Claude AVV 2026: Anthropic AVV für Deutschland

Was ist der Anthropic AVV für Claude?

Ja. Anthropic bietet für kommerzielle Produkte wie Claude Enterprise und die Claude API einen Auftragsverarbeitungsvertrag (AVV) inklusive SCCs. Ob dieser Anthropic AVV für den konkreten Claude-Einsatz in Deutschland ausreicht, hängt vom Workflow, den Datenarten und den internen Compliance-Anforderungen ab.

• Der Anthropic AVV ist in die Commercial Terms einbezogen und enthält SCCs für Drittlandtransfers.
• Unternehmen müssen Rollenverteilung, Speicherfristen, Subprozessoren und Drittlandtransfer konkret prüfen.
• Mitarbeiterdaten, Art.-9-Daten und besonders vertrauliche Dokumente verlangen eine strengere Einzelfallprüfung.

Ja, Anthropic stellt fuer Claude Enterprise und die Claude API einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO bereit — haeufig auch als Anthropic AVV bezeichnet. Gemeint ist derselbe Vertrag fuer die kommerzielle Nutzung von Claude, der Bestandteil der Commercial Terms ist und elektronisch ueber das Anthropic-Kundenportal abgerufen und bestaetigt wird. Fuer Unternehmen in Deutschland genuegt das Vorhandensein des AVV allein jedoch nicht. Entscheidend ist, ob der Claude AVV zum konkreten Einsatz, den verarbeiteten Datenarten und den internen Compliance-Anforderungen passt. Diese Seite erklaert, wie Sie den AVV abrufen, was er abdeckt und wann eine tiefergehende Einzelfallpruefung erforderlich ist.

Dieser Beitrag ist allgemeine Information und keine Rechtsberatung fuer den Einzelfall. Den vollstaendigen DSGVO-Pruefrahmen fuer den Claude-Einsatz — mit Rechtsgrundlage, DSFA-Pflicht und Checkliste — behandelt unsere Seite zur Claude DSGVO-Pruefung. Einen umfassenderen Ueberblick ueber den betrieblichen Einsatz von Claude Enterprise finden Sie auf unserer Seite zu Claude Enterprise. Spezifische DSGVO-Hinweise fuer Claude Team finden Sie auf unserer Seite zum Claude Team Datenschutz. Entwickler, die Claude Code oder die API nutzen, finden API-spezifische Compliance-Informationen in unserem Claude Code DSGVO-Leitfaden.

Auf einen Blick — Claude AVV:

• Anthropic stellt fuer Claude Enterprise und die Claude API einen AVV nach Art. 28 DSGVO bereit.
• Der AVV ist in die Commercial Terms eingebettet und enthaelt SCCs fuer internationale Datentransfers.
• Kostenlose Plaene (Claude Free, Claude Pro) enthalten keinen AVV — der Mindest-Tarif fuer DSGVO-konformen Geschaeftsbetrieb ist Claude Team.
• Das Vorhandensein des AVV genuegt nicht: Rollenverteilung, Datenkategorien, Transferpfade und Subprozessoren muessen einzelfallbezogen geprueft werden.

So erhalten Sie den Anthropic AVV

Den Anthropic AVV gibt es nicht als separates PDF zum Herunterladen. Er ist Bestandteil der Anthropic Commercial Terms und wird elektronisch ueber das Anthropic-Kundenportal abgerufen. Kostenlose Claude.ai-Konten haben keinen Zugang zu einem AVV — der Vertrag setzt einen kostenpflichtigen API- oder Enterprise-Plan voraus.

Der Anthropic AVV in drei Schritten:

1. Anthropic Console aufrufen: Melden Sie sich unter console.anthropic.com an (fuer API-Kunden) oder wenden Sie sich an Ihre Enterprise-Ansprechperson bei Anthropic.
2. Datenschutz- oder Vertragseinstellungen aufrufen: Im Kundenportal finden Sie unter den Privacy- oder Legal-Einstellungen Zugang zur aktuellen DPA. Anthropic stellt darueber hinaus ueber help.anthropic.com Ressourcen zur DPA-Unterzeichnung bereit.
3. Elektronisch bestaetigen: Der AVV wird nicht auf einem separaten Papierdokument unterzeichnet, sondern elektronisch im Portal bestaetigt und gilt damit als Bestandteil der Commercial Terms.

