IT-Sicherheit im Online-Handel: Welche Pflichten Händler beachten müssen

Der Betrieb eines Online-Shops geht untrennbar mit der Verarbeitung personenbezogener Daten einher. Damit stellt sich für Händler zwingend die Frage, welche IT-Sicherheitsanforderungen einzuhalten sind und welche Maßstäbe das Recht hierbei anlegt.

Online-Händler verarbeiten im täglichen Geschäft eine Vielzahl personenbezogener Daten. Bereits der Bestellprozess erfordert die Erhebung von Namen, Anschriften und Kontaktdaten; hinzu kommen regelmäßig Zahlungsinformationen, Kundenkonten, Kommunikationsdaten oder Versandinformationen.

Diese Datenverarbeitung ist rechtlich nicht folgenlos.

Der Gesetzgeber verlangt von Unternehmen, die personenbezogene Daten verarbeiten, ein angemessenes Maß an IT-Sicherheit.

Der nachfolgende Beitrag zeigt, wann Online-Händler von IT-Sicherheitspflichten betroffen sind, welche Maßstäbe dabei anzulegen sind und welche rechtlichen Risiken drohen, wenn die Absicherung des Online-Shops unzureichend ist.

Wann Online-Händler von IT-Sicherheitspflichten betroffen sind

IT-Sicherheitspflichten setzen immer dort an, wo personenbezogene Daten verarbeitet werden.

Entscheidend ist dabei nicht die Unternehmensgröße, der Umsatz oder die technische Komplexität des Shops, sondern allein, ob der Händler über die Zwecke und Mittel der Datenverarbeitung entscheidet. In diesem Fall gilt er datenschutzrechtlich als Verantwortlicher und unterliegt den entsprechenden gesetzlichen Pflichten.

Im Online-Handel ist diese Verantwortlichkeit regelmäßig gegeben. Bereits der Betrieb eines Online-Shops mit Bestellfunktion, Kontaktformular oder Kundenkonto führt dazu, dass personenbezogene Daten von Kunden erhoben, gespeichert und weiterverarbeitet werden. Hierzu zählen insbesondere Namen, Adress- und Kontaktdaten sowie häufig auch Zahlungs- und Kommunikationsinformationen.

Auch die Einbindung externer Dienstleister – etwa für Hosting, Zahlungsabwicklung, Warenversand oder technische Wartung – ändert an dieser grundsätzlichen Verantwortlichkeit nichts.

Je nach konkreter Ausgestaltung handeln diese Dienstleister entweder als Auftragsverarbeiter oder – in Ausnahmefällen – als (Mit-)Verantwortliche; in beiden Konstellationen bleibt der Händler jedoch in der Pflicht, für ein angemessenes Sicherheitsniveau der Datenverarbeitung Sorge zu tragen.

IT-Sicherheit als gesetzlicher Grundsatz der Datenverarbeitung

Die Datenschutz-Grundverordnung verpflichtet Verantwortliche dazu, personenbezogene Daten in einer Weise zu verarbeiten, die ein angemessenes Maß an Sicherheit gewährleistet. Ziel ist es insbesondere, Daten vor unbefugtem Zugriff, vor unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Veränderung zu schützen.

Diese Verpflichtung erschöpft sich jedoch nicht im Einsatz einzelner technischer Schutzmaßnahmen – auch wenn dies in der Praxis häufig angenommen wird. Der Verantwortliche ist vielmehr gehalten, organisatorisch sicherzustellen, dass geeignete Sicherheitsvorkehrungen geplant, eingeführt und dauerhaft eingehalten werden.

In der Beratungspraxis zeigt sich etwa folgendes Bild: Der Online-Shop ist technisch korrekt per HTTPS abgesichert, intern fehlt jedoch eine klare Regelung dazu, wer auf Kundendaten zugreifen darf. Mitarbeiter teilen Logins oder versenden Kundendaten unverschlüsselt per E-Mail. Trotz vorhandener Technik fehlt es in solchen Fällen an einer wirksamen organisatorischen Absicherung.

Die zentrale Vorgabe: Art. 32 DSGVO

Für Online-Händler bildet Art. 32 DSGVO den zentralen rechtlichen Maßstab für die IT-Sicherheit.

Die Vorschrift verpflichtet jeden Händler, der personenbezogene Daten verarbeitet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem jeweiligen Risiko angemessenes Schutzniveau sicherzustellen.

Was in der Praxis häufig unterschätzt wird: Art. 32 DSGVO verlangt keine pauschalen Standardlösungen, sondern eine konkrete, auf den jeweiligen Online-Shop zugeschnittene Risikobetrachtung.

Maßgeblich ist nicht, welche Maßnahmen „üblich“ erscheinen, sondern welche Vorkehrungen angesichts der konkreten Datenverarbeitung erforderlich sind.

Zu berücksichtigen sind dabei insbesondere

• der Stand der Technik, also das im Online-Handel anerkannte Sicherheitsniveau,
• die Kosten der Umsetzung,
• Art, Umfang, Umstände und Zwecke der im Shop stattfindenden Datenverarbeitungen sowie
• die Risiken für Kunden, etwa bei Missbrauch von Zahlungs-, Login- oder Bestelldaten,

zu berücksichtigen.

Für Händler bedeutet dies: Je umfangreicher und je sensibler die verarbeiteten Daten sind, desto höher fallen die Anforderungen an die IT-Sicherheit aus. Ein Shop mit Kundenkonten, Login-Funktion und Zahlungsabwicklung muss ein höheres Sicherheitsniveau gewährleisten als ein Shop, der lediglich einfache Kontaktdaten verarbeitet.

Art. 32 DSGVO fordert dabei keinen absoluten Schutz vor jeder denkbaren Angriffsmöglichkeit. Gefordert ist vielmehr ein realistisches, risikoorientiertes Sicherheitskonzept, das sich an den tatsächlichen Gefährdungen des Online-Handels orientiert. Gleichzeitig entbindet die Berücksichtigung der Umsetzungskosten nicht davon, grundlegende Sicherheitsmaßnahmen umzusetzen.

Besonders praxisrelevant ist zudem, dass Art. 32 DSGVO keine einmalige Prüfung genügen lässt. Ändern sich Shopsysteme, Zahlungsarten oder die Art der verarbeiteten Daten, muss auch das Sicherheitskonzept überprüft und angepasst werden.

Cloud-Shops und ausgelagerte IT-Infrastruktur

Der Einsatz cloudbasierter Shopsysteme führt nicht zu einem Wegfall der IT-Sicherheitsverantwortung – ein Irrtum, der in der Praxis nach wie vor verbreitet ist.

Zwar übernimmt der Plattformanbieter regelmäßig die Absicherung der Server- und Basisinfrastruktur. Der Händler bleibt jedoch Verantwortlicher, da er weiterhin über die Zwecke der Datenverarbeitung sowie über wesentliche anwendungsbezogene Entscheidungen entscheidet.

Der Händler ist daher verpflichtet, einen geeigneten Anbieter auszuwählen, entsprechende vertragliche Regelungen – insbesondere zur Auftragsverarbeitung – zu treffen und die ihm verbleibenden Einflussmöglichkeiten sachgerecht zu nutzen. Dazu gehören insbesondere sichere Konfigurationen, Zugriffsbeschränkungen und die Auswahl angebundener Anwendungen.

Die Verantwortung verlagert sich also funktional: Technische Basismaßnahmen liegen beim Anbieter, organisatorische und konfigurationsbezogene Maßnahmen beim Händler.

Ergänzende Anforderungen des Telemedien- und digitalen Dienste-Datenschutzrechts (TDDDG)

Neben der DSGVO gelten für Online-Händler ergänzende Vorgaben des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG).

Das TDDDG verpflichtet Anbieter digitaler Dienste, ihre Angebote durch angemessene technische und organisatorische Maßnahmen gegen unerlaubte Zugriffe, Manipulationen und Störungen zu sichern, soweit dies technisch möglich und wirtschaftlich zumutbar ist.

Für Händler bedeutet dies, dass sich IT-Sicherheit nicht allein auf den Schutz personenbezogener Daten beschränkt. Auch die technische Infrastruktur des Online-Shops, einschließlich Schnittstellen, Plugins und Kommunikationswege, ist angemessen abzusichern.

