Du verwendest einen veralteten Browser. Dieser kann eventuell diese oder andere Webseiten nicht richtig darstellen. Du solltest deinen Browser aktualisieren oder einen alternativen Browser verwenden.
Aktuell ist es so, dass der Versand des Widerrufs an die dort im Formular angegeben E-Mail-Adresse refolgt. Ergo kann JEDER dort eine x-beliebige E-Mail angeben und inhaltlich auch schön Schwachsinn versenden. Der Widerruf müsste grundlegend die eingetragene E-Mail-Adresse mit der Shop-Datenbank abgleichen. Nur wenn die E-Mail im Shop existiert, geht auch eine E-Mail raus. Andernfalls bekommen wohl in den nächsten Tagen/Wochen viele Shopbetreiber Post von Anwälten, weil unauthorisierte E-Mails verschickt wurden.
Ich habe auch schon Bedenken geäußert, dass das in E-Mail-Relay Attacken enden könnte. Dummerweise lässt sich das nicht wirklich verhindern. Du *musst* quasi eine Bestätigungs-E-Mail senden, weil das Gesetz eine unverzügliche Bestätigung 'auf einem dauerhaften Datenträger' vorsieht. Da reicht das anbieten eines Downloads z. B. (vermutlich) nicht aus. Außerdem kann ein Widerruf durchaus von einer anderen E-Mail kommen als für die Bestellung benutzt wurde. Das komplett zu blockieren wäre ein Hindernis und nicht erlaubt. Nur die Bestätigungs-E-Mail zu senden, wenn die E-Mail-Adresse im Shop ist, fällt damit eigentlich auch flach. Weil du dann keine unverzügliche Bestätigung sendest, falls der Widerruf *doch* rechtens wäre. E-Mail *oder* Bestellnummer funktioniert auch nur solange wie die E-Mail tatsächlich genutzt wurde und kein Zahlendreher in der Bestellnummer ist...
Darüber hinaus *muss* in der Bestätigung der Name & Vorname, das Eingangsdatum und die Angaben zur Identifikation des Vertrages vorhanden sein. Das heißt hier müssen Nutzereingaben gespiegelt werden. Und du darfst da nichts rausfiltern, weil du sonst die Abgabe wieder erschwerst und das eventuell als Hindernis gilt. Ein Widerruf muss auch möglich sein, wenn der Kunde die Bestellnummer nicht kennt, aber etwa das Datum der Bestellung.
Im Moment ist die Auslegung ein rechtliches Dilemma. Ist natürlich nur meine Laienmeinung, aber meiner Meinung nach kannst du das im Moment nicht gegen Spam-Relay schützen, ohne dich abmahngefährdet zu machen...
Du darfst die Annahme des Widerrufs nicht wegen nicht existierender Angaben im Shop verweigern. Der Kunde muss auch den 'Vertrag vom 30.05.2025' widerrufen können, ohne Angabe der Bestellnummer, sofern der noch in der Frist liegt.
Du *musst unverzüglich* eine Bestätigung senden. Als PDF zum Download anbieten gilt soweit ich weiß z. B. regelmäßig nicht als 'auf einem dauerhaften Datenträger' ausgeliefert.
Du darfst die eingetragenen Daten nicht kürzen, verändern oder weglassen. -> Das steht nicht direkt im Gesetz, gilt aber derzeit als rechtlich sicherste Umsetzung.
Die einzige Möglichkeit, die mir hier einfallen würde, ist die Bestätigung nicht an die angegebene, sondern an die bei der Bestellung hinterlegt E-Mail zu senden. Da das allerdings nur geht, wenn die Bestellnummer richtig ist, und dann bei einem Zahlendreher die E-Mail ggf. an den falschen Kunden geht, kannst du das eigentlich auch knicken...
Abmahnungen, die wegen unautorisiertem Versand reinflattern, dürfte man derzeit gepflegt in die Tonne kloppen können.
Ich bin mir auch noch immer nicht sicher, ob die Kundendaten von Gast Bestellungen, inkl. der E-Mail, nach dem Versand kompl. Anonymisiert wird.
Normalerweise müsste das ja so sein und dann wäre eine E-Mail Prüfung eh hinfällig.
