<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>KI-Nutzung Archive - ELSEN GRC</title>
	<atom:link href="https://elsengrc.com/tag/ki-nutzung/feed/" rel="self" type="application/rss+xml" />
	<link>https://elsengrc.com/tag/ki-nutzung/</link>
	<description>Governance, Risk, Compliance Beratung - AI Privacy &#38; SaaS</description>
	<lastBuildDate>Fri, 03 Jul 2026 11:16:38 +0000</lastBuildDate>
	<language>de</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=7.0</generator>

<image>
	<url>https://elsengrc.com/docs/uploads/2025/10/cropped-512-32x32.png</url>
	<title>KI-Nutzung Archive - ELSEN GRC</title>
	<link>https://elsengrc.com/tag/ki-nutzung/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>ChatGPT sicher nutzen: Guide für mehr Sicherheit bei Codex und CustomGPTs</title>
		<link>https://elsengrc.com/journal/chatgpt-sicher-nutzen/</link>
		
		<dc:creator><![CDATA[Mario Elsen]]></dc:creator>
		<pubDate>Fri, 03 Jul 2026 11:04:41 +0000</pubDate>
				<category><![CDATA[GRC Journal]]></category>
		<category><![CDATA[Praxis]]></category>
		<category><![CDATA[ChatGPT]]></category>
		<category><![CDATA[DSGVO]]></category>
		<category><![CDATA[EU AI Act]]></category>
		<category><![CDATA[Governance]]></category>
		<category><![CDATA[IT-Sicherheit]]></category>
		<category><![CDATA[KI-Nutzung]]></category>
		<category><![CDATA[OpenAI]]></category>
		<guid isPermaLink="false">https://elsengrc.com/?p=1508</guid>

					<description><![CDATA[<p>Man kann durchaus festhalten, dass der KI-Hype mit der Veröffentlichung vonOpenAIs ChatGPT Ende 2022 erst so richtig in Bewegung gekommen ist. Für viele Menschen war der kleine, der Google-Suche ähnliche...</p>
<p>Der Beitrag <a href="https://elsengrc.com/journal/chatgpt-sicher-nutzen/">ChatGPT sicher nutzen: Guide für mehr Sicherheit bei Codex und CustomGPTs</a> erschien zuerst auf <a href="https://elsengrc.com">ELSEN GRC</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Man kann durchaus festhalten, dass der <strong>KI-Hype</strong> mit der Veröffentlichung von<strong><a href="https://openai.com">OpenAIs</a> ChatGPT</strong> Ende 2022 erst so richtig in Bewegung gekommen ist. Für viele Menschen war der kleine, der Google-Suche ähnliche Eingabe-Schlitz erste Berührungspunkt mit <strong>generativer KI</strong> und hat sich in privaten Haushalten bis hin zu Unternehmen entsprechend schnell verbreitet. Zunächst haben Mitarbeiter ihre <strong>privaten ChatGPT Accounts</strong> im Unternehmen genutzt, um einfache und lästige Aufgaben, wie z.B. die Korrektur von Texten, Verträgen oder anderen Schriftstücken zu überprüfen, zunehmend aber auch für deutlich komplexere Aufgaben. <strong>Wie man ChatGPT sicher nutzen kann, war hier selten ein Thema.</strong></p>
<p>Geschäftsführung und IT hatten von dieser unbefugten ChatGPT-Nutzung im Unternehmen schließlich nur selten Kenntnis, was zum &#8222;Wildwuchs&#8220; der KI-Tools und damit zum Entstehen ganzer &#8222;<a href="https://elsengrc.com/wiki/shadow-ai/">Shadow-AI</a>&#8220; Landschaft in kleinen wie großen Unternehmen kräftig beigetragen hat.  Während es zunächst nur darum ging, dass Arbeitsinhalte wie Kundendaten, Produktinformationen oder betriebliche Interna in <strong>privaten ChatGPT-Accounts </strong>landeten, wurde mit zunehmender Integration weitere Tools wie OpenAI Codex auch die Frage nach Sicherheit und Governance rund um ChatGPT lauter. Wie Unternehmen und Mitarbeiter ChatGPT sicher nutzen können, ist Kernthema dieser Guideline, die sich auch mit weiteren Fragen beschäftigt:</p>
<p><em><strong>Wie sicher ist ChatGPT und Codex? Welche OpenAI Pläne müssen KMU nutzen? Welche Sicherheitsrisiken müssen berücksichtigt werden? Welche Verträge liegen der Nutzung zu Grunde?</strong></em></p>
<p>Bleiben diese Fragen ungeklärt, drohen DSGVO-Verstöße, der ungewollte Abfluss von Betriebsgeheimnissen und Pflichtverletzungen nach dem <a href="https://elsengrc.com/wiki/g/eu-ai-act-definition-bedeutung-pflichten-fuer-unternehmen/" target="_blank" rel="noopener">EU AI Act</a>. Diese Guideline sortiert die Nutzungsvarianten, arbeitet die datenschutzrechtlichen Unterschiede der OpenAI-Pläne heraus und schließt mit einer praxistauglichen Sicherheits-Checkliste &#8211; samt eigenem Abschnitt zum besonders heiklen <strong>Codex</strong>, dem agentischen Coding-Werkzeug von OpenAI.</p>
<h3>Sicherheit von ChatGPT ist Chefsache</h3>
<p>Die Verantwortung für die &#8222;compliant&#8220; und sichere KI-Nutzung  sitzt im Regelfall weit oben: In der Geschäftsleitung bzw. im Management.  Dabei wirken drei Pflichtenkreise parallel, wenn man als Unternehmen ChatGPT sicher nutzen möchte:</p>
<ul class="egrc-list">
<li><strong>Datenschutz (</strong><a href="https://elsengrc.com/wiki/c/dsgvo/">DSGVO</a><strong>):</strong> In dem Moment, in dem personenbezogene Daten (etwa Namen, Adressen oder Kundendaten) in einen Prompt wandern, wird OpenAI zum <strong>Auftragsverarbeiter</strong>. Dafür braucht es einen <strong>Auftragsverarbeitungsvertrag</strong> (AVV/DPA) gemäß Art. 28 DSGVO &#8211; der bei privaten Consumer-Konten schlicht <span style="text-decoration: underline;">nicht</span> existiert. Gibt ein Mitarbeiter Kundendaten in sein persönliches ChatGPT-Konto ein, ist damit das erste <strong>knackige Problem</strong> geboren.</li>
<li><strong>EU AI Act:</strong> Art. 4 der KI-Verordnung verlangt seit d. Februar 2025, dass Unternehmen für ausreichende <em>KI-Kompetenz</em> (<a href="https://elsengrc.com/wiki/g/ai-literacy-ki-kompetenz-definition-bedeutung-pflichten-fuer-unternehmen/">AI Literacy</a>) ihrer Belegschaft sorgen. Wer ChatGPT im Betrieb einsetzt, kommt an einer Schulung (Inhouse, Online oder auch außer Haus) nicht vorbei. Falls das bislang liegengeblieben ist: Unsere <a href="https://elsengrc.com/ki-kompetenzschulung/">KI-Kompetenzschulung</a> deckt genau diese Pflicht ab.</li>
<li><strong>Geschäftsgeheimnisschutz &amp; Haftung:</strong> Ungesteuerte Tool-Nutzung &#8211; auf Deutsch <a href="https://elsengrc.com/wiki/shadow-ai/">Schatten-KI bzw. &#8222;Shadow AI&#8220;</a> &#8211; kann interne Betriebsgeheimnisse oder sogar Kundendaten in fremde Trainingsdaten spülen und die <strong>Sorgfaltspflichten</strong> der Geschäftsführung verletzen. Die wenigsten Arbeitsverträge sind auf ein solches Szenario überhaupt vorbereitet oder ausgelegt.</li>
</ul>
<div class="egrc-callout"><strong>Zentraler Hinweis vorab: </strong>Das Risiko ist nicht das Eingabefenster von ChatGPT als solches, sondern die gewählte <strong>Nutzungsvariante</strong> und der Vertrag dahinter. Erst auf einer zweiten Ebene kommen technische Risiken durch die Integration ins Endgerät hinzu (etwa bei <a href="https://chatgpt.com/de-DE/codex/">Codex</a> oder bei Connectors und <a href="https://chatgpt.com/gpts">Custom GPTs</a>).</div>
<p>Die Nutzung von ChatGPT hat also <strong>zwei Perspektiven</strong>: Im Enterprise-Vertrag mit Zero Data Retention kann es ein <strong>compliancetaugliches</strong> Werkzeug sein, während es im privaten Plus-Konto eines Mitarbeiters ein meldepflichtiger Datenschutzvorfall sein könnte. Schauen wir uns die Nutzungsvarianten daher zuerst im Detail an.</p>
<div id="attachment_1520" style="width: 2570px" class="wp-caption alignnone"><img fetchpriority="high" decoding="async" aria-describedby="caption-attachment-1520" class="size-full wp-image-1520" src="https://elsengrc.com/docs/uploads/2026/07/Preise-Plaene-ChatGPT-scaled.jpg" alt="ChatGPT sicher nutzen: Preise und Pläne von ChatGPT sowie die abgeschlossenen Verträge sind hier zentral" width="2560" height="1310" srcset="https://elsengrc.com/docs/uploads/2026/07/Preise-Plaene-ChatGPT-scaled.jpg 2560w, https://elsengrc.com/docs/uploads/2026/07/Preise-Plaene-ChatGPT-300x153.jpg 300w, https://elsengrc.com/docs/uploads/2026/07/Preise-Plaene-ChatGPT-1024x524.jpg 1024w, https://elsengrc.com/docs/uploads/2026/07/Preise-Plaene-ChatGPT-768x393.jpg 768w, https://elsengrc.com/docs/uploads/2026/07/Preise-Plaene-ChatGPT-1536x786.jpg 1536w, https://elsengrc.com/docs/uploads/2026/07/Preise-Plaene-ChatGPT-2048x1048.jpg 2048w" sizes="(max-width: 2560px) 100vw, 2560px" /><p id="caption-attachment-1520" class="wp-caption-text">Verfügbare Pläne für Privatpersonen und Unternehmen (Quelle: https://chatgpt.com/de-DE/pricing/)</p></div>
<h3>Die Nutzungsvarianten von ChatGPT im Überblick</h3>
<p>Für die Sicherheitsbewertung von ChatGPT kommt es auf drei Dimensionen an:</p>
<ul class="egrc-list">
