Eine Website in 30 Minuten und ein Problem für die nächsten 3 Jahre
Stell dir vor, du bist Handwerker in Wiener Neustadt, hast wenig Zeit und liest auf LinkedIn von einem Tool, das dir „eine professionelle Website in 5 Minuten” baut. Ein paar Sätze in ein Eingabefeld getippt und schon steht der Online-Auftritt. Sieht modern aus, hat Fotos, ein Kontaktformular und eine Preisliste. Das fühlt sich nach einem Volltreffer an.
In Wirklichkeit ist die Website aber oft das Gegenteil eines fertigen Geschäftsauftritts. Was nach außen poliert aussieht, hat im Hintergrund Lücken bei Recht, Sicherheit, Lizenzen, SEO und Barrierefreiheit. Genau diese Lücken kosten dich später Zeit, Nerven oder Geld.
In diesem Artikel zeigen wir dir die fünf wichtigsten Risiken, die du als KMU oder Selbstständiger in Österreich kennen solltest, bevor du eine Website per AI bauen lässt.
Was ist gemeint mit “AI baut deine Website”?
Hinter dem Trend stehen Plattformen wie Lovable, Bolt.new oder Replit. Du beschreibst in Alltagssprache, was du möchtest, das Tool erzeugt die Website samt Layout, Texten und ersten Funktionen. Code, Datenbank und Hosting werden im Hintergrund automatisch zusammengesteckt.
Der Trend ist kein Nischenthema mehr. TechCrunch berichtete im März 2025, dass bei einem Viertel der Start-ups aus dem Y-Combinator-Programm rund 95 Prozent des Codes von AI geschrieben wurde. Die Werkzeuge sind also überall.
Aus unserer Erfahrung: Bei uns landen Monat für Monat Unternehmer, die genau diesen Weg gegangen sind. Eine Steuerberaterin aus Graz, ein Tischler aus Linz, ein Café-Betreiber aus Salzburg. Die Website war schnell live, der Stolz war groß, drei bis sechs Monate später kam dann der Anruf. Mal war es eine Abmahnung, mal ein Datenleck, mal hat schlicht niemand mehr durchgeblickt, wie man eine simple Preisänderung einbaut.
Risiko 1: Rechtliche Stolperfallen für österreichische KMUs
Die Achillesferse des AI-Builders ist nicht die Technik, sondern das österreichische Recht. Eine kommerzielle Website in Österreich muss eine ganze Reihe von Pflichten gleichzeitig erfüllen: Informationspflichten nach dem E-Commerce-Gesetz (ECG), Offenlegungspflichten nach dem Mediengesetz, eine vollständige Datenschutzerklärung nach DSGVO und seit 28. Juni 2025 für viele Angebote auch das Barrierefreiheitsgesetz.
AI-Tools wurden überwiegend auf englisch- und deutschsprachigen Internettexten trainiert. Sie kennen die deutschen Rechtsgrundlagen wie das frühere TMG sehr gut. Vom österreichischen ECG, vom Mediengesetz, vom UGB oder von §63 GewO weiß die AI deutlich weniger. Das Ergebnis ist in der Praxis ein deutsches Impressum auf einer österreichischen Website, das hier die Pflichten nicht abdeckt.
Was konkret schiefgeht
- Impressum ohne Firmenbuchnummer und Gerichtsstand, weil die AI das Standard-Muster aus deutschen Quellen übernimmt
- Erfundene Daten, weil die AI eine plausibel aussehende Firmenbuchnummer einfach „halluziniert”
- Datenschutzerklärung als Textbaustein, in dem Tools genannt werden, die du gar nicht einsetzt, oder umgekehrt Tools fehlen, die im Hintergrund Daten verarbeiten
- Cookie-Banner ohne sauberen Consent, weil die AI das Banner zwar einbaut, aber das Tracking-Skript schon vor der Zustimmung lädt
- Kein Hinweis zur Blattlinie, sobald deine Seite einen Blog oder einen News-Bereich hat
Was das kosten kann
Die Strafrahmen in Österreich sind kein Nebengeräusch. Verstöße gegen das ECG können laut §26 ECG bis zu 3.000 Euro kosten. Verstöße gegen das Mediengesetz bis zu 20.000 Euro. DSGVO-Verstöße liegen im äußersten Fall bei bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für ein KMU mag das weit weg klingen, in der Praxis sind aber auch fünfstellige Strafen für einzelne Verstöße keine Seltenheit, wie die österreichische Datenschutzbehörde regelmäßig in ihren Tätigkeitsberichten dokumentiert.
Wichtig: Die österreichische Datenschutzbehörde (DSB) stellt in ihren FAQ klar: Die DSGVO bleibt auch im Zeitalter der KI vollständig anwendbar. Die Verantwortung dafür, dass die Datenverarbeitung auf deiner Website rechtmäßig ist, liegt zu 100 Prozent bei dir als Unternehmer und nicht beim AI-Tool.
