KRITIS, NIS2 oder AI Act: Die wichtigsten Vorschriften für Händler auf einen Blick

Für die meisten Online-Händler wirkt das Gewirr an EU- und nationalen Vorschriften wie ein unübersichtlicher Dschungel aus Abkürzungen und Gesetzen. NIS2, KRITIS, CRA, DSA, Data Act, AI Act – allein die Liste kann schnell überfordern.

Doch es geht gar nicht darum, jedes Detail auswendig zu kennen. Entscheidend ist, zu verstehen, welche Regeln überhaupt für einen Online-Shop relevant sind, welche Pflichten sich daraus ergeben und wie sie sich unterscheiden. In diesem Beitrag geben wir einen Überblick. Dabei unterteilen wir die unzähligen Gesetze noch einmal in ihre jeweiligen Anwendungsbereiche, nämlich IT-Sicherheit, Datenschutz und künstliche Intelligenz (KI).

IT-Sicherheit und Schutz vor Angriffen (Resilienz)

Ausfälle oder gestohlene Kundendaten können nicht nur das Vertrauen der Kunden zerstören, sondern auch hohe finanzielle Schäden verursachen. In der EU gibt es dafür einige zentrale Vorgaben, die man kennen sollte, wenn man sich um den Schutz der IT-Systeme selbst kümmern will, also um die technischen und organisatorischen Maßnahmen, die IT-Systeme und Daten schützen. Es geht bei den nachfolgend kurz vorgestellten Vorschriften um den Schutz vor Hackern, Ransomware, Phishing oder Systemausfällen, aber auch darum, dass Software, Hardware und Prozesse so robust und widerstandsfähig sind, dass ein Angriff oder Fehler ein Unternehmen nicht lahmlegt.

• NIS2: Die NIS2-Richtlinie richtet sich an Betreiber kritischer Dienste, wozu in manchen Fällen auch große Online-Shops oder ihre Zahlungs- und Cloud-Dienstleister gehören können. Sie verpflichtet dazu, grundlegende Sicherheitsmaßnahmen umzusetzen und Vorfälle, die den Betrieb stören könnten, zu melden. Die Richtlinie richtet sich in erster Linie an Betreiber kritischer Dienste, z. B. Zahlungsabwicklung oder Cloud-Dienste. Händler müssen jedoch ebenfalls Sicherheitsmaßnahmen umsetzen und Vorfälle melden, wenn sie betroffen sind.
• KRITIS-DachG / IT-Sicherheitsgesetz 2.0: In Deutschland ergänzen das KRITIS-Dachgesetz und das IT-Sicherheitsgesetz 2.0 die europäischen Vorgaben. Sie legen fest, welche Unternehmen als kritisch gelten. KRITIS steht für „kritische Infrastrukturen“, also Organisationen oder Einrichtungen, deren Ausfall oder Beeinträchtigung das staatliche Gemeinwesen erheblich gefährden kann, etwa Energieversorger. Die Regelungen definieren außerdem die Meldepflichten für Sicherheitsvorfälle. Obwohl sie primär für Betreiber kritischer Infrastrukturen gelten, können sie auch für größere Online-Shop-Systeme relevant sein, zum Beispiel wenn Server oder andere zentrale Systeme für den Betrieb besonders wichtig sind.
• CRA (Cyber Resilience Act): Der Cyber Resilience Act (CRA) ergänzt das Ganze aus der Herstellerperspektive. Hersteller von Software oder Hardware müssen Produkte so entwickeln, dass sie Sicherheitsanforderungen erfüllen. Für Händler bedeutet das, dass nur sichere Softwarelösungen und Systeme eingesetzt werden sollten, um Risiken zu vermeiden.

Zusammen bilden diese Regelungen die Basis, um IT-Systeme widerstandsfähig gegen Angriffe zu machen bzw. halten Vorschriften bereit, wie man im Störfall zu reagieren hat.

Datenschutz und Arbeit digitaler Dienste

Kundendaten, Bestellinformationen, Marketingdaten. All diese Daten unterliegen spezifischen Vorschriften. Die Datenschutz-Grundverordnung (DSGVO) ist dabei der bekannteste Rahmen und gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet. Das bedeutet konkret, dass Daten nur mit Einwilligung oder einer anderen Rechtsgrundlage gespeichert werden dürfen, für die angegebenen Zwecke zu nutzen sind und beispielsweise sicher aufbewahrt werden müssen. Ergänzend muss man Folgendes kennen:

• Data Act: Der Data Act sorgt dafür, dass der Datenaustausch zwischen Unternehmen, Plattformen und Verbrauchern fair und nachvollziehbar bleibt. Nutzer sollen selbst entscheiden können, wie ihre Daten verwendet und weitergegeben werden. Für Händler kann das wichtig sein, wenn Sie Kundendaten an Dienstleister weitergeben oder Informationen von Plattformen nutzen, um Prozesse zu optimieren.
• DSA (Digital Services Act): Der DSA schafft eine sicherere Online-Welt, indem Plattformen verpflichtet werden, illegale Inhalte schnell zu entfernen, transparente Werbepraktiken einzuhalten und irreführende Designelemente („Dark Patterns“) zu verhindern. Nutzer erhalten einfache Meldewege, Plattformen müssen Händler identifizieren und prüfen, um Fälschungen zu unterbinden. Ziel ist es, Grundrechte zu schützen, gleiche Regeln für alle digitalen Dienste in der EU zu gewährleisten und Verantwortung sowie Transparenz bei der Inhaltsmoderation zu stärken.
• DMA (Digital Markets Act): Ergänzend kommt der Digital Markets Act (DMA) ins Spiel. Er richtet sich an sogenannte Gatekeeper-Plattformen, also besonders große Online-Marktplätze. Für Händler ist wichtig zu wissen, dass sich hier vor allem Wettbewerbsvorgaben und Regeln zur Fairness beim Zugang zu Plattformdiensten ergeben. Alle diese Regelungen helfen, digitale Dienste transparent, fair und rechtssicher zu nutzen.

Künstliche Intelligenz

Ob automatische Preisgestaltung, Empfehlungssysteme oder Chatbots – KI kann Prozesse erleichtern, aber auch Risiken bergen. Der AI Act der EU regelt, welche Anforderungen KI-Systeme erfüllen müssen, damit sie vertrauenswürdig und sicher sind. Das betrifft zum Beispiel Systeme, die Kundendaten analysieren, Kaufempfehlungen aussprechen oder Entscheidungen automatisch treffen, aber kleiner Fragen wie die Kennzeichnung von KI-generierten Texten oder Bildern.

Ein weiterer Bezug besteht zur IT-Sicherheit, wenn KI-Systeme kritische Funktionen steuern, etwa im Zahlungsverkehr oder bei der Verwaltung sensibler Kundendaten. In diesen Fällen gelten zusätzliche Sicherheitsanforderungen, um Missbrauch oder Ausfälle zu verhindern. Ziel ist es, dass KI nicht nur effizient arbeitet, sondern auch die Sicherheit und Rechte von Kunden schützt (siehe Punkt 1).

Artikelbild: http://www.depositphotos.com