Neues Datennutzungsgesetz zwingt Online-Händler zu umfassenden Sicherheitsanpassungen
Autor: Felix Weipprecht
Veröffentlicht:
Kategorie: Digitalisierung
Zusammenfassung: Das Datennutzungsgesetz zwingt Online-Händler zu neuen Sicherheitsstrategien, während Ransomware-Angriffe die Verwundbarkeit von Lieferketten verdeutlichen.
Deutscher Datenschutz: Neues Gesetz zwingt Online-Händler zum Umdenken
Das am 19. Mai 2026 in Kraft getretene Datennutzungsgesetz (DNG) bringt für den E-Commerce neue Pflichten mit sich. Online-Händler müssen sich auf strengere Regeln im Umgang mit Kundendaten einstellen, die mehr Dokumentationspflichten und neue Sicherheitsanforderungen umfassen.
Aktuelle Studien zeigen zudem einen historischen Wandel in der Cyber-Bedrohungslage: Erstmals seit fast zwei Jahrzehnten sind gestohlene Passwörter nicht mehr die größte Gefahr. Stattdessen haben Software-Schwachstellen diese Rolle übernommen, was Unternehmen dazu zwingt, ihre IT-Infrastruktur proaktiver zu schützen.
"Das Zeitfenster zum Schließen dieser Lücken beträgt oft nur noch wenige Stunden." - Verizon Data Breach Investigations Report 2026
Zusammenfassung: Das Datennutzungsgesetz erfordert von Online-Händlern eine Anpassung ihrer Sicherheitsstrategien, da Software-Schwachstellen nun die größte Cybergefahr darstellen.
Ransomware-Angriff auf Foxconn: Warnsignal für Lieferketten
Foxconn hat einen Ransomware-Angriff auf seine nordamerikanischen Standorte bestätigt, bei dem die Tätergruppe angibt, acht Terabyte an Daten gestohlen zu haben. Unter den gestohlenen Informationen befinden sich vertrauliche Daten von Technologiepartnern wie Apple, Intel, Google und Nvidia.
In Deutschland wurde der niedersächsische Verein Arwini e.V. von der Hackergruppe „Kairos“ angegriffen, die drohte, 2,87 Terabyte an Daten zu verkaufen. Bis zu 75.000 Datensätze mit Gesundheits- und Abrechnungsinformationen wurden kompromittiert, was die Verwundbarkeit von E-Commerce-Unternehmen verdeutlicht.
Zusammenfassung: Der Ransomware-Angriff auf Foxconn und der Angriff auf Arwini e.V. zeigen die Gefahren für globale Lieferketten und die Sensibilität der verarbeiteten Daten.
Hinweisgeberschutz: Bußgelder bis zu einer Million Euro
Das seit Juli 2023 geltende Hinweisgeberschutzgesetz (HinSchG) verpflichtet Unternehmen mit mehr als 50 Mitarbeitern zur Schaffung sicherer Meldekanäle. Verstöße gegen dieses Gesetz können für Unternehmen Bußgelder von bis zu einer Million Euro nach sich ziehen.
Juristen warnen, dass die Anonymität von Hinweisgebern nicht absolut ist, da in bestimmten Fällen Offenlegungen erforderlich sein können. Eine rechtssichere Organisation der internen Meldestellen ist daher für Unternehmen unerlässlich.
Zusammenfassung: Das Hinweisgeberschutzgesetz erfordert von Unternehmen die Einrichtung sicherer Meldekanäle, um hohe Bußgelder zu vermeiden.
EuGH-Urteil: Schluss mit missbräuchlichen Auskunftsersuchen
Der Europäische Gerichtshof hat am 19. März 2026 entschieden, dass Auskunftsersuchen nach Artikel 15 DSGVO als Rechtsmissbrauch gewertet werden können, wenn sie nur zur Generierung von Schadensersatzansprüchen dienen. Dieses Urteil könnte die Anzahl solcher Anfragen deutlich reduzieren.
Zusätzlich entschied das Amtsgericht Nürnberg im Juli 2025, dass es kein absolutes Verbot gibt, Verträge von der Einwilligung in die Datenverarbeitung abhängig zu machen, solange das Unternehmen keine Monopolstellung hat und die Einwilligung freiwillig erfolgt.
Zusammenfassung: Das EuGH-Urteil könnte die Flut an missbräuchlichen Auskunftsersuchen verringern und bietet Klarheit über die Bedingungen der Einwilligung zur Datenverarbeitung.
Cloud-Sicherheit: BSI-Zertifikat als neues Gütesiegel
Mit dem Inkrafttreten des Datennutzungsgesetzes übernimmt die Bundesnetzagentur die Aufsicht über Datenvermittlungsdienste. Der Sicherheitsanbieter Kiteworks erhielt am 19. Mai das BSI C5 Typ-2-Zertifikat, das die Wirksamkeit von über 120 Sicherheitskontrollen bestätigt.
Für Online-Händler, die Cloud-basierte ERP- oder CRM-Systeme nutzen, wird ein solches Zertifikat zunehmend zum entscheidenden Kriterium bei der Anbieterwahl.
Zusammenfassung: Das BSI C5 Typ-2-Zertifikat wird für Online-Händler zu einem wichtigen Kriterium bei der Auswahl von Cloud-Dienstleistern.
Automatisierung als Ausweg aus der Dokumentationsfalle
KI-gestützte Assistenten können bis zu 75 Prozent der Dokumentation für Verarbeitungsverzeichnisse und Datenschutz-Folgenabschätzungen übernehmen. Unternehmen, die solche Tools nutzen, berichten von Zeitersparnissen zwischen 60 und 75 Prozent.
Dennoch müssen Unternehmen weiterhin in die Schulung ihrer Mitarbeiter investieren, um den sich ständig weiterentwickelnden Cyber-Bedrohungen entgegenzuwirken. Der Rest des Jahres 2026 wird entscheidend sein für die Entwicklung robuster Datenschutzstrategien.
Zusammenfassung: Automatisierung durch KI-Tools kann die Dokumentationslast erheblich reduzieren, während kontinuierliche Schulung und Bedrohungsanalyse unerlässlich bleiben.
Quellen: