Amazon Bedrock für deutsche Unternehmen: DSGVO, Modelle und Claude Cowork managed private
Amazon Bedrock ist der vollständig verwaltete AWS-Service für generative KI. Über eine einheitliche API werden mehrere Foundation Models von Anthropic, Meta, Mistral, Cohere, Stability AI und Amazon (Nova, Titan) bereitgestellt. Es gibt keine Server, keine GPU-Verwaltung und keine eigene Infrastruktur. Die Abrechnung läuft pro verarbeitetem Token, der Datenfluss bleibt im AWS-Konto des Kunden und Anthropic, Meta oder die anderen Modellanbieter sehen weder Prompts noch Antworten.
Bedrock ist seit September 2023 allgemein verfügbar und hat sich seither zur Standardplattform für KI für Unternehmen im AWS-Universum entwickelt. Die wichtigsten Bausteine sind Knowledge Bases für Retrieval Augmented Generation, Guardrails für inhaltliche Filter, Agents für mehrstufige Aufgaben sowie Customization-Optionen über Fine-Tuning oder Continued Pretraining. Für deutsche Unternehmen ist die Region eu-central-1 in Frankfurt relevant, weil sie die DSGVO-konforme Verarbeitung erlaubt.
In diesem Beitrag schauen wir uns an, welche Modelle auf Bedrock verfügbar sind, wie sich Bedrock von der direkten Claude API unterscheidet, was die Plattform für KI-Datenschutz im deutschen Mittelstand wirklich liefert und wie ein konkretes Deployment aussieht: Claude Cowork als managed private Variante im eigenen AWS-Konto.
Bedrock ist absichtlich Multi-Modell. Statt sich an einen Anbieter zu binden, können Unternehmen pro Anwendungsfall das passende Foundation Model wählen. Die folgende Übersicht zeigt die wichtigsten Familien und ihre typischen Stärken im Stand 2026.
| Modellfamilie | Anbieter | Typische Stärken |
|---|---|---|
| Claude Sonnet, Opus, Haiku | Anthropic | Lange Kontextfenster, präzise Dokumentanalyse, Tool-Use, starkes Coding |
| Llama 4 | Meta | Open-Weights-Variante, gut für Fine-Tuning, kostengünstig |
| Mistral Large 2 | Mistral | Europäischer Anbieter, mehrsprachig stark, gute Reasoning-Leistung |
| Command R+ | Cohere | Fokus auf RAG-Workflows und Enterprise-Suche |
| Nova, Titan | Amazon | Eigene AWS-Modelle, sehr günstig, Embeddings und einfache Tasks |
| Stable Diffusion 3 | Stability AI | Bildgenerierung, kommerziell nutzbar |
Wichtig für deutsche Unternehmen: Nicht jedes Modell ist sofort in eu-central-1 (Frankfurt) verfügbar. Anthropic Claude wurde dort 2024 freigeschaltet, neuere Modellversionen kommen meistens zuerst in us-east-1. Wer EU-Datenresidenz braucht, prüft vor dem Projektstart, welche Modell-IDs in Frankfurt schon laufen, und nutzt für Hochverfügbarkeit ein Cross-Region Inference Profile innerhalb der EU.
Wer Anthropic-Modelle nutzen will, hat zwei Wege: die Claude API direkt bei Anthropic oder denselben Modell-Endpunkt über Amazon Bedrock. Funktional ist das Modell identisch, aber Preise, Vertragsverhältnis und EU-Verfügbarkeit unterscheiden sich.
| Kriterium | Claude API direkt | Amazon Bedrock |
|---|---|---|
| Vertragspartner | Anthropic (USA) | AWS (Auftragsverarbeitung) |
| Datenresidenz | USA | Frankfurt eu-central-1 wählbar |
| Neue Modelle | Tag 0 | Wenige Tage bis Wochen Verzögerung |
| Abrechnung | Eigene Anthropic-Rechnung | Über bestehende AWS-Rechnung |
| IAM und SSO | Eigene API-Keys | AWS IAM, Entra ID via SSO |
| Preis pro 1M Token | Anthropic-Listenpreis | Identisch oder leicht höher, dafür Marketplace-Rabatt möglich |
Faustregel: Wer ein einzelnes Produktteam hat, das die neuesten Modelle sofort braucht und keine besondere DSGVO-Anforderung kennt, fährt mit der Claude API direkt am schnellsten. Wer dagegen ein Mittelstandsunternehmen mit AWS-Bestand, Compliance- Pflicht und einer zentralen IT betreibt, nimmt Bedrock und gewinnt dabei EU-Hosting, einheitliches Vertragswerk und SSO ohne Mehraufwand.
