Sektor

E-Commerce

DSA · GDPR · PSD2 · GPSR · P2B-Verordnung · Verbraucherrechtliche Pflichten.

Sektorale Risiken

Zahlungsdaten auf nicht-europäischen Infrastrukturen
Checkout- und Zahlungsabwicklungs-Dienste laufen auf Plattformen außerhalb der EU. Transaktionsdaten unterliegen potenziell Drittstaatenzugriffen.
Kundendaten in US-Clouds
Bestellhistorien, Adressen und Kommunikationsdaten werden häufig in nicht-europäischen Clouds verarbeitet. CLOUD Act und FISA 702 sind relevant.
Fulfillment-Abhängigkeit
Lagerung, Kommissionierung und Versand werden zunehmend an Drittanbieter ausgelagert. Daten- und Prozesskontrolle gehen dabei verloren.
Algorithmische Empfehlungssysteme (DSA)
Empfehlungsalgorithmen beeinflussen Kaufentscheidungen und Verkäufer-Rankings. Inhaltliche Steuerung durch nicht-europäische Anbieter ist ein Governance-Risiko.
Marktplatz-Lock-in
Händler sind an Plattformen gebunden, deren Ranking-Mechanismen, Zahlungswege und Datenflüsse nicht transparent sind. Wechselkosten sind hoch.

Regelwerk	Status	Wesentliche Anforderung	Anschluss an EDSO
DSA	in Kraft	Transparenz algorithmischer Systeme	Anker für D1 und D6
GDPR	EU-Verordnung	Schutz personenbezogener Daten	Anker für D2
PSD2	in Kraft	Sichere Zahlungsabwicklung	Anker für D2 und D3
GPSR	in Kraft	Produktsicherheit	Anker für D4
P2B-Verordnung	in Kraft	Gerechte Plattformpraktiken	Anker für D1

Anwendungsfall	Gesamt	D1	D2	D3	D4	Begründung
Zahlungsabwicklung / Checkout	L3	L3	L4	L3	L3	PSD2-Pflichten erfordern verschärfte D2- und D3-Nachweise.
Marktplatz-Plattform (B2C)	L3	L3	L3	L3	L3	DSA-Transparenz, viele Verkäufer, hohe Verantwortung.
Fulfillment-System (Drittanbieter)	L3	L3	L3	L2	L3	Datenkontrolle über Lieferkette erforderlich.
CRM / Marketing-Automatisierung	L2	L2	L2	L2	L2	Standardgeschäftsprozesse, geringes systemisches Risiko.
Produktempfehlungs-Engine (DSA-relevant)	L3	L3	L3	L3	L2	DSA-Anforderungen an Transparenz erfordern D1 = L3.

Szenario: Ein mittelständischer Online-Händler migriert seine Zahlungsabwicklung von einem US-Anbieter zu einem EU-basierten Dienst.
Risiken: PCI-DSS-Konformität, Abhängigkeit von Fraud-Scoring-Engines, Transaktionshistorie.
EDSO-Anwendung: L3 für Zahlungsabwicklung; D2 = L4 für Kartenholder-Daten; D3 = L3 für API-Schnittstellen.
Vorgehen: Self-Assessment, Lückenanalyse, Pilotzertifizierung der Zahlungsinfrastruktur.

Szenario: Ein Marktplatzanbieter lagert Lagerung und Versand an einen externen Fulfillment-Dienstleister aus.
Risiken: Datenfluss zu Fulfillment-Partner, Retouren-Daten, Inventartransparenz.
EDSO-Anwendung: L3 gesamt; D4 = L3 zwingend für Lieferkettentransparenz.
Vorgehen: Bewertung über Level-Rechner, Register-Eintrag des Fulfillment-Partners.

Szenario: Eine Plattform muss die Transparenz ihrer Produktempfehlungen nachweisen.
Risiken: Nicht-europäische Algorithmen, undokumentierte Gewichtungsfaktoren.
EDSO-Anwendung: L3 mit D1 = L3 (juristische Transparenz) und D6 = L3 (Governance der Empfehlungslogik).
Vorgehen: Dokumentationspflicht erfüllen, anschließend Audit der Empfehlungsinfrastruktur.

Mit voreingestellten Sektor-Parametern

Anbieter und Dienste mit Sektor-Filter

Sektor voreingestellt, in ca. 20 Minuten

EDSO für E-Commerce-Händler — Praxisleitfaden von der Standortbestimmung bis zur Zertifizierung für Online-Händler.
Marktplatz-Lastenheft EDSO L3 — Vergabe-Vorlage für Marktplatz-Betreiber mit DSA-konformen Souveränitätskriterien.

Derzeit keine sektor-spezifischen Konsultationen.

Anwendungsrat — Quadrant Anwender / Sektor E-Commerce — Sektor-Sprecherin