Du bist empört? Ich hab’s eher als sachliche Antwort verstanden. Er hat ja nur erklärt, dass Captcha okay ist und der Datenabgleich (Formular darf nur abgeschickt werden wenn Bestellnummer mit E-Mail übereinstimmt) nicht. Genau das waren meine Fragen an ihn.
Administrator
Administrator
"Empört" wäre zu hart. Man ist zu vieles gewöhnt, um sich über so etwas aufzuregen 
Also Dir natürlich vielen lieben Dank! Und auch die Informationen sind sehr hilfreich!
Nur die letzte Aussage halte ich für völlig daneben. Eine Authentifizierung ist m.E. unabdingbar.
Also Dir natürlich vielen lieben Dank! Und auch die Informationen sind sehr hilfreich!
Nur die letzte Aussage halte ich für völlig daneben. Eine Authentifizierung ist m.E. unabdingbar.
Was passiert denn wenn man keine automatische Bestätigung versendet? Oder man fragt wirklich nur Bestellnummer und E-Mail-Adresse mit der bestellt wurde ab und macht dann den Hash mit Geheimnis? Dann kann man guten Gewissens sagen, dass man nur Daten zur Identifizierung der Bestellung abgefragt hat und wenn davon was falsch war keine Zuordnung stattfinden konnte und man berechtigterweise keine Bestätigung versendet? Eindeutig, keine unnötigen Daten, keine Hürde. Und dass mit einem cookieless captcha.
Administrator
So wie ich es verstanden habe, muss die neutrale Eingangsbestätigung immer versendet werden. Egal ob der Kunde nun die Auftragsnummer, die Bestellidentifikationsnummer oder irgendwas anderes eingibt. Dann erst prüft der Händler und bestätigt den Widerruf manuell.
Das ist doch das Problem: Wenn irgendeine E-Mail-Adresse verwendet wird und nicht die eigene, versendet man Spam und das verstößt gegen die DSGVO. Wenn ich die E-Mail-Adresse und Bestellnr zur Identifizierung des Kunden verwende und das auch so darf (so schreibt es die ITRK) aber der Kunde mit den Daten nicht identifizierbar ist, dann werden wir dorthin keine automatische Eingangsbestätigung schicken DÜRFEN. Und das eine manuelle Widerrufsbestätigung versendet werden muss - habe ich das überlesen oder ist das nicht erforderlich?
Administrator
Statt "der Kunde" muss heißen "irgendwer"Michaela Klaiber hat geschrieben: ↑21 Okt 2025, 08:10 So wie ich es verstanden habe, muss die neutrale Eingangsbestätigung immer versendet werden. Egal ob der Kunde nun die Auftragsnummer, die Bestellidentifikationsnummer oder irgendwas anderes eingibt. Dann erst prüft der Händler und bestätigt den Widerruf manuell.
Mit bisschen Fantasie kann man da noch weitergehen. Der Shop wird nicht nur zur Spamschleuder, sondern zur beliebten Cybermobbing-Plattform.
Alle, die ich nicht mag, bekommen demnächst täglich hunderte Widerrufsbestätigungen. Dafür brauche ich nicht mal ein Proxy oder so. Weil meine IP-Adresse darf man ja eh nicht speichern
Oder als Shopbetreiber nimmt man sich mal einen Nachmittag Zeit, den größten Mitbewerber mit Widerrufen zu beglücken. Falls der wirklich händisch nach den Bestellungen sucht, kann ich mit einer Form-Filler-Erweiterung das Formular viel schneller abschicken, als er die Angaben prüfen kann. Verwende ich dafür noch echte E-Mail-Adressen, wird er nach dem Shitstorm keine Freude mehr an seinem Shop haben.
