Welche Risiken du als Unternehmer über AI erstellte Websites kennen musst
Eine Website ist heute in 30 Minuten online und sieht auf den ersten Blick beeindruckend aus. AI-Tools wie Lovable, Bolt oder Replit machen das möglich. In diesem Artikel zeigen wir dir, warum eine so erstellte Website für österreichische KMUs trotzdem zu einem teuren Problem werden kann, wo du als Unternehmer aufpassen musst und wann der Einsatz von AI beim Website-Bau wirklich Sinn ergibt.
Artikel veröffentlicht am 20.5.2026
von webgaudi.at
Eine Website in 30 Minuten und ein Problem für die nächsten 3 Jahre
Stell dir vor, du bist Handwerker in Wiener Neustadt, hast wenig Zeit und liest auf LinkedIn von einem Tool, das dir „eine professionelle Website in 5 Minuten” baut. Ein paar Sätze in ein Eingabefeld getippt und schon steht der Online-Auftritt. Sieht modern aus, hat Fotos, ein Kontaktformular und eine Preisliste. Das fühlt sich nach einem Volltreffer an.
In Wirklichkeit ist die Website aber oft das Gegenteil eines fertigen Geschäftsauftritts. Was nach außen poliert aussieht, hat im Hintergrund Lücken bei Recht, Sicherheit, Lizenzen, SEO und Barrierefreiheit. Genau diese Lücken kosten dich später Zeit, Nerven oder Geld.
In diesem Artikel zeigen wir dir die fünf wichtigsten Risiken, die du als KMU oder Selbstständiger in Österreich kennen solltest, bevor du eine Website per AI bauen lässt.
Was ist gemeint mit “AI baut deine Website”?
Hinter dem Trend stehen Plattformen wie Lovable, Bolt.new oder Replit. Du beschreibst in Alltagssprache, was du möchtest, das Tool erzeugt die Website samt Layout, Texten und ersten Funktionen. Code, Datenbank und Hosting werden im Hintergrund automatisch zusammengesteckt.
Der Trend ist kein Nischenthema mehr. TechCrunch berichtete im März 2025, dass bei einem Viertel der Start-ups aus dem Y-Combinator-Programm rund 95 Prozent des Codes von AI geschrieben wurde. Die Werkzeuge sind also überall.
Aus unserer Erfahrung
Bei uns landen Monat für Monat Unternehmer, die genau diesen Weg gegangen sind. Eine Steuerberaterin aus Graz, ein Tischler aus Linz, ein Café-Betreiber aus Salzburg. Die Website war schnell live, der Stolz war groß, drei bis sechs Monate später kam dann der Anruf. Mal war es eine Abmahnung, mal ein Datenleck, mal hat schlicht niemand mehr durchgeblickt, wie man eine simple Preisänderung einbaut.
Risiko 1: Rechtliche Stolperfallen für österreichische KMUs
Die Achillesferse des AI-Builders ist nicht die Technik, sondern das österreichische Recht. Eine kommerzielle Website in Österreich muss eine ganze Reihe von Pflichten gleichzeitig erfüllen: Informationspflichten nach dem E-Commerce-Gesetz (ECG), Offenlegungspflichten nach dem Mediengesetz, eine vollständige Datenschutzerklärung nach DSGVO und seit 28. Juni 2025 für viele Angebote auch das Barrierefreiheitsgesetz.
AI-Tools wurden überwiegend auf englisch- und deutschsprachigen Internettexten trainiert. Sie kennen die deutschen Rechtsgrundlagen wie das frühere TMG sehr gut. Vom österreichischen ECG, vom Mediengesetz, vom UGB oder von §63 GewO weiß die AI deutlich weniger. Das Ergebnis ist in der Praxis ein deutsches Impressum auf einer österreichischen Website, das hier die Pflichten nicht abdeckt.
