Administration

API und Datenspeicherung

Erfahren Sie, wie Anthropics APIs und zugehörige Funktionen Daten speichern, einschließlich Informationen zur Zero Data Retention (ZDR) und zum HIPAA-konformen API-Zugang.

Informationen zu Anthropics Standard-Aufbewahrungsrichtlinien finden Sie in Anthropics kommerzieller Datenspeicherungsrichtlinie und der Verbraucherdatenspeicherungsrichtlinie.

Anthropic bietet zwei Datenverarbeitungsvereinbarungen für die Claude API:

Zero Data Retention (ZDR): Kundendaten werden nach der Rückgabe der API-Antwort nicht im Ruhezustand gespeichert, außer wenn dies zur Einhaltung von Gesetzen oder zur Bekämpfung von Missbrauch erforderlich ist.
HIPAA-Bereitschaft: Für Organisationen, die geschützte Gesundheitsinformationen (PHI) verarbeiten, bietet Anthropic einen HIPAA-konformen API-Zugang mit einem unterzeichneten Business Associate Agreement (BAA). Siehe HIPAA-Bereitschaft.

Anthropics Ansatz zur Datenspeicherung

Verschiedene APIs und Funktionen haben unterschiedliche Speicher- und Aufbewahrungsanforderungen. Wenn eine API oder Funktion keine Speicherung von Kundenprompts oder -antworten erfordert, kann sie für ZDR in Frage kommen. Wenn eine API oder Funktion zwingend die Speicherung von Kundenprompts oder -antworten erfordert, ist Anthropic auf den kleinstmöglichen Speicher-Fußabdruck ausgerichtet. Für diese Funktionen gilt:

Gespeicherte Daten werden ohne Ihre ausdrückliche Genehmigung niemals für das Modelltraining verwendet.
Es wird nur das technisch Notwendige für den Betrieb der API und der Funktion gespeichert. Gesprächsinhalte (Ihre Prompts und Claudes Ausgaben) werden niemals gespeichert, sofern nicht ausdrücklich angegeben.
Daten werden mit der kürzestmöglichen TTL gelöscht, und Anthropic ist bestrebt, Kunden die Kontrolle darüber zu geben, wie lange Daten gespeichert werden. Was gespeichert wird und die Aufbewahrungsdauer, wenn eine bestimmte TTL gilt, ist auf der Seite jeder Funktion dokumentiert.

In der Tabelle zur Funktionsberechtigung sind einige Funktionen in der Spalte „ZDR-berechtigt" mit „Ja (qualifiziert)" gekennzeichnet. Wenn Ihre Organisation eine ZDR-Vereinbarung hat, können Sie diese Funktionen mit der Gewissheit nutzen, dass das, was Anthropic speichert, begrenzt ist und für eine optimale Leistung erforderlich ist.

Zero Data Retention (ZDR) Umfang

Was ZDR abdeckt

Bestimmte Claude APIs: ZDR gilt für die Claude Messages und Token Counting APIs
Claude Code: ZDR gilt bei Verwendung mit kommerziellen Organisations-API-Schlüsseln oder über Claude Enterprise (siehe Claude Code ZDR-Dokumentation)

Was ZDR NICHT abdeckt

Console und Workbench: Jegliche Nutzung auf Console oder Workbench
Claude-Verbraucherprodukte: Claude Free-, Pro- oder Max-Pläne, einschließlich wenn Kunden dieser Pläne Claudes Web-, Desktop- oder mobile Apps oder Claude Code verwenden
Claude Teams und Claude Enterprise: Claude Teams- und Claude Enterprise-Produktoberflächen sind nicht ZDR-berechtigt, außer für Claude Code bei Verwendung über Claude Enterprise mit aktiviertem ZDR für die Organisation. Für andere Produktoberflächen sind nur kommerzielle Organisations-API-Schlüssel für ZDR berechtigt.
Drittanbieter-Integrationen: Daten, die von Drittanbieter-Websites, -Tools oder anderen Integrationen verarbeitet werden, sind nicht ZDR-berechtigt, obwohl einige möglicherweise ähnliche Angebote haben. Wenn Sie externe Dienste in Verbindung mit der Claude API verwenden, stellen Sie sicher, dass Sie die Datenverarbeitungspraktiken dieser Dienste überprüfen.

Für die aktuellsten Informationen darüber, welche Produkte und Funktionen ZDR-berechtigt sind, lesen Sie Ihre Vertragsbedingungen oder wenden Sie sich an Ihren Anthropic-Kundenbetreuer.

