g2commerce

https://www.it-recht-kanzlei.de/widerru ... andel.html

Das ist technisch ziemlicher Pipifax. Zwecks Kündigungsbutton für Verträge habe ich schon eine fast fertige Lösung in der Schublade. Wobei wir das PDF diesmal sogar weglassen können.

Einzige (logische) Schwierigkeit:

Wie soll die Authentifizierung erfolgen?

Ein Login darf nicht erforderlich sein. Ein Authentifizierungs-Cookie bei Absenden der Bestellung wäre sicher, würde aber nur auf dem bei der Bestellung verwendeten Gerät/Browser funktionieren.

Das Shopsystem hat unabänderlich einfach nur laufende Nummern als Bestellnummern. Da ist keinerlei Sicherheit einzubauen. Beim Kündigungsbutton für Verträge wird geprüft, ob Bestellnummer und E-Mail-Adresse zusammenpassen. Das ist 1. unsicher und 2. rechtlich fragwürdig. Immerhin kann man damit theoretisch prüfen, mit welcher E-Mail-Adresse im Shop bestellt wurde.

Das einzig sinnvolle, was mir auf Anhieb einfällt: Wir generieren eine neue Nummer, z.B. eine "Auftragsnummer" bestehend aus 16 Zahlen und Buchstaben, die wir mit der Bestellbestätigung versenden und zur Identifizierung und Authentifizierung gleichermaßen genutzt wird.

Deine Überlegungen zielen darauf ab, die Kundendaten und Bestelldaten per Klick aufzurufen. Ich glaube so kompliziert muss / soll / darf es gar nicht. Ich lese die IT Recht Kanzlei so, dass es einen prominenten Link (nicht mal zwangsläufig einen Button) geben muss, und dass wir einfach gut sichtbar auf ein Widerrufsformular verlinken, in dem wir dem Kunden zumuten dürfen, seine Daten noch einmal einzutippen, Name, Bestellnummer/Auftragsnummer/Vertragsnummer, siehe FAQ der von dir verlinkten Seiten auf die IT Recht Kanzlei.

Es ist ja offenbar nicht einmal nötig, Artikelpositionen für den Widerruf auszuwählen um einen Teilwiderruf zu ermöglichen - nur einfach ein kompletter Widerruf, auch wenn es wenig Sinn macht.

Neu ist offenbar, dass der Händler eine EIngangsbestätigung dafür versenden muss...

Und was ich mich noch frage, wenn wir damit ja einen Kunden nicht von der Ausübung seines Widerrufs abhalten dürfen: Wie soll das mit dem Spamschutz funktionieren? Für alles mit Recaptcha brauchen wir einen Cookie, aber den dürfen wir nicht zur Voraussetzung für die Übermittlung des Formulars machen...

@Dominik Späte wenn du was mit einer Bestell-Identifikationsnummer oder so machen möchtest - willst du dann auch einen Login ins Kundenkonto (falls es kein Gastkonto ist) damit verknüpfen? Ist auch nicht ungefährlich, oder? Und was das für die DSGVO bedeutet, ist auch die Frage...

Welche Informationen darf und muss ich vom Kunden abfragen?
Der Gesetzgeber hat klare Vorgaben hinsichtlich der Daten gemacht, die im Widerrufsformular abgefragt werden dürfen. Nach dem Grundsatz der Datensparsamkeit dürfen ausschließlich die folgenden Informationen vom Verbraucher abgefragt werden, um den Widerruf eindeutig dem jeweiligen Vertrag zuordnen zu können:

der Name des Verbrauchers,
Angaben zur Identifizierung des Vertrags, den der Verbraucher widerrufen möchte (z. B. Bestellnummer, Auftragsnummer oder Vertragsnummer),
Angaben zu dem elektronischen Kommunikationsmittel, mit welchem dem Verbraucher die Eingangsbestätigung für den Widerruf übermittelt werden wird (in der Regel per E-Mail).
Aus den Angaben muss nach der Gesetzesbegründung zum deutschen Gesetzentwurf erkennbar hervorgehen, welchen Vertrag oder welchen Vertragsteil der Verbraucher widerrufen möchte. Sofern also mehrere Verträge abgeschlossen worden sind oder von dem Vertrag mehrere Waren oder Dienstleistungen umfasst sind, muss die Angabe des zu widerrufenden Vertrags oder des zu widerrufenden Vertragsteils konkret erfolgen. Dies kann durch eine Auswahl in einer Bestellübersicht – beispielsweise über das Kundenkonto – erfolgen. So kann auch ermöglicht werden, dass nur ein Teil des Vertrags, also einzelne Waren oder Dienstleistungen, widerrufen wird.