Was konkret schiefgeht
- Impressum ohne Firmenbuchnummer und Gerichtsstand, weil die AI das Standard-Muster aus deutschen Quellen übernimmt
- Erfundene Daten, weil die AI eine plausibel aussehende Firmenbuchnummer einfach „halluziniert”
- Datenschutzerklärung als Textbaustein, in dem Tools genannt werden, die du gar nicht einsetzt, oder umgekehrt Tools fehlen, die im Hintergrund Daten verarbeiten
- Cookie-Banner ohne sauberen Consent, weil die AI das Banner zwar einbaut, aber das Tracking-Skript schon vor der Zustimmung lädt
- Kein Hinweis zur Blattlinie, sobald deine Seite einen Blog oder einen News-Bereich hat
Was das kosten kann
Die Strafrahmen in Österreich sind kein Nebengeräusch. Verstöße gegen das ECG können laut §26 ECG bis zu 3.000 Euro kosten. Verstöße gegen das Mediengesetz bis zu 20.000 Euro. DSGVO-Verstöße liegen im äußersten Fall bei bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für ein KMU mag das weit weg klingen, in der Praxis sind aber auch fünfstellige Strafen für einzelne Verstöße keine Seltenheit, wie die österreichische Datenschutzbehörde regelmäßig in ihren Tätigkeitsberichten dokumentiert.
Du trägst die Verantwortung
Die österreichische Datenschutzbehörde (DSB) stellt in ihren FAQ klar: Die DSGVO bleibt auch im Zeitalter der KI vollständig anwendbar. Die Verantwortung dafür, dass die Datenverarbeitung auf deiner Website rechtmäßig ist, liegt zu 100 Prozent bei dir als Unternehmer und nicht beim AI-Tool.
Wenn du dich tiefer mit konkreten Fallstricken aus diesem Bereich beschäftigen möchtest, haben wir das im Detail in unserem Artikel Google Fonts und Datenschutz beschrieben. Genau jenes Schriftarten-Problem, das in Österreich 2022 zu rund 33.000 Abmahnschreiben geführt hat, bauen viele AI-Tools im Standard exakt so ein, wie sie damals abgemahnt wurde.
Risiko 2: Sicherheit und Datenlecks
Der zweite große Risikoblock ist die Sicherheit. Eine Website ist kein passives Plakat. Sie ist eine Software mit Datenbank, Kontaktformularen, Login-Bereichen, Zahlungsabläufen oder Buchungsstrecken. Genau hier zeigt sich, dass AI-Tools zwar funktionierenden Code erzeugen, aber selten sicheren Code.
Der Veracode GenAI Code Security Report 2025 hat über 100 große Sprachmodelle gegen 80 typische Programmieraufgaben antreten lassen. Das Ergebnis: Rund 45 Prozent des AI-generierten Codes enthielten Sicherheitslücken aus den OWASP-Top-10, der Standard-Liste der gravierendsten Web-Schwachstellen. Bei einzelnen Sprachen lag die Quote über 70 Prozent.
Wenn API-Keys offen im Netz liegen
Im Jänner 2026 ging die AI-gebaute Plattform Moltbook online. Drei Tage später entdeckten Sicherheitsforscher von Wiz, dass die Datenbank fehlkonfiguriert war. Ergebnis: 1,5 Millionen Authentifizierungs-Schlüssel, 35.000 E-Mail-Adressen und private Nachrichten waren öffentlich abrufbar. Gal Nagli von Wiz fasste es trocken zusammen: „Wir konnten die komplette Plattform lesen und beschreiben.”
Eine im Mai 2026 veröffentlichte Untersuchung der israelischen Sicherheitsfirma RedAccess zeigt, dass dieses Bild kein Einzelfall ist. Die Forscher fanden rund 380.000 öffentlich zugängliche, per AI gebaute Apps. Etwa 5.000 davon leakten aktiv sensible Unternehmens- und Personendaten, von medizinischen Befunden über Finanzunterlagen bis zu internen Strategiedokumenten.
