# Claude Code DSGVO-konform einrichten: Settings, AVV & Opt-out

> Claude Code DSGVO-konform nutzen: Training-Opt-out, Telemetrie abschalten, lokale Logs begrenzen und AVV mit Anthropic – mit settings.json-Beispielen.

- URL: https://thevibe-coding.de/guides/claude-code-dsgvo-konform-einrichten
- Typ: guides | Veroeffentlicht: 2026-07-13 | Aktualisiert: 2026-07-13
- Autor: Vita Legne | Site: VIBE CODING — thevibe-coding.de

---

**Claude Code DSGVO-konform einrichten** heißt konkret: richtigen Account-Typ wählen, Training-Opt-out setzen, Telemetrie per `settings.json` abschalten, Session-Logs begrenzen, AVV dokumentieren. Dieser Guide führt dich in rund 30 Minuten durch alle fünf Schritte – vom Rechtsrahmen bis zur fertigen Konfiguration.

## Consumer oder Commercial: Die Weiche, die alles entscheidet

Anthropic betreibt zwei getrennte Vertragswelten, und deine DSGVO-Position hängt fast vollständig davon ab, in welcher du landest. Free, Pro und Max laufen über die Consumer Terms: kein Auftragsverarbeitungsvertrag (AVV), und seit dem 28. August 2025 nutzt Anthropic Chats und Coding-Sessions standardmäßig fürs Modelltraining – inklusive einer Aufbewahrung von bis zu 5 Jahren statt der früheren 30 Tage. Team, Enterprise und die API laufen dagegen über die Commercial Terms: Training auf deinen Daten ist ausgeschlossen, der DPA (Data Processing Addendum) ist automatisch Vertragsbestandteil.

| Kriterium | Free / Pro / Max | Team / Enterprise | API (auch Bedrock/Vertex) |
|---|---|---|---|
| AVV / DPA nach Art. 28 DSGVO | Nein | Ja, in Commercial Terms | Ja, in Commercial Terms |
| Training auf deinen Daten | Ja, außer bei Opt-out | Nein | Nein |
| Aufbewahrung | Bis zu 5 Jahre (mit Training) | Vertraglich geregelt | Vertraglich geregelt |
| Geeignet für Kundenprojekte | Kaum vertretbar | Ja | Ja |

Sobald du in Sessions personenbezogene Daten verarbeitest – Kundendatenbanken, Produktionslogs, echte Nutzerdaten im Repo – führt am Commercial-Pfad kaum ein Weg vorbei.

## Training-Opt-out: Seit August 2025 bist du in der Bringschuld

Die Terms-Änderung vom 28. August 2025 drehte die Logik um: Bestandsnutzer der Consumer-Pläne mussten bis zum 28. September 2025 aktiv wählen, Neunutzer entscheiden beim Signup. Wer nicht widerspricht, dessen Coding-Sessions fließen ins Training. Das Opt-out sitzt auf claude.ai unter Einstellungen → Datenschutz, Schalter „Claude für alle verbessern" auf Aus. Die Einstellung wirkt für künftige Sessions; wer sie ändert oder den Account löscht, wird laut Anthropic vom künftigen Training ausgenommen.

Für die DSGVO-Bewertung zählt außerdem der Datenweg: Anfragen über claude.ai werden auf US-Servern verarbeitet, eine EU-Datenresidenz bietet Anthropic für die Consumer-Produkte nicht an. Anthropic ist zudem nicht unter dem Data Privacy Framework zertifiziert – der Drittlandtransfer stützt sich auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Genau das solltest du in deiner eigenen Datenschutzdokumentation festhalten.

