Neu Widerrufsbutton: Jeder, der den Button betätigt, kann das Widerrufsformular ausfüllen und absenden - auch ohne Bestellung?

[tsinus]

Wir haben die Shopversion 5.7.0 mal installiert und bekommen gerade die erste Spammail über den Widerrufsbuttonlink rein. Der Widerrufsbutton sitzt im Footer des Shops. Anscheinend hat der schon die Aufmerksamkeit eines Crawlers oder bots geweckt?

*****************************
Betreff: Ihr Widerruf wird geprüft

Guten Tag yDPEOffCjoAKJCqkVIwTDvL,

wir haben Ihren Widerruf zu der Bestellung EZVGUuQNPxuIOtAlX am 2026-04-18 13:32:56 erhalten.

Übersicht Ihrer Angaben:

• Ihre E-Mail-Adresse: ip.i.lu.x.imek.i476Q@XXXXXXXXXXXX
• Ihr Kommentar: wTyKFdWXZcwRfYAKufiq

Es tut uns leid, dass Sie mit Ihrer Bestellung unzufrieden waren. Wir werden Ihren Widerruf schnellstmöglich bearbeiten und Sie diesbezüglich kontaktieren.
********************************************
Die XXXXXXXXXXXX in der mailadress habe ich hier geändert.

Augenscheinlich hat der erste Spaßvogel den Widerrufbutton im Footer betätigt, das Widerrufsformular mit Fakedaten befüllt und abgesendet. Eine passende Bestellung ist jedoch nicht bei uns eingegangen und auch im Backend unter "Bestelllungen" nicht vorhanden.
Handelt es sich hier noch um einen Fehler in Sachen Widerrufsbutton, oder müssen wir in Zukunft mit einer Flut solcher mails rechnen?

So, gleicher Tag, nur ein paar Stunden später: Die 2. Spam-Mail in Zusammenhang mit dem Widerrufsbutton:

******************************
Guten Tag rlVAULuPUvUkFVrzG,

wir haben Ihren Widerruf zu der Bestellung TBAsrQqSUuycztQG am 2026-04-18 16:35:25 erhalten.

Übersicht Ihrer Angaben:

• Ihre E-Mail-Adresse: blacksquirreldev@XXXXXXXXXXXX
• Ihr Kommentar: tTBAWxnBUEbNdOhSGMyQSY

Es tut uns leid, dass Sie mit Ihrer Bestellung unzufrieden waren. Wir werden Ihren Widerruf schnellstmöglich bearbeiten und Sie diesbezüglich kontaktieren.
********************************************

Und damit ich nicht zugemüllt werde, habe ich den Button vorerst mal wieder rausgenommen.
Bin gespannt auf Euer Feedback.

 

[MichaelH]

Hier gibt es ein Plugin kostenlos bzw. gegen Spende:
https://forum.jtl-software.de/threa...ostenloses-plugin-fuer-shops-ab-5-1-5.245035/

Das hat Intelligenz.

 

[John]

Oh man.
Das hoch angepriesene Feature prüft nach Monaten der Entwicklung nicht einmal gegen die Datenbank, ob es sich um eine gültige Bestellnummer handelt?

 

[MichaelH]

Oh man.
Das hoch angepriesene Feature prüft nach Monaten der Entwicklung nicht einmal gegen die Datenbank, ob es sich um eine gültige Bestellnummer handelt?

Das ist Auslegungssache.

§ 356a Abs. 2 BGB n.F. im Wortlaut.​

"(2) Die Widerrufsfunktion muss dem Verbraucher ermöglichen, eine Widerrufserklärung an den Unternehmer zu übermitteln und dem Unternehmer in oder mit der Widerrufserklärung ohne Weiteres folgende Informationen bereitzustellen oder zu bestätigen:

1. den Namen des Verbrauchers,
2. Angaben zur Identifizierung des Vertrags oder des Teils des Vertrags, den der Verbraucher widerrufen möchte,
3. Angaben zum elektronischen Kommunikationsmittel, mit welchem dem Verbraucher eine Eingangsbestätigung für den Widerruf übermittelt werden soll."

