API- und Datenspeicherung

Anthropics Ansatz zur Datenspeicherung

Verschiedene APIs und Funktionen haben unterschiedliche Speicher- und Aufbewahrungsanforderungen. Wenn eine API oder Funktion keine Speicherung von Kundeneingaben oder Antworten erfordert, kann sie für ZDR berechtigt sein. Wenn eine API oder Funktion notwendigerweise eine Speicherung von Kundeneingaben oder Antworten erfordert, gestaltet Anthropic für den kleinstmöglichen Aufbewahrungsfußabdruck. Für diese Funktionen:

• Gespeicherte Daten werden niemals für das Modelltraining ohne Ihre ausdrückliche Genehmigung verwendet.
• Es wird nur das technisch Notwendige für die Funktion und das Arbeiten der API gespeichert. Gesprächsinhalte (Ihre Eingaben und Claudes Ausgaben) werden niemals gespeichert, sofern nicht ausdrücklich angegeben.
• Daten werden mit der kürzestmöglichen TTL gelöscht, und Anthropic versucht, Kunden die Kontrolle darüber zu geben, wie lange Daten gespeichert werden. Was gespeichert wird und die Aufbewahrungsdauer, wenn eine bestimmte TTL gilt, ist auf der Seite jeder Funktion dokumentiert.

In der Funktionstabelle zur Berechtigung sind einige Funktionen in der Spalte „ZDR-berechtigt" mit „Ja (qualifiziert)" gekennzeichnet. Wenn Ihre Organisation eine ZDR-Vereinbarung hat, können Sie diese Funktionen mit der Gewissheit verwenden, dass das, was Anthropic speichert, eng begrenzt ist und für optimale Leistung erforderlich ist.

Zero Data Retention (ZDR) Umfang

Was ZDR abdeckt

• Bestimmte Claude APIs: ZDR gilt für die Claude Messages und Token Counting APIs
• Claude Code: ZDR gilt bei Verwendung mit Commercial-Organisations-API-Schlüsseln oder über Claude Enterprise (siehe Claude Code ZDR-Dokumentation)

Was ZDR NICHT abdeckt

• Console und Workbench: Jede Nutzung auf Console oder Workbench
• Claude Verbraucherprodukte: Claude Free, Pro oder Max Pläne, einschließlich wenn Kunden dieser Pläne Claudes Web-, Desktop- oder Mobile-Apps oder Claude Code verwenden
• Claude Teams und Claude Enterprise: Claude Teams und Claude Enterprise Produktschnittstellen sind nicht ZDR-berechtigt, außer für Claude Code bei Verwendung über Claude Enterprise mit aktiviertem ZDR für die Organisation. Für andere Produktschnittstellen sind nur Commercial-Organisations-API-Schlüssel für ZDR berechtigt.
• Drittanbieter-Integrationen: Daten, die von Websites, Tools oder anderen Integrationen von Drittanbietern verarbeitet werden, sind nicht ZDR-berechtigt, obwohl einige ähnliche Angebote haben können. Bei Verwendung externer Dienste in Verbindung mit der Claude API sollten Sie die Datenbehandlungspraktiken dieser Dienste überprüfen.

HIPAA-Bereitschaft

Die Claude API unterstützt HIPAA-bereite Integrationen für Organisationen, die geschützte Gesundheitsinformationen (PHI) verarbeiten. Mit einer unterzeichneten BAA und einer HIPAA-aktivierten Organisation können Sie unterstützte API-Funktionen verwenden, um PHI zu verarbeiten und gleichzeitig die HIPAA-Compliance Ihrer Organisation zu unterstützen.

Zuvor mussten Organisationen, die HIPAA-Bereitschaft für die Claude API benötigten, ZDR aktivieren. Der HIPAA-bereite API-Zugriff entfernt diese Anforderung und bietet eine Grundlage für Anthropic, um zusätzliche Funktionen schrittweise zu aktivieren, wenn sie auf HIPAA-Bereitschaft überprüft werden.

Erste Schritte

Um HIPAA-bereiten API-Zugriff einzurichten:

HIPAA-Bereitschaftsumfang

Was HIPAA-Bereitschaft abdeckt

• Claude API: HIPAA-Bereitschaft gilt für die Claude API (api.anthropic.com) für berechtigte Funktionen, die in der Funktionstabelle zur Berechtigung aufgeführt sind.