Wichtig: Nur Kunden mit einem kostenpflichtigen Anthropic-Vertrag — Claude API oder Claude Enterprise — koennen einen AVV abschliessen. Nutzer des kostenlosen Claude.ai-Plans haben keinen Zugang zu einem Auftragsverarbeitungsvertrag. Fuer den AVV-Ueberblick und weitere DSGVO-Tools besuchen Sie unsere Seite zum Auftragsverarbeitungsvertrag.

Was ist der Claude AVV?

Der Begriff Claude AVV bezeichnet den vertraglichen Rahmen, den Anthropic fuer die Auftragsverarbeitung nach Art. 28 DSGVO bereitstellt. Aus DSGVO-Sicht ist Anthropic bei kommerziellen Produkten wie Claude Enterprise und der Claude API grundsaetzlich als Auftragsverarbeiter einzuordnen, weil das Unternehmen personenbezogene Daten im Auftrag der kundenseitigen Organisation verarbeitet.

Dabei ist eine wichtige Unterscheidung zu beachten:

• Direkter Bezug bei Anthropic (Claude Enterprise, Claude for Work, Claude API): Die Anthropic Commercial Terms einschliesslich DPA und SCCs gelten als Vertragsgrundlage.
• Bezug ueber Drittplattform (z.B. Amazon Bedrock, andere Cloud-Anbieter): Der Vertragsstack des jeweiligen Anbieters ist massgeblich. Hier prueft man nicht den Anthropic-AVV, sondern den AVV des Plattformanbieters.

Diese Unterscheidung klingt technisch, hat aber erhebliche rechtliche Konsequenzen fuer den Beschaffungsprozess.

Claude Enterprise AVV: Besonderheiten fuer Unternehmensvertraege

Fuer Unternehmen, die Claude Enterprise direkt bei Anthropic beziehen, gilt grundsaetzlich dieselbe DPA wie fuer API-Kunden — der Vertrag ist Bestandteil der Commercial Terms und wird nicht separat ausgehandelt. Der Unterschied liegt in der Beziehung und im Support: Claude Enterprise-Kunden erhalten einen dedizierten Anthropic-Ansprechpartner, der bei Vertrags- und Compliance-Fragen unterstuetzt.

Wie Enterprise-Kunden den AVV abrufen und bestaetigen:

1. Ueber den zugewiesenen Anthropic Enterprise Account Manager koennen Kunden die aktuelle DPA-Fassung anfordern und Compliance-Fragen direkt klaeren.
2. Die Bestaetigung erfolgt elektronisch ueber das Anthropic-Kundenportal — eine gesonderte Papierdokumentation wird bei Standardeinsatz nicht ausgestellt.
3. Unternehmen sollten die geltende Vertragsfassung intern dokumentieren und das Datum der Genehmigung im Vendor-Register festhalten.

EU-spezifische Besonderheiten und Data Residency:

Claude Enterprise bietet kein standardmaessiges EU-only-Hosting. Anthropic stellt SCCs fuer internationale Datentransfers bereit, aber Unternehmen mit strikten Anforderungen an die Datenlokation sollten die genaue Infrastruktur schriftlich bestaetigen lassen. Ein optionales Zero-Data-Retention-Add-on (ZDR) reduziert die Speicherung von Prompts und Outputs, ist jedoch kein Ersatz fuer eine vollstaendige Transferpruefung. Wer Claude Enterprise als Alternative zu einer On-Premise-Loesung oder einem EU-Cloud-Anbieter evaluiert, sollte Architektur, Zugriffsszenarien und Vertragslage direkt mit Anthropic abklaeren, bevor die DSFA-Entscheidung getroffen wird.

Was muss der AVV nach Art. 28 DSGVO enthalten?

