Auftragsverarbeitungsvertrag mit Claude (Anthropic)

Auftragsverarbeitungsvertrag mit Claude (Anthropic)
Schritt-für-Schritt-Anleitung für rechtskonforme Nutzung im Unternehmen
Warum ein AV-Vertrag unverzichtbar ist
Der Einsatz von Claude im geschäftlichen Kontext erfordert zwingend einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit Anthropic. Dies ist keine Option, sondern eine rechtliche Verpflichtung, die sich aus zwei zentralen Regelwerken ergibt: der Datenschutz-Grundverordnung (DSGVO) und der KI-Verordnung (AI Act).
Die DSGVO verpflichtet in Artikel 28 alle Verantwortlichen, die externe Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen, einen schriftlichen Auftragsverarbeitungsvertrag abzuschließen. Die KI-Verordnung, die seit August 2024 in Kraft getreten ist und bis 2027 phasenweise umgesetzt wird, stellt zusätzliche Anforderungen an Transparenz, Dokumentation und Risikomanagement beim Einsatz von KI-Systemen.
Ohne einen gültigen AV-Vertrag setzen sich Unternehmen erheblichen Risiken aus: Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes sind möglich. Hinzu kommen potenzielle Reputationsschäden und der Verlust des Vertrauens von Kunden und Geschäftspartnern.
Die richtige Lizenz für Ihren AV-Vertrag
Ein Auftragsverarbeitungsvertrag ist ausschließlich mit geschäftlichen Lizenzversionen von Claude möglich. Die kostenlose Version bietet keine Möglichkeit zur Vertragsschließung und ist daher für den Unternehmenseinsatz nicht geeignet.
Verfügbare Lizenzoptionen:
Claude Pro – Kostenpflichtiger Einzelnutzer-Plan für individuelle Geschäftsanwender
Team-Pläne – Für mehrere Nutzer im Unternehmen mit gemeinsamer Verwaltung
Enterprise-Pläne – Für große Organisationen mit erweiterten Sicherheits- und Compliance-Funktionen
API-Account – Für Entwickler, die Claude in eigene Anwendungen integrieren möchten
Wichtiger Hinweis
Lizenzbezeichnungen und Angebote können sich ändern. Prüfen Sie die aktuellen Optionen auf claude.ai
Schritt 1: Passende Lizenz buchen
Website aufrufen
Besuchen Sie claude.ai für Pro, Team oder Enterprise
Plan wählen
Wählen Sie die Lizenz, die zu Ihren Unternehmensanforderungen passt
API-Option
Für Entwickler: console.anthropic.com
Der erste Schritt zur Vertragsschließung ist die Auswahl und Buchung der geeigneten Lizenz. Überlegen Sie dabei genau, wie viele Mitarbeiter Claude nutzen werden und welche Sicherheitsanforderungen Ihr Unternehmen hat. Enterprise-Pläne bieten zusätzliche Kontrollmöglichkeiten und erweiterte Compliance-Funktionen, die für regulierte Branchen besonders wichtig sein können.
Schritt 2: Datenverarbeitung korrekt konfigurieren
Einstellungen öffnen
Navigieren Sie in Ihrem Account zu den Einstellungen unter Privacy & Data
Training deaktivieren
Bei Pro/Consumer-Plänen: Wählen Sie aktiv "Do not train on my data"
Wichtiger Unterschied
Pro/Consumer-Pläne: Sie müssen die Option "Do not train on my data" aktiv wählen – dies ist NICHT standardmäßig deaktiviert
Enterprise-Verträge: Training auf Nutzerdaten ist standardmäßig ausgeschlossen und vertraglich geregelt
Dieser Schritt ist entscheidend für die Datenschutzkonformität. Stellen Sie sicher, dass keine Unternehmensdaten für das Training der KI-Modelle verwendet werden, es sei denn, Sie haben dies bewusst geprüft und freigegeben.
Schritt 3: Data Processing Addendum (DPA) sichern
Pro-Lizenz
Das Data Processing Addendum wird automatisch mit dem Vertragsabschluss aktiviert. Sie müssen keine weiteren Schritte unternehmen.
