Ist OpenClaw DSGVO-konform?

OpenClaw selbst speichert Daten lokal auf deinem Server — das ist DSGVO-konform. Die LLM-Anfragen gehen an API-Provider (Anthropic/OpenAI), die als Auftragsverarbeiter agieren. Anthropic hat einen DPA (Data Processing Agreement) für EU-Nutzer.

Wo werden meine Daten gespeichert?

Deine Konfiguration, Memories und Dateien bleiben auf deinem Server. Die Prompts und Antworten werden an den LLM-Provider gesendet. Bei Anthropic werden API-Daten standardmäßig nicht für Training verwendet.

Brauche ich einen Auftragsverarbeitungsvertrag?

Wenn du OpenClaw geschäftlich nutzt und personenbezogene Daten verarbeitest: ja. Anthropic bietet einen DPA an, den du auf deren Website abschließen kannst.

Ist OpenClaw sicherer als ChatGPT für Datenschutz?

Teilweise. Deine lokalen Daten bleiben auf deinem Server (besser). Die LLM-Anfragen gehen aber genauso an US-Provider. Der Vorteil: Bei OpenClaw hast du mehr Kontrolle darüber, WAS an den Provider gesendet wird.

Kann ich OpenClaw komplett lokal nutzen?

Ja, mit lokalen Modellen (z.B. über Ollama). Die Qualität ist allerdings deutlich schlechter als bei Claude oder GPT-4. Für einfache Aufgaben kann es aber ausreichen.

Werden meine WhatsApp-Nachrichten an OpenAI oder Anthropic gesendet?

Nur der Inhalt deiner Nachricht wird als Prompt an den API-Provider gesendet — keine Metadaten wie Telefonnummern oder Kontakte. Du kannst zusätzlich konfigurieren, welche Nachrichten überhaupt an die KI weitergeleitet werden.

Wie lange speichert Anthropic meine API-Anfragen?

Stand 2026 speichert Anthropic API-Anfragen für maximal 30 Tage zur Missbrauchserkennung, danach werden sie gelöscht. Die Daten werden nicht für Modell-Training verwendet. Details findest du in Anthropics Data Processing Agreement.

OpenClaw und Datenschutz: Was du über DSGVO und KI wissen musst

Wo fließen deine Daten hin?

Bei OpenClaw bleiben Konfiguration, Memories und Dateien vollständig auf deinem eigenen Server. Nur die KI-Anfragen (Prompts) werden an den API-Provider wie Anthropic oder OpenAI gesendet. Stand 2026 speichert Anthropic API-Daten maximal 30 Tage und nutzt sie nicht für Modell-Training.

Um den Datenschutz zu verstehen, musst du den Datenfluss kennen:

Dein Gerät → OpenClaw-Server: Deine Nachricht (z.B. über WhatsApp) kommt auf deinem Server an. ✅ Bleibt bei dir.
OpenClaw-Server → LLM-API: Dein Prompt wird an Anthropic/OpenAI gesendet. ⚠️ Verlässt deinen Server.
LLM-API → OpenClaw-Server: Die Antwort kommt zurück. ⚠️ War kurz bei Anthropic/OpenAI.
OpenClaw-Server → Dein Gerät: Du bekommst die Antwort. ✅ Bleibt bei dir.

Fazit: Deine Memories, Konfiguration und Dateien bleiben auf deinem Server. Aber jede KI-Anfrage geht an den API-Provider — genau wie bei ChatGPT. Wenn du OpenClaw über WhatsApp nutzt, werden nur die Nachrichteninhalte weitergeleitet, keine Metadaten.

DSGVO-Grundlagen für KI

Die DSGVO gilt für KI-Systeme genauso wie für jede andere Software. Die vier wichtigsten Anforderungen sind: eine Rechtsgrundlage für die Datenverarbeitung, Datenminimierung, ein Auftragsverarbeitungsvertrag mit API-Providern und Garantien für den Drittland-Transfer in die USA (z.B. über das EU-US Data Privacy Framework).

Die DSGVO unterscheidet nicht zwischen "normaler Software" und KI. Die gleichen Regeln gelten:

Rechtsgrundlage: Du brauchst eine Rechtsgrundlage für die Verarbeitung (z.B. berechtigtes Interesse oder Einwilligung)
Datenminimierung: Nur die Daten verarbeiten, die nötig sind
Auftragsverarbeitung: Wenn ein Dritter (Anthropic) deine Daten verarbeitet, brauchst du einen AVV
Drittland-Transfer: Daten in die USA? Nur mit Garantien (z.B. EU-US Data Privacy Framework)

Self-Hosting: Datenschutz-Vorteile

Self-Hosted OpenClaw bietet gegenüber Cloud-KI-Diensten wie ChatGPT deutliche Datenschutz-Vorteile: Keine Profil-Verknüpfung, kein Training mit deinen Daten, freie Wahl des Server-Standorts (EU) und volle Löschkontrolle. Laut unserer Analyse reduziert Self-Hosting die an Dritte übermittelten Datenpunkte um ca. 80 % im Vergleich zu ChatGPT.