<li><strong>Datenfluss: </strong>Was verlässt überhaupt das Unternehmen?</li>
<li><strong>Systemzugriff:</strong> kann das Tool lokale Dateien lesen oder Befehle ausführen?</li>
<li><strong>Vertrag: </strong>Consumer oder Business/Enterprise Terms?</li>
</ul>
<p>Die folgende Tabelle stellt Nutzungsvariante, typische Anwendung und Sicherheitsrisiko kompakt gegenüber:</p>
<div class="egrc-table-wrap">
<table class="egrc-table">
<thead>
<tr>
<th>Variante</th>
<th>Was es ist</th>
<th>Typischer Anwender</th>
<th>Systemzugriff</th>
<th>Risiko-Level</th>
</tr>
</thead>
<tbody>
<tr>
<td><strong>Web-App / Mobile-App</strong></td>
<td>ChatGPT im Browser (chatgpt.com) oder als App auf Smartphone/Tablet</td>
<td>Einzelne Mitarbeitende, Wissensarbeit, Recherche, Texte, Analyse</td>
<td>Kein direkter Zugriff, nur auf die Dateien und Informationen, die in den Chat eingegeben werden</td>
<td>Niedrig &#8211; mittel (abhängig vom Plan, siehe AVV/DPA)</td>
</tr>
<tr>
<td><strong>ChatGPT Desktop-App</strong></td>
<td>Eigenständige App für Windows/macOS, kann über &#8222;Work with Apps&#8220; mit lokalen Programmen (z.B. Editoren, Terminals) zusammenarbeiten</td>
<td>Power-User, die ChatGPT in den Arbeitsalltag integrieren und Kontext aus lokalen Apps ziehen</td>
<td>Auf Wunsch Lesezugriff auf Inhalte verbundener Apps, Connectors</td>
<td>Mittel bis hoch</td>
</tr>
<tr>
<td><strong>Connectors / Apps &amp; Custom GPTs</strong></td>
<td>Anbindung an interne Quellen und Drittdienste (z.B. Google Drive, SharePoint) sowie eigene, geteilte GPTs</td>
<td>Fachabteilungen, wiederkehrende Workflows, Wissensdatenbanken</td>
<td>Datei- und Tool-Zugriff im Rahmen der Freigabe, admin-steuerbar</td>
<td>Mittel bis hoch</td>
</tr>
<tr>
<td><strong>Codex</strong></td>
<td>Agentisches Entwickler-Werkzeug (Terminal, IDE oder Cloud), das Code liest, schreibt und Befehle ausführt</td>
<td>Entwicklung, IT, technische Teams</td>
<td><strong>Voller Zugriff</strong> auf Dateisystem und Shell-Befehle im Rahmen der Sandbox (mit den Rechten des Nutzers)</td>
<td class="egrc-risk-high">Hoch &#8211; siehe eigener Abschnitt</td>
</tr>
<tr>
<td><strong>API / OpenAI Platform</strong></td>
<td>Direkte Anbindung an eigene Software, Automatisierungen, Produkte</td>
<td>Entwicklung, Produktintegration</td>
<td>Kontrolliert durch die eigene Anwendung</td>
<td>Niedrig (datenschutzrechtlich stärkster Pfad)</td>
</tr>
</tbody>
</table>
</div>
<p><strong>Ein häufiges Missverständnis</strong> hält sich hartnäckig: Die ChatGPT-App gilt als unbedenklich, Codex pauschal als gefährlich.</p>
<p>Datenschutzrechtlich führt diese Sichtweise in die Irre &#8211; denn ausschlaggebend ist nicht die Oberfläche, sondern der <span style="text-decoration: underline;">Vertrag</span> und der rechtliche Rahmen dahinter. Ein <strong>privates Plus-Konto</strong> in der Web-App kann problematischer sein als ein<strong> API-Zugang unter Business-Terms</strong>, obwohl die API technisch weit mehr kann. Codex bringt durch seine tiefe <strong>Systemintegration</strong> zwar tatsächlich ein technisches <strong>Risiko</strong> mit &#8211; dieses lässt sich mit einem durchdachten Setup aber sehr gezielt eingrenzen, wie der eigene <a href="#codex">Abschnitt weiter unten</a> zeigt.</p>
<h3>Datenschutz &amp; DSGVO: der entscheidende Unterschied zwischen den Plänen</h3>
<p>OpenAI zieht eine klare Trennlinie zwischen zwei Vertragswelten &#8211; den Angeboten für <strong>Einzelpersonen</strong> (Consumer) und denen für <strong>Unternehmen</strong> (Business/Enterprise). An genau dieser Linie entscheidet sich, ob der Einsatz compliancetauglich ist oder nicht.</p>
<div id="attachment_1527" style="width: 2570px" class="wp-caption alignnone"><img decoding="async" aria-describedby="caption-attachment-1527" class="size-full wp-image-1527" src="https://elsengrc.com/docs/uploads/2026/07/Enterprise-Plaene-ChatGPT-scaled.jpg" alt="Enterprise Pläne von ChatGPT für Unternehmen" width="2560" height="1323" srcset="https://elsengrc.com/docs/uploads/2026/07/Enterprise-Plaene-ChatGPT-scaled.jpg 2560w, https://elsengrc.com/docs/uploads/2026/07/Enterprise-Plaene-ChatGPT-300x155.jpg 300w, https://elsengrc.com/docs/uploads/2026/07/Enterprise-Plaene-ChatGPT-1024x529.jpg 1024w, https://elsengrc.com/docs/uploads/2026/07/Enterprise-Plaene-ChatGPT-768x397.jpg 768w, https://elsengrc.com/docs/uploads/2026/07/Enterprise-Plaene-ChatGPT-1536x794.jpg 1536w, https://elsengrc.com/docs/uploads/2026/07/Enterprise-Plaene-ChatGPT-2048x1058.jpg 2048w" sizes="(max-width: 2560px) 100vw, 2560px" /><p id="caption-attachment-1527" class="wp-caption-text">Enterprise Pläne von ChatGPT für Unternehmen bieten mehr vertragliche Sicherheit und Datenschutz</p></div>
<h4>Einzelperson bzw. Consumer-Konten (Free, Plus, Pro)</h4>
<p>Diese Pläne fallen unter die <a href="https://openai.com/de-DE/policies/row-terms-of-use/"><strong>Consumer Terms</strong></a> &#8211; und dort ist die Voreinstellung eindeutig: Chats fließen <strong>standardmäßig</strong> in die <strong>Modellverbesserung</strong>, solange der <strong>Nutzer nicht <span style="text-decoration: underline;">aktiv</span> widerspricht</strong>. Was das konkret bedeutet:</p>
<ul class="egrc-list">
<li><strong>Opt-out ist Pflicht, nicht Voreinstellung:</strong> Unter <em>Einstellungen → Datensteuerung (Data Controls) → &#8222;Das Modell für alle verbessern&#8220;</em> muss der Schalter manuell auf <em>Aus</em> gestellt werden. Alternativ über das Privacy-Portal von OpenAI (&#8222;Do not train on my content&#8220;).</li>
<li><strong>Aufbewahrung &amp; Temporary Chat:</strong> Wer das Training deaktiviert, dessen neue Chats fließen nicht mehr ins Training. Der <em>Temporary Chat</em> erscheint nicht im Verlauf und wird nach 30 Tagen gelöscht &#8211; außer es bestehen Sicherheits- oder Rechtsgründe.</li>
<li><strong>Kein AVV:</strong> Für Consumer-Konten gibt es <span style="text-decoration: underline;">keinen</span> Auftragsverarbeitungsvertrag. Damit fehlt die rechtliche Grundlage für die Verarbeitung personenbezogener Daten im Unternehmenskontext, die nach Art. 28 DSGVO notwendig ist.</li>
<li><strong>Wichtige Einschränkung:</strong> Das Opt-out wirkt nur in die Zukunft. Bereits für das Training verwendete <span style="text-decoration: underline;">Inhalte lassen sich nicht zurückholen</span>. Zudem: Aufgrund eines laufenden Rechtsstreits (u.a. mit der New York Times) ist OpenAI derzeit gerichtlich verpflichtet, bestimmte Chat-Logs <strong>länger als üblich aufzubewahren</strong> &#8211; auch bei aktiviertem Opt-out oder gelöschten Chats. Ein Punkt, der für datensensible Unternehmen relevant ist (Stand Juni 2026).</li>
</ul>
<div class="egrc-callout"><strong>Achtung Feedback-Falle:</strong> Auch bei deaktiviertem Training kann eine einzelne Rückmeldung (Daumen hoch/runter) dazu führen, dass die <span style="text-decoration: underline;">gesamte</span> zugehörige Konversation doch für das Training verwendet wird. Mitarbeiter sollten das kennen.</div>
<p><strong>Vorsicht bei der Team- bzw. Business-Umbenennung:</strong> OpenAI hat <em>ChatGPT Team</em> am 29. August 2025 in <strong>ChatGPT Business</strong> umbenannt. Business und Enterprise laufen unter Commercial Terms (kein Training standardmäßig). Im Zweifel den konkreten Vertragsstatus prüfen. Gerne <a href="https://elsengrc.com/contact/">beraten wir Sie</a> bei der Auswahl des richtigen Plans.</p>
<div id="attachment_1529" style="width: 2570px" class="wp-caption alignnone"><img decoding="async" aria-describedby="caption-attachment-1529" class="size-full wp-image-1529" src="https://elsengrc.com/docs/uploads/2026/07/Modellverbesserung-ChatGPT-scaled.jpg" alt="Wer ChatGPT sicher nutzen will, muss die Modellverbesserung deaktivieren" width="2560" height="1348" srcset="https://elsengrc.com/docs/uploads/2026/07/Modellverbesserung-ChatGPT-scaled.jpg 2560w, https://elsengrc.com/docs/uploads/2026/07/Modellverbesserung-ChatGPT-300x158.jpg 300w, https://elsengrc.com/docs/uploads/2026/07/Modellverbesserung-ChatGPT-1024x539.jpg 1024w, https://elsengrc.com/docs/uploads/2026/07/Modellverbesserung-ChatGPT-768x404.jpg 768w, https://elsengrc.com/docs/uploads/2026/07/Modellverbesserung-ChatGPT-1536x809.jpg 1536w, https://elsengrc.com/docs/uploads/2026/07/Modellverbesserung-ChatGPT-2048x1078.jpg 2048w" sizes="(max-width: 2560px) 100vw, 2560px" /><p id="caption-attachment-1529" class="wp-caption-text">Wer ChatGPT sicher nutzen will, muss die Modellverbesserung deaktivieren (Screenshot: ChatGPT)</p></div>