Claude Cowork ist die Desktop-Variante von Anthropic für Wissensarbeit. Anders als Claude Code, das sich an Entwickler richtet, zielt Cowork auf Fachabteilungen: Controlling, Legal, Einkauf, HR, Marketing. Die App läuft lokal auf dem Rechner, liest Dateien, führt mehrstufige Recherchen aus und liefert fertige Ergebnisse zurück. Verbunden wird sie über MCP-Server mit Dokumenten, internen Systemen und Webquellen.
Die Standardvariante nutzt die SaaS-Infrastruktur von Anthropic. Für Unternehmen, bei denen Daten auf keinen Fall an Anthropic gehen dürfen, gibt es seit kurzem eine zweite Option: Cowork wird über Amazon Bedrock betrieben. Das Deployment heißt in der AWS-Welt managed private, weil die Inferenz zwar in einem von AWS verwalteten Service läuft, die Daten aber im eigenen AWS-Konto bleiben. Für uns ist das spannend, weil damit eine dritte Option neben reiner SaaS und vollständigem On-Premises entsteht, die für die meisten deutschen Mittelständler realistisch ist.
Bevor wir tiefer in das Bedrock-Setup einsteigen, lohnt ein Blick auf die drei realistischen Deployment-Optionen für Anthropic Claude im Mittelstand.
Claude.ai oder Claude Cowork in der Standardvariante. Daten gehen an Anthropic in den USA, Enterprise-Zusagen schließen die Trainingsnutzung aus. Vorteil: schnellster Start, neueste Modelle sofort verfügbar. Nachteil: US-Verarbeitung, eigener Vertrag mit Anthropic, kein Self-Service-IAM.
Anthropic-Modelle laufen in der eigenen AWS-Umgebung. AWS ist Auftragsverarbeiter, Frankfurt ist als Region wählbar, IAM und SSO greifen wie bei jedem AWS-Service. Sweet Spot für KI-Datenschutz und Governance im Mittelstand.
Nicht Claude, aber häufig diskutiert: Llama, Mistral oder Mixtral auf eigener GPU-Infrastruktur. Maximale Kontrolle, aber hohe Investition in GPUs, MLOps-Team und Modellqualität, die im Schnitt unter Claude Sonnet liegt. Nur sinnvoll bei sehr hohen Datenschutz-Anforderungen oder spezialisierten Anwendungen.
Für 90 Prozent der mittelständischen Anfragen, die wir sehen, ist Option 2 die beste. Option 1 lohnt sich für kleine Pilotteams und Power-User, Option 3 für regulierte Spezialfälle. Wer den breiteren Kontext sucht, findet im Beitrag zu KI im deutschen Mittelstand die Use-Case-Perspektive.
Die SaaS-Variante von Claude Cowork ist schnell eingerichtet, läuft stabil und deckt die meisten Anwendungsfälle ab. Der Haken liegt in der Datenflussbetrachtung: Jedes Dokument, das ein Mitarbeiter mit Cowork verarbeitet, verlässt die eigene Infrastruktur. Anthropic hat zwar Enterprise-Zusagen, dass Inhalte nicht für das Modelltraining genutzt werden, aber die Daten laufen trotzdem durch eine Umgebung, auf die das Unternehmen selbst keinen Zugriff hat. Für viele Fachabteilungen ist das egal. Für Legal, Finanzen und alles rund um Kundendaten ist es ein Showstopper.
Managed private löst genau diesen Knoten. Der Claude-Desktop-Client spricht nicht mehr mit Anthropic direkt, sondern mit einem Bedrock-Endpoint im eigenen AWS-Konto. Amazon garantiert, dass Prompts, Dateien, Tool-Aufrufe und Antworten weder gespeichert noch für das Training von Foundation-Modellen verwendet werden. Aus Compliance-Sicht wird aus dem Drittanbieter-Verhältnis mit Anthropic ein Auftragsverarbeitungs-Verhältnis mit AWS, das die meisten deutschen Unternehmen ohnehin schon abgeschlossen haben.
