Claude Code DSGVO-konform einrichten: Settings, AVV & Opt-out
Claude Code DSGVO-konform nutzen: Training-Opt-out, Telemetrie abschalten, lokale Logs begrenzen und AVV mit Anthropic – mit settings.json-Beispielen.
Claude Code DSGVO-konform einrichten heißt konkret: richtigen Account-Typ wählen, Training-Opt-out setzen, Telemetrie per settings.json abschalten, Session-Logs begrenzen, AVV dokumentieren. Dieser Guide führt dich in rund 30 Minuten durch alle fünf Schritte – vom Rechtsrahmen bis zur fertigen Konfiguration.
Consumer oder Commercial: Die Weiche, die alles entscheidet
Anthropic betreibt zwei getrennte Vertragswelten, und deine DSGVO-Position hängt fast vollständig davon ab, in welcher du landest. Free, Pro und Max laufen über die Consumer Terms: kein Auftragsverarbeitungsvertrag (AVV), und seit dem 28. August 2025 nutzt Anthropic Chats und Coding-Sessions standardmäßig fürs Modelltraining – inklusive einer Aufbewahrung von bis zu 5 Jahren statt der früheren 30 Tage. Team, Enterprise und die API laufen dagegen über die Commercial Terms: Training auf deinen Daten ist ausgeschlossen, der DPA (Data Processing Addendum) ist automatisch Vertragsbestandteil.
| Kriterium | Free / Pro / Max | Team / Enterprise | API (auch Bedrock/Vertex) |
|---|---|---|---|
| AVV / DPA nach Art. 28 DSGVO | Nein | Ja, in Commercial Terms | Ja, in Commercial Terms |
| Training auf deinen Daten | Ja, außer bei Opt-out | Nein | Nein |
| Aufbewahrung | Bis zu 5 Jahre (mit Training) | Vertraglich geregelt | Vertraglich geregelt |
| Geeignet für Kundenprojekte | Kaum vertretbar | Ja | Ja |
Sobald du in Sessions personenbezogene Daten verarbeitest – Kundendatenbanken, Produktionslogs, echte Nutzerdaten im Repo – führt am Commercial-Pfad kaum ein Weg vorbei.
Training-Opt-out: Seit August 2025 bist du in der Bringschuld
Die Terms-Änderung vom 28. August 2025 drehte die Logik um: Bestandsnutzer der Consumer-Pläne mussten bis zum 28. September 2025 aktiv wählen, Neunutzer entscheiden beim Signup. Wer nicht widerspricht, dessen Coding-Sessions fließen ins Training. Das Opt-out sitzt auf claude.ai unter Einstellungen → Datenschutz, Schalter „Claude für alle verbessern" auf Aus. Die Einstellung wirkt für künftige Sessions; wer sie ändert oder den Account löscht, wird laut Anthropic vom künftigen Training ausgenommen.
Für die DSGVO-Bewertung zählt außerdem der Datenweg: Anfragen über claude.ai werden auf US-Servern verarbeitet, eine EU-Datenresidenz bietet Anthropic für die Consumer-Produkte nicht an. Anthropic ist zudem nicht unter dem Data Privacy Framework zertifiziert – der Drittlandtransfer stützt sich auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Genau das solltest du in deiner eigenen Datenschutzdokumentation festhalten.
settings.json: Telemetrie und Fehlerberichte abschalten
Claude Code sendet neben den eigentlichen Prompts auch Betriebsdaten: Nutzungsstatistiken, Fehlerberichte an Sentry, Feedback-Umfragen. Für datensparsame Setups liefert Anthropic dokumentierte Umgebungsvariablen, die du dauerhaft im env-Block von ~/.claude/settings.json setzt. Die Sammelvariable CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC bündelt gleich 4 Schalter: DISABLE_TELEMETRY, DISABLE_ERROR_REPORTING, DISABLE_BUG_COMMAND und DISABLE_AUTOUPDATER.
