Vibe Coding und DSGVO: Warum deine KI-Website vielleicht illegal ist

KI-Agenten wie Claude Code und Codex liefern in wenigen Stunden eine funktionierende Website, schmuggeln dabei aber stillschweigend DSGVO-Verstöße ein, die niemand bestellt hat: Cookies vor der Einwilligung, personenbezogene Daten für die Ewigkeit, kein Weg, sie zu löschen. Hier liest du, warum das bei jedem Coding-Agenten passiert, was es kosten kann und welcher kostenlose Claude-Code-Skill dein Projekt auf DSGVO-Probleme scannt und sie behebt.

Du beschreibst einem Coding-Agenten eine App, er schreibt den Code, du deployst, und ein paar Stunden später hast du ein echtes Produkt online. Das ist das Versprechen des Vibe Coding, und meistens wird es eingelöst. Die Seite lädt, die Registrierung funktioniert, das Dashboard sieht sauber aus. Alles, was du sehen kannst, ist in Ordnung.

Das Problem ist alles, was du nicht sehen kannst. Während er deine Features verkabelt hat, hat der Agent nebenbei Dutzende kleiner Entscheidungen über Cookies, Tracking, Datenspeicherung und Nutzerrechte getroffen. Niemand hat ihn gebeten, an das Gesetz zu denken, also hat er es nicht getan. Wenn du live gehst, sitzt deine funkelnagelneue Seite vielleicht schon auf einem Stapel DSGVO-Verstöße, und du ahnst nichts davon.

Das ist kein Claude-Problem und kein Codex-Problem. Es ist eine strukturelle Eigenschaft der Art, wie KI-Coding-Agenten arbeiten, und sie gilt für jeden einzelnen von ihnen. Gehen wir genau durch, was schiefläuft, was es kosten kann und welcher kostenlose Claude-Code-Skill diese Probleme findet und behebt, bevor eine Aufsichtsbehörde es tut.

Was ein KI-Coding-Agent klammheimlich falsch macht

Ein Coding-Agent optimiert auf eine einzige Sache: das Feature zum Laufen zu bringen. Bitte ihn um Analytics, und er wirft ein Tracking-Skript hinein. Bitte ihn um ein Kontaktformular, und er speichert jede Übermittlung in einer Tabelle. Bitte ihn um ein Login, und er hält Nutzerdatensätze auf unbegrenzte Zeit vor. Jede Entscheidung ist für sich genommen vernünftig. Zusammengenommen ergeben sie die Lehrbuchliste der Verstöße, die Aufsichtsbehörden am häufigsten ahnden.

Hier ist, was auf einer typischen, im Vibe Coding gebauten Seite durchrutscht:

  • Cookies und Tracker feuern vor der Einwilligung. Analytics, eingebettete Karten, Schriftarten, Social Pixel und Session-Tools laden in dem Moment, in dem die Seite öffnet. Nach DSGVO und ePrivacy-Regeln brauchen nicht notwendige Cookies eine vorherige, freiwillig erteilte Einwilligung. Eine Seite, die sie schon beim ersten Aufbau setzt, ist bereits nicht konform, und ein Cookie-Banner, das erst auftaucht, nachdem der Tracker gefeuert hat, ändert daran nichts.
  • Personenbezogene Daten werden für die Ewigkeit gespeichert. Der Agent legt eine users-Tabelle, eine submissions-Tabelle und eine logs-Tabelle an und fügt nie eine Aufbewahrungsrichtlinie hinzu. Die DSGVO verlangt, personenbezogene Daten nur so lange aufzubewahren, wie du sie tatsächlich brauchst. "Für immer, nur für den Fall" ist genau der Verstoß gegen die Speicherbegrenzung, den das Gesetz unterbinden sollte.
  • Es gibt keinen Weg, deine Daten zu löschen. Nutzer haben ein Recht auf Löschung, das sogenannte Recht auf Vergessenwerden. Fast keine im Vibe Coding gebaute App liefert einen "Konto löschen"-Ablauf oder einen dokumentierten Prozess, um eine Löschanfrage zu erfüllen. Die Daten gehen rein, und es gibt keine Tür mit der Aufschrift Ausgang.
  • Kein Pfad für Auskunft oder Übertragbarkeit. Menschen können eine Kopie von allem verlangen, was du über sie gespeichert hast. Wenn deine einzige Antwort eine manuelle Datenbankabfrage ist, die du nie getestet hast, erfüllst du die Pflichten zu Auskunft und Datenübertragbarkeit nicht.
  • Daten Dritter verlassen die EU im Stillen. Dieses Analytics-Skript oder diese gehostete Schriftart, die du in zwei Sekunden eingebaut hast, schickt vielleicht IP-Adressen und Identifikatoren an Server außerhalb der EU, ohne dass ein rechtlicher Übermittlungsmechanismus existiert.
  • Kein Verzeichnis dessen, was du erhebst. Die DSGVO erwartet, dass du deine Verarbeitungstätigkeiten kennst und dokumentierst. Eine App, deren Datenflüsse nur im längst vergessenen Chatverlauf des Agenten leben, hat überhaupt kein Verzeichnis.