Wichtig zur Einordnung
Sicherheitslücken bleiben in der Praxis oft monatelang unbemerkt. Eine offene Datenbank, ein im Frontend hinterlegter Schlüssel oder ein nicht abgesichertes Formular fallen nicht auf, weil die Website ja „funktioniert”. Erst wenn etwas passiert, fragt jemand nach dem Schutzniveau.
Die typischen AI-Fehler in Klartext
- API-Keys im Frontend: Zugangsschlüssel zu Bezahldiensten oder Datenbanken landen im sichtbaren Code, statt sicher am Server zu liegen. Wer mit der Rechtsklick-Funktion „Seitenquelltext anzeigen” arbeitet, kann sie auslesen
- Datenbank ohne Einschränkungen: Tools wie Supabase werden ohne sogenannte Row-Level-Security ausgeliefert. Das ist die Regel, die festlegt, wer welche Zeilen einer Tabelle sehen darf. Fehlt sie, kann jeder Besucher theoretisch alle Kundendaten lesen oder ändern, nicht nur die eigenen
- Formulare ohne Schutz: Kein Rate-Limit, keine Bot-Erkennung, keine Eingabeprüfung. Das öffnet Tür und Tor für Spam, Phishing oder Injection-Angriffe
- Verstecktes Schadcode-Risiko durch erfundene Pakete: AI-Tools halluzinieren gelegentlich Bibliotheken, die es nie gab. Angreifer registrieren diese Namen vorab mit Schadcode und warten, bis das Tool ihn das nächste Mal empfiehlt. Studien dazu sprechen mittlerweile von „Slopsquatting” als eigenem Angriffsvektor
Wenn dich das Thema Schwachstellen im Netz allgemein interessiert, haben wir dazu auch einen eigenen Artikel über XSS-Attacken und Website-Sicherheit geschrieben.
Trage deine Daten ein und erhalte eine kostenlose Einschätzung per E-Mail. Wir prüfen, ob deine Website in puncto Datenschutz, Impressum, Sicherheit, Barrierefreiheit und Sichtbarkeit sauber aufgestellt ist.
Bitte beachte unsere Datenschutzbestimmungen, bevor du diesen Service nutzt.
Risiko 3: Lizenzen, Icons und Bilder
Dieser Block ist die unterschätzteste Falle. Eine AI-generierte Website sieht hübsch aus, weil das Tool im Hintergrund Icons, Bilder, Schriftarten und Code-Bausteine aus vielen Quellen zusammenmischt. Was im Browser ansprechend wirkt, ist rechtlich oft sehr heikel:
- Manche Icon-Sammlungen sind frei nutzbar (z.B. Heroicons unter MIT, Tabler Icons unter MIT)
- Andere brauchen einen Namensnachweis im Footer (z.B. viele Flaticon-Icons in der Gratis-Version)
- Wieder andere sind nur mit Bezahllizenz erlaubt (z.B. FontAwesome Pro)
- Markenlogos sind grundsätzlich markenrechtlich geschützt, auch wenn das SVG technisch herumliegt
Eine AI weiß diese Unterschiede in der Regel nicht zuverlässig. Sie packt das Icon hinein, das thematisch passt. Ob die Lizenz dazu gegeben war, prüft niemand. Genau hier setzen Abmahnwellen wie 2022 mit Google Fonts in Österreich oder spezialisierte Anwälte für Stockfoto-Verletzungen an.
Profi-Tipp
Frag dich bei jedem Logo, Icon oder Foto auf deiner Website ehrlich: Habe ich dafür eine schriftliche Lizenz, einen Kaufbeleg oder einen Lizenzhinweis im Footer? Wenn die Antwort dreimal in Folge „weiß ich nicht” lautet, solltest du die Herkunft jedes Assets vor dem Live-Gang noch einmal sauber prüfen.
Markenrecht und SVGs als Hintertür
SVG-Dateien sehen wie Bilder aus, sind aber technisch kleine Programme. Sie können Skripte enthalten und unter bestimmten Umständen sogar im Browser ausgeführt werden. Eine ungeprüft eingebundene Drittanbieter-SVG kann also gleichzeitig ein Lizenz-, Marken- und Sicherheitsproblem sein. Und das ohne, dass es auf den ersten Blick auffällt.