Wenn du dich tiefer mit konkreten Fallstricken aus diesem Bereich beschäftigen möchtest, haben wir das im Detail in unserem Artikel Google Fonts und Datenschutz beschrieben. Genau jenes Schriftarten-Problem, das in Österreich 2022 zu rund 33.000 Abmahnschreiben geführt hat, bauen viele AI-Tools im Standard exakt so ein, wie sie damals abgemahnt wurde.
Risiko 2: Sicherheit und Datenlecks
Der zweite große Risikoblock ist die Sicherheit. Eine Website ist kein passives Plakat. Sie ist eine Software mit Datenbank, Kontaktformularen, Login-Bereichen, Zahlungsabläufen oder Buchungsstrecken. Genau hier zeigt sich, dass AI-Tools zwar funktionierenden Code erzeugen, aber selten sicheren Code.
Der Veracode GenAI Code Security Report 2025 hat über 100 große Sprachmodelle gegen 80 typische Programmieraufgaben antreten lassen. Das Ergebnis: Rund 45 Prozent des AI-generierten Codes enthielten Sicherheitslücken aus den OWASP-Top-10, der Standard-Liste der gravierendsten Web-Schwachstellen. Bei einzelnen Sprachen lag die Quote über 70 Prozent.
Wenn API-Keys offen im Netz liegen
Im Jänner 2026 ging die AI-gebaute Plattform Moltbook online. Drei Tage später entdeckten Sicherheitsforscher von Wiz, dass die Datenbank fehlkonfiguriert war. Ergebnis: 1,5 Millionen Authentifizierungs-Schlüssel, 35.000 E-Mail-Adressen und private Nachrichten waren öffentlich abrufbar. Gal Nagli von Wiz fasste es trocken zusammen: „Wir konnten die komplette Plattform lesen und beschreiben.”
Eine im Mai 2026 veröffentlichte Untersuchung der israelischen Sicherheitsfirma RedAccess zeigt, dass dieses Bild kein Einzelfall ist. Die Forscher fanden rund 380.000 öffentlich zugängliche, per AI gebaute Apps. Etwa 5.000 davon leakten aktiv sensible Unternehmens- und Personendaten, von medizinischen Befunden über Finanzunterlagen bis zu internen Strategiedokumenten.
Wichtig zur Einordnung: Sicherheitslücken bleiben in der Praxis oft monatelang unbemerkt. Eine offene Datenbank, ein im Frontend hinterlegter Schlüssel oder ein nicht abgesichertes Formular fallen nicht auf, weil die Website ja „funktioniert”. Erst wenn etwas passiert, fragt jemand nach dem Schutzniveau.
Die typischen AI-Fehler in Klartext
- API-Keys im Frontend: Zugangsschlüssel zu Bezahldiensten oder Datenbanken landen im sichtbaren Code, statt sicher am Server zu liegen. Wer mit der Rechtsklick-Funktion „Seitenquelltext anzeigen” arbeitet, kann sie auslesen
- Datenbank ohne Einschränkungen: Tools wie Supabase werden ohne sogenannte Row-Level-Security ausgeliefert. Das ist die Regel, die festlegt, wer welche Zeilen einer Tabelle sehen darf. Fehlt sie, kann jeder Besucher theoretisch alle Kundendaten lesen oder ändern, nicht nur die eigenen
- Formulare ohne Schutz: Kein Rate-Limit, keine Bot-Erkennung, keine Eingabeprüfung. Das öffnet Tür und Tor für Spam, Phishing oder Injection-Angriffe
- Verstecktes Schadcode-Risiko durch erfundene Pakete: AI-Tools halluzinieren gelegentlich Bibliotheken, die es nie gab. Angreifer registrieren diese Namen vorab mit Schadcode und warten, bis das Tool ihn das nächste Mal empfiehlt. Studien dazu sprechen mittlerweile von „Slopsquatting” als eigenem Angriffsvektor
Wenn dich das Thema Schwachstellen im Netz allgemein interessiert, haben wir dazu auch einen eigenen Artikel über XSS-Attacken und Website-Sicherheit geschrieben.
Trage deine Daten ein und erhalte eine kostenlose Einschätzung per E-Mail. Wir prüfen, ob deine Website in puncto Datenschutz, Impressum, Sicherheit, Barrierefreiheit und Sichtbarkeit sauber aufgestellt ist.
Bitte beachte unsere Datenschutzbestimmungen, bevor du diesen Service nutzt.
