Finde heraus ob dein Unternehmen von ChatGPT empfohlen wird: ChatGPT Sichtbarkeits Report.
Ostend
Beratungsgespräch

Claude Cowork DSGVO 2026: So setzt du KI datenschutzkonform ein

AI Online Marketing

Geschrieben von:

Pascal Cabitza

Veröffentlicht am:

26. Mai 2026

Claude Cowork DSGVO-konform einsetzen: MacBook mit Privacy-Dashboard und Schildsymbol auf einem Holzschreibtisch in einem hellen Altbau-Büro

Claude ist eines der leistungsfähigsten KI-Modelle auf dem Markt – und mit Cowork hat Anthropic eine Plattform geschaffen, die Unternehmen produktiv macht. Doch genau hier beginnt das Problem: Sobald Kundendaten, Verträge oder interne Dokumente ins Spiel kommen, steht die DSGVO im Raum. Und die meisten Unternehmen in Deutschland setzen KI-Tools ein, ohne die datenschutzrechtlichen Grundlagen geklärt zu haben.

Wir bei Ostend Digital arbeiten täglich mit Claude Cowork – für Content-Erstellung, SEO-Analysen und automatisierte Workflows. Dabei haben wir uns intensiv mit der Frage beschäftigt: Lässt sich Claude DSGVO-konform einsetzen? Genauer: Wie steht es um den Claude Datenschutz im Unternehmensalltag? Dieser Guide fasst zusammen, was wir gelernt haben und was du konkret tun musst.

Kurzantwort: Ist Claude Cowork DSGVO-konform?

Claude Cowork lässt sich DSGVO-konform einsetzen, wenn du den richtigen Tarif wählst (Team oder Enterprise), einen Auftragsverarbeitungsvertrag (AVV) mit Anthropic abschließt und die Datenflüsse in Cowork gezielt kontrollierst. Der kostenlose Free-Plan ist für Unternehmen mit personenbezogenen Daten nicht geeignet.

📌 Für wen ist das relevant: Unternehmen, Agenturen und Selbstständige in der EU, die Claude oder Cowork produktiv einsetzen und dabei personenbezogene Daten verarbeiten.

  • ✅ Team- und Enterprise-Pläne bieten Zero Data Retention und AVV-Möglichkeit
  • ✅ Cowork verarbeitet lokale Dateien – aber sendet Inhalte an Anthropics API
  • ✅ Mit den richtigen Konfigurationsschritten ist ein DSGVO-konformer Einsatz möglich

Inhaltsverzeichnis

  1. Ist Claude Cowork DSGVO-konform?
  2. Wie Cowork deine Daten verarbeitet
  3. Welcher Claude-Plan ist DSGVO-tauglich?
  4. AVV mit Anthropic: So schließt du ihn ab
  5. Drittlandtransfer und EU-Serverstandorte
  6. Cowork sicher konfigurieren: 7 Maßnahmen
  7. KI-Richtlinie erstellen
  8. Datenschutz-Folgenabschätzung (DSFA)
  9. EU AI Act
  10. Claude vs. ChatGPT im Datenschutz-Vergleich
  11. Checkliste: DSGVO-konform einsetzen
  12. FAQ

Ist Claude Cowork DSGVO-konform?

Die kurze Antwort: Es kommt darauf an, wie du es einsetzt. Ob Claude DSGVO-konform ist, lässt sich nicht mit einem einfachen Ja oder Nein beantworten. Es gibt mehrere Ebenen, die du getrennt bewerten musst – und die Anthropic DSGVO-Konformität hängt maßgeblich von deiner Konfiguration ab.

Zunächst die gute Nachricht: Anthropic hat sich deutlich stärker um Privacy by Design bemüht als viele Wettbewerber. In den kostenpflichtigen Plänen (Team, Enterprise) werden Nutzerdaten nicht für das Modelltraining verwendet. Das ist eine Grundvoraussetzung für den Unternehmenseinsatz – und bei weitem nicht selbstverständlich in der KI-Branche.

Die differenzierte Realität sieht so aus:

  • Team- und Enterprise-Plan: Zero Data Retention (ZDR) für Prompts und Outputs. Daten werden nicht für Training genutzt. AVV abschließbar.
  • 🚩 Free- und Pro-Plan: Anthropic behält sich vor, Konversationsdaten für Modellverbesserungen zu nutzen – es sei denn, du widersprichst aktiv. Für Unternehmen mit personenbezogenen Daten nicht empfehlenswert.
  • API-Zugang: Standardmäßig keine Datennutzung für Training. Die strengste Option.

💡 Merke: DSGVO-Konformität ist keine Eigenschaft des Tools – sondern das Ergebnis deiner Konfiguration, deiner Verträge und deiner internen Prozesse. Claude gibt dir die technischen Voraussetzungen. Die rechtliche Absicherung musst du selbst schaffen.

Ein weiterer kritischer Punkt: Der Serverstandort. Anthropic sitzt in San Francisco, und die Datenverarbeitung findet primär in den USA statt. Das macht den Drittlandtransfer nach Art. 44-49 DSGVO zu einem zentralen Thema, das wir in einem eigenen Abschnitt behandeln.

Dieser Artikel ersetzt keine Rechtsberatung. Bei konkreten datenschutzrechtlichen Fragen zu deinem Unternehmen solltest du einen spezialisierten Anwalt oder deinen Datenschutzbeauftragten hinzuziehen.

Wie Cowork deine Daten verarbeitet – die Architektur verstehen

Um den Datenschutz bei Claude Cowork richtig einzuordnen, musst du verstehen, wie die Datenflüsse technisch funktionieren. Cowork ist keine rein cloud-basierte Anwendung wie ChatGPT – es hat eine hybride Architektur, die sowohl lokale als auch cloud-basierte Komponenten umfasst.