Nee, laut der Antwort hier darf der Formularnutzer ja ausdrücklich eine andere E-Mail-Adresse als bei der Bestellung verwenden:
viewtopic.php?p=396#p396
Aber die Antwort ist jetzt aus dem Zusammenhang gerissen: Wenn ich den Kunden eindeutig zuordnen kann, dann darf er eine andere Emailadresse verwenden. Wenn ich aber doch gerade allein die E-Mail-Adresse zur Identifikation des Kunden verwende und keine Namen etc abfragen, weil die emailadresse ja auch eindeutig ist, dann darf er eben nicht eine andere Adresse verwenden. Von mir aus kann man dann noch ein Feld machen: Wohin soll die Bestätigung gehen? Das wird in 99% der Fälle die selbe Emailadresse sein. Dann wäre die Logik: Emailadresse des Bestsellers und Bestätigungsemailadresse gleich und Bestellnr passend? Bestätigung raus. Abweichende Bestätigungsemailadresse? Schauen ob Kombi aus Bestellemail und Bestellnr valide. Wenn ja, Email rausschicken, sonst manuelle Nacharbeit: Anruf oder anders formulierte Email, z.B. Ihre Emailadresse wurde möglicherweise missbraucht. Wenn Sie keinen Widerruf veranlassen wollten, raten wir dazu, eine Strafanzeige zu stellen...
Administrator
Administrator
Ich habe nochmal bei der IT-Recht nachgefragt und eine Antwort erhalten.
Wie soll die Authentifizierung beim Widerrufsformular technisch umgesetzt werden? Eigentlich müsste sie ja vor Absenden des Formulars erfolgen, damit Widerrufe eindeutig zugeordnet werden können.
Nach Ihrer Antwort muss das Formular für alle Verbraucher immer absendbar sein, auch wenn die Angaben (Name, Bestellnummer, E-Mail-Adresse) nicht zusammen passen.
Man kann sich vorstellen, dass das Formular dann missbraucht werden kann. Jemand könnte viele Widerrufe verschicken und so tausende neutrale Bestätigungen an andere E-Mail-Adressen senden.
Welche technischen Maßnahmen sind zulässig, um Missbrauch zu verhindern, ohne dass das Formular für echte Kunden schwerer nutzbar wird?
Eine Authentifizierung ist m.E. nach unabdingbar.
Vielen Dank für Ihre Rückmeldung!
Wie ich Ihnen bereits mitgeteilt habe, ist die Verwendung von Captcha-Lösungen bei Absendung des Formulars grundsätzlich zulässig.
Ein Datenabgleich über das Formular selbst soll nach Zielsetzung des Gesetzgebers aber gerade noch nicht stattfinden. Mit dem Formular soll der Verbraucher den Widerruf nur pro Forma erklären können, ohne dass Sie gleichzeitig prüfen müssen (oder dies technisch könnten), ob es sich beim Erklärenden überhaupt um einen tatsächlichen Vertragspartner handelt oder der Widerruf materiell rechtlich wirksam ist.
Insofern muss das Formular frei nutzbare Eingabeflächen bereitstellen. Nach Absendung des Formulars muss auch nicht der Widerruf, sondern nur der Eingang des Formulars dem Absender bestätigt werden.
Auf den Formulareingang hin haben Sie sodann die Wirksamkeit des Widerrufs zu prüfen und den Absender entsprechend zu informieren.
Details s. hier: https://www.it-recht-kanzlei.de/widerru ... schnitt_13
Durch die Zweistufigkeit des Prozesses (Klick auf Widerrufsbutton, dann Anzeige des Formulars und für dessen Absendung notwendige Texteingaben + neuer Klick auf Senden-Schaltfläche) entsteht eine technische Komplexität, die automatisierten Bot-Anfragen bereits per se als hinreichende Hürde dienen dürfte. Zusätzlich können Sie die Absenden-Schaltfläche mit einem Captcha absichern.
Danke. Den absichtlichen Missbrauch durch Menschen scheint die ITRK nicht auf dem Schirm zu haben. Vielleicht kann man das Formular ja auch als Marketinginstrument zur Neukundenakquise verwenden: Ich schicke an Tausende potentielle Kunden die Nachricht, dass ihr Widerruf der Bestellung mit dem Artikel xy zum Preis Z (hier Sensationspreis einsetzen) eingegangen ist...