HIPAA-Bereitschaft

Die Claude API unterstützt HIPAA-konforme Integrationen für Organisationen, die geschützte Gesundheitsinformationen (PHI) verarbeiten. Mit einem unterzeichneten BAA und einer HIPAA-aktivierten Organisation können Sie unterstützte API-Funktionen zur Verarbeitung von PHI nutzen und gleichzeitig die HIPAA-Compliance Ihrer Organisation unterstützen.

Bisher mussten Organisationen, die HIPAA-Bereitschaft für die Claude API benötigten, ZDR aktivieren. Der HIPAA-konforme API-Zugang beseitigt diese Anforderung und bietet eine Grundlage für Anthropic, schrittweise zusätzliche Funktionen zu aktivieren, sobald diese auf HIPAA-Bereitschaft geprüft wurden.

Diese Seite behandelt die HIPAA-Bereitschaft für die Claude API. Den vollständigen HIPAA-Implementierungsleitfaden für Claude Enterprise, Claude Code und Konfigurationsanforderungen finden Sie im Anthropic Trust Center.

Erste Schritte

So richten Sie den HIPAA-konformen API-Zugang ein:

Unterzeichnen Sie ein Business Associate Agreement
Wenden Sie sich an das Anthropic-Vertriebsteam, um ein BAA zu unterzeichnen, das die API-Nutzung abdeckt.
Stellen Sie eine HIPAA-aktivierte Organisation bereit
Anthropic stellt eine dedizierte Organisation mit aktivierten HIPAA-Bereitschaftskontrollen bereit. Diese Organisation erzwingt automatisch Funktionsbeschränkungen und blockiert API-Anfragen, die nicht berechtigte Funktionen verwenden.
Entwickeln Sie mit berechtigten Funktionen
Verwenden Sie die Tabelle zur Funktionsberechtigung, um zu bestätigen, welche Funktionen unterstützt werden. Lesen Sie die PHI-Handhabungsrichtlinien für Funktionen, die spezifische Einschränkungen dazu erfordern, wo PHI erscheinen darf. Detaillierte Konfigurations- und Compliance-Anforderungen finden Sie im HIPAA-Implementierungsleitfaden.

Die HIPAA-Bereitschaft wird auf Organisationsebene durchgesetzt. Wenn Sie sowohl HIPAA-konformen als auch allgemeinen API-Zugang benötigen, verwenden Sie separate Organisationen für jeden.

Umfang der HIPAA-Bereitschaft

Was die HIPAA-Bereitschaft abdeckt

Claude API: Die HIPAA-Bereitschaft gilt für die Claude API (api.anthropic.com) für berechtigte Funktionen, die in der Tabelle zur Funktionsberechtigung aufgeführt sind.

Was die HIPAA-Bereitschaft NICHT abdeckt

Claude-Verbraucherprodukte: Claude Free-, Pro- oder Max-Pläne
Console und Workbench: Nutzung über die Claude Console-Oberfläche
Drittanbieter-Plattformen: Claude auf AWS Bedrock oder Google Cloud Vertex AI (lesen Sie die Compliance-Dokumentation dieser Plattformen)
Drittanbieter-Integrationen: Daten, die von externen Tools oder Diensten verarbeitet werden, die mit Ihrer Anwendung verbunden sind
Claude Code: Claude Code ist nicht unter der HIPAA-Bereitschaft abgedeckt
Beta-Funktionen: Funktionen in der Beta-Phase sind im Allgemeinen nicht unter dem BAA abgedeckt, sofern sie nicht ausdrücklich als berechtigt in der Tabelle zur Funktionsberechtigung aufgeführt sind

PHI-Handhabungsrichtlinien

Geschützte Gesundheitsinformationen (PHI) umfassen alle individuell identifizierbaren Gesundheitsinformationen. Im Kontext der Claude API erscheint PHI typischerweise in:

Nachrichteninhalten (Prompts und Antworten von Claude)
Angehängten Dateien (Bilder, PDFs)
Dateinamen und Metadaten, die mit Nachrichteninhalten verbunden sind

Die folgenden Felder sollen unter dem BAA keine PHI enthalten: Workspace-Namen, Benutzerinformationen (Name, E-Mail, Telefonnummer), Abrechnungsdaten und Support-Tickets.

Schema- und Tool-Definitionsbeschränkungen

Bei der Verwendung von strukturierten Ausgaben oder Tools mit strict: true kompiliert die API JSON-Schemas in Grammatiken, die separat vom Nachrichteninhalt zwischengespeichert werden. Diese zwischengespeicherten Schemas erhalten nicht denselben PHI-Schutz wie Prompts und Antworten.

Fügen Sie keine PHI in JSON-Schema-Definitionen ein. Diese Einschränkung gilt für:

Schema-Eigenschaftsnamen
enum-Werte
const-Werte
pattern-reguläre Ausdrücke

Patientenspezifische Informationen sollten nur im Nachrichteninhalt erscheinen, wo sie durch HIPAA-Schutzmaßnahmen geschützt sind.