Nichts davon zeigt sich in einer Demo. Die App funktioniert perfekt. Die rechtliche Schicht fehlt einfach, und sie bleibt verschwunden, bis sich jemand beschwert oder eine Aufsichtsbehörde anklopft.

Zweispaltiger Vergleich mit dem Titel was ausgeliefert wird gegen was das Gesetz verlangt. Die linke Spalte listet mit grünen Häkchen, was ein KI-Coding-Agent liefert: Authentifizierung funktioniert, die Oberfläche ist poliert, Zahlungen sind live, der Build ist sauber. Die rechte Spalte listet mit roten Warnzeichen, die nacheinander einblenden, was die DSGVO verlangt: Einwilligung vor Cookies, eine Aufbewahrungsgrenze für Daten, das Recht auf Löschung, eine dokumentierte Rechtsgrundlage. Eine gestrichelte Lücke läuft mittig hinunter und zeigt den stillen Raum zwischen einer Seite, die läuft, und einer Seite, die konform ist.

Der Agent füllt die linke Spalte fehlerfrei. Die rechte Spalte ist der Teil, den niemand ihn zu bauen gebeten hat, also bleibt sie leer.

Warum jeder Coding-Agent das tut, nicht nur Claude

Es ist verlockend, ein einzelnes Werkzeug verantwortlich zu machen, aber die Ursache liegt tiefer. Coding-Agenten lernen aus öffentlichem Code, und der meiste öffentliche Code wurde nie mit Blick auf die DSGVO geschrieben. Wenn ein Modell zehntausend Beispiele von "Google Analytics hinzufügen" gesehen hat, die das Skript direkt in den <head> werfen, dann ist das das Muster, das es reproduziert. Die Trainingsdaten codieren die schlechte Angewohnheit, also erbt die Ausgabe sie.

Es gibt harte Zahlen zur breiteren Variante dieses Problems. Veracodes 2025 GenAI Code Security Report hat die Ausgabe von mehr als 100 großen Sprachmodellen über Dutzende von Coding-Aufgaben getestet und festgestellt, dass 45 % des KI-generierten Codes eine Sicherheitslücke einführten. Dieselbe Studie fand, dass von KI geschriebener Code 2,74-mal mehr Schwachstellen aufwies als von Menschen geschriebener Code, und, bezeichnenderweise, dass neuere und größere Modelle nicht besser abschnitten. Das ist strukturell, kein Bug, den das nächste Release wegpatcht.

Datenschutzkonformität hat dieselbe Form wie Sicherheit. Beide sind unsichtbare Anforderungen, an denen das Ziel "bring es zum Laufen" schnurstracks vorbeigeht. Egal also, ob du Claude Code oder Codex, Antigravity CLI, Cursor oder einen beliebigen anderen Agenten steuerst, du bist demselben blinden Fleck ausgesetzt. Das Werkzeug ändert sich, die Lücke nicht.

Was ein DSGVO-Verstoß tatsächlich kosten kann

Hier hört es auf, abstrakt zu sein. DSGVO-Bußgelder sind auf den höheren der beiden Werte gedeckelt, 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes, und die Aufsichtsbehörden haben begonnen, das obere Ende dieser Spanne auszuschöpfen.

Allein 2025 verhängte die französische Datenschutzbehörde CNIL 486 Mio. Euro an Bußgeldern, fast zehnmal so viel wie ihr Gesamtwert für 2024. Zwei Entscheidungen an einem einzigen Tag im September machten den Großteil davon aus: 325 Mio. Euro gegen Google wegen Mängeln bei Cookies und Werbetransparenz und 150 Mio. Euro gegen Shein wegen ohne Einwilligung gesetzter Tracker. Die exakten Fehlerkategorien, die ein KI-Agent standardmäßig ausliefert, sind dieselben Kategorien, die neunstellige Strafen nach sich ziehen.

