Am 19. Juni 2026 tritt der neue § 356a BGB in Kraft – und führt damit zu neuen Anforderungen für Onlineshops, die sich an Verbraucher richten (B2C-Shops). Die Änderung der Norm resultiert aus einer Umsetzung der Richtlinie (EU) 2023/2673 in nationales Recht. Durch diese Richtlinie wurde ein neuer Artikel 11a in die Verbraucherrechte-Richtlinie (Richtlinie 2011/83/EU) aufgenommen, der die Ausübung des Widerrufsrechts von Verbrauchern bei Fernabsatzverträgen regelt, die über eine Online-Benutzeroberfläche geschlossen werden. Darin wird – zur Sicherstellung, dass Verbraucher entsprechende Verträge jederzeit widerrufen können – die Möglichkeit zur Nutzung einer elektronische Widerrufsfunktion vorgegeben.
In Deutschland wird dieses Erfordernis künftig durch die Neufassung des § 356a BGB festgesetzt, die in dem „Gesetz zur Änderung des Verbrauchervertrags- und des Versicherungsvertragsrecht sowie zur Änderung des Behandlungsvertragsrechts“ beschlossen wurde und am 19. Juni 2026 in Kraft tritt. Ab dann wird § 356a BGB Folgendes vorschreiben:
§ 356a
Elektronische Widerrufsfunktion bei Fernabsatzverträgen
(1) Bei Fernabsatzverträgen, die über eine Online-Benutzeroberfläche geschlossen werden, hat der Unternehmer sicherzustellen, dass der Verbraucher auf der Online-Benutzeroberfläche durch das Nutzen einer Widerrufsfunktion eine Widerrufserklärung abgeben kann. Die Widerrufsfunktion muss gut lesbar mit „Vertrag widerrufen“ oder einer anderen gleichbedeutenden eindeutigen Formulierung beschriftet sein. Sie muss während des Laufs der Widerrufsfrist auf der Online-Benutzeroberfläche ständig verfügbar, hervorgehoben platziert und für den Verbraucher leicht zugänglich sein.
(2) Die Widerrufsfunktion muss dem Verbraucher ermöglichen, eine Widerrufserklärung an den Unternehmer zu übermitteln und dem Unternehmer in oder mit der Widerrufserklärung ohne Weiteres folgende Informationen bereitzustellen oder zu bestätigen:
- den Namen des Verbrauchers,
- Angaben zur Identifizierung des Vertrags oder des Teils des Vertrags, den der Verbraucher widerrufen möchte,
- Angaben zum elektronischen Kommunikationsmittel, mit welchem dem Verbraucher eine Eingangsbestätigung für den Widerruf zu übermitteln ist.
(3) Sobald der Verbraucher die Informationen nach Absatz 2 bereitgestellt oder bestätigt hat, hat der Unternehmer dem Verbraucher zu ermöglichen, seine Widerrufserklärung und die Informationen dem Unternehmer mittels einer Bestätigungsfunktion zu übermitteln. Diese Bestätigungsfunktion muss gut lesbar und mit „Widerruf bestätigen“ oder einer anderen gleichbedeutenden eindeutigen Formulierung beschriftet sein.
(4) Der Unternehmer hat dem Verbraucher, wenn dieser die Bestätigungsfunktion aktiviert hat, auf einem dauerhaften Datenträger unverzüglich eine Eingangsbestätigung zu übermitteln, die zumindest den Inhalt der Widerrufserklärung nach Absatz 2 sowie das Datum und die Uhrzeit ihres Eingangs enthält.
(5) Die Widerrufserklärung des Verbrauchers gilt als dem Unternehmer innerhalb der Widerrufsfrist zugegangen, wenn er die Widerrufserklärung nach Absatz 3 vor Ablauf dieser Frist über die Widerrufsfunktion versandt hat.
Bereitstellung des „Widerrufsbuttons“
Aus dem ersten Absatz der neuen Bestimmung ergibt sich letztlich, dass wenn – wie bei Onlineshops – Fernabsatzverträge über eine Online-Benutzeroberfläche geschlossen werden können, ein entsprechender „Widerrufsbutton“ für die Verbraucher transparent, leicht auffindbar sowie ständig verfügbar sein muss.
In der Gesetzesbegründung (hier, S. 37) heißt es dazu:
„Die Widerrufsfunktion sollte von jeder Unterseite der Online-Benutzeroberfläche unmittelbar zugänglich sein. […]. Sofern die Widerrufsfunktion beispielsweise in der Fußzeile der Online-Benutzeroberfläche angezeigt wird, sind jedenfalls für eine gute Leserlichkeit besondere Maßnahmen wie z.B. die Farbwahl oder Kontraste sowie eine hervorgehobene Platzierung erforderlich, die die Widerrufsfunktion eindeutig von anderen Informationen, wie den AGB, dem Impressum oder Ähnlichem abgrenzt. Der Verbraucher sollte zudem nicht erst ein Verfahren wie zum Beispiel eine Registrierung oder eine Authentifizierung durchführen müssen, um die Funktion zu finden oder darauf zuzugreifen. […] Gleiches gilt für die Verfügbarkeit der Widerrufsfunktion im Login-Bereich eines Kundenkontos. Lediglich dann, wenn und soweit auch der Vertrag ausschließlich mit der Einrichtung eines Kundenkontos geschlossen werden kann, ist die Bereitstellung der Widerrufsfunktion im Login-Bereich ausreichend. In der Regel wird den Vorgaben aber dadurch entsprochen, dass die Widerrufsfunktion optisch hervorgehoben auf der Haupt-)Internetseite des Unternehmers verfügbar ist. So kann gewährleistet werden, dass auch Bestellungen, die man beispielsweise als – nicht registrierter – Gast vorgenommen hat, ebenso leicht widerrufen werden können, wie die Bestellung selbst erfolgt ist, also ohne zusätzliche Registrierung oder zusätzliches Einloggen. Die Widerrufsfunktion muss grundsätzlich auch ohne Login erreichbar sein.“
Zu beachten ist, dass die Datenschutzaufsichtsbehörden bereits seit Jahren das Erfordernis sehen, Gastbestellungen in Onlineshops anzubieten, sofern nicht im Einzelfall Umstände vorliegen, die ein fortlaufendes Kundenkonto zur Vertragserfüllung erfordern (DSK, Beschluss, Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang, Stand 24. März 2022). Dementsprechend dürfte eine datenschutzkonforme Umsetzung des Onlineshops regelmäßig dazu führen, dass der „Widerrufsbutton“ auf der (Haupt-)Internetseite – sowie bspw. das Impressum – unter Berücksichtigung der Anforderungen an die Leserlichkeit ständig verfügbar sein muss.