HIPAA-Fehlerbehandlung

Ihr unterzeichnetes BAA ist die offizielle Quelle der Wahrheit dafür, welche Funktionen abgedeckt sind. Die API erzwingt diese Einschränkungen auch automatisch: Wenn eine HIPAA-aktivierte Organisation eine Anfrage sendet, die eine nicht berechtigte Funktion enthält, gibt die API einen 400-Fehler zurück, um die versehentliche Nutzung von Funktionen zu verhindern, die nicht von Ihrem BAA abgedeckt sind:

{
  "type": "error",
  "error": {
    "type": "invalid_request_error",
    "message": "The requested features are not available for HIPAA-regulated organizations without Zero Data Retention: code_execution."
  }
}

Die Fehlermeldung listet die in der Anfrage erkannten nicht berechtigten Funktionen auf. Entfernen Sie diese Funktionen aus Ihrer Anfrage und versuchen Sie es erneut.

Funktionsberechtigung

Die folgende Tabelle listet auf, welche Claude API-Funktionen für ZDR- und HIPAA-Bereitschaftsvereinbarungen berechtigt sind. Für HIPAA-aktivierte Organisationen werden Funktionen, die in der HIPAA-Spalte mit „Nein" gekennzeichnet sind, automatisch blockiert, und Anfragen, die sie enthalten, geben einen 400-Fehler zurück.

Funktion	Endpunkt	ZDR-berechtigt	HIPAA-berechtigt	Details
Messages API	`/v1/messages`	Yes	Yes	Standard-API-Aufrufe zur Generierung von Claude-Antworten.
Token-Zählung	`/v1/messages/count_tokens`	Yes	Yes	Tokens zählen, bevor Anfragen gesendet werden.
Websuche	`/v1/messages` (mit `web_search`-Tool)	Yes¹	Yes¹	Echtzeit-Websuchergebnisse, die in der API-Antwort zurückgegeben werden.
Web-Abruf	`/v1/messages` (mit `web_fetch`-Tool)	Yes¹ ²	No	Abgerufene Webinhalte, die in der API-Antwort zurückgegeben werden.
Memory-Tool	`/v1/messages` (mit `memory`-Tool)	Yes	Yes	Clientseitiger Speicher, bei dem Sie die Datenspeicherung kontrollieren.
Kontextverwaltung (Komprimierung)	`/v1/messages` (mit `context_management`)	Yes	No	Serverseitige Komprimierungsergebnisse werden zustandslos über die API-Antwort zurückgegeben/weitergeleitet.
Kontextbearbeitung	`/v1/messages` (mit `context_management`)	Yes	No	Kontextbearbeitungen (Tool-Use-Löschung + Thinking-Löschung) werden in Echtzeit angewendet.
Schnellmodus	`/v1/messages` (mit `speed: "fast"`)	Yes	Yes	Gleicher Messages API-Endpunkt mit schnellerer Inferenz. ZDR gilt unabhängig von der Geschwindigkeitseinstellung.
1M-Token-Kontextfenster	`/v1/messages`	Yes	Yes	Erweiterte Kontextverarbeitung verwendet die Standard-Messages-API.
Adaptives Denken	`/v1/messages`	Yes	Yes	Dynamische Denktiefe verwendet die Standard-Messages-API.
Zitierungen	`/v1/messages`	Yes	Yes	Quellenangaben verwenden die Standard-Messages-API.
Datenresidenz	`/v1/messages` (mit `inference_geo`)	Yes	Yes	Geografisches Routing verwendet die Standard-Messages-API.
Aufwand	`/v1/messages` (mit `effort`)	Yes	Yes	Token-Effizienzsteuerung verwendet die Standard-Messages-API.
Erweitertes Denken	`/v1/messages` (mit `thinking`)	Yes	Yes	Schrittweises Denken verwendet die Standard-Messages-API.
PDF-Unterstützung	`/v1/messages`	Yes	Yes	PDF-Dokumentenverarbeitung verwendet die Standard-Messages-API. Die HIPAA-Berechtigung gilt für PDFs, die inline über die Messages API gesendet werden, nicht über die Files API.
Suchergebnisse	`/v1/messages` (mit `search_results`-Quelle)	Yes	Yes	RAG-Zitierungsunterstützung verwendet die Standard-Messages-API.
Bash-Tool	`/v1/messages` (mit `bash`-Tool)	Yes	Yes	Clientseitiges Tool, das in Ihrer Umgebung ausgeführt wird.
Text-Editor-Tool	`/v1/messages` (mit `text_editor`-Tool)	Yes	Yes	Clientseitiges Tool, das in Ihrer Umgebung ausgeführt wird.
Computer-Nutzung	`/v1/messages` (mit `computer`-Tool)	Yes	No	Clientseitiges Tool, bei dem Screenshots und Dateien in Ihrer Umgebung erfasst und gespeichert werden, nicht von Anthropic. Siehe Computer-Nutzung.
Feinkörniges Tool-Streaming	`/v1/messages`	Yes	Yes	Streaming-Tool-Parameter verwenden die Standard-Messages-API.
Prompt-Caching	`/v1/messages`	Yes	Yes	Ihre Prompts und Claudes Ausgaben werden nicht gespeichert. KV-Cache-Darstellungen und kryptografische Hashes werden für die Cache-TTL im Speicher gehalten und nach Ablauf umgehend gelöscht. Siehe Prompt-Caching.
Strukturierte Ausgaben	`/v1/messages`	Yes (qualified)	Yes³	Ihre Prompts und Claudes Ausgaben werden nicht gespeichert. Nur das JSON-Schema wird für bis zu 24 Stunden seit der letzten Verwendung zwischengespeichert. Dies gilt auch für striktes Tool-Use (`strict: true` bei Tools), das dieselbe Grammatik-Pipeline verwendet. Siehe Strukturierte Ausgaben.
Tool-Suche	`/v1/messages` (mit `tool_search`-Tool)	Yes (qualified)	No	Nur Tool-Katalogdaten (Namen, Beschreibungen, Argumentmetadaten) werden serverseitig gespeichert. Siehe Tool-Suche.
Stapelverarbeitung	`/v1/messages/batches`	No	No	29-tägige Aufbewahrung; asynchrone Speicherung erforderlich. Siehe Stapelverarbeitung.
Code-Ausführung	`/v1/messages` (mit `code_execution`-Tool)	No	No	Container-Daten werden bis zu 30 Tage aufbewahrt. Siehe Code-Ausführung.
Programmatisches Tool-Calling	`/v1/messages` (mit `code_execution`-Tool)	No	No	Basiert auf Code-Ausführungs-Containern; Daten werden bis zu 30 Tage aufbewahrt. Siehe Programmatisches Tool-Calling.
Files API	`/v1/files`	No	No	Dateien werden bis zur expliziten Löschung aufbewahrt. Siehe Files API.
Agent-Skills	`/v1/messages` (mit `skills`) / `/v1/skills`	No	No	Skill-Daten werden gemäß Standardrichtlinie aufbewahrt. Siehe Agent-Skills.
MCP-Connector	`/v1/messages` (mit `mcp_servers`)	No	No	Daten werden gemäß Standardrichtlinie aufbewahrt. Siehe MCP-Connector.