Art. 28 DSGVO legt zwingend fest, was ein Auftragsverarbeitungsvertrag regeln muss. Unternehmen sollten pruefen, ob der Anthropic-AVV diese Pflichtinhalte vollstaendig und fuer ihren Einsatz passend abdeckt:

Pflichtinhalt	Was zu pruefen ist
Gegenstand und Dauer der Verarbeitung	Ist der konkrete Verarbeitungsgegenstand ausreichend beschrieben?
Art und Zweck der Verarbeitung	Stimmen die im AVV genannten Zwecke mit dem tatsaechlichen Einsatz ueberein?
Art der personenbezogenen Daten	Sind alle Datenkategorien erfasst, die im Workflow verarbeitet werden?
Kategorien betroffener Personen	Sind Kunden, Mitarbeiter, Nutzer korrekt abgegrenzt?
Weisungsgebundenheit	Ist klar geregelt, dass Anthropic nur auf Weisung verarbeitet?
Vertraulichkeitspflichten	Sind Vertraulichkeitszusagen fuer Anthropic-Mitarbeitende belastbar?
Sicherheitsmassnahmen (Art. 32 DSGVO)	Sind technische und organisatorische Massnahmen konkret benannt?
Subprozessoren	Ist eine aktuelle Liste vorhanden und ein Genehmigungsregime geregelt?
Betroffenenrechte	Ist die Unterstuetzung bei Auskunfts-, Loeschungs- und Berichtigungsanfragen geregelt?
Loeschung und Rueckgabe	Gibt es klare Fristen und Optionen nach Vertragsende?
Auditrechte	Kann das Unternehmen Kontrollen durchfuehren oder Nachweise einfordern?

Der Anthropic-AVV deckt diese Pflichtinhalte grundsaetzlich ab, aber Rechts- und Datenschutzteams sollten pruefen, ob die konkrete Vertragsfassung und die aktuellen Service-Dokumentationen mit dem geplanten Workflow in Einklang stehen.

Claude AVV und Drittlandtransfer (SCCs)

Eine der haeufigstenBeschaffungsfragen lautet: “Bleiben unsere Daten wirklich in der EU?” Anthropic verarbeitet Daten auf Infrastruktur, die sich nicht ausschliesslich im EWR befinden muss. Deshalb sind Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO der zentrale Transfermechanismus.

Anthropic erklaert, dass die SCCs fuer kommerzielle Produkte automatisch in die Commercial Terms einbezogen sind. Trotzdem muessen Unternehmen folgende Punkte eigenstaendig pruefen:

• Transferpfade dokumentieren: Welche Laender ausserhalb des EWR koennen Daten erhalten? Das betrifft Speicher, Verarbeitung und potenziellen Supportzugriff.
• Subprozessoren pruefen: Anthropic setzt seinerseits Unterauftragsverarbeiter ein. Die Frage ist, ob diese ebenfalls ausserhalb des EWR operieren und ob die SCCs konsequent weitergegebenwurden.
• Transfer Impact Assessment: Fuer sensible Datenarten oder strenge interne Anforderungen kann ein eigenstaendiges Transfer Impact Assessment erforderlich sein.
• EU-only-Hosting vs. EU-only-Verarbeitung unterscheiden: Diese Begriffe werden oft verwechselt. Wer strikte EU-Datenlokation benoetigt, sollte die konkrete Architektur von Anthropic schriftlich bestaetigen lassen.

Claude AVV fuer verschiedene Datenarten

Die Tragfaehigkeit des Claude AVV haengt stark davon ab, welche Daten tatsaechlich in den Workflow einfliessen.

Kundendaten

Bei Kundendaten ist der Claude-Einsatz in vielen Faellen vertretbar, wenn der Workflow sorgfaeltig gestaltet ist. Sicherer sind Szenarien mit begrenzten Metadaten, pseudonymisierten Inhalten oder nicht sensiblen operativen Daten. Schwieriger wird es bei grossflaechiger Kundenkommunikation, identifizierbaren Beschwerden oder Vertragsinhalten mit klarem Personenbezug.

