Seit heute sind Online-Shops verpflichtet eine digitale Widerrufsfunktion anzubieten. Klingt erst mal nach einer guten Idee, so können Händler die Rückgabemöglichkeiten nicht mehr hinter dutzenden Links verstecken. Aber was als Komfort-Gewinn für Käufer gedacht war, ist in der Praxis ein perfektes Werkzeug für SPAM und Phishing.

Rechtsfoo

Ursprung ist die EU-Verbraucherrechterichtlinie 2023/2673. In Deutschland wurde diese als §356a BGB umgesetzt, mit Umsetzungsfrist bis 2026-06-16. Das Ziel? Ein Widerruf soll so einfach wie der Vertragsschluss werden. Glaubt man berichten im Netz gelten folgende Anforderungen:

• Button muss „Vertrag widerrufen“ beschriftet sein
• Es dürfen nur drei Angaben abgefragt werden: Name, etwas um den Kauf zu identifizieren (z.B. Rechnungsnummer) und Kommunikationsweg (z.B. E-Mail)
• Es darf kein Login erforderlich sein
• Nach der Eingabe muss „unverzüglich“ eine Eingangsbestätigung versendet werden – z.B. per E-Mail

Die Lücke: Keine Prüfung

Das große Problem? Viele Shop-Betreiber sind angesichts der drohenden Strafen und Regelung in Richtung „so einfach wie Möglich“ der Auffassung, dass quasi keine weiteren Prüfungen im Formular erlaubt seien. Auch viele Bewertungen von Rechtsberatern verweisen darauf, dass die Eingangsbestätigung sofort versendet werden müsse und erst danach eine Prüfung gestattet wäre.

Praktisch bedeutet das, dass Dritte einfach eine falsche E-Mail-Adresse eingeben können. Nutzt man das oft als Freitext gestaltete Feld für die Rechnungsnummer als Textfeld, lassen sich so beliebige Mails mit dem Shop als Absender an Dritte versenden. Perfekt für SPAM oder Phishing, da ja der legitime Shop als Absender auftritt und die Nachricht so an vielen der bestehenden Filtern vorbei kommt.

Die ersten Wellen gehen bereits rund

Die ersten Missbräuche sind bereits zu sehen. Von Shops konnten erste, als Widerruf getarnte SPAM-Mails beobachtet werden. Auch landeten die Kontaktadressen einiger Shops so in Mailinglisten.

Keine Gegenwehr für Händler

Leider gibt es nicht viele Gegenmittel, der Mangel ist im Gesetz. Wer E-Mail-Verifizierungen oder CAPTCHAs einbaut riskiert Abmahnungen. Es bleibt zu hoffen, dass das BMJV möglichst zeitnah in den Kommentaren klar stellt, was an Möglichkeiten erlaubt ist und so die aktuellen Rechtsunsicherheiten beseitigt.

Händler sollten erst mal die Eingangsbestätigungen von einer separaten Domain und Mailservern versenden, sodass Einträge in Blacklisten nicht direkt den gesamten Geschäftsbetrieb stören.

Fazit

Das aktuelle Gesetz ist ein klassischer Fall von „gut gemeint, aber schlecht gemacht“. Eigentlich hätte das Missbrauchspotential offensichtlich sein sollen, aber das Internet ist wohl noch immer Neuland. Aktuell bleibt nur ins Risiko zu gehen oder zu akzeptieren, dass der eigene Shop für Belästigungen oder illegale Aktivitäten genutzt wird.