BlogRecht & Compliance
    DSGVOKI-WidgetHandwerker-WebsiteAVVDatenschutz

    DSGVO und KI-Widget auf der Handwerker-Website: Was du wissen musst

    Du willst ein KI-Widget einbauen — und dein Steuerberater fragt: Ist das DSGVO-konform? Bussgelder liegen laut Art. 83 DSGVO bei bis zu 4 % des Jahresumsatzes. Es lohnt sich, das richtig zu machen.

    8 Min. Lesezeit
    Dennis Benter — Avatar
    Dennis Benter

    Gründer · GartenAIden

    Hinweis: Dieser Beitrag ist eine sachliche Einordnung der DSGVO-Pflichten fuer KI-Widgets im Handwerk. Er ersetzt keine individuelle Rechtsberatung. Bei konkreten Fragen zu deinem Betrieb einen Datenschutz-Experten oder eine Anwaeltin einbinden.

    Ist ein KI-Widget auf der Handwerker-Website überhaupt DSGVO-konform?

    Ja — ein KI-Widget kann DSGVO-konform betrieben werden. Rechtlich unterscheidet es sich nicht grundsätzlich von einem klassischen Kontaktformular. In beiden Fällen erhebst du personenbezogene Daten von Interessenten, in beiden Fällen musst du Rechtsgrundlage, Zweck, Speicherdauer und Empfänger transparent machen. Der Unterschied beim KI-Widget ist der Umfang der erhobenen Daten und die Tatsache, dass externe Anbieter (z. B. KI-Modelle für Foto-Analyse) in den Verarbeitungsfluss eingebunden sind.

    Wenn die fünf Standardpflichten erfüllt sind — Rechtsgrundlage, Datensparsamkeit, Informationspflichten, AVV mit dem Anbieter, technische Sicherheit — ist das Widget rechtlich auf gleicher Ebene wie das Formular. Wer keine dieser Pflichten erfüllt, hat aber auch beim klassischen Formular ein Problem.

    Welche fünf DSGVO-Pflichten gelten für Anfrage-Widgets?

    Die folgende Übersicht ist sachlich gehalten — keine Reihenfolge, alle fünf gelten gleichzeitig.

    PflichtRechtsgrundlagePraktische Umsetzung
    Rechtsgrundlage habenArt. 6 Abs. 1 lit. b DSGVOVorvertragliche Massnahme: Anfrage = potenzielle Vertragsanbahnung
    DatensparsamkeitArt. 5 Abs. 1 lit. c DSGVONur Daten erheben, die fuer das Briefing gebraucht werden
    InformationspflichtenArt. 13 DSGVODatenschutzerklaerung verlinkt + vor Datenerfassung sichtbar
    Auftragsverarbeitung mit AnbieterArt. 28 DSGVOAVV mit Widget-Anbieter; Sub-Auftragsverarbeiter nennen
    Technisch-organisatorische SicherheitArt. 32 DSGVOTLS-Verschluesselung, Zugriffsschutz, dokumentierte TOMs

    Die formell wichtigste ist Art. 6 DSGVO: Ohne Rechtsgrundlage darfst du nicht verarbeiten. Bei Anfrage-Widgets ist die Standard-Grundlage Art. 6 Abs. 1 lit. b — vorvertragliche Maßnahmen. Du brauchst keine separate Einwilligung, weil der Interessent die Anfrage aktiv stellt, um in eine Vertragsbeziehung einzusteigen. Eine Einwilligung würde sogar die rechtliche Basis verschieben und die Verarbeitung an einen Widerruf binden.

    Wo dürfen die Daten verarbeitet werden — und wo nicht?