<h4>Business-/Enterprise-Konten (ChatGPT Business, Enterprise, Edu, API)</h4>
<p>Hier greifen <strong>geschäftliche Vertragsbedingungen</strong> &#8211; und die verschieben die Ausgangslage für Unternehmen grundlegend zum Positiven:</p>
<ul class="egrc-list">
<li><strong>Kein Training auf Ihren Daten:</strong> Inputs und Outputs von ChatGPT Business, Enterprise, Edu und der API werden standardmäßig nicht zur Modellverbesserung verwendet &#8211; <span style="text-decoration: underline;">ohne</span> dass Sie etwas umstellen müssen. Nur ein ausdrückliches Opt-in ändert das.</li>
<li><strong>AVV/DPA verfügbar:</strong> OpenAI schließt für ChatGPT Business, Enterprise und die API einen <strong>Data Processing Addendum</strong> (DPA/AVV) ab und nutzt EU-Standardvertragsklauseln (SCC). Die aktualisierte DPA (Stand Jan. 2026) enthält zusätzliche Audit-Rechte.</li>
<li><strong>Zero Data Retention &amp; konfigurierbare Aufbewahrung:</strong> Qualifizierende Organisationen können die Aufbewahrungsdauer konfigurieren und auf der <strong>API-Plattform</strong> eine <strong>Zero-Data-Retention</strong>-Regelung wählen. Der Goldstandard für sensible Branchen oder hoch brisante Unternehmensinformationen (Banken, Versicherungen, Medizintechnik, Gesundheitswesen, Rüstungsindustrie).</li>
<li><strong>Datenresidenz:</strong> Für berechtigte Enterprise-, Edu-, Healthcare- und API-Kunden lässt sich Content <strong>at rest</strong> (gespeicherte, ungenutzte Daten) in mehreren Regionen speichern (u.a. Europa, UK, USA); teils ist auch In-Region-Inferenz in Europa oder den USA möglich &#8211; relevant für Datensouveränität.</li>
<li><strong>Branchenspezifika:</strong> Für das Gesundheitswesen ist ChatGPT for Healthcare mit entsprechenden Vereinbarungen verfügbar. Standard-Consumer-ChatGPT ist <strong>nicht</strong> für sensible Gesundheitsdaten geeignet und erfordert gesonderte Vereinbarungen.</li>
</ul>
<div class="egrc-callout"><strong>Leitplanke für die Praxis:</strong> Sobald personenbezogene oder vertrauliche Daten ins Spiel kommen, gehört der Einsatz auf einen <strong>Business-/Enterprise-Vertrag</strong> oder die API &#8211; idealerweise mit DPA/AVV und, bei hohem Schutzbedarf, mit <strong>Zero Data Retention</strong> (API) als zusätzlichem Datenschutz-Hebel. <strong>Private Plus-Konten</strong> haben im Unternehmen <span style="text-decoration: underline;">nichts</span> zu suchen, was auch bei der <a href="https://elsengrc.com/journal/claude-sicher-nutzen/">sicheren Nutzung von Claude</a> so ist.</div>
<h3 id="codex">Codex sicher einsetzen: Ein Sonderfall mit eigenem Risiko</h3>
<p>&nbsp;</p>
<div id="attachment_1531" style="width: 2570px" class="wp-caption alignnone"><img decoding="async" aria-describedby="caption-attachment-1531" class="size-full wp-image-1531" src="https://elsengrc.com/docs/uploads/2026/07/OpenAI-Codex-Sonderfall-scaled.jpg" alt="Codex ist als Agent ein Sonderfall für die Sicherheit von ChatGPT" width="2560" height="768" srcset="https://elsengrc.com/docs/uploads/2026/07/OpenAI-Codex-Sonderfall-scaled.jpg 2560w, https://elsengrc.com/docs/uploads/2026/07/OpenAI-Codex-Sonderfall-300x90.jpg 300w, https://elsengrc.com/docs/uploads/2026/07/OpenAI-Codex-Sonderfall-1024x307.jpg 1024w, https://elsengrc.com/docs/uploads/2026/07/OpenAI-Codex-Sonderfall-768x230.jpg 768w, https://elsengrc.com/docs/uploads/2026/07/OpenAI-Codex-Sonderfall-1536x461.jpg 1536w, https://elsengrc.com/docs/uploads/2026/07/OpenAI-Codex-Sonderfall-2048x614.jpg 2048w" sizes="(max-width: 2560px) 100vw, 2560px" /><p id="caption-attachment-1531" class="wp-caption-text">Codex ist als Agent ein Sonderfall für die Sicherheit von ChatGPT (Screenshot: ChatGPT Codex)</p></div>
<p><a href="https://developers.openai.com/codex/">Codex</a> gehört in einen eigenen Abschnitt, weil es mit der klassischen Chat-App kaum noch etwas gemein hat. Wir reden hier nicht über einen abgeschotteten Chatbot, sondern über einen <strong>Agenten mit echter Handlungsvollmacht</strong>, der direkt im Betriebssystem des Nutzers arbeitet: Er liest Quellcode, verändert Dateien, setzt Shell-Befehle ab und greift über das <a href="https://elsengrc.com/wiki/g/model-context-protocol/">Model Context Protocol (MCP)</a> sowie <strong>Connectors</strong> auf externe Werkzeuge zu &#8211; und das <strong>mit exakt den Rechten dessen, der ihn gestartet hat</strong>.</p>
<p>Daraus ergibt sich eine <strong>Angriffsfläche</strong>, die ein herkömmliches IDE-Plugin nie hatte. Immerhin: Codex trennt sauber zwischen <strong>Sandbox</strong> (was technisch überhaupt geht) und <strong>Approval Policy</strong> (wann nachgefragt wird), läuft lokal in der <strong>Grundeinstellung</strong> <span style="text-decoration: underline;">ohne Netzzugang</span> und darf <span style="text-decoration: underline;">nur im aktuellen Arbeitsverzeichnis</span> schreiben. Kritisch wird es dennoch, sobald jemand die Rechteverwaltung nicht sauber beherrscht oder den <strong>Full-Access-Modus</strong> außerhalb einer gekapselten Umgebung anwirft.</p>
<h4>Die zentralen Risiken von Codex</h4>
<ul class="egrc-list">
<li><strong>Dateizugriff:</strong> Sobald die Sandbox aufgeweicht wird, kann Codex an sensible Dateien gelangen &#8211; Umgebungsvariablen (<em>.env</em>), SSH-Schlüssel, hinterlegte Zugangsdaten. Immerhin bleiben <em>.git</em>-Pfade in der Standardkonfiguration schreibgeschützt. Änderungen sind hier aber möglich und eröffnen Sicherheitsrisiken.</li>
<li><strong>Befehlsausführung:</strong> Bash-Befehle laufen im Kontext der Entwickler-Shell &#8211; ein einziger fehlgeleiteter Befehl reicht, um Daten zu überschreiben oder zu löschen. Die Sandbox fängt das ab, aber eben nur, solange sie aktiv bleibt.</li>
<li><strong>Prompt Injection:</strong> Versteckte Anweisungen in Dateien, READMEs oder Paket-Metadaten können den Agenten kapern. Nicht ohne Grund zieht Codex Web-Suchergebnisse standardmäßig aus einem Cache statt live und behandelt sie als nicht vertrauenswürdig. Gerade öffentliche MCP-Packages, Libraries und sonstige Open-Source-Komponenten sind ein potenzielles Einfallstor für Schadcode.</li>
</ul>
<h4>Berechtigungsmodus: vom Vorsichtigen zum Riskanten</h4>
<p>Codex verzahnt zwei Regler &#8211; den <strong>Sandbox-Modus</strong> und die <strong>Approval Policy</strong>. In der Grundeinstellung fragt es vor riskanten Aktionen nach. Diese Stufen sind entscheidend:</p>
<ul class="egrc-list">
<li><strong>Read-only (<em>/permissions</em>):</strong> Codex analysiert und schlägt vor, ohne etwas zu ändern. Der Plan-first-Ansatz (<em>/plan</em>) läuft hier. Die sicherste Methode, aber zeitintensiv und mit manueller Prüfung.</li>
<li><strong>Auto / workspace-write (<em>&#8211;full-auto</em>):</strong> Codex liest, editiert und führt Befehle im Arbeitsverzeichnis automatisch aus, fragt aber bei Aktionen außerhalb des Workspace oder bei Netzwerkzugriff nach. Guter Kompromiss für den Alltag &#8211; Netzwerk bleibt hier standardmäßig aus.</li>
<li><strong>Auto-Review:</strong> Ein Prüf-Subagent bewertet grenzüberschreitende Anfragen und genehmigt risikoarme Aktionen automatisch, statt den Nutzer bei jedem Schritt zu unterbrechen &#8211; die sicherere Mittellösung für längere autonome Läufe.</li>
<li><strong><em>&#8211;yolo</em> / <em>danger-full-access</em>:</strong> Hebt Sandbox und Approvals komplett auf. Der Name ist eine bewusste Warnung und sollte <strong>niemals auf der lokalen Maschine ausgeführt werden!</strong> Nur in einer isolierten Sandbox / einem gehärteten Code-Runner oder isolierten Container.</li>
</ul>
<p><strong>Codex-Berechtigungen im Überblick:</strong></p>
<div class="egrc-table-wrap">
<table class="egrc-table">
<thead>
<tr>
<th>Modus</th>
<th>Was passiert</th>
<th>Sicherheitsprüfung</th>
<th>Interaktiv</th>
<th>Geeignet für</th>
</tr>
</thead>
<tbody>
<tr>
<td><strong>Read-only</strong></td>
<td>Nur Lesezugriff &#8211; Codex analysiert und plant (<em>/plan</em>), ohne etwas zu ändern</td>
<td>Keine Änderungen möglich</td>
<td>Ja, reine Ansicht</td>
<td>Analyse, Code-Verständnis, Planung vor der Umsetzung</td>
</tr>
<tr>
<td><strong>Workspace-write (Auto)</strong></td>
<td>Edits und Befehle im Arbeitsverzeichnis laufen automatisch; Netzwerk standardmäßig aus</td>
<td>Reduziert &#8211; Nachfrage außerhalb des Workspace und bei Netzwerk</td>
<td>Ja, Eingriff jederzeit möglich</td>
<td>Aktive Entwicklung an vertrauten Projekten</td>
</tr>
<tr>
