Kostenlos beraten
Anthropic API DSGVO-Compliance und EU-Datenresidenz für Deutschland
tools

Anthropic API DSGVO: AVV, EU-Datenresidenz & Compliance-Leitfaden

Kurzantwort

Die Anthropic API kann DSGVO-konform eingesetzt werden: AVV abschließen, API-Eingaben werden standardmäßig nicht für das Training genutzt, EU-Verarbeitung ist über Amazon Bedrock Frankfurt verfügbar — Datenübermittlung, KI-Act-Pflichten und Betriebsratsrechte vor Einsatz klären.

  • AVV mit Anthropic abschließen — begründet das Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO und enthält Standardvertragsklauseln für EU–US-Transfers.
  • Claude über Amazon Bedrock AWS eu-central-1 (Frankfurt) einsetzen — Verarbeitung bleibt vollständig in der EU, stärkste DSGVO-Datenresidenz.
  • Bestätigen, dass API-Daten standardmäßig nicht für das Training genutzt werden, und für sensible Anwendungsfälle Zero-Data-Retention beantragen.

Die Anthropic API kann von deutschen Unternehmen DSGVO-konform eingesetzt werden — aber Compliance entsteht nicht automatisch. Die standardmäßige Regel, API-Eingaben nicht für das Modelltraining zu verwenden, beseitigt eines der häufigsten DSGVO-Risiken bei Consumer-KI-Diensten. Anthropic stellt zudem einen Auftragsverarbeitungsvertrag mit Standardvertragsklauseln für EU–US-Transfers bereit. Gleichwohl müssen Datenresidenz, Übermittlungsmechanismen, KI-Act-Pflichten und Betriebsratsrechte vor dem Einsatz aktiv adressiert werden. Einen Überblick über die von Compound Law bewerteten KI-Tools finden Sie unter KI-Tools im DSGVO-Check.

Ist die Anthropic API DSGVO-konform?

Ja — bei korrekter Einrichtung. Die Anthropic API erfüllt die Anforderungen der DSGVO (Datenschutz-Grundverordnung, Verordnung EU 2016/679), wenn drei Voraussetzungen erfüllt sind:

  1. AVV mit Anthropic abgeschlossen. Der Auftragsverarbeitungsvertrag begründet das Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO und regelt Sicherheitsmaßnahmen, Unterauftragsverarbeiter und Datenpannenmeldung.
  2. Zulässiger Übermittlungsmechanismus vorhanden. Der AVV enthält Standardvertragsklauseln (SCC) nach Art. 46 DSGVO, die EU–US-Datentransfers abdecken. Für Unternehmen, die eine vollständige EU-Datenresidenz benötigen, entfällt die Übermittlung beim Einsatz von Amazon Bedrock in der Region AWS eu-central-1 (Frankfurt) vollständig.
  3. Rechtsgrundlage dokumentiert. In der Regel Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder lit. f (berechtigte Interessen) für interne API-Integrationen; Einwilligung, sofern Endnutzer-Daten einbezogen werden.

Für die DSGVO-Praxis entscheidend: Anthropic nutzt API-Eingaben und -Ausgaben standardmäßig nicht für das Training oder die Weiterentwicklung seiner Basismodelle. Damit entfällt das Training-Risiko, das Consumer-KI-Dienste für den geschäftlichen Einsatz in Deutschland rechtlich problematisch macht.

Anthropics Auftragsverarbeitungsvertrag (AVV)

Der Anthropic AVV bildet die vertragliche Grundlage jedes DSGVO-konformen API-Einsatzes. Er kann über die Anthropic Console akzeptiert werden. Enterprise-Kunden mit Volumenverträgen können einen individuell verhandelten AVV anfragen.