    Hosting innerhalb der EU oder im EWR ist unproblematisch (Art. 44 ff. DSGVO). Bei Drittlandsübermittlung (USA, Großbritannien außerhalb DPF, Schweiz mit Adäquanzbeschluss) brauchst du eine Rechtsgrundlage:

    • USA: Übermittlung an unter dem EU-US Data Privacy Framework (DPF) zertifizierte Empfänger ist seit Juli 2023 wieder zulässig (Adäquanzbeschluss der EU-Kommission). Liste der zertifizierten Empfänger: dataprivacyframework.gov.
    • Andere Drittländer: Standardvertragsklauseln (SCCs) und gegebenenfalls zusätzliche technische Maßnahmen.
    • EU-/EWR-Hosting: Keine zusätzlichen Anforderungen, einfacher zu dokumentieren — insbesondere im Erstgespräch mit Datenschutzbeauftragten.

    Praktischer Hinweis: Selbst bei einem deutschen Anbieter können Sub-Auftragsverarbeiter (z. B. Cloud-Provider, KI-Modell-Anbieter) US-basiert sein. Frag explizit nach der vollständigen Liste der Sub-Auftragsverarbeiter — sie muss laut Art. 28 Abs. 2 DSGVO dokumentiert sein.

    DSGVO-konformes KI-Widget — Hosting in Deutschland

    GartenAIden hostet in Deutschland (Frankfurt), liefert AVV standardisiert, dokumentiert Sub-Auftragsverarbeiter offen. Pilotprogramm 2026 — keine Kreditkarte, kein Vertrag.

    → Live-Demo starten

    Was ist mit den KI-Modellen? Gehen Daten in die USA?

    Der sensible Punkt bei jedem KI-Widget: Foto-Analyse, Sprachverständnis und Bildgenerierung laufen oft auf Modellen von US-Anbietern (OpenAI, Anthropic, Google). Drei Aspekte musst du prüfen:

    1. Ist der Modell-Anbieter DPF-zertifiziert? OpenAI ist zertifiziert (Stand 2026), ebenso Anthropic, Google Cloud und Microsoft Azure. Liste auf dataprivacyframework.gov einsehbar.
    2. Werden die Daten zum Modell-Training genutzt? Bei Business-/API-Verträgen ist das standardmäßig ausgeschlossen — anders als bei kostenlosen Consumer-Versionen. Frag den Widget-Anbieter, welche Vertragsart er mit dem KI-Anbieter nutzt.
    3. Wie lange werden die Daten beim Modell-Anbieter aufbewahrt? OpenAI hält API-Daten standardmäßig 30 Tage zur Missbrauchserkennung; auf Antrag kann das auf null reduziert werden. Anthropic ähnlich.

    Diese Fragen gehören in den AVV mit dem Widget-Anbieter — nicht in eine Mail an OpenAI direkt. Der Widget-Anbieter ist dein direkter Vertragspartner und für die Sub-Auftragsverarbeiter verantwortlich.

    Brauchst du einen AVV mit dem Widget-Anbieter?

    Ja, in praktisch allen Fällen. Sobald der Widget-Anbieter personenbezogene Daten in deinem Auftrag verarbeitet — und das tut er, sobald er Anfragen entgegennimmt und an dich weiterleitet —, ist Art. 28 DSGVO einschlägig.

    Was muss der AVV enthalten? Mindestens: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Kategorien betroffener Personen, Rechte und Pflichten beider Seiten, Technisch-Organisatorische Maßnahmen (TOMs), Liste der Sub-Auftragsverarbeiter, Lösch- und Rückgabepflichten. Seriöse Anbieter haben das standardisiert. Wenn du keinen findest oder der Anbieter ausweicht — Warnsignal.

    Welche Speicherdauer ist angemessen?

    Art. 5 Abs. 1 lit. e DSGVO verlangt, dass Daten nur „so lange wie erforderlich" gespeichert werden. In der Praxis hat sich für Anfragedaten ohne Vertragsabschluss eine Speicherdauer von 6 bis 12 Monaten etabliert — danach automatische Löschung oder Anonymisierung. Begründet ist diese Spanne damit, dass Interessenten typischerweise innerhalb dieses Zeitraums noch zurückkommen oder reagieren.

