Was unterscheidet Claude Cowork in Amazon Bedrock von der Standardvariante?

In der Standardvariante läuft die Inference auf Anthropic-Servern, primär in den USA. In der Bedrock-Variante bleibt die Desktop-App identisch, die Inference erfolgt aber ausschliesslich im eigenen AWS-Konto. Prompts, Dateien und Modellantworten verlassen Ihre AWS-Umgebung nicht – Anthropic erhält keine Daten.

Speichert Amazon Bedrock Prompts oder Dateien aus Cowork?

Nein. Amazon Bedrock speichert weder Prompts noch hochgeladene Dateien noch Modellantworten. Die Daten werden ausschliesslich für die Inferenz verwendet und danach verworfen. Audit-Logs entstehen nur dort, wo Sie sie selbst aktivieren – etwa via CloudTrail.

Welche AWS-Region eignet sich für Schweizer Unternehmen?

Für DSG- und DSGVO-Konformität bieten sich zwei Regionen an: Frankfurt (eu-central-1) als etablierte EU-Region oder Zürich (eu-central-2) für vollständig schweizerische Datenresidenz. Cross-Region-Inference-Profile lassen sich auf eine Compliance-Zone beschränken, sodass kein Failover in andere Kontinente möglich ist.

Wie wird Cowork organisationsweit verteilt?

Über die etablierten Mobile-Device-Management-Systeme: Jamf für macOS, Microsoft Intune oder Group Policy für Windows. Die MDM-Konfiguration legt den Inference-Modus, die Modell-ID, die Authentifizierungsmethode und die erlaubten MCP-Server fest. Mitarbeitende erhalten ein vorkonfiguriertes Gerät, ohne sich selbst um Anbindung oder Berechtigungen zu kümmern.

Was kostet Claude Cowork in Bedrock?

Die Abrechnung erfolgt verbrauchsbasiert über Amazon Bedrock – pro verarbeitetem Token, ohne Seat-Lizenzen oder separate Anthropic-Verträge. Für eine kleine Pilotgruppe sind die monatlichen Kosten typischerweise im zweistelligen Frankenbereich pro Person; im organisationsweiten Rollout entscheidet das Nutzungsprofil. Hinzu kommen die üblichen AWS-Grundkosten für VPC, CloudTrail und Logging.

Unterstützt Cowork on 3P auch andere Cloud-Anbieter als AWS?

Ja. Anthropic dokumentiert vier Deployment-Pfade: Amazon Bedrock, Google Vertex AI, Microsoft Foundry sowie eigene Gateway-Lösungen. Die Sicherheits- und Compliance-Architektur ist in allen Fällen identisch – die Wahl richtet sich danach, welche Cloud-Plattform Sie ohnehin produktiv betreiben.

Lässt sich Cowork HIPAA-konform betreiben?

Ja – über das Business Associate Agreement (BAA) Ihres Cloud-Anbieters. Sowohl AWS Bedrock als auch Google Vertex AI bieten HIPAA-konforme Inferenz-Profile. Da Cowork on 3P keine Daten an Anthropic übermittelt, deckt das BAA des Cloud-Anbieters die KI-Komponente vollständig ab.

7. Mai 2026|8 min read|Manuel Hedinger

Claude Cowork in Amazon Bedrock: Datenschutz im AWS-Konto

Claude Cowork in Bedrock läuft im eigenen AWS-Konto, ohne Datenfluss zu Anthropic. Was die Integration für Datenschutz und Compliance bedeutet.

KIDatenschutzClaude CodeBeratung

Claude Cowork ist seit Januar 2026 verfügbar – ein lokaler KI-Agent, der Dateien liest, Berichte erstellt und Routinearbeit übernimmt. Für viele Unternehmen mit erhöhten Datenschutzanforderungen war die Standardvariante bislang allerdings heikel: Die Inferenz lief auf Anthropic-Servern, mit US-Datenflüssen und ohne nachvollziehbare Audit-Trails.

Mit Claude Cowork in Bedrock ändert sich genau dieser Punkt. Die Cowork-Desktop-App bleibt identisch, doch die Inferenz erfolgt jetzt ausschliesslich im eigenen AWS-Konto – mit den Compliance-Bausteinen, die AWS für regulierte Workloads ohnehin bereitstellt.

Praktisch heisst das: Wo "KI-Agent ja, aber bitte nicht mit unseren Daten in die USA" bisher eine Sackgasse war, gibt es jetzt einen klar dokumentierten Weg. Daten bleiben dort, wo Ihre Organisation ohnehin arbeitet – mit den Berechtigungen, Audit-Logs und Verträgen, die schon vorhanden sind. Der folgende Text geht ins Detail; was das für die Auswahl in Ihrem Fall bedeutet, fasst der Abschnitt "Wann sich der Aufwand lohnt" zusammen.