Wesentliche Regelungen des Anthropic AVV:

  • Art. 28 DSGVO-Pflichten — Anthropic verpflichtet sich, personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen hin zu verarbeiten.
  • Standardvertragsklauseln (SCC) — Die EU-SCC 2021 sind integriert und bieten den Rechtsrahmen für EU–US-Datenübermittlungen nach Kapitel V DSGVO.
  • Unterauftragsverarbeiter — Anthropic benennt autorisierte Unterauftragsverarbeiter und informiert vorab über Änderungen; Widerspruchsrechte sind vorgesehen.
  • Technisch-organisatorische Maßnahmen (TOM) — Verschlüsselung bei Übertragung und Speicherung, Zugriffskontrollen und Incident-Response sind beschrieben.
  • Datenpannenmeldung — Anthropic verpflichtet sich zur unverzüglichen Meldung von Sicherheitsvorfällen, die Kundendaten betreffen.
  • Löschung — Kundendaten werden auf Anfrage oder nach Vertragsende innerhalb definierter Fristen gelöscht.

Pflichten des Verantwortlichen: Als datenverarbeitendes Unternehmen sind Sie verantwortlich für ein aktuelles Verzeichnis der Verarbeitungstätigkeiten (VVT), das den Anthropic-API-Einsatz abbildet, für die Dokumentation der Rechtsgrundlage und dafür, dass Nutzer keine Daten außerhalb des dokumentierten Verarbeitungszwecks einreichen. Kanzleien und Rechtsabteilungen sollten zusätzlich den Leitfaden zu KI-APIs für Kanzleien in Deutschland berücksichtigen.

EU-Datenresidenz für die Anthropic API

Die direkte Anthropic API (api.anthropic.com) leitet Inferenz-Anfragen standardmäßig an Server in den USA weiter. Der AVV deckt diese Übermittlung durch Standardvertragsklauseln ab. Für Unternehmen, die eine vollständige EU-Datenverarbeitung benötigen, gibt es einen dedizierten Infrastrukturweg.

Amazon Bedrock mit AWS eu-central-1 (Frankfurt) bietet die stärkste EU-Datenresidenz-Option für Claude-Modelle:

  • Claude-Modelle (Claude 3 Haiku, Sonnet, Opus) sind auf Amazon Bedrock in der Region Frankfurt verfügbar.
  • Mit der Konfiguration eu-central-1 verbleibt die Modell-Inferenz vollständig innerhalb Deutschlands.
  • AWS eu-central-1 unterliegt dem AWS-Datenschutznachtrag, der Art. 28 DSGVO-Auftragsverarbeitungspflichten für die Cloud-Infrastruktur erfüllt.
  • Deutsche Unternehmen, die bereits andere Workloads auf AWS Frankfurt betreiben, profitieren von einheitlicher Datenschutz-Governance über ihren gesamten Tech-Stack.

Dieser Ansatz ist direkt vergleichbar mit dem Einsatz von Azure OpenAI mit Datenresidenz in Germany West Central und ist der empfohlene Weg für alle Deployments mit sensiblen personenbezogenen Daten, Gesundheitsdaten oder Finanzdaten, die eine strikte EU-Datenverarbeitung erfordern.

Direkte API mit SCC: Für Anwendungsfälle, bei denen US-basierte Verarbeitung mit entsprechender rechtlicher Dokumentation akzeptabel ist, bieten die SCC im Anthropic AVV den Übermittlungsmechanismus. Ihr Unternehmen muss gemäß Art. 46 DSGVO eine Datentransfer-Folgenabschätzung (Transfer Impact Assessment, TIA) erstellen, die dokumentiert, dass die SCC den konkreten Datenflüssen in der Praxis angemessenen Schutz bieten.

