Claude und DSGVO: Was du über Datenschutz bei Claude Pro wissen musst

Du nutzt Claude Pro und fragst dich, wie es um den Datenschutz steht? Gute Frage — und die Antwort ist differenzierter als "ist DSGVO-konform" oder "ist es nicht". Hier bekommst du die wichtigsten Fakten, basierend auf Anthropics aktueller Privacy Policy und den offiziellen Angaben im Anthropic Privacy Center.

---

Anthropic ist ein US-Unternehmen mit Sitz in San Francisco. Alle Daten, die du über claude.ai, die Claude Desktop App oder Claude Code eingibst, werden in den USA verarbeitet und gespeichert.

Das gilt für alle Consumer-Pläne: Free, Pro und Max.

Als Rechtsgrundlage für die Datenübertragung in die USA nutzt Anthropic Standard Contractual Clauses (SCCs) — das ist das von der EU-Kommission anerkannte Instrument für Datentransfers in Drittländer ohne Angemessenheitsbeschluss.

Einordnung: Das Prinzip ist ähnlich wie bei Gmail, Notion oder Slack — auch dort verlassen deine Daten die EU. Die SCCs stellen sicher, dass ein vertraglich gleichwertiges Schutzniveau gilt.

---

Standardmäßig: Nein. Seit der Änderung der Privacy Policy im Oktober 2025 gilt für Claude Pro (und Max) ein Opt-in-Modell:

• Deine Gespräche werden nicht für das Training von KI-Modellen verwendet — es sei denn, du aktivierst das explizit
• Die Einstellung findest du unter claude.ai/settings/data-privacy-controls → "Improve Claude"
• Wenn du die Option deaktiviert lässt (= Standard), werden deine Daten nur zur Bereitstellung des Dienstes genutzt

Was passiert, wenn du Opt-in aktivierst?

• Anthropic darf deine Gespräche in de-identifizierter Form für bis zu 5 Jahre in Training-Pipelines verwenden
• Du kannst die Einstellung jederzeit wieder deaktivieren
• Bereits in Modelle eingeflossene Daten können aber nicht nachträglich entfernt werden (technische Limitation von ML-Training)

Und Incognito-Chats?

Chats im Incognito-Modus werden nie für Training verwendet — auch dann nicht, wenn du "Improve Claude" aktiviert hast.

---

Die Aufbewahrungsfristen hängen von deinen Einstellungen ab:

Datentyp	Aufbewahrungsfrist	Bedingung
Gespräche (Opt-out, Standard)	Bis zu 30 Tage	Danach gelöscht
Gespräche (Opt-in Training)	Bis zu 5 Jahre	De-identifiziert in Training-Pipelines
Gelöschte Gespräche	Sofort aus Chat-Verlauf entfernt, innerhalb von 30 Tagen auch aus Backend	Nie für Training verwendet
Verstöße gegen Usage Policy	Inputs/Outputs bis zu 2 Jahre, Safety-Scores bis 7 Jahre	Trust & Safety Enforcement
Feedback (Daumen hoch/runter, Bug-Reports)	Bis zu 5 Jahre	Nur wenn du aktiv Feedback gibst

Quelle: How long do you store my data? (Anthropic Privacy Center)

Wichtig: Wenn du ein Gespräch löschst, wird es auch nicht für zukünftiges Training verwendet — selbst wenn du Opt-in aktiviert hattest.

---

Standardmäßig: Nein. Anthropic hat strikte Zugriffskontrollen:

• Mitarbeiter haben keinen Zugriff auf deine Gespräche ohne deine Einwilligung
• Ausnahme 1: Wenn du Feedback gibst (Daumen hoch/runter), darf das Trust & Safety Team diese spezifische Interaktion einsehen
• Ausnahme 2: Wenn ein Chat durch automatische Classifier als Verstoß gegen die Usage Policy geflaggt wird
• Alle Mitarbeiter durchlaufen jährliche Security- und Privacy-Schulungen

---

Als EU-Bürger stehen dir die vollen Betroffenenrechte zu:

• Auskunftsrecht: Du kannst erfahren, welche Daten Anthropic über dich speichert
• Recht auf Löschung: Du kannst die Löschung deiner Daten verlangen
• Recht auf Berichtigung: Fehlerhafte Daten können korrigiert werden
• Recht auf Datenübertragbarkeit: Du kannst deine Daten exportieren
• Widerspruchsrecht: Du kannst der Verarbeitung widersprechen
• Recht auf Einschränkung: Du kannst die Verarbeitung einschränken lassen

Anfragen richtest du per E-Mail an privacy@anthropic.com. Anthropic muss gemäß DSGVO innerhalb eines Monats reagieren.

