, nicht unter den Commercial Terms. Ein AVV ist dort nicht vorgesehen.

newsletter.sh

# Neuer Artikel? Du erfährst es als Erstes.

# Kein Spam. Ein kurzes Mail, wenn etwas erscheint.

>

Was Claude mit deinen Eingaben macht

Flat-Illustration eines Laptops mit Datenpfeilen zu US-Servern, Schild-Symbol in der Mitte, blaue und gelbe Farbpalette, weißer Hintergrund

Consumer-Pläne: Was seit August 2025 gilt

Im August 2025 hat Anthropic seine Consumer-Datenschutzbedingungen geändert. Das ist relevant für alle, die Claude Free, Pro oder Max nutzen.

Anthropic hat eine "Help Improve Claude"-Einstellung eingeführt. Wenn du diese aktivierst, können deine Chats und Coding-Sessions für das Training neuer Modelle genutzt werden. Anthropic gibt an, diese Daten dann bis zu 5 Jahre lang in de-identifizierter Form in Trainings-Pipelines zu speichern (laut Anthropic Privacy Center).

Was Anthropic in seiner Dokumentation nicht klar sagt: Ob diese Einstellung für neue Accounts standardmäßig an oder aus ist. Die offizielle Formulierung lautet "wenn du es erlaubst", ohne den Default explizit zu benennen. Für DSGVO-Zwecke heißt das: Prüf die Einstellung aktiv, verlasse dich nicht auf eine angenommene Standardkonfiguration.

Separate davon: Chats, die von Sicherheitsklassifikatoren von Anthropic markiert werden, können bis zu 2 Jahre gespeichert werden. Feedback (Daumen hoch/runter, Bug-Reports) wird 5 Jahre aufbewahrt.

So überprüfst und änderst du die Datenschutz-Einstellung

Der Weg in den Einstellungen ist in jedem Browser-Account und in der App gleich:

  1. Melde dich bei claude.ai an
  2. Klick auf deinen Namen unten links
  3. Öffne Settings → Privacy
  4. Unter "Help Improve Claude" den Toggle nach Wunsch setzen

Für die Mobile App: Settings → Privacy → Help Improve Claude.

Wenn du das Training deaktivierst, werden laut Anthropic neue Chats nicht mehr für das Training verwendet. Ausnahme: sicherheitsgeflaggte Konversationen.

Aber: Diese Einstellung ändert nichts an der fehlenden AVV-Grundlage. Ohne AVV darfst du bei Kundendaten keine Rückendeckung haben, egal wie der Toggle steht.

Wo deine Daten gespeichert werden

Anthropic selbst sagt es klar: Daten werden in den USA gespeichert. Das ist eine Drittlandübertragung nach DSGVO-Recht. Anthropic sichert diese Übertragung durch EU-Standardvertragsklauseln (SCCs) ab. Für Nutzer aus dem EWR ist Anthropic Ireland Limited der verantwortliche Datenverarbeiter.

Anthropic hat mittlerweile einen inference_geo-Parameter für die API eingeführt, mit dem du steuern kannst, wo die Inferenz läuft. Aktuell stehen nur "us" (US-Server) und "global" zur Verfügung. Eine EU-Option gibt es noch nicht. Auch für die Datenspeicherung (Workspace Geo) ist derzeit nur "us" verfügbar.

Wer physische Datenspeicherung auf europäischen Servern braucht, nutzt Claude über Drittanbieter: AWS Bedrock EU (Frankfurt, Paris, Stockholm) oder Google Cloud Vertex AI EU. Die Infrastruktur und der Vertrag laufen dort über den jeweiligen Cloud-Anbieter.

Wann du einen AVV mit Anthropic brauchst

Flat-Illustration eines Vertragsdokuments mit AVV-Symbol, Unterschrift und Schloss, blaue und gelbe Farbgebung, klare geometrische Hintergrundelemente

Sobald du personenbezogene Daten im gewerblichen Kontext an Claude weitergibst, ist ein AVV nach Art. 28 DSGVO Pflicht. Punkt.