Lokale Dateien vs. API-Calls

Cowork läuft als Desktop-Applikation auf deinem Rechner. Du kannst Ordner und Dateien aus deinem lokalen Dateisystem einbinden. Das klingt zunächst datenschutzfreundlich – aber hier liegt ein häufiges Missverständnis:

🚩 Häufiger Fehler: Viele Nutzer glauben, dass Cowork lokale Dateien nur lokal verarbeitet. Das stimmt nicht. Sobald du eine Datei in den Kontext einer Konversation einbindest, wird deren Inhalt an die Anthropic-API gesendet, damit Claude ihn analysieren kann.

Der Datenfluss sieht vereinfacht so aus:

  1. Du bindest eine lokale Datei (z. B. einen Vertrag) in Cowork ein
  2. Cowork liest den Dateiinhalt und sendet ihn als Teil des Prompts an Anthropics Server
  3. Claude verarbeitet den Inhalt und sendet die Antwort zurück
  4. Je nach Tarif werden die Daten auf Anthropics Servern gespeichert oder nicht

ℹ️ Was bedeutet Zero Data Retention (ZDR)? Bei ZDR werden deine Prompts und Outputs nach der Verarbeitung nicht dauerhaft gespeichert. Sie existieren nur für die Dauer der Anfrage im Arbeitsspeicher. Anthropic nutzt sie weder für Training noch speichert es sie auf Festplatten. Dies gilt für Team-, Enterprise- und API-Pläne.

MCP-Verbindungen: Das unterschätzte Risiko

Cowork unterstützt das Model Context Protocol (MCP) – eine Schnittstelle, über die Claude auf externe Datenquellen zugreifen kann: WordPress-Systeme, Datenbanken, CRM-Tools, Google Drive und mehr. Für produktive Workflows ist das enorm mächtig, aber datenschutzrechtlich ein eigenes Thema.

Jede MCP-Verbindung ist ein potenzieller Datenfluss, den du dokumentieren und bewerten musst:

  • MCP zu internem Tool (selbst gehostet): Daten fließen von deinem Server an die Anthropic-API – ein klar definierter Datenfluss
  • 🚩 MCP zu Drittanbieter-Cloud (z. B. Google Drive): Hier entsteht eine Dreiecksbeziehung – dein Unternehmen, Anthropic und der Drittanbieter. Jede Verbindung braucht eine eigene datenschutzrechtliche Bewertung
  • MCP zu lokalen Tools (z. B. lokale Datenbank): Daten verlassen deinen Rechner nur über die API-Verbindung zu Anthropic

💡 Praxis-Tipp: Dokumentiere alle aktiven MCP-Verbindungen in deinem Verarbeitungsverzeichnis. Liste für jede Verbindung auf: Welche Daten fließen? Wohin? Warum? Das ist nicht nur DSGVO-Pflicht, sondern hilft dir auch, den Überblick zu behalten, wenn dein Cowork-Setup wächst. Wir führen bei Ostend Digital eine Tabelle mit allen MCP-Servern und ihren Datenflüssen.

Session-Daten und Konversationshistorie

In Cowork werden Konversationen als Sessions gespeichert. In den kostenpflichtigen Plänen gilt:

  • Konversationshistorie wird lokal in deiner Cowork-Installation gespeichert
  • Bei Team-Plänen gibt es eine Admin-Konsole mit Überblick über Team-Aktivitäten
  • Ältere Konversationen können manuell gelöscht werden

Die lokale Speicherung ist aus Datenschutzsicht ein Vorteil – aber auch hier musst du organisatorische Maßnahmen treffen, z. B. regelmäßiges Löschen sensibler Konversationen.

Welcher Claude-Plan ist DSGVO-tauglich?

Nicht jeder Claude-Tarif eignet sich für den Unternehmenseinsatz mit personenbezogenen Daten. Die Unterschiede beim Claude Datenschutz sind erheblich – und entscheidend für die Frage, ob dein Einsatz Claude DSGVO-konform ist oder nicht.

Claude-Tarife im DSGVO-Vergleich: Welcher Plan ist für Unternehmen geeignet?
Kriterium Free Pro Team Enterprise API
Preis/Monat 0 € ~20 € ~30 €/Nutzer Individuell Nutzungsbasiert
Training mit Daten ❌ Ja (Standard) ❌ Opt-out möglich ✅ Nein ✅ Nein ✅ Nein
Zero Data Retention
AVV abschließbar
Admin-Kontrolle ✅ Basis ✅ Erweitert ✅ Voll
SSO/SAML n/a
DSGVO-Eignung 🚩 Nicht geeignet 🚩 Bedingt ✅ Geeignet ✅ Empfohlen ✅ Empfohlen

Unsere Einschätzung: Für Unternehmen, die personenbezogene Daten mit Claude verarbeiten, ist der Team-Plan das Minimum. Der Enterprise-Plan bietet zusätzliche Sicherheitsfeatures wie SSO, erweiterte Audit-Logs und dedizierte Ansprechpartner – lohnt sich aber erst ab ca. 20 Nutzern.

Wenn du Claude ausschließlich für interne Recherche ohne personenbezogene Daten nutzt (z. B. Marktanalysen, Textentwürfe ohne Kundenbezug), kann auch der Pro-Plan ausreichen – allerdings ohne AVV und ohne volle Datenhoheit. In unserem Claude für Unternehmen Guide findest du einen detaillierten Vergleich aller Pläne.

💡 Merke: Der Free-Plan ist für Unternehmen mit DSGVO-Pflichten tabu. Wer personenbezogene Daten verarbeitet, braucht mindestens den Team-Plan – alles andere ist ein Compliance-Risiko.

