Auf einen Blick: Anthropic hat im Mai 2026 zwei Enterprise-Features für Claude Managed Agents veröffentlicht: Self-Hosted Sandboxes (Public Beta) und MCP Tunnels (Research Preview). Damit bleiben Tool-Daten innerhalb der Unternehmens-Grenzen und private MCP-Server bleiben unerreichbar fürs Internet. Für KMU mit Datenschutz-Bedenken oder Compliance-Pflichten ist das der entscheidende Sprung von "Cloud-Setup" zu "echter Enterprise-Architektur".
Wer in den letzten zwölf Monaten KI-Pilotprojekte im Mittelstand begleitet hat, kennt einen Satz auswendig: "Wir würden ja gerne, aber unsere Daten dürfen den Server nicht verlassen." Bisher war das ein hartes K.-o. für die meisten Agent-Architekturen. Mit den im Mai 2026 vorgestellten Self-Hosted Sandboxes und MCP Tunnels hat Anthropic genau diesen Punkt adressiert. Das Ergebnis: Agent-Workflows lassen sich aufbauen, ohne sensible Daten dauerhaft an die USA zu übergeben.
Die Features sind technisch anspruchsvoll und richten sich an Unternehmen mit klaren Datenschutz-Anforderungen. Wer einen FAQ-Bot für die eigene Website bauen will, braucht das nicht. Wer einen Agenten plant, der auf Personalakten, Kundendaten oder interne Knowledge-Bases zugreift, muss das verstehen.
Was Self-Hosted Sandboxes machen
Klassische Agent-Architektur bei Anthropic: Du baust einen Managed Agent, definierst Tools (z.B. Datenbank-Zugriff, API-Calls, File-Search), und der Agent führt diese Tools in einer von Anthropic verwalteten Sandbox aus. Der Agent ruft das Tool auf, die Sandbox führt es aus, das Ergebnis fließt zurück zum Agenten. Dabei wandern Tool-Inputs und Tool-Outputs durch Anthropic-Server.
Self-Hosted Sandboxes drehen diese Logik um. Die Sandbox läuft jetzt in deiner Infrastruktur oder bei einem Managed-Provider deiner Wahl. Verfügbar sind Cloudflare, Daytona, Modal und Vercel. Der Agent bei Anthropic schickt nur noch Anweisungen ("rufe Tool X mit Parameter Y auf"), die Ausführung passiert in deiner Umgebung. Die eigentlichen Daten (Datenbank-Inhalte, API-Responses, Datei-Inhalte) verlassen deine Umgebung nicht.
Das ist ein architektonisch sauberer Schnitt. Die LLM-Inferenz bleibt bei Anthropic, weil das Modell ohnehin dort lebt. Aber alles, was an Tool-Daten anfällt, bleibt in deiner Sandbox. Bei Compliance-Audits ist das ein wichtiger Unterschied: Du kannst zeigen, dass sensible Geschäftsdaten dein System nicht verlassen, nur die LLM-Prompts und -Antworten.
Die Sandbox-Provider-Wahl ist flexibel. Cloudflare bietet globale Verteilung und niedrige Latenz, Daytona ist auf Entwickler-Workflows spezialisiert, Modal eignet sich für rechenintensive Workloads, Vercel passt zu Web-Stack-affinen Teams. Wer maximale Kontrolle will, hostet die Sandbox in einer eigenen Kubernetes-Umgebung. Anthropic stellt das Sandbox-Runtime-Image und einen Setup-Guide bereit.
Was MCP Tunnels machen
Das Model Context Protocol (MCP) ist Anthropics offener Standard, mit dem Modelle auf externe Tools und Datenquellen zugreifen. Bisher hatte MCP eine architektonische Schwäche: Wer einen MCP-Server in seinem privaten Netz betreiben wollte (etwa für interne Datenbanken oder geschützte APIs), musste diesen Server irgendwie ans Internet bringen, damit der Anthropic-Agent ihn erreichen kann. Das hieß: Public-IP, Reverse-Proxy, Firewall-Loch, TLS-Zertifikat. Für sicherheitsbewusste IT-Abteilungen ein Albtraum.
MCP Tunnels lösen das anders. Ein leichtgewichtiges Gateway im Kunden-Netz baut eine ausgehende Verbindung zu Anthropic auf. Über diese Verbindung kann der Anthropic-Agent jetzt die MCP-Server im Kunden-Netz erreichen, obwohl diese Server keinerlei Inbound-Erreichbarkeit haben. Vergleichbar mit der Funktionsweise von ngrok oder Cloudflare Tunnel, aber speziell für MCP-Workflows und Ende-zu-Ende verschlüsselt.