<td><strong>Auto-Review</strong></td>
<td>Ein Prüf-Subagent bewertet grenzüberschreitende Aktionen und genehmigt risikoarme automatisch</td>
<td><strong>Aktiv</strong> &#8211; automatisiert per Review-Subagent</td>
<td>Teilweise, Rückfrage bei höherem Risiko</td>
<td>Längere autonome Läufe, sicherere Mittellösung, isolierte Umgebung empfohlen</td>
</tr>
<tr>
<td><strong>Cloud (OpenAI-managed)</strong></td>
<td>Läuft in isolierten OpenAI-Containern; Setup mit Netz, Agent-Phase offline; Secrets nur im Setup</td>
<td>Aktiv &#8211; technische Isolation vom Host</td>
<td>Nein, gekapselt</td>
<td>Delegierte Aufgaben ohne Host-Zugriff</td>
</tr>
<tr>
<td><strong>&#8211;yolo (danger-full-access)</strong></td>
<td>Alle Sandbox- und Approval-Prüfungen aus &#8211; jede Aktion läuft ungeprüft durch</td>
<td class="egrc-risk-high"><strong>Keine</strong> &#8211; vollständig deaktiviert</td>
<td>Nein, vollautomatisch</td>
<td class="egrc-risk-high"><strong>Nur isolierte Sandbox / VM,</strong> niemals auf Produktiv- oder DEV-Geräten</td>
</tr>
</tbody>
</table>
</div>
<h4>Lokal vs. Container/VM: die Entscheidungslogik</h4>
<p>An diesem Punkt fällt für technische Teams die wichtigste Sicherheitsentscheidung:</p>
<div class="egrc-table-wrap">
<table class="egrc-table">
<thead>
<tr>
<th>Umgebung</th>
<th>Isolation</th>
<th>Geeignet für</th>
</tr>
</thead>
<tbody>
<tr>
<td><strong>Lokal (direkt auf dem Gerät)</strong></td>
<td>OS-Sandbox begrenzt auf den Workspace; bei Full-Access keine Grenze</td>
<td>Read-only oder workspace-write mit aktiver Sandbox, vertrauenswürdige Repos</td>
</tr>
<tr>
<td><strong>Codex Cloud / Dev-Container</strong></td>
<td>Isolierte OpenAI-Container bzw. Docker, Egress-/Netzwerk-Kontrolle</td>
<td>Der empfohlene Standard für Teams &#8211; isoliert, reproduzierbar</td>
</tr>
<tr>
<td><strong>Virtuelle Maschine (VM)</strong></td>
<td>Stärkste Trennung vom Host, auch physikalisch</td>
<td>Regulierte Branchen, hochsensible Daten (Banken, Versicherer, Gesundheit)</td>
</tr>
</tbody>
</table>
</div>
<p><span style="text-decoration: underline;">Faustregeln aus der Cybersecurity:</span></p>
<ul class="egrc-list">
<li><strong>Die Sandbox ist die Wand, die Approvals sind das Schloss an der Tür.</strong></li>
<li>Erst durch Isolation (Container/VM) lässt sich volle Autonomie verantworten &#8211; weil ein etwaiger Schaden auf den Container beschränkt bleibt.</li>
<li>Praktische Maßnahmen: nur das eine Projektverzeichnis als Writable Root zulassen und das Netzwerk im workspace-write-Modus deaktiviert lassen bzw. den Egress auf eine Allowlist begrenzen.</li>
<li><strong>Secrets erst gar nicht in den Container geben</strong>, sondern parametrisiert einsteuern &#8211; in Codex Cloud werden sie ohnehin vor der Agent-Phase entfernt.</li>
</ul>
<h4>Enterprise-Kontrollen, die nicht umgangen werden können</h4>
<p>Einzelne <strong>Approval-Abfragen</strong> ersetzen <span style="text-decoration: underline;">keine</span> verbindliche Unternehmensvorgabe &#8211; sie hängen am Wohlverhalten des Einzelnen. Wer verlässliche Leitplanken will, setzt auf <strong>Managed Configuration</strong> (per <em>requirements.toml</em>, MDM oder cloud-managed), die sich nicht durch Projekt-Dateien aushebeln lässt.</p>
<p>Für einen sicheren Codex-Einsatz sollten insbesondere diese Punkte stehen:</p>
<ul class="egrc-list">
<li>Least-Privilege-Permission-Profiles,</li>
<li>Sperre von <em>approval_policy = &#8222;never&#8220;</em> und <em>danger-full-access</em> außerhalb isolierter Umgebungen,</li>
<li>Regeln (Rules) für erlaubte bzw. verbotene Befehls-Präfixe,</li>
<li>genehmigte MCP-Server und Connectors,</li>
<li>Agent-native Logs (Telemetrie) für Sichtbarkeit über alle Tool-Aufrufe.</li>
</ul>
<p>Damit lässt sich Codex als effizientes, agentisches Tool in der KI-Entwicklung schon sehr sicher einsetzen.</p>
<h3>ChatGPT sicher nutzen: Governance-Rahmen für Unternehmen</h3>
<p>Mit technischen Einstellungen allein ist es nicht getan. Wer ChatGPT sicher nutzen will, braucht einen organisatorischen Rahmen mit <strong>konkreten Leitplanken</strong> &#8211; und der ist zugleich Pflicht nach dem AI Act:</p>
<ul class="egrc-list">
<li><strong>KI-Richtlinie (Policy):</strong> Schwarz auf weiß festhalten, welche Varianten und Pläne erlaubt sind, welche Daten in einen Prompt dürfen und wer die Freigabe erteilt.</li>
<li><strong>Freigabe- und Beschaffungsprozess:</strong> Dienstliches läuft nicht über private Konten. Wer Business-/Enterprise-/API-Zugänge zentral bereitstellt, nimmt Shadow AI den Nährboden.</li>
<li><strong>KI-Inventar:</strong> Aufnehmen, welche KI-Systeme tatsächlich im Einsatz sind &#8211; auch die stillen Zuwächse wie Custom GPTs und Connectors. Dieses Inventar ist zugleich die Basis für die Risikoklassifizierung nach AI Act.</li>
<li><strong>Mitarbeiterschulung (Art. 4 EU AI Act):</strong> Seit Februar 2025 Pflicht. Die Belegschaft muss verstehen, wie KI funktioniert, Halluzinationen erkennen und die internen Spielregeln kennen.</li>
<li><strong>Audit &amp; Review:</strong> Turnusmäßig prüfen, ob Einstellungen (Training-Opt-out, Plan-Status, Konten, Connectors) noch stimmen &#8211; und alte Konversationen bereinigen.</li>
</ul>
<p><strong>Zu viel für den ohnehin vollen Schreibtisch?</strong> Verständlich, genau deshalb begleiten wir Unternehmen im Rahmen der <a href="https://elsengrc.com/ki-governance-beratung/">KI-Governance Beratung</a> bei allen relevanten Fragen rund um die <a href="https://elsengrc.com/ai-act-beratung/">Vorbereitung auf den EU AI Act</a>. Buchen Sie einfach ein <a href="https://elsengrc.com/contact/">Erstgespräch</a>, und wir setzen diese Leitplanken gemeinsam in Ihrem Unternehmen um.</p>
<h3>Sicherheits-Checkliste: ChatGPT im Unternehmen</h3>
<p>Die wichtigsten Key-Takeaways für den sicheren ChatGPT-Einsatz zum Mitnehmen, teilen und überprüfen:</p>
<ul class="egrc-list">
<li>Nur <strong>Business-/Enterprise-Verträge</strong> oder die API für dienstliche Nutzung &#8211; <span style="text-decoration: underline;">keine</span> privaten Plus-Konten (!!!)</li>
<li><strong>AVV/DPA</strong> mit OpenAI abgeschlossen</li>
<li>Bei hohem Schutzbedarf: <strong>Zero Data Retention</strong> (API) bzw. konfigurierte Aufbewahrung aktiviert</li>
<li>Auf verbliebenen Consumer-Konten: <strong>Training-Opt-out</strong> geprüft und dokumentiert (inkl. Feedback-Regel)</li>
<li><strong>KI-Richtlinie</strong> verabschiedet und kommuniziert</li>
<li><strong>KI-Inventar</strong> erstellt, Shadow-AI-Konten, Custom GPTs und Connectors identifiziert</li>
<li><strong>Art.-4-Schulung</strong> durchgeführt und dokumentiert</li>
<li>Codex nur mit aktiver <strong>Sandbox / im Container/VM</strong> mit Secret-Sperren und Egress-Kontrolle betrieben</li>
<li><strong>Full-Access-Modus</strong> (<em>&#8211;yolo</em>) außerhalb der Sandbox <strong>gesperrt</strong></li>
<li><strong>Audit-Logging</strong> und regelmäßige Reviews etabliert</li>
</ul>
<p>Die Checkliste gibt es natürlich auch noch als PDF-Version zum Download und Ausdrucken für die Lobby:</p>
<ul class="egrc-list">
<li><a href="https://elsengrc.com/docs/uploads/2026/07/ChatGPT-sicher-nutzen.pdf">ChatGPT sicher nutzen: Checkliste (PDF, 1 Seite)</a></li>
</ul>
<h3>Wie Elsen GRC Sie unterstützt</h3>
<p>Sicherer ChatGPT-Einsatz trifft genau den Schnittpunkt aus Datenschutz, KI-Governance und AI-Act-Compliance &#8211; das Feld, in dem Elsen GRC zu Hause ist:</p>
<ul class="egrc-list">
<li><strong><a href="/ki-kompetenzschulung/">KI-Kompetenzschulung nach Art. 4 EU AI Act</a>:</strong> Erfüllt die gesetzliche Schulungspflicht &#8211; inklusive Mitarbeiter-Zertifikat, Schulungsregister und KI-Richtlinien-Entwurf.</li>
<li><strong><a href="/ai-act-beratung/">AI Act Readiness Scan</a>:</strong> KI-Inventar, Risikoklassifizierung und Roadmap mit Blick auf die AI Act Fristen bis August 2026.</li>
<li><strong><a href="/ki-governance-beratung/">KI-Governance-Beratung</a>:</strong> Vollständiges Governance-Framework mit Policies, Rollen und Freigabeprozessen für den kontrollierten KI-Einsatz.</li>
</ul>
<p>So wird aus einem bislang ungesteuerten Tool ein kontrollierter, prüffester Baustein Ihrer GRC-Struktur und eine effiziente und sichere KI-Nutzung im Tagesgeschäft.</p>
<h3>Ein paar weitere Fragen zur ChatGPT-Sicherheit im Überblick (FAQ)</h3>
<p><strong>Ist ChatGPT DSGVO-konform nutzbar?</strong></p>
