Claude EU-Hosting: EU-Datenverarbeitung mit Claude unter der DSGVO
Bietet Claude EU-Datenresidenz?
EU-Datenresidenz fuer Claude ist nicht ueber claude.ai oder die Anthropic API verfuegbar — nur ueber AWS Bedrock EU-Profile (Frankfurt, Irland, Paris) oder Google Cloud Vertex AI EU-Regionen mit Regionskonfiguration.
- claude.ai und die Anthropic API bieten keine EU-Datenresidenz — nur US-Infrastruktur.
- EU-Datenresidenz ist eine vertragliche Garantie; EU-Hosting ist nur ein Standortfakt.
- AWS Bedrock eu-central-1 (Frankfurt) ist der bestaetigte Weg fuer EU-Datenresidenz in Deutschland.
- Claude Enterprise enthaelt keine EU-Datenresidenz — erfordert separates Bedrock- oder Vertex-Deployment.
Bietet Claude EU-Datenresidenz? Nein — nicht ueber claude.ai oder die direkte Anthropic API. Beide laufen standardmaessig ueber US-Infrastruktur. Die beiden bestaetigten Wege fuer EU-Datenresidenz mit Claude sind die Bereitstellung ueber AWS Bedrock EU-Profile (Frankfurt eu-central-1, Irland eu-west-1, Paris eu-west-3) oder Google Cloud Vertex AI EU-Regionen — beide erfordern eine spezifische Regionskonfiguration. Beim direkten Zugang ueber claude.ai oder die Anthropic API greift der Transfermechanismus nach Kapitel V DSGVO auf Standardvertragsklauseln (SCCs) zurueck — ob diese fuer Ihren Einsatz ausreichen, haengt von den Datenkategorien und Ihrem Risikoprofil ab.
Das ist fuer Unternehmen in Deutschland und der DACH-Region relevant, die der DSGVO unterliegen, in regulierten Branchen taetig sind oder vertragliche Zusagen zur EU-lokalen Verarbeitung gegeben haben. Die Architekturentscheidung und die rechtliche Pruefung muessen dabei zusammen betrachtet werden.
Was ist EU-Datenresidenz — und ist sie eine gesetzliche Anforderung?
EU-Datenresidenz und EU-Hosting werden haeufig synonym verwendet, haben aber unterschiedliches rechtliches Gewicht:
- EU-Hosting bedeutet, dass Infrastruktur — Server, Rechenzentren — physisch in der Europaeischen Union liegt.
- EU-Datenresidenz ist eine vertragliche und regulatorische Garantie, dass Daten unter keinen betrieblichen Umstaenden eine definierte Jurisdiktion verlassen.
Kapitel V DSGVO schreibt nicht fuer alle Unternehmen EU-only-Verarbeitung vor. EU-Datenresidenz wird jedoch in mehreren Szenarien zur praktischen Rechtspflicht:
- B2B-Vertraege: Kundenvertraege enthalten zunehmend EU-only-Datenverarbeitungsklauseln, insbesondere in der Finanzdienstleistung, im Gesundheitswesen und bei der oeffentlichen Beschaffung.
- Regulierte Branchen: EBA-Outsourcing-Leitlinien fuer Banken sowie branchenspezifische Rahmenbedingungen fuer Gesundheitswesen, Telekommunikation und Versicherungen verlangen regelmaessig, dass Daten in der EU verbleiben.
- Oeffentliche Beschaffung: Vergaberahmen von Behoerden und oeffentlichen Einrichtungen in Deutschland sehen haeufig EU-Jurisdiktionsanforderungen vor.
- Berufsgeheimnisse: Rechtsanwaelte, Steuerberater und Wirtschaftspruefer unterliegen Verschwiegenheitspflichten, die den Drittlandstransfer einschraenken.
Trifft eines dieser Szenarien auf Ihr Unternehmen zu, genuegt EU-Hosting allein nicht — Sie benoetigen eine vertragliche Datenresidenzgarantie Ihres Cloud-Anbieters und eine technisch durchgesetzte Regionskonfiguration. Einen umfassenden DSGVO-Ueberblick fuer Claude finden Sie in unserem Claude-DSGVO-Leitfaden.
Enthaelt Claude Enterprise EU-Datenresidenz?
Nein. Dies ist eines der haeufigsten Missverstaendnisse bei der Beschaffung von Claude im Unternehmensumfeld.
