DSGVO im PV-Fachbetrieb: der operative Leitfaden

Worum es geht — DSGVO als Betriebsthema, nicht als Website-Thema

Die DSGVO gilt seit 2018 — hier läuft keine Frist ab, und dieser Leitfaden tut auch nicht so. Der Punkt ist ein anderer: Als Solarteur verarbeitest du heute an deutlich mehr Stellen personenbezogene Daten, als dir vermutlich bewusst ist. Im Monitoring-Portal, in dem die Anlagen deiner Kunden auflaufen. Beim Fernzugriff auf den Wechselrichter. In der Handwerkersoftware, in den Dachfotos im Projektordner — und auf der Website, die nur einer von vielen Schauplätzen ist.

Das Besondere am PV-Geschäft: Mit jeder installierten Anlage entsteht ein Datenstrom, der nicht endet, wenn die Schlussrechnung bezahlt ist. Damit stellen sich Fragen, die das klassische Handwerksgeschäft so nicht kannte: Wer ist für die Daten im Hersteller-Portal verantwortlich? Wann brauchst du die Einwilligung deines Kunden? Und wie lange dürfen Daten bleiben, wenn aus dem Angebot nie ein Auftrag wurde?

Dieser Leitfaden beantwortet das operativ: mit Prüfschemata statt Paragrafen-Prosa und mit einer Primärquelle an jeder Rechtsaussage — wo ein Thema mehr Tiefe verdient, verweist er auf vertiefende Leitfäden im Hub.

Kundendaten im Betriebsalltag: vom Angebot bis zur Wartung

Schon die Angebotsphase ist datenintensiver, als es klingt: Name, Anschrift und Kontaktdaten des Interessenten, dazu Jahresstromverbrauch, oft komplette Stromrechnungen — und Fotos vom Dach, vom Zählerschrank, vom Hausanschlussraum. All das sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Mit dem Auftrag kommen Vertrags- und Abrechnungsdaten dazu — Zählernummer, Bankverbindung, Netzanschluss- und Förderunterlagen. Nach der Inbetriebnahme beginnt die dritte, oft übersehene Phase: Die Anlage liefert laufend Ertrags- und Verbrauchsdaten an ein Monitoring-Portal — über die gesamte Betriebsdauer.

Die gute Nachricht: Für das Alltagsgeschäft brauchst du keine Einwilligung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO — Verarbeitung zur Erfüllung eines Vertrags oder für vorvertragliche Maßnahmen auf Anfrage der betroffenen Person. Wer ein Angebot anfragt, dessen Daten darfst du für genau dieses Angebot verarbeiten; wer beauftragt, dessen Daten für die Ausführung. Die Grenze steckt im Wort „erforderlich": Alles, was über die Vertragserfüllung hinausgeht — dauerhafter eigener Zugriff auf Anlagendaten, Werbung, Weitergabe —, braucht eine eigene Grundlage. Genau dort setzen die nächsten Kapitel an.

Referenzfotos von Kundenanlagen haben wir in einem eigenen Leitfaden vertieft: Dachaufmaß per Drohne, Referenzfotos, EXIF-Daten: Datenschutz in der Foto-Praxis.

Welche Auftragsverarbeitungsverträge braucht ein Solarbetrieb?

Sobald ein Dienstleister personenbezogene Daten in deinem Auftrag verarbeitet, verlangt Art. 28 Abs. 3 DSGVO einen Auftragsverarbeitungsvertrag, der Gegenstand, Dauer, Art und Zweck der Verarbeitung festlegt. Die Form ist unkompliziert: Nach Abs. 9 genügt das elektronische Format — der Klick-Akzept im Anbieter-Backend reicht.

