Gründer · GartenAIden
Hinweis: Dieser Beitrag ist eine sachliche Einordnung der DSGVO-Pflichten fuer KI-Widgets im Handwerk. Er ersetzt keine individuelle Rechtsberatung. Bei konkreten Fragen zu deinem Betrieb einen Datenschutz-Experten oder eine Anwaeltin einbinden.
Ist ein KI-Widget auf der Handwerker-Website überhaupt DSGVO-konform?
Ja — ein KI-Widget kann DSGVO-konform betrieben werden. Rechtlich unterscheidet es sich nicht grundsätzlich von einem klassischen Kontaktformular. In beiden Fällen erhebst du personenbezogene Daten von Interessenten, in beiden Fällen musst du Rechtsgrundlage, Zweck, Speicherdauer und Empfänger transparent machen. Der Unterschied beim KI-Widget ist der Umfang der erhobenen Daten und die Tatsache, dass externe Anbieter (z. B. KI-Modelle für Foto-Analyse) in den Verarbeitungsfluss eingebunden sind.
Wenn die fünf Standardpflichten erfüllt sind — Rechtsgrundlage, Datensparsamkeit, Informationspflichten, AVV mit dem Anbieter, technische Sicherheit — ist das Widget rechtlich auf gleicher Ebene wie das Formular. Wer keine dieser Pflichten erfüllt, hat aber auch beim klassischen Formular ein Problem.
Welche fünf DSGVO-Pflichten gelten für Anfrage-Widgets?
Die folgende Übersicht ist sachlich gehalten — keine Reihenfolge, alle fünf gelten gleichzeitig.
| Pflicht | Rechtsgrundlage | Praktische Umsetzung |
|---|---|---|
| Rechtsgrundlage haben | Art. 6 Abs. 1 lit. b DSGVO | Vorvertragliche Massnahme: Anfrage = potenzielle Vertragsanbahnung |
| Datensparsamkeit | Art. 5 Abs. 1 lit. c DSGVO | Nur Daten erheben, die fuer das Briefing gebraucht werden |
| Informationspflichten | Art. 13 DSGVO | Datenschutzerklaerung verlinkt + vor Datenerfassung sichtbar |
| Auftragsverarbeitung mit Anbieter | Art. 28 DSGVO | AVV mit Widget-Anbieter; Sub-Auftragsverarbeiter nennen |
| Technisch-organisatorische Sicherheit | Art. 32 DSGVO | TLS-Verschluesselung, Zugriffsschutz, dokumentierte TOMs |
Die formell wichtigste ist Art. 6 DSGVO: Ohne Rechtsgrundlage darfst du nicht verarbeiten. Bei Anfrage-Widgets ist die Standard-Grundlage Art. 6 Abs. 1 lit. b — vorvertragliche Maßnahmen. Du brauchst keine separate Einwilligung, weil der Interessent die Anfrage aktiv stellt, um in eine Vertragsbeziehung einzusteigen. Eine Einwilligung würde sogar die rechtliche Basis verschieben und die Verarbeitung an einen Widerruf binden.
Wo dürfen die Daten verarbeitet werden — und wo nicht?
Hosting innerhalb der EU oder im EWR ist unproblematisch (Art. 44 ff. DSGVO). Bei Drittlandsübermittlung (USA, Großbritannien außerhalb DPF, Schweiz mit Adäquanzbeschluss) brauchst du eine Rechtsgrundlage:
- USA: Übermittlung an unter dem EU-US Data Privacy Framework (DPF) zertifizierte Empfänger ist seit Juli 2023 wieder zulässig (Adäquanzbeschluss der EU-Kommission). Liste der zertifizierten Empfänger: dataprivacyframework.gov.
- Andere Drittländer: Standardvertragsklauseln (SCCs) und gegebenenfalls zusätzliche technische Maßnahmen.
- EU-/EWR-Hosting: Keine zusätzlichen Anforderungen, einfacher zu dokumentieren — insbesondere im Erstgespräch mit Datenschutzbeauftragten.
Praktischer Hinweis: Selbst bei einem deutschen Anbieter können Sub-Auftragsverarbeiter (z. B. Cloud-Provider, KI-Modell-Anbieter) US-basiert sein. Frag explizit nach der vollständigen Liste der Sub-Auftragsverarbeiter — sie muss laut Art. 28 Abs. 2 DSGVO dokumentiert sein.
DSGVO-konformes KI-Widget — Hosting in Deutschland
GartenAIden hostet in Deutschland (Frankfurt), liefert AVV standardisiert, dokumentiert Sub-Auftragsverarbeiter offen. Pilotprogramm 2026 — keine Kreditkarte, kein Vertrag.
→ Live-Demo startenWas ist mit den KI-Modellen? Gehen Daten in die USA?
Der sensible Punkt bei jedem KI-Widget: Foto-Analyse, Sprachverständnis und Bildgenerierung laufen oft auf Modellen von US-Anbietern (OpenAI, Anthropic, Google). Drei Aspekte musst du prüfen:
- Ist der Modell-Anbieter DPF-zertifiziert? OpenAI ist zertifiziert (Stand 2026), ebenso Anthropic, Google Cloud und Microsoft Azure. Liste auf dataprivacyframework.gov einsehbar.
- Werden die Daten zum Modell-Training genutzt? Bei Business-/API-Verträgen ist das standardmäßig ausgeschlossen — anders als bei kostenlosen Consumer-Versionen. Frag den Widget-Anbieter, welche Vertragsart er mit dem KI-Anbieter nutzt.