Claude Enterprise — Anthropics Enterprise-Produkt, das ueber claude.ai genutzt wird — setzt standardmaessig auf US-Infrastruktur. Anthropic bietet keine EU-Datenresidenzoption ueber die claude.ai-Plattform oder die direkte Anthropic API an. Der Enterprise-Plan stellt einen kommerziellen AVV und erweiterte Adminkontrollen bereit, aendert aber nichts daran, wo Daten verarbeitet werden.
EU-Datenresidenz fuer Claude erfordert eine Aenderung der Bereitstellungsarchitektur:
- AWS Bedrock EU-Profile (Frankfurt eu-central-1, Irland eu-west-1, Paris eu-west-3) — verlagert den primaeren AVV auf AWS
- Google Cloud Vertex AI EU-Regionen (Belgien, Niederlande, Polen) — ordnet die Verarbeitung dem AVV-Rahmen von Google Cloud unter
Keine dieser Optionen laesst sich innerhalb eines Claude-Enterprise-Vertrags aktivieren — beide erfordern eine eigene Cloud-Provider-Beziehung. Umfassendere Compliance-Fragen finden Sie in unserem Claude Enterprise Deutschland-Leitfaden.
Die drei Bereitstellungswege — und was sie fuer die EU-Datenlokation bedeuten
Nicht jede Claude-Bereitstellung ist unter der DSGVO gleichwertig. Die Tabelle unten ordnet die vier Hauptwege nach Datenlokation und EU-only-Moeglichkeit:
| Bereitstellungsweg | Datenlokation Standard | EU-only moeglich? | AVV-Weg | Typischer Einsatz |
|---|---|---|---|---|
| claude.ai / Claude.com direkt | USA standardmaessig | Keine dedizierte EU-Option | Anthropic AVV (Team/Enterprise) | Einzel- und Team-Produktivitaet |
| Anthropic API direkt | USA standardmaessig | Keine dedizierte EU-Option | Anthropic Commercial DPA | Eigene Integrationen, Produktentwicklung |
| Claude ueber AWS Bedrock | Regionskonfigurierbar | Ja — Frankfurt, Irland, Paris | AWS AVV + Bedrock-Modellbedingungen | Enterprise mit bestehendem AWS-Setup |
| Claude ueber Google Vertex AI | Regionskonfigurierbar | Ja — Belgien, Niederlande, Polen u.a. | Google Cloud AVV | Enterprise mit bestehendem GCP-Setup |
Der wichtigste Punkt: EU-Hosting ist eine Architekturfrage, kein Produktmerkmal, das sich per Checkbox aktivieren laesst. Unternehmen mit EU-only-Anforderungen muessen ueber Bedrock oder Vertex AI deployen und Regionskonfiguration, Cross-Region-Inference-Einstellungen sowie angebundene Dienste einzeln pruefen.
Claude ueber AWS Bedrock — EU-Regionen im Detail
Fuer die meisten deutschen Unternehmen ist AWS Bedrock eu-central-1 (Frankfurt) die primaere Option fuer EU-lokale Claude-Verarbeitung. Die Region bietet geografische Naehe, fuegt sich in bestehende AWS-Governance- und Beschaffungsrahmen ein, und AWS bestaetigt, dass Kundendaten verschluesselt und im genutzten Betrieb in der jeweiligen Region gespeichert werden.
Wichtige Punkte fuer Legal und Einkauf:
- Primaere EU-Regionen: eu-central-1 (Frankfurt), eu-west-1 (Irland), eu-west-3 (Paris)
- Cross-Region-Inference-Profile: Bedrock unterstuetzt Cross-Region-Inference fuer Verfuegbarkeit und Latenz. Ist dieses Feature aktiv, kann Inferenz in andere Regionen ausserhalb Ihrer gewaenlten Region geroutet werden. Legal-Teams sollten pruefen, ob Cross-Region-Profile in ihrer Konfiguration aktiv sind. Wenn Ihre Datenresidenzpflicht strikte Regionsbindung erfordert, pruefen Sie vor dem Go-live diese Checkliste:
- Bestaetigen Sie, dass Cross-Region-Inference-Profile in Ihrer AWS-Bedrock-Konsole deaktiviert sind
- Vergewissern Sie sich, dass das gewaelte Inference-Profil auf Ihre Zielregion beschraenkt ist (z.B. nur eu-central-1 — kein Cross-Region-Routing)
- Dokumentieren Sie die Regionskonfigurationseinstellungen in Ihren internen Compliance-Unterlagen
- Pruefen Sie die Bedrock-Modellbedingungen fuer Anthropic-Modelle, um sicherzustellen, dass keine Daten die Zielregion fuer Inferenz oder Logging verlassen
- Vertragswechsel: Wer Claude ueber AWS Bedrock nutzt, schliesst den Hauptauftragsverarbeitungsvertrag mit AWS, nicht mit Anthropic. Der AWS-AVV und die Auftragsverarbeiter-Bedingungen nach Art. 28 DSGVO regeln die Infrastrukturschicht — ein wesentlicher Unterschied gegenueber einem direkten Anthropic-Kauf.