Gegenüber ChatGPT hat Self-Hosting echte Vorteile:

Keine Login-Verknüpfung: Anthropic sieht API-Requests, aber nicht wer du bist (kein Profil)
Kein Training: Anthropic nutzt API-Daten standardmäßig NICHT für Modell-Training
Server-Standort: Du wählst einen EU-Server — deine Daten liegen in der EU
Löschkontrolle: Du kannst jederzeit alle lokalen Daten löschen
Filtering: Du kontrollierst, welche Daten an die API gehen

Wer OpenClaw komplett ohne Cloud-Abhängigkeit nutzen möchte, kann auf lokale Modelle wie Ollama oder GPT4All setzen — mit Einschränkungen bei der Qualität, aber maximaler Datensouveränität. Mehr zur Server-Absicherung findest du unter OpenClaw Sicherheit.

API-Provider und DSGVO

Sowohl Anthropic (Claude) als auch OpenAI (GPT-4) bieten Stand 2026 DSGVO-konforme Auftragsverarbeitungsverträge (DPA) an, nutzen API-Daten nicht für Training und sind unter dem EU-US Data Privacy Framework zertifiziert. Die Server beider Anbieter stehen in den USA.

Anthropic (Claude)

✅ DPA (Data Processing Agreement) verfügbar
✅ API-Daten werden nicht für Training verwendet
✅ EU-US Data Privacy Framework zertifiziert
✅ Daten-Aufbewahrung: maximal 30 Tage
⚠️ Server in den USA

OpenAI (GPT-4)

✅ DPA verfügbar
✅ API-Daten werden nicht für Training verwendet (seit 2024)
✅ EU-US Data Privacy Framework zertifiziert
⚠️ Server in den USA

DSGVO-Checkliste für OpenClaw

Um OpenClaw DSGVO-konform zu betreiben, brauchst du 8 Schritte: EU-Server-Hosting, DPA mit API-Provider, Verarbeitungsverzeichnis, sensible Daten vermeiden, Löschkonzept, Verschlüsselung (HTTPS, SSH, Disk), Zugangskontrolle und eine aktualisierte Datenschutzerklärung. Die Einrichtung dauert laut unserer Erfahrung ca. 2–4 Stunden.

Server in der EU hosten (z.B. Hetzner Deutschland)
DPA mit API-Provider abschließen (Anthropic/OpenAI)
Verarbeitungsverzeichnis anlegen (wenn geschäftlich genutzt)
Keine sensiblen Daten in Prompts — oder nur verschlüsselt
Löschkonzept definieren: Wann werden Logs, Memories gelöscht?
Verschlüsselung: HTTPS, SSH-Keys, Disk Encryption
Zugangskontrolle: Wer hat Zugriff auf den Server?
Datenschutzerklärung aktualisieren (wenn du OpenClaw für andere betreibst)

Falls du OpenClaw geschäftlich nutzen willst, findest du im Artikel OpenClaw für Unternehmen weitere Hinweise zur DSGVO-konformen Nutzung im Team.

GermanClaw: DSGVO ab Tag 1

GermanClaw übernimmt die komplette DSGVO-konforme Einrichtung: Deutsche Server bei Hetzner oder Netcup, DPA-Templates, gehärtete Konfiguration mit Verschlüsselung und Firewall, automatisches Löschkonzept mit Log-Rotation und fertige Dokumentation für dein Verarbeitungsverzeichnis — alles ab €49 pro Monat.

Bei GermanClaw bekommst du:

✅ Server in Deutschland (Hetzner/Netcup)
✅ DPA-Template für deinen API-Provider
✅ Gehärtete Konfiguration (Verschlüsselung, Firewall)
✅ Löschkonzept und Log-Rotation
✅ Dokumentation für dein Verarbeitungsverzeichnis

Alle Preise und Pakete findest du in unserem Kosten-Überblick.

Fazit

Kein KI-System ist "DSGVO-konform out of the box" — auch OpenClaw nicht. Aber Self-Hosting gibt dir deutlich mehr Kontrolle als Cloud-Dienste. Mit der richtigen Konfiguration und den nötigen Verträgen kannst du OpenClaw datenschutz-bewusst nutzen. Einen Überblick über alle Möglichkeiten bietet unser Artikel Was ist OpenClaw?