API-Zugang: Die kontrollierteste Option

Für technisch versierte Teams ist der API-Zugang die datenschutzfreundlichste Variante. Du hast volle Kontrolle über:

  • Welche Daten an die API gesendet werden
  • Wie lange Antworten gespeichert werden (in deiner eigenen Infrastruktur)
  • Welche Sicherheitsmaßnahmen greifen (Verschlüsselung, Zugriffskontrollen)

Mit Claude Code kannst du den API-Zugang direkt in deine Entwicklungsumgebung integrieren – und behältst dabei die volle Kontrolle über die Datenflüsse. In Kombination mit Claude Code Routines lassen sich wiederkehrende Workflows automatisieren, ohne dass Daten unkontrolliert fließen.

AVV mit Anthropic: So schließt du ihn ab

Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO Pflicht, wenn ein externer Dienstleister in deinem Auftrag personenbezogene Daten verarbeitet. Einen Claude AVV brauchst du, sobald du Kundendaten, Mitarbeiterdaten oder andere personenbezogene Informationen über Claude verarbeitest. Ohne gültigen AVV ist die Nutzung bei personenbezogenen Daten schlicht rechtswidrig.

Was muss der AVV enthalten?

Die DSGVO definiert klare Mindestinhalte für einen AVV:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Technische und organisatorische Maßnahmen (TOMs)
  • Regelungen zu Unterauftragsverarbeitern
  • Löschpflichten nach Ende der Verarbeitung

So kommst du an den AVV

Anthropic stellt ein Data Processing Agreement (DPA) bereit – das ist das englischsprachige Äquivalent zum AVV. So gehst du vor:

  1. Team-Plan oder höher abschließen – im Free/Pro-Plan bietet Anthropic keinen AVV an
  2. DPA auf der Anthropic-Website anfordern – verfügbar unter der Legal-/Compliance-Sektion
  3. DPA prüfen lassen – idealerweise von deinem Datenschutzbeauftragten oder einem spezialisierten Anwalt
  4. Gegenzeichnen und archivieren – der AVV muss nachweisbar sein

💡 Praxis-Tipp: Prüfe im DPA besonders die Klauseln zu Unterauftragsverarbeitern (Sub-Processors). Anthropic nutzt Cloud-Infrastruktur von AWS und Google Cloud. Diese Sub-Processors müssen im AVV gelistet sein, und du musst über Änderungen informiert werden. Wir empfehlen, die Sub-Processor-Liste regelmäßig auf Updates zu prüfen.

Besonderheiten bei Anthropics DPA

Einige Punkte, die bei Anthropics DPA auffallen:

  • Englischsprachig: Das DPA ist auf Englisch. Ein deutsches Pendant gibt es aktuell nicht – das ist rechtlich aber kein Problem, solange die DSGVO-Anforderungen inhaltlich erfüllt sind.
  • Standard Contractual Clauses (SCCs): Anthropic integriert die EU-Standardvertragsklauseln als Rechtsgrundlage für den Drittlandtransfer. Das ist der gängige Mechanismus seit dem Schrems-II-Urteil.
  • Sub-Processor-Liste: Anthropic veröffentlicht eine Liste der Unterauftragsverarbeiter und informiert bei Änderungen. Du hast ein Widerspruchsrecht.

🚩 Wichtig: Ein AVV allein reicht nicht. Du brauchst zusätzlich eine gültige Rechtsgrundlage für die Datenverarbeitung (z. B. Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse) und musst die Verarbeitung in deinem Verarbeitungsverzeichnis dokumentieren.

Drittlandtransfer und EU-Serverstandorte

Der Drittlandtransfer ist eines der heikelsten Themen beim Einsatz von Claude in der EU. Anthropic verarbeitet Daten primär in den USA – einem Land, das aus DSGVO-Sicht kein angemessenes Datenschutzniveau bietet.

Die rechtliche Situation 2026

Nach dem Schrems-II-Urteil des EuGH (2020) war der Privacy Shield ungültig. Das EU-US Data Privacy Framework (DPF) wurde 2023 als Nachfolger eingeführt und bietet aktuell eine Rechtsgrundlage für Datentransfers an zertifizierte US-Unternehmen.

ℹ️ EU-US Data Privacy Framework: US-Unternehmen können sich unter dem DPF zertifizieren lassen. Der Datentransfer an zertifizierte Unternehmen gilt dann als DSGVO-konform. Die Zertifizierung muss regelmäßig erneuert werden. Anthropic ist unter dem DPF zertifiziert – prüfe aber immer den aktuellen Status auf der offiziellen DPF-Seite des US-Handelsministeriums.

Absicherungsstrategien für den Drittlandtransfer

Selbst mit dem DPF empfehlen wir eine mehrschichtige Absicherung:

  1. DPF-Zertifizierung prüfen: Ist Anthropic aktuell zertifiziert? Status regelmäßig checken.
  2. Standard Contractual Clauses (SCCs): Als Fallback, falls das DPF gekippt wird (wie der Privacy Shield). Sind im Anthropic-DPA bereits enthalten.
  3. Transfer Impact Assessment (TIA): Dokumentiere die Risikobewertung für den Datentransfer in die USA. Berücksichtige dabei US-Überwachungsgesetze (FISA 702, Executive Order 14086).
  4. Datenminimierung: Sende nur die Daten an Claude, die für die jeweilige Aufgabe tatsächlich nötig sind. Pseudonymisiere wo möglich.

Amazon Bedrock Frankfurt: Die EU-Only-Option

Für Unternehmen mit strengen Compliance-Anforderungen gibt es eine Alternative: Claude über Amazon Bedrock in der Region eu-central-1 (Frankfurt). Dabei werden die Daten ausschließlich in der EU verarbeitet.

  • ✅ Datenverarbeitung in Frankfurt (AWS eu-central-1)
  • ✅ Kein Drittlandtransfer nötig
  • ✅ AWS-AVV für die EU verfügbar
  • 🚩 Technisch komplexer einzurichten als der direkte Anthropic-Zugang
  • 🚩 Erfordert AWS-Know-how und eigene Infrastruktur

💡 Praxis-Tipp: Wenn du Claude über Bedrock Frankfurt einsetzt, schließt du den AVV mit AWS ab – nicht mit Anthropic. AWS hat ein ausgereiftes DSGVO-Framework und bietet deutsche Verträge an. Das vereinfacht die rechtliche Absicherung erheblich. Für die technische Einrichtung empfehlen wir die Zusammenarbeit mit einer KI Agentur, die Erfahrung mit AWS-Infrastruktur hat.

