8 Min. LesezeitLennart Rabe

DSGVO-konform mit Kundenfotos arbeiten: Leitfaden für Solarbetriebe

Dachfotos, Drohnenaufnahmen, KI-Visualisierungen: Worauf Solarbetriebe bei der DSGVO achten müssen. Praxis-Leitfaden mit Checkliste und Textbausteinen.

Drohnenaufnahme eines Solarparks mit naturnaher Bepflanzung – Sinnbild für Datenschutz bei Luftbildern und Kundenfotos

Immer mehr Solarbetriebe setzen auf Dachfotos, Drohnenaufnahmen und KI-generierte Visualisierungen, um ihre Vertriebsquote zu steigern. Was dabei schnell vergessen wird: Diese Bilder sind datenschutzrechtlich keineswegs harmlos. Wer hier nicht aufpasst, riskiert Abmahnungen und Bußgelder – und im schlimmsten Fall das Vertrauen des Kunden. Dieser Leitfaden zeigt, worauf es ankommt.

Hinweis: Dieser Artikel ist eine praxisorientierte Orientierungshilfe und ersetzt keine Rechtsberatung. Für den Einzelfall konsultieren Sie bitte einen Datenschutzbeauftragten oder Fachanwalt.

Wann gilt ein Dachfoto als personenbezogene Daten?

Die DSGVO greift, sobald sich eine Information einer natürlichen Person zuordnen lässt. Bei einem Dachfoto klingt das erstmal absurd – aber es ist nicht aus der Luft gegriffen. Ein Dachfoto wird zu personenbezogenen Daten, sobald es in Kombination mit anderen Informationen einer Person zuordenbar ist. Und genau das ist bei Ihnen als Solarbetrieb fast immer der Fall: Sie haben Name, Adresse und E-Mail des Kunden, und das Foto zeigt genau sein Haus.

Darüber hinaus können auf einem Dachfoto weitere Personenmit abgebildet sein – etwa Nachbarn im Hintergrund. Bei Drohnenaufnahmen ist das Risiko besonders hoch.

Die richtige Rechtsgrundlage wählen

Die DSGVO verlangt für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage nach Art. 6 Abs. 1. In Ihrem Fall kommen in der Regel drei in Frage:

  • Vertragserfüllung (lit. b): Sie verarbeiten das Foto, um dem Kunden ein Angebot zu erstellen. Das ist die saubere Grundlage,wenn ein klarer Auftragsbezug besteht. Praktisch heißt das: Der Kunde hat ein Angebot angefragt, und das Foto ist Teil der Angebotserstellung.
  • Berechtigtes Interesse (lit. f): Kann greifen, ist aber erklärungsbedürftig. Sie müssen Ihr Interesse dokumentieren und gegen die Interessen des Kunden abwägen.
  • Einwilligung (lit. a): Die rechtlich sicherste Variante. Der Kunde willigt ausdrücklich ein, dass Sie Fotos seines Hauses verarbeiten dürfen. Holen Sie diese Einwilligung am besten schriftlich oder digital protokolliert ein.

Praxis-Checkliste

Wer die folgenden Punkte berücksichtigt, ist datenschutzrechtlich sauber aufgestellt:

  1. Einwilligung dokumentieren. Lassen Sie sich beim Erstgespräch oder bei der Angebotsanfrage schriftlich (oder per Ankreuzfeld im Formular) bestätigen, dass Sie Fotos des Gebäudes zu Visualisierungs- und Angebotszwecken verarbeiten dürfen.
  2. Datensparsamkeit. Fotografieren Sie nur, was Sie brauchen. Keine Personen, keine Nachbargrundstücke, keine Fensterdurchsichten. Wenn das nicht vermeidbar ist: unkenntlich machen.
  3. Zweckbindung. Die Fotos dürfen nur für die Angebotserstellung und Visualisierung verwendet werden, nicht für Marketing – es sei denn, der Kunde hat dem ausdrücklich zugestimmt (z. B. „darf als Referenzprojekt verwendet werden“).
  4. Löschfristen. Legen Sie intern fest, wie lange Fotos aufbewahrt werden. Eine übliche Praxis: Aufbewahrung bis zum Ende der gesetzlichen Aufbewahrungsfristen für das zugehörige Angebot/Vertrag, danach Löschung.
  5. Technisch-organisatorische Maßnahmen (TOMs). Fotos verschlüsselt speichern, Zugriff nur für berechtigte Mitarbeiter.
  6. Verzeichnis von Verarbeitungstätigkeiten (VVT). Nehmen Sie die Verarbeitung von Kundenfotos in Ihr VVT auf. Das ist nach Art. 30 DSGVO Pflicht.
  7. Datenschutzerklärung aktualisieren. Informieren Sie Ihre Kunden in Ihrer Datenschutzerklärung transparent darüber, wie Sie mit Fotos umgehen und welche Tools Sie dabei einsetzen.