{
"env": {
"CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC": "1",
"CLAUDE_CODE_DISABLE_FEEDBACK_SURVEY": "1"
},
"cleanupPeriodDays": 7
}
Claude Code liest die Variablen beim Start – Änderungen greifen ab dem nächsten Launch. Wichtig für Teams: Umgebungsvariablen haben Vorrang vor gleichnamigen Settings-Feldern, und eine projektweite .claude/settings.json im Repo verteilt die Konfiguration an alle. Wer den Autoupdater deaktiviert, muss Updates allerdings manuell einspielen – bei Sicherheitsfixes ein echter Trade-off. Details zu allen Befehlen findest du im umfassenden Claude-Code-Guide.
Lokale Session-Logs: cleanupPeriodDays richtig setzen
Session-Transkripte liegen im Klartext unter ~/.claude/projects/ – inklusive allem, was du in den Kontext geladen hast. Die Standardaufbewahrung beträgt 30 Tage, damit du Sessions per --resume fortsetzen kannst. Für Projekte mit personenbezogenen Daten ist das ein unterschätzter Speicherort: Backups, Laptop-Diebstahl oder ein neugieriges Sync-Tool erfassen diese Dateien mit.
Mit cleanupPeriodDays in der settings.json steuerst du die Frist; 7 Tage sind für sensible Projekte ein brauchbarer Kompromiss aus Resume-Komfort und Datensparsamkeit, 1 Tag die harte Variante. Zwei dokumentierte Stolperfallen: Die Bereinigung orientiert sich an der Datei-Änderungszeit (mtime), nicht an der letzten echten Aktivität. Und der Wert 0 deaktiviert die Bereinigung nicht, sondern löscht laut GitHub Issue #23710 sämtliche Transkripte – im Juni 2026 beschwerten sich deshalb etliche Nutzer über „mysteriös" verschwundene Verläufe.
Team-Rollout: Eine Konfiguration für alle statt 10 Einzellösungen
Sobald mehr als eine Person mit Claude Code arbeitet, gehört die Datenschutz-Konfiguration ins Repository statt in individuelle Home-Verzeichnisse. Claude Code liest Settings kaskadierend: ~/.claude/settings.json gilt nutzerweit, .claude/settings.json im Projekt für alle, die das Repo klonen, und .claude/settings.local.json für persönliche, nicht eingecheckte Abweichungen. Lege die Telemetrie-Schalter und cleanupPeriodDays in die Projekt-Settings und committe sie – damit startet jedes Teammitglied automatisch mit derselben datensparsamen Basis, statt dass 10 Leute 10 verschiedene Setups fahren.
Zwei Ergänzungen runden den Rollout ab. Erstens ein Eintrag in der CLAUDE.md des Projekts, der die Datenregeln in Klartext festhält: keine Produktionsdaten in Prompts, keine Kundendumps im Arbeitsverzeichnis, Secrets nur über Umgebungsvariablen. Zweitens die organisatorische Seite: Wer den Commercial-Pfad nutzt, sollte im Onboarding festhalten, welcher Account-Typ für welche Projektklasse gilt – Consumer-Abo fürs private Basteln, Team/Enterprise oder API-Key für alles mit Kundenbezug.
AVV mit Anthropic: Wo der DPA steckt und was drinsteht
Ein separates PDF zum Unterschreiben suchst du bei Anthropic meist vergeblich – und brauchst es auch nicht. Der Anthropic-DPA ist automatisch in die Commercial Terms integriert: Wer API, Team oder Enterprise nutzt, akzeptiert den DPA mit. Inhaltlich deckt er die Pflichtelemente des Art. 28 DSGVO ab und enthält die EU-Standardvertragsklauseln für Transfers in Länder ohne Angemessenheitsbeschluss, also auch die USA. Im deutschen Sprachgebrauch ist dieser DPA das rechtliche Äquivalent zum AVV – ein zusätzliches Dokument ist nicht nötig.
Auf dem Enterprise-Tier lässt sich mehr herausholen: verkürzte Retention-Fenster (bis auf 30 Tage oder Zero Data Retention), Audit-Rechte oder branchenspezifische Zusatzklauseln werden dort über das Account-Management verhandelt. Für dein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO gilt: Anthropic als Auftragsverarbeiter eintragen, DPA-Version und Abrufdatum dokumentieren.
Reicht das für volle DSGVO-Konformität?
