Ist Claude Code DSGVO-konform? AVV, Datenspeicherung und Hosting
Kurzantwort
Ja, Claude Code kann fuer deutsche Unternehmen DSGVO-konform eingesetzt werden, aber nur mit kommerziellem Deployment und dokumentierten Kontrollen. Entscheidend sind Repository-Inhalte, 30-Tage-Speicherung, lokaler Transkript-Cache und die Frage, ob Team ausreicht oder Enterprise, Bedrock, Vertex oder ZDR noetig sind.
- Kommerzielle Claude-Code-Sitzungen werden standardmaessig 30 Tage gespeichert, und lokale Clients cachen Transkripte ebenfalls 30 Tage.
- Claude Team kann fuer risikoaermere Workflows reichen, waehrend Enterprise oder ein Cloud-Provider-Pfad fuer sensible Repositories oft besser passt.
- Bei Personendaten, Kundengeheimnissen oder mitbestimmungsrelevanten Auswertungen brauchen Recht und Engineering vor dem Rollout eine Freigabe.
Claude Code kann fuer deutsche Unternehmen DSGVO-konform einsetzbar sein, aber nicht pauschal. Die belastbare Antwort fuer 2026 ist technischer als viele aeltere Datenschutzseiten: Sie brauchen einen kommerziellen Deployment-Pfad, eine dokumentierte Auftragsverarbeitung, klare Regeln dazu, welche Repository-Inhalte in Prompts auftauchen duerfen, und eine Pruefung der standardmaessigen 30-Tage-Speicherung. Hinzu kommt, dass der lokale Client Sitzungsprotokolle auf dem Entwicklergeraet standardmaessig im Klartext zwischenspeichert. Wenn Ihr Unternehmen strengere Speicher-, Audit- oder Regionsanforderungen hat, sind Claude Enterprise, AWS Bedrock, Google Vertex AI oder ein qualifizierter Zero-Data-Retention-(ZDR)-Pfad regelmaessig die passendere Architektur.
Diese Seite gibt allgemeine rechtliche Informationen und ersetzt keine Rechtsberatung fuer den konkreten Einzelfall. Fuer die Vertragsebene lesen Sie zuerst unseren Leitfaden zum Anthropic DPA. Fuer den groesseren Einordnungsrahmen sind auch Claude DSGVO, Claude Team Datenschutz, Claude Enterprise, unser Leitfaden zu Claude ZDR und unsere Seite zur KI-Beschaffung unter der DSGVO relevant.
Ist Claude Code 2026 DSGVO-konform?
Ja, unter Bedingungen. Claude Code ist keine eigene datenschutzrechtliche Sonderwelt. Die Zulassungsfrage haengt davon ab, auf welchem kommerziellen Pfad Sie das Tool einsetzen und welche Daten Ihre Repositories tatsaechlich enthalten.
Fuer deutsche Unternehmen sieht die praktische Trennlinie meist so aus:
- Consumer-Accounts sind keine tragfaehige Basis fuer Repository-Arbeit mit personenbezogenen Daten.
- Kommerzielle Claude-Code-Nutzung kann auf einen verteidigungsfaehigen DSGVO-Pfad gestellt werden, weil Anthropic Team-, Enterprise- und API-Nutzung dem kommerziellen Rahmen zuordnet.
- Das eigentliche Risiko liegt im Repository-Inhalt, nicht im CLI-Namen. Sobald Quellcode Mitarbeiterdaten, Kundendaten, Produktionsdaten, Zugangstoken oder vertrauliche Due-Diligence-Unterlagen beruehrt, wird die rechtliche Pruefung deutlich strenger.
- Datensparsamkeit gilt weiterhin. Auch mit nutzbarem Vertragsrahmen muessen Sie festlegen, welche Dateien, Prompts, Logs und Tickets ueberhaupt durch Claude Code verarbeitet werden duerfen.
Die knappe Suchantwort lautet deshalb: Claude Code ist fuer risikoaermere Engineering-Workflows oft zulaessig, aber kein ungovernter Standard fuer jedes Repository.
Wo Claude Code das DSGVO-Risiko erzeugt
Die Seite hatte an Sichtbarkeit verloren, weil Suchende nicht mehr nur nach einem AVV fragen. Sie wollen wissen, welche technischen Expositionspunkte im echten Engineering-Workflow entstehen.
Repository-Inhalte und Prompt-Exposition
Claude Code laeuft lokal. Das bedeutet aber nicht, dass keine Daten das Geraet verlassen. Rechtlich entscheidend ist, welche Repository-Teile in Prompts, Diffs, Ausgaben oder Sitzungszustand beim Modellanbieter landen.
