Wie E-Commerce-Regeln den digitalen Handel prägen

Vom AI Act über das BFSG bis zum DSA – der digitale Handel muss eine Fülle von Vorschriften einhalten.

Überblick

• E-Commerce unterliegt strengen EU-Vorschriften.
• Der AI Act und DSA stellen neue Compliance-Herausforderungen.
• Barrierefreiheit und Datenschutz sind zentrale Themen.

Viele KI-Anwendungen im E-Commerce – etwa Chatbots, Empfehlungssysteme oder Preisalgorithmen – basieren auf großen Datenmengen. Häufig werden diese Systeme mit realen Nutzerdaten trainiert oder im laufenden Betrieb mit personenbezogenen Informationen angereichert. Gerade an dieser Schnittstelle zeigt sich, wie verschiedene Rechtsvorschriften ineinandergreifen – hier speziell die Vorgaben des Artificial Intelligence Act (AI Act) und der Datenschutz-Grundverordnung (DSGVO). Zusammen mit dem Digital Services Act (DSA), dem Barrierefreiheitsstärkungsgesetz (BFSG) sowie allgemeinen gesetzlichen Informationspflichten stellen diese Vorschriften große Herausforderungen an den E-Commerce – auch für kleine und mittlere Unternehmen. Wir geben einen Überblick über die wichtigsten Regelungen.

1. Digital Services Act: Compliance-Herausforderungen für digitale Diensteanbieter

Für Unternehmen, die digitale Dienste bereitstellen, über die Informationen im Internet übermittelt oder (zwischen-)gespeichert werden (sogenannte Intermediäre), sieht der DSA seit Februar 2024 umfangreiche Pflichten vor. Hierzu zählen insbesondere Hosting-Diensteanbieter sowie soziale Netzwerke und Online-Marktplätze. Erfasst werden u. a. E-Commerce-Geschäftsmodelle mit integrierten Marktplatzlösungen, wie sie bei großen Modehäusern oder Verkaufsplattformen für gebrauchte Produkte üblich sind. Auch klassische Webshops ohne Marktplatzfunktion können betroffen sein – insbesondere, wenn sie interaktive Funktionen wie Produktbewertungen oder Kommentare bereitstellen. Gleiches gilt, wenn auf der Website nutzergenerierte Inhalte integriert werden, wie etwa bei Blogs oder in Foren.

Rechtswidriges löschen

Der DSA verpflichtet Diensteanbieter, rechtswidrige Inhalte schnell und wirksam zu identifizieren und zu entfernen. Hierunter fallen alle Informationen, die im weitesten Sinne gegen Unionsrecht oder das Recht eines Mitgliedstaates verstoßen, wie etwa das Angebot von Produktfälschungen oder die Veröffentlichung von Inhalten, die Marken- oder Urheberrechte verletzen. Diese Regelungen zielen eher auf klassische Social-Media-Angebote, gelten aber auch für E-Commerce-Marktplätze. Zu diesem Zweck müssen sie insbesondere ein Melde- und Abhilfeverfahren für unrechtmäßige Inhalte einrichten. Zudem sind Diensteanbieter verpflichtet, inhaltliche Beschränkungen – wie die Löschung einzelner Inhalte oder die Sperrung von Nutzerkonten – nachvollziehbar und transparent zu begründen. Online-Plattformen, wozu also auch Marktplätze im Internet zählen, unterliegen darüber hinaus weitergehenden besonderen Pflichten. Schließlich enthält der DSA spezifische Vorschriften zum Schutz von Kindern und Jugendlichen im digitalen Raum, u. a. das Verbot personalisierter Werbung auf der Basis personenbezogener Daten Minderjähriger.

Beispiele aus der Praxis

Die Relevanz des DSA zeigt sich an der Auseinandersetzung im Zusammenhang mit Online-Plattformen wie TikTok, AliExpress oder X (ehemals Twitter). Nach Übernahme durch Elon Musk wurden diverse Moderationsstandards gelockert, was nach Einschätzung der Europäischen Kommission zu einem Anstieg von Desinformation und problematischen Inhalten auf der Plattform führte. Als zuständige Aufsichtsbehörde für sehr große Online-Plattformen und -Suchmaschinen leitete die EU-Kommission daraufhin ein formelles Verfahren gegen X wegen potenzieller Verstöße gegen den DSA ein. Dem Unternehmen drohen im Rahmen des derzeit noch anhängigen Verfahrens Strafzahlungen in Milliardenhöhe – bis zu 6 Prozent des weltweiten Umsatzes sind laut DSA möglich – und sogar eine Abschaltung von X innerhalb der EU, wobei sich das Verfahren noch in der Prüfphase befindet. In Deutschland wird die Einhaltung der Vorgaben des DSA durch die Bundesnetzagentur überwacht. Dort können auch Privatpersonen, Kunden und Verbraucher Beschwerde einreichen oder Schadensersatz fordern.