Unsicher konfigurierte Schnittstellen oder unzureichend geschützte API-Zugänge können nicht nur datenschutzrechtliche, sondern auch erhebliche technische Risiken verursachen, für die der Händler verantwortlich bleibt.

Technische Sicherheitsmaßnahmen im Online-Shop

Ein angemessenes Sicherheitsniveau setzt voraus, dass Datenübertragungen zuverlässig vor Mitlesen und Manipulation geschützt sind. Der Einsatz aktueller Transportverschlüsselung (HTTPS) stellt dabei keinen besonderen Sicherheitsstandard mehr dar, sondern gehört heute zum Mindestmaß.

Darüber hinaus müssen insbesondere administrative Zugänge, Backend-Bereiche und Schnittstellen wirksam abgesichert sein. Erforderlich sind sichere Authentifizierungsverfahren, klare Rollen- und Berechtigungskonzepte sowie eine Beschränkung der Zugriffsrechte auf das notwendige Maß.

In der Praxis zeigt sich immer wieder, dass Admin-Zugänge lediglich durch einfache Passwörter geschützt sind und auf zusätzliche Schutzmechanismen verzichtet wird. Gelangen Zugangsdaten etwa durch Phishing in falsche Hände, kann dies erhebliche Risiken nach sich ziehen.

Ebenso erforderlich ist ein funktionierendes Update- und Patch-Management. Bekannte Sicherheitslücken müssen zeitnah geschlossen werden. Unterbleibt dies, kann ein ursprünglich angemessenes Sicherheitsniveau entfallen.

Auch bei Cloud-Shops bleibt der Händler verpflichtet, sicherheitsrelevante Einstellungen aktiv zu nutzen. Dazu zählen insbesondere die Absicherung administrativer Zugänge, die Vergabe von Nutzerrechten sowie die sorgfältige Auswahl und Konfiguration angebundener Apps und Schnittstellen.

Organisatorische Sicherheitsmaßnahmen

IT-Sicherheit beschränkt sich nicht auf technische Schutzvorkehrungen.

Ebenso erforderlich sind organisatorische Maßnahmen, mit denen der sichere und rechtskonforme Umgang mit personenbezogenen Daten innerhalb des Unternehmens gewährleistet wird. Gerade im Online-Handel spielen diese organisatorischen Strukturen eine zentrale Rolle, da Sicherheitsrisiken häufig weniger aus technischen Mängeln als aus fehlerhaften internen Abläufen resultieren.

Zu den wesentlichen organisatorischen Anforderungen zählen klar geregelte Zuständigkeiten für IT-Sicherheit und Datenschutz, dokumentierte interne Vorgaben sowie nachvollziehbare Zugriffs- und Berechtigungskonzepte. Der Verantwortliche hat sicherzustellen, dass nur diejenigen Personen Zugriff auf personenbezogene Daten erhalten, die diesen Zugriff für ihre jeweilige Tätigkeit benötigen, und dass die Verarbeitung ausschließlich im Rahmen der erteilten internen Weisungen erfolgt.

Von besonderer praktischer Bedeutung ist zudem der Umgang mit Beschäftigten, die regelmäßig mit personenbezogenen Daten arbeiten. Auch wenn Schulungen und Sensibilisierungsmaßnahmen nicht ausdrücklich in jedem Fall gesetzlich vorgeschrieben sind, stellen sie ein geeignetes und vielfach erwartetes Mittel dar, um die gesetzlichen Anforderungen tatsächlich umzusetzen und typische Fehlerquellen im Arbeitsalltag zu vermeiden. Dies gilt insbesondere in Bereichen wie Kundenservice, Auftragsabwicklung oder Marketing, in denen personenbezogene Daten täglich verarbeitet werden.

Maßstab „Stand der Technik“ und wirtschaftliche Zumutbarkeit

Die Anforderungen an die IT-Sicherheit orientieren sich am sogenannten Stand der Technik.