¹ Dynamische Filterung ist nicht für ZDR oder HIPAA berechtigt.

² Obwohl Web-Abruf ZDR-berechtigt ist, können Website-Betreiber Anfragedaten (wie abgerufene URLs und Anfragemetadaten) gemäß ihren eigenen Richtlinien speichern.

³ PHI darf nicht in JSON-Schema-Definitionen enthalten sein. Siehe PHI-Handhabungsrichtlinien.

Einschränkungen und Ausschlüsse

CORS wird für ZDR nicht unterstützt

Cross-Origin Resource Sharing (CORS) wird für Organisationen mit ZDR-Vereinbarungen nicht unterstützt. Wenn Sie API-Aufrufe aus browserbasierten Anwendungen heraus tätigen müssen, müssen Sie:

Einen Backend-Proxy-Server verwenden, um API-Aufrufe im Namen Ihres Front-Ends zu tätigen
Ihre eigene CORS-Behandlung auf dem Proxy-Server implementieren
API-Schlüssel niemals direkt in Browser-JavaScript offenlegen

Datenspeicherung bei Richtlinienverstößen und gesetzlichen Anforderungen

Selbst wenn ZDR- oder HIPAA-Vereinbarungen in Kraft sind, kann Anthropic Daten speichern, wenn dies gesetzlich vorgeschrieben ist oder um Verstöße gegen die Nutzungsrichtlinien und böswillige Nutzung der Anthropic-Plattform zu bekämpfen. Wenn ein Chat oder eine Sitzung wegen eines solchen Verstoßes markiert wird, kann Anthropic Eingaben und Ausgaben für bis zu 2 Jahre speichern.

Häufig gestellte Fragen

API und Datenspeicherung

Erfahren Sie, wie Anthropics APIs und zugehörige Funktionen Daten speichern, einschließlich Informationen zur Zero Data Retention (ZDR) und zum HIPAA-konformen API-Zugang.