Personenbezogene Daten sind weiter gefasst als viele denken:

  • Namen, E-Mail-Adressen und Telefonnummern von Kunden oder Mitarbeitern
  • Inhalte aus E-Mails, die Dritte betreffen
  • Vertrags- oder Rechnungsdaten mit Personenbezug
  • Bewerbungsunterlagen oder Mitarbeiterfeedback
  • Informationen über erkennbare Einzelpersonen, auch ohne direkte Nennung

Für reine Eigeninhalte ohne Personenbezug, also Textentwürfe, Ideen oder allgemeine Fragen, gibt es keine Pflicht. Du kannst Claude Free problemlos für eigene Arbeit nutzen.

Commercial Plans: AVV ist automatisch dabei

Wer Claude for Teams, Claude Enterprise oder Claude Code über die kommerzielle Anthropic API nutzt, akzeptiert die Commercial Terms of Service. Darin ist der AVV mit SCCs automatisch enthalten. Kein separates Unterzeichnen, kein Formular.

Das stellt Anthropic in seiner offiziellen DPA-Dokumentation klar: "When you accept Anthropic's Commercial Terms of Service, you also accept our DPA."

Dieser Vertrag enthält EU-Standardvertragsklauseln (2021/914) in Modulen 2 und 3, je nach dem, ob Anthropic in deiner Datenkette als Verarbeiter oder Unterverarbeiter auftritt.

Der Unterschied zwischen Teams und Enterprise

Beide haben denselben AVV-Rahmen. Der DSGVO-relevante Unterschied liegt in der Datenspeicherung:

Bei Teams gilt: Prompts werden nicht für das Training verwendet. Chats werden in Backend-Systemen gespeichert, bis du sie manuell löschst.

Bei Enterprise kommt dazu: Du kannst eine eigene Aufbewahrungsfrist konfigurieren (mindestens 30 Tage, Standard "unbegrenzt bis zur manuellen Löschung"). Das macht Enterprise für Unternehmen mit strengeren Datenschutzanforderungen zur passenderen Wahl. Für bestimmte Enterprise-API-Kunden ist zudem eine Zero-Data-Retention-Vereinbarung möglich: Dann speichert Anthropic Inputs und Outputs gar nicht.

Claude Code via Anthropic API: Kommt auf den Account-Typ an

Das ist ein wichtiger Punkt, der oft übersehen wird. Ob der AVV gilt, hängt davon ab, über welches Konto du Claude Code nutzt:

  • Claude Code unter einem Free/Pro/Max-Account: Consumer Terms, kein AVV, Training möglich
  • Claude Code über einen kommerziellen API-Schlüssel aus der Anthropic Console: Commercial Terms, AVV automatisch inklusive, kein Training by default

Für den professionellen Einsatz mit Kundendaten muss also ein kommerzieller Org-API-Key aus console.anthropic.com verwendet werden.

Claude DSGVO-konform nutzen: die Praxis-Checkliste

Flat-Illustration einer Checkliste mit Abhaken-Symbolen und Datenschutz-Schild, blaue und gelbe Farbgebung, strukturierter weißer Hintergrund

Du willst Claude im Unternehmensalltag nutzen. Hier ist, was du konkret tun kannst.

Ohne Personenbezug, kein Problem. Das kannst du bedenkenlos eingeben:

  • Allgemeine Texte ohne Bezug zu echten Personen
  • Fiktive Musterdaten für Templates und Beispiele
  • Eigene Ideen, Notizen und Recherchen
  • Öffentlich zugängliche Informationen

Das solltest du ohne AVV nicht eingeben:

  • Namen, E-Mail-Adressen oder Telefonnummern von Kunden
  • Inhalte aus E-Mail-Konversationen mit Kundenbeteiligung
  • Vertrags- oder Rechnungsdaten mit Personenbezug
  • Mitarbeiterdaten oder Bewerbungsunterlagen

Die Checkliste für den Einstieg:

  1. Plan mit AVV für Kundenprojekte nutzen (Teams oder kommerzieller API-Key)
  2. "Help Improve Claude"-Toggle in den Kontoeinstellungen manuell prüfen
  3. Nutzung im Verarbeitungsverzeichnis dokumentieren: Anbieter Anthropic, Plan-Typ, Datum des Commercial Terms
  4. Team informieren, welche Daten nicht in Claude eingegeben werden dürfen
  5. Prüfen, ob Kundenverträge den Einsatz von KI-Tools ausschließen
  6. Kurzen Notfallplan anlegen für den Fall, dass versehentlich Kundendaten eingegeben wurden

Claude vs. ChatGPT: Wer schneidet beim Datenschutz besser ab?