Bitte beachte unsere Datenschutzbestimmungen bevor du dich für den Newsletter anmeldest.
Risiko 4: Unsichtbar für Google und KI-Suche
AI-Builder erzeugen Websites in der Regel als sogenannte Single-Page-Applications. Das ist eine moderne Bauform, bei der die ganze Seite erst im Browser zusammengesetzt wird. Für Besucher schaut alles normal aus. Für Suchmaschinen ist das Ergebnis aber häufig fatal.
Wenn der Google-Crawler oder ein AI-Crawler wie GPTBot, ClaudeBot oder PerplexityBot deine Seite besucht, sieht er beim ersten Blick fast leeres HTML. Erst nach Ausführung von JavaScript wird der Inhalt sichtbar. Google schafft das mittlerweile bei vielen Seiten, aber nicht zuverlässig. Die AI-Crawler hingegen führen kein JavaScript aus. Deine Website existiert für die neue KI-Suche also schlicht nicht.
Gut zu wissen
Die Core Web Vitals sind drei Messwerte, mit denen Google Ladegefühl und Stabilität deiner Website bewertet: LCP unter 2,5 Sekunden, INP unter 200 Millisekunden und CLS unter 0,1. AI-generierte Seiten überschreiten diese Werte in der Praxis fast immer, weil sie unnötig viele Bibliotheken laden und Bilder nicht optimieren.
Typische SEO-Mängel auf AI-Websites
- Generische oder fehlende Titel und Beschreibungen, die für alle Unterseiten gleich aussehen
- Keine strukturierten Daten, die Google deine Branche, Standorte oder Produkte verstehen lassen
- Keine vernünftige Sitemap und keine saubere robots.txt
- Schwache Mobile-Performance trotz hübschem Desktop-Layout
- Massen-Standortseiten („SEO-Stadtseiten”) mit fast identischem Inhalt, die Google laut offiziellen Spam-Richtlinien als „Scaled Content Abuse” abstrafen kann
Wer wissen will, wie moderne Suchmaschinenoptimierung wirklich gemacht wird und was sich an einer Website konkret für SEO verbessern lässt, findet das in unserem Artikel Was lässt sich für SEO optimieren.
Risiko 5: Barrierefreiheit und das BaFG seit 28. Juni 2025
Seit dem 28. Juni 2025 gilt in Österreich das Barrierefreiheitsgesetz (BaFG). Es betrifft vor allem digitale Angebote, die sich an Konsumentinnen und Konsumenten richten und auf einen Vertragsabschluss abzielen. Also Onlineshops, Buchungsplattformen, Terminkalender, digitale Kundenkonten oder Self-Service-Bereiche.
Für viele KMUs heißt das schlicht: Deine Website muss für Menschen mit Einschränkungen nutzbar sein. Das bedeutet sauberes HTML, klare Beschriftungen, Tastaturbedienung, gute Farbkontraste und verständliche Formulare. Verstöße können laut WKO mit Verwaltungsstrafen bis zu 80.000 Euro sanktioniert werden.
Warum AI-Builder hier systematisch scheitern
AI-Tools produzieren standardmäßig keine semantisch saubere Struktur. Sie nutzen oft <div> und <button> durcheinander, vergessen Alt-Texte für Bilder, setzen Farbkontraste nach „sieht schön aus” und nicht nach Lesbarkeit und erzeugen Formulare ohne saubere Beschriftung. Für einen blinden Nutzer, der mit einem Screenreader arbeitet, ist eine solche Seite praktisch unbenutzbar.
Welche Pflichten konkret gelten, wer ausgenommen ist und welche Punkte du auf deiner Website prüfen solltest, haben wir im Detail in unserem Artikel Barrierefreiheitsgesetz für Websites in Österreich erklärt.
