Claude Code DSGVO-Konformität — AVV, Datenspeicherung und EU-Hosting
tools

Ist Claude Code DSGVO-konform? AVV, Datenspeicherung und Hosting

Kurzantwort

Ja, Claude Code kann fuer deutsche Unternehmen DSGVO-konform eingesetzt werden, aber nur mit kommerziellem Deployment und dokumentierten Kontrollen. Entscheidend sind Repository-Inhalte, 30-Tage-Speicherung, lokaler Transkript-Cache und die Frage, ob Team ausreicht oder Enterprise, Bedrock, Vertex oder ZDR noetig sind.

  • Kommerzielle Claude-Code-Sitzungen werden standardmaessig 30 Tage gespeichert, und lokale Clients cachen Transkripte ebenfalls 30 Tage.
  • Claude Team kann fuer risikoaermere Workflows reichen, waehrend Enterprise oder ein Cloud-Provider-Pfad fuer sensible Repositories oft besser passt.
  • Bei Personendaten, Kundengeheimnissen oder mitbestimmungsrelevanten Auswertungen brauchen Recht und Engineering vor dem Rollout eine Freigabe.

Claude Code kann fuer deutsche Unternehmen DSGVO-konform einsetzbar sein, aber nicht pauschal. Die belastbare Antwort fuer 2026 ist technischer als viele aeltere Datenschutzseiten: Sie brauchen einen kommerziellen Deployment-Pfad, eine dokumentierte Auftragsverarbeitung, klare Regeln dazu, welche Repository-Inhalte in Prompts auftauchen duerfen, und eine Pruefung der standardmaessigen 30-Tage-Speicherung. Hinzu kommt, dass der lokale Client Sitzungsprotokolle auf dem Entwicklergeraet standardmaessig im Klartext zwischenspeichert. Wenn Ihr Unternehmen strengere Speicher-, Audit- oder Regionsanforderungen hat, sind Claude Enterprise, AWS Bedrock, Google Vertex AI oder ein qualifizierter Zero-Data-Retention-(ZDR)-Pfad regelmaessig die passendere Architektur.

Diese Seite gibt allgemeine rechtliche Informationen und ersetzt keine Rechtsberatung fuer den konkreten Einzelfall. Fuer die Vertragsebene lesen Sie zuerst unseren Leitfaden zum Anthropic DPA. Fuer den groesseren Einordnungsrahmen sind auch Claude DSGVO, Claude Team Datenschutz, Claude Enterprise, unser Leitfaden zu Claude ZDR und unsere Seite zur KI-Beschaffung unter der DSGVO relevant.

Ist Claude Code 2026 DSGVO-konform?

Ja, unter Bedingungen. Claude Code ist keine eigene datenschutzrechtliche Sonderwelt. Die Zulassungsfrage haengt davon ab, auf welchem kommerziellen Pfad Sie das Tool einsetzen und welche Daten Ihre Repositories tatsaechlich enthalten.

Fuer deutsche Unternehmen sieht die praktische Trennlinie meist so aus:

  • Consumer-Accounts sind keine tragfaehige Basis fuer Repository-Arbeit mit personenbezogenen Daten.
  • Kommerzielle Claude-Code-Nutzung kann auf einen verteidigungsfaehigen DSGVO-Pfad gestellt werden, weil Anthropic Team-, Enterprise- und API-Nutzung dem kommerziellen Rahmen zuordnet.
  • Das eigentliche Risiko liegt im Repository-Inhalt, nicht im CLI-Namen. Sobald Quellcode Mitarbeiterdaten, Kundendaten, Produktionsdaten, Zugangstoken oder vertrauliche Due-Diligence-Unterlagen beruehrt, wird die rechtliche Pruefung deutlich strenger.
  • Datensparsamkeit gilt weiterhin. Auch mit nutzbarem Vertragsrahmen muessen Sie festlegen, welche Dateien, Prompts, Logs und Tickets ueberhaupt durch Claude Code verarbeitet werden duerfen.

Die knappe Suchantwort lautet deshalb: Claude Code ist fuer risikoaermere Engineering-Workflows oft zulaessig, aber kein ungovernter Standard fuer jedes Repository.

Wo Claude Code das DSGVO-Risiko erzeugt

Die Seite hatte an Sichtbarkeit verloren, weil Suchende nicht mehr nur nach einem AVV fragen. Sie wollen wissen, welche technischen Expositionspunkte im echten Engineering-Workflow entstehen.

Repository-Inhalte und Prompt-Exposition

Claude Code laeuft lokal. Das bedeutet aber nicht, dass keine Daten das Geraet verlassen. Rechtlich entscheidend ist, welche Repository-Teile in Prompts, Diffs, Ausgaben oder Sitzungszustand beim Modellanbieter landen.