Gegen Dark Patterns und irreführende Influencer

Vor dem Hintergrund manipulativer Praktiken im digitalen Raum plant die EU-Kommission mit dem Digital Fairness Act (DFA) ein weiteres Regelwerk, das gezielt bestehende Verbraucherschutzlücken schließen soll. Vorgesehen sind u. a. weitergehende Regelungen zum Schutz vor Dark Patterns (manipulative Designstrategien, die Nutzende zu Handlungen verleiten, die sie vermutlich sonst nicht vollzogen hätten), vor irreführender Werbung durch Influencerinnen und Influencer sowie vor personalisierten Inhalten mit manipulativer Wirkung. Die EU-Kommission hat am 17.07.2025 eine öffentliche Konsultation zum DFA gestartet, die noch bis Anfang Oktober 2025 läuft. Auf der Basis der Rückmeldungen soll anschließend ein Gesetzesvorschlag erarbeitet werden.

2. Artificial Intelligence Act: Handlungsbedarf bei KI-Einsatz

Mit dem AI Act hat die EU den weltweit ersten Rechtsrahmen für KI-Systeme eingeführt. Die Verordnung unterscheidet KI-Systeme nach ihrem Risiko für Nutzende und Gesellschaft. Bestimmte Anwendungen, wie etwa der Einsatz manipulativer KI-Systeme oder von Social Scoring, sind grundsätzlich verboten. Sogenannte Hochrisiko-KI-Systeme unterliegen umfangreichen Prüf‑, Dokumentations- und Transparenzpflichten. Gewisse Transparenzpflichten bestehen auch im Hinblick auf Anwendungen, die für die direkte Interaktion mit Personen bestimmt sind (wie Chatbots). Insbesondere müssen Betroffene darüber informiert werden, dass sie mit einem KI-System interagieren. KI-Anwendungen, die unter keine der Risikokategorien des AI Act fallen, bleiben im Übrigen unreguliert.

Buy now, pay later

Die Einstufung als Hochrisiko-KI-System erfolgt gemäß den in Art. 6 des AI Act genannten Kriterien. Im E-Commerce gehören automatisierte Systeme zur Prüfung der Kreditwürdigkeit von Privatpersonen zu den typischen Anwendungsfällen. Auch Systeme zur automatisierten Preisgestaltung, Produktempfehlung, Risikobewertung oder Zahlungsabwicklung – etwa zur Betrugserkennung oder Zahlungsoptimierung wie beim Echtzeit-Scoring im Rahmen des sogenannten „Buy now, pay later“-Modells – können betroffen sein.

Mensch-Maschine-Schnittstellen

Für Hochrisiko-KI-Systeme muss ein Risikomanagementsystem eingerichtet, dokumentiert und über den gesamten Lebenszyklus des Systems hinweg aufrechterhalten werden. Zusätzlich sind die Systeme so zu gestalten, dass sie jederzeit wirksam von Menschen beaufsichtigt werden können. Und zwar über geeignete technische Mittel wie Dashboards, Kontrollfunktionen oder Eingabemasken, die es menschlichen Aufsichtspersonen ermöglichen, die Funktionsweise des KI-Systems zu verstehen, zu steuern und bei Bedarf einzugreifen („Mensch-Maschine-Schnittstellen“).

Know your AI

Um die Pflichten aus dem AI Act ordnungsgemäß erfüllen zu können, müssen Unternehmen ihre eingesetzten KI-Systeme korrekt klassifizieren – ganz im Sinne des Prinzips „Know your AI“. Das betrifft nicht nur Anbieter, die ein KI-System oder KI-Modell selbst entwickelt und in Verkehr gebracht haben, sondern auch für Unternehmen, die solche KI-Systeme eigenverantwortlich innerhalb der EU verwenden. Dabei ist es unerheblich, ob der Anbieter oder Betreiber seinen Sitz in der EU hat – entscheidend ist, ob das KI-System in der EU eingesetzt wird (Marktortprinzip).