Im Moment ist die Auslegung ein rechtliches Dilemma. Ist natürlich nur meine Laienmeinung, aber meiner Meinung nach kannst du das im Moment nicht gegen Spam-Relay schützen, ohne dich abmahngefährdet zu machen...
Ein Dilemma, in der Tat. Man muss halt beobachten in wie fern dieses Formular für die Verbreitung von Spam missbraucht wird. Da der Shopbetreiber diese Mail ebenso bekommt, lässt sich das ja sehr leicht nachverfolgen. Sollte es hier zu Streitigkeiten mit Anwälten kommen, hätte man zumindest die Möglichkeit sich in diesem Fall auf die rechtliche Lage zu berufen.
Da ich hier und an anderen Stellen immer wieder Dinge lese, die von meiner Laienmeinung abweichen und die ich nicht in anderen Quellen finde, will ich mal unsere aktuelle Auffassung in den Raum werfen.
Zuerst der finale Gesetzestext des neuen § 356a BGB:
„§ 356a Elektronische Widerrufsfunktion bei Fernabsatzverträgen
(1) Bei Fernabsatzverträgen, die über eine Online-Benutzeroberfläche geschlossen werden, hat der Unternehmer sicherzustellen, dass der Verbraucher auf der Online-Benutzeroberfläche durch das Nutzen einer Widerrufsfunktion eine Widerrufserklärung abgeben kann. Die Widerrufsfunktion muss gut lesbar mit „Vertrag widerrufen“ oder einer anderen gleichbedeutenden eindeutigen Formulierung beschriftet sein. Sie muss während des Laufs der Widerrufsfrist auf der Online-Benutzeroberfläche ständig verfügbar, hervorgehoben platziert und für den Verbraucher leicht zugänglich sein.
(2) Die Widerrufsfunktion muss dem Verbraucher ermöglichen, eine Widerrufserklärung an den Unternehmer zu übermitteln und dem Unternehmer in oder mit der Widerrufserklärung ohne Weiteres folgende Informationen bereitzustellen oder zu bestätigen:
den Namen des Verbrauchers,
Angaben zur Identifizierung des Vertrags oder des Teils des Vertrags, den der Verbraucher widerrufen möchte,
Angaben zum elektronischen Kommunikationsmittel, mit welchem dem Verbraucher eine Eingangsbestätigung für den Widerruf zu übermitteln ist.
(3) Sobald der Verbraucher die Informationen nach Absatz 2 bereitgestellt oder bestätigt hat, hat der Unternehmer dem Verbraucher zu ermöglichen, seine Widerrufserklärung und die Informationen dem Unternehmer mittels einer Bestätigungsfunktion zu übermitteln. Diese Bestätigungsfunktion muss gut lesbar und mit „Widerruf bestätigen“ oder einer anderen gleichbedeutenden eindeutigen Formulierung beschriftet sein.
(4) Der Unternehmer hat dem Verbraucher, wenn dieser die Bestätigungsfunktion aktiviert hat, auf einem dauerhaften Datenträger unverzüglich eine Eingangsbestätigung zu übermitteln, die zumindest den Inhalt der Widerrufserklärung nach Absatz 2 sowie das Datum und die Uhrzeit ihres Eingangs enthält.
(5) Die Widerrufserklärung des Verbrauchers gilt als dem Unternehmer innerhalb der Widerrufsfrist zugegangen, wenn er die Widerrufserklärung nach Absatz 3 vor Ablauf dieser Frist über die Widerrufsfunktion versandt hat.“
Wir haben uns jetzt für das Plugin von Andreas @css-umsetzung entschieden, weil es aus unserer Sicht die sauberste Umsetzung ist und die nötige Flexibilität bietet.
Die meisten Punkte sind ja sehr klar: Dauerhafte Anzeige, optisch hervorgehoben, eindeutig beschriftet, von allen Unterseiten erreichbar. Maximal zwei Klicks. Nur die im Gesetzestext erwähnten Angaben abfragen. Sofortige Bestätigung auf dauerhaftem Datenträger aka E-Mail-Bestätigung mit allen Angaben des Verbrauchers.
Für die strittigen Punkte zitiere ich jetzt einfach mal exemplarisch @NoOne.
Ein Widerruf muss auch möglich sein, wenn der Kunde die Bestellnummer nicht kennt, aber etwa das Datum der Bestellung. [...] Der Kunde muss auch den 'Vertrag vom 30.05.2025' widerrufen können, ohne Angabe der Bestellnummer, sofern der noch in der Frist liegt.