Was Claude Cowork überhaupt ist

Cowork ist Anthropics Antwort auf die Frage, wie ein KI-Agent abseits von Coding-Aufgaben in einer abgesicherten lokalen Umgebung arbeiten kann. Anthropic beschreibt Cowork als "Claude Code für den Rest Ihrer Arbeit" – dieselbe Architektur (sandbox-basiert, dateibezogen, mit MCP-Anbindung an Tools wie Notion, Asana oder interne APIs), aber für Wissensarbeit statt Softwareentwicklung.

In der Praxis übernimmt Cowork Aufgaben wie:

Kundennotizen zu strukturierten Product Briefs verdichten
Rohdaten in formatierte Berichte umwandeln
Prozessdokumentation aus Screenshots und Notizen erstellen
Recherche über mehrere Dokumente und Quellen synthetisieren
via MCP-Server auf bestehende Geschäftssysteme zugreifen

Wer einen detaillierten Überblick zu Claude und seinen Einsatzformen sucht: Was ist Claude AI? Der KI-Assistent von Anthropic erklärt.

Das Datenschutz-Problem der Standardvariante

Die ursprüngliche Cowork-Variante – verfügbar über die Claude Desktop-App im Max-Plan – schickt Prompts und Inhalte an Anthropic. Das führt zu drei wiederkehrenden Reibungspunkten in Compliance-Reviews:

Datenfluss in die USA. Anthropic-Inferenz läuft primär auf US-Infrastruktur. Für die Übermittlung von Personendaten verlangen das revidierte Schweizer Datenschutzgesetz (revDSG) und die DSGVO eine angemessene Schutzgarantie. Im Standard-Setup ist diese nicht trivial nachzuweisen, insbesondere wenn keine separaten Verträge mit Anthropic geschlossen werden.

Fehlende zentrale Audit-Trails. Wer hat wann mit Cowork welche Datei verarbeitet? In der Standardversion entsteht kein Logging, das sich in bestehende Sicherheits- und Audit-Plattformen (SIEM-Systeme) einspielen liesse. Für gängige Sicherheits-Audits wie ISO 27001 oder SOC 2 ist das ein Showstopper.

Schatten-IT auf dem Endgerät. Ein Mitarbeiter installiert Cowork, gibt einen Ordner frei – und plötzlich verarbeitet ein US-Cloud-Dienst Vertragsentwürfe oder HR-Dokumente, ohne dass die IT-Abteilung davon weiss oder Zugriff auf die Konfiguration hat.

Für regulierte Branchen und Unternehmen mit etabliertem Compliance-Regime war Cowork damit bislang kaum produktiv einsetzbar.

Claude Cowork in Bedrock: Inferenz im eigenen AWS-Konto

Anthropic nennt das zugrunde liegende Deployment-Modell Cowork on 3P (Third-Party). Neben Amazon Bedrock unterstützt es Google Vertex AI, Microsoft Foundry sowie eigene Gateway-Lösungen – die Architekturprinzipien sind in allen Fällen identisch. Der vorliegende Artikel betrachtet primär die Bedrock-Variante, weil sie für viele Schweizer und EU-Unternehmen die naheliegende Option ist; die Compliance-Aussagen gelten aber analog für Vertex AI und Foundry.

Die neue Integration kehrt die Architektur um. Die Desktop-App bleibt von Anthropic – Projekte, Artefakte, Datei-Sandbox, MCP-Anbindung, UI. Die eigentliche Inferenz von Claude Cowork in Bedrock läuft aber, wie AWS es beschreibt, "ausschliesslich über Amazon Bedrock in Ihrem AWS-Konto".

Konkret bedeutet das:

Keine Datenspeicherung bei Anthropic. Prompts, Dateien und Modellantworten verlassen das eigene AWS-Konto nicht.
Auch AWS speichert nichts. Bedrock führt die Inferenz aus, behält aber weder Eingaben noch Ausgaben für Trainingszwecke oder Logs.
Region-Lock möglich. Inference-Profile lassen sich auf einzelne Regionen einschränken – für europäische Compliance typischerweise Frankfurt (eu-central-1) oder Zürich (eu-central-2).
Audit-Trails standardmässig. Jeder Aufruf landet im AWS-Aktivitätsprotokoll (CloudTrail); zusätzlich lassen sich Telemetrie-Daten an die eigenen Monitoring-Werkzeuge (CloudWatch, OpenTelemetry-Collector) streamen.
Authentifizierung über die bestehende AWS-Benutzerverwaltung (IAM) statt über persönliche Anthropic-Accounts.

