Deutscher Datenschutz: Neues Gesetz zwingt Online-Händler zum Umdenken

Seit dem 19. Mai 2026 ist das Datennutzungsgesetz (DNG) in Kraft – die nationale Umsetzung des EU-Data-Governance-Acts. Für den Online-Handel bedeutet das: strengere Regeln für den Umgang mit Kundendaten, mehr Dokumentationspflichten und neue Sicherheitsanforderungen. Zeitgleich zeigen aktuelle Studien einen historischen Wandel der Cyber-Bedrohungslage: Erstmals seit fast zwei Jahrzehnten sind gestohlene Passwörter nicht mehr die größte Gefahr.

Software-Lücken werden zur neuen Gefahr Nr. 1

Der 2026 Verizon Data Breach Investigations Report, veröffentlicht am heutigen Mittwoch, offenbart einen Paradigmenwechsel: Software-Schwachstellen haben gestohlene Zugangsdaten als häufigste Einfallstore für Hackerangriffe abgelöst. Ein 19 Jahre alter Trend ist damit gebrochen. Die Analyse zeigt, dass das Zeitfenster zum Schließen dieser Lücken oft nur noch wenige Stunden beträgt – KI-gesteuerte Tools entdecken und nutzen Zero-Day-Schwachstellen in Rekordzeit.

Angesichts immer schnellerer Angriffszyklen und neuer gesetzlicher Pflichten müssen Unternehmen ihre IT-Infrastruktur heute proaktiver denn je schützen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Neue Cyberrisiken und KI-Gesetze verstehen

Eine aktuelle KPMG-Studie („Cybersicherheit in Österreich 2026“) bestätigt den Trend. Auf Basis einer Befragung von 1.396 Unternehmen sehen 50 Prozent der Firmen KI-gestützte Angriffe als ihre größte Herausforderung. Besonders brisant: In 61 Prozent der Unternehmen führten Anwenderfehler mit KI-Tools zu Sicherheitsvorfällen. Für Online-Händler, die KI zunehmend im Kundenservice, in der Logistik und bei der Datenanalyse einsetzen, wird spezielle Mitarbeiterschulung damit zur Pflicht.

Ein weiteres alarmierendes Ergebnis: 46 Prozent der Unternehmen können nicht abschätzen, wie lange sie ohne ihre technische Infrastruktur auskommen würden. Für E-Commerce-Plattformen, bei denen selbst kurze Ausfälle massive Umsatzverluste bedeuten, ist diese Blindstelle besonders gefährlich.

Ransomware-Angriff auf Foxconn: Warnsignal für Lieferketten

Erst gestern bestätigte Foxconn einen Ransomware-Angriff auf seine nordamerikanischen Standorte. Die Tätergruppe behauptet, acht Terabyte an Daten gestohlen zu haben – darunter rund elf Millionen Dokumente. Besonders heikel: Die Beute soll vertrauliche Informationen von Technologiepartnern wie Apple, Intel, Google und Nvidia enthalten. Foxconn has Sicherheitsprotokolle aktiviert und nimmt den Betrieb schrittweise wieder auf. Der Vorfall zeigt, wie verwundbar globale Lieferketten sind – und wie sensibel die dort verarbeiteten Mitarbeiter- und Unternehmensdaten.

Auch in Deutschland schlugen Hacker zu. Anfang Mai traf die als „Kairos“ bekannte Gruppe den niedersächsischen Verein Arwini e.V. Die Erpresser drohten, 2,87 TB Daten zu verkaufen. Berichten zufolge wurden bis zu 75.000 Datensätze mit Gesundheits- und Abrechnungsinformationen kompromittiert. Die Botschaft für E-Commerce-Unternehmen: Gehaltsdaten und Gesundheitsinformationen von Mitarbeitern sind lukrative Ziele für Erpressung.

Hinweisgeberschutz: Bußgelder bis zu einer Million Euro

Zur internen Risikominimierung müssen Unternehmen mit mehr als 50 Mitarbeitern das Hinweisgeberschutzgesetz (HinSchG) beachten, das seit Juli 2023 gilt. Es schreibt sichere Meldekanäle vor, die die Vertraulichkeit von Hinweisgebern gewährleisten. Verstöße können teuer werden: Bußgelder bis zu 50.000 Euro für Einzelpersonen oder bis zu einer Million Euro für Unternehmen. Juristen weisen darauf hin, dass die Anonymität nicht absolut ist – in Strafverfahren oder behördlichen Ermittlungen können Offenlegungen erforderlich werden.