Welche Angaben der Kunde machen muss ist nicht genau festgelegt.
Kann auch sein "Meine Bestellung vom April", "Meine Bestellung vom Dienstag", "Meine letzte Bestellung", "Die Bestellung auf meinen Namen", "Den Artikel X aus meiner Bestellung".

Vor Allem ein Teilwiderruf ist unzureichend abgebildet und erfordert ggf. mehr Kommunikation als heute oder man ist abhängig davon was ein Kunde ggf. in ein optionales Textfeld reinschreibt.
Soll heißen - für uns wird es nicht einfacher bis man weiß was der Kunde tatsächlich widerrufen will.

Hauptsache man hat ein Formular im Shop, ich gehe heute davon aus, dass es kaum verwendet werden wird.

 

[kutti]

Wir haben die Shopversion 5.7.0 mal installiert und bekommen gerade die erste Spammail über den Widerrufsbuttonlink rein. Der Widerrufsbutton sitzt im Footer des Shops. Anscheinend hat der schon die Aufmerksamkeit eines Crawlers oder bots geweckt?

*****************************
Betreff: Ihr Widerruf wird geprüft

Guten Tag yDPEOffCjoAKJCqkVIwTDvL,

Gesetzlich sieht es ja so aus, das jeder auch ohne sich einzuloggen einen Widerruf abgeben können muss. Zudem kommt ja noch folgendes hinzu (im Shop Backend zu finden)

 

[tsinus]

Gesetzlich sieht es ja so aus, das jeder auch ohne sich einzuloggen einen Widerruf abgeben können muss. Zudem kommt ja noch folgendes hinzu (im Shop Backend zu finden)
Den Anhang 131237 betrachten

Und ab 19. Juni 2026 soll der Widerrufsbutton Pflicht sein. Da hat unsere Obrigkeit mal wieder richtig gute Arbeit geleistet.
Seit wann hast Du den Button online, und hast Du auch schon Widerrufsmails bekommen, die mit keiner Bestellung aus Deinem Shop zu tun haben?

Das Plugin schaue ich mir gerne mal an, klingt ja viel versprechend mit dem Bestellungsabgleich und Captcha-Prüfung.

 

[kutti]

Und ab 19. Juni 2026 soll der Widerrufsbutton Pflicht sein. Da hat unsere Obrigkeit mal wieder richtig gute Arbeit geleistet.
Seit wann hast Du den Button online, und hast Du auch schon Widerrufsmails bekommen, die mit keiner Bestellung aus Deinem Shop zu tun haben?

Das Plugin schaue ich mir gerne mal an, klingt ja viel versprechend mit dem Bestellungsabgleich und Captcha-Prüfung.

Ich habe es erst seit sehr kurzem drin und noch keinerlei Mails darüber bekommem.

 

[css-umsetzung]

Wir haben die Shopversion 5.7.0 mal installiert und bekommen gerade die erste Spammail über den Widerrufsbuttonlink rein. Der Widerrufsbutton sitzt im Footer des Shops. Anscheinend hat der schon die Aufmerksamkeit eines Crawlers oder bots geweckt?

Das war doch klar, dass das passieren wird.

Das Problem im 5.7er Formular ist, dass es am Ende nur die Bestellnummer aus dem Shop prüft, wenn das aktiviert wird, dass wird am Ende viele Kunden überfordern,
da Sie unter umständen, am Ende drei Nummern (Shop Bestell Nr., WAWI Auftrags Nr. und Rechnungs Nr.) haben werden.

Daher habe ich in meinem Plugin die Möglichkeit geschaffen, dass alle drei Nummern zur verfügung gestellt und geprüft werden können.

Um sich vor Spam zu schützen, ist die Aktivierung der Bestellnummernprüfung unbedingt erforderlich, dass der normale Spamschutz schon lange nicht mehr ausreichend ist, wissen wir ja mittlerweile.