Informationen zu Anthropics Standard-Aufbewahrungsrichtlinien finden Sie in Anthropics kommerzieller Datenspeicherungsrichtlinie und der Verbraucherdatenspeicherungsrichtlinie.

Anthropic bietet zwei Datenverarbeitungsvereinbarungen für die Claude API:

Zero Data Retention (ZDR): Kundendaten werden nach der Rückgabe der API-Antwort nicht im Ruhezustand gespeichert, außer wenn dies zur Einhaltung von Gesetzen oder zur Bekämpfung von Missbrauch erforderlich ist.
HIPAA-Bereitschaft: Für Organisationen, die geschützte Gesundheitsinformationen (PHI) verarbeiten, bietet Anthropic einen HIPAA-konformen API-Zugang mit einem unterzeichneten Business Associate Agreement (BAA). Siehe HIPAA-Bereitschaft.

Anthropics Ansatz zur Datenspeicherung

Gespeicherte Daten werden ohne Ihre ausdrückliche Genehmigung niemals für das Modelltraining verwendet.
Es wird nur das technisch Notwendige für den Betrieb der API und der Funktion gespeichert. Gesprächsinhalte (Ihre Prompts und Claudes Ausgaben) werden niemals gespeichert, sofern nicht ausdrücklich angegeben.
Daten werden mit der kürzestmöglichen TTL gelöscht, und Anthropic ist bestrebt, Kunden die Kontrolle darüber zu geben, wie lange Daten gespeichert werden. Was gespeichert wird und die Aufbewahrungsdauer, wenn eine bestimmte TTL gilt, ist auf der Seite jeder Funktion dokumentiert.

Zero Data Retention (ZDR) Umfang

Was ZDR abdeckt

Bestimmte Claude APIs: ZDR gilt für die Claude Messages und Token Counting APIs
Claude Code: ZDR gilt bei Verwendung mit kommerziellen Organisations-API-Schlüsseln oder über Claude Enterprise (siehe Claude Code ZDR-Dokumentation)

Was ZDR NICHT abdeckt

Console und Workbench: Jegliche Nutzung auf Console oder Workbench
Claude-Verbraucherprodukte: Claude Free-, Pro- oder Max-Pläne, einschließlich wenn Kunden dieser Pläne Claudes Web-, Desktop- oder mobile Apps oder Claude Code verwenden
Claude Teams und Claude Enterprise: Claude Teams- und Claude Enterprise-Produktoberflächen sind nicht ZDR-berechtigt, außer für Claude Code bei Verwendung über Claude Enterprise mit aktiviertem ZDR für die Organisation. Für andere Produktoberflächen sind nur kommerzielle Organisations-API-Schlüssel für ZDR berechtigt.
Drittanbieter-Integrationen: Daten, die von Drittanbieter-Websites, -Tools oder anderen Integrationen verarbeitet werden, sind nicht ZDR-berechtigt, obwohl einige möglicherweise ähnliche Angebote haben. Wenn Sie externe Dienste in Verbindung mit der Claude API verwenden, stellen Sie sicher, dass Sie die Datenverarbeitungspraktiken dieser Dienste überprüfen.

Für die aktuellsten Informationen darüber, welche Produkte und Funktionen ZDR-berechtigt sind, lesen Sie Ihre Vertragsbedingungen oder wenden Sie sich an Ihren Anthropic-Kundenbetreuer.

HIPAA-Bereitschaft

Erste Schritte

So richten Sie den HIPAA-konformen API-Zugang ein:

Unterzeichnen Sie ein Business Associate Agreement
Wenden Sie sich an das Anthropic-Vertriebsteam, um ein BAA zu unterzeichnen, das die API-Nutzung abdeckt.
Stellen Sie eine HIPAA-aktivierte Organisation bereit
Anthropic stellt eine dedizierte Organisation mit aktivierten HIPAA-Bereitschaftskontrollen bereit. Diese Organisation erzwingt automatisch Funktionsbeschränkungen und blockiert API-Anfragen, die nicht berechtigte Funktionen verwenden.
Entwickeln Sie mit berechtigten Funktionen
Verwenden Sie die Tabelle zur Funktionsberechtigung, um zu bestätigen, welche Funktionen unterstützt werden. Lesen Sie die PHI-Handhabungsrichtlinien für Funktionen, die spezifische Einschränkungen dazu erfordern, wo PHI erscheinen darf. Detaillierte Konfigurations- und Compliance-Anforderungen finden Sie im HIPAA-Implementierungsleitfaden.

Die HIPAA-Bereitschaft wird auf Organisationsebene durchgesetzt. Wenn Sie sowohl HIPAA-konformen als auch allgemeinen API-Zugang benötigen, verwenden Sie separate Organisationen für jeden.

Umfang der HIPAA-Bereitschaft

Was die HIPAA-Bereitschaft abdeckt

Claude API: Die HIPAA-Bereitschaft gilt für die Claude API (api.anthropic.com) für berechtigte Funktionen, die in der Tabelle zur Funktionsberechtigung aufgeführt sind.

Was die HIPAA-Bereitschaft NICHT abdeckt

Claude-Verbraucherprodukte: Claude Free-, Pro- oder Max-Pläne
Console und Workbench: Nutzung über die Claude Console-Oberfläche
Drittanbieter-Plattformen: Claude auf AWS Bedrock oder Google Cloud Vertex AI (lesen Sie die Compliance-Dokumentation dieser Plattformen)
Drittanbieter-Integrationen: Daten, die von externen Tools oder Diensten verarbeitet werden, die mit Ihrer Anwendung verbunden sind
Claude Code: Claude Code ist nicht unter der HIPAA-Bereitschaft abgedeckt
Beta-Funktionen: Funktionen in der Beta-Phase sind im Allgemeinen nicht unter dem BAA abgedeckt, sofern sie nicht ausdrücklich als berechtigt in der Tabelle zur Funktionsberechtigung aufgeführt sind

PHI-Handhabungsrichtlinien

Geschützte Gesundheitsinformationen (PHI) umfassen alle individuell identifizierbaren Gesundheitsinformationen. Im Kontext der Claude API erscheint PHI typischerweise in:

Nachrichteninhalten (Prompts und Antworten von Claude)
Angehängten Dateien (Bilder, PDFs)
Dateinamen und Metadaten, die mit Nachrichteninhalten verbunden sind

Die folgenden Felder sollen unter dem BAA keine PHI enthalten: Workspace-Namen, Benutzerinformationen (Name, E-Mail, Telefonnummer), Abrechnungsdaten und Support-Tickets.

Schema- und Tool-Definitionsbeschränkungen

Fügen Sie keine PHI in JSON-Schema-Definitionen ein. Diese Einschränkung gilt für:

Schema-Eigenschaftsnamen
enum-Werte
const-Werte
pattern-reguläre Ausdrücke

Patientenspezifische Informationen sollten nur im Nachrichteninhalt erscheinen, wo sie durch HIPAA-Schutzmaßnahmen geschützt sind.

HIPAA-Fehlerbehandlung

{
  "type": "error",
  "error": {
    "type": "invalid_request_error",
    "message": "The requested features are not available for HIPAA-regulated organizations without Zero Data Retention: code_execution."
  }
}

Die Fehlermeldung listet die in der Anfrage erkannten nicht berechtigten Funktionen auf. Entfernen Sie diese Funktionen aus Ihrer Anfrage und versuchen Sie es erneut.