Mitarbeiterdaten

Mitarbeiterdaten verlangen in Deutschland eine besonders gruendliche Pruefung. Sobald Claude fuer Hiring, Leistungsbewertung, Produktivitaetsanalyse oder andere arbeitsbezogene Auswertungen eingesetzt wird, koennen Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG beruehrt sein. Darueber hinaus ist zu pruefen, ob eine Datenschutz-Folgenabschaetzung (DSFA) nach Art. 35 DSGVO erforderlich wird. Der AVV allein loest diese arbeitsrechtlichen Fragen nicht.

Besondere Kategorien (Art. 9 DSGVO)

Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehoerigkeit und andere Art.-9-Daten unterliegen einem deutlich strengeren Pruefungsmassstab. Ein Standardrollout von Claude Enterprise genuegt hier regelmaessig nicht. Die Verarbeitung erfordert nicht nur einen tragfaehigen AVV, sondern auch eine geeignete Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO und in vielen Faellen eine DSFA.

Geschaeftsgeheimnisse und vertrauliche Dokumente

Nicht jedes Risiko ist ein Datenschutzrisiko. Wer Claude fuer Due-Diligence-Dokumente, Term Sheets, M&A-Vorbereitung oder interne Ermittlungen einsetzen moechte, muss neben dem AVV auch Geheimhaltungsanforderungen, Zugriffsrechte und interne Freigabeprozesse pruefen.

Was der Anthropic AVV nicht abdeckt

Der Anthropic AVV legt den vertraglichen Rahmen fuer die Auftragsverarbeitung fest — wichtige Compliance-Pflichten verbleiben aber beim einsetzenden Unternehmen als Verantwortlichem. Haeufig wird irrtuemlicherweise davon ausgegangen, dass ein abgeschlossener AVV die DSGVO-Anforderungen vollstaendig erfuellt. Das stimmt nicht.

Pflichten, die beim Verantwortlichen verbleiben:

• Verarbeitungsverzeichnis (Art. 30 DSGVO). Das Unternehmen muss den Claude-Einsatz im eigenen Verarbeitungsverzeichnis dokumentieren — einschliesslich Zwecken, Datenkategorien und Transferpfaden.
• Datenschutz-Folgenabschaetzung (DSFA, Art. 35 DSGVO). Der AVV loest keine DSFA aus und ersetzt sie nicht. Ob eine DSFA erforderlich ist, haengt vom konkreten Workflow, den Datenarten und dem Einsatzumfang ab.
• Rechtsgrundlage (Art. 6 DSGVO). Der AVV regelt die Auftragsverarbeiter-Beziehung — er begruendet keine Rechtsgrundlage fuer die Verarbeitung. Das Unternehmen muss fuer jeden Claude-Anwendungsfall eine tragfaehige Rechtsgrundlage eigenstaendig identifizieren und dokumentieren.
• Management von Betroffenenrechten. Anthropic muss nach dem AVV bei Betroffenenanfragen mitwirken; das Unternehmen muss eigene Verfahren fuer den direkten Kontakt mit betroffenen Personen — Auskunft, Loeschung, Berichtigung — etablieren.

Was der AVV nicht ersetzen kann:

• EU-only-Datenlokation. Der AVV enthaelt SCCs fuer internationale Transfers, garantiert aber nicht, dass Daten ausschliesslich im EWR verbleiben. Ein AVV ist kein Ersatz fuer EU-Hosting.
• EU-AI-Act-Compliance. Wenn Claude fuer Hochrisiko-KI-Anwendungsfaelle nach dem EU AI Act eingesetzt wird, adressiert der AVV keine Konformitaetsbewertungen, technische Dokumentation oder Deployer-Pflichten nach dieser Verordnung.
• Branchenspezifische Regulierung. In Gesundheitsversorgung, Finanzdienstleistungen und regulierten Berufen koennen Pflichten bestehen, die ueber die DSGVO hinausgehen und im Anthropic-AVV nicht adressiert werden.

Claude AVV vs. ChatGPT Enterprise vs. Gemini Workspace DPA

Beim Vergleich von Claude mit Alternativen muessen Beschaffungs- und Legal-Teams AVV-Merkmale gegenueberstellen. Die folgende Tabelle fasst oeffentlich verfuegbare Informationen mit Stand 2026 zusammen — pruefen Sie aktuelle Vertragsbedingungen vor dem Procurement direkt beim jeweiligen Anbieter.