Ehrliche Antwort: Die Konfiguration schließt die größten Lücken, aber zwei Restthemen bleiben bei dir. Erstens der Drittlandtransfer – ohne DPF-Zertifizierung von Anthropic stützt sich alles auf Standardvertragsklauseln, und deren Belastbarkeit solltest du für deinen Anwendungsfall bewerten (Stichwort Transfer Impact Assessment). Zweitens die Datenminimierung im Alltag: Kein Setting verhindert, dass du selbst Produktionsdaten in den Kontext lädst. Ein pragmatischer Ansatz sind anonymisierte Testdaten im Repo und eine Team-Regel, welche Verzeichnisse Claude Code sehen darf – etwa über Permission-Regeln, wie sie auch der Guide zu Claude-Code-Berechtigungen beschreibt. Wer erst in Vibe Coding einsteigt, fährt mit anonymisierten Spielprojekten ohnehin am besten.
Damit steht die Basis: Commercial-Account für Kundenprojekte, Opt-out für private Experimente, 4 Telemetrie-Schalter aus, Logs auf 7 Tage begrenzt, AVV dokumentiert. Stand Juli 2026 ist das der verteidigbarste Setup-Pfad, den du mit Claude Code fahren kannst.
Dieser Artikel ist keine Rechtsberatung. Für verbindliche Auskünfte wende dich an eine Kanzlei.
Häufige Fragen
Trainiert Anthropic mit meinen Claude-Code-Sessions?
Bei Free-, Pro- und Max-Plänen ja, sofern du nicht widersprichst: Seit der Terms-Änderung vom 28. August 2025 nutzt Anthropic Chats und Coding-Sessions fürs Modelltraining und hebt sie bis zu 5 Jahre auf. Das Opt-out findest du auf claude.ai unter Einstellungen → Datenschutz. Team, Enterprise und API sind von der Regelung ausgenommen – dort findet kein Training auf Kundendaten statt.
Bekomme ich mit einem Claude-Pro-Abo einen AVV von Anthropic?
Nein. Consumer-Pläne (Free, Pro, Max) laufen über die Consumer Terms ohne Auftragsverarbeitungsvertrag. Einen DPA nach Art. 28 DSGVO gibt es nur auf dem Commercial-Pfad: Der Anthropic-DPA ist automatisch in die Commercial Terms von API, Team und Enterprise integriert und enthält EU-Standardvertragsklauseln für den US-Transfer.
Wo speichert Claude Code meine Sessions lokal und wie lange?
Claude Code legt Session-Transkripte im Klartext unter ~/.claude/projects/ ab und löscht sie standardmäßig nach 30 Tagen. Mit cleanupPeriodDays in ~/.claude/settings.json stellst du die Frist um, etwa auf 7 Tage für sensible Projekte. Vorsicht beim Wert 0: Ein dokumentierter Bug (GitHub Issue #23710) löscht damit sämtliche Transkripte statt die Bereinigung zu deaktivieren.
Quellen
- Updates to Consumer Terms and Privacy Policy — Anthropic (abgerufen 2026-07-13)
- Data usage – Claude Code Docs — Anthropic (abgerufen 2026-07-13)
- Environment variables – Claude Code Docs — Anthropic (abgerufen 2026-07-13)
- How do I view and sign your Data Processing Addendum (DPA)? — Anthropic Privacy Center (abgerufen 2026-07-13)
Verwandte Artikel
Umfassender Guide zu Claude Code: Ein Praxisleitfaden für Entwickler
Entdecken Sie einen detaillierten Guide zu Claude Code, der Entwicklern hilft, die KI von Anthropic optimal zu nutzen – von Basics bis zu fortgeschrittenen Agen
Claude im "Safe YOLO Mode": Ein vollständiger Leitfaden zu `--dangerously-skip-permissions`
Entdecken Sie den 'Safe YOLO Mode' von Claude: Eine ausführliche Anleitung zur autonomen Ausführung mit `--dangerously-skip-permissions`, Risiken und Best Pract
Was ist Vibe-Coding? – Software bauen durch Erzählen
Vibe Coding ist Softwareentwicklung per Alltagssprache: Du beschreibst, die KI programmiert. Definition, Karpathy-Ursprung (Februar 2025), Vergleichstabelle, Tool-Kosten und ein Praxisbeispiel für Anfänger.