Typische Hochrisiko-Beispiele:
- Repositories mit personenbezogenen Daten in Testdaten, Screenshots, Logs, Tickets oder kopierten Produktionsauszuegen
- Workspaces mit API-Keys, Secrets, Zertifikaten oder Tokens
- Repositories mit Bezug zu Mitarbeiterueberwachung, internen Untersuchungen oder HR-Workflows
- juristische oder kaufmaennische Repositories mit M&A-, Vertrags- oder regulierten Brancheninhalten
Wenn ein Entwickler den Inhalt in der Claude-Code-Sitzung oeffnen kann, sollte Ihr Unternehmen eine dokumentierte Regel dazu haben, ob dieses Material verarbeitet werden darf.
Speicherfristen, Telemetrie und lokale Sitzungsprotokolle
Die aktuelle Claude-Code-Dokumentation von Anthropic ist deutlich konkreter als viele aeltere DSGVO-Erklaerungen. Fuer kommerzielle Nutzer nennt Anthropic eine standardmaessige Speicherdauer von 30 Tagen. Gleichzeitig dokumentiert Anthropic, dass Claude-Code-Clients Sitzungsprotokolle lokal im Klartext im Nutzerprofil standardmaessig 30 Tage aufbewahren, sofern Sie die Aufraeumfrist nicht aendern.
Das ist aus zwei Gruenden wichtig:
- Serverseitige Retention und lokales Caching sind unterschiedliche Risiken.
- “Nicht fuer Training verwendet” ist nicht gleich “nicht gespeichert”.
Fuer regulierte Engineering-Teams kann der lokale Klartext-Cache genauso relevant sein wie die serverseitige Speicherung. Datenschutz- und Security-Teams sollten daher auch Geraeteverschluesselung, Endpoint-Controls und die zulaessige Cache-Dauer pruefen.
Workspace-Grenzen und Zugriffsumfang
Anthropic erklaert, dass Claude Code auf das Repository zugreift, in dem die Sitzung gestartet wird, und dass Remote-Control-Sitzungen weiterhin auf der lokalen Maschine laufen statt in einer Anthropic-Cloud-VM. Das ist hilfreich, ersetzt aber keine Governance. Alles, was waehrend der Sitzung in Prompts, Outputs oder Repository-Kontext gelangt, laeuft weiterhin ueber den konfigurierten Modellanbieter.
Die richtige Freigabefrage lautet daher: Was darf die Sitzung lesen, und was darf der Nutzer daraus an den Anbieter uebermitteln?
Wann Claude Team ausreicht und wann Sie mehr brauchen
Die aktuelle kommerzielle Antwort lautet nicht mehr nur “nehmen Sie die API”. Anthropics Deployment-Dokumentation stellt Team und Enterprise inzwischen fuer die meisten Organisationen in den Vordergrund; Bedrock, Vertex oder andere Provider-Pfade sind vor allem bei strengeren Infrastrukturvorgaben relevant.
| Situation | Typischer Pfad |
|---|---|
| Kleines Engineering-Team, risikoaermere Repositories, keine besonderen Audit- oder Regionspflichten | Claude Team kann ausreichen |
| Bedarf an SSO, Rollensteuerung, Managed Settings oder staerkerer Organisations-Governance | Claude Enterprise |
| Bedarf an AWS- oder GCP-nativer Regions-, IAM- oder Logging-Steuerung | Bedrock oder Vertex |
| Bedarf an moeglichst strikter Speicherpraxis fuer geeignete Workflows | Qualifizierter ZDR-Pfad |
| Repositories mit sensiblen Personendaten, hochvertraulichen Inhalten oder mitbestimmungsrelevanter Entwicklerauswertung | Individuelle Rechtspruefung vor Rollout |
Zwei Hinweise sind besonders wichtig:
- ZDR ist kein Standard. Anthropic beschreibt ZDR als qualifizierte Sonderkonfiguration, nicht als automatische Enterprise-Funktion.
- Cloud-Provider-Deployment veraendert den Vertragsstack. Wenn Claude Code ueber Bedrock oder Vertex laeuft, muessen Sie die Datenschutz- und Logging-Struktur des jeweiligen Providers mitpruefen und nicht nur Anthropics Commercial Terms.
Claude-Code-Checkliste fuer Rechtsabteilung und Engineering
Vor einem breiten Rollout in einem deutschen Entwicklungsteam sollten Sie mindestens diese Punkte abarbeiten:
- Deployment-Pfad zuerst festlegen. Entscheiden Sie, ob Team, Enterprise, Anthropic API, Bedrock oder Vertex der tatsaechliche Betriebsweg ist.
- Repository-Daten klassifizieren. Markieren Sie Repositories mit Personendaten, Kundendaten, Geheimnissen, Incident-Material oder Mitarbeiterbezug.