## settings.json: Telemetrie und Fehlerberichte abschalten

Claude Code sendet neben den eigentlichen Prompts auch Betriebsdaten: Nutzungsstatistiken, Fehlerberichte an Sentry, Feedback-Umfragen. Für datensparsame Setups liefert Anthropic dokumentierte Umgebungsvariablen, die du dauerhaft im `env`-Block von `~/.claude/settings.json` setzt. Die Sammelvariable `CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC` bündelt gleich 4 Schalter: `DISABLE_TELEMETRY`, `DISABLE_ERROR_REPORTING`, `DISABLE_BUG_COMMAND` und `DISABLE_AUTOUPDATER`.

```json
{
  "env": {
    "CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC": "1",
    "CLAUDE_CODE_DISABLE_FEEDBACK_SURVEY": "1"
  },
  "cleanupPeriodDays": 7
}
```

Claude Code liest die Variablen beim Start – Änderungen greifen ab dem nächsten Launch. Wichtig für Teams: Umgebungsvariablen haben Vorrang vor gleichnamigen Settings-Feldern, und eine projektweite `.claude/settings.json` im Repo verteilt die Konfiguration an alle. Wer den Autoupdater deaktiviert, muss Updates allerdings manuell einspielen – bei Sicherheitsfixes ein echter Trade-off. Details zu allen Befehlen findest du im [umfassenden Claude-Code-Guide](/guides/umfassender-guide-claude-code).

## Lokale Session-Logs: cleanupPeriodDays richtig setzen

Session-Transkripte liegen im Klartext unter `~/.claude/projects/` – inklusive allem, was du in den Kontext geladen hast. Die Standardaufbewahrung beträgt 30 Tage, damit du Sessions per `--resume` fortsetzen kannst. Für Projekte mit personenbezogenen Daten ist das ein unterschätzter Speicherort: Backups, Laptop-Diebstahl oder ein neugieriges Sync-Tool erfassen diese Dateien mit.

Mit `cleanupPeriodDays` in der `settings.json` steuerst du die Frist; 7 Tage sind für sensible Projekte ein brauchbarer Kompromiss aus Resume-Komfort und Datensparsamkeit, 1 Tag die harte Variante. Zwei dokumentierte Stolperfallen: Die Bereinigung orientiert sich an der Datei-Änderungszeit (mtime), nicht an der letzten echten Aktivität. Und der Wert `0` deaktiviert die Bereinigung nicht, sondern löscht laut GitHub Issue #23710 sämtliche Transkripte – im Juni 2026 beschwerten sich deshalb etliche Nutzer über „mysteriös" verschwundene Verläufe.

## Team-Rollout: Eine Konfiguration für alle statt 10 Einzellösungen

Sobald mehr als eine Person mit Claude Code arbeitet, gehört die Datenschutz-Konfiguration ins Repository statt in individuelle Home-Verzeichnisse. Claude Code liest Settings kaskadierend: `~/.claude/settings.json` gilt nutzerweit, `.claude/settings.json` im Projekt für alle, die das Repo klonen, und `.claude/settings.local.json` für persönliche, nicht eingecheckte Abweichungen. Lege die Telemetrie-Schalter und `cleanupPeriodDays` in die Projekt-Settings und committe sie – damit startet jedes Teammitglied automatisch mit derselben datensparsamen Basis, statt dass 10 Leute 10 verschiedene Setups fahren.

Zwei Ergänzungen runden den Rollout ab. Erstens ein Eintrag in der `CLAUDE.md` des Projekts, der die Datenregeln in Klartext festhält: keine Produktionsdaten in Prompts, keine Kundendumps im Arbeitsverzeichnis, Secrets nur über Umgebungsvariablen. Zweitens die organisatorische Seite: Wer den Commercial-Pfad nutzt, sollte im Onboarding festhalten, welcher Account-Typ für welche Projektklasse gilt – Consumer-Abo fürs private Basteln, Team/Enterprise oder API-Key für alles mit Kundenbezug.

## AVV mit Anthropic: Wo der DPA steckt und was drinsteht

Ein separates PDF zum Unterschreiben suchst du bei Anthropic meist vergeblich – und brauchst es auch nicht. Der Anthropic-DPA ist automatisch in die Commercial Terms integriert: Wer API, Team oder Enterprise nutzt, akzeptiert den DPA mit. Inhaltlich deckt er die Pflichtelemente des Art. 28 DSGVO ab und enthält die EU-Standardvertragsklauseln für Transfers in Länder ohne Angemessenheitsbeschluss, also auch die USA. Im deutschen Sprachgebrauch ist dieser DPA das rechtliche Äquivalent zum AVV – ein zusätzliches Dokument ist nicht nötig.