Risiko 3: Lizenzen, Icons und Bilder
Dieser Block ist die unterschätzteste Falle. Eine AI-generierte Website sieht hübsch aus, weil das Tool im Hintergrund Icons, Bilder, Schriftarten und Code-Bausteine aus vielen Quellen zusammenmischt. Was im Browser ansprechend wirkt, ist rechtlich oft sehr heikel:
- Manche Icon-Sammlungen sind frei nutzbar (z.B. Heroicons unter MIT, Tabler Icons unter MIT)
- Andere brauchen einen Namensnachweis im Footer (z.B. viele Flaticon-Icons in der Gratis-Version)
- Wieder andere sind nur mit Bezahllizenz erlaubt (z.B. FontAwesome Pro)
- Markenlogos sind grundsätzlich markenrechtlich geschützt, auch wenn das SVG technisch herumliegt
Eine AI weiß diese Unterschiede in der Regel nicht zuverlässig. Sie packt das Icon hinein, das thematisch passt. Ob die Lizenz dazu gegeben war, prüft niemand. Genau hier setzen Abmahnwellen wie 2022 mit Google Fonts in Österreich oder spezialisierte Anwälte für Stockfoto-Verletzungen an.
Profi-Tipp: Frag dich bei jedem Logo, Icon oder Foto auf deiner Website ehrlich: Habe ich dafür eine schriftliche Lizenz, einen Kaufbeleg oder einen Lizenzhinweis im Footer? Wenn die Antwort dreimal in Folge „weiß ich nicht” lautet, solltest du die Herkunft jedes Assets vor dem Live-Gang noch einmal sauber prüfen.
Markenrecht und SVGs als Hintertür
SVG-Dateien sehen wie Bilder aus, sind aber technisch kleine Programme. Sie können Skripte enthalten und unter bestimmten Umständen sogar im Browser ausgeführt werden. Eine ungeprüft eingebundene Drittanbieter-SVG kann also gleichzeitig ein Lizenz-, Marken- und Sicherheitsproblem sein. Und das ohne, dass es auf den ersten Blick auffällt.
Bitte beachte unsere Datenschutzbestimmungen bevor du dich für den Newsletter anmeldest.
Risiko 4: Unsichtbar für Google und KI-Suche
AI-Builder erzeugen Websites in der Regel als sogenannte Single-Page-Applications. Das ist eine moderne Bauform, bei der die ganze Seite erst im Browser zusammengesetzt wird. Für Besucher schaut alles normal aus. Für Suchmaschinen ist das Ergebnis aber häufig fatal.
Wenn der Google-Crawler oder ein AI-Crawler wie GPTBot, ClaudeBot oder PerplexityBot deine Seite besucht, sieht er beim ersten Blick fast leeres HTML. Erst nach Ausführung von JavaScript wird der Inhalt sichtbar. Google schafft das mittlerweile bei vielen Seiten, aber nicht zuverlässig. Die AI-Crawler hingegen führen kein JavaScript aus. Deine Website existiert für die neue KI-Suche also schlicht nicht.
Wichtig zu wissen: Die Core Web Vitals sind drei Messwerte, mit denen Google Ladegefühl und Stabilität deiner Website bewertet: LCP unter 2,5 Sekunden, INP unter 200 Millisekunden und CLS unter 0,1. AI-generierte Seiten überschreiten diese Werte in der Praxis fast immer, weil sie unnötig viele Bibliotheken laden und Bilder nicht optimieren.
Typische SEO-Mängel auf AI-Websites
- Generische oder fehlende Titel und Beschreibungen, die für alle Unterseiten gleich aussehen
- Keine strukturierten Daten, die Google deine Branche, Standorte oder Produkte verstehen lassen
- Keine vernünftige Sitemap und keine saubere robots.txt
- Schwache Mobile-Performance trotz hübschem Desktop-Layout
- Massen-Standortseiten („SEO-Stadtseiten”) mit fast identischem Inhalt, die Google laut offiziellen Spam-Richtlinien als „Scaled Content Abuse” abstrafen kann
Wer wissen will, wie moderne Suchmaschinenoptimierung wirklich gemacht wird und was sich an einer Website konkret für SEO verbessern lässt, findet das in unserem Artikel Was lässt sich für SEO optimieren.
Risiko 5: Barrierefreiheit und das BaFG seit 28. Juni 2025
Seit dem 28. Juni 2025 gilt in Österreich das Barrierefreiheitsgesetz (BaFG). Es betrifft vor allem digitale Angebote, die sich an Konsumentinnen und Konsumenten richten und auf einen Vertragsabschluss abzielen. Also Onlineshops, Buchungsplattformen, Terminkalender, digitale Kundenkonten oder Self-Service-Bereiche.
Für viele KMUs heißt das schlicht: Deine Website muss für Menschen mit Einschränkungen nutzbar sein. Das bedeutet sauberes HTML, klare Beschriftungen, Tastaturbedienung, gute Farbkontraste und verständliche Formulare. Verstöße können laut WKO mit Verwaltungsstrafen bis zu 80.000 Euro sanktioniert werden.