Die Abrechnung erfolgt verbrauchsbasiert über Bedrock – pro verarbeitetem Token, ohne Seat-Lizenzen oder separate Anthropic-Verträge.

Rollout via Mobile Device Management

Ein praktischer Punkt, der in vielen Unternehmensumgebungen den Unterschied macht: Cowork lässt sich über die etablierten Geräte-Management-Systeme (Mobile Device Management, MDM) verteilen und konfigurieren. Auf macOS-Geräten via Jamf, auf Windows-Geräten via Microsoft Intune oder Group Policy – also genau die Werkzeuge, mit denen die IT bereits Office, Browser oder VPN-Clients ausrollt.

Die MDM-Konfiguration definiert:

den Inference-Modus (Bedrock statt Anthropic-direkt)
die Modell-ID (z.B. anthropic.claude-sonnet-4-6 in der gewählten Region)
die Authentifizierungsmethode (IAM-Rolle oder API-Key)
erlaubte oder gesperrte MCP-Server für die Tool-Anbindung

Damit wird Cowork zu einer regulär verteilbaren Geschäftsanwendung. Die IT konfiguriert sie zentral, Mitarbeitende erhalten ein vorbereitetes Gerät, und die persönliche Anmeldung über einen externen Anbieter entfällt.

Compliance-Bausteine im Überblick

Die Bedrock-Variante stellt damit dieselben Sicherheits- und Compliance-Funktionen bereit, die für andere AWS-Workloads bereits selbstverständlich sind:

Funktion	Was sie leistet
VPC-Endpoints	Cowork-Inferenz läuft im internen Cloud-Netzwerk, nicht über das öffentliche Internet
CloudTrail (AWS-Aktivitätsprotokoll)	Vollständiges Audit-Log jeder API-Anfrage, integrierbar in bestehende Sicherheits-Plattformen
OpenTelemetry / CloudWatch	Telemetrie-Streams für Performance- und Sicherheitsmonitoring
IAM-Policies (Berechtigungs-Regeln)	Granulare Zugriffsrechte – pro Mitarbeiter, pro Modell, pro Region
Cross-Region-Inference-Profile	Lastverteilung innerhalb einer Compliance-Zone (z.B. nur EU)
AWS PrivateLink	Optionale private Konnektivität ohne öffentliche Endpoints
Sandboxed Tool Execution	Agent-Werkzeuge (Web-Zugriff, Shell, MCP-Aufrufe) laufen in einer gehärteten virtuellen Maschine, isoliert vom Host-Gerät
HIPAA-Konformität	Über das Business Associate Agreement (BAA) des Cloud-Anbieters auch für Patientendaten geeignet

Für Unternehmen, die bereits ein AWS-Konto produktiv nutzen, ist die Hürde überschaubar: Cowork wird zu einem weiteren Bedrock-Workload neben den bestehenden Cloud-Anwendungen. Die Benutzerverwaltung, das Logging und das Netzwerkdesign sind bereits da.

Sicherheitsprofile und Telemetrie-Kontrolle

Cowork on 3P liefert drei vorkonfigurierte Sicherheitsprofile, die sich per MDM ausrollen lassen:

Standard — Telemetrie aktiv, Anwender können eigene MCP-Connectors hinzufügen
Restricted — Web-Egress eingeschränkt, externe MCP-Server gesperrt, Standard-Support bleibt erhalten
Locked down — keine Anthropic-Telemetrie, Updates ausschliesslich manuell durch IT, ausgehender Verkehr nur zum Inference-Endpoint

Die Telemetrie ist in vier Kategorien aufgeteilt, die sich einzeln deaktivieren lassen. Die rechte Spalte zeigt den jeweiligen Konfigurations-Schlüssel im MDM-Profil – für die IT relevant, alle anderen lesen einfach Inhalt und Standard:

Kategorie	Inhalt	Konfigurations-Schlüssel
Essential	Absturzberichte, Performance-Daten – ohne Prompts oder Antworten	`disableEssentialTelemetry`
Non-Essential	Nutzungsanalytics, Feature-Adoption, UI-Interaktionen	`disableNonessentialTelemetry`
Non-Essential Services	Favicons, Vorschauen für Artefakte	`disableNonessentialServices`
Auto-Updates	Update-Feed und Installer-Bundles	`disableAutoUpdates`

Wer alle vier Kategorien deaktiviert und Inferenz über Bedrock (oder Vertex AI) bezieht, erreicht laut Anthropic-Dokumentation den Zustand: keine ausgehenden Verbindungen zu Anthropic-Servern zur Laufzeit. Die App kommuniziert dann ausschliesslich mit dem eigenen Cloud-Anbieter und dem Update-Server, der ebenfalls über die Firewall freigegeben werden kann.