Funktionsberechtigung

Funktion	Endpunkt	ZDR-berechtigt	HIPAA-berechtigt	Details
Messages API	`/v1/messages`	Yes	Yes	Standard-API-Aufrufe zur Generierung von Claude-Antworten.
Token-Zählung	`/v1/messages/count_tokens`	Yes	Yes	Tokens zählen, bevor Anfragen gesendet werden.
Websuche	`/v1/messages` (mit `web_search`-Tool)	Yes¹	Yes¹	Echtzeit-Websuchergebnisse, die in der API-Antwort zurückgegeben werden.
Web-Abruf	`/v1/messages` (mit `web_fetch`-Tool)	Yes¹ ²	No	Abgerufene Webinhalte, die in der API-Antwort zurückgegeben werden.
Memory-Tool	`/v1/messages` (mit `memory`-Tool)	Yes	Yes	Clientseitiger Speicher, bei dem Sie die Datenspeicherung kontrollieren.
Kontextverwaltung (Komprimierung)	`/v1/messages` (mit `context_management`)	Yes	No	Serverseitige Komprimierungsergebnisse werden zustandslos über die API-Antwort zurückgegeben/weitergeleitet.
Kontextbearbeitung	`/v1/messages` (mit `context_management`)	Yes	No	Kontextbearbeitungen (Tool-Use-Löschung + Thinking-Löschung) werden in Echtzeit angewendet.
Schnellmodus	`/v1/messages` (mit `speed: "fast"`)	Yes	Yes	Gleicher Messages API-Endpunkt mit schnellerer Inferenz. ZDR gilt unabhängig von der Geschwindigkeitseinstellung.
1M-Token-Kontextfenster	`/v1/messages`	Yes	Yes	Erweiterte Kontextverarbeitung verwendet die Standard-Messages-API.
Adaptives Denken	`/v1/messages`	Yes	Yes	Dynamische Denktiefe verwendet die Standard-Messages-API.
Zitierungen	`/v1/messages`	Yes	Yes	Quellenangaben verwenden die Standard-Messages-API.
Datenresidenz	`/v1/messages` (mit `inference_geo`)	Yes	Yes	Geografisches Routing verwendet die Standard-Messages-API.
Aufwand	`/v1/messages` (mit `effort`)	Yes	Yes	Token-Effizienzsteuerung verwendet die Standard-Messages-API.
Erweitertes Denken	`/v1/messages` (mit `thinking`)	Yes	Yes	Schrittweises Denken verwendet die Standard-Messages-API.
PDF-Unterstützung	`/v1/messages`	Yes	Yes	PDF-Dokumentenverarbeitung verwendet die Standard-Messages-API. Die HIPAA-Berechtigung gilt für PDFs, die inline über die Messages API gesendet werden, nicht über die Files API.
Suchergebnisse	`/v1/messages` (mit `search_results`-Quelle)	Yes	Yes	RAG-Zitierungsunterstützung verwendet die Standard-Messages-API.
Bash-Tool	`/v1/messages` (mit `bash`-Tool)	Yes	Yes	Clientseitiges Tool, das in Ihrer Umgebung ausgeführt wird.
Text-Editor-Tool	`/v1/messages` (mit `text_editor`-Tool)	Yes	Yes	Clientseitiges Tool, das in Ihrer Umgebung ausgeführt wird.
Computer-Nutzung	`/v1/messages` (mit `computer`-Tool)	Yes	No	Clientseitiges Tool, bei dem Screenshots und Dateien in Ihrer Umgebung erfasst und gespeichert werden, nicht von Anthropic. Siehe Computer-Nutzung.
Feinkörniges Tool-Streaming	`/v1/messages`	Yes	Yes	Streaming-Tool-Parameter verwenden die Standard-Messages-API.
Prompt-Caching	`/v1/messages`	Yes	Yes	Ihre Prompts und Claudes Ausgaben werden nicht gespeichert. KV-Cache-Darstellungen und kryptografische Hashes werden für die Cache-TTL im Speicher gehalten und nach Ablauf umgehend gelöscht. Siehe Prompt-Caching.
Strukturierte Ausgaben	`/v1/messages`	Yes (qualified)	Yes³	Ihre Prompts und Claudes Ausgaben werden nicht gespeichert. Nur das JSON-Schema wird für bis zu 24 Stunden seit der letzten Verwendung zwischengespeichert. Dies gilt auch für striktes Tool-Use (`strict: true` bei Tools), das dieselbe Grammatik-Pipeline verwendet. Siehe Strukturierte Ausgaben.
Tool-Suche	`/v1/messages` (mit `tool_search`-Tool)	Yes (qualified)	No	Nur Tool-Katalogdaten (Namen, Beschreibungen, Argumentmetadaten) werden serverseitig gespeichert. Siehe Tool-Suche.
Stapelverarbeitung	`/v1/messages/batches`	No	No	29-tägige Aufbewahrung; asynchrone Speicherung erforderlich. Siehe Stapelverarbeitung.
Code-Ausführung	`/v1/messages` (mit `code_execution`-Tool)	No	No	Container-Daten werden bis zu 30 Tage aufbewahrt. Siehe Code-Ausführung.
Programmatisches Tool-Calling	`/v1/messages` (mit `code_execution`-Tool)	No	No	Basiert auf Code-Ausführungs-Containern; Daten werden bis zu 30 Tage aufbewahrt. Siehe Programmatisches Tool-Calling.
Files API	`/v1/files`	No	No	Dateien werden bis zur expliziten Löschung aufbewahrt. Siehe Files API.
Agent-Skills	`/v1/messages` (mit `skills`) / `/v1/skills`	No	No	Skill-Daten werden gemäß Standardrichtlinie aufbewahrt. Siehe Agent-Skills.
MCP-Connector	`/v1/messages` (mit `mcp_servers`)	No	No	Daten werden gemäß Standardrichtlinie aufbewahrt. Siehe MCP-Connector.

¹ Dynamische Filterung ist nicht für ZDR oder HIPAA berechtigt.

² Obwohl Web-Abruf ZDR-berechtigt ist, können Website-Betreiber Anfragedaten (wie abgerufene URLs und Anfragemetadaten) gemäß ihren eigenen Richtlinien speichern.

³ PHI darf nicht in JSON-Schema-Definitionen enthalten sein. Siehe PHI-Handhabungsrichtlinien.

