Zum Inhalt springen

Claude DSGVO-konform nutzen: der Leitfaden für Unternehmen

Claude DSGVO-konform nutzen: die 3 Wege für Unternehmen (richtiger Plan, EU-Hosting via Vertex AI, lokal) plus die Compliance-Checkliste für den Mittelstand.

Helles Brand-Visual im Corporate-LLM-Stil mit blauem Verlauf: zentral das Corporate-LLM-Logo, darunter die Überschrift „Claude DSGVO-konform nutzen", wobei „DSGVO-konform" in einem blau-violetten Farbverlauf hervorgehoben ist.

Viele Unternehmen im Mittelstand würden Claude längst einsetzen, für Texterstellung, Marketing, die Analyse von Dokumenten. Was sie ausbremst, ist eine Frage: Geht das überhaupt DSGVO-konform, wenn das Modell aus den USA kommt? Die kurze Antwort lautet ja, und es ist einfacher, als die meisten denken.

Überblick: Claude lässt sich DSGVO-konform nutzen, auf drei Wegen je nach Anspruch: mit dem richtigen Anthropic-Plan plus Einstellungen, über EU-gehostete Endpunkte bei Google Cloud Vertex AI oder AWS Bedrock, oder voll lokal mit Open-Source-Modellen. Entscheidend sind in allen Fällen dieselben Punkte: ein Auftragsverarbeitungsvertrag, kein Training auf Ihren Daten und ein EU-Serverstandort.

Ist Claude DSGVO-konform? Was wirklich zählt

Claude wird von Anthropic entwickelt, einem US-Anbieter. Das ist der Kern der Sorge: Daten verlassen die EU, und ein US-Konzern unterliegt anderem Recht. Entscheidend ist aber nicht das Herkunftsland des Modells, sondern wie Sie es vertraglich und technisch einbinden.

Hier liegt der erste wichtige Unterschied, den viele übersehen: nicht jeder Anthropic-Plan ist gleich. Die Consumer-Varianten (Free, Pro, Max) sind für Privatpersonen gedacht. Dort darf Anthropic Ihre Ein- und Ausgaben laut Datenschutzrichtlinie zur Modellverbesserung nutzen, sofern Sie nicht in den Account-Einstellungen widersprechen, und Ihre Daten gehen in die USA. Für die geschäftliche Verarbeitung personenbezogener Daten ist das so nicht geeignet.

Anders bei den Plänen für Unternehmen, Team und Enterprise. Dort sind die größten Brocken standardmäßig dabei: kein Training auf Ihren Daten, ein Auftragsverarbeitungsvertrag (AVV) und die nötigen Nachweise. Die kommerziellen Angebote sind von der Trainingsnutzung der Consumer-Datenschutzrichtlinie ausdrücklich ausgenommen. Anthropic dokumentiert seine Sicherheits- und Compliance-Belege zudem im eigenen Trust Center, inklusive Zertifizierungen (u. a. SOC 2 Type II, ISO 27001) und Sub-Provider-Liste. Wer geschäftlich mit Claude arbeitet, gehört auf einen dieser Pläne, nicht auf den Privattarif.

Ein schneller erster Schritt für jeden: In den Datenschutz-Einstellungen lässt sich die Nutzung Ihrer Chats zum Training mit einem Häkchen abschalten. Das macht Sie nicht zu 100 Prozent konform, aber es ist ein richtiger Schritt in die richtige Richtung. Den Rest erledigen Plan, Vertrag und ein paar organisatorische Punkte.

Claude DSGVO-konform nutzen: die 3 Wege im Vergleich

Statt einer Alles-oder-nichts-Frage hilft ein Drei-Stufen-Modell. Jede Stufe ist konformer als die vorige, aber auch aufwändiger. Sie wählen die Stufe nach Sensibilität Ihrer Daten und Branche.

Stufe 1: Richtiger Plan plus Einstellungen. Sie wechseln auf den Team- oder Enterprise-Plan, schalten das Training ab, schließen den AVV ab und legen die passenden Nachweise aus dem Trust Center für Ihre Dokumentation ab. Dazu nennen Sie Anthropic als Auftragsverarbeiter in Ihrer Datenschutzerklärung. Für viele Abteilungen mit unkritischen Daten ist das bereits ausreichend.

Stufe 2: EU-Hosting über einen Hyperscaler. In der Standard-App von Anthropic können Sie den Serverstandort nicht steuern, alle Eingaben gehen in die USA. Die großen Cloud-Anbieter lösen das: Google Cloud Vertex AI bietet die Claude-Modelle über einen EU-Multi-Region-Endpunkt und Regional-Endpunkte in Europa an, AWS Bedrock hält die Daten über EU-Inference-Profile innerhalb der EU-Geografie. Microsoft Foundry ist hier noch im Rückstand: Claude läuft dort aktuell als Global-Standard-Deployment ohne garantierte EU-Datenresidenz (von Anthropic für 2026 angekündigt). Sie legen bei Vertex AI oder Bedrock einen Endpunkt mit dem gewünschten Claude-Modell an, wählen einen EU-Standort und binden ihn an Ihre Anwendung. So bleiben die Daten in Europa, bei voller Modell-Leistung. Das Setup ist überschaubar, kostet aber IT-Zeit und Know-how.