Cowork sicher konfigurieren: 7 Maßnahmen für den Unternehmenseinsatz

Du hast den richtigen Plan gewählt und den AVV abgeschlossen. Jetzt geht es darum, Cowork so einzurichten, dass die technischen Maßnahmen deine rechtliche Absicherung auch praktisch unterstützen. Hier sind die sieben wichtigsten Sicherheitsmaßnahmen für Claude Cowork im Unternehmen.

1. MCP-Server whitelisten

Cowork erlaubt den Anschluss beliebiger MCP-Server – von WordPress über Datenbanken bis hin zu Google Drive. Definiere eine Whitelist erlaubter MCP-Verbindungen für dein Team.

  • ✅ Nur geprüfte und dokumentierte MCP-Server erlauben
  • ❌ Keine spontanen MCP-Verbindungen zu ungeprüften Drittdiensten
  • ✅ Jede neue MCP-Verbindung durch den Datenschutzbeauftragten freigeben lassen

2. Ordner-Berechtigungen einschränken

Cowork kann auf beliebige Ordner in deinem Dateisystem zugreifen – wenn du es erlaubst. Schränke den Zugriff gezielt ein.

  • ✅ Nur projektspezifische Ordner freigeben
  • ❌ Niemals das gesamte Home-Verzeichnis oder Netzlaufwerke einbinden
  • ✅ Sensible Verzeichnisse (HR, Finanzen, Kundendaten) grundsätzlich ausschließen

3. Datenklassifizierung einführen

Nicht alle Daten sind gleich sensibel. Führe eine einfache Klassifizierung ein:

  • Stufe 1 – Öffentlich: Marketingtexte, Blog-Entwürfe, allgemeine Recherche → ohne Einschränkung mit Claude nutzbar
  • Stufe 2 – Intern: Strategiedokumente, Prozessbeschreibungen → mit Claude nutzbar, aber nicht in Free/Pro-Plan
  • Stufe 3 – Vertraulich: Kundendaten, Verträge, Personalakten → nur mit AVV, Team/Enterprise-Plan und dokumentiertem Zweck
  • Stufe 4 – Streng vertraulich: Gesundheitsdaten, Finanzdaten, besondere Kategorien nach Art. 9 DSGVO → Einzelfallprüfung, ggf. DSFA nötig

4. Konversationen regelmäßig bereinigen

Cowork speichert Konversationshistorien lokal. Richte einen Prozess ein, um alte Konversationen regelmäßig zu löschen – besonders wenn sensible Daten besprochen wurden.

🚩 Häufiger Fehler: Teams vergessen, dass lokale Konversationshistorien bei Gerätewechseln oder -diebstahl ein Risiko darstellen. Festplattenverschlüsselung (FileVault/BitLocker) ist Pflicht.

5. Zugangskontrollen durchsetzen

  • ✅ Jeder Nutzer hat ein eigenes Konto (keine geteilten Accounts)
  • ✅ Zwei-Faktor-Authentifizierung aktivieren
  • ✅ Bei Enterprise: SSO/SAML anbinden, um zentrale Zugriffsverwaltung zu nutzen
  • ❌ Keine generischen Team-Logins

6. Logging und Monitoring aktivieren

Im Team- und Enterprise-Plan bietet Anthropic Audit-Logs. Nutze sie:

  • ✅ Regelmäßig prüfen, wer welche Daten an Claude sendet
  • ✅ Ungewöhnliche Nutzungsmuster identifizieren
  • ✅ Logs als Nachweis für Aufsichtsbehörden archivieren

7. Mitarbeiter schulen

Die beste technische Konfiguration hilft nichts, wenn Mitarbeiter unkontrolliert sensible Daten in Prompts eingeben.

  • ✅ Klare Schulung: Was darf in Claude eingegeben werden, was nicht?
  • ✅ Beispiele für erlaubte und verbotene Prompts
  • ✅ Regelmäßige Auffrischung (mindestens jährlich)

Die KI-Kompetenzpflicht nach EU AI Act macht solche Schulungen ab 2025 sogar gesetzlich verpflichtend. In unseren KI Workshops behandeln wir das Thema DSGVO-konformer KI-Einsatz als festen Bestandteil.

💡 Merke: Technische Maßnahmen und organisatorische Maßnahmen müssen zusammenspielen. Der AVV schafft die rechtliche Grundlage, die Konfiguration setzt sie technisch um, und Schulungen sorgen dafür, dass dein Team die Regeln auch einhält.

KI-Richtlinie erstellen: Vorlage für Claude im Unternehmen

Eine interne KI-Richtlinie (auch: KI-Policy oder AI Usage Policy) ist kein Nice-to-have – sie ist eine praktische Notwendigkeit, sobald mehr als eine Person im Unternehmen mit Claude arbeitet. Sie definiert die Spielregeln und schützt dich im Streitfall gegenüber Aufsichtsbehörden.

Was muss eine KI-Richtlinie abdecken?

Hier die Kernbereiche, die deine Richtlinie mindestens enthalten sollte:

1. Geltungsbereich und Zweck
– Für welche Mitarbeiter/Abteilungen gilt die Richtlinie?
– Welche KI-Tools sind erlaubt? (Claude, ChatGPT, Gemini etc.)
– Welche Tarife sind für den Unternehmenseinsatz freigegeben?

2. Datenklassifizierung und Eingaberegeln
– Welche Daten dürfen in KI-Tools eingegeben werden?
– Welche Daten sind ausdrücklich verboten?
– Wie wird mit personenbezogenen Daten umgegangen?