Team/Enterprise/API
Kontaktieren Sie das Sales-Team über anthropic.com/contact-sales
Das Sales-Team wird mit Ihnen die Details des Vertrags besprechen und alle notwendigen Dokumente bereitstellen.
DPA-Dokument
Verfügbar unter: anthropic.com/legal/dpa
Hinweis: Links und Vertragsversionen können sich ändern. Prüfen Sie immer die aktuelle Version auf der Anthropic-Website.
Schritt 4 & 5: Formular ausfüllen und Vertrag signieren
1
Enterprise/API: Formular ausfüllen
Stellen Sie Ihre Unternehmensdaten bereit, benennen Sie eine Kontaktperson und geben Sie den Verwendungszweck an. Das Sales-Team leitet Sie durch den Prozess.
2
Vertrag unterzeichnen
Pro/Team: Vertrag wird automatisch mit dem Kaufabschluss aktiviert
Enterprise/API: Vertrag wird bilateral verhandelt und von beiden Parteien unterzeichnet
3
Bestätigung archivieren
Bewahren Sie die Bestätigungs-E-Mail von Anthropic sorgfältig auf. Sie dient als Nachweis für die Vertragsschließung.
4
Zusätzliche Dokumente sichern
Laden Sie das Data Processing Addendum herunter und speichern Sie die Liste der Subverarbeiter (verfügbar auf der Legal-Seite von Anthropic)
Ihre Pflichten nach Vertragsabschluss
Mit der Unterzeichnung des AV-Vertrags ist Ihre Compliance-Arbeit noch nicht abgeschlossen. Die DSGVO und KI-Verordnung verpflichten Sie zu weiteren organisatorischen Maßnahmen:
Verzeichnis aktualisieren
Tragen Sie Claude/Anthropic als Auftragsverarbeiter in Ihr Verzeichnis der Verarbeitungstätigkeiten ein. Dokumentieren Sie präzise den Zweck der Verarbeitung, z.B. Textgenerierung, Datenanalyse oder Kundenservice-Automation.
Mitarbeiter schulen
Sensibilisieren Sie Ihre Mitarbeiter, welche Daten in Prompts eingegeben werden dürfen. Legen Sie klare Richtlinien für den Umgang mit vertraulichen und personenbezogenen Informationen fest.
Risikobewertung durchführen
Prüfen Sie, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Dies ist besonders wichtig bei der Verarbeitung sensibler Daten wie Gesundheits- oder Finanzdaten.
Datenschutzhinweise anpassen
Informieren Sie betroffene Personen in Ihrer Datenschutzerklärung darüber, dass Sie KI-Dienstleister einsetzen.
Besonderheiten bei Anthropic/Claude
Hosting-Standort
Claude nutzt globale Cloud-Infrastruktur, hauptsächlich AWS und Google Cloud. Der genaue Hosting-Standort kann variieren und ist nicht immer transparent.
Bei Enterprise-Verträgen kann EU-Hosting optional vereinbart werden
Prüfen Sie im Einzelfall, ob Drittlandtransfers (z.B. in die USA) bestehen
Bei Drittlandtransfers werden Standardvertragsklauseln (SCC) verwendet
Empfehlung: Fordern Sie konkrete Angaben zum Datenstandort beim Sales-Team an.
Subverarbeiter
Anthropic setzt verschiedene Subverarbeiter für Hosting, Zahlungsabwicklung und andere Dienste ein. Die aktuelle Liste finden Sie unter:
anthropic.com/legal/subprocessors
Datenlöschung
Nach Vertragsende werden Ihre Daten gemäß den vertraglichen Vereinbarungen gelöscht. Die genauen Löschfristen können je nach Vertragstyp variieren.
Empfehlung: Fordern Sie bei Bedarf eine schriftliche Bestätigung der Löschung und der konkreten Fristen an.
Compliance sicher umsetzen
Die Implementierung eines rechtssicheren AV-Vertrags und die Einhaltung aller Compliance-Anforderungen können komplex sein. Jedes Unternehmen hat individuelle Anforderungen und spezifische Risikoprofile, die berücksichtigt werden müssen.