Gemeint ist damit nicht zwingend die jeweils neueste oder kostenintensivste Sicherheitslösung, sondern dasjenige Sicherheitsniveau, das sich in der Praxis als anerkannt, geeignet und wirksam etabliert hat. Maßgeblich ist also, welche Schutzmaßnahmen im Online-Handel unter vergleichbaren Umständen üblicherweise eingesetzt werden und sich bewährt haben.

Zugleich berücksichtigt das Datenschutzrecht ausdrücklich die wirtschaftliche Zumutbarkeit der Sicherheitsmaßnahmen. Von kleineren oder mittleren Online-Händlern wird kein Sicherheitsniveau verlangt, das dem eines international tätigen Großkonzerns entspricht. Der Gesetzgeber trägt damit dem Umstand Rechnung, dass Umfang und Komplexität der IT-Sicherheitsmaßnahmen in einem angemessenen Verhältnis zur Größe des Unternehmens und zum Risiko der Datenverarbeitung stehen müssen.

Diese Rücksichtnahme bedeutet jedoch nicht, dass grundlegende Sicherheitsvorkehrungen entbehrlich wären. Allgemein anerkannte Mindeststandards – etwa der Schutz administrativer Zugänge, aktuelle Verschlüsselungstechniken oder ein funktionierendes Update- und Berechtigungskonzept – sind regelmäßig auch für kleinere Händler wirtschaftlich realisierbar und daher verpflichtend umzusetzen.

Für die Praxis bedeutet dies: Händler können sich weder auf fehlende technische Möglichkeiten noch pauschal auf Kostengesichtspunkte berufen, um auf ein angemessenes Sicherheitsniveau zu verzichten. Entscheidend ist stets eine verhältnismäßige Abwägung, bei der Risiko, technischer Standard und wirtschaftliche Belastbarkeit des Unternehmens in ein angemessenes Verhältnis gesetzt werden.

Sicherheitsvorfälle und Datenpannen

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, treffen den Verantwortlichen umfassende Melde- und Dokumentationspflichten. Ob eine Meldung an die zuständige Aufsichtsbehörde und gegebenenfalls eine Benachrichtigung der betroffenen Personen erforderlich ist, hängt davon ab, ob und in welchem Umfang ein Risiko für die Rechte und Freiheiten der Betroffenen besteht.

Für Online-Händler ist dabei besonders relevant, dass diese Pflichten unabhängig von der Ursache des Sicherheitsvorfalls greifen. Ob die Datenpanne auf einen technischen Defekt, einen externen Angriff oder einen internen Organisationsfehler zurückzuführen ist, spielt für die Auslösung der Pflichten keine Rolle. Maßgeblich ist allein die potenzielle Gefährdung der betroffenen Personen.

Damit die gesetzlichen Vorgaben im Ernstfall eingehalten werden können, müssen im Unternehmen klare und praktikable Prozesse für den Umgang mit Sicherheitsvorfällen etabliert sein. Dazu gehören insbesondere feste Zuständigkeiten, interne Meldewege sowie Verfahren zur Bewertung und Dokumentation von Vorfällen. Auch diese organisatorischen Vorkehrungen sind Bestandteil der gesetzlich geforderten IT-Sicherheitsmaßnahmen und damit Teil der Verantwortung jedes Online-Händlers.

Rechtsfolgen bei Verstößen

Unzureichende IT-Sicherheitsmaßnahmen können für Online-Händler erhebliche rechtliche Folgen nach sich ziehen.

Die Datenschutzaufsichtsbehörden sind befugt, aufsichtsrechtliche Anordnungen zu erlassen, bestimmte Verarbeitungen einzuschränken oder im Einzelfall sogar zu untersagen. Zudem kommen Bußgelder in Betracht, deren Höhe sich nach Art, Schwere und Dauer des Verstoßes sowie nach dem Maß der Verantwortlichkeit des Händlers richtet.

Neben behördlichen Maßnahmen drohen auch zivilrechtliche Konsequenzen. Betroffene Personen können Schadensersatzansprüche geltend machen, wenn ihnen infolge einer unzureichend gesicherten Datenverarbeitung ein materieller oder immaterieller Schaden entstanden ist.

Praxis-Check für Online-Händler: Was prüfen – und wozu?