Das sehe ich NICHT so und finde auch keine anderen Quellen, die das eindeutig so einschätzen. Weder Gesetzestext noch die Gesetzesbegründung legen konkret fest, welche Angaben für die Identifizierung ausreichen müssen. Ein Verbraucher kann mehrmals täglich bestellen. Es können an einem Tag mehrere Max Mustermanns bei einem Unternehmen bestellen. Ich argumentiere deshalb, das Bestelldatum und der Name allein sind nicht geeignet, um einen Vertrag zu identifizieren. Zudem ist der Name nicht Teil des § 356a Abs. 2 Nr. 2, der von den Angaben zur Identifizierung des Vertrags spricht. Es ist anzunehmen, dass der Name also nicht dazu gedacht ist, die Identifizierung des Vertrags sicherzustellen. Die Bestellnummer ist dagegen eindeutig und, da diese dem Verbraucher in der Bestellbestätigung etc. mitgeteilt wird, halte ich es für zumutbar, dass diese abgefragt/zur Auswahl gestellt und auch technisch auf Existenz geprüft wird.
Aus den Angaben nach Absatz 2 – sei es durch Bereitstellung oder durch Bestätigung der Informationen – muss erkennbar hervorgehen, welchen Vertrag oder welchen Vertragsteil der Verbraucher widerrufen möchte. Sofern also mehrere Verträge abgeschlossen worden sind oder von dem Vertrag mehrere Waren oder Dienstleistungen umfasst sind, muss die Angabe des zu widerrufenden Vertrags oder des zu widerrufenden Vertragsteils konkret erfolgen.
(3) Sobald der Verbraucher die Informationen nach Absatz 2 bereitgestellt oder bestätigt hat, hat der Unternehmer dem Verbraucher zu ermöglichen, seine Widerrufserklärung und die Informationen dem Unternehmer mittels einer Bestätigungsfunktion zu übermitteln.
Wenn die eingegebene Bestellnummer nicht existiert, dann ist keine eindeutige Identifikation eines Vertrages möglich. Ergo hätte der Verbraucher in diesem Fall nicht die nötigen Informationen bereitgestellt und das Formular darf die "Bestätigungsfunktion" blockieren. So haben wir das interpretiert.
Die einzige Möglichkeit, die mir hier einfallen würde, ist die Bestätigung nicht an die angegebene, sondern an die bei der Bestellung hinterlegt E-Mail zu senden. Da das allerdings nur geht, wenn die Bestellnummer richtig ist, und dann bei einem Zahlendreher die E-Mail ggf. an den falschen Kunden geht, kannst du das eigentlich auch knicken...
Das wäre auch grundsätzlich nicht erlaubt. Der Gesetzestext gliedert die erlaubten Angaben ja recht klar:
- § 356a Abs. 2 Nr. 1: Identifikation des Kunden (Name)
- § 356a Abs. 2 Nr. 2: Identifikation des Vertrags (aus meiner Sicht Bestellnummer)
- § 356a Abs. 2 Nr. 3: Ziel für die Eingangsbestätigung (E-Mail-Adresse)
Die abgefragte E-Mail ist also ausdrücklich nicht Teil der Daten, die zur Identifikation des Kunden oder des Vertrags dienen. Sie dient allein als Zustelladresse für die Widerrufsbestätigung.
Man müsste also separat die Bestell-E-Mail abfragen. Das wäre aber wiederum aus meiner Sicht nicht zulässig, da man die Pflicht zur Datensparsamkeit hat und die Bestellnummer zur eindeutigen Identifikation ausreicht.
---
Wir nutzen deshalb das Plugin von Andreas mit Prüfung der Bestellnummer und ohne Prüfung des Kommentarfelds. Die Prüfung der Bestellnummer sollte schonmal die einfachsten Spam-Versuche abwehren, weil man den Nummernkreis kennen muss und dazu noch, wo der in den letzten Wochen stand.
Natürlich ist das keine Rechtsberatung, sondern nur die Wiedergabe einer Laienmeinung.