Es ist leicht, diese Zahlen zu lesen und anzunehmen, Aufsichtsbehörden jagten nur die Giganten. Tun sie nicht. Die CNIL betreibt ein vereinfachtes Verfahren, das genau auf kleine, faktische Fälle zielt: ein nicht konformes Cookie-Banner, eine ignorierte Auskunftsanfrage, eine schwache Passwortrichtlinie. Das sind die Brot-und-Butter-Befunde eines kleinen Unternehmens, und es sind genau die Dinge, die eine im Vibe Coding gebaute Seite falsch macht. Die Größe deines Unternehmens ändert die Höhe des Bußgelds, nicht die Frage, ob du eines bekommen kannst.

Ein vertikales Balkendiagramm mit dem Titel wo die DSGVO-Bußgelder 2025 landeten. Drei Balken steigen von einer Grundlinie auf, während sie einblenden: 150 Mio. Euro gegen Shein für ohne Einwilligung gesetzte Tracker, 325 Mio. Euro gegen Google für Mängel bei Cookies und Transparenz und der höchste Balken bei 486 Mio. Euro, die Gesamtsumme, die die französische Aufsichtsbehörde 2025 verhängte, fast zehnmal so viel wie im Vorjahr. Ein Badge in der Ecke vermerkt die rechtliche Obergrenze von 20 Mio. Euro oder 4 Prozent des weltweiten Umsatzes pro Verstoß.

Die Schlagzeilen-Bußgelder treffen große Unternehmen, aber die Verstöße dahinter, Cookies ohne Einwilligung und fehlende Transparenz, sind dieselben, die ein Coding-Agent auf einer kleinen Seite standardmäßig ausliefert.

Was die DSGVO wirklich verlangt (in einfachen Worten)

Du musst kein Jurist werden, um den Großteil der Lücke zu schließen. Der Kern der alltäglichen Konformität läuft auf eine Handvoll konkreter Verhaltensweisen hinaus, die dein Code entweder hat oder nicht:

  • Einwilligung vor nicht notwendigen Cookies. Nichts, das trackt, profiliert oder misst, sollte laufen, bevor der Nutzer aktiv zugestimmt hat. Unbedingt erforderliche Cookies sind die einzige Ausnahme.
  • Eine Rechtsgrundlage für jedes einzelne Datum, das du erhebst. Einwilligung, Vertrag oder berechtigtes Interesse, entschieden, bevor du etwas speicherst, nicht danach.
  • Datenminimierung. Erhebe nur, was das Feature wirklich braucht. Der Instinkt des Agenten, alles zu loggen, ist das genaue Gegenteil davon.
  • Aufbewahrungsgrenzen. Jede Kategorie personenbezogener Daten braucht eine definierte Lebensdauer und einen Weg, sie zu löschen, wenn diese Zeit abgelaufen ist.
  • Die Betroffenenrechte. Auskunft, Berichtigung, Löschung und Übertragbarkeit brauchen alle einen echten, funktionierenden Pfad, nicht ein Versprechen in einer Datenschutzerklärung.
  • Eine klare Datenschutzerklärung und ein Verarbeitungsverzeichnis. Menschen sollten sehen können, was du erhebst und warum, und du solltest es belegen können.

Lies diese Liste gegen den Abschnitt darüber, was Agenten falsch machen, und die Überschneidung ist nahezu perfekt. Die gute Nachricht ist: Weil es sich um konkrete Verhaltensweisen auf Code-Ebene handelt, kann ein Werkzeug danach scannen.

Die Lösung: ein kostenloser Claude-Code-Skill, der scannt und repariert

Hier ist der Teil, den die manuelle Checkliste dir nicht geben kann: ein automatisierter Durchlauf über deine tatsächliche Codebasis. Ein Entwickler namens Jeremy Longshore hat einen kostenlosen, quelloffenen Claude-Code-Skill namens scanning-for-gdpr-compliance veröffentlicht (in manchen Marketplaces als GDPR Compliance Scanner gelistet), der genau das tut. Er lebt im Repository claude-code-plugins-plus und läuft vollständig innerhalb von Claude Code, es gibt also keinen separaten Dienst, für den du dich anmelden musst.