3. Qualitätssicherung und Verantwortung
– Wer prüft KI-generierte Outputs vor der Verwendung?
– Wer trägt die Verantwortung für fehlerhafte Ergebnisse?
– Wie werden KI-generierte Inhalte gekennzeichnet?

4. Datenschutz und Compliance
– Verweis auf den AVV mit Anthropic
– Verweis auf das Verarbeitungsverzeichnis
– Regelungen zur Löschung und Aufbewahrung

5. Schulungspflichten
– Wie oft werden Mitarbeiter geschult?
– Wer ist für die Schulung verantwortlich?
– Wie wird die Teilnahme dokumentiert?

ℹ️ Beispiel-Verbotsliste für Claude-Eingaben: Keine vollständigen Personalakten, keine Sozialversicherungsnummern, keine Kontonummern, keine Gesundheitsdaten, keine vollständigen Kundenadressen ohne Pseudonymisierung. Diese Liste sollte an die spezifischen Datenarten deines Unternehmens angepasst werden.

💡 Praxis-Tipp: Starte mit einer einfachen, einseitigen KI-Richtlinie und erweitere sie bei Bedarf. Eine komplexe 20-Seiten-Policy, die niemand liest, ist weniger wert als eine klare, knappe Richtlinie, die jeder versteht. Wir bei Ostend Digital haben mit einer einfachen „Dos and Don’ts”-Liste angefangen und erweitern sie bei Bedarf.

Für Unternehmen, die gerade erst mit KI starten, ist unser Artikel KI für KMU ein guter Einstiegspunkt – inklusive praktischer Tipps zur Einführung von KI-Tools im Unternehmen.

Datenschutz-Folgenabschätzung: Wann brauchst du eine DSFA?

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist nicht bei jedem KI-Einsatz nötig – aber in bestimmten Fällen verpflichtend. Die DSFA ist eine systematische Bewertung der Risiken, die eine Datenverarbeitung für die Rechte und Freiheiten der betroffenen Personen mit sich bringt.

Wann ist eine DSFA Pflicht?

Eine DSFA ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen birgt. Bei Claude/Cowork ist das insbesondere der Fall, wenn:

  • Systematische Profilerstellung: Du nutzt Claude, um Personen zu bewerten, zu kategorisieren oder Entscheidungen über sie zu treffen
  • Verarbeitung besonderer Kategorien: Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen etc. nach Art. 9 DSGVO
  • Automatisierte Entscheidungen: Claude trifft oder unterstützt Entscheidungen, die rechtliche Wirkung auf Personen haben (Art. 22 DSGVO)
  • Umfangreiche Verarbeitung: Du verarbeitest personenbezogene Daten einer großen Zahl von Personen systematisch über Claude

🚩 Wichtig: Die deutschen Aufsichtsbehörden haben sogenannte Blacklists veröffentlicht, die bestimmte Verarbeitungsarten auflisten, für die eine DSFA zwingend erforderlich ist. Der Einsatz von KI-Systemen zur Verarbeitung personenbezogener Daten taucht auf mehreren dieser Listen auf.

Wann ist keine DSFA nötig?

Keine DSFA brauchst du in der Regel, wenn:

  • ❌ Du Claude nur für allgemeine Recherche, Texterstellung oder Brainstorming nutzt – ohne personenbezogene Daten
  • ❌ Du Claude ausschließlich mit anonymisierten oder pseudonymisierten Daten verwendest
  • ❌ Die Verarbeitung kein hohes Risiko für Betroffene birgt

Aufbau einer DSFA für Claude Cowork

Falls du eine DSFA durchführen musst, sollte sie mindestens diese Elemente enthalten:

  1. Beschreibung der Verarbeitung: Was wird verarbeitet, warum, wie?
  2. Notwendigkeit und Verhältnismäßigkeit: Ist der KI-Einsatz für den Zweck erforderlich? Gibt es mildere Mittel?
  3. Risikobewertung: Welche Risiken bestehen für die betroffenen Personen?
  4. Abhilfemaßnahmen: Welche technischen und organisatorischen Maßnahmen mindern die Risiken?
  5. Stellungnahme des DSB: Dein Datenschutzbeauftragter muss die DSFA prüfen und kommentieren

ℹ️ Kosten einer DSFA: Eine DSFA für den Claude-Einsatz kostet bei einem externen Datenschutzberater typischerweise zwischen 2.000 und 8.000 €, je nach Komplexität. Intern lässt sich der Aufwand auf 20-40 Personenstunden schätzen. Die Investition ist klein verglichen mit einem potenziellen DSGVO-Bußgeld von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes.

EU AI Act: Was deutsche Unternehmen beachten müssen

Neben der DSGVO ist der EU AI Act (KI-Verordnung) das zweite große Regulierungswerk, das den Einsatz von Claude betrifft. Seit 2024 in Kraft, werden die Pflichten schrittweise scharf – einige gelten bereits jetzt, andere ab 2026.

Claude im Risikoklassifizierungssystem

Der EU AI Act stuft KI-Systeme in vier Risikokategorien ein:

  • Unannehmbares Risiko: Verboten (Social Scoring, manipulative KI etc.) – Claude fällt nicht hierunter
  • Hohes Risiko: Strengste Pflichten (Recruiting, Kreditvergabe, Strafverfolgung) – Claude kann hierunter fallen, wenn du es für solche Zwecke einsetzt
  • Begrenztes Risiko: Transparenzpflichten (Chatbots, Deepfakes) – die meisten Claude-Einsatzszenarien fallen hierunter
  • Minimales Risiko: Keine besonderen Pflichten

💡 Merke: Nicht das Tool bestimmt die Risikoklasse – sondern dein Einsatzzweck. Claude als Textassistent für Marketing-Inhalte: begrenztes Risiko. Claude als Entscheidungsunterstützung in der Personalauswahl: hohes Risiko. Gleiche Technologie, völlig unterschiedliche Pflichten.