- Modell-Provider-Schicht bleibt bestehen: AWS veroeffentlicht eigene Drittanbieter-Modellbedingungen fuer Bedrock. Die Bedingungen fuer Anthropic-Modelle ueber Bedrock enthalten zusaetzliche Anforderungen zu zulassigem Einsatz. Einkauf und Legal muessen beide Schichten pruefen.
Eine vollstaendige Analyse des AWS-Rechtsrahmens finden Sie in unserem AWS Bedrock AVV und DSGVO-Leitfaden.
Claude ueber Google Cloud Vertex AI — EU-Regionen
Google Cloud Vertex AI ist der zweite bestaetigte EU-Hosting-Weg fuer Claude. Google hat Claude-Modelle in mehreren EU-Regionen bereitgestellt:
- europe-west1 (Belgien)
- europe-west4 (Niederlande)
- europe-central2 (Polen)
Je nach Modellverfuegbarkeit koennen weitere Regionen erhaeltlich sein.
Rechtlich laeuft das Vertex-AI-Setup unter dem AVV und dem DSGVO-Rahmen von Google Cloud, nicht unter den Anthropic-Commercial-Terms. Zentrale Pruefpunkte:
- Pruefen Sie, ob der anwendbare Google Cloud AVV Ihren konkreten Vertex-AI-Einsatz und Ihre Datenkategorien abdeckt
- Vergewissern Sie sich, welche EU-Region fuer die genutzte Claude-Modellversion verfuegbar ist
- Pruefen Sie die Subprozessoren-Liste von Google Cloud und beurteilen Sie, ob Zugriffe aus Drittlaendern eine Drittlandexposition erzeugen
- Stellen Sie sicher, dass Ihr Google-Cloud-Vertrag die benoetigt EU-Region-Einschraenkung enthaelt, oder ob eine zusaetzliche Konfiguration erforderlich ist
Unternehmen mit etabliertem Google Cloud Framework finden Vertex AI moeglicherweise den einfacheren Weg; AWS-First-Organisationen werden in der Regel Bedrock bevorzugen.
Direkte Anthropic API — was der Vertrag zur Datenlokation sagt
Wer die Anthropic API direkt nutzt, ohne Bedrock oder Vertex AI, laesst Daten in der US-Infrastruktur von Anthropic verarbeiten. Anthropics kommerzielle DPA adressiert dies ueber Standardvertragsklauseln (SCCs) als Transfermechanismus nach Kapitel V DSGVO — konkret die EU-SCCs gemaess Durchfuehrungs-beschluss 2021/914 der Kommission.
Was das in der Praxis bedeutet:
- SCCs sind ein anerkannter Transfermechanismus, bringen aber Pflichten mit sich. Unternehmen muessen ein Transfer Impact Assessment (TIA) durchfuehren, um zu pruefen, ob die SCCs angesichts des US-Rechts und von Ueberwachungsrahmen tatsaechlich wirksamen Schutz bieten.
- Fuer viele interne Produktivitaets-Workflows mit geringem Datenschutzrisiko koennen SCCs ueber die direkte Anthropic API akzeptabel sein.
- Fuer Workflows mit besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), grossen Mengen an Kundendaten oder branchenspezifisch regulierten Daten sind TIA und vertiefte rechtliche Pruefung erforderlich, bevor man sich allein auf SCCs stuetzt.
Die Praxisregel lautet: Wenn Ihre interne Richtlinie oder Kundenvertraege EU-only-Verarbeitung voraussetzen, genuegt die direkte Anthropic API nicht. Sind SCCs fuer Ihre Daten und Ihr Risikoprofil akzeptabel, kann die direkte API funktionieren — aber diese Entscheidung braucht rechtliche Beratung, keine Beschaffungsannahme.
Microsoft 365 Copilot und Claude — die EU Data Boundary Luecke
Ein wichtiger Hinweis fuer Unternehmen, die Microsoft 365 als geografischen DSGVO-Compliance-Rahmen nutzen: Die Microsoft 365 Copilot-Integration mit Claude ist seit Januar 2026 explizit von der Microsoft EU Data Boundary ausgenommen.