Wenn keiner dieser Punkte zutrifft, ist die SaaS-Variante unkomplizierter und meistens auch günstiger. Managed private verursacht Setup-Aufwand in der eigenen Cloud und sollte nicht aus Prinzipientreue gewählt werden, sondern aus einem konkreten Compliance- oder Kostenmotiv heraus.
Technisch ist das Setup überschaubar. Die Nutzer installieren die normale Claude-Desktop-App. Ein Device-Management-System, zum Beispiel Jamf, Intune oder eine Group Policy, legt eine Konfigurationsdatei ab. Diese Datei schaltet den Client in den Bedrock-Modus und sagt ihm, auf welchen Endpoint er zugreifen soll. Ab dann laufen alle Anfragen über das eigene AWS-Konto.
Der Hauptgrund für managed private ist für die meisten deutschen Unternehmen der KI-Datenschutz. Hier lohnt es sich, genau hinzuschauen, wer mit wem welchen Vertrag hat. Bei der SaaS-Variante ist Anthropic Auftragsverarbeiter. Anthropic sitzt in den USA, der Datenfluss durchquert den Atlantik und die Prüfung läuft über die EU-US-Datenschutzrahmen-Mechanik, die nach Schrems II rechtlich möglich, aber auslegungsbedürftig ist. Aufsichtsbehörden schauen genau hin, gerade in regulierten Branchen.
Bei Bedrock verschiebt sich die Verantwortlichkeit: AWS wird zum Auftragsverarbeiter und die Daten bleiben in der gewählten EU-Region. Anthropic bekommt nur anonyme Telemetrie (Tokenzahl, Modell-ID, Fehlercodes, eine anonyme Geräte-ID), die sich in der Konfiguration abschalten lässt. Für die DSFA heißt das: Drittland-Transfer fällt weg, der Standard-Kompass der AWS-Nutzung greift.
Trotzdem bleibt eine Aufgabe: PII-Filter. Nur weil die Daten im eigenen Konto verarbeitet werden, heißt das nicht, dass jeder Mitarbeiter alles an Cowork weiterreichen darf. Empfehlenswert sind klare Regeln über die Bedrock Guardrails, die bestimmte Eingaben vorab blockieren, plus ein Schulungsmodul, das zeigt, welche Dokumente überhaupt in einen KI-Workflow gehören.
Ein sauberer Rollout läuft in drei Wellen. In Welle eins wird die Bedrock-Integration in einem dedizierten Subaccount aufgesetzt, inklusive IAM-Rollen, VPC-Endpoint, CloudTrail-Trail und einem Budget-Alarm. In dieser Phase sollte klar geregelt sein, wer auf Logs zugreifen darf und wer die Konten-Obergrenzen setzt.
In Welle zwei bekommen fünf bis zehn Pilotnutzer aus einer Fachabteilung den Client. Meistens lohnt es sich, hier nicht die IT zu nehmen, sondern Controlling oder Legal, weil die schneller echte Use Cases produzieren und der Business-Value sichtbar wird. Vier Wochen Pilot reichen, um den größten Teil der Governance- und Schulungsfragen zu klären.
In Welle drei folgt der unternehmensweite Rollout mit klarer Rollentrennung: Power-User bekommen MCP-Konnektoren auf interne Systeme, normale Nutzer arbeiten zunächst nur mit lokalen Dateien und Web. So verteilt sich das Betriebsrisiko und die ersten schlecht definierten Konnektoren sind nicht sofort auf tausend Rechnern ausgerollt.
Der grösste Vorteil von managed private liegt nicht im Datenschutz allein, sondern in der Integration in bereits bestehende Governance-Strukturen. Drei Bausteine sind dabei zentral.
Statt separate Cowork-Lizenzen zu verwalten, werden die Berechtigungen über AWS IAM und das zentrale Identity-Management geregelt. Wer das Unternehmen verlässt, verliert automatisch den Zugriff. Rollen lassen sich nach Fachabteilung schneiden, zum Beispiel cowork-legal mit Zugriff auf einen bestimmten Dokumentenspeicher und cowork-controlling mit Zugriff auf Finanzdaten. Das SSO läuft typischerweise über Entra ID oder Azure AD via SAML auf einen IAM-Identity-Center-Tenant.