Stufe 3: Voll lokal. Sie betreiben Open-Source-Modelle auf eigener Hardware, zum Beispiel über Ollama auf einem Server in Deutschland. Nichts verlässt das Haus, es fallen keine Token-Kosten an. Der Preis: Sie brauchen starke Hardware (oft 32 bis 100 Gigabyte Arbeitsspeicher und einen leistungsfähigen Prozessor), und die offenen Modelle sind in der Praxis meist schwächer als Claude Opus.

Faustregel: je sensibler die Daten, desto höher die Stufe. Die meisten Unternehmen fahren mit Stufe 1 für den Alltag und Stufe 2 für ernsthafte, datennahe Anwendungsfälle am besten.

Warum der Mittelstand die DSGVO bei KI unnötig fürchtet

Es lohnt sich, den eigentlichen Gegner klar zu benennen: Es ist selten die DSGVO selbst, es ist die Angst vor ihr. Viele Mittelständler sind fest in Prozesse, Systeme und IT-Architektur eingebunden und scheuen das Thema, weil sie den großen Datenschutz-Hammer fürchten. Manche Anwälte winken beim Stichwort KI lieber ab, als eine klare Empfehlung zu geben.

Das Ergebnis: KI-Projekte sterben im Ansatz, während jüngere Wettbewerber längst arbeiten. Das ist kein Datenschutz, das ist verschenkte Innovation.

Die Antithese ist unspektakulär: Es gibt etablierte, einfache Wege, konform mit US-Anbietern zu arbeiten. Die größten vertraglichen Hürden, AVV und ausgeschlossenes Training, sind bei den Unternehmensplänen schon eingebaut. EU-Hosting über einen Hyperscaler ist ein lösbares technisches Setup, kein Forschungsprojekt. Wer das einmal sauber aufsetzt, kann die starken Modelle nutzen, ohne den Datenschutz zu opfern. Die Alternative, einfach gar nichts zu tun, führt übrigens nur zu Schatten-IT: Mitarbeiter nutzen dann private Accounts, an denen kein AVV hängt. Das ist das schlechtere Risiko.

Claude EU-gehostet und mit AVV: Corporate LLM nimmt die 3 Stufen ab

Die ehrliche Kehrseite des Leitfadens oben: Stufe 1 und 2 sind machbar, aber sie sind Arbeit. Den richtigen Plan buchen, den AVV ablegen, einen Vertex-Endpunkt in Frankfurt einrichten, pro Anbieter die Nachweise zusammensuchen, das Ganze dokumentieren und idealerweise einen Anwalt gegenlesen lassen. Und das wiederholt sich pro Modell und pro Anbieter, sobald Sie neben Claude auch GPT, Gemini oder Mistral nutzen wollen.

Genau hier setzt Corporate LLM an: Es liefert das Ergebnis dieses Leitfadens fertig. Claude (Opus und Sonnet) steht EU-gehostet im Modell-Picker neben GPT, Gemini und Mistral, unter einem Login, einer Rechnung und einem AVV. Kein Training auf Ihren Daten, keine Speicherung beim Anbieter nach der Antwort, EU-Hosting als Standard. Sie müssen keinen Hyperscaler-Endpunkt selbst bauen und keine Anbieter-Verträge jonglieren.

Wenn ein neues Modell erscheint, ist es am selben Tag verfügbar, sobald es EU-gehostet ist, ganz ohne Migrationsaufwand. Wie das konkret aussieht, zeigt der Rollout von Claude Opus 4.8. Und für Stufe 3, eigene oder lokal gehostete Modelle, binden Sie über Bring Your Own Model Ihren eigenen Endpunkt ein. So bekommen Sie alle drei Stufen aus einer Hand, statt sie einzeln aufzubauen.

Den EU-Status sehen Sie dabei pro Konversation direkt im Chat-Header, und Ihren Verbrauch als Auslastung im Dashboard. Damit bleibt nachvollziehbar, welches Modell auf welcher Infrastruktur läuft, ohne dass Sie ein eigenes Logging aufbauen müssen. Genau diese Nachvollziehbarkeit ist es, die der Datenschutzbeauftragte sehen will, und die im DIY-Setup über mehrere Anbieter hinweg am schwersten herzustellen ist.

DSGVO-Checkliste für Claude im Unternehmen

Unabhängig vom gewählten Weg gelten dieselben Punkte. Diese Liste können Sie als Mindeststandard nehmen:

  • Auftragsverarbeitungsvertrag (AVV) mit jedem Anbieter, den Sie nutzen.
  • Kein Training auf Ihren Daten, vertraglich ausgeschlossen, nicht nur in einer FAQ behauptet.
  • EU-Serverstandort und keine Persistenz Ihrer Inhalte beim Anbieter nach der Verarbeitung.
  • Hinweis in der Datenschutzerklärung auf jeden genutzten Anbieter (Anthropic, OpenAI, Google, Mistral).
  • Interne Dokumentation der Datenflüsse und Sicherheitsmaßnahmen, damit Sie bei einer Anfrage auskunftsfähig sind.
  • Mitarbeiterschulung: keine besonders sensiblen Daten (Gesundheit, biometrische oder politische Daten) in die Modelle geben. Der häufigste Fehler ist menschlich, nicht technisch.