Typische Hochrisiko-Beispiele:

  • Repositories mit personenbezogenen Daten in Testdaten, Screenshots, Logs, Tickets oder kopierten Produktionsauszuegen
  • Workspaces mit API-Keys, Secrets, Zertifikaten oder Tokens
  • Repositories mit Bezug zu Mitarbeiterueberwachung, internen Untersuchungen oder HR-Workflows
  • juristische oder kaufmaennische Repositories mit M&A-, Vertrags- oder regulierten Brancheninhalten

Wenn ein Entwickler den Inhalt in der Claude-Code-Sitzung oeffnen kann, sollte Ihr Unternehmen eine dokumentierte Regel dazu haben, ob dieses Material verarbeitet werden darf.

Speicherfristen, Telemetrie und lokale Sitzungsprotokolle

Die aktuelle Claude-Code-Dokumentation von Anthropic ist deutlich konkreter als viele aeltere DSGVO-Erklaerungen. Fuer kommerzielle Nutzer nennt Anthropic eine standardmaessige Speicherdauer von 30 Tagen. Gleichzeitig dokumentiert Anthropic, dass Claude-Code-Clients Sitzungsprotokolle lokal im Klartext im Nutzerprofil standardmaessig 30 Tage aufbewahren, sofern Sie die Aufraeumfrist nicht aendern.

Das ist aus zwei Gruenden wichtig:

  1. Serverseitige Retention und lokales Caching sind unterschiedliche Risiken.
  2. “Nicht fuer Training verwendet” ist nicht gleich “nicht gespeichert”.

Fuer regulierte Engineering-Teams kann der lokale Klartext-Cache genauso relevant sein wie die serverseitige Speicherung. Datenschutz- und Security-Teams sollten daher auch Geraeteverschluesselung, Endpoint-Controls und die zulaessige Cache-Dauer pruefen.

Workspace-Grenzen und Zugriffsumfang

Anthropic erklaert, dass Claude Code auf das Repository zugreift, in dem die Sitzung gestartet wird, und dass Remote-Control-Sitzungen weiterhin auf der lokalen Maschine laufen statt in einer Anthropic-Cloud-VM. Das ist hilfreich, ersetzt aber keine Governance. Alles, was waehrend der Sitzung in Prompts, Outputs oder Repository-Kontext gelangt, laeuft weiterhin ueber den konfigurierten Modellanbieter.

Die richtige Freigabefrage lautet daher: Was darf die Sitzung lesen, und was darf der Nutzer daraus an den Anbieter uebermitteln?

Wann Claude Team ausreicht und wann Sie mehr brauchen

Die aktuelle kommerzielle Antwort lautet nicht mehr nur “nehmen Sie die API”. Anthropics Deployment-Dokumentation stellt Team und Enterprise inzwischen fuer die meisten Organisationen in den Vordergrund; Bedrock, Vertex oder andere Provider-Pfade sind vor allem bei strengeren Infrastrukturvorgaben relevant.

SituationTypischer Pfad
Kleines Engineering-Team, risikoaermere Repositories, keine besonderen Audit- oder RegionspflichtenClaude Team kann ausreichen
Bedarf an SSO, Rollensteuerung, Managed Settings oder staerkerer Organisations-GovernanceClaude Enterprise
Bedarf an AWS- oder GCP-nativer Regions-, IAM- oder Logging-SteuerungBedrock oder Vertex
Bedarf an moeglichst strikter Speicherpraxis fuer geeignete WorkflowsQualifizierter ZDR-Pfad
Repositories mit sensiblen Personendaten, hochvertraulichen Inhalten oder mitbestimmungsrelevanter EntwicklerauswertungIndividuelle Rechtspruefung vor Rollout

Zwei Hinweise sind besonders wichtig:

  • ZDR ist kein Standard. Anthropic beschreibt ZDR als qualifizierte Sonderkonfiguration, nicht als automatische Enterprise-Funktion.
  • Cloud-Provider-Deployment veraendert den Vertragsstack. Wenn Claude Code ueber Bedrock oder Vertex laeuft, muessen Sie die Datenschutz- und Logging-Struktur des jeweiligen Providers mitpruefen und nicht nur Anthropics Commercial Terms.