Die eigentliche Prüffrage kommt davor: Verarbeitet der Anbieter überhaupt in deinem Auftrag — oder für eigene Zwecke? Maßgeblich ist, wer über Zwecke und Mittel entscheidet. Bei den Monitoring-Portalen fällt die Antwort je Hersteller überraschend unterschiedlich aus — drei Konstellationen:

Konstellation 1: Der Anbieter arbeitet in deinem Auftrag. Du lizenzierst das Portal, um die Anlagen deiner Kunden zu überwachen — du entscheidest, wessen Daten dort landen und wofür. Dann bist du Verantwortlicher, der Anbieter dein Auftragsverarbeiter, der Vertrag ist Pflicht. So arbeitet Solar-Log: Für das Portal WEB Enerest liegt ein öffentlicher Vertrag zur Auftragsverarbeitung vor (Version 4.0, Stand 07/2024), der über die Nutzungsbedingungen Vertragsbestandteil wird — Auftraggeber ist ausdrücklich der Lizenznehmer, also dein Betrieb.

Konstellation 2: Der Anbieter ist eigener Verantwortlicher. Dein Kunde registriert die Anlage selbst und schließt den Nutzungsvertrag direkt mit dem Hersteller. Dann verarbeitet der Hersteller auf eigener Rechtsgrundlage — und du brauchst für diesen Datenfluss keinen Auftragsverarbeitungsvertrag, weil niemand in deinem Auftrag tätig ist. SMA sagt das in der Datenschutzerklärung zum Sunny Portal ausdrücklich: Leistungsdaten registrierter Anlagen werden auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO verarbeitet — also auf Basis des Vertrags mit dem Portal-Nutzer. Fronius positioniert sich in der Datenschutzerklärung zu Solar.web ebenfalls als Verantwortlicher. Ein Auftragsverarbeitungsvertrag ist bei beiden öffentlich nicht auffindbar (Stand 11.06.2026) — was nicht heißt, dass es im Installateur-Login keinen gibt: beim Hersteller erfragen.

Konstellation 3: Die Rollen drehen sich um — der Sonderfall SolarEdge. Die Nutzungsbedingungen der SolarEdge-Monitoring-Plattform erklären den Anlageneigentümer zur betroffenen Person, SolarEdge zum Verantwortlichen — und den „autorisierten Benutzer", typischerweise den Installateur, zum „Auftragsverarbeiter oder Unterauftragsverarbeiter". Direkt dahinter steht der Satz mit Praxisfolge: Der autorisierte Benutzer stellt sicher, dass er „alle erforderlichen Erlaubnisse und Berechtigungen" für die Verarbeitung erworben hat — SolarEdge übernimmt das ausdrücklich nicht. Übersetzt: Die Einwilligung deines Kunden zu beschaffen, ist vertraglich dein Job (Abruf der Bedingungen: 11.06.2026; die Seite selbst trägt kein Stand-Datum).

Für den Schnell-Check die vier geprüften Portale im Überblick:

| Portal | Rollen-Einordnung laut Anbieter-Dokumenten | Auftragsverarbeitungsvertrag | Quelle | | --- | --- | --- | --- | | Solar-Log WEB Enerest | Auftragsverarbeiter des Installateurs | Öffentlich verfügbar (Version 4.0, 07/2024) | Vertrag (PDF) | | SMA Sunny Portal | Eigener Verantwortlicher (Art. 6 Abs. 1 lit. b) | Öffentlich nicht dokumentiert (Stand 11.06.2026) — beim Hersteller erfragen | Datenschutzerklärung | | Fronius Solar.web | Eigener Verantwortlicher | Öffentlich nicht dokumentiert (Stand 11.06.2026) — beim Hersteller erfragen | Datenschutzerklärung | | SolarEdge Monitoring | SolarEdge Verantwortlicher; Installateur „Auftragsverarbeiter/Unterauftragsverarbeiter" | In Richtung Betrieb → SolarEdge öffentlich nicht verfügbar (Abruf 11.06.2026) | Nutzungsbedingungen |

Hersteller-Dokumente ändern sich — prüfe vor einer Entscheidung die jeweils aktuelle Fassung.