Der Skill liest dein Projekt so, wie es ein Datenschutzauditor tun würde. Er inspiziert Datenflüsse, Speicherorte, Verarbeitungstätigkeiten, Einwilligungsmechanismen, Aufbewahrungsrichtlinien, Zugriffskontrollen und die Art, wie du mit Betroffenenrechten umgehst. Dann tut er drei Dinge, die zählen:

  1. Er erkennt. Regelbasierte Prüfungen markieren die oben genannten Muster: Tracker, die vor der Einwilligung feuern, personenbezogene Daten ohne Aufbewahrungsgrenze, fehlende Löschpfade, undokumentierte Verarbeitung.
  2. Er klassifiziert nach Schweregrad. Die Befunde kommen bewertet und priorisiert zurück, sodass ein Tracker, der Identifikatoren leakt, vor einer fehlenden Zeile in deiner Datenschutzerklärung rangiert. Du behebst zuerst die gefährlichen Dinge, statt in einer flachen Liste zu ertrinken.
  3. Er behebt in deinem Code. Weil er innerhalb des Agenten läuft, erzeugt er nicht bloß einen Bericht, auf den du später reagieren musst. Er kann die empfohlenen Änderungen direkt umsetzen und verwandelt "hier hast du ein Problem" in eine echte Bearbeitung im selben Durchlauf.

Die Installation ist ein Einzeiler. Mit dem Plugin-Marketplace fügst du die Quelle hinzu und installierst den Skill:

/plugin marketplace add jeremylongshore/claude-code-plugins-plus

Dann löst du einen Scan in natürlicher Sprache aus. Der Skill reagiert auf Formulierungen wie:

scan GDPR compliance
check data privacy
validate GDPR

Du kannst ihn auch installieren, indem du den Skill-Ordner in das Verzeichnis .claude/skills/ deines Projekts legst, die Standardart, wie Claude Code Skills entdeckt. So oder so läuft der Scan gegen dein echtes Repository, nicht gegen eine abstrakte Checkliste.

Ein von links nach rechts verlaufendes Pipeline-Diagramm mit dem Titel scannen, klassifizieren, beheben. Eine Box mit der Beschriftung deine Codebasis speist eine Box mit der Beschriftung der DSGVO-Skill scannt, die in einen Stapel aus drei Schweregrad-Stufen mit den Beschriftungen kritisch, hoch und mittel mündet, die nacheinander aufleuchten, was dann in eine Box mit der Beschriftung Korrektur im Code angewendet fließt und in einer grünen Box mit der Beschriftung näher an konform endet. Ein kleiner Marker wandert den Pfad entlang und zeigt ein Projekt, das den Ablauf durchläuft.

Codebasis rein, priorisierte Befunde in der Mitte, echte Code-Änderungen raus. Dieselbe Schleife, die du schon für Features nutzt, auf die Konformität gerichtet.

Ein fairer Hinweis zur Vorsicht, denn Ehrlichkeit gehört hier zum Vertrauen: ein Scan ist keine juristische Freigabe. Der Skill fängt die mechanischen Verstöße auf Code-Ebene ab, die den Großteil des alltäglichen Risikos ausmachen, die Cookies, die Aufbewahrung, den fehlenden Löschpfad, und bringt dich in wenigen Minuten dramatisch näher an konform. Er ersetzt keinen Datenschutzanwalt für alles Sensible, keine Datenschutz-Folgenabschätzung und nicht die Verarbeitung von Gesundheitsdaten. Sieh ihn als die technische erste Runde, die die offensichtlichen Verstöße entfernt, und hol dann menschliche Prüfung für die Grenzfälle hinzu.

Warum das schwieriger wird, wenn du eine Flotte von Agenten betreibst

Ein Entwickler mit einem Agenten hat eine Codebasis ehrlich zu halten. In dem Moment, in dem du mehrere Agenten parallel laufen lässt, von denen jeder Features in dasselbe Produkt ausliefert, vervielfacht sich die Angriffsfläche für stille Verstöße. Ein Agent fügt ein Analytics-Skript hinzu, ein anderer zieht eine Logging-Tabelle hoch, ein dritter verkabelt ein Drittanbieter-Widget, und kein einzelner Mensch hat je die Datenschutzfolgen des Ganzen geprüft.

Das ist derselbe Grund, warum Kontext und Konsistenz im großen Maßstab schwer sind, ein Thema, auf das wir immer wieder zurückkommen, egal ob es um Coding-Agenten parallel betreiben oder Vibe Coding, ohne unterzugehen geht. Die Lösung hat dieselbe Form: mach den Standard zum Teil des gemeinsamen Setups, statt zu etwas, das du am Ende zu prüfen versuchst.