Einschränkungen und Ausschlüsse

CORS wird für ZDR nicht unterstützt

Einen Backend-Proxy-Server verwenden, um API-Aufrufe im Namen Ihres Front-Ends zu tätigen
Ihre eigene CORS-Behandlung auf dem Proxy-Server implementieren
API-Schlüssel niemals direkt in Browser-JavaScript offenlegen

API und Datenspeicherung

Anthropics Ansatz zur Datenspeicherung

Zero Data Retention (ZDR) Umfang

HIPAA-Bereitschaft

Erste Schritte

Umfang der HIPAA-Bereitschaft

PHI-Handhabungsrichtlinien

Schema- und Tool-Definitionsbeschränkungen

HIPAA-Fehlerbehandlung

Funktionsberechtigung

Einschränkungen und Ausschlüsse

CORS wird für ZDR nicht unterstützt

Datenspeicherung bei Richtlinienverstößen und gesetzlichen Anforderungen

Häufig gestellte Fragen

Verwandte Ressourcen

API und Datenspeicherung

Anthropics Ansatz zur Datenspeicherung

Zero Data Retention (ZDR) Umfang

HIPAA-Bereitschaft

Erste Schritte

Umfang der HIPAA-Bereitschaft

PHI-Handhabungsrichtlinien

Schema- und Tool-Definitionsbeschränkungen

HIPAA-Fehlerbehandlung

Funktionsberechtigung

Einschränkungen und Ausschlüsse

CORS wird für ZDR nicht unterstützt

Datenspeicherung bei Richtlinienverstößen und gesetzlichen Anforderungen

Häufig gestellte Fragen

Verwandte Ressourcen

Anthropics Ansatz zur Datenspeicherung

Zero Data Retention (ZDR) Umfang

HIPAA-Bereitschaft

Erste Schritte

Umfang der HIPAA-Bereitschaft

PHI-Handhabungsrichtlinien

Schema- und Tool-Definitionsbeschränkungen

HIPAA-Fehlerbehandlung

Funktionsberechtigung

Einschränkungen und Ausschlüsse

CORS wird für ZDR nicht unterstützt

Datenspeicherung bei Richtlinienverstößen und gesetzlichen Anforderungen

Häufig gestellte Fragen

Wie weiß ich, ob meine Organisation ZDR-Vereinbarungen hat?

Kann ich ZDR-berechtigte (qualifizierte) Funktionen unter meiner ZDR-Vereinbarung nutzen?

Was passiert, wenn ich eine mit "Nein" gekennzeichnete Funktion unter ZDR verwende?

Kann ich die Löschung von Daten aus Funktionen beantragen, die nicht ZDR-berechtigt sind?

Wie unterscheidet sich die HIPAA-Bereitschaft von ZDR?

Benötige ich noch ZDR, wenn ich HIPAA-Bereitschaft habe?

Was passiert, wenn ich eine nicht berechtigte Funktion unter HIPAA verwende?

Kann ich dieselbe Organisation für HIPAA- und Nicht-HIPAA-Workloads verwenden?

Wie beantrage ich HIPAA-konformen API-Zugang?

Gilt dies für Claude auf AWS Bedrock oder Vertex AI?

Ist Claude Code für ZDR berechtigt?

Unterstützt Claude for Excel ZDR?

Wie beantrage ich ZDR?

Verwandte Ressourcen

Anthropics Ansatz zur Datenspeicherung

Zero Data Retention (ZDR) Umfang

HIPAA-Bereitschaft

Erste Schritte

Umfang der HIPAA-Bereitschaft

PHI-Handhabungsrichtlinien

Schema- und Tool-Definitionsbeschränkungen

HIPAA-Fehlerbehandlung

Funktionsberechtigung

Einschränkungen und Ausschlüsse

CORS wird für ZDR nicht unterstützt

Datenspeicherung bei Richtlinienverstößen und gesetzlichen Anforderungen

Häufig gestellte Fragen

Wie weiß ich, ob meine Organisation ZDR-Vereinbarungen hat?

Kann ich ZDR-berechtigte (qualifizierte) Funktionen unter meiner ZDR-Vereinbarung nutzen?

Was passiert, wenn ich eine mit "Nein" gekennzeichnete Funktion unter ZDR verwende?

Kann ich die Löschung von Daten aus Funktionen beantragen, die nicht ZDR-berechtigt sind?

Wie unterscheidet sich die HIPAA-Bereitschaft von ZDR?

Benötige ich noch ZDR, wenn ich HIPAA-Bereitschaft habe?

Was passiert, wenn ich eine nicht berechtigte Funktion unter HIPAA verwende?

Kann ich dieselbe Organisation für HIPAA- und Nicht-HIPAA-Workloads verwenden?

Wie beantrage ich HIPAA-konformen API-Zugang?

Gilt dies für Claude auf AWS Bedrock oder Vertex AI?

Ist Claude Code für ZDR berechtigt?

Unterstützt Claude for Excel ZDR?

Wie beantrage ich ZDR?

Verwandte Ressourcen