Zeitplan

Die Vorschriften des AI Act zu verbotenen KI-Praktiken und sogenannter KI-Kompetenz („AI Literacy“) gelten bereits seit Februar 2025. Seit August 2025 gelten zudem die Regelungen zu General Purpose AI (KI-Modelle, die für eine Vielzahl von Aufgaben eingesetzt werden können – z. B. Sprachmodelle und Bildgeneratoren). Die übrigen Vorschriften, insbesondere zu Hochrisiko-KI-Systemen, treten ab August 2026 in Kraft. Bei Verstößen droht je nach Schwere ein Bußgeld von bis zu 6 Prozent des weltweiten Jahresumsatzes.

3. Datenschutz-Grundverordnung: kontinuierliche Verpflichtungen

E-Commerce-Unternehmen verarbeiten regelmäßig eine Vielzahl personenbezogener Daten, sei es zur Abwicklung von Bestellungen, zur Kundenbetreuung oder zu Marketingzwecken. Die DSGVO bleibt daher auch Jahre nach ihrem Inkrafttreten ein zentraler Faktor im digitalen Handel. Die Verordnung stellt strenge Anforderungen an die Verarbeitung personenbezogener Daten und verlangt die Implementierung umfassender Schutzmaßnahmen.

Erst fragen, dann nutzen

E-Commerce-Unternehmen müssen gewährleisten, dass alle gesammelten Daten rechtmäßig, transparent und zweckgebunden verarbeitet werden. Darüber hinaus müssen sie klare und verständliche Datenschutzerklärungen bereitstellen, in denen sie die Art und den Zweck der Datenverarbeitung erklären sowie die Einwilligung der Nutzenden einholen, bevor sie personenbezogene Daten zu Direktmarketing-Zwecken verwenden. Schließlich sind Unternehmen verpflichtet, technische Sicherheitsmaßnahmen, wie die Verschlüsselung von Daten, und Zugriffskontrollen zu implementieren, um die Daten vor unbefugtem Zugriff zu schützen. Die Nichteinhaltung der DSGVO-Vorgaben kann zu erheblichen Bußgeldern führen, die bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen können.

Schwellenwerte sollen steigen

Auf EU-Ebene wird derzeit unter dem Stichwort „Omnibus-IV-Paket“ über eine Reform der DSGVO beraten. Der Vorschlag sieht bürokratische Entlastungen insbesondere für kleine und mittlere Unternehmen vor. Geplant ist u. a. eine Anhebung der Schwellenwerte für die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten: Statt wie bisher bei weniger als 250 Mitarbeitenden soll die Ausnahme künftig für Unternehmen mit bis zu 750 Mitarbeitenden gelten. Darüber hinaus sollen die Bedürfnisse kleiner und mittlerer Unternehmen bei der Ausarbeitung von Verhaltensregeln stärker berücksichtigt werden. Konkret bedeutet das praxisnahe, branchenspezifische Anforderungen, die den betrieblichen Ablauf sowie die tatsächlichen Ressourcen von Unternehmen dieser Größenordnung realistisch abbilden. Auch bei der Erteilung von Datenschutzzertifizierungen sollen die Bedürfnisse kleiner und mittlerer Unternehmen stärker in den Fokus rücken. Vorgesehen ist eine Vereinfachung der Verfahren durch klarere Anforderungen und kürzere Prüfprozesse.

TDDD-Gesetz

Neben der DSGVO prägt auch das auf der E-Privacy-Richtlinie basierende Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) den Umgang mit Daten im E-Commerce. Es enthält insbesondere strenge Vorgaben für den Einsatz von Cookies (kleinen Textdateien, die beim Besuch einer Website Informationen über die Nutzenden speichern) und von vergleichbaren Technologien zur Nutzerverfolgung. Grundsätzlich dürfen nicht technisch erforderliche Cookies – etwa zu Analyse- oder Marketingzwecken – nur dann gesetzt werden, wenn Nutzende zuvor ausdrücklich eingewilligt haben (Opt-in-Verfahren). Trotz anhaltender Diskussionen etwa über ein Opt-out-Verfahren ist eine gesetzliche Anpassung derzeit nicht geplant.