Datenspeicherung und Training-Richtlinien

Für die DSGVO-Praxis ist der Unterschied zwischen der Anthropic API und dem Consumer-Dienst Claude.ai entscheidend:

  • Standard-API-Richtlinie: Anthropic nutzt API-Eingaben und -Ausgaben nicht für das Training, Fine-Tuning oder die Verbesserung seiner Basismodelle. Die übermittelten Daten werden ausschließlich zur Beantwortung der API-Anfrage verwendet.
  • Speicherdauer: Standardmäßig speichert Anthropic API-Anfrage- und Antwortdaten für einen begrenzten Zeitraum zu Missbrauchsprävention und operativen Zwecken. Die genauen Fristen sind in der Anthropic-Datenschutzrichtlinie und im AVV dokumentiert.
  • Zero-Data-Retention-Modus (ZDR): Enterprise-Kunden können den Zero-Data-Retention-Modus beantragen. Dabei speichert Anthropic Prompts und Completions nach Abschluss des API-Aufrufs nicht. Dies ist angemessen für Deployments mit hochsensiblen personenbezogenen Daten, Mandatsgeheimnissen, Gesundheitsdaten oder regulierten Finanzinformationen.
  • Consumer Claude.ai: Das für Endverbraucher ausgelegte Claude.ai-Produkt operiert unter anderen, weitreichenderen Nutzungsbedingungen. DSGVO-Risikoabschätzungen müssen klar zwischen API-Zugang und Consumer-Produkt unterscheiden — es handelt sich um rechtlich unterschiedlich behandelte Dienste.

Halten Sie die geltenden Speichereinstellungen im VVT und in internen Datenschutzfolgeabschätzungen fest.

DSGVO-Rollen: Auftragsverarbeiter vs. Verantwortlicher

Die Rollen bestimmen, wer welche DSGVO-Pflichten trägt:

Anthropic als Auftragsverarbeiter: Wenn Ihre Anwendung personenbezogene Daten an die Anthropic API übermittelt, um eine Aufgabe zu erfüllen — etwa die Bearbeitung von Kundenanfragen, die Erstellung personalisierter Inhalte oder die Analyse von Nutzerdokumenten — handelt Anthropic als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO. Anthropic verarbeitet die Daten auf Ihre dokumentierte Weisung und ist an den AVV gebunden.

Ihr Unternehmen als Verantwortlicher: Das Unternehmen oder der Entwickler, der die API einsetzt, ist der Verantwortliche und trägt die Verantwortung für:

  • Festlegung von Zweck und Rechtsgrundlage der Verarbeitung (Art. 6 DSGVO)
  • Information der Betroffenen in der Datenschutzerklärung, dass ihre Daten durch KI-Systeme verarbeitet werden können
  • Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, sofern die Verarbeitung voraussichtlich ein hohes Risiko für natürliche Personen mit sich bringt — z. B. bei der groß angelegten automatisierten Verarbeitung sensibler Daten
  • Dokumentation des Anthropic-API-Einsatzes im VVT

Anthropic als eigenständiger Verantwortlicher: Für interne Zwecke wie Kontoverwaltung, Abrechnung, Sicherheitsmonitoring und Missbrauchsprävention handelt Anthropic als eigenständiger Verantwortlicher nach seiner eigenen Datenschutzrichtlinie. Diese Verarbeitung ist von der AVV-Beziehung getrennt.

EU AI Act: Pflichten für API-Anbieter und Deployer

Claude-Modelle (Claude 3.x Haiku, Sonnet, Opus) sind KI-Allzweckmodelle (GPAI-Modelle) im Sinne des EU AI Act (Verordnung EU 2024/1689). Das begründet Pflichten sowohl für Anthropic als Modellanbieter als auch für Unternehmen, die Produkte auf Basis der API entwickeln.

Pflichten von Anthropic als GPAI-Modellanbieter (Art. 53 AI Act):

  • Erstellung und Veröffentlichung technischer Dokumentation zu Fähigkeiten, Einschränkungen und Trainingsherkunft des Modells.
  • Veröffentlichung eines Modellsteckbriefs (Model Card) für nachgelagerte Deployer.
  • Einführung einer Urheberrechts-Compliance-Richtlinie nach EU-Richtlinie 2019/790.
  • Kooperation mit Deployern zur Erfüllung ihrer eigenen KI-Act-Pflichten.