<p>Ja &#8211; allerdings nur unter Business-/Enterprise-Terms oder über die API, jeweils mit abgeschlossenem DPA/AVV. Private Consumer-Konten (Free, Plus, Pro) bieten keinen AVV und speisen Daten standardmäßig ins Training, solange niemand aktiv widerspricht.</p>
<p><strong>Werden meine Chats zum Training von ChatGPT verwendet?</strong></p>
<p>In Consumer-Konten per Voreinstellung ja, bis man aktiv widerspricht. In Business-, Enterprise- und API-Konten grundsätzlich nicht. Aufpassen bei Feedback: Eine Daumen-Bewertung kann die betroffene Konversation trotz Opt-out ins Training holen.</p>
<p><strong>Reicht der Business-Plan für Unternehmen?</strong></p>
<p>ChatGPT Business (früher Team) läuft bereits geschäftlich &#8211; mit DPA-Option und ohne Training. Für die weitreichendsten Kontrollen wie Datenresidenz oder erweiterte Admin-Funktionen führt der Weg zu Enterprise oder zur API.</p>
<p><strong>Warum ist Codex riskanter und nicht so sicher wie die App?</strong></p>
<p>Weil Codex mit den Rechten des Nutzers auf das Dateisystem zugreift und Befehle ausführt. Deshalb gehört es mit aktiver Sandbox, in einen Container oder eine VM &#8211; und nicht in den Full-Access-Modus auf dem lokalen Rechner.</p>
<p><strong>Was ist Zero Data Retention?</strong></p>
<p>Eine Option für qualifizierende Kunden auf der API-Plattform, bei der Daten über die unmittelbare Verarbeitung hinaus nicht gespeichert werden &#8211; der höchste Datenschutzstandard, ganz ohne eigene Infrastruktur.</p>
<hr />
<h3>Verwandte Themen</h3>
<ul class="egrc-list">
<li><a href="https://elsengrc.com/journal/claude-sicher-nutzen/">Claude sicher nutzen: Guideline für Unternehmen</a></li>
<li><a href="/wiki/eu-ai-act/">EU AI Act: Definition, Bedeutung &amp; Pflichten</a></li>
<li><a href="/wiki/ki-governance/">KI-Governance: Definition, Bedeutung &amp; GRC-Relevanz</a></li>
<li><a href="/wiki/shadow-ai/">Shadow AI: Definition, Risiken &amp; Maßnahmen</a></li>
</ul>
<h3>Quellen</h3>
<ul class="egrc-list">
<li><a href="https://openai.com/enterprise-privacy/">OpenAI: Enterprise Privacy</a></li>
<li><a href="https://help.openai.com/en/articles/7730893-data-controls-faq">OpenAI Help Center: Data Controls FAQ</a></li>
<li><a href="https://openai.com/business-data/">OpenAI: Business data privacy, security &amp; compliance</a></li>
<li><a href="https://developers.openai.com/codex/agent-approvals-security">OpenAI Developers: Codex Agent approvals &amp; security</a></li>
</ul>
<p>Der Beitrag <a href="https://elsengrc.com/journal/chatgpt-sicher-nutzen/">ChatGPT sicher nutzen: Guide für mehr Sicherheit bei Codex und CustomGPTs</a> erschien zuerst auf <a href="https://elsengrc.com">ELSEN GRC</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Claude sicher nutzen: Guideline für Claude Code, Cowork und die Claude Desktop App</title>
		<link>https://elsengrc.com/journal/claude-sicher-nutzen/</link>
		
		<dc:creator><![CDATA[Mario Elsen]]></dc:creator>
		<pubDate>Sun, 28 Jun 2026 16:04:57 +0000</pubDate>
				<category><![CDATA[Governance]]></category>
		<category><![CDATA[GRC Journal]]></category>
		<category><![CDATA[Praxis]]></category>
		<category><![CDATA[Anthropic]]></category>
		<category><![CDATA[Claude]]></category>
		<category><![CDATA[Claude Code]]></category>
		<category><![CDATA[Claude Desktop]]></category>
		<category><![CDATA[IT-Sicherheit]]></category>
		<category><![CDATA[KI-Nutzung]]></category>
		<category><![CDATA[Terminal]]></category>
		<guid isPermaLink="false">https://elsengrc.com/?p=1471</guid>

					<description><![CDATA[<p>Claude ist das KI-Ökosystem des US-Anbieters Anthropic und in vielen Unternehmen längst im produktiven Einsatz, und das oft schneller, als Geschäftsführung und IT es steuern können. In vielen Fällen nutzen...</p>
<p>Der Beitrag <a href="https://elsengrc.com/journal/claude-sicher-nutzen/">Claude sicher nutzen: Guideline für Claude Code, Cowork und die Claude Desktop App</a> erschien zuerst auf <a href="https://elsengrc.com">ELSEN GRC</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><strong>Claude</strong> ist das KI-Ökosystem des US-Anbieters <a href="https://www.anthropic.com"><strong>Anthropic</strong></a> und in vielen Unternehmen längst im produktiven Einsatz, und das oft schneller, als Geschäftsführung und IT es steuern können. In vielen Fällen nutzen Mitarbeiter einfach ihre <strong>privaten Claude-Accounts</strong> im Unternehmen und steuern damit zum &#8222;Wildwuchs&#8220; von <a href="https://elsengrc.com/wiki/shadow-ai/">Shadow-AI</a> bei. Wie Unternehmen und Mitarbeiter <strong>Claude sicher nutzen</strong> können, ist nicht nur Thema dieser <strong>Guideline</strong>, sonder eine zentrale <strong>Governance-Frage</strong>: Wer darf welche Claude Variante einsetzen, welche Daten fließen wohin, und auf welcher vertraglichen Grundlage? Wer das nicht regelt, riskiert DSGVO-Verstoße, unkontrollierten Abfluss von Betriebsgeheimnissen und Pflichtverstöße nach dem <a href="https://artificialintelligenceact.eu/" target="_blank" rel="noopener">EU AI Act</a>. Dieser Leitfaden ordnet die Nutzungsvarianten ein, erklärt die datenschutzrechtlichen Unterschiede der Anthropic-Pläne und liefert eine praxistaugliche Sicherheits-Checkliste &#8211; mit einem eigenen Abschnitt zum besonders sensiblen <strong>Claude Code</strong>.</p>
<h3>Sicherheit von Claude ist Chefsache</h3>
<p>Die Verantwortung für den KI-Einsatz liegt nicht in der Fachabteilung, sondern bei der Leitung. Drei Pflichtenkreise greifen gleichzeitig ineinander:</p>
<ul class="egrc-list">
<li><strong>Datenschutz (DSGVO):</strong> Sobald personenbezogene Daten (z.B. Namen und Adressen von Personen) in einen Prompt gelangen, ist Anthropic <strong>Auftragsverarbeiter</strong>. Das setzt einen <strong>Auftragsverarbeitungsvertrag</strong> (AVV/DPA) voraus &#8211; den es bei privaten Consumer-Konten nicht gibt. Wenn der Mitarbeiter also Kundendaten in sein persönliches Claude-Konto überführt, entsteht das erste <strong>knackige Problem</strong>.</li>
<li><strong>EU AI Act:</strong> Seit Februar 2025 verpflichtet Art. 4 KI-VO Unternehmen, für ausreichende <em>KI-Kompetenz</em> der Mitarbeitenden zu sorgen. Wer Claude einsetzt, muss die Belegschaft schulen. Wer das bisher versäumt hat, kann auch gerne unsere <a href="https://elsengrc.com/ki-kompetenzschulung/">KI-Kompetenzschulung</a> in Anspruch nehmen.</li>
<li><strong>Geschäftsgeheimnisschutz &amp; Haftung:</strong> Unkontrollierte Tool-Nutzung,  zu deutsch: <a href="https://elsengrc.com/wiki/shadow-ai/">Schatten-KI bzw. &#8222;Shadow AI&#8220;</a>, kann Betriebsgeheimnisse in Trainingsdaten überführen und die Sorgfaltspflichten der Geschäftsleitung verletzen. Auch die meisten Arbeitsverträge von Mitarbeitern sind auf dieses Szenario längst nicht vorbereitet.</li>
</ul>
<p>Die zentrale Erkenntnis vorweg: <strong>Nicht Claude selbst ist das Risiko, sondern die gewählte Nutzungsvariante und der zugrunde liegende Vertrag.</strong>  Erst in der zweiten Ebene kommen zusätzliche Risiken durch die technische Integration auf dem Endgerät (z.B. Claude Code oder Claude Cowork) zum Tragen.</p>
<p>Dieselbe Technologie ist in einem Enterprise-Vertrag mit Zero Data Retention <strong>compliancetauglich</strong> und im privaten Pro-Konto eines Mitarbeiters ein kritischer Datenschutzvorfall in Lauerstellung. Werfen wir also zunächst einen Blick auf die Nutzungsvarianten von Claude.</p>
<h3>Die Nutzungsvarianten von Claude im Überblick</h3>
<p>Claude lässt sich auf sehr unterschiedlichen Wegen einsetzen. Entscheidend für die Sicherheit sind drei Dimensionen:</p>
<ul>
<li><strong>der Datenfluss</strong> (was verlässt das Unternehmen?),</li>
<li><strong>der Systemzugriff</strong> (kann das Tool Dateien lesen oder Befehle ausführen?) und</li>
<li><strong>der Vertrag</strong> (Consumer oder Commercial Terms?).</li>
</ul>
<p>Die nachfolgende Tabelle gibt einen kompakten Überblick über Nutzungsvariante, Anwendung und Sicherheitsrisiko für Claude:</p>
<div class="egrc-table-wrap">
<table class="egrc-table">
<thead>
<tr>
<th>Variante</th>
<th>Was es ist</th>
<th>Typischer Anwender</th>
<th>Systemzugriff</th>
<th>Risiko-Level</th>
</tr>
</thead>
<tbody>
<tr>
<td><strong>Web-App / Mobile-App</strong></td>
<td>Claude im Browser (claude.ai) oder als App auf Smartphone/Tablet</td>
<td>Einzelne Mitarbeitende, Wissensarbeit, Recherche, Texte, Analyse</td>
<td>Kein direkter Zugriff, nur auf die Dateien und Informationen, die in den Chat eingegeben werden</td>
<td>Niedrig &#8211; mittel (abhängig vom Plan, siehe AVV Vertrag)</td>