Die Konsequenz: Du kannst jetzt private APIs, interne Datenbanken oder On-Premise-Systeme als MCP-Tools anbinden, ohne sie öffentlich exponieren zu müssen. Keine eingehenden Firewall-Regeln, keine Public-IPs, keine zusätzliche Angriffsfläche.
MCP Tunnels sind Stand Mai 2026 in Research Preview. Das heißt: Zugang nur auf Anfrage, begrenzte Skalierung, mögliche API-Änderungen. Self-Hosted Sandboxes sind in Public Beta, also für Team- und Enterprise-Tarife allgemein verfügbar.
Vier Anwendungsfälle, die ohne diese Features nicht gingen
Anwendungsfall eins: Interne Datenbank als Agent-Tool. Eine Buchhaltungsabteilung will einen Claude-Agenten, der Buchhaltungs-Anfragen mit Live-Zugriff auf SAP oder DATEV beantworten kann. Vor Mai 2026: nicht machbar, weil die Buchhaltungsdaten nicht in die Anthropic-Sandbox dürfen. Mit Self-Hosted Sandbox plus MCP Tunnel: der Agent ruft das Tool "DATEV-Abfrage" auf, die Abfrage läuft in der Kunden-Sandbox, das Ergebnis bleibt im Kunden-Netz.
Anwendungsfall zwei: Private API in Agent-Workflows. Ein Maschinenbau-KMU hat eine interne API für Maschinendaten. Der Wunsch: Ein Agent für Service-Techniker, der live Daten zur Maschine ziehen kann. Über MCP Tunnel wird die API erreichbar, ohne sie öffentlich zu stellen. Der Agent stellt Anfragen, die API antwortet, das Ergebnis fließt in die Service-Empfehlung ein.
Anwendungsfall drei: Selbst gehostete Knowledge-Base. Viele Mittelständler haben Confluence, Notion oder ähnliche Systeme on-premise oder in privaten Cloud-Tenants. Ein interner Wissens-Agent kann diese Systeme jetzt anbinden, ohne dass die Knowledge-Base ins offene Internet muss. Bei Compliance-relevanter Dokumentation (ISO-Audits, Verfahrensanweisungen) ist das oft der entscheidende Punkt.
Anwendungsfall vier: Ticketing- und ITSM-Systeme. Wer Jira, OTRS oder ServiceNow in einer privaten Instanz betreibt, kann diese Systeme als Agent-Tools nutzen. Der Agent kann Tickets erstellen, kommentieren oder Status abfragen, ohne dass diese Systeme öffentlich erreichbar sind.
In allen vier Fällen ist die Architektur sauberer als jede Public-Exposure-Variante. Datenflüsse, die früher als untragbar galten, werden plötzlich verantwortbar.
DSGVO-Wirkung im Detail
Self-Hosted Sandboxes und MCP Tunnels haben zwei direkte DSGVO-Vorteile.
Erstens: Tool-Daten bleiben in der EU, wenn Sandbox-Provider und MCP-Server in der EU sitzen. Damit entfällt der Drittlandtransfer nach Art. 44 DSGVO für die operativen Daten. Nur die LLM-Inferenz bleibt grenzüberschreitend, und für die gibt es seit Mai 2025 Anthropic-Bedrock-Hosting in der EU (Frankfurt).
Zweitens: Klare Trennung zwischen Verantwortlichem und Auftragsverarbeiter. Wenn die Daten in deiner Sandbox bleiben, bist du klar Verantwortlicher nach Art. 4 Nr. 7 DSGVO. Anthropic ist Auftragsverarbeiter nur für die LLM-Inferenz. Das macht die Vertragsgestaltung nach Art. 28 DSGVO leichter und die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO schlanker.
Für Branchen mit harten Datenschutz-Anforderungen (Gesundheitswesen nach SGB V, Finanzbranche nach BAIT, kritische Infrastruktur nach NIS2UmsuCG) ist diese Architektur oft die einzige verantwortbare. In unserer Beratungspraxis sehen wir, dass KMU im Mittelstand mit sensiblen Datenkategorien (Personalakten, Gesundheitsdaten, Bonitätsdaten) ohne Self-Hosted Sandbox keine produktive Agent-Implementierung freigeben können.
Praxis: Lehmann Pflegedienst in Erfurt
Ein Beispiel aus dem Beratungsalltag, anonymisiert. Lehmann Pflegedienst, ein ambulanter Pflegedienst mit 85 Mitarbeitern in Erfurt, hatte den Wunsch nach einem Agent zur Pflegedokumentations-Recherche. Use Case: Pflegekräfte sollen während des Hausbesuchs per Sprache fragen können, wann die letzte Wundversorgung beim Patienten stattfand oder welche Medikamente aktuell verordnet sind.
Vor Mai 2026 war das blockiert. Die Pflegedokumentation enthält Gesundheitsdaten nach Art. 9 DSGVO. Cloud-basierte Agent-Architekturen waren mit dem Datenschutzbeauftragten nicht abgestimmt. Die Bedenken: Inhalte würden auf Anthropic-Servern verarbeitet, der Drittlandtransfer wäre selbst mit DPF kritisch, eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO wäre langwierig.
Mit Self-Hosted Sandbox plus MCP Tunnel ändert sich das. Die Pflegedokumentations-Datenbank bleibt on-premise. Der MCP-Server für die Datenbank-Abfrage läuft im Kunden-Netz. Der Sandbox-Provider ist Cloudflare in der EU-Region Frankfurt. Der Anthropic-Agent ruft Tools wie "letzte Wundversorgung für Patient X" auf, die Abfrage läuft in der Cloud-flare-Sandbox, die Antwort fließt zurück. Die LLM-Inferenz selbst läuft über EU-Bedrock.
Die Gesundheitsdaten verlassen damit das Pflegedienst-Netz nur in stark reduzierter Form (die Antwort des Tools), und sie bleiben innerhalb der EU. Der Datenschutzbeauftragte hat das Konzept als verantwortbar eingestuft, die DSFA war in zwei Wochen abgeschlossen.
Wirtschaftlich: Bei 85 Mitarbeitern und durchschnittlich 6 Hausbesuchen pro Tag spart der Agent rund 8 bis 12 Sekunden Recherchezeit pro Besuch. Auf das Jahr gerechnet sind das 280 bis 400 Stunden Pflegezeit, die nicht in der Akte verbracht werden. Setup-Kosten lagen einmalig bei rund 18.000 EUR (Sandbox, MCP-Server, Datenbank-Anbindung, Schulung), laufende Kosten bei rund 700 EUR im Monat (Claude Enterprise plus Cloudflare-Sandbox).
Wo es teurer wird und wo es nicht hingehört
Self-Hosted Sandboxes sind nicht kostenlos. Du brauchst entweder einen Managed-Provider (laufende Kosten) oder eigene Infrastruktur (Setup-Aufwand plus laufende Wartung). Hinzu kommt der Aufwand, die MCP-Tools auf der Sandbox sauber zu konfigurieren.
Konkret: Wer einen Standard-FAQ-Bot für die eigene Website baut, der mit öffentlichen Informationen arbeitet, braucht das nicht. Hier ist das übliche Cloud-Setup ausreichend, der Aufwand für Self-Hosted Sandboxes lohnt nicht.
Wer dagegen Agenten mit Zugriff auf sensible Daten plant, sollte die Architektur von Anfang an darauf auslegen. Nachträglich von "Standard-Cloud" auf "Self-Hosted Sandbox" zu migrieren, ist möglich, aber aufwendig. Sauberer ist es, bei sensiblen Use Cases gleich richtig zu starten.
In der Praxis sehen wir bei der Beratung von KMU mit 5 bis 50 Mitarbeitern: Standard-Use-Cases (Marketing, FAQ, Onboarding) laufen problemlos im Cloud-Setup. Compliance-kritische Use Cases (HR, Buchhaltung mit Personenbezug, Kunden-Daten in regulierten Branchen) gehören in eine Self-Hosted-Sandbox-Architektur. Die Linie zwischen beiden lässt sich anhand der Datenkategorien klar ziehen.
Was du jetzt entscheiden musst
Wenn du Claude Managed Agents im Unternehmen einsetzen willst, gibt es drei Architektur-Pfade. Die Entscheidung hängt von deinen Datenkategorien und Compliance-Pflichten ab.
| Pfad | Sandbox | LLM-Hosting | Aufwand | Geeignet für |
|---|---|---|---|---|
| Standard-Cloud | Anthropic-Managed | USA (DPF-Basis) | gering | Marketing, FAQ, Onboarding ohne sensible Daten |
| EU-Cloud | Anthropic-Managed | EU-Bedrock | gering bis mittel | KMU-Standard mit personenbezogenen Daten |
| Self-Hosted Sandbox | eigene Wahl (Cloudflare/Daytona/Modal/Vercel) | EU-Bedrock | mittel bis hoch | sensible Datenkategorien, regulierte Branchen |
| Vollständig Self-Hosted plus MCP Tunnel | komplett eigene Infrastruktur | EU-Bedrock | hoch | Gesundheits-, Finanz-, KRITIS-Bereiche |
Die Entscheidung sollte vor dem ersten Agent fallen, nicht danach. Wer in einer regulierten Branche arbeitet, prüft am besten direkt mit ISO 42001 im Blick. Eine Übersicht zum ISO-42001-Audit zeigt die Pflichten und Belegerwartungen. Im Digitalisierungsmanager sind Architektur-Patterns für DSGVO-konforme KI-Workflows fester Bestandteil des Curriculums.