Das Prüfschema endet nicht bei den Portalen. Die Datenschutzkonferenz stellt in ihrem Kurzpapier Nr. 13 klar: Schon die Möglichkeit des Zugriffs auf personenbezogene Daten macht Wartung und Fernwartung zur Auftragsverarbeitung. Das wirkt in beide Richtungen: Dein IT-Dienstleister mit Fernzugriff auf deine Systeme braucht einen Auftragsverarbeitungsvertrag mit dir. Und hast du selbst dauerhaften Fernzugriff auf Kundenanlagen, bist du in der Verarbeitungs-Rolle — gegenüber Privatkunden heißt das: saubere Rechtsgrundlage (nächstes Kapitel); Gewerbekunden können einen Auftragsverarbeitungsvertrag mit dir brauchen.

Die zweite Vertrags-Baustelle neben den Portalen ist unspektakulärer: Cloud-CRM, Handwerkersoftware, Hosting, Newsletter-Tool — klassische Auftragsverarbeitung nach Anhang A des DSK-Papiers. Dein Steuerberater dagegen braucht keinen solchen Vertrag: Berufsgeheimnisträger sind eigenständig verantwortlich (Anhang B) — ein verbreiteter Irrtum in die andere Richtung. Ein fehlender Auftragsverarbeitungsvertrag ist ein Bußgeldtatbestand nach Art. 83 Abs. 4 DSGVO: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.

Fernzugriff und Monitoring: wann du die Einwilligung des Kunden brauchst

Wie schnell beim Monitoring aus Service ein Datenschutzverstoß wird, zeigt ein Fall der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Die Abschlussnachricht vom 3. November 2020 ist als geschwärztes PDF über die Kanzlei des Beschwerde-Vertreters dokumentiert — eine offizielle Behörden-Veröffentlichung existiert nicht.

Der Sachverhalt: Ein Unternehmen verkaufte und montierte Ende 2019 eine PV-Anlage auf einem Privatgrundstück, mit „Rundum-Sorglos-Garantie" über fünf Jahre. Erst nach Vertragsschluss verwies es per Rechnungs-Anmerkung auf AGB, die die Garantie an die kontinuierliche Übermittlung der Anlagendaten knüpften: Wechselrichter-Daten samt Portal-Direktzugang plus Erzeugungs- und Verbrauchsdaten vom Messstellenbetreiber.

Die Behörde sah darin eine Verarbeitung ohne Rechtsgrundlage: Eine Einwilligung lag nicht vor. Vertragserfüllung (Art. 6 Abs. 1 lit. b) trug nicht — dauerhafter Datenzugriff ist für die Garantie nicht erforderlich, Mängel lassen sich auch per Technikereinsatz vor Ort beheben. Berechtigtes Interesse (lit. f) scheiterte am milderen Mittel: Daten erst übertragen, wenn der Kunde einen Fehler meldet. Dazu kamen Verstöße gegen die Informationspflichten aus Art. 13. Ergebnis: eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO — weitere Maßnahmen behielt sich die Behörde vor. Wichtig für die Einordnung: Das ist die Einzelfall-Bewertung einer Landesaufsichtsbehörde, kein veröffentlichter Leitsatz — aber die Argumentationslinie trifft ein verbreitetes Servicemodell: anlasslosen Dauerzugriff als Bedingung für Garantie oder Wartung.

Die Praxis-Folge für DSGVO-konformes PV-Monitoring in drei Punkten: Erstens — dauerhafter Fernzugriff auf den Wechselrichter deiner Kunden braucht eine Einwilligung, transparent und vor Vertragsschluss, nicht per nachgeschobener AGB-Klausel. Zweitens — Service-Modelle, die Daten nur im Fehlerfall abrufen, sind genau das mildere Mittel, das die Behörde selbst benennt. Drittens — informieren nach Art. 13: wer zugreift, auf welche Daten, wofür, wie lange.