Was gilt bereits 2026?

  • KI-Kompetenzpflicht (Art. 4): Alle Mitarbeiter, die mit KI arbeiten, müssen ausreichend geschult sein – hier erklären wir, was das konkret bedeutet
  • Transparenzpflicht: Nutzer müssen informiert werden, wenn sie mit einer KI interagieren
  • Dokumentationspflicht: Der KI-Einsatz muss dokumentiert werden (ähnlich dem DSGVO-Verarbeitungsverzeichnis)

Was kommt bis 2027?

  • Pflichten für Hochrisiko-Systeme: Konformitätsbewertung, Qualitätsmanagementsystem, menschliche Aufsicht
  • Pflichten für Anbieter von General Purpose AI (GPAI): Betrifft Anthropic als Claude-Anbieter – nicht dich als Nutzer direkt, aber indirekt (z. B. Transparenz über Trainingsdaten)

💡 Praxis-Tipp: Führe ein KI-Register, in dem du alle im Unternehmen eingesetzten KI-Systeme dokumentierst: Welches Tool, welcher Einsatzzweck, welche Risikoklasse, wer ist verantwortlich, welche Schulungen wurden durchgeführt. Das erfüllt gleichzeitig Anforderungen der DSGVO (Verarbeitungsverzeichnis) und des EU AI Act (Dokumentationspflicht).

Claude vs. ChatGPT im Datenschutz-Vergleich

Wenn Unternehmen über KI-Datenschutz sprechen, fällt der Vergleich mit ChatGPT (OpenAI) fast automatisch. Beide Tools haben ähnliche Herausforderungen – aber unterschiedliche Ansätze. Hier ein sachlicher Vergleich der KI-Modelle unter Datenschutzgesichtspunkten.

Datenschutz-Vergleich: Claude vs. ChatGPT für Unternehmen
Kriterium Claude (Anthropic) ChatGPT (OpenAI)
Firmensitz San Francisco, USA San Francisco, USA
EU-Serverstandort Via AWS Bedrock Frankfurt Via Azure EU-Regionen
DPF-Zertifizierung ✅ Ja ✅ Ja
AVV/DPA verfügbar ✅ Ab Team-Plan ✅ Ab Team-Plan
Zero Data Retention ✅ Team/Enterprise/API ✅ Enterprise/API
Training mit Nutzerdaten ❌ Nicht bei Team/Enterprise ❌ Nicht bei Team/Enterprise
SSO/SAML ✅ Enterprise ✅ Enterprise
Audit-Logs ✅ Team/Enterprise ✅ Enterprise
DSFA-Risikobewertung Veröffentlicht Veröffentlicht
KI-Sicherheitsansatz Constitutional AI (Sicherheits-First) RLHF + Safety Team

Fazit des Vergleichs: Sowohl Anthropic DSGVO-Maßnahmen als auch OpenAIs Datenschutz-Infrastruktur haben in den letzten zwei Jahren massiv aufgeholt. Auf Enterprise-Level sind die beiden vergleichbar. Die Unterschiede liegen eher im Detail:

  • Claude Vorteil: Anthropics Constitutional AI ist von Grund auf auf Sicherheit und Harmlosigkeit ausgelegt. Zero Data Retention bereits ab dem Team-Plan (bei ChatGPT erst ab Enterprise).
  • ChatGPT Vorteil: Breitere EU-Präsenz durch Microsoft-Partnerschaft (Azure), längere Track Record mit europäischen Enterprise-Kunden.

🚩 Achtung: Beide Tools erfordern denselben Aufwand für DSGVO-Konformität. Ein Wechsel von ChatGPT zu Claude (oder umgekehrt) löst keine datenschutzrechtlichen Probleme – du brauchst in beiden Fällen AVV, Verarbeitungsverzeichnis und interne Richtlinie.

Checkliste: Claude Cowork DSGVO-konform einsetzen

Hier die vollständige Checkliste, die du Punkt für Punkt abarbeiten kannst. Wir empfehlen, diese als lebendes Dokument in deinem Unternehmen zu pflegen.

Vor dem Start

  • Tarif wählen: Team-Plan oder Enterprise – kein Free/Pro für Unternehmensdaten
  • AVV/DPA abschließen mit Anthropic (bei Enterprise) oder prüfen, ob im Team-Plan enthalten
  • DPF-Zertifizierung prüfen: Ist Anthropic aktuell unter dem EU-US Data Privacy Framework zertifiziert?
  • SCCs als Backup: Standard Contractual Clauses im DPA enthalten? Falls DPF wegfällt, brauchst du sie.
  • Rechtsgrundlage festlegen: Auf welcher Basis (Art. 6 DSGVO) verarbeitest du Daten über Claude?
  • Verarbeitungsverzeichnis aktualisieren: Claude als Verarbeitungstätigkeit eintragen

Technische Einrichtung

  • 2FA aktivieren für alle Nutzerkonten
  • MCP-Whitelist definieren: Nur geprüfte Verbindungen erlauben
  • Ordner-Berechtigungen einschränken: Nur projektspezifische Verzeichnisse freigeben
  • Festplattenverschlüsselung sicherstellen (FileVault/BitLocker)
  • Audit-Logs aktivieren und regelmäßig prüfen
  • SSO anbinden (bei Enterprise-Plan)

Organisation und Prozesse

  • KI-Richtlinie erstellen und veröffentlichen
  • Datenklassifizierung einführen: Was darf in Claude eingegeben werden?
  • Mitarbeiterschulung durchführen (Pflicht nach EU AI Act Art. 4)
  • KI-Register anlegen: Alle eingesetzten KI-Tools dokumentieren
  • DSFA prüfen: Brauchst du eine Datenschutz-Folgenabschätzung?
  • Regelmäßige Reviews einplanen: Quartalsmäßig Datenschutz-Compliance prüfen

Laufender Betrieb

  • Konversationen bereinigen: Sensible Sessions regelmäßig löschen
  • Sub-Processor-Liste monitoren: Änderungen bei Anthropics Dienstleistern beachten
  • Schulungen auffrischen: Mindestens jährlich, bei Tool-Updates häufiger
  • Neue MCP-Verbindungen immer erst prüfen, dann freigeben
  • Datenpannen-Prozess definieren: Was passiert bei einem Incident mit Claude-Daten?