Das bedeutet konkret:
- Unternehmen, die Microsoft 365 Copilot nutzen und davon ausgehen, dass alle Copilot-KI-Dienste von der Microsoft EU Data Boundary erfasst sind, irren sich — Claude ist nicht eingeschlossen.
- Wenn Ihre Datenschutz-Policy die Microsoft EU Data Boundary als geografischen Compliance-Mechanismus nutzt, koennen Sie diese Annahme nicht auf Claude ueber Copilot ausweiten.
- Microsofts eigene Dokumentation bestaetigt diesen Ausschluss. Einkauf und Datenschutzverantwortliche sollten den aktuellen Geltungsbereich der Microsoft EU Data Boundary gegenueber KI-Tool-Integrationen pruefen, bevor sie diese pauschal als EU-konform behandeln.
Dies ist ein haeufig uebersehener Punkt in Beschaffungspruefungen. Die Microsoft EU Data Boundary erfasst einen definierten Kreis von Microsoft-Diensten — Drittanbieter-KI-Modelle, die ueber Copilot integriert werden, sind nicht automatisch einbezogen.
Entscheidungshilfe — welcher Weg passt?
| Szenario | Empfohlener Weg |
|---|---|
| EU-only erforderlich, AWS-Vertrag vorhanden | Claude ueber AWS Bedrock (Frankfurt eu-central-1) |
| EU-only erforderlich, Google Cloud vorhanden | Claude ueber Vertex AI (EU-Region) |
| SCCs akzeptabel, keine EU-only-Pflicht | Direkte Anthropic API mit TIA |
| Microsoft 365 Copilot im Einsatz | EU Data Boundary deckt Claude nicht ab — separat pruefen |
| Hybrid (teils EU-only, teils nicht) | Bedrock / Vertex AI fuer EU-sensible Workflows; API fuer andere |
Die richtige Wahl haengt von Ihrer bestehenden Cloud-Infrastruktur, Ihrem Beschaffungsrahmen und den Datenkategorien ab, die Sie verarbeiten moechten. Fuer die meisten deutschen Unternehmen mit bestehendem AWS-Umfeld ist Bedrock der reibungsaermste EU-Hosting-Weg fuer Claude.
Was EU-Hosting allein nicht loest
Die Wahl eines EU-gehosteten Bereitstellungswegs ist ein notwendiger Schritt fuer die geografische Compliance — aber keine vollstaendige DSGVO-Loesung fuer sich genommen.
Auch mit Bedrock Frankfurt oder Vertex AI in der EU brauchen Sie:
- Einen gueltigen AVV (Auftragsverarbeitungsvertrag): Entweder den AWS-AVV fuer Bedrock, den Google Cloud AVV fuer Vertex AI oder den Anthropic Commercial DPA fuer den direkten Einsatz. Der Vertrag muss die tatsaechliche Verarbeitungssituation widerspiegeln.
- Eine Subprozessoren-Pruefung: AWS und Google fuehren Subprozessoren-Listen. Legal sollte sicherstellen, dass etwaige Drittlandzugriffe durch den jeweils anwendbaren Transfermechanismus gedeckt sind.
- Eine DSFA (Datenschutz-Folgenabschaetzung) wo erforderlich: Art. 35 DSGVO verlangt eine DSFA, wenn die Verarbeitung voraussichtlich ein hohes Risiko fuer betroffene Personen mit sich bringt. EU-Hosting reduziert das Transferrisiko, beseitigt aber nicht den DSFA-Ausloesungsgrund.
- Interne Nutzungsregeln: Welche Daten an Claude uebermittelt werden duerfen, von wem, unter welchen Bedingungen und mit welchen Datensparsamkeitsmassnahmen — das muss unabhaengig von der geografischen Region dokumentiert sein.
- Betriebsratsbeurteilung wo erforderlich: Gemaess § 87 Abs. 1 Nr. 6 BetrVG koennen mitarbeiterbezogene Claude-Einsaetze in Deutschland Mitbestimmungsrechte ausloesen. Das EU-Hosting hat keinen Einfluss auf diese Analyse.
Den Anthropic AVV und seine Regelungen zu Drittlandtransfers finden Sie in unserem Claude-AVV-Leitfaden. Eine vollstaendige DSGVO- und Beschaffungspruefung fuer Claude finden Sie in unserem Claude Enterprise Deutschland-Leitfaden.
FAQ
Bietet claude.ai EU-Server an?
Nein, nicht zum Stand April 2026. Der direkte Zugang ueber claude.ai oder die Anthropic API laeuft standardmaessig ueber US-Infrastruktur. Unternehmen mit EU-only-Anforderungen koennen die Consumer- oder Standard-API-Produkte dafuer nicht nutzen.