 

[NoOne]

Daher habe ich in meinem Plugin die Möglichkeit geschaffen, dass alle drei Nummern zur verfügung gestellt und geprüft werden können.

Das ist schön und gut, aber wenn man ohne eine korrekte Bestellnummer keinen Widerruf absenden kann, dann ist das gegen das Gesetz und man macht sich abmahngefährdet. Du darfst nicht "hart" blockieren. Alles was nicht validiert werden kann, müsste durch wen geprüft werden. Alles, was du machen kannst, sind Honeypots und Rate-Limiting. Und hoffen, dass die Bots das nicht umgehen werden.

Der Widerrufbutton muss außerdem ohne Login benutzbar sein. Sprich: Wenn du die Liste nur anzeigen lässt, wenn der Kunde eingeloggt ist, dann ist das schon ein Hindernis. Wenn du das nicht machst, dann ist das ein datenschutzrechtliches Problem, weil man sich dann mit der korrekten E-Mail alle Bestellnummern anzeigen lassen kann. Du dürftest theoretisch ein CAPTCHA nutzen, aber nur wenn dafür keine Einwilligung nach DSGVO erforderlich ist, weil das wäre wieder ein Hindernis.

Zumindest hab ich das so verstanden.

 

[css-umsetzung]

Das ist schön und gut, aber wenn man ohne eine korrekte Bestellnummer keinen Widerruf absenden kann, dann ist das gegen das Gesetz und man macht sich abmahngefährdet. Du darfst nicht "hart" blockieren. Alles was nicht validiert werden kann, müsste durch wen geprüft werden. Alles, was du machen kannst, sind Honeypots und Rate-Limiting. Und hoffen, dass die Bots das nicht umgehen werden.

Also, es steht ganz klar, das ein Feld für die Verifizierung der Bestellung verwendet wird.
Und ja, mein Plugin erfordert keinen eingeloggten User, genau so wie es erforderlich ist.

Du kannst im Plugin die Prüfung auch deaktivieren, aber dann wirst du spass haben, was den versendeten Spam angeht.
Auch die Verwendung vom recaptcha ist optional aber das wird dir in Sachen Spam eh nicht helfen.

Also alles ist so optional, dass jeder selbst entscheiden kann, ob er am Ende rechtssicher ist.

 

[NoOne]

Also, es steht ganz klar, das ein Feld für die Verifizierung der Bestellung verwendet wird.

Das spielt keine Rolle. Man darf nur als "Vorfilter" validieren. Man könnte sowas machen wie: Eine erfolgreich validierte Bestellung (gegen E-Mail + eine der Bestellnummern etwa) geht an die Adresse valid@irgendwo.com und eine die nicht validiert werden kann geht an check@irgendwo.com. Die Annahme verweigern bei einer nicht zu validierenden Bestellung ist aber nicht drin. Das ist ja gerade eines der Probleme bei dem Widerrufsbutton.

Edit: Übrigens sollte hier *dringend* nicht einfach so eine E-Mail an die vom Kunden angegebene Adresse versendet werden. Wenn die Bestellung validiert werden kann, dann kann man eine an den Kunden senden. Sonst aber *auf keinen Fall*. Sonst ist das Risiko hier hoch, das der Shop zu einem E-Mail-Relay wird.

 

[css-umsetzung]

Du schreibst das was du schreibst, sehr kompliziert, oder ist zu spät für mich.

Du darfst die E-Mail des Kunden nicht an die Bestellung knüpfen, die kann also jede x-beliebige E-Mail sein und muss nichts mit dem Auftrag zu tun haben.
Du musst sobald das Formular ausgefüllt wurde, sofort eine Bestätigung an die angegebene E-Mail senden
Diese muss den Inhalt und die Daten aus dem Formular enthalten.

Momentan ist nicht klar, ob das Gesetz es erlaubt die Bestellung, anhand eines Auftrag Details (im besten Fall die Bestellnummer) zu verifizieren, der Kunde muss aber ein Feld,
mit dem der Auftrag identifiziert werden kann übermitteln.