1. Verarbeitete Daten

Welche personenbezogenen Daten werden im Shop tatsächlich erhoben und gespeichert (z. B. Kundenkonten, Bestelldaten, Zahlungsarten, E-Mail-Kommunikation)?

Wozu? Um den Umfang der eigenen Datenverarbeitung zu kennen, Risiken realistisch einschätzen zu können und zu entscheiden, welches Sicherheitsniveau erforderlich ist.

2. Zugänge und Passwörter

Wie sind Admin-Zugänge, Backends und Schnittstellen abgesichert (Passwortstärke, Zwei-Faktor-Authentifizierung)?

Wozu? Um unbefugte Zugriffe zu verhindern und typische Angriffsvektoren (Phishing, Passwortdiebstahl) zu minimieren.

3. Verschlüsselung

Erfolgt die Datenübertragung im gesamten Shop ausschließlich verschlüsselt (HTTPS, auch im Login- und Bestellbereich)?

Wozu? Um Kundendaten vor Mitlesen und Manipulation während der Übertragung zu schützen.

4. Updates

Werden Shopsystem, Plugins, Themes und Apps regelmäßig aktualisiert?

Wozu? Um bekannte Sicherheitslücken zu schließen und zu vermeiden, dass veraltete Software zum Einfallstor für Angriffe wird.

5. Zugriffsrechte

Haben nur diejenigen Personen Zugriff auf Kundendaten, die diesen Zugriff für ihre Tätigkeit benötigen?

Wozu? Um Datenmissbrauch, Fehlbedienungen und interne Datenschutzverletzungen zu verhindern.

6. Interne Abläufe

Gibt es klare Vorgaben für den Umgang mit Kundendaten (z. B. bei Adressänderungen, Auskünften oder Reklamationen)?

Wozu? Um typische Fehler im Arbeitsalltag zu vermeiden und sicherzustellen, dass Daten nur rechtmäßig verarbeitet werden.

7. Cloud-Einstellungen

Werden die Sicherheitsfunktionen des eingesetzten Shopsystems aktiv genutzt (Nutzerrollen, Login-Sicherheit, Protokollierung)?

Wozu? Um die eigene Verantwortung im Cloud-Modell wahrzunehmen und vorhandene Schutzmechanismen nicht ungenutzt zu lassen.

8. Externe Zugriffe

Welche Dienstleister haben Zugriff auf Kundendaten, und ist dieser Zugriff auf das notwendige Maß beschränkt?

Wozu? Um die Kontrolle über Datenflüsse zu behalten und unnötige Risiken durch Drittzugriffe zu vermeiden.

9. Datensicherungen

Werden regelmäßig Backups erstellt, und ist bekannt, wie diese wiederhergestellt werden können?

Wozu? Um Datenverluste nach technischen Defekten oder Angriffen schnell beheben zu können.

10. Umgang mit Vorfällen

Ist festgelegt, wie bei verdächtigen Zugriffen, Fehlversendungen oder sonstigen Sicherheitsvorfällen vorzugehen ist?

Wozu? Um im Ernstfall schnell, geordnet und rechtskonform reagieren zu können.

Wer diese Punkte regelmäßig überprüft und dokumentiert, schafft nicht nur ein angemessenes Sicherheitsniveau im Sinne von Art. 32 DSGVO, sondern reduziert zugleich Haftungs- und Bußgeldrisiken im Online-Handel erheblich.

Fazit

IT-Sicherheit ist für Online-Händler keine freiwillige Zusatzleistung, sondern eine gesetzliche Pflicht, die den gesamten Geschäftsbetrieb durchzieht. Maßgeblich sind die risikobasierten Anforderungen der Datenschutz-Grundverordnung sowie ergänzend die Vorgaben des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG).

Gefordert ist kein lückenloser Schutz vor jeder theoretischen Gefährdung, sondern ein angemessenes, aktuelles und organisatorisch abgesichertes Sicherheitsniveau, das sich an den konkreten Risiken des Online-Handels orientiert.

Unzureichende Sicherheitsmaßnahmen können nicht nur zu Betriebsstörungen oder Datenverlusten führen, sondern auch aufsichtsrechtliche Maßnahmen, Bußgelder und Haftungsrisiken nach sich ziehen.

Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.