Bleibt die Grundsatzfrage: Sind Ertrags- und Verbrauchsdaten einer PV-Anlage überhaupt personenbezogen? Bei Anlagen auf Privathäusern: ja — sie lassen sich über Anlagenadresse und Kundenkonto einer natürlichen Person zuordnen (Art. 4 Nr. 1 DSGVO), und die Berliner Behörde behandelte sie im Fall durchgehend so. Der vertretende Anwalt bringt es auf die Formel, aus den Daten lasse sich ablesen, wann jemand zu Hause ist und wann gekocht wird — seine Zusammenfassung des Falls, kein Behörden-Zitat, aber sie trifft den Kern. Anders bei Anlagen juristischer Personen: Lastprofile einer Gewerbehalle haben regelmäßig keinen Personenbezug.

Wem „gehören" die Anlagendaten? Der EU Data Act ändert die Lage

„Wem gehören die Daten der PV-Anlage?" Der EU Data Act beantwortet die Frage nicht über Eigentum, sondern über Zugangs- und Weitergaberechte. Die Verordnung (EU) 2023/2854 gilt seit dem 12. September 2025 und gibt Nutzern vernetzter Produkte zwei Hebel:

Art. 4 — Datenzugang: Der Nutzer — bei Wechselrichter und Speicher der Anlagenbetreiber — kann vom Dateninhaber, typischerweise dem Portal-Hersteller, die ohne Weiteres verfügbaren Daten verlangen: unverzüglich, unentgeltlich und in gängigem, maschinenlesbarem Format.

Art. 5 — Weitergabe an Dritte: Auf Verlangen des Nutzers muss der Dateninhaber diese Daten einem Dritten bereitstellen — in derselben Qualität, die ihm selbst vorliegt, und soweit technisch durchführbar kontinuierlich und in Echtzeit.

Der „Dritte" ist die geschäftlich interessante Figur: Das kann dein Betrieb sein. Ein Anlagenbetreiber, dessen Installateur nicht mehr greifbar ist oder dessen Service nicht überzeugt, kann verlangen, dass seine Anlagendaten an den neuen Wartungsbetrieb fließen — der Portal-Lock-in verliert an Kraft. Für dich ist das weniger Pflicht als Chance: ein Service-Argument für dein Wartungsangebot, statt am fehlenden Portal-Zugang zu scheitern.

Drei ehrliche Einschränkungen. Erstens: Die Design-Pflicht des Art. 3 Abs. 1 (Daten direkt am Produkt zugänglich konzipieren) gilt erst für Produkte, die nach dem 12. September 2026 in Verkehr gebracht werden. Zweitens: Für Bestandsgeräte bejaht die EU-Kommission die Zugangsrechte aus Art. 4 und 5 trotzdem — so ihre FAQ zum Data Act (Version 1.4 vom 22. Januar 2026), die sich selbst ausdrücklich als nicht rechtsverbindlich einordnet; erfasst sind dann nur die „ohne Weiteres verfügbaren" Daten. Drittens: Dass ein Wechselrichter ein „vernetztes Produkt" im Sinne des Art. 2 Nr. 5 ist, hat keine Behörde ausdrücklich festgestellt — die Einordnung ist gut vertretbar, amtlich entschieden ist sie aber nicht.

Speicherfristen und Löschpflichten: was bleibt, was muss weg

Beim Löschen ziehen zwei Regelwerke in entgegengesetzte Richtungen. Die DSGVO verlangt Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie der Zweck es erfordert (Art. 5 Abs. 1 lit. e), danach entsteht eine Löschpflicht (Art. 17 Abs. 1). Das Steuer- und Handelsrecht verlangt das Gegenteil: Geschäftsunterlagen sind aufzubewahren, teils ein Jahrzehnt.

Die Auflösung steht in der DSGVO selbst: Nach Art. 17 Abs. 3 lit. b entfällt die Löschpflicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist — und Aufbewahrungspflichten aus AO und HGB sind genau solche Verpflichtungen. Daraus wird ein dreistufiges Prüfschema für die Speicherfristen deiner Kundendaten:

1. Zweck erledigt? Solange ein Auftrag läuft oder Gewährleistung offen ist, bleiben die Daten regulär im Einsatz.
2. Gesetzliche Aufbewahrungspflicht? Wenn ja, bleiben die Unterlagen für die Dauer der Frist — aber nur noch dafür: aufbewahren, nicht mehr aktiv verwenden.
3. Keine Pflicht (mehr)? Dann löschen.