AI ist ein Hilfsmittel, kein Autopilot
Das eigentliche Risiko einer mit AI gebauten Website ist nicht, dass sie nicht funktioniert. Das eigentliche Risiko ist, dass sie gut genug funktioniert, um online zu bleiben, und die Probleme erst dann sichtbar werden, wenn sie teuer geworden sind. Eine Abmahnung kommt nicht am ersten Tag. Ein Datenleck fällt selten am Wochenende des Launches auf. Das BaFG-Prüfschreiben trifft dich, wenn ein Konsument sich beschwert.
Unsere klare Empfehlung an KMUs und Selbstständige in Österreich:
- Nutze AI für Recherchen, Hobby-Projekte oder Optimierungen im Hintergrund
- Veröffentliche keine AI-Website ohne Prüfung von Recht, Sicherheit, Lizenzen, SEO und Barrierefreiheit
- Lass das Ergebnis von Menschen prüfen, die am Ende auch die Verantwortung dafür tragen
Wenn du unsicher bist, ob deine Website alle Anforderungen erfüllt, prüfen wir sie gerne kostenlos und sagen dir genau, wo die größten Risiken liegen und was sich verbessern lässt.
Häufige Fragen zu AI-gebauten Websites
Kann ChatGPT eine komplette Website erstellen?
Technisch ja: ChatGPT und Tools wie Lovable oder Bolt erzeugen in Minuten eine funktionierende Website samt Design und Texten. Was dabei entsteht, ist allerdings ein Prototyp, kein fertiges Geschäftsprodukt: Rechtstexte, Datenschutz, Barrierefreiheit, Sicherheit und Suchmaschinenoptimierung bleiben auf der Strecke.
Für ein Hobbyprojekt oder einen ersten Entwurf ist das großartig. Sobald die Website aber Kundendaten verarbeitet oder dein Markenauftritt ist, brauchst du jemanden, der den Code versteht und die Verantwortung dafür übernehmen kann. Die AI übernimmt sie nicht.
Ist eine mit KI erstellte Website in Österreich rechtlich sicher?
Nicht automatisch, in den meisten Fällen sogar nein. AI-Tools übernehmen häufig deutsche Mustertexte für Impressum und Datenschutzerklärung, kennen aber das österreichische ECG, das Mediengesetz und das Barrierefreiheitsgesetz nur eingeschränkt. Auch erfundene Firmenbuchnummern haben wir in AI-generierten Impressen schon gesehen.
Die Verantwortung liegt zu 100 Prozent bei dir als Unternehmer, nicht beim Tool. Welche Pflichten seit dem Barrierefreiheitsgesetz dazugekommen sind, liest du in unserem Artikel zum BaFG für Websites in Österreich. Im Zweifel: vor dem Livegang von einem Profi prüfen lassen.
Was ist Vibe Coding und warum ist es riskant?
Vibe Coding bedeutet, einer AI in Alltagssprache zu sagen, was sie bauen soll, und das Ergebnis zu übernehmen, ohne den Code zu lesen oder zu verstehen. Der Begriff stammt vom ehemaligen OpenAI-Mitgründer Andrej Karpathy.
Riskant wird es, weil dann niemand mehr weiß, was im Hintergrund wirklich passiert: offene Adminbereiche, API-Schlüssel im Quellcode oder Formulare ohne Schutz fallen erst auf, wenn etwas schiefgeht. Für ein Spielprojekt am Sonntagnachmittag in Ordnung, für eine Website mit Kundendaten ein echtes Haftungsrisiko.
Ranken KI-erstellte Websites schlechter bei Google?
Häufig ja. AI-Tools erzeugen oft Single-Page-Applications, bei denen der Inhalt erst nach dem Laden von JavaScript sichtbar wird. Google kommt damit teilweise zurecht, AI-Crawler wie GPTBot oder ClaudeBot dagegen kaum. Wer in ChatGPT und KI-Suchen auftauchen will, hat mit so einer Website schlechte Karten.