Da Verstöße gegen das Hinweisgeberschutzgesetz Bußgelder in Millionenhöhe nach sich ziehen können, ist eine rechtssichere Organisation der internen Meldestellen für Unternehmen unerlässlich. Dieser kostenlose Praxisleitfaden mit Checkliste zeigt Ihnen Schritt für Schritt, wie Sie das Gesetz sicher und DSGVO-konform umsetzen. Gratis-Leitfaden zum Hinweisgeberschutzgesetz anfordern

EuGH-Urteil: Schluss mit missbräuchlichen Auskunftsersuchen

Der Europäische Gerichtshof hat am 19. März 2026 Klarheit geschaffen: Auskunftsersuchen nach Artikel 15 DSGVO können als Rechtsmissbrauch gewertet werden, wenn sie ausschließlich dazu dienen, Schadensersatzansprüche zu generieren. Dieses sogenannte „GDPR-Hopping“ belastete vor allem E-Commerce-Unternehmen mit einer Flut von Anfragen. Das Urteil dürfte die Zahl derartiger Fälle deutlich reduzieren.

Das Amtsgericht Nürnberg entschied zudem im Juli 2025 endgültig zum Kopplungsverbot unter der DSGVO. Demnach gibt es kein absolutes Verbot, Verträge von der Einwilligung in Datenverarbeitung abhängig zu machen – vorausgesetzt, das Unternehmen hat keine Monopolstellung und die Einwilligung erfolgt freiwillig. Die Übermittlung von Daten an Auskunfteien zur Betrugsprävention ist demnach auf Basis des berechtigten Interesses zulässig. Wichtig: Für Schadensersatz nach Artikel 82 DSGVO muss ein konkreter Schaden nachgewiesen werden – bloßes Unbehagen reicht nicht.

Cloud-Sicherheit: BSI-Zertifikat als neues Gütesiegel

Mit dem Datennutzungsgesetz übernimmt die Bundesnetzagentur (BNetzA) die Aufsicht über Datenvermittlungsdienste, das Statistische Bundesamt unterstützt öffentliche Stellen bei der Pseudonymisierung. Das Ziel: ein sicherer Rahmen für den Datenaustausch im Binnenmarkt.

Ein wichtiges Signal für die Privatwirtschaft: Der Sicherheitsanbieter Kiteworks erhielt am 19. Mai das BSI C5 Typ-2-Zertifikat des Bundesamts für Sicherheit in der Informationstechnik. Der „Goldstandard“ für Cloud-Sicherheit bestätigt nach einem Audit vom Dezember 2025 die Wirksamkeit von über 120 Sicherheitskontrollen. Für Online-Händler mit Cloud-basierten ERP- oder CRM-Systemen werden solche Zertifikate zum entscheidenden Kriterium bei der Anbieterwahl.

Automatisierung als Ausweg aus der Dokumentationsfalle

Die Zukunft gehört der Automatisierung: KI-gestützte Assistenten können bis zu 75 Prozent der Dokumentation für Verarbeitungsverzeichnisse (VVT) und Datenschutz-Folgenabschätzungen (DSFA) übernehmen. Unternehmen, die diese Tools nutzen, berichten von Zeitersparnissen zwischen 60 und 75 Prozent. Menschliche Experten können sich so auf Entscheidungen statt auf Verwaltungsaufgaben konzentrieren.

Doch während die Schutzmechanismen besser werden, verbessern sich auch die Angriffsmethoden. Gruppen wie Lazarus umgehen erfolgreich Blockchain-Whitelists, und neue KI-Modelle identifizieren Tausende von Zero-Day-Schwachstellen in Rekordzeit. Für den Online-Handel wird der Rest des Jahres 2026 zum Wettlauf zwischen automatisierten Compliance-Tools und der rasanten Entwicklung KI-gesteuerter Cyber-Bedrohungen. Kontinuierliche Mitarbeiterschulung und proaktive Bedrohungsanalyse bleiben die Grundpfeiler jeder robusten Datenschutzstrategie.

de | wirtschaft | 69381954 |