KI-gestütztes Entwickeln — aber sicher. Wie Unternehmen im DACH-Raum DSGVO- und DORA-konform mit Claude coden können.

Ich bekomme diese Frage mittlerweile wöchentlich:

"Wir wollen Claude Code einsetzen — aber dürfen wir das überhaupt?"

Die Antwort ist: Ja. Aber es kommt darauf an, wie.

Denn das Problem liegt nicht beim Werkzeug. Es liegt daran, wohin eure Daten fließen — und wer dafür die Verantwortung trägt.

KI-Entwicklung DSGVO-konform zu betreiben ist möglich — und für Unternehmen in Österreich und Deutschland kein Luxus, sondern eine rechtliche Notwendigkeit. Claude Code Österreich-tauglich einzusetzen bedeutet: die richtigen Infrastrukturentscheidungen zu treffen, bevor der erste Prompt abgeschickt wird.

Was passiert, wenn Entwickler Claude Code einfach nutzen — ohne DSGVO-Absicherung

Ein Entwickler installiert Claude Code auf seinem Laptop. Er gibt seinen Anthropic API Key ein. Er beginnt zu arbeiten — Codereviews, Refactorings, Architekturentscheidungen.

Was er dabei vielleicht nicht sieht: Jeder Prompt, jede Datei, jeder Kontext, den er Claude zeigt, verlässt in diesem Moment das Unternehmen. Er geht an Anthropic — ein US-amerikanisches Unternehmen, das dem CLOUD Act unterliegt.

Das ist kein Vorwurf an Anthropic. Das ist einfach die Realität der Cloud-Gesetzgebung.

Für ein österreichisches oder deutsches Unternehmen, das personenbezogene Daten verarbeitet oder im Finanzsektor tätig ist, ist genau das ein Problem.

Was DSGVO und DORA bei KI-Coding konkret verlangen

DSGVO ist klar: Wenn Entwickler mit Code arbeiten, der personenbezogene Daten verarbeitet oder enthält — auch nur in Kommentaren, Testdaten oder Datenbankschemas — dann ist das eine Datenverarbeitung. Und die braucht eine Rechtsgrundlage, einen Auftragsverarbeitungsvertrag und eine klare Antwort auf die Frage: Wo liegen die Daten?

DORA gilt seit Januar 2025 für den gesamten EU-Finanzsektor. Versicherungen, Banken, Fintechs, ihre Dienstleister. Die Kernfrage: Können eure digitalen Systeme ausfallen, ohne dass der Betrieb zusammenbricht? Und: Wisst ihr, wer eure kritischen ICT-Dienstleister sind — und habt ihr mit ihnen die richtigen Verträge?

Ein Entwickler, der mit seinem privaten Anthropic-Account Claude Code nutzt, ist für ein DORA-pflichtiges Unternehmen ein blinder Fleck im Risikomanagement.

Die eigentliche Frage ist keine Compliance-Frage

Ich sage meinen Kunden immer: DSGVO und DORA sind nicht der Feind von KI. Sie sind der Rahmen, der euch erlaubt, KI wirklich einzusetzen — ohne das Gefühl, auf dünnem Eis zu stehen.

Wer heute sagt "wir dürfen KI nicht nutzen, weil Compliance", der hat das Problem falsch verstanden. Die richtige Frage ist nicht ob, sondern wie.

Was wir bei Honeyfield gebaut haben: DSGVO-konforme KI-Infrastruktur für Entwickler

Wir betreiben für unsere Kunden eine eigene KI-Infrastruktur — eine sogenannte AI Gateway Platform. Das klingt technischer als es ist.

Konkret bedeutet es: Eure Entwickler nutzen Claude Code wie gewohnt. Drei Einstellungen ändern. Fertig. Aber im Hintergrund passiert etwas anderes:

Die Prompts verlassen die EU nicht mehr.