- Retention in zwei Ebenen pruefen. Dokumentieren Sie sowohl die providerseitige Speicherdauer als auch den lokalen Claude-Code-Transkript-Cache auf Entwicklergeraeten.
- Repository-Regeln festlegen. Definieren Sie, welche Repositories frei zulaessig sind, welche eine Freigabe brauchen und welche ganz ausgeschlossen bleiben.
- Berechtigungen und Monitoring pruefen. Fuer sensible Repositories brauchen Sie projektspezifische Permission-Settings und einen nachvollziehbaren Rollout-Pfad.
- Arbeitsrechtliche Auswirkungen pruefen. Wenn Claude Code mit systematischer Codebewertung, Produktivitaetsanalyse oder Entwicklerueberwachung verknuepft wird, sind Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG und gegebenenfalls eine DSFA-Schwellenpruefung zu bewerten.
- Prompt-Hygiene schulen. Keine Produktionsdumps, keine unbereinigten Kundentickets und keine Secret-Materialien, solange der freigegebene Deployment-Pfad dies nicht ausdruecklich abdeckt.
Wann Claude Code meist nicht der richtige Standard ist
Claude Code sollte nicht als reibungsloser Standard angenommen werden, wenn der Workflow oder das Repository Folgendes umfasst:
- besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO
- grosse Mengen an Kundenkommunikation oder Supportdaten
- mitbestimmungsrelevante Mitarbeiter- oder Entwicklerauswertung
- strenge EU-only-Vorgaben aus Vertrag oder Regulierung
- interne Projekte, bei denen schon der lokale Klartext-Cache unzulaessig ist
Dann lautet die juristisch sinnvollere Frage nicht mehr “Ist Claude Code konform?”, sondern welche Deployment-Architektur, Speicherpraxis und Freigabelogik fuer diese Repository-Klasse belastbar sind.
FAQ
Ist Claude Code DSGVO-konform?
Ja, moeglicherweise. Claude Code kann DSGVO-konform eingesetzt werden, wenn das Unternehmen einen kommerziellen Deployment-Pfad waehlt, die Auftragsverarbeitung dokumentiert und klar steuert, welche Repository-Daten in Sitzungen exponiert werden duerfen. Es gibt aber keine pauschale Freigabe fuer jedes Engineering-Repository.
Trainiert Claude Code mit unserem Quellcode?
Fuer kommerzielle Produkte erklaert Anthropic, dass Kundendaten standardmaessig nicht fuer Modelltraining verwendet werden. Das reduziert ein wichtiges Risiko, ersetzt aber nicht die Pruefung von Speicherfristen, lokalem Sitzungs-Cache, Drittlandtransfers und der tatsaechlichen Sensitivitaet des Repositorys.
Speichert Claude Code Repository-Daten?
Moeglicherweise ja. Anthropic dokumentiert fuer kommerzielle Claude-Code-Nutzung eine standardmaessige 30-Tage-Speicherung, und lokale Clients behalten Sitzungsprotokolle standardmaessig 30 Tage im Klartext, sofern die Einstellung nicht geaendert wird.
Wann reicht Claude Team fuer Claude Code aus?
Claude Team kann fuer normale Softwareentwicklung auf risikoaermeren Repositories ausreichen, wenn die standardmaessige Retention, Standard-Admin-Werkzeuge und keine strikte EU-only-Verarbeitung akzeptabel sind. Sobald Audit-Exports, strengere Policy-Steuerung oder sensible Repository-Klassen relevant werden, ist Enterprise oder ein Provider-spezifischer Pfad meist sinnvoller.
Wann brauchen wir Enterprise, Bedrock, Vertex oder ZDR?
Typischerweise dann, wenn Ihr Unternehmen mehr Governance braucht als ein Standard-Rollout bietet: strengere Speicherkontrolle, staerkeres Identitaets- und Zugriffsmanagement, Auditierbarkeit oder cloud-native Regionskontrolle. ZDR sollten Sie als qualifizierten Sonderpfad behandeln, nicht als Default-Annahme.
Bedarf an einer Repository-bezogenen Pruefung?
Wenn Ihr Unternehmen Claude Code fuer echte Entwicklungsarbeit in Deutschland nutzen will, muessen DSGVO, Vendor Contracting, Engineering Guardrails und teilweise auch Arbeitsrecht zusammen betrachtet werden. Compound Law beraet zu KI-Beschaffung, DPA-/AVV-Pruefung, internen Rollout-Richtlinien und repository-bezogener Governance. Fuer den uebergeordneten Freigabeprozess starten Sie mit unserer Seite zur KI-Beschaffung unter der DSGVO oder kontaktieren Sie uns.