---

Anthropic setzt auf branchenübliche Sicherheitsmaßnahmen:

• Verschlüsselung in Transit: TLS 1.2+ für alle Datenübertragungen
• Verschlüsselung at Rest: AES-256 für gespeicherte Daten
• Zertifizierungen: SOC 2 Type II, ISO 27001:2022, ISO/IEC 42001:2023

AES-256 ist der gleiche Verschlüsselungsstandard, den Banken und Behörden verwenden. TLS stellt sicher, dass niemand deine Daten während der Übertragung abfangen kann.

---

So konfigurierst du Claude Pro für maximalen Datenschutz:

1. "Improve Claude" deaktivieren

Gehe zu claude.ai/settings/data-privacy-controls und stelle sicher, dass die Option deaktiviert ist. Damit werden deine Gespräche nicht für Training verwendet.

2. Gespräche regelmäßig löschen

Lösche Gespräche mit sensiblen Inhalten, sobald du sie nicht mehr brauchst. Gelöschte Gespräche werden innerhalb von 30 Tagen aus allen Systemen entfernt.

3. Incognito-Modus für sensible Themen

Nutze den Incognito-Modus, wenn du besonders vertrauliche Themen besprichst. Diese Chats werden weder gespeichert noch für Training verwendet.

4. Keine personenbezogenen Daten eingeben

Vermeide es, echte Namen, E-Mail-Adressen, Telefonnummern oder andere direkt identifizierende Informationen in Prompts einzugeben. Anonymisiere oder pseudonymisiere stattdessen.

5. Feedback bewusst geben

Bedenke: Wenn du Daumen hoch/runter klickst, kann das Trust & Safety Team diese Konversation einsehen. Das ist in der Regel kein Problem, aber bei hochsensiblen Gesprächen solltest du darauf verzichten.

---

Aspekt	Claude Pro/Max	Claude API	Claude for Work / Enterprise
Training mit Daten	Opt-in (Standard: aus)	Nein	Nein
Datenverarbeitung	USA (SCCs)	USA (oder via AWS Bedrock/Google Vertex in EU)	Individuell verhandelbar
Retention (Standard)	30 Tage	30 Tage (oder Zero Data Retention)	Individuell
DPA verfügbar	Nein (Consumer Terms)	Ja	Ja
DSGVO-Rechte	Ja (via privacy@anthropic.com)	Ja	Ja + dedizierter Support
EU Data Residency	Nein	Ja (via Bedrock/Vertex)	Ja (via Bedrock/Vertex)

Für Unternehmen mit strengen DSGVO-Anforderungen: Die Claude API über Amazon Bedrock oder Google Vertex AI ermöglicht Datenverarbeitung in EU-Regionen (Frankfurt, Paris). Das ist die sicherste Option für regulierte Branchen.

---

Ja, für die meisten Anwendungsfälle. Wenn du:

• "Improve Claude" deaktiviert hast
• Keine personenbezogenen Kundendaten in Prompts eingibst
• Gespräche mit sensiblen Inhalten nach Gebrauch löschst

...dann ist Claude Pro für den normalen Arbeitsalltag datenschutzrechtlich vertretbar. Das Schutzniveau ist vergleichbar mit anderen US-Cloud-Diensten wie Google Workspace oder Microsoft 365, die ebenfalls auf SCCs basieren.

Aber: Claude Pro ist ein Consumer-Produkt. Für Branchen mit besonderen Anforderungen (Gesundheitswesen, Finanzsektor, Rechtsberatung, Steuerberatung) oder wenn du einen Data Processing Agreement (DPA) brauchst, solltest du auf die Claude API oder Claude for Work setzen.

Mehr zum Thema Datenschutz im Unternehmenskontext: Claude Cowork und Datenschutz: Darf ich KI im Unternehmen einsetzen? und Vibe Working und Datenschutz

---

• Anthropic Privacy Policy — Die vollständige Datenschutzerklärung
• Anthropic Privacy Center — FAQ zu Datenspeicherung, Training und Rechten
• Privacy Settings — Deine Datenschutz-Einstellungen
• Anthropic Trust Portal — SOC 2 Reports und Zertifizierungen
• Anthropic Subprocessor List — Liste der Unterauftragsverarbeiter

Wenn du beim Thema Datenschutz tiefer rein willst, helfen dir diese KB-Artikel als nächster Schritt:

• Datenschutz und Connectors: Was kann Claude sehen und wie schützt du dich?
• Claude Cowork und Datenschutz: Darf ich KI im Unternehmen einsetzen?
• Claude Connectors erklärt: Google Drive, Notion und Slack sicher verbinden