Dazu kommen meist fehlende strukturierte Daten, schwache Core Web Vitals und austauschbare Texte ohne lokalen Bezug. Eine sauber gebaute Website mit Server-Rendering und echten Inhalten ist in der Suche deutlich sichtbarer. Zum Vergleich: Unsere statisch generierten Websites erreichen regelmäßig 100/100 bei Google PageSpeed Insights.
Was passiert mit meiner Website, wenn Lovable oder Bolt den Dienst einstellt?
Dann sitzt du im Plattform-Lock-in: Deine Website lebt auf der Infrastruktur des Anbieters, nicht auf eigenem Hosting. Erhöht der Anbieter die Preise oder stellt das Produkt ein, was in dieser jungen Branche realistisch ist, gibt es keine einfache Umzugs-Option.
Eine klassisch entwickelte Website mit eigenem Code und eigenem Hosting kannst du dagegen jederzeit umziehen, weiterbauen oder von einem anderen Dienstleister übernehmen lassen. Dasselbe Problem gibt es übrigens auch bei Baukästen, mehr dazu in unserem Vergleich von Jimdo, Wix und WordPress.
Wer haftet für Fehler auf einer KI-erstellten Website?
Zu 100 Prozent du als Inhaber des Unternehmens. Weder OpenAI noch Lovable oder Replit übernehmen Haftung für rechtliche oder sicherheitstechnische Mängel auf deiner Website, das steht in jeder AGB dieser Anbieter.
Das gilt für Abmahnungen genauso wie für Datenschutzverstöße, fehlerhafte Preisangaben oder eine durchgesickerte Kundendatenbank. Im Zweifel klopft die österreichische Datenschutzbehörde oder der Anwalt der Gegenseite bei dir an, nicht beim AI-Tool.
Website mit KI selbst erstellen oder erstellen lassen?
Wenn die Website nur eine digitale Visitenkarte ohne Kundendaten sein soll, kannst du es mit KI selbst versuchen. Sobald sie aber Anfragen bringen, rechtlich sauber sein und bei Google gefunden werden soll, fährst du mit einer professionell erstellten Website besser, gerade weil die Folgekosten für Nachbesserungen eine AI-Website oft teurer machen als gedacht.
Bei uns bekommst du die komplette Website zum Fixpreis im niedrigen vierstelligen Bereich, in 4 bis 6 Wochen, inklusive SEO-Texten, Design und rechtlich sauberer Basis. Übrigens nutzen auch wir AI in der Entwicklung, aber mit jemandem dahinter, der jede Zeile versteht und dafür geradesteht. Das Erstgespräch ist kostenlos und unverbindlich.
Kann ich meine bestehende KI-Website prüfen und absichern lassen?
Ja. Wir prüfen Code, Formulare, Datenschutz, Lizenzen und Barrierefreiheit deiner AI-Website, dokumentieren die Lücken und schließen die kritischsten zuerst. Typische Funde sind offene Adminbereiche, API-Schlüssel im Quellcode und deutsche Rechtstexte auf österreichischen Websites.
Ehrlich gesagt: Bei stark verschachtelten Projekten ist ein sauberer Neuaufbau oft günstiger als monatelanges Flicken. Was für dich sinnvoller ist, sagen wir dir nach einem kostenlosen Blick auf deine Website, egal ob du in Wien, Linz oder Klagenfurt sitzt.
Barrierefreiheitsgesetz für Websites in Österreich
Wir zeigen, wer betroffen ist, was konkret umgesetzt werden muss und wie du deine Website rechtssicher barrierefrei aufstellst.
Sichtfenster-Check für Briefumschläge: Kostenloser PDF-Checker für alle Größen
Alles über Briefformate, DIN-Umschläge, Sichtfenster nach DIN 680, Faltarten & DIN 5008 – inkl. kostenlosem PDF-Sichtfenster-Check.
Tippfehler im Prompt - Beeinflussen Rechtschreibfehler die Qualität von ChatGPT?
Wie stark wirken sich Rechtschreibfehler im Prompt auf die Antwortqualität von ChatGPT, Claude und Gemini aus? Studien, Praxis-Erfahrungen und konkrete Tipps.