NeulandProCowork meistern
Alle Guides

Sicherheit & DSGVO

Ehrlicher Blick darauf, was wo passiert — und wie du das System DSGVO-konform mit Klientendaten betreibst.

Lesedauer: 7 Min

Cowork ist mächtig, weil es Zugriff auf deine Mails, Kalender, Drive und lokale Files hat. Mit Macht kommt — du kennst den Rest. Dieser Guide klärt nüchtern, was wo passiert, und gibt dir konkrete Regeln für sensible Daten.

Was bleibt lokal, was geht zu Anthropic

Auf deinem Mac bleiben

  • Dein cowork/-Folder mit allen Files — Markdown, Outputs, alles
  • Dein Obsidian-Vault (ist derselbe Folder)
  • Lokale Memory-Files (memory.md auf allen Ebenen)
  • Drafts in outputs/

An Anthropic gehen (für die Cowork-Verarbeitung)

  • Jeder Prompt, den du sendest, plus relevante Files, die Cowork für die Antwort braucht
  • Output, den Cowork generiert (kommt zurück)
  • Wenn Cowork einen Connector nutzt: Anfrage an den Connector (z.B. "Liste die letzten 10 Mails")

An Drittanbieter (Connectors)

Wenn Cowork einen Connector aufruft (Gmail, Drive, Slack), geht die Anfrage an den jeweiligen Anbieter — Google, Slack, etc. Das unterliegt den Bedingungen des Anbieters, nicht Anthropic.

Das "Improve Claude"-Setting

Anthropic hat eine Setting "Help improve Claude" (oder ähnlich benannt) in den Einstellungen. Wenn aktiviert: deine Konversationen können für Training genutzt werden. Wenn deaktiviert: nicht.

So findest du das Setting in Cowork:

  1. Cowork öffnen → Settings (oder Einstellungen)
  2. Sektion "Privacy" oder "Datenschutz"
  3. "Help improve Claude" oder "Improve Anthropic" → deaktivieren

Der verschärfte Datenschutz-Modus

Wenn du den Setup-Wizard mit "Verschärft" ausgewählt hast (Schritt 7), hat deine Root-claude.md einen zusätzlichen Block. Falls du das nachträglich aktivieren willst:

Verschärften Datenschutz nachträglich aktivieren

In Cowork einfügen, wenn deine claude.md den Block noch nicht hat.

Ergänze in der Root-claude.md, nach der Sektion "Stil-Defaults",
einen neuen Block:

## Verschärfter Datenschutz-Modus

Für diesen Workspace gilt zusätzlich:
- Keine Klienten-Klarnamen in Memory oder Resources — nur Initialen
- Vor JEDER externen Aktion (Mail-Draft, Notiz-Speicherung, Web-Recherche):
  kurz nachfragen, ob die Aktion in Ordnung ist
- Keine Klienten-Inhalte in andere Workstations mischen (strikt
  isoliert in clients/[name]/)
- Bei Unsicherheit immer auf der Seite der Vorsicht entscheiden

Aktualisiere danach die Routing-Map, falls relevant.

Klienten-Daten — die wichtigsten Regeln

Wenn du mit Klienten arbeitest (Coaching, Beratung, Mandat), gelten strengere Regeln. Hier die fünf, die du nie verletzen darfst:

  1. Klarname nur einmal in der jeweiligen Klienten-claude.md (oben unter Kontext). Sonst überall Initialen. Verhindert Streuung sensibler Daten in der Root-Memory oder anderen Workstations.
  2. Klienten-Inhalte verlassen den Sub-Folder nicht. Wenn du eine Allgemein-Aufgabe machst (z.B. einen Newsletter), dürfen Klienten-Inhalte nicht reinfließen — auch nicht anonymisiert.
  3. Niemals senden ohne Freigabe. Mail-Drafts, Slack-Antworten, Document-Versendungen — IMMER als Draft, du schickst manuell.
  4. Bei NDA: explizit markieren in der Klienten-claude.md. Cowork erinnert sich dann bei jeder Aktion an die NDA-Pflicht.
  5. Klienten-Daten regelmäßig prüfen. Alle 6 Monate checken: ist alles, was in Klienten-Folders steht, noch nötig? Was kann archiviert oder gelöscht werden?

