Ihr Online-Shop ist kein rechtsfreier Vertriebskanal. Er verarbeitet Zahlungsdaten, Kundendaten, Logins, Retoureninformationen, Tracking-Daten und Schnittstellen zu Payment, ERP, CRM, Fulfillment und Marketing-Tools.
Genau dort liegt das Risiko. DSGVO allein reicht nicht mehr. NIS2 fragt nicht nach Cookie-Bannern. NIS2 fragt nach Cyberabwehr, Meldewegen, Lieferkettenkontrolle und Management-Verantwortung.
Für Händler ist die Lage unangenehm: Viele Shops glauben, sie seien „nur Handel“. Gleichzeitig betreiben sie kritische digitale Prozesse, hängen an Drittanbietern und speichern sensible Daten in einem Flickenteppich aus Plugins, Payment-Gateways und Cloud-Diensten. Das ist angreifbar. Und haftungsträchtig.
Wer im Online-Handel von NIS2 betroffen sein kann
Die entscheidende Frage lautet nicht: „Haben wir einen Online-Shop?“
Die richtige Frage lautet:
- Sind Sie mittelgroß oder groß?
- Fallen Sie in einen NIS2-Sektor oder erbringen Sie einen digitalen Dienst?
- Betreiben Sie eine Plattform, einen Marktplatz oder nur einen eigenen Shop?
- Hängen operative Kernprozesse an IT-Systemen, deren Ausfall Ihr Geschäft stoppt?
Die sogenannte Size-Cap-Rule ist der erste harte Filter. In der Praxis bedeutet das: Unternehmen mit mindestens 50 Beschäftigten oder mehr als 10 Mio. EUR Jahresumsatz bzw. Bilanzsumme müssen besonders genau prüfen, ob sie in den Anwendungsbereich fallen. Ab etwa 250 Beschäftigten oder mehr als 50 Mio. EUR Jahresumsatz wird die Lage deutlich ernster.
Für E-Commerce gilt die zentrale Abgrenzung:
- Ein reiner eigener Online-Shop ist nicht automatisch ein NIS2-„Anbieter digitaler Dienste“.
- Ein Online-Marktplatz, auf dem Dritte Waren oder Dienstleistungen anbieten, ist deutlich eher im Fokus.
- Händler mit Bereichen wie Lebensmittelvertrieb, Logistiknähe, kritischen Lieferketten, Plattformfunktion, Cloud-Betrieb oder Managed-IT-Strukturen können sehr schnell in prüfpflichtige Nähe geraten.
- Große Shop-Betreiber mit komplexer IT-Landschaft sollten nicht auf „trifft uns nicht“ setzen. Das ist kein Compliance-Konzept. Das ist Hoffnung.
Das BSI formuliert die Konsequenz in der Sache klar: „Die Nichteinhaltung der Vorschriften... einschließlich der Möglichkeit, die Prüfung oder Genehmigung für den Geschäftsbetrieb für eine gewisse Zeit zu entziehen...“
Übersetzt für die Geschäftsführung: Es geht nicht um ein weiteres Datenschutzformular. Es geht um Betriebsfähigkeit, Bußgelder, persönliche Verantwortung und Reputationsschaden. Wenn Ihr Checkout, Ihr Payment-Provider, Ihr Warenwirtschaftssystem oder Ihre Kundendatenbank kompromittiert werden, ist der Schaden nicht theoretisch. Er ist sofort sichtbar. Umsatz weg. Kunden weg. Vertrauen weg.
Warum DSGVO-Compliance und NIS2-Compliance sich unterscheiden
Ein ISO-Template aus dem Internet löst Ihr Problem nicht. Eine neue Firewall auch nicht.