Wer das unterschätzt
Eine Beobachtung aus der Beratungspraxis. KMU unterschätzen den Aufwand für Self-Hosted Sandboxes regelmäßig. Das Sandbox-Setup selbst ist überschaubar (ein bis zwei Tage), die Anbindung der MCP-Tools ebenfalls (ein bis drei Tage pro Tool). Was unterschätzt wird, sind drei Folge-Themen.
Das Monitoring. Eine Self-Hosted Sandbox läuft nicht von selbst. Du brauchst Health-Checks, Log-Aggregation, Alerting bei Ausfällen. Wer keine IT-Abteilung mit etwas Erfahrung in DevOps hat, bucht hier besser einen externen Dienstleister.
Das Patch-Management. Anthropic veröffentlicht Updates für das Sandbox-Runtime-Image. Wer Self-Hosted fährt, muss diese Updates selbst einspielen. Bei Cloudflare oder Modal übernimmt der Provider, bei eigener Kubernetes-Umgebung musst du es selbst tun.
Die Audit-Dokumentation. Sobald du Self-Hosted fährst, bist du gegenüber Datenschutzbeauftragten und ggf. Auditoren stärker in der Beweispflicht, dass deine Sandbox sauber konfiguriert ist und keine Daten ausleitet. Das bedeutet: Dokumentation der Architektur, Logging-Konzept, Notfall-Pläne. Das ist nicht aufwendig, wenn man es von Anfang an mitdenkt. Es ist sehr aufwendig, wenn man es nachträglich nachbauen muss.
Wer diese drei Punkte einplant, hat eine produktiv einsetzbare Self-Hosted-Architektur. Wer sie überspringt, sammelt nach sechs Monaten technische Schulden und beim ersten Audit unangenehme Fragen.
Häufige Fragen
Wann brauche ich Self-Hosted Sandboxes wirklich?
Wenn dein Agent auf sensible Daten zugreift, die deine Infrastruktur nicht verlassen dürfen. Konkrete Auslöser: Gesundheitsdaten nach Art. 9 DSGVO, Bonitäts- und Finanzdaten, Personalakten, oder Branchen-Auflagen wie BAIT, NIS2UmsuCG oder ISO 42001. Wer nur mit öffentlichen Informationen oder unkritischen Geschäftsdaten arbeitet (Marketing-Texte, FAQ, Standard-Onboarding), kommt mit dem normalen Cloud-Setup aus.
Was kostet eine Self-Hosted Sandbox monatlich?
Das hängt vom Provider und der Last ab. Cloudflare und Modal rechnen verbrauchsabhängig, typische Werte für mittelständische Workloads liegen bei 200 bis 800 EUR pro Monat. Vercel und Daytona haben eigene Preismodelle. Eigene Kubernetes-Umgebungen sind ab 1.500 EUR pro Monat realistisch, sobald Monitoring und Patch-Management mitgerechnet werden. Hinzu kommen die Claude-Enterprise-Lizenzkosten und ggf. EU-Bedrock-Inferenz.
Funktionieren MCP Tunnels mit jedem MCP-Server?
Ja, sofern der MCP-Server dem Standard-Protokoll folgt. Die Tunnel-Schicht ist transparent für die MCP-Implementierung. Du brauchst nur das Gateway-Programm im Kunden-Netz und Zugriffsrechte auf den MCP-Server. Stand Mai 2026 ist MCP Tunnel in Research Preview, was bedeutet: Zugang auf Anfrage und begrenzte Skalierung. Für produktive Nutzung empfiehlt Anthropic, vorab mit dem Solutions-Engineering-Team zu sprechen.
Reicht EU-Bedrock auch ohne Self-Hosted Sandbox für DSGVO-Compliance?
Für viele Use Cases ja. EU-Bedrock (Anthropic-Hosting in der EU-Region Frankfurt) eliminiert den Drittlandtransfer für die LLM-Inferenz. Wenn deine Tool-Daten nur unkritische personenbezogene Daten enthalten (z.B. Mitarbeiternamen, geschäftliche E-Mail-Adressen), reicht das oft. Sobald sensible Datenkategorien nach Art. 9 DSGVO oder branchen-regulierte Daten ins Spiel kommen, brauchst du zusätzlich Self-Hosted Sandbox plus MCP Tunnel, um die Tool-Datenverarbeitung ebenfalls intern zu halten.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
Bereit für den nächsten Schritt? Wenn du KI im Geschäftsalltag systematisch einsetzen willst, statt nur an einzelnen Tools zu basteln, schau dir den Digitalisierungsmanager an. Vier Monate, komplett online, mit Bildungsgutschein 0 Euro.
Zuletzt geprüft am 25. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.