KI-Tools und die DSGVO: worauf achten?

Wer Kundenfotos an ein KI-Tool zur Visualisierung übergibt, reicht sie an einen Auftragsverarbeiter weiter. Das ist zulässig – aber nur unter bestimmten Bedingungen:

  • Auftragsverarbeitungsvertrag (AVV): Nach Art. 28 DSGVO muss ein AVV zwischen Ihnen und dem Anbieter bestehen. Prüfen Sie, ob der Anbieter einen bereitstellt.
  • Serverstandort: Anbieter mit Servern in Deutschland oder der EU sind rechtlich deutlich einfacher zu handhaben als US-Anbieter. Bei Übermittlung in Drittländer brauchen Sie Standardvertragsklauseln (SCCs) und ggf. ein Transfer Impact Assessment.
  • Kein Training mit Kundendaten: Achten Sie darauf, dass der Anbieter vertraglich ausschließt, Ihre Kundenfotos zum Training eigener KI-Modelle zu verwenden. Seriöse Anbieter regeln das explizit.
  • Löschung nach Verarbeitung: Die Fotos sollten zeitnah nach der Verarbeitung wieder gelöscht werden – idealerweise innerhalb von 24 Stunden. Das minimiert Ihr Risiko im Fall eines Datenlecks beim Anbieter.

Wie PV VisionGen mit diesen Anforderungen umgeht

Kurz gesagt: PV VisionGen ist so gebaut, dass Sie die DSGVO-Anforderungen in der Solarbranche sauber erfüllen können:

  • Server in Deutschland (Hetzner, Nürnberg/Falkenstein). Keine Datenübermittlung in die USA durch uns.
  • Automatische Löschung hochgeladener Bilder innerhalb von 24 Stunden.
  • Kein KI-Training mit Kundendaten – weder durch uns noch durch die verwendeten KI-Anbieter (Google Gemini, Anthropic Claude), deren Enterprise-APIs das vertraglich ausschließen.
  • AVV auf Anfrage: Wir stellen einen Auftragsverarbeitungsvertrag bereit. Schreiben Sie an info@pv-visiongen.de.
  • Transparente KI-Dokumentation: Details zum KI-Einsatz, Risikoeinstufung nach EU AI Act und verwendeten Modellen finden Sie in unserer KI-Dokumentation.

Textbaustein: Einwilligung für Kundenfotos

Sie dürfen den folgenden Baustein als Ausgangspunkt für Ihr eigenes Angebotsformular verwenden – bitte lassen Sie ihn vor dem Einsatz durch eine datenschutzrechtlich versierte Person prüfen:

Ich willige ein, dass [Firmenname] im Rahmen der Angebotserstellung Fotos meines Gebäudes und Grundstücks anfertigen, speichern und zur Erstellung einer Visualisierung an den Auftragsverarbeiter PV VisionGen (Lennart Rabe Einzelunternehmen, München) übermitteln darf. Die Fotos werden ausschließlich für die Erstellung des Angebots verwendet und nach Abschluss des Angebotsprozesses gelöscht. Diese Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen.

Fazit

DSGVO-konformes Arbeiten mit Kundenfotos ist weder kompliziert noch teuer – aber es erfordert bewusste Entscheidungen. Wer die Einwilligung sauber einholt, die richtigen Tools nutzt und die Löschfristen einhält, kann die Vorteile von KI-Visualisierungen voll ausschöpfen, ohne rechtliche Risiken einzugehen. Die Wahl eines DSGVO-freundlichen Tools ist dabei der größte Hebel: Ein Anbieter mit Serverstandort in Deutschland, klarer AVV und Löschfristen macht Ihr Leben deutlich leichter.

Weiterlesen

Testen Sie PV VisionGen kostenlos

Laden Sie ein Foto hoch und sehen Sie in Minuten, wie eine fotorealistische PV-Visualisierung Ihren Vertrieb verändern kann. Keine Kreditkarte erforderlich.

Jetzt kostenlos testenPreise ansehen

Ähnliche Artikel

Nahaufnahme einer Aufdach-PV-Anlage auf einem Einfamilienhaus

EEG-Reform 2027: Was der Wegfall der Einspeisevergütung für Solarbetriebe bedeutet

8 Min. Lesezeit

Fotorealistische PV-Visualisierung eines Mehrfamilienhauses mit Satteldach

PV-Visualisierung: 7 Tools im Vergleich 2026

9 Min. Lesezeit