In AgentsRoom, dem Multi-Agenten-Cockpit, gelten die Skills und Regeln, die du einmal konfigurierst, für jeden Agenten im Raum, über Claude Code, Codex und die anderen Provider hinweg, die du von einem Ort aus steuerst. Verkabele einen Konformitäts-Durchlauf einmal in deinen Workflow, und jeder Agent erbt ihn, statt zu hoffen, dass sich jeder einzelne unabhängig an eine Regel erinnert, die ihm niemand beigebracht hat. Die Disziplin, die eine einzelne Session sauber hält, ist dieselbe, die eine ganze Flotte aus regulatorischem Ärger heraushält.

Eine praktische Konformitäts-Checkliste für KI-gebaute Seiten

Bevor du irgendeine KI-gebaute Seite für fertig erklärst, prüfe sie gegen diese Liste. Das meiste davon fängt der Scanner ab, aber zu wissen, wonach du suchst, macht den Bericht lesbar:

  • Kein nicht notwendiges Cookie und kein Tracker feuert, bevor der Nutzer einwilligt.
  • Jeder Speicher personenbezogener Daten hat eine definierte Aufbewahrungsfrist und einen Löschmechanismus.
  • Nutzer können eine Kopie ihrer Daten anfordern und erhalten.
  • Nutzer können ihr Konto löschen und ihre Daten löschen lassen.
  • Eine Datenschutzerklärung erklärt, was du erhebst, warum und auf welcher Rechtsgrundlage.
  • Drittanbieter-Skripte und Datenübermittlungen außerhalb der EU haben einen rechtmäßigen Mechanismus.
  • Du kannst auf Anfrage ein Verzeichnis deiner Verarbeitungstätigkeiten vorlegen.

Wenn du nicht jedes Kästchen abhaken kannst, trägt deine KI-gebaute Seite ein DSGVO-Risiko, und eine einzige Beschwerde reicht, um es ans Licht zu bringen.

Das Fazit

Vibe Coding ist wirklich schnell, und diese Geschwindigkeit ist die Falle. Der Agent füllt alles aus, was du sehen kannst, und überspringt alles, was du nicht sehen kannst, und genau dort wohnt die DSGVO. Cookies vor der Einwilligung, Daten für die Ewigkeit gespeichert, kein Weg, sie zu löschen: das sind keine exotischen Grenzfälle, es ist die Standardausgabe jedes Coding-Agenten, und es sind dieselben Versäumnisse, die Aufsichtsbehörden 2025 mit Hunderten von Millionen Euro geahndet haben.

Die Lösung ist nicht, mit Agenten aufzuhören. Sie ist, den fehlenden Durchlauf hinzuzufügen. Lass den kostenlosen Skill scanning-for-gdpr-compliance über dein Projekt laufen, lass ihn die offensichtlichen Verstöße klassifizieren und reparieren, und lass dann einen Menschen prüfen, was übrig bleibt. Ein paar Minuten Scannen sind weit billiger, als die Lücke aus dem Brief einer Aufsichtsbehörde zu erfahren.

Baust du mit mehr als einem Agenten? Lade AgentsRoom herunter, um Claude Code, Codex und mehr aus einem einzigen Cockpit zu steuern, sieh in der Provider-Kompatibilitätsmatrix, was jeder unterstützt, und lies, wie du schnell bleibst, in Vibe Coding, ohne unterzugehen.

AgentsRoom herunterladen

Führe deine Claude-Agenten auf all deinen Projekten aus, von einem einzigen Fenster.

KostenlosAgentsRoom herunterladen

Companion-App: Agenten auch unterwegs im Blick behalten

Laden im
App Store
Jetzt bei
Google Play

Nutzen Sie Claude, Codex, Antigravity CLI oder einen anderen AI-Anbieter.

Erweiterung installieren
Chrome Web Store

Bugs und Wünsche direkt in dein öffentliches Backlog schicken.

Ein Blick auf AgentsRoom in Aktion.

Multi-Projekte
Multi-Provider
Multi-Agenten
Live-Status
Diff & Commit
Mobile App
Live-Vorschau
Agent-Teams
Browser-Tests
Backlog-getriebene Entwicklung
Prompt-Bibliothek
Skills-Bibliothek
Alle Funktionen ansehen