Claude-Code-Checkliste fuer Rechtsabteilung und Engineering

Vor einem breiten Rollout in einem deutschen Entwicklungsteam sollten Sie mindestens diese Punkte abarbeiten:

  1. Deployment-Pfad zuerst festlegen. Entscheiden Sie, ob Team, Enterprise, Anthropic API, Bedrock oder Vertex der tatsaechliche Betriebsweg ist.
  2. Repository-Daten klassifizieren. Markieren Sie Repositories mit Personendaten, Kundendaten, Geheimnissen, Incident-Material oder Mitarbeiterbezug.
  3. Retention in zwei Ebenen pruefen. Dokumentieren Sie sowohl die providerseitige Speicherdauer als auch den lokalen Claude-Code-Transkript-Cache auf Entwicklergeraeten.
  4. Repository-Regeln festlegen. Definieren Sie, welche Repositories frei zulaessig sind, welche eine Freigabe brauchen und welche ganz ausgeschlossen bleiben.
  5. Berechtigungen und Monitoring pruefen. Fuer sensible Repositories brauchen Sie projektspezifische Permission-Settings und einen nachvollziehbaren Rollout-Pfad.
  6. Arbeitsrechtliche Auswirkungen pruefen. Wenn Claude Code mit systematischer Codebewertung, Produktivitaetsanalyse oder Entwicklerueberwachung verknuepft wird, sind Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG und gegebenenfalls eine DSFA-Schwellenpruefung zu bewerten.
  7. Prompt-Hygiene schulen. Keine Produktionsdumps, keine unbereinigten Kundentickets und keine Secret-Materialien, solange der freigegebene Deployment-Pfad dies nicht ausdruecklich abdeckt.

Wann Claude Code meist nicht der richtige Standard ist

Claude Code sollte nicht als reibungsloser Standard angenommen werden, wenn der Workflow oder das Repository Folgendes umfasst:

  • besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO
  • grosse Mengen an Kundenkommunikation oder Supportdaten
  • mitbestimmungsrelevante Mitarbeiter- oder Entwicklerauswertung
  • strenge EU-only-Vorgaben aus Vertrag oder Regulierung
  • interne Projekte, bei denen schon der lokale Klartext-Cache unzulaessig ist

Dann lautet die juristisch sinnvollere Frage nicht mehr “Ist Claude Code konform?”, sondern welche Deployment-Architektur, Speicherpraxis und Freigabelogik fuer diese Repository-Klasse belastbar sind.

FAQ

Ist Claude Code DSGVO-konform?

Ja, moeglicherweise. Claude Code kann DSGVO-konform eingesetzt werden, wenn das Unternehmen einen kommerziellen Deployment-Pfad waehlt, die Auftragsverarbeitung dokumentiert und klar steuert, welche Repository-Daten in Sitzungen exponiert werden duerfen. Es gibt aber keine pauschale Freigabe fuer jedes Engineering-Repository.

Trainiert Claude Code mit unserem Quellcode?

Fuer kommerzielle Produkte erklaert Anthropic, dass Kundendaten standardmaessig nicht fuer Modelltraining verwendet werden. Das reduziert ein wichtiges Risiko, ersetzt aber nicht die Pruefung von Speicherfristen, lokalem Sitzungs-Cache, Drittlandtransfers und der tatsaechlichen Sensitivitaet des Repositorys.

Speichert Claude Code Repository-Daten?

Moeglicherweise ja. Anthropic dokumentiert fuer kommerzielle Claude-Code-Nutzung eine standardmaessige 30-Tage-Speicherung, und lokale Clients behalten Sitzungsprotokolle standardmaessig 30 Tage im Klartext, sofern die Einstellung nicht geaendert wird.

Wann reicht Claude Team fuer Claude Code aus?

Claude Team kann fuer normale Softwareentwicklung auf risikoaermeren Repositories ausreichen, wenn die standardmaessige Retention, Standard-Admin-Werkzeuge und keine strikte EU-only-Verarbeitung akzeptabel sind. Sobald Audit-Exports, strengere Policy-Steuerung oder sensible Repository-Klassen relevant werden, ist Enterprise oder ein Provider-spezifischer Pfad meist sinnvoller.

Wann brauchen wir Enterprise, Bedrock, Vertex oder ZDR?

Typischerweise dann, wenn Ihr Unternehmen mehr Governance braucht als ein Standard-Rollout bietet: strengere Speicherkontrolle, staerkeres Identitaets- und Zugriffsmanagement, Auditierbarkeit oder cloud-native Regionskontrolle. ZDR sollten Sie als qualifizierten Sonderpfad behandeln, nicht als Default-Annahme.

Bedarf an einer Repository-bezogenen Pruefung?

Wenn Ihr Unternehmen Claude Code fuer echte Entwicklungsarbeit in Deutschland nutzen will, muessen DSGVO, Vendor Contracting, Engineering Guardrails und teilweise auch Arbeitsrecht zusammen betrachtet werden. Compound Law beraet zu KI-Beschaffung, DPA-/AVV-Pruefung, internen Rollout-Richtlinien und repository-bezogener Governance. Fuer den uebergeordneten Freigabeprozess starten Sie mit unserer Seite zur KI-Beschaffung unter der DSGVO oder kontaktieren Sie uns.