Das sind die aktuellen Fakten, so dass Sie für jeden Verständlich sind.

Eine Aktivierung vom Google Recaptcha wäre für mich eigentlich der Weg, der gar nicht erlaubt sein wird, weil du den Kunden ja zwingst, etwas zu nutzen, was er nicht möchte.

Das ganze wird noch sehr spannend und ich denke da wird garantiert noch nachgebessert. weil es eben am Ende ein Spam Problem geben wird, das nicht anders lösbar ist.

 

[NoOne]

Du musst sobald das Formular ausgefüllt wurde, sofort eine Bestätigung an die angegebene E-Mail senden
Diese muss den Inhalt und die Daten aus dem Formular enthalten.

Das ist falsch und das ist gefährlich! Du musst kein Echo senden.

Du beziehst dich da vermutlich auf Art. 11 Abs. 3 der Richtlinie (in Deutschland umgesetzt in § 356 BGB)

Sinngemäß:

Der Unternehmer muss dem Verbraucher den Eingang des Widerrufs auf einem dauerhaften Datenträger unverzüglich bestätigen, wenn der Widerruf über ein Online-Formular erfolgt.

Du musst den *Eingang* bestätigen. Das musst du nicht an die angegebene E-Mail tun. Das kannst du als PDF-Download machen, oder bei erfolgreicher Validierung ggf. auch an die hinterlegte E-Mail senden. Du solltest nicht vorbehaltlos die angegebene E-Mail-Adresse dafür verwenden. Erst recht nicht mit einer vollständigen inhaltlichen Spiegelung. Die kommt dann mit einer E-Mail-Adresse des Shops beim Kunden an. Damit öffnest du einem E-Mail-Relay Tür und Tor und jeder Hinz und Kunz könnte im Namen des Shops einfach irgendwelche E-Mails verschicken, die offiziell aussehen.

Momentan ist nicht klar, ob das Gesetz es erlaubt die Bestellung, anhand eines Auftrag Details (im besten Fall die Bestellnummer) zu verifizieren, der Kunde muss aber ein Feld,
mit dem der Auftrag identifiziert werden kann übermitteln.

Eigentlich ist das relativ klar. Du darfst verifizieren, aber die Annahme bei einem Fehlschlag trotzdem nicht verweigern. Dann muss der Händler eine Klärung einleiten. Das könnte auch automatisch geschehen. Aber: Du darfst auf keinen Fall das Absenden des Formulars technisch blockieren. Sprich auch eine Anzeige "Ungültige Bestellnummer, bitte prüfen" oder ähnliches ist nicht erlaubt. Der Widerruf muss in jedem Fall angenommen werden.

 

[sebjo82]

Inhaltliche Weiterleitung an nicht-verifizierte Emails wäre auch grober Quatsch, da man sonst als Spam-Relay fungieren würde

 

[css-umsetzung]

Das ist alles doof.
Tatsache ist, das Plugin selbst kann jeder so konfigurieren wie er denkt, das es rechtlich OK ist.

 

[tsinus]

Die Spam-Mails trudeln jetzt auch bei (per CSS) ausgeblendeten Widerrufsbutton ein. Eigentlich sollte man die nach Berlin oder Brüssel weiterleiten an die Damen und Herren, so einen Schwachsinn verursachen.

 

[css-umsetzung]

Ja das war doch klar, da kannst du dir noch so einen großen Spamfilter bauen,
wenn das am Ende wirklich so sein sollte, dass kein Feld geprüft werden darf dann werden alle Shop Besitzer so richtig spaß haben.

Und du darfst nicht vergessen, das was du da an E-Mails bekommen, bekommt auch irgendein anderer, der gar nicht weiß, wer du bist.

