Die Frage kommt in fast jedem Unternehmen, bevor Claude eingeführt wird: „Sind unsere Daten bei Anthropic sicher?" Es ist die richtige Frage. Und die Antwort ist differenzierter als ein einfaches Ja oder Nein – sie hängt davon ab, welchen Plan du nutzt, wie du Claude einsetzt und welche internen Richtlinien in deinem Unternehmen gelten.
Dieser Artikel gibt dir einen sachlichen Überblick über das, was Anthropic mit deinen Daten macht, was das für DACH-Unternehmen bedeutet und welche konkreten Schritte du vor dem produktiven Einsatz prüfen solltest. Er ersetzt keine Rechtsberatung – gibt dir aber die Grundlage, um fundierte Entscheidungen zu treffen und das Gespräch mit deinem Datenschutzbeauftragten vorzubereiten.
Was passiert mit deinen Eingaben? Die drei wichtigsten Grundsätze
1. Claude speichert Gesprächsinhalte – aber begrenzt
Gespräche in claude.ai werden auf Anthropics Servern gespeichert. Das ist notwendig, damit du auf vergangene Gespräche zugreifen kannst und Projekte funktionieren. Anthropic speichert diese Daten nach eigener Aussage für einen begrenzten Zeitraum. Die genauen Fristen sind nicht öffentlich als fixe Zahlen kommuniziert und können sich ändern – die jeweils aktuellen Informationen findest du in Anthropics Datenschutzerklärung.
2. Training: Der entscheidende Unterschied zwischen den Plänen
Im Free- und Standard-Pro-Plan können Gesprächsinhalte standardmäßig für die Verbesserung der Anthropic-Modelle genutzt werden. Das bedeutet: Was du eingibst, könnte potenziell als Trainingsbeispiel verwendet werden.
Du kannst das im Pro-Plan deaktivieren: Einstellungen → Datenschutz → „Meine Daten zur Modellverbesserung verwenden" deaktivieren. Ab dem Team-Plan gilt eine erweiterte Datenschutzzusage: Anthropic nutzt Gesprächsinhalte grundsätzlich nicht für das Training, ohne explizite Einwilligung. Das ist der entscheidende Unterschied für den Unternehmenseinsatz.
3. Serverstandort: USA, mit EU-Datentransfer-Mechanismen
Anthropic ist ein US-amerikanisches Unternehmen. Daten werden auf US-amerikanischen Servern verarbeitet – primär über AWS (Amazon Web Services). Das bedeutet: Bei der Nutzung von claude.ai findet eine Datenübertragung in die USA statt.
Anthropic stützt diese Übertragung auf die Standardvertragsklauseln (SCCs) der EU – das aktuell gängige Instrument für DSGVO-konformen Datentransfer in Drittländer. Ob das für deinen spezifischen Anwendungsfall ausreicht, hängt von der Art der verarbeiteten Daten und den internen Anforderungen deines Unternehmens ab.
Planvergleich aus Datenschutz-Perspektive
| Plan | Training-Nutzung | Auftragsverarbeitungsvertrag (AVV) | Geeignet für Unternehmensdaten |
|---|---|---|---|
| Free | Standardmäßig aktiv | Nicht verfügbar | Nein |
| Pro | Abschaltbar in Einstellungen | Nicht standardmäßig enthalten | Eingeschränkt, nach Prüfung |
| Team | Nicht genutzt (vertraglich) | Verfügbar auf Anfrage | Ja, für die meisten Anwendungsfälle |
| Enterprise | Nicht genutzt (vertraglich) | Individuell verhandelbar | Ja, inkl. erweiterter Compliance-Optionen |
Wichtiger Hinweis: Diese Tabelle gibt den Stand der öffentlich zugänglichen Informationen wider (März 2026). Anthropic aktualisiert seine Datenschutzrichtlinien regelmäßig. Vor dem produktiven Einsatz immer die aktuellen Bedingungen unter anthropic.com/privacy und die Plan-spezifischen Nutzungsbedingungen prüfen.
Der Auftragsverarbeitungsvertrag (AVV): Wann brauchst du ihn?