    Wenn aus der Anfrage ein Vertrag wird, gelten danach für die jeweiligen Belege die handels- und steuerrechtlichen Aufbewahrungsfristen (HGB §§ 257, AO § 147 — typisch 6 oder 10 Jahre). Das betrifft aber nicht die ursprünglichen Anfragedaten in voller Tiefe; die KI-generierte Visualisierung und der Chat-Verlauf können — und sollten — separat gelöscht werden, sobald sie nicht mehr für die Auftragsabwicklung gebraucht werden.

    Bei GartenAIden gilt zusätzlich ein Opt-out-Modell für KI-generierte Bildvisualisierungen mit persönlichem Lösch-Token: vollständige Datenlöschung jederzeit auf Knopfdruck möglich. Methodische Einordnung der erhobenen Felder im Beitrag Lead-Score berechnen.

    Was solltest du beim Anbieter-Check fragen?

    Sechs konkrete Fragen, die du jedem Widget-Anbieter stellen solltest — schriftlich, dokumentiert:

    1. Wo werden die Daten gehostet (Land, Rechenzentrum)?
    2. Stellt ihr einen AVV nach Art. 28 DSGVO bereit?
    3. Liste der Sub-Auftragsverarbeiter mit Sitz und Rechtsgrundlage für Drittlandsübermittlung?
    4. Welche Cookies setzt das Widget — und sind sie technisch notwendig im Sinne § 25 Abs. 2 TTDSG?
    5. Werden die Daten zur Verbesserung von KI-Modellen genutzt? Wenn ja, mit welcher Rechtsgrundlage?
    6. Standard-Speicherdauer und Lösch-Mechanismus?

    Wenn der Anbieter zu mehr als einer dieser Fragen ausweicht oder nur vage antwortet, ist das ein deutliches Signal. Eine breitere Einordnung der Tool-Auswahl steht im Beitrag GaLaBau Software 2026; was zwischen Formular und Widget rechtlich gleich bleibt, im Beitrag Kontaktformular vs. KI-Widget.

    Was muss in deine Datenschutzerklärung?

    Art. 13 DSGVO listet die Pflichtangaben. Für ein KI-Widget brauchst du in deiner Datenschutzerklärung mindestens:

    • Name und Kontakt des Verantwortlichen (du als Betrieb)
    • Zweck der Verarbeitung („Bearbeitung eingehender Anfragen zur Vertragsanbahnung")
    • Rechtsgrundlage (Art. 6 Abs. 1 lit. b DSGVO)
    • Empfänger / Kategorien von Empfängern (Widget-Anbieter, KI-Modell-Anbieter, ggf. Hosting-Provider)
    • Drittlandsübermittlung mit Hinweis auf DPF oder SCCs
    • Speicherdauer oder Kriterien zur Festlegung
    • Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch, Datenübertragbarkeit)
    • Beschwerderecht bei der zuständigen Aufsichtsbehörde

    Viele Datenschutz-Generatoren (eRecht24, Datenschutz-konfigurator.de) liefern Bausteine, die du anpassen kannst. Lass den Text vor Veröffentlichung von einer Datenschutz-Beraterin oder einem Anwalt prüfen — die Kosten dafür sind im Vergleich zu möglichen Bußgeldern marginal.