Das Problem im E-Commerce ist kein einzelnes Tool. Es ist der Flickenteppich:
- Shop-System mit Alt-Plugins
- Payment-Service-Provider
- ERP-Schnittstellen
- Tracking- und Marketing-Tags
- Newsletter-Systeme
- externe Agenturen
- Hosting-Provider
- Cloud-Speicher
- Fulfillment- und Logistikpartner
- Admin-Zugänge ohne saubere Rollenmodelle
- Legacy-Altlasten aus fünf Relaunches
Die Konkurrenz verschweigt den entscheidenden Punkt: DSGVO-Compliance und NIS2-Compliance sind nicht dasselbe.
Der DSGVO-Cookie-Wahnsinn dreht sich oft um Einwilligungen, Tracking, Datenschutzinformationen und Auftragsverarbeitung. Wichtig. Aber operativ häufig ein Papier-Tiger.
NIS2 ist härter. NIS2 verlangt belastbare Cyberabwehr:
- Risikomanagement
- Incident Response
- Business Continuity
- Lieferkettenkontrolle
- Zugriffssicherheit
- technische und organisatorische Schutzmaßnahmen
- Meldeprozesse
- Management-Verantwortung
- Nachweisfähigkeit
Heißt konkret: Wenn Ihr Shop kompromittiert wird, reicht es nicht, auf eine Datenschutzerklärung zu zeigen. Sie müssen zeigen, dass Sie Ihre Risiken kannten, priorisiert haben und angemessen gesteuert haben.
Viele Händler unterschätzen genau diese Schnittstelle. DSGVO fragt: „Dürfen Sie diese Daten verarbeiten?“ NIS2 fragt: „Können Sie diese Daten und Systeme unter Angriff verteidigen?“
Das ist eine andere Liga.
Prüfpunkte für Online-Händler im NIS2-Kontext
NIS2-Scope in 90 Minuten hart klären: Prüfen Sie nicht abstrakt „NIS2 ja/nein“. Prüfen Sie anhand von Größe, Umsatz, Mitarbeiterzahl, Gesellschaftsstruktur, Geschäftsmodell und Plattformfunktion. Entscheidend ist die Abgrenzung: eigener Shop, Marktplatz, Plattform, Fulfillment-Hub, Lebensmittel-/Logistiknähe oder digitaler Dienst. Dokumentieren Sie das Ergebnis schriftlich. Ohne Scope-Vermerk haben Sie im Ernstfall nur eine Behauptung.
Shop-Risiken technisch-juristisch inventarisieren: Erstellen Sie eine Liste aller kritischen Systeme und Dienstleister: Shop-Backend, Hosting, Payment, ERP, CRM, PIM, Newsletter, Tracking, Agenturzugänge, Admin-Accounts, APIs, Warenwirtschaft, Backup, Logistik. Markieren Sie, wo Kundendaten und Zahlungsdaten fließen. Dann priorisieren Sie: Was stoppt den Umsatz sofort? Was enthält sensible Daten? Was hängt an Dritten? Genau dort beginnt NIS2.
DSGVO und NIS2 zusammenführen – aber nicht vermischen: Nutzen Sie Ihre DSGVO-Unterlagen als Startpunkt, nicht als Endpunkt. AV-Verträge, TOMs und Verzeichnisse helfen. Aber ergänzen Sie harte Cyber-Controls: MFA für Admins, Rollen- und Rechtekonzept, Patch-Prozess, Backup-Test, Incident-Runbook, Dienstleisterbewertung, Notfallkontakte, Meldekette, Wiederanlaufplan. Keine Hochglanzrichtlinie. Ein funktionierender Notfallordner schlägt jedes 80-seitige Compliance-PDF.
Checkliste: NIS2 und DSGVO für E-Commerce und Online-Handel
Die Checkliste gibt einen strukturierten Überblick, wo DSGVO-Compliance endet und NIS2-Anforderungen beginnen, welche technischen und organisatorischen Prüfpunkte für Shop-Betreiber relevant sind und wie eine belastbare Scope-Dokumentation aufgebaut werden kann. Sie dient der internen Orientierung und ersetzt keine rechtliche oder regulatorische Fachberatung.