</tr>
<tr>
<td><strong>Claude Desktop</strong></td>
<td>Eigenständige Desktop-Anwendung für Windows/macOS, kann mit lokalen Dateien und Apps arbeiten</td>
<td>Power-User, die Claude in den Arbeitsalltag integrieren, Projekte organisieren und Systemintegration nutzen</td>
<td>Auf Wunsch Zugriff auf Dateien, Browser-Tabs, MCP-Connectoren</td>
<td>Mittel bis hoch</td>
</tr>
<tr>
<td><strong>Claude Cowork</strong></td>
<td>Agentische Arbeitsumgebung für mehrstufige Aufgaben (Recherche, Analyse, Dokumente) ohne Programmierkenntnisse</td>
<td>Fachabteilungen, längere Workflows mit mehreren Dateien</td>
<td>Datei- und Tool-Zugriff im Rahmen der Aufgabe, kann beschränkt werden</td>
<td>Mittel bis hoch</td>
</tr>
<tr>
<td><strong>Claude Code</strong></td>
<td>Agentisches Entwickler-Werkzeug (Terminal, IDE oder Desktop), das Code liest, schreibt und Befehle ausführt</td>
<td>Entwicklung, IT, technische Teams</td>
<td><strong>Voller Zugriff</strong> auf Dateisystem, Shell-Befehle, MCP-Tools (mit den Rechten des Nutzers)</td>
<td class="egrc-risk-high">Hoch &#8211; siehe eigener Abschnitt</td>
</tr>
<tr>
<td><strong>API / Claude Developer Platform</strong></td>
<td>Direkte Anbindung an eigene Software, Automatisierungen, Produkte</td>
<td>Entwicklung, Produktintegration</td>
<td>Kontrolliert durch die eigene Anwendung</td>
<td>Niedrig (datenschutzrechtlich stärkster Pfad)</td>
</tr>
</tbody>
</table>
</div>
<p><strong>Ein verbreiteter Irrtum:</strong> Die Claude-App sei &#8222;harmlos&#8220; und Claude Code per se ein &#8222;hohes Sicherheitsrisiko&#8220;.</p>
<p>In der Praxis entscheidet beim Datenschutz <strong>nicht die Oberfläche, sondern der <span style="text-decoration: underline;">Vertrag</span> und die rechtlichen Rahmbedingungen</strong>. Eine Web-App unter einem privaten Pro-Konto ist riskanter als die API unter Commercial Terms, obwohl die API technisch mächtiger ist. Die Nutzung von Claude Code ist durch die direkte Systemintegration natürlich grundsätzlich ein technisches Sicherheitrisiko, das im Rahmen eines durchdachten Setups aber aktiv eingegrenzt werden kann.</p>
<h3>Datenschutz &amp; DSGVO: der entscheidende Unterschied zwischen den Plänen</h3>
<p>Anthropic trennt seine Angebote in zwei vertragliche Welten : Einzelpersonen (Consumer) und Enterprise (oder Team-Konten). Genau hier entscheidet sich die Compliance-Tauglichkeit.</p>
<div id="attachment_1484" style="width: 2570px" class="wp-caption alignnone"><img decoding="async" aria-describedby="caption-attachment-1484" class="wp-image-1484 size-full" src="https://elsengrc.com/docs/uploads/2026/06/Claude-Nutzungsvarianten-Abos-scaled.jpg" alt="Claude sicher nutzen: Nutzungsvarianten und Abos von Claude in der Übersicht" width="2560" height="1435" srcset="https://elsengrc.com/docs/uploads/2026/06/Claude-Nutzungsvarianten-Abos-scaled.jpg 2560w, https://elsengrc.com/docs/uploads/2026/06/Claude-Nutzungsvarianten-Abos-300x168.jpg 300w, https://elsengrc.com/docs/uploads/2026/06/Claude-Nutzungsvarianten-Abos-1024x574.jpg 1024w, https://elsengrc.com/docs/uploads/2026/06/Claude-Nutzungsvarianten-Abos-768x430.jpg 768w, https://elsengrc.com/docs/uploads/2026/06/Claude-Nutzungsvarianten-Abos-1536x861.jpg 1536w, https://elsengrc.com/docs/uploads/2026/06/Claude-Nutzungsvarianten-Abos-2048x1148.jpg 2048w" sizes="(max-width: 2560px) 100vw, 2560px" /><p id="caption-attachment-1484" class="wp-caption-text">Nutzungsvarianten und Pläne von Claude (© Claude.ai)</p></div>
<p>Einzelperson bzw. Consumer-Konten (Free, Pro, Max)</p>
<p>Diese Pläne laufen unter den <strong>Consumer Terms</strong>. <a href="https://www.anthropic.com/news/updates-to-our-consumer-terms" target="_blank" rel="noopener">Seit der Richtlinienänderung im Herbst 2025</a> werden Chats und Coding-Sessions <strong>standardmäßig</strong> zur <strong>Modellverbesserung</strong> genutzt &#8211; es sei denn, der <strong>Nutzer widerspricht <span style="text-decoration: underline;">aktiv</span></strong>. Konkret bedeutet das:</p>
<ul class="egrc-list">
<li><strong>Opt-out ist Pflicht, nicht Voreinstellung:</strong> Unter <em>Einstellungen → Datenschutz → &#8222;Claude für alle verbessern&#8220; bzw. &#8222;Hilf uns, unsere KI-Modelle zu verbessern&#8220;</em> muss der Schalter manuell auf <em>Aus</em> gestellt werden.</li>
<li><strong>Verlängerte Speicherung:</strong> Mit aktiviertem Training steigt die Datenaufbewahrung auf bis zu <strong>fünf Jahre</strong>. Wer widerspricht, bleibt nach aktuellem Stand bei 30 Tagen (Juni 2026).</li>
<li><strong>Kein AVV:</strong> Für Consumer-Konten gibt es keinen Auftragsverarbeitungsvertrag . damit fehlt die rechtliche Grundlage für die Verarbeitung personenbezogener Daten im Unternehmenskontext, die nach Art. 28 DSGVO notwendig ist.</li>
<li><strong>Wichtige Einschränkung:</strong> Das Opt-out wirkt nur in die Zukunft. Bereits für das Training verwendete <span style="text-decoration: underline;">Inhalte lassen sich nicht zurückholen</span>. Zudem können sicherheitsmarkierte Konversationen unabhängig von der Einstellung weiter ausgewertet werden.</li>
</ul>
<div id="attachment_1486" style="width: 1674px" class="wp-caption alignnone"><img decoding="async" aria-describedby="caption-attachment-1486" class="size-full wp-image-1486" src="https://elsengrc.com/docs/uploads/2026/06/Claude-sicher-nutzen-Datenschutz-Trainingsdaten.jpg" alt="Wer Claude sicher nutzen will, muss diese zentrale Einstellung für die Modellverbesserung kennen." width="1664" height="1252" srcset="https://elsengrc.com/docs/uploads/2026/06/Claude-sicher-nutzen-Datenschutz-Trainingsdaten.jpg 1664w, https://elsengrc.com/docs/uploads/2026/06/Claude-sicher-nutzen-Datenschutz-Trainingsdaten-300x226.jpg 300w, https://elsengrc.com/docs/uploads/2026/06/Claude-sicher-nutzen-Datenschutz-Trainingsdaten-1024x770.jpg 1024w, https://elsengrc.com/docs/uploads/2026/06/Claude-sicher-nutzen-Datenschutz-Trainingsdaten-768x578.jpg 768w, https://elsengrc.com/docs/uploads/2026/06/Claude-sicher-nutzen-Datenschutz-Trainingsdaten-1536x1156.jpg 1536w" sizes="(max-width: 1664px) 100vw, 1664px" /><p id="caption-attachment-1486" class="wp-caption-text">Wer Claude sicher nutzen will, muss diese zentrale Einstellung für die Modellverbesserung kennen. (© Claude.ai)</p></div>
<p><strong>Vorsicht beim Team-Plan:</strong> Trotz des Namens läuft der reine Claude-Team-Plan in wesentlichen Teilen weiterhin unter Consumer-Logik. Erst <strong>Enterprise</strong> liefert die volle vertragliche Absicherung. Im Zweifel den konkreten Vertragsstatus prüfen. Gerne beraten wir Sie bei der Auswahl des richtigen Plans über unsere <a href="https://elsenmedia.com/claude-code-beratung/">Claude Code Beratungsleistung</a>.</p>
<h4>Commercial-Konten (Claude for Work / Enterprise, API, Bedrock, Vertex AI)</h4>
<div id="attachment_1490" style="width: 1792px" class="wp-caption alignnone"><img decoding="async" aria-describedby="caption-attachment-1490" class="size-full wp-image-1490" src="https://elsengrc.com/docs/uploads/2026/06/Enterprise-Plans-Claude-Commercial-Terms.jpg" alt="Claude Enterprise / Commercial Plans (© claude.ai)" width="1782" height="1698" srcset="https://elsengrc.com/docs/uploads/2026/06/Enterprise-Plans-Claude-Commercial-Terms.jpg 1782w, https://elsengrc.com/docs/uploads/2026/06/Enterprise-Plans-Claude-Commercial-Terms-300x286.jpg 300w, https://elsengrc.com/docs/uploads/2026/06/Enterprise-Plans-Claude-Commercial-Terms-1024x976.jpg 1024w, https://elsengrc.com/docs/uploads/2026/06/Enterprise-Plans-Claude-Commercial-Terms-768x732.jpg 768w, https://elsengrc.com/docs/uploads/2026/06/Enterprise-Plans-Claude-Commercial-Terms-1536x1464.jpg 1536w" sizes="(max-width: 1782px) 100vw, 1782px" /><p id="caption-attachment-1490" class="wp-caption-text">Claude Enterprise / Commercial Plans (© claude.ai)</p></div>
<p>Wie der Name schon verrät, laufen diese Konten unter den <strong>Commercial Terms</strong>, was für Unternehmen und Mitarbeiter den entscheidenden Unterschied macht:</p>
<ul class="egrc-list">
<li><strong>Kein Training auf Ihren Daten:</strong> Inputs und Outputs werden standardmäßig nicht zur Modellverbesserung verwendet &#8211; <span style="text-decoration: underline;">ohne</span> dass Sie etwas umstellen müssen.</li>
<li><strong>AVV/DPA verfügbar:</strong> Anthropic stellt einen Auftragsverarbeitungsvertrag (AVV) bereit und nutzt <strong>EU-Standardvertragsklauseln</strong> (SCC) für Datenübermittlungen.</li>