Nach DSGVO Art. 28 brauchst du einen AVV (auch: Data Processing Agreement, DPA) mit jedem Dienstleister, der personenbezogene Daten in deinem Auftrag verarbeitet. Wenn du Claude für Aufgaben nutzt, bei denen personenbezogene Daten eingegeben werden – Kundennamen, E-Mail-Adressen, Mitarbeiterdaten, Gesundheitsinformationen – ist ein AVV in der Regel erforderlich.
Anthropic bietet AVVs ab dem Team-Plan an. Im Free- und Pro-Plan ist kein standardmäßiger AVV vorgesehen. Das bedeutet: Wer im Free- oder Pro-Plan personenbezogene Daten eingibt, bewegt sich in einer rechtlichen Grauzone, die von Datenschutzaufsichtsbehörden kritisch bewertet werden könnte.
Praktische Faustregel: Gibt es eine realistische Möglichkeit, dass du in Claude-Gesprächen Namen, Kontaktdaten oder andere personenbezogene Informationen eingibst? Dann ist der Team-Plan mit AVV die sichere Wahl.
Was du niemals in Claude eingeben solltest
Unabhängig vom genutzten Plan gibt es Datenkategorien, die grundsätzlich nicht in KI-Systemen verarbeitet werden sollten – oder nur nach sehr sorgfältiger rechtlicher Prüfung:
- Besondere Kategorien personenbezogener Daten nach DSGVO Art. 9: Gesundheitsdaten, biometrische Daten, religiöse oder politische Überzeugungen, Gewerkschaftszugehörigkeit, sexuelle Orientierung
- Zugangsdaten und Passwörter: Niemals in Prompts eingeben
- Finanz- und Kontodaten: Kontonummern, Kreditkartendaten, IBAN
- Vertrauliche Geschäftsinformationen mit explizitem Vertraulichkeitsschutz: Fusionspläne, nicht-öffentliche Finanzdaten, Betriebsgeheimnisse
- Kundendaten mit sensiblem Kontext: Patientendaten, Mandantendaten (Legal), Klientendaten (Sozialbereich)
Claude und der EU AI Act: Was Unternehmen wissen müssen
Der EU AI Act ist seit August 2024 in Kraft und wird schrittweise anwendbar. Claude ist als sogenanntes General-Purpose AI Model (GPAI) eingestuft – ein KI-Modell mit breitem Anwendungsspektrum, das in verschiedenen Kontexten eingesetzt werden kann.
Für den typischen Unternehmenseinsatz – Texterstellung, Dokumentenanalyse, interne Kommunikation, Recherche – ist Claude nicht als Hochrisiko-System klassifiziert. Trotzdem empfiehlt sich eine interne Dokumentation des Einsatzzwecks, besonders in regulierten Branchen.
Praktische Checkliste vor dem Unternehmenseinsatz
- Plan prüfen: Free- und Pro-Plan für sensible Unternehmensdaten vermeiden. Für regulären B2B-Einsatz mindestens Team-Plan.
- Trainingsdaten-Einstellung: Im Pro-Plan Trainingsdaten-Nutzung in den Einstellungen deaktivieren, sofern kein Team-Plan.
- AVV klären: Wenn personenbezogene Daten verarbeitet werden, AVV mit Anthropic abschließen (ab Team-Plan verfügbar).
- Datenschutzbeauftragten einbeziehen: Bei Unternehmen mit Datenschutzbeauftragtem diesen vor dem Rollout informieren und einbinden.
- Interne Nutzungsrichtlinie erstellen: Klare Regeln, welche Daten eingegeben werden dürfen und welche nicht.
- Datenschutz-Folgenabschätzung (DSFA) prüfen: Bei systematischer Verarbeitung sensibler Daten kann eine DSFA nach DSGVO Art. 35 erforderlich sein.
- Mitarbeiter informieren: Wer Claude im Unternehmen nutzt, sollte die Grundregeln kennen.
Anthropics Sicherheitsphilosophie: Was Constitutional AI bedeutet
Anthropic verfolgt mit seinem Ansatz „Constitutional AI" (CAI) ein Trainingsverfahren, das Claude auf ein Regelwerk ausrichtet – mit dem Ziel, schädliche, irreführende oder manipulative Ausgaben zu vermeiden. Das unterscheidet Claude strukturell von Systemen, die ausschließlich auf Reinforcement Learning from Human Feedback (RLHF) setzen.