FAQ: Die wichtigsten Vorschriften für Online-Händler – AI Act, NIS2, KRITIS

Für Händler gibt es eine Vielzahl an EU- und nationalen Regelungen. Besonders wichtig sind Vorgaben zur IT-Sicherheit, zum Datenschutz und zur künstlichen Intelligenz (KI). Diese Bereiche betreffen direkt den Betrieb eines Shops, die Verarbeitung von Kundendaten und den Einsatz digitaler Systeme.

Die Vielzahl an Vorschriften wirkt schnell unübersichtlich. In diesem Beitrag findest du die zentralen Regeln zu IT-Sicherheit, Datenschutz und künstlicher Intelligenz kompakt zusammengefasst. So wird klar, welche Vorgaben für Online-Shops tatsächlich relevant sind und wo die größten Unterschiede liegen.

Was regelt die NIS2-Richtlinie?

Die NIS2-Richtlinie verpflichtet Betreiber kritischer Dienste zu grundlegenden Sicherheitsmaßnahmen und zur Meldung von Vorfällen. Auch große Online-Shops oder deren Zahlungs- und Cloud-Dienstleister können betroffen sein. Händler müssen Sicherheitsmaßnahmen umsetzen und Störungen melden, wenn sie unter die Vorgaben fallen.
Betroffen von der NIS2 Richtlinie sind z.B. Digitale Infrastruktur, Rechenzentren, Pharmahersteller, aber auch Maschinenbau und Automotive oder große IT-Dienste.

Welche Bedeutung hat das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz und das IT-Sicherheitsgesetz 2.0 ergänzen die EU-Vorgaben in Deutschland. Sie definieren, welche Unternehmen als kritisch gelten und welche Meldepflichten bestehen. Für Shops kann das relevant sein, wenn zentrale Systeme oder Server für den Betrieb besonders wichtig sind. In der Regel sind damit aber eher Energie- und Wasserversorgung, Gesundheit (Krankenhäuser), Netzbetreiber, Lebensmittelversorgung, Finanzwesen, staatliche Verwaltung und Abfallentsorgung damit gemeint.

Was ist der Cyber Resilience Act (CRA)?

Der CRA richtet sich an Hersteller von Software und Hardware. Produkte müssen so entwickelt werden, dass sie Sicherheitsanforderungen erfüllen. Für Händler bedeutet das: Nur sichere Systeme und Software einsetzen, um Risiken zu vermeiden. Der Cyber Resilience Act (CRA) betrifft Unternehmen, die Produkte mit digitalen Elementen in der Europäischen Union (EU) herstellen, importieren oder vertreiben. Es handelt sich dabei nicht um physische Einrichtungen wie Behörden oder Krankenhäuser als primär Betroffene der Verordnung, sondern um die Hersteller der von diesen Einrichtungen genutzten Produkte. Betroffen sind eigentlich alle Geräte und Programme, die mit dem Internet verbunden werden können.

Welche Datenschutzregeln gelten für Händler?

Die DSGVO ist der zentrale Rahmen. Sie schreibt vor, dass personenbezogene Daten nur mit Rechtsgrundlage verarbeitet werden dürfen und sicher gespeichert sein müssen. Ergänzend gibt es weitere Vorschriften:

• Data Act: Regelt den fairen Datenaustausch zwischen Unternehmen, Plattformen und Verbrauchern.
• DSA (Digital Services Act): Verpflichtet Plattformen zu Transparenz, Entfernung illegaler Inhalte und Schutz vor „Dark Patterns“.
• DMA (Digital Markets Act): Richtet sich an große Plattformen und sorgt für faire Wettbewerbsbedingungen.

Was bedeutet der AI Act für Händler?

Der AI Act legt Anforderungen an KI-Systeme fest, damit sie sicher und vertrauenswürdig sind. Das betrifft Anwendungen wie Preisgestaltung, Empfehlungssysteme oder Chatbots. Besonders kritisch wird es, wenn KI sensible Daten verarbeitet oder Funktionen im Zahlungsverkehr steuert. In solchen Fällen gelten zusätzliche Sicherheitsanforderungen. Wenn ein Händler Grund zur Annahme hat, dass ein KI-System nicht konform ist, darf er es nicht auf dem Markt bereitstellen, bis die Konformität hergestellt ist.-+

Welche Pflichten ergeben sich für Händler konkret?

Die Vorschriften lassen sich auf einige zentrale Punkte zusammenfassen:

• IT-Systeme müssen widerstandsfähig gegen Angriffe sein.
• Sicherheitsvorfälle sind zu melden, wenn sie den Betrieb stören.
• Kundendaten dürfen nur rechtmäßig verarbeitet und müssen sicher gespeichert werden.
• Plattformen müssen Transparenz und Fairness gewährleisten.
• KI-Systeme dürfen nur eingesetzt werden, wenn sie die Anforderungen des AI Act erfüllen. Das gilt auch für jede Art von Chat Bots.

Fazit

Für Händler ist es entscheidend, die relevanten Vorschriften zu kennen und umzusetzen. IT-Sicherheit, Datenschutz und KI-Regeln bilden die Grundlage für einen rechtssicheren und vertrauenswürdigen Online-Shop. Wer diese Vorgaben beachtet, schützt nicht nur Kundendaten, sondern auch den eigenen Geschäftsbetrieb.

Für Händler bedeuten diese Gesetze, dass sie nicht mehr nur reine „Warenverschieber“ sind, sondern eine aktive Rolle bei der Marktüberwachung einnehmen. Sie müssen Prozesse implementieren, um die Konformität der von ihnen angebotenen Produkte zu überprüfen und bei Mängeln zu reagieren, um hohe Strafen zu vermeiden.