Was HIPAA-Bereitschaft NICHT abdeckt

• Claude Verbraucherprodukte: Claude Free, Pro oder Max Pläne
• Console und Workbench: Nutzung über die Claude Console-Schnittstelle
• Drittanbieter-Plattformen: Claude auf AWS Bedrock oder Google Cloud Vertex AI (siehe die Compliance-Dokumentation dieser Plattformen)
• Drittanbieter-Integrationen: Daten, die von externen Tools oder Diensten verarbeitet werden, die mit Ihrer Anwendung verbunden sind
• Claude Code: Claude Code ist nicht unter HIPAA-Bereitschaft abgedeckt
• Beta-Funktionen: Funktionen in Beta sind im Allgemeinen nicht unter der BAA abgedeckt, sofern sie nicht ausdrücklich als berechtigt in der Funktionstabelle zur Berechtigung aufgeführt sind

PHI-Behandlungsrichtlinien

Geschützte Gesundheitsinformationen (PHI) umfassen alle individuell identifizierbaren Gesundheitsinformationen. Im Kontext der Claude API erscheint PHI typischerweise in:

• Nachrichteninhalte (Eingaben und Antworten von Claude)
• Angehängte Dateien (Bilder, PDFs)
• Dateinamen und Metadaten, die mit Nachrichteninhalten verknüpft sind

Die folgenden Felder werden nicht erwartet, PHI unter der BAA zu enthalten: Arbeitsbereichsnamen, Benutzerinformationen (Name, E-Mail, Telefonnummer), Abrechnungsdaten und Support-Tickets.

Schema- und Tool-Definitionsbeschränkungen

Bei Verwendung von strukturierten Ausgaben oder Tools mit strict: true kompiliert die API JSON-Schemas in Grammatiken, die separat vom Nachrichteninhalt zwischengespeichert werden. Diese zwischengespeicherten Schemas erhalten nicht die gleichen PHI-Schutzmaßnahmen wie Eingaben und Antworten.

Fügen Sie PHI nicht in JSON-Schema-Definitionen ein. Diese Einschränkung gilt für:

• Schema-Eigenschaftsnamen
• enum Werte
• const Werte
• pattern reguläre Ausdrücke

Patientenspezifische Informationen sollten nur in Nachrichteninhalten erscheinen, wo sie unter HIPAA-Schutzmaßnahmen geschützt sind.

HIPAA-Fehlerbehandlung

Ihre unterzeichnete BAA ist die offizielle Quelle der Wahrheit für welche Funktionen abgedeckt sind. Die API erzwingt diese Einschränkungen auch automatisch: Wenn eine HIPAA-aktivierte Organisation eine Anfrage sendet, die eine nicht berechtigte Funktion enthält, gibt die API einen 400 Fehler zurück, um versehentliche Verwendung von Funktionen zu verhindern, die nicht von Ihrer BAA abgedeckt sind:

{
  "type": "error",
  "error": {
    "type": "invalid_request_error",
    "message": "The requested features are not available for HIPAA-regulated organizations without Zero Data Retention: code_execution."
  }
}

Die Fehlermeldung listet die nicht berechtigten Funktionen auf, die in der Anfrage erkannt wurden. Entfernen Sie diese Funktionen aus Ihrer Anfrage und versuchen Sie es erneut.

Funktionstabelle zur Berechtigung

Die folgende Tabelle listet auf, welche Claude API-Funktionen für ZDR- und HIPAA-Bereitschaftsvereinbarungen berechtigt sind. Für HIPAA-aktivierte Organisationen werden Funktionen, die in der HIPAA-Spalte mit „Nein" gekennzeichnet sind, automatisch blockiert, und Anfragen, die sie enthalten, geben einen 400 Fehler zurück.

¹ Dynamische Filterung ist nicht für ZDR oder HIPAA berechtigt.

² Obwohl Web-Abruf ZDR-berechtigt ist, können Website-Verleger Anfragedaten (wie abgerufene URLs und Anfrage-Metadaten) gemäß ihren eigenen Richtlinien speichern.

³ PHI darf nicht in JSON-Schema-Definitionen enthalten sein. Siehe PHI-Behandlungsrichtlinien.

Einschränkungen und Ausschlüsse

CORS nicht unterstützt für ZDR

Cross-Origin Resource Sharing (CORS) wird nicht für Organisationen mit ZDR-Vereinbarungen unterstützt. Wenn Sie API-Aufrufe von browserbasierten Anwendungen tätigen müssen, müssen Sie:

• Einen Backend-Proxy-Server verwenden, um API-Aufrufe im Namen Ihres Front-End zu tätigen
• Ihre eigene CORS-Behandlung auf dem Proxy-Server implementieren
• API-Schlüssel niemals direkt in Browser-JavaScript verfügbar machen

Datenspeicherung für Richtlinienverletzungen und wenn gesetzlich erforderlich

Auch mit ZDR- oder HIPAA-Vereinbarungen kann Anthropic Daten speichern, wenn dies gesetzlich erforderlich ist oder um Verstöße gegen die Nutzungsrichtlinie und böswillige Nutzungen der Anthropic-Plattform zu bekämpfen. Wenn ein Chat oder eine Sitzung daher für einen solchen Verstoß gekennzeichnet wird, kann Anthropic Eingaben und Ausgaben bis zu 2 Jahre lang speichern.

Häufig gestellte Fragen

Verwandte Ressourcen

• Datenschutzrichtlinie
• Strukturierte Ausgaben
• Prompt-Caching
• Batch-Verarbeitung
• Files API
• Trust Center