Das sehe ich NICHT so und finde auch keine anderen Quellen, die das eindeutig so einschätzen. Weder Gesetzestext noch die Gesetzesbegründung legen konkret fest, welche Angaben für die Identifizierung ausreichen müssen. Ein Verbraucher kann mehrmals täglich bestellen. Es können an einem Tag mehrere Max Mustermanns bei einem Unternehmen bestellen. Ich argumentiere deshalb, das Bestelldatum und der Name allein sind nicht geeignet, um einen Vertrag zu identifizieren. Zudem ist der Name nicht Teil des § 356a Abs. 2 Nr. 2, der von den Angaben zur Identifizierung des Vertrags spricht. Es ist anzunehmen, dass der Name also nicht dazu gedacht ist, die Identifizierung des Vertrags sicherzustellen. Die Bestellnummer ist dagegen eindeutig und, da diese dem Verbraucher in der Bestellbestätigung etc. mitgeteilt wird, halte ich es für zumutbar, dass diese abgefragt/zur Auswahl gestellt und auch technisch auf Existenz geprüft wird.
Achtung: Es geht hierbei nicht um die *Wirksamkeit* des Widerrufs. Nur um die *Abgabe*. Du darfst den Widerruf natürlich ablehnen, wenn du den Vertrag nicht identifizieren kannst. Bzw. kulant wäre es dann genauer nachzufragen. Aber: Du darfst die Annahme technisch nicht verweigern. Keyword im Gesetz ist dabei: ohne Weiteres.
Wenn du den Shop vom Händlerbund z. B. prüfen lässt, und ein Pflichtfeld hast, das als "Bestellnummer" ausgewiesen ist, so wird der Händlerbund das monieren.
Die Gesetzesbegründung geht in Bezug auf den Abs. 2 ausführlich auf verschiedene Punkte ein:
- kein Login-Zwang
- kein Zwang eine App runterladen zu müssen
- automatische Vorbelegung/Auswahlmöglichkeiten, falls der Kunde sich einloggt
- keine Abfrage von Gründen
- keine unnötigen Pflichtfelder über die drei explizit im Gesetzestext genannten hinaus
- keine erneute Registrierung oder anderweitig umständliche Authentifizierung
Diese Punkte stehen zweifellos im Zusammenhang mit dem Begriff "ohne Weiteres" im Gesetzestext.
Hast du deinen Shop vom Händlerbund prüfen lassen und die haben ein Pflichtfeld "Bestellnummer" (ohne Prüfung) bemängelt?
Aus Abs. 2 Nr. 2 muss man ja nach Angaben fragen, die den Vertrag identifizieren. Der Name aus Abs. 2 Nr. 1 + ein Datum reicht da nicht in allen Fällen (siehe oben) aus. Zudem müsste es dann ja ein Pflichtfeld Datum geben. Also wie man es dreht und wendet, benötigt man mindestens ein Pflichtfeld, um den Vertrag zu identifizieren. Es erschließt sich mir nicht, warum man da nicht die Bestellnummer verlangen dürfte.
Ob man das Feld Bestellnummer prüfen darf ist sicherlich Auslegungssache und es gibt dazu (noch) keine Rechtssicherheit. Deshalb wird es aktuell auch kein Händlerbund o.ä. absegnen, weil die dann haften würden. Wie gesagt, wenn ich die Gesetzesbegründung lese, dann bezieht sich das "ohne Weiteres" auf eine Vielzahl an möglichen Hürden und ist nicht gleichzusetzen mit einem schlichten "Das Formular muss abgesendet werden, auch wenn der Kunde nur einen Namen und Kauderwelsch einträgt."
Aus meiner Sicht lässt sich das "Sobald" in Abs. 3 nämlich auch so auslegen, dass das Absenden des Formulars ermöglicht werden muss, sobald der Kunde die Daten bereitgestellt hat, die nötig sind, um den Vertrag zu identifizieren.
Die Gesetzesbegründung geht in Bezug auf den Abs. 2 ausführlich auf verschiedene Punkte ein:
- kein Login-Zwang
- kein Zwang eine App runterladen zu müssen
- automatische Vorbelegung/Auswahlmöglichkeiten, falls der Kunde sich einloggt
- keine Abfrage von Gründen
- keine unnötigen Pflichtfelder über die drei explizit im Gesetzestext genannten hinaus
- keine erneute Registrierung oder anderweitig umständliche Authentifizierung
Diese Punkte stehen zweifellos im Zusammenhang mit dem Begriff "ohne Weiteres" im Gesetzestext.