Was in Memory.md NIE rein darf

  • Vollständige Kontonummern, IBANs, Steuernummern
  • Kreditkarten-Daten
  • Passwörter, API-Keys, Tokens
  • Sozialversicherungsnummern, Pass-Nummern
  • Vollständige Klarnamen von Klienten (nur Initialen)
  • Vollständige Wohnadressen von Klienten oder Dritten
  • Medizinische Daten, sexuelle Orientierung, politische Überzeugungen Dritter

Wenn dir auffällt, dass etwas davon doch reingeraten ist:

Memory bereinigen

Bei Verdacht, dass sensible Daten in memory.md sind.

Geh durch alle memory.md-Dateien in meinem Cowork-OS:
- Root memory.md
- Alle Workstation-memory.md (in 01-content/, 02-inbox/, etc.)

Suche nach Inhalten, die NICHT dort sein sollten:
- Vollständige Klarnamen (nur Initialen erlaubt)
- IBAN, Kontonummern, Steuernummern, Kreditkartendaten
- Passwörter, API-Keys, Tokens
- Vollständige Adressen Dritter
- Medizinische / sensible persönliche Daten

Für jeden Fund: zeig mir die Stelle, beschreib das Problem, schlag
eine Bereinigung vor. Lösche NICHTS ohne meine Freigabe.

DSGVO-Auditierbarkeit

Vorteil deines Cowork-OS gegenüber Blackbox-AI: alles ist als Plain-Text-Datei auditierbar. Wenn ein Klient fragt "was habt ihr über mich gespeichert?", kannst du:

  1. Den entsprechenden clients/[initialen]/-Folder öffnen
  2. Alle .md-Files durchschauen
  3. Eine vollständige Auskunft erstellen

Cowork kann dir das sogar generieren lassen:

DSGVO-Auskunft für Klient

Wenn ein Klient eine Auskunft anfordert.

Erstelle eine DSGVO-Art-15-Auskunft für den Klienten [Initialen].

Geh durch:
- clients/[Initialen]/ und alle Sub-Folder
- Erwähnungen dieser Initialen in der Root-memory.md (sollten dort nicht sein, aber prüf)
- Erwähnungen in anderen Workstation-memory.md (sollten dort nicht sein, prüf)

Output: strukturierte Auskunft mit:
- Welche Daten gespeichert sind (Kategorien)
- Wozu sie genutzt werden
- Wann sie zuletzt aktualisiert wurden
- Welche Connectors/Dritt-Quellen involviert sind

Form: lesbar für den Klienten, nicht technisch.

Backup und Recovery

Dein Cowork-OS ist eine Sammlung von Markdown-Dateien. Backups sind trivial — drei Optionen:

1. iCloud / Drive-Sync (einfachste Variante)

Folder liegt in ~/Documents/cowork/ → wird automatisch gesynct. Reicht für die meisten.

2. Git (für Versions-Historie)

Wenn du mit Klientendaten arbeitest und sehen willst, was sich wann geändert hat: lokal Git-Repository draus machen. Nicht zu GitHub pushen, lokal halten.

3. Time Machine

Standard-macOS-Backup deckt deinen Cowork-Folder automatisch ab, wenn du Time Machine eingerichtet hast.

Wenn etwas schiefgeht

Cowork hat versehentlich was Sensibles geleakt

Beispiel: du wolltest einen LinkedIn-Post schreiben, Cowork hat aus Versehen einen Klienten-Inhalt mitverwendet. Bevor du was veröffentlichst: immer den Draft selbst lesen. Verlass dich nicht darauf, dass Cowork die DSGVO-Regeln immer einhält. Es vergisst sie unter Stress.

Klient bittet um Löschung

DSGVO Art. 17. Du löschst den clients/[Initialen]/-Folder komplett. Plus relevante Outputs in outputs/clients/[Initialen]/. Plus prüfen, ob Initialen versehentlich in anderen memory.md auftauchen.

Klient löschen — DSGVO Art. 17

Vollständiges Löschen aller Daten zu einem Klient.

Klient [Initialen] hat um vollständige Löschung gebeten (DSGVO Art. 17).

Bevor du irgendwas löschst, mach mir eine Liste aller Stellen, wo
diese Initialen vorkommen:
- clients/[Initialen]/ (Folder + alle Sub-Files)
- outputs/clients/[Initialen]/
- Erwähnungen in anderen memory.md-Files
- Erwähnungen in Workstation-claude.md-Files (sollten nicht da sein)

Zeig mir die Liste. Erst nach meiner Freigabe löschst du.

Was als nächstes lesen

Zurück zu allen Guides