Ihre Pflichten als Deployer:

  • Risikoeinstufung: Prüfen Sie, ob Ihre Claude-Anwendung unter die verbotenen Praktiken (Art. 5), Hochrisiko-KI-Systeme (Anhang III) oder die Niedrig-/Minimalrisiko-Kategorie fällt. Standardmäßige Produktivitäts- und interne Tooling-Anwendungen fallen typischerweise unter minimales oder begrenztes Risiko.
  • Transparenzpflicht: Wenn Ihre Anwendung Claude in der Interaktion mit natürlichen Personen einsetzt, die möglicherweise nicht erkennen, dass sie mit einem KI-System kommunizieren, besteht eine Kennzeichnungspflicht nach Art. 50 AI Act.
  • Hochrisiko-Systeme: Anwendungen, die Claude für Bewerbervorauswahl, Kreditwürdigkeitsbewertung oder Entscheidungen in Bildung, Beschäftigung, Grundversorgung oder Strafverfolgung einsetzen, sind Hochrisiko-KI-Systeme nach Anhang III. Sie erfordern Konformitätsbewertung, menschliche Aufsichtsmaßnahmen und technische Dokumentation vor dem Deployment.
  • Freie Berufe: Kanzleien, Gesundheitsdienstleister und Finanzdienstleister sollten den Compliance-Leitfaden für professionelle Dienstleistungen unter dem AI Act heranziehen.

DSGVO-konforme API-Integration: Schritt-für-Schritt-Checkliste

Eine praxisorientierte Checkliste für deutsche Unternehmen und Startups beim Einsatz der Anthropic API:

  1. AVV abschließen — über die Anthropic Console akzeptieren, bevor personenbezogene Daten verarbeitet werden.
  2. Datenresidenz-Pfad festlegen — direkte API mit SCC und TIA oder Amazon Bedrock Frankfurt für EU-interne Verarbeitung ohne Drittlandübermittlung.
  3. Zero-Data-Retention beantragen — wenn sensible personenbezogene Daten, Gesundheitsdaten oder rechtlich geschützte Informationen verarbeitet werden.
  4. Rechtsgrundlage dokumentieren — anwendbaren Art. 6 DSGVO-Tatbestand festhalten und Anthropic API in das VVT aufnehmen.
  5. DSFA durchführen, sofern erforderlich — bei umfangreicher oder hochriskanter Verarbeitung ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vor dem Go-live Pflicht.
  6. Datenschutzerklärung aktualisieren — Endnutzer darüber informieren, dass Daten durch einen KI-Modell-Anbieter als Unterauftragsverarbeiter verarbeitet werden können.
  7. AI-Act-Risikostufe bestimmen — vor dem Deployment prüfen, ob die Anwendung minimal, begrenzt oder hochriskant einzustufen ist.
  8. Betriebsrat einbinden — wenn der API-Einsatz die Arbeit von Mitarbeitern in Deutschland verändert, können Mitbestimmungsrechte nach §87 BetrVG vor dem Rollout bestehen.

Vergleich: Anthropic API vs. Azure OpenAI für EU-Compliance

Anthropic API (direkt)Anthropic über BedrockAzure OpenAI
EU-DatenresidenzUSA-Verarbeitung, SCC decken TransferAWS eu-central-1 (Frankfurt)Germany North / Germany West Central
AVV verfügbarJa (Anthropic Console)Ja (AWS-DPA + Anthropic-AVV)Ja (Microsoft DPA)
Übermittlungsmechanismus nötigJa (SCC + TIA)Nein (EU-Verarbeitung)Nein (EU-Verarbeitung)
Training mit API-DatenNein (Standard)NeinNein
Zero Data RetentionAuf Anfrage verfügbarAuf Anfrage verfügbarPro Deployment konfigurierbar
AI-Act-ModellstatusGPAI (Anthropic)GPAI (Anthropic)GPAI (Microsoft/OpenAI)