Warum AI-Builder hier systematisch scheitern
AI-Tools produzieren standardmäßig keine semantisch saubere Struktur. Sie nutzen oft <div> und <button> durcheinander, vergessen Alt-Texte für Bilder, setzen Farbkontraste nach „sieht schön aus” und nicht nach Lesbarkeit und erzeugen Formulare ohne saubere Beschriftung. Für einen blinden Nutzer, der mit einem Screenreader arbeitet, ist eine solche Seite praktisch unbenutzbar.
Welche Pflichten konkret gelten, wer ausgenommen ist und welche Punkte du auf deiner Website prüfen solltest, haben wir im Detail in unserem Artikel Barrierefreiheitsgesetz für Websites in Österreich erklärt.
AI ist ein Hilfsmittel, kein Autopilot
Das eigentliche Risiko einer mit AI gebauten Website ist nicht, dass sie nicht funktioniert. Das eigentliche Risiko ist, dass sie gut genug funktioniert, um online zu bleiben, und die Probleme erst dann sichtbar werden, wenn sie teuer geworden sind. Eine Abmahnung kommt nicht am ersten Tag. Ein Datenleck fällt selten am Wochenende des Launches auf. Das BaFG-Prüfschreiben trifft dich, wenn ein Konsument sich beschwert.
Unsere klare Empfehlung an KMUs und Selbstständige in Österreich:
- Nutze AI für Recherchen, Hobby-Projekte oder Optimierungen im Hintergrund
- Veröffentliche keine AI-Website ohne Prüfung von Recht, Sicherheit, Lizenzen, SEO und Barrierefreiheit
- Lass das Ergebnis von Menschen prüfen, die am Ende auch die Verantwortung dafür tragen
Wenn du unsicher bist, ob deine Website alle Anforderungen erfüllt, prüfen wir sie gerne kostenlos und sagen dir genau, wo die größten Risiken liegen und was sich verbessern lässt.
Häufige Fragen zu AI-gebauten Websites
Stimmt es, dass mit AI gebaute Websites für Google schlechter ranken?
In vielen Fällen ja. AI-Tools erzeugen häufig Single-Page-Applications, bei denen der eigentliche Inhalt erst nach dem Laden von JavaScript sichtbar wird. Google kommt damit teilweise zurecht, AI-Crawler wie GPTBot oder ClaudeBot dagegen nicht.
Dazu kommen oft fehlende strukturierte Daten, schwache Core Web Vitals und generische Inhalte. Eine sauber gebaute Website mit Server-Rendering, klaren Inhalten und sauberer Struktur ist in der Suche deutlich sichtbarer.
Ist eine AI-Website günstiger als eine professionell erstellte Website?
Auf den ersten Blick fast immer ja. Auf das gesamte Projekt gerechnet aber häufig nein. Zu den Kosten der AI-Plattform kommen meist Folgekosten für rechtliche Nachbesserung, Sicherheits-Audits, SEO-Optimierung und im Worst Case Abmahnungen oder Strafen.
Kann ich mir mein Impressum und meine Datenschutzerklärung von ChatGPT schreiben lassen?
Für eine erste grobe Vorlage ja, für die veröffentlichte Endfassung nein. AI-Tools übernehmen häufig deutsche Mustertexte, die in Österreich entweder unvollständig sind oder falsche Gesetze zitieren. Erfundene Firmenbuchnummern sind auch ein häufiges Problem.
Kann ich meine Unternehmenswebsite komplett selbst mit KI erstellen?
Technisch ja. Geschäftlich ist davon in den meisten Fällen abzuraten, sobald die Website Kundendaten verarbeitet, einen Vertragsabschluss vorbereitet oder dein Markenauftritt ist.
Wie erkenne ich, ob meine AI-Website ein Sicherheitsproblem oder Datenleck hat?
Typische Warnzeichen sind öffentlich zugängliche Adminbereiche, fehlende Anmeldepflicht für Funktionen, die Daten lesen, sowie API-Schlüssel im Quellcode der Website.
Ein Hinweis sind auch ungewöhnliche Spam-Anfragen oder Datensätze in deiner Datenbank, die du selbst nie eingetragen hast.
Kann eine bereits live geschaltete AI-Website noch nachträglich abgesichert werden?
In vielen Fällen ja, aber der Aufwand ist höher als bei einem sauberen Neubau. Wir prüfen Code, Datenbank, Lizenzen, Datenschutz und Barrierefreiheit, dokumentieren die Lücken und schließen die kritischsten zuerst.
Bei sehr verschachtelten oder schlecht wartbaren Projekten ist es ehrlicher, dem Kunden gleich zu einem sauberen Neuaufbau zu raten, statt sich Monate lang mit Notpflastern abzumühen.