Ein Hinweis, der kein Marketing ist: Das ersetzt keine Rechtsberatung. Bei sensiblen Branchen oder Daten gehört ein Anwalt mit an den Tisch. Dieser Leitfaden bringt Sie an den Punkt, an dem dieses Gespräch kurz und konkret wird, statt im Ungefähren zu bleiben.

Claude DSGVO-konform einführen: Ihre nächsten Schritte

Der kleinste sinnvolle Schritt: das Training-Häkchen abschalten und vom Privattarif auf einen Unternehmensplan wechseln. Der nächste, für ernsthafte Adoption: einen EU-Serverstandort sicherstellen, entweder selbst über einen Hyperscaler oder über eine Plattform, die das bereits mitbringt.

Wenn Sie den DIY-Aufwand überspringen wollen, starten Sie kostenlos im Free-Plan, ohne Zahlungsdaten. Claude und die anderen Top-Modelle sind dort EU-gehostet und mit AVV einsatzbereit.

Häufige Fragen

Ist Claude DSGVO-konform?

Claude selbst ist ein US-Modell, aber DSGVO-konform nutzbar: mit dem richtigen Anthropic-Plan (Team oder Enterprise, kein Training auf Ihren Daten, AVV), über EU-gehostete Endpunkte bei Google Cloud Vertex AI oder AWS Bedrock, oder voll lokal mit Open-Source-Modellen. Entscheidend sind AVV, ausgeschlossenes Training und EU-Serverstandort.

Reicht es, in Claude das Training-Häkchen auszuschalten?

Es ist ein wichtiger erster Schritt, aber keine vollständige Konformität. In den Datenschutz-Einstellungen lässt sich die Nutzung Ihrer Chats zum Training abschalten. Für Unternehmen kommen ein AVV, der Team- oder Enterprise-Plan, die Nennung des Anbieters in der Datenschutzerklärung und Mitarbeiterschulung dazu.

Wie nutze ich Claude mit Serverstandort in der EU oder Deutschland?

In der Standard-App von Anthropic gehen Ihre Daten in die USA. Für einen EU-Serverstandort hosten Sie Claude über einen Hyperscaler: Google Cloud Vertex AI bietet EU-Multi-Region- und Regional-Endpunkte in Europa, AWS Bedrock hält die Daten über EU-Inference-Profile in der EU. Microsoft Foundry bietet bislang keine garantierte EU-Datenresidenz für Claude. Sie legen bei Vertex AI oder Bedrock einen EU-Endpunkt mit dem Claude-Modell an und binden ihn an Ihre Anwendung.

Welcher Anthropic-Plan ist für Unternehmen geeignet?

Die Consumer-, Pro- und Max-Pläne sind für die geschäftliche Verarbeitung personenbezogener Daten nicht ausgelegt. Team und Enterprise bringen die wichtigen Bausteine standardmäßig mit: kein Training auf Ihren Daten, einen Auftragsverarbeitungsvertrag und die Nachweise aus dem Anthropic Trust Center.

Was ist die datenschutzfreundlichste Variante?

Voll lokale Open-Source-Modelle auf eigener Hardware, weil keine Daten das Haus verlassen. Der Preis: starke Server-Hardware und in der Regel schwächere Modelle als Claude Opus. Für die meisten Unternehmen ist EU-Hosting eines Top-Modells der bessere Kompromiss aus Leistung und Compliance.

Weitere Artikel

Helles Brand-Visual im Corporate-LLM-Stil mit blauem Verlauf: zentral das DiffusionGemma-Logo, darunter die Überschrift „DiffusionGemma jetzt kostenlos in Corporate LLM", wobei „kostenlos" in einem blau-violetten Farbverlauf hervorgehoben ist.

DiffusionGemma jetzt kostenlos und unbegrenzt in Corporate LLM

Heller Editorial-Hero: links der Titel „Lokale KI – Der Leitfaden", rechts vier weiße Kreise mit den Logos von Llama, Mistral, Qwen und DeepSeek, oben links das Corporate-LLM-Logo.

Lokale KI-Modelle im Vergleich: der Leitfaden für den Mittelstand

Helles Brand-Visual im Corporate-LLM-Stil mit blauem Verlauf: zentral das Corporate-LLM-Logo, darunter die Überschrift „DiffusionGemma – Text per Diffusion erklärt", wobei „DiffusionGemma" in einem blau-violetten Farbverlauf hervorgehoben ist.

DiffusionGemma erklärt: Googles schnelles Open-Weight-Modell für lokale KI

Starte heute mit deinem Team

Jetzt starten — ohne Kreditkarte, ohne Risiko.

Registrieren