Azure OpenAI bietet die ausgereifteste EU-Datenresidenz-Geschichte für Unternehmen, die eine Verarbeitung strikt innerhalb Deutschlands benötigen, ohne über AWS-Infrastruktur zu routen. AWS Bedrock mit Claude ist die bevorzugte Option für Organisationen, die ihren Stack bereits auf AWS Frankfurt betreiben. Unternehmen, die ein vollständig verwaltetes Enterprise-SaaS-Produkt statt einer direkten API-Integration bevorzugen, finden bei Claude Enterprise zusätzliche Verwaltungskontrollen und Zugangsmanagement.

Betriebsratsrechte

Wenn die Anthropic API die Arbeit von Mitarbeitern in Deutschland beeinflusst — etwa durch Automatisierung bisher manueller Aufgaben, Erstellung von Inhalten, die unter dem Namen von Mitarbeitern eingereicht werden, oder Verarbeitung von Arbeitskommunikation — kann der Betriebsrat Mitbestimmungsrechte nach §87 Abs. 1 BetrVG haben.

Dies gilt besonders, wenn die API-Integration Mitarbeiteraktivitäten überwachen, Leistungsbewertungen beeinflussen oder Arbeitsprozesse grundlegend verändern könnte. Binden Sie den Betriebsrat frühzeitig ein: Erläutern Sie den Zweck des Tools, adressieren Sie Datenschutz- und Überwachungsbedenken und vereinbaren Sie eine angemessene Nutzungsrichtlinie vor dem Go-live.

Spezialfall: Kanzleien und Rechtsabteilungen

Wenn Anthropic API in einer Kanzlei oder Rechtsabteilung eingesetzt werden soll, reichen allgemeine DSGVO-Checks allein nicht aus. Berufsrecht, §43e BRAO, Mandatsdaten-Governance und Review-Prozesse kommen hinzu. Den Überblick finden Sie in unserem Leitfaden zu AI APIs für Anwälte: §43a BRAO und DSGVO im Überblick sowie im allgemeinen Compliance-Guide für KI-APIs in Kanzleien.

So hilft Compound Law

  • AVV-Prüfung und Gap-Analyse für Anthropic-API-Deployments
  • Erstellung der Transfer-Folgenabschätzung (TIA) für EU–US-Datenflüsse
  • Vorbereitung der Datenschutz-Folgenabschätzung (DSFA) für umfangreiche oder sensible Anwendungsfälle
  • AI-Act-Risikoeinstufung und technische Dokumentationsunterstützung
  • Betriebsratskoordination und Verhandlung von Betriebsvereinbarungen
  • Laufendes Compliance-Monitoring und Richtlinienaktualisierungen bei Änderungen der Anthropic-Nutzungsbedingungen

Weitere Tool-Guides

Airtable DSGVO und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

Airtable DSGVO: Hat Airtable einen Auftragsverarbeitungsvertrag (AVV)?

Airtable AI und DSGVO: AVV nur für Enterprise. Datentransfer, KI-Funktionen 2025, Unterauftragsverarbeiter und Betriebsratspflichten im Überblick.
Claude Team vs. Enterprise Tarifvergleich für deutsche Unternehmen
tools

Claude Team vs. Enterprise: Tarifvergleich für Unternehmen in Deutschland

Claude Team (~25 €/Nutzer/Monat) vs. Claude Enterprise: Funktionen, DSGVO-Unterschiede und welcher Tarif für Ihr Unternehmen geeignet ist.
Anthropic Standardvertragsklauseln SCC Modul 2 Modul 3 DSGVO Datenübermittlung
tools