Die Fristen aus § 147 Abs. 3 AO und § 257 Abs. 4 HGB:

• 10 Jahre: Bücher, Aufzeichnungen, Inventare, Jahresabschlüsse
• 8 Jahre: Buchungsbelege — also auch deine Ausgangsrechnungen. Diese Frist wurde mit dem Vierten Bürokratieentlastungsgesetz zum 1. Januar 2025 von zehn auf acht Jahre verkürzt
• 6 Jahre: empfangene und abgesandte Handels- und Geschäftsbriefe

Eine Rechnung ist übrigens beides — Buchungsbeleg und Handelsbrief. Dann gilt die längere Frist: acht Jahre.

Der häufigste Praxisfall: Angebotsdaten ohne Auftrag. Wird aus der Anfrage nichts, gibt es keine gesetzliche Aufbewahrungspflicht — Stromrechnungen, Dachfotos und Verbrauchsdaten eines Interessenten, der nie Kunde wurde, müssen irgendwann weg. Eine befristete Aufbewahrung für Nachfass oder Dokumentation lässt sich begründen, braucht aber ein Enddatum — eine gesetzliche Monatsfrist existiert nicht. Als Praxis-Empfehlung: betriebsintern eine feste Frist festlegen, dokumentieren, danach konsequent löschen. Für die Projektdokumentation realisierter Anlagen liefert die Mängelhaftung einen sachlichen Anker: Bei Solaranlagen beträgt sie fünf Jahre (§ 438 Abs. 1 Nr. 2 BGB).

Die Website des Betriebs: Datenschutzerklärung, BFSG und der schnelle Check

Auf der Website laufen zwei Pflicht-Themen zusammen — hier nur die Landkarte.

Datenschutzerklärung: Art. 13 DSGVO verpflichtet dich, bei der Datenerhebung zu informieren — wer verantwortlich ist, welche Zwecke und Rechtsgrundlagen gelten, wer Empfänger ist. Die Datenschutzerklärung eines PV-Fachbetriebs muss dabei mehr abdecken als das Kontaktformular: auch die Monitoring-Datenflüsse und die eingesetzten Dienstleister gehören hinein. Dass das keine Formalie ist, zeigt der Berliner Fall aus dem Monitoring-Kapitel: Der Art.-13-Verstoß war dort ausdrücklich Teil der Verwarnung. Cookies und die übrigen Rechtstexte vertiefen wir hier bewusst nicht; dazu folgen eigene Leitfäden.

Barrierefreiheit: Seit Juni 2025 ist das BFSG das zweite große Website-Thema für Betriebe mit Verbraucher-Kundschaft. Welche Funktionen eine Solarteur-Website pflichtig machen — Terminbuchung, Konfigurator, Angebotsformular — und was die Marktüberwachung prüft, steht im Leitfaden BFSG für Solarteure.

Und wo steht deine Website heute? Einen ersten automatisierten Befund zu Barrierefreiheit, Datenschutz-Basics und Technik liefert der kostenlose Website-Check von FELDNOTE — eine URL, kein Login.

Häufige Fragen (FAQ)

Brauche ich für jedes Monitoring-Portal einen Auftragsverarbeitungsvertrag?

Nein — es kommt auf die Rolle des Anbieters an. Einen Vertrag nach Art. 28 DSGVO brauchst du nur, wenn der Anbieter Daten in deinem Auftrag verarbeitet — wie im Solar-Log-Modell, wo dein Betrieb das Portal für seine Kunden lizenziert. Schließt dein Kunde den Nutzungsvertrag direkt mit dem Hersteller, verarbeitet der Hersteller als eigener Verantwortlicher — dann läuft die Auftragsverarbeitung beim Monitoring-Portal nicht über dich. Das Prüfschema mit der Portal-Tabelle steht oben im Leitfaden.

Sind PV-Anlagendaten personenbezogene Daten?

Bei Anlagen auf Privathäusern: ja. Erzeugungs- und Verbrauchsdaten lassen sich über Adresse und Kundenkonto einer natürlichen Person zuordnen und fallen damit unter Art. 4 Nr. 1 DSGVO; die Berliner Datenschutzaufsicht behandelte sie in ihrem PV-Fall durchgehend als personenbezogene Daten. Bei Anlagen juristischer Personen — etwa auf der Gewerbehalle — fehlt der Personenbezug regelmäßig.

Darf ich Anlagendaten meiner Kunden für Wartungsangebote nutzen?

Nur mit einer eigenen Rechtsgrundlage — in der Praxis heißt das meist: mit Einwilligung. Der Berliner Fall zeigt, dass anlassloser Dauerzugriff auf Anlagendaten weder auf Vertragserfüllung noch auf berechtigtes Interesse gestützt werden konnte, weil mildere Mittel existieren. Sauber ist der umgekehrte Weg: Der Kunde willigt ein — oder lässt dir die Daten über sein Weitergaberecht nach Art. 5 Data Act aktiv bereitstellen.

Wie lange darf ich Angebotsdaten aufheben?

Ohne Auftrag gibt es keine gesetzliche Aufbewahrungsfrist — die Daten sind nach Zweckfortfall zu löschen (Art. 17 Abs. 1 DSGVO). Eine befristete Aufbewahrung für Nachfass-Aktionen ist begründbar, braucht aber ein festes, dokumentiertes Enddatum — das ist eine Praxis-Empfehlung, keine Gesetzesfrist. Kommt der Auftrag zustande, greifen die Aufbewahrungsfristen aus dem Speicherfristen-Kapitel (sechs bis zehn Jahre, je nach Unterlage).

Was ändert der Data Act für meinen Betrieb?

Seit dem 12. September 2025 können Anlagenbetreiber vom Portal-Hersteller Datenzugang verlangen und die Daten an Dritte weitergeben lassen — auch an dich als neuen Wartungsbetrieb (Art. 4 und 5 der Verordnung (EU) 2023/2854). Die Design-Pflicht für direkt zugängliche Daten gilt erst für Produkte, die nach dem 12. September 2026 in Verkehr gebracht werden. Für Bestandsgeräte bejaht die EU-Kommission die Zugangsrechte in ihrer FAQ — die sich selbst als nicht rechtsverbindlich einordnet. Kurz: weniger neue Pflicht, mehr neue Möglichkeit.

Stand & Quellen: Alle Rechtsaussagen sind direkt auf die Quellen verlinkt — Gesetzestexte auf dsgvo-gesetz.de, gesetze-im-internet.de und EUR-Lex, das DSK-Kurzpapier Nr. 13, die Hersteller-Dokumente der Monitoring-Portale und die dokumentierte Abschlussnachricht der Berliner Aufsichtsbehörde. Hersteller-Dokumente und Behörden-Auslegungen ändern sich — prüfe im Zweifel die jeweils verlinkte Fassung.

Weitere Leitfäden im Hub

Dieser Leitfaden ist die Klammer — die Einzelthemen bekommen eigene, vertiefende Leitfäden. Bereits erschienen:

• BFSG für Solarteure: Welche Website-Pflichten seit Juni 2025 gelten — wann eine Solarteur-Website unter das Barrierefreiheitsstärkungsgesetz fällt, was die Marktüberwachung prüft und was jetzt konkret zu tun ist.

• Dachaufmaß per Drohne, Referenzfotos, EXIF-Daten: Datenschutz in der Foto-Praxis von PV-Betrieben — Drohnen-Dachaufmaß, Referenzfotos vom Kundenhaus, GPS-Koordinaten in den Bilddaten: was beim Fotografieren im PV-Alltag rechtlich gilt, mit Primärquellen und Checkliste.

In Arbeit: Leitfäden zu den Rechtstexten der Website, zum Datenschutz im Vertrieb und zum Cookie-Thema.