Zur Abwägung: Wer auch die Essential-Telemetrie deaktiviert, verliert den Anthropic-Support bei flottenweiten Problemen – Abstürze und Performance-Probleme müssen dann selbst diagnostiziert werden. Für regulierte Umgebungen ist das oft akzeptabel, sollte aber bewusst entschieden sein.

Für vollständige Nachvollziehbarkeit empfiehlt Anthropic, die Aktivität über OpenTelemetry an einen eigenen Sammler (etwa Datadog, Splunk oder AWS CloudWatch) zu streamen. Damit landen Prompts, Tool-Aufrufe und Fehler in der bestehenden Audit-Infrastruktur – die offiziell empfohlene Methode für unternehmensseitige Nachweise.

Wann sich der Aufwand lohnt

Nicht jede Organisation braucht Claude Cowork in Bedrock. Für ein kleines Team mit unkritischen Daten ist die Standardvariante über den Max-Plan oft ausreichend. Sinnvoll wird die Bedrock-Variante erst dort, wo mindestens einer der folgenden Punkte zutrifft:

Regulierte Branche – Finanzdienstleistungen, Gesundheitswesen, Pharma, öffentliche Verwaltung
HIPAA-Verarbeitung – Patientendaten, abgesichert durch das BAA des Cloud-Anbieters
Personendaten in der täglichen Arbeit – Cowork verarbeitet HR-Akten, Vertragsentwürfe oder Kundeninformationen
Bestehende ISO-27001-, SOC-2- oder ähnliche Audits, die für jeden externen Datenfluss eine dokumentierte Schutzgarantie verlangen
DSGVO- oder revDSG-Konformität bei Auslandsübermittlung, die im Standard-Setup zusätzliche Vertrags- und Dokumentationsaufwände verursacht
Bestehende AWS-, Vertex- oder Foundry-Infrastruktur, die ohnehin den Hauptteil der Datenverarbeitung übernimmt
Organisationsweiter Rollout mit zentraler IT-Steuerung und MDM-Verteilung

In allen anderen Fällen ist die Pro- oder Max-Variante meist der pragmatischere Weg – mit dem Hinweis, dass die Datenschutzfrage trotzdem geklärt sein muss. Eine Vertiefung dazu: Datenschutz bei KI-Tools: Was KMU 2026 beachten müssen.

Was die Integration nicht ändert

Drei Punkte, die auch in der Bedrock-Variante in der Verantwortung des Anwenders bleiben:

Inhaltliche Datenschutz-Pflichten. Auch wenn die Daten im eigenen AWS-Konto bleiben, müssen Bearbeitungsverzeichnisse, Datenschutzhinweise und gegebenenfalls Datenschutz-Folgenabschätzungen weiterhin geführt werden. Bedrock ist ein technischer Baustein, kein juristischer Freibrief.

Modellverhalten. Halluzinationen, Verzerrungen, Kontextgrenzen – das alles bleibt unverändert. Cowork in Bedrock ist nicht "korrekter", sondern lediglich datenschutztechnisch besser eingebettet.

Schulung der Anwender. Wer welche Daten in Cowork einspeisen darf, welche Prompt-Hygiene gilt, wie Ergebnisse verifiziert werden – diese Fragen löst kein Cloud-Anbieter, sondern eine klare interne Richtlinie.

Fazit

Mit der Bedrock-Integration erreicht Claude Cowork den Reifegrad, der für den breiten Einsatz in regulierten Unternehmensumgebungen nötig ist. Die Architektur löst genau die drei Themen, an denen die Standardvariante in Compliance-Reviews scheiterte: Datenresidenz, Audit-Trails und zentrale Steuerung.

Was bleibt, ist die organisatorische Arbeit: AWS-Setup, IAM-Modell, MCP-Strategie, Schulung. Genau an diesem Punkt entscheidet sich, ob ein KI-Agent vom Demo-Werkzeug zur produktiven Geschäftsanwendung wird – mit klaren Verantwortlichkeiten, dokumentiertem Datenfluss und einem Betriebsmodell, das auch ein Audit übersteht.

Weiterführend: Was ist Claude AI? | Datenschutz bei KI-Tools: Was KMU 2026 beachten müssen

Stehen Sie vor der Frage, wie Claude oder ein anderer KI-Agent in Ihre bestehende Infrastruktur passt – datenschutzkonform, dokumentiert und produktiv? Hedinger-Digital begleitet Sie von der Architekturentscheidung bis zum Rollout. Jetzt Beratung anfragen.