 

[Martin1977]

Mal so eine Frage am Rande, hier findet sich der neue Gesetzestext:

https://www.recht.bund.de/bgbl/1/2026/28/regelungstext.pdf?__blob=publicationFile&v=1

Dabei geht es um diesen Absatz:

(1) Bei Fernabsatzverträgen, die über eine Online-Benutzeroberfläche geschlossen werden, hat der
Unternehmer sicherzustellen, dass der Verbraucher auf der Online-Benutzeroberfläche durch das Nutzen einer Widerrufsfunktion eine Widerrufserklärung abgeben kann. Die Widerrufsfunktion muss gut lesbar mit „Vertrag widerrufen“ oder einer anderen gleichbedeutenden eindeutigen Formulierung beschriftet sein. Sie muss während des Laufs der Widerrufsfrist auf der Online-Benutzeroberfläche ständig verfügbar, hervorgehoben platziert und für den Verbraucher leicht zugänglich sein

Ich finden den Punkt „Muss während des Laufs der Widerrufsfrist…“ interessant. Es sagt aus, wenn ein Kunde aus der Frist raus ist, braucht man diesen Button bzw. Bereich nicht anzubieten. Wo steht also geschrieben dass man einen generellen Button allen jederzeit zur Verfügung stellen muss?
Meiner Meinung nach darf es vorher eine Prüfung geben ob der Kunde noch in der Widerrufszeit ist, sonst würde der Satz keinen Sinn ergeben. Und das kann dann wie ein Retourenportal gelöst sein, ich denke man kann durchaus den Weg gehen dass man unten eine. Widerruflink hat, dann kann man sich entweder in sein Kundenkonto einloggen oder Bestellnummer plus Email Adresse eingeben, oder Nachname plus E-Mail oder mitunter nur E-Mail Adresse. Daraufhin kann man weitergeleitet werden und dann halt „Widerruf absenden“.

Wie seht ihr das? Ich finde den Satz sehr eindeutig.

 

[MichaelH]

Hier ist der präzise Wortlaut des zweiten Absatzes, wie er ab Juni 2026 gilt, alles andere ist Interpretation bzw. Auslegungssache - oder nicht ?

§ 356a Absatz 2 BGB n.F. – Wortlaut​

„(2) Die Widerrufsfunktion muss dem Verbraucher ermöglichen, eine Widerrufserklärung an den Unternehmer zu übermitteln und dem Unternehmer in oder mit der Widerrufserklärung ohne Weiteres folgende Informationen bereitzustellen oder zu bestätigen:

1. den Namen des Verbrauchers,
2. Angaben zur Identifizierung des Vertrags oder des Teils des Vertrags, den der Verbraucher widerrufen möchte,
3. Angaben zum elektronischen Kommunikationsmittel, mit welchem dem Verbraucher eine Eingangsbestätigung für den Widerruf zu übermitteln ist.“

 

[css-umsetzung]

Nein das ist eben nicht eindeutig.
Ich habe mir vieles durchgelesen, auch das von dir gezeigte, sowie von einigen IT Rechtskanzleien.

Der Button muss klar erkennbar sein, da sind sich alle einig und da du nicht weißt wer da gerade auf deiner Seite ist, muss er auch jedem zur Verfügung gestellt werden.
Das man die Bestellnummer prüft, ist aus meiner Sicht zulässig, da der Shop Besitzer ja einen Bezug zu einer Bestellung haben muss.

Ich finde es aber nicht ausreichend, nur die Bestellnummer vom Shop zu prüfen, da die meisten, mit im Extremfall, drei verschiedenen Nummern überfordert sein könnte.
Eine Verknüpfung von E-Mail und Bestellnummer finde ich zu viel.

Da wird rechtlich, bestimmt noch nachgebessert, da gehe ich ganz fest von aus.

Letztendlich muss das, so lange alles unklar ist, jeder mit seiner Rechtsabteilung klären, wie die das sehen., oder mal speziell den Händlerbund fragen, wie der das sieht.
Mein Plugin deckt alle Varianten ab.

JTL sendet dem Absender, die gleiche E-Mail wie dem Kunden und das könnte zu einem Problem werden, wenn der Bot darüber Links verteilt die zu tollen Seiten gehen und nichts geprüft wird.