Merkmal	Claude (Anthropic)	ChatGPT Enterprise (OpenAI)	Gemini for Google Workspace
AVV-Grundlage	In Commercial Terms eingebettet	In Enterprise Terms eingebettet	In Google-Workspace-Nutzungsbedingungen eingebettet
SCCs fuer EU–US-Transfer	Ja	Ja	Ja
EU-Datenlokation	Nicht als Standard verfuegbar	Fuer Enterprise (EWR-Region) verfuegbar	Verfuegbar (EU Data Boundary-Option)
Zero Data Retention (ZDR)	Ja (API- und Enterprise-Add-on)	Kein Modelltraining mit Enterprise-/API-Daten	Kein Modelltraining mit Workspace-Daten
AVV-Verhandlung	Eingeschraenkt (Enterprise-Kunden)	Eingeschraenkt (Enterprise-Kunden)	Eingeschraenkt (grosse Enterprise-Vertraege)
Benachrichtigung bei Sub-Prozessor-Aenderungen	Ja	Ja	Ja
Nutzung fuer Modelltraining	Nein (mit Commercial Terms)	Nein (Enterprise/API)	Nein (Google Workspace)

Was das in der Praxis bedeutet: Alle drei Anbieter stellen AVV-Rahmenwerke bereit, die die strukturellen Anforderungen von Art. 28 DSGVO grundsaetzlich erfuellen. Die entscheidenden Differenzierungsmerkmale fuer den Einsatz in Deutschland sind Datenlokation und Retention-Optionen. Wenn EU-only-Datenspeicherung eine harte Anforderung ist, bieten ChatGPT Enterprise und Gemini for Google Workspace regionale Optionen, die Claude nicht als Standardmerkmal abdeckt. Wenn primaer die Nicht-Speicherung von Prompts und Outputs im Vordergrund steht, ist die ZDR-Option von Claude das massgebliche Differenzierungsmerkmal.

Einen ausfuehrlichen Leitfaden zur DSGVO-konformen Nutzung von Claude finden Sie auf unserer Seite zur Claude DSGVO-Pruefung.

Checkliste — Claude AVV vor dem Rollout

Bevor Claude Enterprise oder die Claude API produktiv eingesetzt wird, sollten Legal- und Datenschutzteams diese Punkte abgehakt haben:

1. AVV und DPA heruntergeladen und mit konkretem Workflow abgeglichen? Pruefen Sie, ob Gegenstand, Zweck und Datenkategorien im Vertrag zu Ihrem tatsaechlichen Einsatz passen.
2. Rollenverteilung (Auftragsverarbeiter vs. Verantwortlicher) geklaert? Bestaetigen Sie, dass Anthropic fuer Ihren Workflow als Auftragsverarbeiter handelt, und legen Sie die eigene Verantwortlichkeit dokumentiert fest.
3. SCCs und Drittlandtransfer dokumentiert? Erfassen Sie, welche Laender ausserhalb des EWR involviert sind, und belegen Sie den Transfermechanismus in Ihrer Verarbeitungstaetigkeits-aufzeichnung.
4. Subprozessoren geprueft und im Vendor-Register erfasst? Fragen Sie die aktuelle Subprozessorliste an und halten Sie die Pruefung im Vendor-Management-System fest.
5. Mitarbeiterdaten oder Art.-9-Daten separat bewertet? Klaren Sie fruehzeitig, ob Betriebsrat, HR und Privacy eingebunden werden muessen und ob eine DSFA erforderlich ist.

Wann reicht der Claude AVV nicht aus?

Der Anthropic-AVV ist eine notwendige, aber keine hinreichende Bedingung fuer einen rechtskonformen Claude-Einsatz. Eine vertiefte Pruefung ist regelmaessig erforderlich, wenn:

• der Claude-Workflow grosse Mengen an Kundenkommunikation, Vertragsunterlagen oder Support-Tickets verarbeitet
• Mitarbeiterdaten, Bewerberdaten oder leistungsbezogene Auswertungen einfliessen
• besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO betroffen sind
• strikte EU-Lokation oder spezifische Zertifizierungsanforderungen vorliegen
• branchenspezifische Regulierung (Finanz, Gesundheit, regulierte Beratung) zu beachten ist

In diesen Szenarien genuegt es nicht, den AVV abzuhaken. Stattdessen wird eine Gesamtbeurteilung von AVV, Verarbeitungsarchitektur, Rechtsgrundlage, Transfermechanismus und internen Governance-Regeln benoetigt.