<li><strong>Kürzere API-Aufbewahrung:</strong> Die Standard-Aufbewahrung der API liegt bei nur <strong>7 Tagen</strong>, was deutlich strenger als die meisten Wettbewerber. Auf Wunsch per DPA (Data Processing Agreement) auf 30 Tage erweiterbar.</li>
<li><strong>Zero Data Retention (ZDR):</strong> Für qualifizierende Enterprise-Kunden verfügbar. Daten werden über die unmittelbare Verarbeitung hinaus gar nicht gespeichert. Der Goldstandard für sensible Branchen oder hoch brisante Unternehmensinformationen, wie sie in Banken, Versicherungen, Medizintechnik, Gesundheitswesen oder Rüstungsindustrie vorkommen.</li>
<li><strong>Branchenspezifika:</strong> Für das Gesundheitswesen ist ein Business Associate Agreement (BAA) verfügbar, Standard-Consumer-Claude ist <strong>nicht</strong> HIPAA-konform und darf <span style="text-decoration: underline;">nicht</span> mit Gesundheitsdaten genutzt werden. Daher erfordert es hier gesonderter Vereinbarungen.</li>
</ul>
<div class="egrc-callout"><strong>Leitplanke für die Praxis:</strong> Sobald personenbezogene oder vertrauliche Daten ins Spiel kommen, gehört der Einsatz auf einen <strong>Commercial-Vertrag</strong> (Enterprise oder API) &#8211; idealerweise mit AVV und, bei hohem Schutzbedarf, mit <strong>Zero Data Retention</strong> als zusätzlicher Datenschutz-Hebel. <strong>Private Pro-Konten</strong> haben im Unternehmen <span style="text-decoration: underline;">nichts</span> zu suchen.</div>
<h3>Claude Code sicher einsetzen: Ein Sonderfall mit eigenem Risiko</h3>
<p>Das KI-Werkzeug <a href="https://code.claude.com/docs/de/overview">Claude Code</a> verdient einen eigenen Abschnitt, weil es sich grundlegend von der Chat-App unterscheidet. Es ist <strong>kein abgeschotteter Chatbot, sondern ein Agent mit echter Entwicklungs-Autorität</strong>, das als direkte Integration im Betriebssystem eines Nutzers laufen kann: Es liest Quellcode, ändert Dateien, führt Shell-Befehle aus und kann externe Werkzeuge über das Model Context Protocol (MCP) ansprechen und nutzen &#8211; und zwar <strong>mit denselben Rechten wie der Nutzer, der es startet</strong>.</p>
<p>Damit entsteht eine Angriffsfläche, die klassische IDE-Plugins nie hatten. Denn Claude Code kann insbesondere im &#8222;Auto mode&#8220; erhebliche Sicherheitsrisiken mit sich bringen, wenn ein Nutzer keine adäquate Rechteverwaltung beherrscht oder Claude Code als abgeschotteter Agent z.B. in einer isolierten Container-Umgebung läuft.</p>
<div id="attachment_1495" style="width: 1906px" class="wp-caption alignnone"><img decoding="async" aria-describedby="caption-attachment-1495" class="size-full wp-image-1495" src="https://elsengrc.com/docs/uploads/2026/06/Claude-Code-Sonderfall.jpg" alt="Claude Code ist ein Sonderfall mit eigenen Risiko-Klassen" width="1896" height="804" srcset="https://elsengrc.com/docs/uploads/2026/06/Claude-Code-Sonderfall.jpg 1896w, https://elsengrc.com/docs/uploads/2026/06/Claude-Code-Sonderfall-300x127.jpg 300w, https://elsengrc.com/docs/uploads/2026/06/Claude-Code-Sonderfall-1024x434.jpg 1024w, https://elsengrc.com/docs/uploads/2026/06/Claude-Code-Sonderfall-768x326.jpg 768w, https://elsengrc.com/docs/uploads/2026/06/Claude-Code-Sonderfall-1536x651.jpg 1536w" sizes="(max-width: 1896px) 100vw, 1896px" /><p id="caption-attachment-1495" class="wp-caption-text">Claude Code ist ein Sonderfall mit eigenen Risiko-Klassen und kann direkt im Terminal mit User-Rechten laufen</p></div>
<h4>Die zentralen Risiken</h4>
<ul class="egrc-list">
<li><strong>Dateizugriff:</strong> Ohne Sperren kann Claude Code sensible Dateien wie Umgebungsvariablen (<em>.env</em>), SSH-Schlüssel und Zugangsdaten lesen.</li>
<li><strong>Befehlsausführung:</strong> Der Agent führt Bash-Befehle im Kontext der Entwickler-Shell aus, ein fehlgeleiteter Befehl kann Daten komplett löschen oder überschreiben.</li>
<li><strong>Prompt Injection:</strong> In Dateien, READMEs oder Paket-Metadaten versteckte Anweisungen können den Agenten manipulieren. Sicherheitsforscher haben gezeigt, dass repository-gesteuerte Hooks und MCP-Konfigurationen zu Befehlsausführung oder Schlüsselabfluss führen können. Öffentlich verfügbare MCP-Packages, Libraries oder andere Open-Source Komponenten können hier ein erhebliches Einfallstor für schadhaften Code und böswillige Software sein.</li>
</ul>
<h4>Berechtigungsmodus: vom Vorsichtigen zum Riskanten</h4>
<p>Claude Code folgt einem &#8222;ask before act&#8220;-Prinzip. <strong>Standardmäßig fragt es vor jeder relevanten Aktion nach</strong>. Drei Stufen sind relevant:</p>
<ul class="egrc-list">
<li><strong>Plan-/Standardmodus:</strong> Claude schlägt Änderungen vor, führt sie aber erst nach Freigabe aus. Für sensible Repositories die richtige Wahl. Die sicherste Methode, wenn ein Nutzer weiß, worauf er achten muss. Allerdings ist diese Methode zeitfressend und erfordert manuelle Prüfung der generierten Code-Artefakte.</li>
<li><strong>Accept-Edits / Allowlist:</strong> Vertraute Befehle (z. B. <em>npm run test</em>) werden vorab freigegeben, der Rest fragt weiter nach. Guter Kompromiss für den Alltag. Kostet aber deutlich mehr Zeit in der Entwicklung von Software.</li>
<li><strong>Auto-Mode:</strong> Vor jedem Tool-Aufruf prüft ein Klassifikator die Aktion auf potenziell destruktive Vorgänge wie Massenlöschungen, Exfiltration sensibler Daten oder Ausführung schädlichen Codes. Als sicher eingestufte Aktionen laufen automatisch, riskante werden geblockt und Claude auf einen anderen Weg umgeleitet; besteht Claude wiederholt auf einer geblockten Aktion, wird schließlich doch eine Rückfrage an den Nutzer ausgelöst.</li>
<li><strong><em>&#8211;dangerously-skip-permissions</em>:</strong> Hebt alle Sicherheitsabfragen auf. Der Name ist eine bewusste Warnung. <strong>Niemals auf der lokalen Maschine! </strong>Diese Permission  sollte nur in einer isolierten Sandbox / Container laufen.</li>
</ul>
<p><strong>Claude Code Berechtigungen im Überblick:</strong></p>
<div class="egrc-table-wrap">
<table class="egrc-table">
<thead>
<tr>
<th>Modus</th>
<th>Was passiert</th>
<th>Sicherheitsprüfung</th>
<th>Interaktiv</th>
<th>Geeignet für</th>
</tr>
</thead>
<tbody>
<tr>
<td><strong>Default (Standard)</strong></td>
<td>Fragt vor jedem Datei-Schreibvorgang und jedem Shell-Befehl nach Freigabe</td>
<td>Volle manuelle Kontrolle</td>
<td>Ja, jede Aktion</td>
<td>Sensible Repositories, Produktivumgebungen, Standard-Arbeit</td>
</tr>
<tr>
<td><strong>Plan-Modus</strong></td>
<td>Nur Lesezugriff – Claude analysiert und schlägt vor, ohne etwas zu ändern</td>
<td>Keine Änderungen möglich</td>
<td>Ja, reine Ansicht</td>
<td>Analyse, Code-Verständnis, Planung vor der Umsetzung</td>
</tr>
<tr>
<td><strong>Accept-Edits</strong></td>
<td>Datei-Edits laufen ohne Nachfrage, bleiben aber sichtbar und unterbrechbar</td>
<td>Reduziert – nur Edits freigegeben</td>
<td>Ja, Eingriff jederzeit möglich</td>
<td>Aktive Entwicklung an vertrauten Projekten</td>
</tr>
<tr>
<td><strong>Auto-Modus</strong></td>
<td>Ein Klassifikator prüft jede Aktion vorab; sichere laufen durch, riskante werden geblockt oder eskaliert</td>
<td><strong>Aktiv</strong> &#8211; automatisiert per Klassifikator (ab Sonnet 4.6)</td>
<td>Teilweise, Rückfrage nur bei wiederholtem Block</td>
<td>Längere autonome Läufe, sicherere Mittellösung, dennoch isolierte Umgebung empfohlen</td>
</tr>
<tr>
<td><strong>Bypass (&#8211;dangerously-skip-permissions)</strong></td>
<td>Alle Erlaubnis-Prüfungen aus – jede Aktion läuft ungeprüft durch</td>
<td class="egrc-risk-high"><strong>Keine</strong> &#8211; vollständig deaktiviert</td>
<td>Nein, vollautomatisch</td>
<td class="egrc-risk-high"><strong>Nur isolierte Sandbox / VM,</strong> niemals auf Produktiv- oder DEV-Geräten</td>
</tr>
</tbody>
</table>
</div>
<h4>Lokal vs. Container/VM: die Entscheidungslogik</h4>
<p>Hier liegt die wichtigste Sicherheitsentscheidung für technische Teams:</p>
<div class="egrc-table-wrap">
<table class="egrc-table">
<thead>
<tr>
<th>Umgebung</th>
<th>Isolation</th>
<th>Geeignet für</th>
</tr>
</thead>
<tbody>
<tr>
<td><strong>Lokal (direkt auf dem Gerät)</strong></td>
<td>Keine &#8211; Zugriff auf das gesamte Dateisystem des Nutzers</td>
<td>Nur im Standard-/Plan-Modus, vertrauenswürdige Repos, mit Secret-Sperren</td>
</tr>
<tr>
<td><strong>Dev-Container (Docker)</strong></td>
<td>Dateizugriff auf das gemountete Projekt beschränkt, Egress-Firewall</td>
<td>Der empfohlene Standard für Teams – isoliert, reproduzierbar</td>
</tr>
<tr>