Hast du deinen Shop vom Händlerbund prüfen lassen und die haben ein Pflichtfeld "Bestellnummer" (ohne Prüfung) bemängelt?
Aus Abs. 2 Nr. 2 muss man ja nach Angaben fragen, die den Vertrag identifizieren. Der Name aus Abs. 2 Nr. 1 + ein Datum reicht da nicht in allen Fällen (siehe oben) aus. Zudem müsste es dann ja ein Pflichtfeld Datum geben. Also wie man es dreht und wendet, benötigt man mindestens ein Pflichtfeld, um den Vertrag zu identifizieren. Es erschließt sich mir nicht, warum man da nicht die Bestellnummer verlangen dürfte.
Ob man das Feld Bestellnummer prüfen darf ist sicherlich Auslegungssache und es gibt dazu (noch) keine Rechtssicherheit. Deshalb wird es aktuell auch kein Händlerbund o.ä. absegnen, weil die dann haften würden. Wie gesagt, wenn ich die Gesetzesbegründung lese, dann bezieht sich das "ohne Weiteres" auf eine Vielzahl an möglichen Hürden und ist nicht gleichzusetzen mit einem schlichten "Das Formular muss abgesendet werden, auch wenn der Kunde nur einen Namen und Kauderwelsch einträgt."
Aus meiner Sicht lässt sich das "Sobald" in Abs. 3 nämlich auch so auslegen, dass das Absenden des Formulars ermöglicht werden muss, sobald der Kunde die Daten bereitgestellt hat, die nötig sind, um den Vertrag zu identifizieren.
Ich nicht, weil ich keinen Shop habe. Andere allerdings schon, und ich habe die entsprechende Antwort vom Händlerbund gesehen, das dort nicht explizit nach der Bestellnummer gefragt werden darf, sondern nur nach Angaben zur Vertragsidentifizierung. Was eine Rechnungs oder Bestellnummer sein *kann* aber eben nicht muss.
Ein Kunde sagte mir, das sein Anwalt der Meinung ist, das man als Shopbesitzer das Recht auf "selbstschutz" hat (wegen dem Spam) und er daher die Bestellnummernprüfung aktivieren soll.
Wir drehen uns hier im Kreis, jeder soll seinen Rechtsbeistand fragen und so handeln, wir er es vorgibt.
Weiß jemand wie man das hausinterne Online-Widerrufsformular deaktivieren kann? Habe es schon auf "noindex" und "nur sichtbar nach Anmeldung" gestellt, aber es kann trotzdem noch aufgerufen werden. Notfalls könnte ich es über die .htaccess sperren... hmm
Weiß jemand wie man das hausinterne Online-Widerrufsformular deaktivieren kann? Habe es schon auf "noindex" und "nur sichtbar nach Anmeldung" gestellt, aber es kann trotzdem noch aufgerufen werden. Notfalls könnte ich es über die .htaccess sperren... hmm
Vielleicht mal ein Ansatz in eine andere Richtung:
Das WR Formular ist ja nicht das erste Formular, welches Spam schleudert.
Bisher haben wir mit dem SpamProtector (Lite) Plugin von lifoot exzellente Ergebnisse.
Ich habe mal bei Marcel angefragt, ob er sein Plugin für das WR Formular erweitert...
Amazon, eBay, Kaufland haben angegeben:
Da es keine Gast-Accounts gibt muss der Kunde sich anmelden um den Widerruf machen zu können.
Ob dies rechtlich einwandfrei ist werden die Gerichte klären müssen - lt. Händlerbund.
Der Verbraucher sollte zudem nicht erst ein Verfahren wie zum Beispiel eine Registrierung oder eine Authentifizierung durchführen müssen, um die Funktion zu finden oder darauf zuzugreifen. Das Herunterladen einer Anwendung sollte dafür nicht notwendig sein, wenn der Vertrag nicht über diese Anwendung geschlossen wurde (§ 356a Absatz 1 Satz 2 und 3 BGB). Gleiches gilt für die Verfügbarkeit der Widerrufsfunktion im Login-Bereich eines Kundenkontos. Lediglich dann, wenn und soweit auch der Vertrag ausschließlich mit der Einrichtung eines Kundenkontos geschlossen werden kann, ist die Bereitstellung der Widerrufsfunktion im Login-Bereich ausreichend.