Flat-Illustration zweier KI-Assistenten-Icons nebeneinander mit Datenschutzschild und Waage in der Mitte, blaue und gelbe Farbgebung, geometrischer weißer Hintergrund

Das ist eine der meistgestellten Fragen. Die ehrliche Antwort: Sie sind sich ähnlicher als du denkst.

Beide sind US-amerikanische Unternehmen. Beide haben Anthropic Ireland bzw. OpenAI Ireland als EU-Vertragspartner. Beide sichern Drittlandübertragungen über SCCs ab. Beide bieten Business-Pläne mit AVV an, bei denen Prompts nicht für das Training verwendet werden.

ClaudeChatGPT (OpenAI)
AVV für Business-PläneJa, automatisch (Teams/API)Ja, automatisch (Team/Enterprise)
Training auf Business-PlänenNeinNein
EU-Datenresidenz (direkt)Nicht verfügbarSeit Feb. 2025 für neue API-Projekte
EU-VertragspartnerAnthropic IrelandOpenAI Ireland

Der größte Unterschied liegt bei der EU-Datenresidenz: OpenAI bietet sie seit Februar 2025 für neue API-Projekte direkt an. Bei Anthropic ist sie nur über Drittanbieter wie AWS Bedrock EU oder Google Vertex AI EU möglich.

Wer physische Datenspeicherung auf europäischen Servern braucht, muss bei beiden Direktlösungen auf Drittanbieter ausweichen.

EU AI Act: Was für dich als Claude-Nutzer gilt

Der EU AI Act klingt nach einem Gesetz, das alles verändert. Für den normalen Claude-Nutzer ist der direkte Einfluss überschaubar.

Als Nutzer, der Claude für Texte, Analysen oder Kommunikation einsetzt, bist du ein sogenannter "Deployer". Du setzt das System in deinem eigenen Kontext ein. Für normale Büroarbeit ohne Hochrisiko-Anwendung gibt es aktuell kaum eigenständige Pflichten für dich.

Was seit dem 2. Februar 2025 gilt: Unternehmen müssen sicherstellen, dass Mitarbeiter ausreichende KI-Kompetenz haben (Art. 4 EU AI Act). Konkret bedeutet das: Dein Team sollte die Grundlagen von Claude kennen und wissen, welche Daten nicht eingegeben werden dürfen. Eine kurze interne Anleitung reicht in den meisten Fällen aus.

Der nächste relevante Stichtag: 2. August 2026. Dann greifen die Hochrisiko-Pflichten vollständig. Betroffen bist du nur, wenn das System, das du mit Claude baust oder einsetzt, unter Anhang III des AI Act fällt. Das sind HR-Software mit Entscheidungsfunktion, Kreditscoring-Systeme oder medizinische Diagnoseunterstützung. Claude oder Claude Code als Werkzeug wird dadurch nicht hochriskant. Das System, das du damit baust, könnte es werden.

Wenn du Claude Code für Kundenprojekte nutzt und die ganze Vergleichstabelle für Coding-Tools inklusive Cursor, GitHub Copilot und lokaler Modelle brauchst, schau in den Artikel KI DSGVO-konform: Cloud-Tools, EU-Anbieter & lokale Modelle.

Wenn du wissen willst, welcher Plan zu deinem Workflow passt oder wie du Claude in einer DSGVO-konformen Prozessstruktur einsetzt, hilft die KI-Beratung Berlin weiter. Für die Nutzung von Claude Code mit Kundenprojekten empfiehlt sich ein Blick in den Vibe Coding Sprint.