Abb.: DSGVO-Bußgelder erreichten 2023 neues Rekordhoch
Strafen aufgrund von Verstößen gegen die Datenschutzgrundverordnung

4. Barrierefreiheitsstärkungsgesetz: Teilhabe für alle

Seit dem 28.06.2025 sind Wirtschaftsakteure (mit wenigen Ausnahmen) Verbraucherinnen und Verbrauchern gegenüber zur Barrierefreiheit im digitalen Raum verpflichtet. Dies soll das Recht auf Teilhabe von Menschen mit Behinderungen stärken. Das Barrierefreiheitsstärkungsgesetz setzt die EU-Richtlinie zur Barrierefreiheit um. Unter dem Oberbegriff „Dienstleistungen im elektronischen Rechtsverkehr“ werden auch Betreiber von Online-Shops und Online-Vermittlungsdiensten erfasst. Das Herzstück der neuen Regelungen bilden die Anforderungen an die Barrierefreiheit. Nach dem BFSG müssen Unternehmen sicherstellen, dass ihre digitalen Angebote barrierefrei sind, d.h. für Menschen mit Behinderungen in der allgemein üblichen Weise, ohne besondere Erschwernis und grundsätzlich ohne fremde Hilfe auffindbar, zugänglich und nutzbar.

Sehen und hören

Denkbare Maßnahmen bei Websites sind beispielsweise die Bereitstellung von Alternativen für visuelle Inhalte, um auch blinden Nutzenden den Zugang zu ermöglichen, sowie Untertitel bei Videos und Audiodateien. Formulare, Links, Schaltflächen und Eingabefelder sollen mittels Screenreader vorgelesen werden können. Zudem ist eine Erklärung zur Barrierefreiheit auf der Website zu veröffentlichen.

Konkurrenten können abmahnen

Verstöße können mit einem Bußgeld von bis zu 100.000 Euro geahndet werden. Zudem können Unternehmen von ihren Mitbewerbern oder qualifizierten Wirtschaftsverbänden abgemahnt werden. Die zuständige Marktüberwachungsbehörde kann ferner bestimmen, dass ein Angebot oder eine Dienstleistung nicht weiter angeboten werden dürfen, wenn sie nicht barrierefrei zur Verfügung gestellt werden.

5. Allgemeine Informationspflichten im E-Commerce

Zu beachten sind schließlich die allgemeinen Anforderungen, insbesondere solche, die das Bürgerliche Gesetzbuch (BGB) für den elektronischen Geschäftsverkehr im Allgemeinen (§ 312i BGB i. V. m. Art. 246c des Einführungsgesetzes zum Bürgerlichen Gesetzbuch, EGBGB) und gegenüber Verbraucherinnen und Verbrauchern im Speziellen (u. a. § 312j BGB i. V. m. Art. 246a EGBGB) aufstellt sowie für Betreiber von Online-Marktplätzen (§ 312l BGB i. V. m. Art. 246d EGBGB).

Infos rund um den Vertrag

Daraus ergeben sich für Unternehmen Informationspflichten. Dazu zählen die Unterrichtung über die einzelnen technischen Schritte, die zu einem Vertragsschluss führen, Informationen zur Speicherung des Vertragstextes nach dem Vertragsschluss und zur Zugänglichkeit für Kundinnen und Kunden sowie Hinweise über die für den Vertragsschluss zur Verfügung stehenden Sprachen. Teilweise gibt es auch konkrete Anforderungen an die Ausgestaltung eines Online-Shops bzw. des Bestellprozesses. Hier geht es z. B. um das Zurverfügungstellen von angemessenen, wirksamen und zugänglichen technischen Mitteln, mit deren Hilfe ein Kunde oder eine Kundin Eingabefehler vor Abgabe der Bestellung erkennen und berichtigen kann. Oder um die Zugangsbestätigung einer Bestellung. Teilweise werden auch Anforderungen an den Zeitpunkt sowie die Art und Weise der Informationsbereitstellung gestellt.

Das UWG gilt immer

Daneben sind gegenüber Verbraucherinnen und Verbrauchern im Bereich E-Commerce stets auch die Vorgaben für Fernabsatzverträge (§§ 312c ff. BGB i. V. m. Art. 246a EGBGB) zu beachten, die Unternehmen weitere Pflichten auferlegen. Auch im Internetgeschäft gelten zudem die Regeln des Gesetzes gegen den unlauteren Wettbewerb (UWG) und der Preisangabenverordnung (PAngV).

Anfechtung, Schadensersatz, Unterlassung

Verfehlungen können zu Anfechtungen von Verträgen und Schadensersatzansprüchen führen. Daneben können Verstöße Unterlassungsansprüche nach sich ziehen, insbesondere wegen der Verletzung von Verbraucherschutzgesetzen nach § 2 Unterlassungsklagengesetz (UKlaG) sowie ein Anspruch nach §§ 3, 3a, 8 UWG. Verstöße gegen ausgewählte Vorgaben des § 312j BGB führen darüber hinaus dazu, dass kein wirksamer Vertrag zustande kommt.