Compound Law unterstuetzt Unternehmen, Gruender und In-house-Teams in Deutschland bei der Pruefung von KI-Vertraegen, DSGVO-Compliance und der Gestaltung von AI-Procurement-Prozessen. Wenn Sie den Claude AVV oder einen anderen KI-Anbietervertrag vor dem Rollout pruefen moechten, nehmen Sie Kontakt auf.

FAQ

Was ist der Unterschied zwischen Anthropic AVV und Claude AVV?

Anthropic AVV und Claude AVV bezeichnen denselben Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Anthropic (die rechtliche Einheit hinter den Claude-Produkten) stellt diesen Vertrag fuer seine kommerziellen Produkte — Claude Enterprise und die Claude API — bereit. Der Begriff „Anthropic AVV” betont die vertragschliessende Partei; „Claude AVV” stellt das Produkt in den Vordergrund. Gemeint ist stets dasselbe Dokument.

Was ist der Claude AVV?

Der Claude AVV (Auftragsverarbeitungsvertrag) ist der vertragliche Rahmen, den Anthropic fuer kommerzielle Produkte wie Claude Enterprise und die Claude API bereitstellt, um die Anforderungen von Art. 28 DSGVO zu erfuellen. Er ist in die Commercial Terms einbezogen und enthaelt Standardvertragsklauseln (SCCs) fuer internationale Datentransfers.

Ist der Claude AVV fuer Art. 28 DSGVO ausreichend?

Der Anthropic-AVV deckt die Pflichtinhalte von Art. 28 DSGVO grundsaetzlich ab. Ob er fuer Ihren konkreten Einsatz ausreicht, haengt davon ab, ob Rollenverteilung, Datenkategorien, Transferpfade und Subprozessoren korrekt erfasst sind und zum tatsaechlichen Workflow passen.

Gilt der Claude AVV auch fuer die Claude API?

Ja. Anthropic erklaert, dass die DPA mit SCCs fuer kommerzielle Produkte einschliesslich der Claude API gilt. Wer Claude ueber eine Drittplattform wie Amazon Bedrock nutzt, muss den Vertragsstack des jeweiligen Anbieters separat pruefen.

Was kostet ein Claude Enterprise AVV?

Ein gesondert kostenpflichtiger AVV wird von Anthropic nicht angeboten. Der AVV ist Bestandteil der Commercial Terms und damit automatisch Teil der kostenpflichtigen Produkte wie Claude Enterprise oder die Claude API.

Wer muss den Claude AVV unterzeichnen?

Bei direktem Vertragsschluss mit Anthropic ist der AVV Bestandteil der Commercial Terms und wird nicht als separates Dokument unterzeichnet. Unternehmen sollten die aktuell gueltige Version der Commercial Terms und DPA herunterladen, intern dokumentieren und mit dem konkreten Workflow abgleichen.

Wo finde ich den Anthropic AVV zum Download?

Den Anthropic AVV gibt es nicht als separates PDF. Er ist in die Anthropic Commercial Terms eingebettet und wird elektronisch ueber das Kundenportal (console.anthropic.com) abgerufen und bestaetigt. Informationen zur Unterzeichnung stellt Anthropic auch ueber help.anthropic.com bereit.

Gilt der Claude AVV auch fuer den kostenlosen Plan?

Nein. Ein Auftragsverarbeitungsvertrag steht ausschliesslich Kunden mit einem kostenpflichtigen Anthropic-Vertrag zur Verfuegung — also Nutzer der Claude API oder von Claude Enterprise. Wer Claude ueber den kostenlosen Claude.ai-Plan nutzt, kann keinen AVV abschliessen und sollte keine personenbezogenen Daten verarbeiten, fuer die ein AVV erforderlich waere.