Bedrock rechnet nach Token-Verbrauch ab, was zunächst unvorhersehbar wirkt. AWS Budgets und Cost-Allocation-Tags machen die Kosten aber nach Team und Use Case aufschlüsselbar. Als Planzahl für einen Mittelständler mit 50 Power-Nutzern sollten 60.000 bis 120.000 Euro pro Jahr an reinem API-Verbrauch einkalkuliert werden, abhängig vom Nutzungsintensität. Das liegt in der gleichen Größenordnung wie die klassischen SaaS-Seats, verteilt sich aber nach tatsächlicher Nutzung und nicht pauschal pro Mitarbeiter.
CloudTrail zeichnet jeden API-Call auf: Wer hat wann welches Modell mit welchem Request aufgerufen. Die Prompts selbst werden nicht in CloudTrail protokolliert, lassen sich aber bei Bedarf über eigene Logging-Wrapper erfassen. Für eine saubere Nachvollziehbarkeit reicht die Standard-Konfiguration meistens aus, sie bildet den Grundstein für jedes Audit-Review.
Der eigentliche Wert von Cowork entsteht, wenn der Client nicht nur auf lokalen Dateien arbeitet, sondern auf den produktiven Datenquellen des Unternehmens. Das geht über MCP-Server, kleine Adapter, die ein internes System (SharePoint, Confluence, ein CRM, ein Data Warehouse) für Claude zugänglich machen.
Im managed-private-Setup läuft der MCP-Server idealerweise innerhalb der gleichen AWS-Umgebung wie der Bedrock-Endpoint. Damit bleibt der komplette Datenfluss im eigenen Konto. Eine typische Architektur: Der MCP-Server läuft als Container auf Fargate, spricht über einen Private Link mit dem SharePoint-Tenant und wird vom Cowork-Client über eine STS-Assume-Role-Kette angesprochen.
Wichtig dabei: MCP-Konnektoren sind keine ewige Wahrheit. Jeder Konnektor ist ein kleiner Service, der gepflegt, gepatcht und überwacht werden muss. Genau wie bei n8n-Workflows, die externe Systeme anbinden, gilt auch hier die alte Regel: Weniger ist meistens mehr. Lieber zwei gut gepflegte Konnektoren pro Team als zehn halbfertige, die die ersten Abfragen scheitern lassen.
Managed private auf Amazon Bedrock ist nicht dasselbe wie ein vollständig selbstgehostetes LLM. Drei Aspekte sollten vor der Entscheidung klar sein:
Wer ein Team unter zehn Personen hat und KI für Unternehmen erst einmal ausprobieren will, sollte keine managed-private-Architektur bauen. In dem Fall ist die SaaS-Variante schneller und billiger. Bedrock zahlt sich erst aus, wenn Compliance, Governance und ein echter Rollout zur Aufgabe werden.
Amazon Bedrock liefert für deutsche Unternehmen genau das, was die direkte Claude API nicht kann: EU-Datenresidenz, einen bekannten AVV, IAM-Integration und eine Abrechnung, die im bestehenden AWS-Vertrag landet. Wer KI für Unternehmen baut, ohne den DSGVO-Hebel zu vernachlässigen, findet hier den pragmatischen Mittelweg zwischen reiner SaaS und vollständigem On-Premises.
Claude Cowork managed private ist die konkrete Umsetzung dieses Mittelwegs für Wissensarbeit. Die Vorteile: Daten bleiben im eigenen Konto, die Abrechnung läuft über bestehende AWS-Verträge, IAM integriert Cowork in die vorhandene Governance. Die Nachteile: Setup-Aufwand, AWS-Abhängigkeit und eine gewisse Verzögerung bei neuen Claude-Modellen.
Unsere Faustregel: Wer ohnehin AWS nutzt und Legal, Einkauf oder Controlling produktiv mit KI ausstatten möchte, sollte managed private vor SaaS evaluieren. Wer nur ein paar Enthusiasten im Team hat, die mit KI experimentieren wollen, ist mit der SaaS-Variante schneller produktiv. Wer einen vollständig lokalen Betrieb braucht, landet am Ende bei selbstgehosteten Modellen, was ein anderes Projekt ist.
Ihr überlegt, Cowork in eure AWS-Landing-Zone zu integrieren oder wollt die Architektur mit jemandem durchgehen, der die Bedrock-Profile und MCP-Adapter schon aufgesetzt hat? Sprecht uns an, wir machen mit euch einen Architektur-Workshop und eine erste Kostenabschätzung.