Weitere Tool-Guides

Claude ZDR Zero Data Retention Leitfaden fuer Anthropic API und Claude Code Enterprise
tools

Claude ZDR: Zero Data Retention fuer Enterprise und Claude Code

Claude ZDR gilt nur auf qualifizierten Anthropic-API- und Claude-Code-Enterprise-Pfaden. Erfahren Sie Scope, Ausschluesse, Retention-Ausnahmen und AVV-Bezug.

DeepL AVV und DSGVO Freigabeleitfaden fuer Unternehmen
tools

DeepL AVV und DSGVO in Deutschland: Freigabeleitfaden

DeepL ist in Deutschland meist nur mit bezahltem Business-Tarif, AVV und dokumentierter Funktionspruefung freigabefaehig. DeepL Free ist nicht freigegeben.

DeepSeek DSGVO-Analyse fuer deutsche Unternehmen
tools

DeepSeek DSGVO-konform? Was deutsche Unternehmen wissen müssen

Hosted DeepSeek bleibt fuer deutsche Unternehmen datenschutz- und beschaffungsrechtlich riskant. Self-Hosting auf EU-Infrastruktur ist gesondert zu bewerten.

Cursor AVV und DSGVO-Prüfung für Teams in Deutschland
tools

Cursor AVV 2026: Wo Sie ihn finden und was er regelt

Der Cursor-AVV steht unter cursor.com/terms/dpa. Für deutsche Teams braucht es trotzdem den richtigen Tarif, Privacy Mode und eine Transferprüfung.

Zapier DSGVO 2026 — AVV, Art. 28, SCCs und EU-Datentransfer fuer deutsche Unternehmen
tools

Zapier DSGVO 2026: AVV, Art. 28 & EU-Datentransfer aktuell

Ist Zapier DSGVO-konform? AVV nach Art. 28, SCCs, EU-Datenhaltung und Datentransfer 2026 — aktueller Compliance-Leitfaden fuer Deutschland.

HubSpot Datenschutz und DSGVO fuer Unternehmen in Deutschland
tools

HubSpot Datenschutz: DSGVO, AVV und Betriebsrat in Deutschland

HubSpot Datenschutz in Deutschland gelingt nur mit AVV, SCC-Pruefung, EU-Datenspeicherung-Bewertung und sauberer Betriebsratspruefung.

Tool Library

Mehr KI-Tools nach Thema durchsuchen

Vergleichen Sie weitere Tools, Datenschutzfragen und Einsatzszenarien in unserer vollständigen KI-Tool-Bibliothek.

Alle KI-Tools ansehen

Häufige Fragen

Claude Code kann DSGVO-konform eingesetzt werden, wenn der Einsatz auf einem kommerziellen Vertrags- und Deployment-Pfad basiert und das Unternehmen Speicherfristen, Datenarten und interne Nutzungsregeln dokumentiert. Entscheidend ist nicht der Produktname, sondern der konkrete Workflow.

Anthropic erklaert fuer kommerzielle Produkte, dass Kundendaten standardmaessig nicht fuer das Modelltraining verwendet werden. Das hilft, ersetzt aber nicht die Pruefung von Speicherfristen, lokalem Caching, Datenkategorien und Drittlandtransfers.

Ja, moeglicherweise an mehreren Stellen. Anthropic dokumentiert fuer die kommerzielle Nutzung eine standardmaessige 30-Tage-Speicherung, und der lokale Claude-Code-Client speichert Sitzungsprotokolle standardmaessig 30 Tage im Klartext im Nutzerprofil, wenn Sie die Aufraeumfrist nicht anpassen.

Claude Team kann fuer normale Softwareentwicklung auf risikoaermeren Repositories ausreichen, wenn 30-Tage-Speicherung, Standard-Admin-Kontrollen und keine strikte EU-only-Verarbeitung akzeptabel sind. Bei hoeheren Audit-, Retention- oder Governance-Anforderungen ist Enterprise oder ein Provider-spezifisches Deployment meist die bessere Wahl.

Typischerweise dann, wenn Repositories sensible personenbezogene Daten, regulierte Inhalte, strenge Geheimhaltungspflichten oder gesteigerte Anforderungen an Identitaetsmanagement, Auditierbarkeit, Speicherkontrolle oder Regionssteuerung aufweisen. ZDR ist kein Standard und muss gesondert qualifiziert werden.

Kostenlos beraten