💡 Praxis-Tipp: Drucke diese Checkliste aus und hänge sie im Büro auf – oder speichere sie als Notion-Template. Der wertvollste Datenschutz ist der, an den man sich im Alltag erinnert. Wir nutzen bei Ostend Digital ein Asana-Board mit wiederkehrenden Tasks für die quartalsweisen Reviews.

Wenn du bei der Umsetzung Unterstützung brauchst, helfen wir dir gerne – als KI Agentur kennen wir die Praxis-Herausforderungen aus eigener Erfahrung.

FAQ

Ist Claude DSGVO-konform?

Claude DSGVO-konform einzusetzen ist möglich, wenn der richtige Tarif (Team oder Enterprise) gewählt wird, ein Claude AVV mit Anthropic abgeschlossen ist und technische sowie organisatorische Maßnahmen umgesetzt werden. Das Tool selbst ist weder „konform” noch „nicht konform” – es kommt auf deine Konfiguration und Prozesse an.

Nutzt Anthropic meine Daten für das Training?

In den kostenpflichtigen Plänen (Team, Enterprise) und bei API-Nutzung: Nein. Anthropic verpflichtet sich vertraglich, Nutzerdaten in diesen Tarifen nicht für Modelltraining zu verwenden. Beim Free-Plan werden Konversationsdaten standardmäßig genutzt – du kannst widersprechen, aber eine Garantie gibt es nur in den bezahlten Plänen.

Brauche ich einen AVV für Claude?

Ja, sobald du personenbezogene Daten über Claude verarbeitest – also z. B. Kundennamen, E-Mail-Adressen, Vertragsinhalte oder Mitarbeiterdaten. Der AVV (bei Anthropic: DPA) ist ab dem Team-Plan verfügbar. Ohne personenbezogene Daten (reine Textgenerierung, allgemeine Recherche) ist formal kein AVV nötig – aber empfehlenswert.

Kann ich Claude auf EU-Servern betreiben?

Ja, über Amazon Bedrock in der Region eu-central-1 (Frankfurt). Dabei werden alle Daten ausschließlich in der EU verarbeitet. Diese Option erfordert technisches Setup und einen AWS-Account, bietet aber die höchste Datenhoheit. Alternativ bieten die Standard-Tarife von Anthropic den Drittlandtransfer über SCCs und DPF ab.

Was passiert bei einem Datenleck bei Anthropic?

Anthropic ist vertraglich (via DPA) verpflichtet, dich über Datenpannen zu informieren. Du hast dann die Pflicht, innerhalb von 72 Stunden die zuständige Aufsichtsbehörde zu informieren (Art. 33 DSGVO) und ggf. die betroffenen Personen zu benachrichtigen (Art. 34 DSGVO). Definiere den Prozess vorab – im Ernstfall zählt jede Stunde.

Ist Cowork datenschutzrechtlich anders zu bewerten als Claude.ai?

Ja, teilweise. Cowork greift auf lokale Dateien und MCP-Verbindungen zu – das erweitert den Datenfluss im Vergleich zur reinen Web-Oberfläche von claude.ai. Die Daten fließen am Ende über dieselbe API, aber die Einstiegspunkte (lokale Dateien, MCP-Server) schaffen zusätzliche Verarbeitungssituationen, die du im Verarbeitungsverzeichnis dokumentieren musst. Wie du einen KI Agent erstellen und dabei den Datenschutz im Blick behältst, erfährst du in unserem separaten Guide.

KI datenschutzkonform einsetzen – ohne Unsicherheit

Wir helfen dir, Claude und andere KI-Tools DSGVO-konform in deinem Unternehmen einzuführen – von der Konfiguration bis zur KI-Richtlinie.

KI-Beratung anfragenKI-Workshop buchen

Bild von Pascal Cabitza
Pascal Cabitza
Pascal Cabitza ist Gründer von Ostend Digital, einer Stuttgarter Digitalagentur für messbares Wachstum. Seit 2014 hilft er Unternehmen mit Websites, Online-Shops, Ads und SEO dabei, nicht nur gut auszusehen – sondern auch gut zu verkaufen. Wenn er nicht gerade Kampagnen optimiert, tüftelt er an KI-Lösungen, die seinem Team den Alltag erleichtern.
Autor*in

Pascal Cabitza

Pascal Cabitza ist Gründer von Ostend Digital, einer Stuttgarter Digitalagentur für messbares Wachstum. Seit 2014 hilft er Unternehmen mit Websites, Online-Shops, Ads und SEO dabei, nicht nur gut auszusehen – sondern auch gut zu verkaufen. Wenn er nicht gerade Kampagnen optimiert, tüftelt er an KI-Lösungen, die seinem Team den Alltag erleichtern.
Linkedin Envelope

Unsere tools

Headings-Map

Snippet Generator

SEO Potenzialrechner

Lass uns über dein Projekt sprechen

300+ Projekte für Unternehmen aller Größen — von Startups bis zu Konzernen. In 30 Minuten zeigen wir dir, was möglich ist.