    FAQ

    Ist ein KI-Widget auf der Handwerker-Website DSGVO-konform?
    Ja, ein KI-Widget kann DSGVO-konform betrieben werden — wenn die fuenf Standardpflichten erfuellt sind: Rechtsgrundlage (Art. 6 DSGVO), Datensparsamkeit (Art. 5), Informationspflichten in der Datenschutzerklaerung (Art. 13), Auftragsverarbeitungsvertrag mit dem Anbieter (Art. 28) und technische Sicherheit (Art. 32). Die rechtliche Behandlung unterscheidet sich nicht grundsaetzlich vom klassischen Kontaktformular — der Umfang der erhobenen Daten ist aber groesser und muss entsprechend dokumentiert sein.
    Brauche ich einen Auftragsverarbeitungsvertrag (AVV) mit dem Widget-Anbieter?
    Ja, sobald der Widget-Anbieter personenbezogene Daten in deinem Auftrag verarbeitet — was bei einem gehosteten Widget praktisch immer der Fall ist —, brauchst du einen AVV nach Art. 28 DSGVO. Serioese Anbieter stellen den Vertrag standardisiert zur Verfuegung. Frag explizit nach, wenn du keinen findest. Ohne AVV bist du als Verantwortlicher rechtlich angreifbar.
    Werden die Daten bei einem KI-Widget in den USA verarbeitet?
    Das haengt vom Anbieter und den eingesetzten KI-Modellen ab. Foto-Analyse mit GPT-4o oder Bildgenerierung mit DALL-E laufen auf US-Servern; nach dem Data-Privacy-Framework-Beschluss (DPF, Juli 2023) ist die Uebermittlung in die USA fuer zertifizierte Empfaenger grundsaetzlich zulaessig. Der Anbieter muss diese Drittlandsuebermittlung in der Datenschutzerklaerung benennen und im AVV dokumentieren. Nicht-zertifizierte Sub-Auftragsverarbeiter brauchen Standardvertragsklauseln (SCCs) zusaetzlich.
    Welche Cookies setzt ein KI-Widget?
    Technisch notwendige Cookies (Session-ID, CSRF-Token) sind ohne Einwilligung zulaessig (Paragraph 25 Abs. 2 TTDSG). Tracking- oder Analyse-Cookies sind einwilligungspflichtig — wenn das Widget auf solche verzichtet, vereinfacht sich der Cookie-Banner-Aufwand erheblich. Frag den Anbieter konkret nach der vollstaendigen Cookie-Liste; sie gehoert in deine Datenschutzerklaerung.
    Wie lange duerfen die Anfragedaten gespeichert werden?
    So lange wie fuer den Verarbeitungszweck erforderlich (Art. 5 Abs. 1 lit. e DSGVO). Bei vorvertraglichen Massnahmen typisch 6 bis 12 Monate, anschliessend automatische Loeschung oder Anonymisierung. Wenn ein Vertrag zustande kommt, gelten danach die handels- und steuerrechtlichen Aufbewahrungspflichten (HGB, AO) fuer die jeweiligen Belege — nicht fuer die urspruenglichen Anfragedaten.
    Was ist beim Foto-Upload zu beachten?
    Wenn der Interessent ein Foto seines Gartens hochlaedt, gelten die normalen DSGVO-Regeln. Sind auf dem Foto Personen erkennbar (z. B. Familienangehoerige), erhoeht sich der Schutzbedarf — das Foto sollte dann nur fuer den vereinbarten Zweck genutzt, moeglichst pseudonymisiert verarbeitet und nach Erfuellung des Zwecks geloescht werden. Eine biometrische Verarbeitung im Sinne von Art. 9 DSGVO entsteht durch ein normales Garten-Foto in der Regel nicht.

    Hinweis: Sachliche Einordnung, keine Rechtsberatung. Zitierte Artikel beziehen sich auf die DSGVO (Verordnung (EU) 2016/679). Aktuelle Auslegungen findest du bei den Aufsichtsbehoerden der Laender (BfDI, Landesdatenschutzbeauftragte) sowie bei der Europaeischen Datenschutzbehoerde (EDSA). Stand der Inhalte: Mai 2026.

    Mess es am eigenen Betrieb

    10 Leads gratis im Pilotprogramm 2026 — keine Kreditkarte, kein Vertrag. Lass das Widget parallel zum Formular laufen und vergleich, was qualifizierter ankommt.

    → Live-Demo starten