- Wie lange werden die Daten beim Modell-Anbieter aufbewahrt? OpenAI hält API-Daten standardmäßig 30 Tage zur Missbrauchserkennung; auf Antrag kann das auf null reduziert werden. Anthropic ähnlich.
Diese Fragen gehören in den AVV mit dem Widget-Anbieter — nicht in eine Mail an OpenAI direkt. Der Widget-Anbieter ist dein direkter Vertragspartner und für die Sub-Auftragsverarbeiter verantwortlich.
Brauchst du einen AVV mit dem Widget-Anbieter?
Ja, in praktisch allen Fällen. Sobald der Widget-Anbieter personenbezogene Daten in deinem Auftrag verarbeitet — und das tut er, sobald er Anfragen entgegennimmt und an dich weiterleitet —, ist Art. 28 DSGVO einschlägig.
Was muss der AVV enthalten? Mindestens: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Kategorien betroffener Personen, Rechte und Pflichten beider Seiten, Technisch-Organisatorische Maßnahmen (TOMs), Liste der Sub-Auftragsverarbeiter, Lösch- und Rückgabepflichten. Seriöse Anbieter haben das standardisiert. Wenn du keinen findest oder der Anbieter ausweicht — Warnsignal.
Welche Speicherdauer ist angemessen?
Art. 5 Abs. 1 lit. e DSGVO verlangt, dass Daten nur „so lange wie erforderlich" gespeichert werden. In der Praxis hat sich für Anfragedaten ohne Vertragsabschluss eine Speicherdauer von 6 bis 12 Monaten etabliert — danach automatische Löschung oder Anonymisierung. Begründet ist diese Spanne damit, dass Interessenten typischerweise innerhalb dieses Zeitraums noch zurückkommen oder reagieren.
Wenn aus der Anfrage ein Vertrag wird, gelten danach für die jeweiligen Belege die handels- und steuerrechtlichen Aufbewahrungsfristen (HGB §§ 257, AO § 147 — typisch 6 oder 10 Jahre). Das betrifft aber nicht die ursprünglichen Anfragedaten in voller Tiefe; die KI-generierte Visualisierung und der Chat-Verlauf können — und sollten — separat gelöscht werden, sobald sie nicht mehr für die Auftragsabwicklung gebraucht werden.
Bei GartenAIden gilt zusätzlich ein Opt-out-Modell für KI-generierte Bildvisualisierungen mit persönlichem Lösch-Token: vollständige Datenlöschung jederzeit auf Knopfdruck möglich. Methodische Einordnung der erhobenen Felder im Beitrag Lead-Score berechnen.
Was solltest du beim Anbieter-Check fragen?
Sechs konkrete Fragen, die du jedem Widget-Anbieter stellen solltest — schriftlich, dokumentiert:
- Wo werden die Daten gehostet (Land, Rechenzentrum)?
- Stellt ihr einen AVV nach Art. 28 DSGVO bereit?
- Liste der Sub-Auftragsverarbeiter mit Sitz und Rechtsgrundlage für Drittlandsübermittlung?
- Welche Cookies setzt das Widget — und sind sie technisch notwendig im Sinne § 25 Abs. 2 TTDSG?
- Werden die Daten zur Verbesserung von KI-Modellen genutzt? Wenn ja, mit welcher Rechtsgrundlage?
- Standard-Speicherdauer und Lösch-Mechanismus?
Wenn der Anbieter zu mehr als einer dieser Fragen ausweicht oder nur vage antwortet, ist das ein deutliches Signal. Eine breitere Einordnung der Tool-Auswahl steht im Beitrag GaLaBau Software 2026; was zwischen Formular und Widget rechtlich gleich bleibt, im Beitrag Kontaktformular vs. KI-Widget.
Was muss in deine Datenschutzerklärung?
Art. 13 DSGVO listet die Pflichtangaben. Für ein KI-Widget brauchst du in deiner Datenschutzerklärung mindestens:
- Name und Kontakt des Verantwortlichen (du als Betrieb)
- Zweck der Verarbeitung („Bearbeitung eingehender Anfragen zur Vertragsanbahnung")
- Rechtsgrundlage (Art. 6 Abs. 1 lit. b DSGVO)
- Empfänger / Kategorien von Empfängern (Widget-Anbieter, KI-Modell-Anbieter, ggf. Hosting-Provider)
- Drittlandsübermittlung mit Hinweis auf DPF oder SCCs
- Speicherdauer oder Kriterien zur Festlegung
- Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch, Datenübertragbarkeit)
- Beschwerderecht bei der zuständigen Aufsichtsbehörde
Viele Datenschutz-Generatoren (eRecht24, Datenschutz-konfigurator.de) liefern Bausteine, die du anpassen kannst. Lass den Text vor Veröffentlichung von einer Datenschutz-Beraterin oder einem Anwalt prüfen — die Kosten dafür sind im Vergleich zu möglichen Bußgeldern marginal.
FAQ
Ist ein KI-Widget auf der Handwerker-Website DSGVO-konform?
Brauche ich einen Auftragsverarbeitungsvertrag (AVV) mit dem Widget-Anbieter?
Werden die Daten bei einem KI-Widget in den USA verarbeitet?
Wie lange duerfen die Anfragedaten gespeichert werden?
Was ist beim Foto-Upload zu beachten?
Hinweis: Sachliche Einordnung, keine Rechtsberatung. Zitierte Artikel beziehen sich auf die DSGVO (Verordnung (EU) 2016/679). Aktuelle Auslegungen findest du bei den Aufsichtsbehoerden der Laender (BfDI, Landesdatenschutzbeauftragte) sowie bei der Europaeischen Datenschutzbehoerde (EDSA). Stand der Inhalte: Mai 2026.