Erstgespräch buchen
Google Ads
für Anfänger
  • Hochwertige Videoinhalte
  • 5 Module & 7 Lektionen
  • Hilfe von Experten
Kurs entdecken

Beliebte Beiträge

B2B Customer Journey: Alles dreht sich um digitale Touchpoints

Online Marketing Studie 2025: Ein Artikel über Online Marketing Kosten

Die Kunst der perfekten Instagram Caption

Ostend Academy

Weitere Beiträge zum Thema

Alle Beiträge entdecken
Zero-Click SEO für Online-Shops: Over-the-Shoulder Ansicht einer Person am Standing Desk mit Google-Suchergebnissen und AI Overview auf dem Monitor
E-Commerce GEO SEO

Zero-Click SEO für Online-Shops 2026: Sichtbar bleiben ohne Klicks

60 % aller Google-Suchen enden ohne Klick — für Online-Shops eine existenzielle Herausforderung. Dieser Guide zeigt dir die Strategien, mit denen dein Shop in AI Overviews, ChatGPT und Google Shopping sichtbar bleibt.
Google Ads Budget planen: Flat-Lay eines Schreibtischs mit Laptop, Google Ads Dashboard, Notizblock mit Budgetberechnungen und Kaffeetasse im warmen Tageslicht
Google Ads Performance Marketing

Google Ads Budget planen 2026: So setzt du dein Werbebudget richtig ein

Dein Google Ads Budget richtig planen: Mit konkreten Formeln für Break-even, CPC-Benchmarks pro Branche und einer 5-Schritte-Anleitung zur profitablen Budgetplanung 2026.
KI Workshop für Lehrkräfte: Gruppe arbeitet mit Laptops an einem Holztisch in einem hellen Altbau-Raum
AI

KI Workshop für Lehrkräfte 2026: So gelingt die Fortbildung

Ein KI Workshop für Lehrkräfte vermittelt praxisnah, wie du KI-Tools sicher im Unterricht einsetzt. Erfahre, welche Formate und Inhalte wirklich funktionieren.
Claude Cowork DSGVO-konform einsetzen: MacBook mit Privacy-Dashboard und Schildsymbol auf einem Holzschreibtisch in einem hellen Altbau-Büro
AI Online Marketing

Claude Cowork DSGVO 2026: So setzt du KI datenschutzkonform ein

Claude und Cowork lassen sich DSGVO-konform einsetzen – wenn du den richtigen Plan wählst, einen AVV abschließt und die Datenflüsse kontrollierst. Unser Guide zeigt dir die konkreten Schritte.
KI-Agenten im Marketing: Person arbeitet an einem Standing Desk mit Dual-Monitor-Setup und Code-Editor in einem hellen Altbau-Büro
AI Online Marketing

KI-Agenten im Marketing 2026: Von Chatbots zu autonomen Workflows

KI-Agenten im Marketing automatisieren Lead-Qualifizierung, Content-Erstellung und Kampagnen-Optimierung autonom. Der Praxis-Guide zeigt Tools, ROI-Berechnung und den Fahrplan für die Einführung 2026.
Event-Marketing Dashboard: Marketing-Professional arbeitet an Performance-Ads-Kampagne für Ticketverkauf im Altbaubüro mit Dual-Monitor-Setup
Facebook Ads Google Ads Performance Marketing

Event-Marketing 2026: So verkaufst du Tickets mit Performance Ads

Event-Marketing mit Performance Ads: Das 4-Phasen-Modell für systematischen Ticketverkauf – von Google Ads über Meta bis TikTok. Mit Budget-Frameworks und KPI-Benchmarks.
GEO Strategie 2026: Flat-Lay eines Schreibtischs mit Analytics-Dashboard, Strategie-Notizbuch und Kaffee im Stuttgarter Altbaubüro
AI GEO SEO

GEO Strategie 2026: So wirst du in ChatGPT, Perplexity & Google AI sichtbar

GEO Strategie 2026: So optimierst du deine Inhalte für ChatGPT, Perplexity und Google AI Overviews – mit 5-Phasen-Plan, Checkliste und Agentur-Praxis.
KI-Modelle Vergleich 2026: MacBook mit AI-Chat-Interfaces in einem Stuttgarter Altbaubüro, warmes Licht
AI Online Marketing

KI-Modelle im Vergleich 2026: GPT-5.5 vs. Claude Opus vs. Gemini

GPT-5.5, Claude Opus 4.7 und Gemini 3.1 Pro im Vergleich – mit echten Benchmarks, Preisen und Praxis-Empfehlungen für Unternehmen.
Shopify Conversion Rate optimieren – Agenturmitarbeiter analysiert E-Commerce Dashboard mit Conversion-Daten im Stuttgarter Altbaubüro
E-Commerce Shopify

Shopify Conversion Rate optimieren 2026: Der Checkout & UX Guide

Lerne, wie du deine Shopify Conversion Rate mit Checkout-Optimierung, Trust Signals und Mobile UX gezielt steigerst – mit Benchmarks und Praxis-Checkliste.
SEO für Bauunternehmen – Flat-Lay Schreibtisch mit Laptop, Bauplan, Helm und Local SEO Dashboard
Online Marketing SEO

SEO für Bauunternehmen: Der komplette Leitfaden 2026

SEO für Bauunternehmen bringt qualifizierte Anfragen über Google – ohne Kaltakquise. Dieser Leitfaden zeigt dir Schritt für Schritt, wie du dein Bauunternehmen lokal sichtbar machst und nachhaltig neue Aufträge gewinnst.

Explore your digital opportunities today!

Ihr Ansprechpartner

Pascal Cabitza

E-Mail-Adresse

hallo@ostend.digital

  • 100% kostenlos und unverbindlich
  • Erste Strategieberatung
  • Wertvolle Erkenntnisse
Currently accepting new projects

Anfragen gerne über das Kontaktformular

Leistungen

Academy

Städte

  • Stuttgart
  • München
  • Köln
  • Düsseldorf
  • Freiburg

Unternehmen

HIRING

Beiträge

Pioneers of the digital future
Instagram Facebook-f Linkedin-in
Copyright © All Rights Reserved.
Impressum
Datenschutz
AGB
Google Bewertungen
4,9
Basierend auf 43 Rezensionen