Anthropic Standardvertragsklauseln (SCC): DSGVO-Leitfaden Modul 2 und 3

Anthropics EU-SCCs (Modul 2 und 3) sind automatisch im AVV enthalten. Welches Modul gilt für Ihr Unternehmen und was ist zusätzlich erforderlich?
Claude Zero Data Retention ZDR Leitfaden DSGVO-Datensparsamkeit für Unternehmen in Deutschland
tools

Claude Zero Data Retention (ZDR): Leitfaden für Unternehmen

Anthropics Zero Data Retention (ZDR): Eingaben und Ausgaben werden nach der API-Antwort nicht gespeichert. Berechtigte, Ausnahmen und DSGVO-Datensparsamkeit.
Claude Enterprise für Kanzleien und juristische Rechtsabteilungen
tools

Claude Enterprise für Kanzleien und Rechtsabteilungen

Claude Enterprise für Kanzleien: Vertragsanalyse, Due Diligence und Compliance-Dokumentation DSGVO-konform einsetzen — Leitfaden für Juristen.
Zapier DSGVO 2026 — AVV, Art. 28, SCCs und EU-Datentransfer fuer deutsche Unternehmen
tools

Zapier DSGVO 2026: AVV, Art. 28 & EU-Datentransfer aktuell

Ist Zapier DSGVO-konform? AVV nach Art. 28, SCCs, EU-Datenhaltung und Datentransfer 2026 — aktueller Compliance-Leitfaden fuer Deutschland.

Mehr KI-Tools durchsuchen

Häufige Fragen

Ist die Anthropic API DSGVO-konform?

Die Anthropic API kann DSGVO-konform eingesetzt werden, wenn ein AVV nach Art. 28 DSGVO abgeschlossen wird, eine geeignete Rechtsgrundlage nach Art. 6 DSGVO vorliegt und ein zulässiger Mechanismus für EU–US-Datenübermittlungen — etwa Standardvertragsklauseln — vereinbart ist. API-Eingaben werden von Anthropic standardmäßig nicht für das Training der Modelle genutzt.

Bietet Anthropic einen Auftragsverarbeitungsvertrag (AVV) an?

Ja. Anthropic stellt einen Auftragsverarbeitungsvertrag zur Verfügung, der über die Anthropic Console akzeptiert werden kann. Er umfasst die Pflichten nach Art. 28 DSGVO, Standardvertragsklauseln für EU–US-Transfers, Angaben zu Unterauftragsverarbeitern, technisch-organisatorische Maßnahmen, Meldepflichten bei Datenpannen und Löschverpflichtungen.

Verarbeitet Anthropic API-Daten in der EU?

Die direkte Anthropic API verarbeitet Daten standardmäßig in den USA; Standardvertragsklauseln decken diese Übermittlung ab. Unternehmen, die Claude über Amazon Bedrock mit der Region AWS eu-central-1 (Frankfurt) einsetzen, halten die Verarbeitung vollständig innerhalb der EU — der stärkste verfügbare Datenresidenz-Ansatz unter der DSGVO.

Trainiert Anthropic die Modelle mit API-Daten?

Nein. Anthropic nutzt API-Eingaben und -Ausgaben standardmäßig nicht für das Training oder die Verbesserung seiner Basismodelle. Enterprise-Kunden können zusätzlich den Zero-Data-Retention-Modus beantragen, bei dem Anthropic Prompts und Completions nach Abschluss des API-Aufrufs nicht speichert.

Welche Rolle nimmt Anthropic unter der DSGVO ein — Auftragsverarbeiter oder Verantwortlicher?

Wenn Anthropic im Rahmen der API personenbezogene Daten im Auftrag eines Unternehmens verarbeitet, handelt Anthropic als Auftragsverarbeiter nach Art. 28 DSGVO. Das Unternehmen, das die API nutzt, ist der Verantwortliche und trägt die Verantwortung für Rechtsgrundlage, Betroffeneninformation und DSGVO-Konformität.

Kostenlos beraten