<td><strong>Virtuelle Maschine (VM)</strong></td>
<td>Stärkste Trennung vom Host, auch physikalisch</td>
<td>Regulierte Branchen, hochsensible Daten (Banken, Versicherer, Gesundheit)</td>
</tr>
</tbody>
</table>
</div>
<p><span style="text-decoration: underline;">Faustregeln aus der Cybersecurity: </span></p>
<ul class="egrc-list">
<li><strong>Die Sandbox ist die Wand, die Berechtigungen sind das Schloss an der Tür.</strong></li>
<li>Erst die Isolation (Container/VM) macht die volle Autonomie verantwortbar, weil der maximale Schaden auf den Container begrenzt bleibt.</li>
<li>Konkrete Schutzmaßnahmen im Container: nur das eine Projektverzeichnis mounten, Egress auf eine Allowlist beschränken (Anthropic-API, nötige Paket-Registries)</li>
<li><strong>Secrets gar nicht erst in den Container lassen</strong>, sondern parametrisiert einsteuern</li>
</ul>
<h4>Enterprise-Kontrollen, die nicht umgangen werden können</h4>
<p>Einzelne <strong>Berechtigungsabfragen</strong> sind <span style="text-decoration: underline;">keine Unternehmenspolitik</span>. Für durchsetzbare Vorgaben nutzen Organisationen <strong>Managed Settings</strong> (per MDM oder server-seitig ausgeliefert, nicht durch Repository-Dateien überschreibbar).</p>
<p>Wer Claude Code sicher nutzen will, sollte ein paar zentrale Faktoren berücksichtigen und sicherstellen:</p>
<ul class="egrc-list">
<li>Least-Privilege-Berechtigungen,</li>
<li>Deny-Regeln für Secret-Dateien und Hochrisiko-Befehle,</li>
<li>Sperre von <em>&#8211;dangerously-skip-permissions</em> außerhalb isolierter Container,</li>
<li>genehmigte MCP-Server,</li>
<li>Audit-Logging via OpenTelemetry und ein</li>
<li>LLM-Proxy für Sichtbarkeit über alle Tool-Aufrufe.</li>
</ul>
<p>Damit lässt sich Claude Code als effizientes, agentisches Tool in der KI-Entwicklung schon sehr sicher einsetzen.</p>
<h3>Claude sicher nutzen: Governance-Rahmen für Unternehmen</h3>
<p>Technische Einstellungen allein genügen nicht. Sicherer Claude-Einsatz braucht einen organisatorischen Rahmen (Leitplanken) und der ist zugleich AI-Act-Pflicht:</p>
<ul class="egrc-list">
<li><strong>KI-Richtlinie (Policy):</strong> Schriftlich regeln, welche Varianten und Pläne erlaubt sind, welche Daten eingegeben werden dürfen und wer freigibt.</li>
<li><strong>Freigabe- und Beschaffungsprozess:</strong> Keine privaten Konten für dienstliche Zwecke. Zentrale Bereitstellung von Enterprise-/API-Zugängen verhindert Shadow AI.</li>
<li><strong>KI-Inventar:</strong> Erfassen, welche KI-Systeme im Einsatz sind – inklusive der unbemerkt gewachsenen. Das ist zugleich die Grundlage für die Risikoklassifizierung nach AI Act.</li>
<li><strong>Mitarbeiterschulung (Art. 4 EU AI Act):</strong> Seit Februar 2025 verpflichtend. Die Belegschaft muss KI verstehen, Halluzinationen erkennen und die internen Regeln kennen.</li>
<li><strong>Audit &amp; Review:</strong> Regelmäßige Prüfung der Einstellungen (Training-Opt-out, Plan-Status, Konten) und Bereinigung alter Konversationen.</li>
</ul>
<p><strong>Das Thema ist für Ihren Schreibtisch zu komplex?</strong> Kein Problem &#8211; Elsen GRC berät Unternehmen im Rahmen der <a href="https://elsengrc.com/ki-governance-beratung/">KI-Governance Beratung</a> zu den relevanten Aspekten rund um die <a href="https://elsengrc.com/ai-act-beratung/">Vorbereitung auf den EU AI Act</a>. Einfach ein Erstgespräch buchen und wir kümmern uns um die Umsetzung dieser Leitplanken in Ihrem Unternehmen.</p>
<h3>Sicherheits-Checkliste: Claude im Unternehmen</h3>
<p>Kompakt zusammengefasst &#8211; die zentralen Punkte für den sicheren Claude-Einsatz im Unternehmen:</p>
<ul class="egrc-list">
<li>Nur <strong>Commercial-Verträge</strong> (Enterprise/API) für dienstliche Nutzung &#8211; <span style="text-decoration: underline;">keine</span> privaten Pro-Konten!</li>
<li><strong>AVV/DPA</strong> mit Anthropic abgeschlossen</li>
<li>Bei hohem Schutzbedarf: <strong>Zero Data Retention</strong> aktiviert</li>
<li>Auf verbliebenen Consumer-Konten: <strong>Training-Opt-out</strong> geprüft und dokumentiert</li>
<li><strong>KI-Richtlinie</strong> verabschiedet und kommuniziert</li>
<li><strong>KI-Inventar</strong> erstellt, Shadow-AI-Konten identifiziert</li>
<li><strong>Art.-4-Schulung</strong> durchgeführt und dokumentiert</li>
<li>Claude Code nur im <strong>Container/VM</strong> mit Secret-Sperren und Egress-Allowlist betrieben</li>
<li>Autonomer Modus ohne Sicherheitsabfragen außerhalb der Sandbox <strong>gesperrt</strong></li>
<li><strong>Audit-Logging</strong> und regelmäßige Reviews etabliert</li>
</ul>
<p>Die Checkliste gibt es natürlich auch noch als PDF Version zum Download:</p>
<ul class="egrc-list">
<li><a href="https://elsengrc.com/docs/uploads/2026/06/Claude-sicher-nutzen-Checkliste.pdf">Claude sicher nutzen Checkliste (PDF, 1 Seite)</a></li>
</ul>
<h3>Wie Elsen GRC Sie unterstützt</h3>
<p>Der sichere Einsatz von Claude berührt genau die Schnittstelle von Datenschutz, KI-Governance und AI-Act-Compliance, auf die Elsen GRC spezialisiert ist:</p>
<ul class="egrc-list">
<li><strong><a href="/ki-kompetenzschulung/">KI-Kompetenzschulung nach Art. 4 EU AI Act</a>:</strong> Erfüllt die gesetzliche Schulungspflicht &#8211; inklusive Mitarbeiter-Zertifikat, Schulungsregister und KI-Richtlinien-Entwurf.</li>
<li><strong><a href="/ai-act-beratung/">AI Act Readiness Scan</a>:</strong> KI-Inventar, Risikoklassifizierung und Roadmap mit Blick auf die AI Act Fristen bis August 2026.</li>
<li><strong><a href="/ki-governance-beratung/">KI-Governance-Beratung</a>:</strong> Vollständiges Governance-Framework mit Policies, Rollen und Freigabeprozessen für den kontrollierten KI-Einsatz.</li>
</ul>
<p>So wird aus einem unkontrollierten Tool ein gesteuerter, prüffester Bestandteil Ihrer GRC-Struktur.</p>
<h3>Ein paar häufige Fragen zur Claude Sicherheit im Überblick (FAQ)</h3>
<p><strong>Ist Claude DSGVO-konform nutzbar?</strong></p>
<p>Ja -aber nur unter Commercial Terms (Enterprise oder API) mit abgeschlossenem AVV. Private Consumer-Konten (Free, Pro, Max) bieten keinen AVV und nutzen Daten standardmäßig zum Training, wenn nicht aktiv widersprochen wird.</p>
<p><strong>Werden meine Chats zum Training von Claude verwendet?</strong></p>
<p>Bei Consumer-Konten standardmäßig ja, solange nicht widersprochen wird. Bei Commercial-Konten (Enterprise, API) standardmäßig nein.</p>
<p><strong>Reicht der Team-Plan für Unternehmen?</strong></p>
<p>Der Team-Plan läuft in wesentlichen Teilen unter Consumer-Logik. Für volle vertragliche Absicherung mit AVV und Trainings-Ausschluss ist Enterprise oder die API erforderlich.</p>
<p><strong>Warum ist Claude Code riskanter und nicht so sicher wie die App?</strong></p>
<p>Weil Claude Code mit den vollen Rechten des Nutzers auf das Dateisystem zugreift und Befehle ausführt. Es sollte deshalb in einem Container oder einer VM betrieben werden &#8211; nicht ungeschützt auf dem lokalen Gerät.</p>
<p><strong>Was ist Zero Data Retention?</strong></p>
<p>Ein Modus für qualifizierende Enterprise-Kunden, bei dem Daten über die unmittelbare Verarbeitung hinaus nicht gespeichert werden – der höchste Datenschutzstandard ohne eigene Infrastruktur.</p>
<hr />
<h3>Verwandte Themen</h3>
<ul class="egrc-list">
<li><a href="https://elsengrc.com/journal/chatgpt-sicher-nutzen/">ChatGPT sicher nutzen: Guideline für Sicherheit bei OpenAI ChatGPT und Codex</a></li>
<li><a href="/wiki/eu-ai-act/">EU AI Act: Definition, Bedeutung &amp; Pflichten</a></li>
<li><a href="/wiki/ki-governance/">KI-Governance: Definition, Bedeutung &amp; GRC-Relevanz</a></li>
<li><a href="/wiki/shadow-ai/">Shadow AI: Definition, Risiken &amp; Maßnahmen</a></li>
</ul>
<h3>Quellen &amp; Bilder</h3>
<p>Bilder: Screenshots, © Claude.ai</p>
<ul class="egrc-list">
<li><a href="https://www.anthropic.com/news/updates-to-our-consumer-terms">Anthropic: Updates to Consumer Terms and Privacy Policy</a></li>
<li><a href="https://privacy.claude.com/en/articles/7996868-is-my-data-used-for-model-training">Anthropic Privacy Center: Is my data used for model training?</a></li>
<li><a href="https://code.claude.com/docs/en/devcontainer">Claude Code Docs: Development containers / Security</a></li>
</ul>
<p>Der Beitrag <a href="https://elsengrc.com/journal/claude-sicher-nutzen/">Claude sicher nutzen: Guideline für Claude Code, Cowork und die Claude Desktop App</a> erschien zuerst auf <a href="https://elsengrc.com">ELSEN GRC</a>.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
