Das US-Unternehmen Anthropic hat in seinen Nutzungsrichtlinien den Einsatz der Claude-Modelle für Überwachungszwecke ausdrücklich untersagt. Dieses Verbot zeigt zwar den Anspruch des Unternehmens, klare ethische Grenzen zu ziehen, macht aber zugleich deutlich, dass solche Richtlinien den bestehenden gesetzlichen Zugriffsmöglichkeiten in den USA gegenüberstehen. Für Unternehmen, die KI-Dienste aus den USA nutzen, bleibt damit die Unsicherheit bestehen, wie tragfähig interne Regeln tatsächlich sind und welche rechtlichen Risiken fortbestehen.
Anthropic aktualisiert Nutzungsrichtlinien
Anthropic hat in seinen aktualisierten Nutzungsrichtlinien (Universal Usage Standards) den Einsatz seiner Produkte für die Nutzung für Zwecke der Strafverfolgung, Zensur, Überwachung oder für verbotene Zwecke der Strafverfolgungsbehörden kategorisch untersagt. Dies betrifft beispielsweise das zielgruppenorientierte Verfolgen oder Überwachen der physischen Standorte, emotionalen Zustände oder Kommunikationen von Personen ohne deren Zustimmung. In der Konsequenz lehnte Anthropic nach Informationen Semafors kürzlich Anfragen von Auftragnehmern ab, die mit Bundesstrafverfolgungsbehörden zusammenarbeiten. Darunter das FBI, der Secret Service und das Immigration and Customs Enforcement (ICE), da diese Behörden Überwachung betreiben. Im Gegensatz dazu verbietet der Konkurrent OpenAI lediglich die „nicht autorisierte Überwachung von Personen“. Dies ermöglicht implizit den legalen Einsatz durch Ermittlungsbehörden. Trotz dessen ist Anthropic tief im Regierungsapparat verankert. Das Unternehmen arbeitet mit dem US-Verteidigungsministerium (DOD) zusammen. Ebenso bietet es die Claude Gov Modelle an, die speziell für nationale Sicherheitskunden entwickelt sind.
Das ungelöste Problem des EU-US-Datentransfers
Die ethische Haltung Anthropics mag die Überwachung von Nutzern beschränken wollen, bietet aber keine Garantie für den Schutz europäischer Daten. Nach der DSGVO muss für die Übertragung personenbezogener Daten in ein Drittland wie die USA ein angemessenes Schutzniveau gewährleistet sein. Historisch gesehen hat der EuGH die früheren Abkommen Safe Harbor (2015) und Privacy Shield (2020) wegen der weitreichenden Zugriffsrechte der US-Geheimdienste auf Daten von Nicht-US-Bürgern gekippt. Das seit 2023 geltende EU-US Data Privacy Framework (DPF) wurde aber am 3. September 2025 vom Gericht der Europäischen Union (EuG) bestätigt. Dadurch entsteht für Unternehmen vorerst Rechtssicherheit.
Dennoch bleibt das Abkommen anfällig, da es auf präsidentiellen Verfügungen (Executive Orders) basiert. Diese können leicht widerrufen werden. Datenschützer Max Schrems hat bereits scharfe Kritik an der EuG-Entscheidung geübt. Er prüft eine umfassendere Klage vor dem Europäischen Gerichtshof (EuGH), der das Abkommen erneut kippen könnte. Entscheidend ist, dass US-Gesetze wie der Cloud Act und der Patriot Act es den Behörden weiterhin ermöglichen, bei US-Cloud-Anbietern Daten anzufordern. Ein Chefjustiziar von Microsoft France bestätigte unter Eid, dass keine Gewähr dafür geliefert werden könne, dass US-Behörden in formell korrekten Fällen keine Daten erhalten.
Fazit
Die internen Nutzungsrichtlinien eines KI-Anbieters, selbst wenn sie ethisch motiviert sind wie die von Anthropic, ersetzen nicht das systemische Problem des staatlichen Datenzugriffs in den USA. Für Unternehmen, die personenbezogene Daten mit US-KI-Diensten verarbeiten, sollten drei Punkte berücksichtigen. Obwohl das DPF aktuell durch das EuG bestätigt wurde, sollten Unternehmen erstens die Fragilität dieser Rechtsgrundlage und die drohende Klage vor dem EuGH als Risiken bewerten. Zweitens können US-Unternehmen keinen rechtsverbindlichen Schutz vor staatlichem Datenzugriff garantieren. Sie sind gesetzlich verpflichtet , formell korrekten Anfragen von US-Behörden nachzukommen. Zuletzt sind Unternehmen gut beraten, alternative, nachhaltigere IT-Lösungen zu schaffen, beispielsweise durch die Prüfung europäischer Anbieter mit EU-Infrastruktur.
Unser „KI-Beauftragter“ hilft Ihnen, neue KI-Tools rechtssicher einzuführen, indem wir die rechtlichen Implikationen prüfen und sicherstellen, dass alle Datenschutz- und Compliance-Anforderungen erfüllt werden.
Der „KI-Beauftragte“ –
Ihre Lösung für rechtssichere KI-Compliance
Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt.