Wichtig ist außerdem, dass sich die Pflicht zur Bereitstellung des „Widerrufsbuttons“ gemäß der Gesetzesbegründung (hier, S. 38) auch auf andere Onlineshops/Plattformen erstrecken kann:
„Für die Begründung der Pflicht zur Bereitstellung der Widerrufsfunktion macht es keinen Unterschied, ob der Vertragsschluss über eine vom Unternehmer selbst betriebene Website ermöglicht wird – oder wie zum Beispiel im Fall von Vermittlungsplattformen – über eine von einem Dritten betriebene Website. Der Unternehmer hat in beiden Fällen sicherzustellen, dass der Verbraucher eine elektronische Widerrufsfunktion benutzen kann und den Dritten als Betreiber einer fremden Website gegebenenfalls hierzu vertraglich zu verpflichten.“ Dies sollte von Unternehmern/Unternehmen berücksichtigt werden, die z. B. eigene Produkte in anderen Onlineshops oder auf Marktplätzen anbieten, dabei aber selbst Vertragspartner bleiben.
Abfrage von personenbezogenen Daten
Der zweite Absatz von § 356a BGB gibt wiederum die (personenbezogenen) Daten vor, die Verbraucher über den „Widerrufsbutton“ bereitstellen können müssen. Aus datenschutzrechtlicher Sicht kann die Verarbeitung dieser Daten auf die Rechtsgrundlage in Art. 6 Abs. 1 S. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) in Verbindung mit § 356a (Abs. 2) BGB gestützt werden. Zu berücksichtigen ist, dass – wenn die Daten z. B. über ein (Web-)Formular erhoben werden – ordnungsgemäß zu kennzeichnen ist, welche Daten für die Ausübung des Widerrufs erforderlich sind. Sollten weitere personenbezogene Daten abgefragt werden, ist darauf hinzuweisen, dass die Bereitstellung dieser zusätzlichen Daten optional ist. Ferner sollte unter dem Formular auch auf die Datenschutzerklärung des Onlineshops verwiesen/verlinkt werden, in die weitergehende Informationen zur Verarbeitung der angegeben personenbezogenen Daten gemäß Art. 13 DSGVO aufzunehmen sind. Außerdem sollte eine ausreichende Verschlüsselung implementiert sein, um die personenbezogenen Daten, die durch den Widerruf übermittelt werden, bei Übertragung vor einem möglichen Zugriff durch unbefugte Dritte zu schützen (z. B. TLS 1.2 oder TLS 1.3).
Interessant ist an dieser Stelle noch folgende Aussage in der Gesetzesbegründung (hier, S. 38):
„Ein Verbraucher, der sich beispielsweise bereits durch Einloggen identifiziert hat, muss den Vertrag widerrufen können, ohne sich oder gegebenenfalls den Vertrag, den er widerrufen möchte, erneut identifizieren zu müssen (§ 356a Absatz 2 BGB).“ Nach hier vertretener Auffassung lässt sich dieses Erfordernis aus der konkreten Formulierung des § 356a Abs. 2 BGB nicht direkt ableiten. Dass dies gegebenenfalls mit „bestätigen“ der Informationen gemeint sein könnte, geht nach hier vertretener Auffassung nicht transparent/unmittelbar aus der Norm hervor. Rechtssicherer dürfte es aber sein, die Widerrufsfunktion so zu gestalten, dass auch dieser Anforderung entsprochen wird.
Bestätigung des Widerrufs
Während der fünfte Absatz von § 356a BGB den Zugang des Widerrufs über den „Widerrufsbutton“ regelt, umfassen der dritte und vierte Absatz die Modalitäten zur Bestätigung des Widerrufs. Dies betrifft zum einen die Bestätigung des Verbrauchers, den Widerruf tatsächlich angeben zu wollen und zum anderen die vorzunehmende Eingangsbestätigung des Widerrufs durch den Unternehmer bzw. das Unternehmen. Die Eingangsbestätigung muss dabei an das elektronische Kommunikationsmittel verschickt werden, das beim Widerruf angegeben wurde (z. B. E-Mail-Adresse). Datenschutzrechtliche Rechtsgrundlage ist auch hier Art. 6 Abs. 1 S. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) in Verbindung mit § 356a (Abs. 4) BGB.
Fazit
Die Umsetzung der neuen Anforderungen aus dem neuen § 356a BGB ist grundsätzlich auch mit datenschutzrechtlichen (Prüf-)Erfordernissen verbunden. Diese dürften primär die Ausgestaltung der Abfrage von personenbezogenen Daten und die Informationen in der Datenschutzerklärung betreffen. Der Datenschutzbeauftragte sollte daher bei den Prozessen (noch) frühzeitig eingebunden werden, um den Datenschutz direkt zu mit zu beachten.