Welche AWS-Bedrock-Region liegt Deutschland am naechsten?
Die primaere Region fuer deutsche Unternehmen ist eu-central-1 in Frankfurt. Dies ist die Standardwahl fuer Organisationen, die deutsche oder EU-nahe Datenverarbeitung benoetigen. Irland (eu-west-1) und Paris (eu-west-3) sind zusaetzliche EU-Optionen.
Aendert der Wechsel zu Bedrock die Rechtslage beim AVV?
Ja — der Wechsel zu Claude ueber AWS Bedrock bedeutet, dass der Hauptverarbeitungsvertrag auf AWS uebergeht, nicht auf Anthropic. Der AWS-AVV regelt die Infrastrukturschicht, und die Anthropic-Modellbedingungen gelten darueber hinaus. Das ist eine andere Rechtsstruktur als ein direkter Anthropic-Kauf und benoetigt eine eigene Pruefung.
Ist Google Vertex AI DSGVO-konform fuer Claude?
Vertex AI operiert im DSGVO-Rahmen von Google Cloud, der EU-Infrastruktur und eine AVV-Struktur bietet. Ob eine konkrete Claude-Bereitstellung ueber Vertex AI DSGVO-konform ist, haengt von Konfiguration, genutzter EU-Region und den Datenkategorien ab. Individuelle rechtliche Beratung ist empfehlenswert.
Reichen SCCs der direkten Anthropic API fuer Geschaeftsdaten aus?
Moeglicherweise, aber das erfordert eine fallbezogene Rechtsanalyse. SCCs sind ein gueltiger Transfermechanismus nach Kapitel V DSGVO, muessen aber durch ein Transfer Impact Assessment untersetzt sein. Ob SCCs fuer Ihre konkreten Datenkategorien und Ihr Risikoprofil ausreichen, ist eine Rechtsfrage — nicht eine Beschaffungsannahme. Wo EU-only-Verarbeitung vertraglich oder durch interne Richtlinie gefordert ist, genuegt die direkte Anthropic API nicht.
Ist EU-Datenresidenz dasselbe wie EU-Hosting im DSGVO-Sinne?
Nein — es handelt sich um rechtlich unterschiedliche Konzepte. EU-Hosting bedeutet, dass Infrastruktur (Server, Rechenzentren) physisch in der Europaeischen Union liegt. EU-Datenresidenz ist eine vertragliche Garantie, dass Daten unter keinen betrieblichen Umstaenden aus der definierten Jurisdiktion herausgefuehrt werden. Viele Unternehmens-Beschaffungsvertraege, regulierte Branchen (Banken, Gesundheitswesen, Telekommunikation) und oeffentliche Vergaberahmen verlangen eine Datenresidenzgarantie — nicht nur geografisch nahe Infrastruktur. Ohne vertragliche Zusage stellt EU-gehostete Infrastruktur allein keine Datenresidenz dar.
Enthaelt Claude Enterprise EU-Datenresidenz?
Nein. Der ueber claude.ai genutzte Claude-Enterprise-Plan laeuft auf US-Infrastruktur und enthaelt keine EU-Datenresidenz als Produktmerkmal. EU-Datenresidenz fuer Claude erfordert ein eigenes Deployment ueber AWS Bedrock EU-Profile oder Google Cloud Vertex AI EU-Regionen. Dies aendert auch die Rechtsstruktur: Der primaere Verarbeitungsvertrag wechselt von Anthropic zu AWS oder Google Cloud. Beschaffungsteams, die Claude Enterprise fuer regulierte Branchen oder B2B-Vertraege evaluieren, sollten diese Unterscheidung vorab klaeren.
Genuegt AWS Bedrock Frankfurt fuer EU-Datenresidenz nach DSGVO?
Fuer die meisten Anwendungsfaelle ja — bei korrekter Konfiguration. AWS eu-central-1 (Frankfurt) bestaetigt, dass Kundendaten in der Region verarbeitet und im Ruhezustand gespeichert werden. Die zentrale Konfigurationsanforderung ist, dass Cross-Region-Inference-Profile deaktiviert und das Deployment auf eu-central-1 beschraenkt sind. Ob die Frankfurter Datenresidenz fuer Ihre spezifische Pflicht — etwa eine B2B-Vertragsklausel, regulatorische Anforderung oder interne Richtlinie — rechtlich ausreicht, haengt vom genauen Wortlaut ab und erfordert bei weitreichenden Entscheidungen individuelle Rechtsberatung.