Auf dem Enterprise-Tier lässt sich mehr herausholen: verkürzte Retention-Fenster (bis auf 30 Tage oder Zero Data Retention), Audit-Rechte oder branchenspezifische Zusatzklauseln werden dort über das Account-Management verhandelt. Für dein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO gilt: Anthropic als Auftragsverarbeiter eintragen, DPA-Version und Abrufdatum dokumentieren.

## Reicht das für volle DSGVO-Konformität?

Ehrliche Antwort: Die Konfiguration schließt die größten Lücken, aber zwei Restthemen bleiben bei dir. Erstens der Drittlandtransfer – ohne DPF-Zertifizierung von Anthropic stützt sich alles auf Standardvertragsklauseln, und deren Belastbarkeit solltest du für deinen Anwendungsfall bewerten (Stichwort Transfer Impact Assessment). Zweitens die Datenminimierung im Alltag: Kein Setting verhindert, dass du selbst Produktionsdaten in den Kontext lädst. Ein pragmatischer Ansatz sind anonymisierte Testdaten im Repo und eine Team-Regel, welche Verzeichnisse Claude Code sehen darf – etwa über Permission-Regeln, wie sie auch der [Guide zu Claude-Code-Berechtigungen](/guides/claude-dangerously-skip-permissions-guide) beschreibt. Wer erst in [Vibe Coding](/guides/was-ist-vibe-coding) einsteigt, fährt mit anonymisierten Spielprojekten ohnehin am besten.

Damit steht die Basis: Commercial-Account für Kundenprojekte, Opt-out für private Experimente, 4 Telemetrie-Schalter aus, Logs auf 7 Tage begrenzt, AVV dokumentiert. Stand Juli 2026 ist das der verteidigbarste Setup-Pfad, den du mit [Claude Code](/tools/claude-code) fahren kannst.

*Dieser Artikel ist keine Rechtsberatung. Für verbindliche Auskünfte wende dich an eine Kanzlei.*

## FAQ

### Trainiert Anthropic mit meinen Claude-Code-Sessions?

Bei Free-, Pro- und Max-Plänen ja, sofern du nicht widersprichst: Seit der Terms-Änderung vom 28. August 2025 nutzt Anthropic Chats und Coding-Sessions fürs Modelltraining und hebt sie bis zu 5 Jahre auf. Das Opt-out findest du auf claude.ai unter Einstellungen → Datenschutz. Team, Enterprise und API sind von der Regelung ausgenommen – dort findet kein Training auf Kundendaten statt.

### Bekomme ich mit einem Claude-Pro-Abo einen AVV von Anthropic?

Nein. Consumer-Pläne (Free, Pro, Max) laufen über die Consumer Terms ohne Auftragsverarbeitungsvertrag. Einen DPA nach Art. 28 DSGVO gibt es nur auf dem Commercial-Pfad: Der Anthropic-DPA ist automatisch in die Commercial Terms von API, Team und Enterprise integriert und enthält EU-Standardvertragsklauseln für den US-Transfer.

### Wo speichert Claude Code meine Sessions lokal und wie lange?

Claude Code legt Session-Transkripte im Klartext unter ~/.claude/projects/ ab und löscht sie standardmäßig nach 30 Tagen. Mit cleanupPeriodDays in ~/.claude/settings.json stellst du die Frist um, etwa auf 7 Tage für sensible Projekte. Vorsicht beim Wert 0: Ein dokumentierter Bug (GitHub Issue #23710) löscht damit sämtliche Transkripte statt die Bereinigung zu deaktivieren.

## Quellen

- [Updates to Consumer Terms and Privacy Policy](https://www.anthropic.com/news/updates-to-our-consumer-terms) — Anthropic
- [Data usage – Claude Code Docs](https://code.claude.com/docs/en/data-usage) — Anthropic
- [Environment variables – Claude Code Docs](https://code.claude.com/docs/en/env-vars) — Anthropic
- [How do I view and sign your Data Processing Addendum (DPA)?](https://privacy.claude.com/en/articles/7996862-how-do-i-view-and-sign-your-data-processing-addendum-dpa) — Anthropic Privacy Center