Statt direkt zu Anthropic in die USA zu gehen, laufen alle Anfragen über unsere Infrastruktur auf AWS in Frankfurt. Von dort weiter zu Amazon Bedrock — dem AWS-Dienst, der Claude-Modelle bereitstellt, vollständig innerhalb der EU, mit EU-Datenschutz.

Das bedeutet:

• Datensouveränität: Eure Entwicklungsdaten bleiben in der EU. Kein CLOUD Act. Kein Transfer in Drittstaaten ohne Schutzmaßnahmen.
• Auftragsverarbeitung: Wir schließen mit euch einen AVV ab. Ihr habt einen definierten Vertragspartner mit klaren Pflichten — kein Schatten-IT-Wildwuchs.
• Kostenkontrolle: Jedes Team, jedes Projekt bekommt ein Budget-Limit. Keine bösen Überraschungen am Monatsende.
• Zentrales Management: Ihr wisst, wer was nutzt. Ihr könnt Zugriffe sofort sperren. Ihr habt Audit-Logs.

Was das für DORA-Compliance in der Entwicklung bedeutet

Wer DORA-pflichtig ist, braucht für ICT-Drittanbieter klare Verträge mit Audit-Rechten, definierten Incident-Prozessen und einer Exit-Strategie.

Das können wir liefern. Nicht als großes Consulting-Projekt, sondern als Teil des Service-Pakets.

Für Unternehmen wie Wüstenrot, für Fintechs, für alle, die reguliert sind: Ihr bekommt von uns einen Anbieter, der sich dieser Anforderung bewusst ist und entsprechend aufgestellt ist.

Was wir nicht sind

Wir sind kein Rechtsanwalt. Wir können keine Rechtsberatung geben, und wir würden das auch nie behaupten.

Was wir sind: Ein Team, das sich sehr intensiv mit der technischen und organisatorischen Seite dieser Frage auseinandersetzt — und das seinen Kunden eine Infrastruktur bereitstellt, die den richtigen Rahmen schafft.

Ob das für euren spezifischen Fall ausreicht, solltet ihr gemeinsam mit eurem Datenschutzbeauftragten oder einem IT-Anwalt klären. Aber die meisten Gespräche, die wir führen, enden damit: Mit unserer Plattform ist das kein Problem mehr.

Für wen ist KI-Coding DSGVO-konform relevant — AWS Bedrock EU als Lösung

Wenn eines dieser Szenarien auf euch zutrifft, lohnt sich ein Gespräch:

• Ihr setzt oder wollt Claude Code für eure Entwickler einsetzen
• Ihr seid im Finanzsektor oder habt Finanzsektor-Kunden
• Ihr verarbeitet personenbezogene Daten und habt einen Datenschutzbeauftragten, der schon mal gefragt hat: "Und wo gehen diese KI-Anfragen hin?"
• Ihr wollt die KI-Nutzung eurer Teams zentralisieren, steuern und budgetieren

Abschließend

KI-gestütztes Entwickeln ist kein Nice-to-have mehr. Wer seinen Entwicklern heute kein vernünftiges Werkzeug gibt, verliert sie — an Unternehmen, die das begriffen haben.

Aber "einfach einschalten und hoffen" ist keine Strategie. Schon gar nicht im DACH-Raum, wo Datenschutz kein Bürokratie-Theater ist, sondern echte rechtliche Konsequenzen hat.

Wir helfen Unternehmen, beides hinzukriegen: KI nutzen. Und dabei sauber aufgestellt sein.

Wenn ihr wissen wollt, wie das konkret aussieht — meldet euch. Ich nehme mir gerne eine Stunde Zeit.

Interesse an einer DSGVO-konformen KI-Infrastruktur für euer Team? → Jetzt Erstgespräch vereinbaren

Vernes Perviz ist Geschäftsführer der Honeyfield GmbH, einer Softwareentwicklungsagentur aus Salzburg, spezialisiert auf KI-Agenten, MCP-Lösungen und moderne Web- und Mobile-Entwicklung für den DACH-Markt.

www.honeyfield.at