Burkhard hat geschrieben: ↑19 Okt 2025, 17:05 Deine Überlegungen zielen darauf ab, die Kundendaten und Bestelldaten per Klick aufzurufen.

Nein.

Burkhard hat geschrieben: ↑19 Okt 2025, 17:05 willst du dann auch einen Login ins Kundenkonto (falls es kein Gastkonto ist) damit verknüpfen?

Gott bewahre!

Burkhard hat geschrieben: ↑19 Okt 2025, 17:05 Wie soll das mit dem Spamschutz funktionieren?

Das ist der Punkt. Ich fülle das Formular aus zwecks Widerruf von Bestellung 12345 und trixie.sonnenschein@fake.de. Jetzt wird Trixie ungewollt mit irgendeiner blöden Bestätigung belästigt. Sie schreibt Dir, was der Blödsinn soll. Während Dein Alltag inzwischen aus der vergeblichen Suche zu widerrufender Bestellungen besteht, teilt Trixie ihre negativen Erfahrungen mit Deinem Shop in Social Media und bewertet Dich entsprechend.

Eine Bestell-Identifikationsnummer (schöner Name ) könnte Shopbetreibern und unbeteiligten Dritten einen Großteil des erwartbaren Schadens ersparen.

Burkhard hat geschrieben: ↑19 Okt 2025, 17:05 Und was ich mich noch frage, wenn wir damit ja einen Kunden nicht von der Ausübung seines Widerrufs abhalten dürfen: Wie soll das mit dem Spamschutz funktionieren? Für alles mit Recaptcha brauchen wir einen Cookie, aber den dürfen wir nicht zur Voraussetzung für die Übermittlung des Formulars machen...

Hierzu habe ich gerade mal eine E-Mail an die IT-Recht geschrieben. Mal schauen ob und was sie antworten.

Dominik Späte hat geschrieben: ↑20 Okt 2025, 08:31 Eine Bestell-Identifikationsnummer (schöner Name ) könnte Shopbetreibern und unbeteiligten Dritten einen Großteil des erwartbaren Schadens ersparen.

Verstehe ich das richtig? Das Formular wird nur abgeschickt wenn die Bestell-Identifikationsnummer mit der E-Mail-Adresse übereinstimmt?

Michaela Klaiber hat geschrieben: ↑20 Okt 2025, 10:06 Verstehe ich das richtig? Das Formular wird nur abgeschickt wenn die Bestell-Identifikationsnummer mit der E-Mail-Adresse übereinstimmt?

Nee, das würde man möglicherweise für unzulässig halten können. Dann könnte man m.E. auch die Kombi aus Bestellnummer und E-Mail-Adresse verwenden und bräuchte keine extra Bestell-Identifikationsnummer.

Zur Authentifizierung, dass der widerrufende Kunde bestellt hat, würde ich dann nur die neue Bestell-Identifikationsnummer verwenden. E-Mail-Adresse kann er eintragen, was er möchte.

Alles nur mein Verständnis und Ideen dazu. Anderen Auslegungen und Wünschen stehe ich natürlich völlig offen gegenüber.

Dominik Späte hat geschrieben: ↑20 Okt 2025, 14:26 Dann könnte man m.E. auch die Kombi aus Bestellnummer und E-Mail-Adresse verwenden und bräuchte keine extra Bestell-Identifikationsnummer.

Deshalb meine Frage.
Ich persönlich wäre trotzdem bei der Kombination aus Bestellnummer und E-Mail-Adresse. Wenn das Formular nur funktioniert, wenn beides zusammenpasst, sehe ich das nicht als unzulässige Hürde, sondern als sinnvolle Absicherung gegen Missbrauch & Spam. Zumal der Kunde diese Angaben ohnehin vorliegen hat.

Michaela Klaiber hat geschrieben: ↑20 Okt 2025, 14:41

Dominik Späte hat geschrieben: ↑20 Okt 2025, 14:26 Dann könnte man m.E. auch die Kombi aus Bestellnummer und E-Mail-Adresse verwenden und bräuchte keine extra Bestell-Identifikationsnummer.

Deshalb meine Frage.
Ich persönlich wäre trotzdem bei der Kombination aus Bestellnummer und E-Mail-Adresse. Wenn das Formular nur funktioniert, wenn beides zusammenpasst, sehe ich das nicht als unzulässige Hürde, sondern als sinnvolle Absicherung gegen Missbrauch & Spam. Zumal der Kunde diese Angaben ohnehin vorliegen hat.

Vielleicht ein hashcode aus Email und Bestellnr zur Validierung...

Ich habe Antworten erhalten:

Parallel zum bereits verpflichtenden Kündigungsbutton wird auch beim künftigen Widerrufsbutton die Vorhaltung von Captcha-Mechanismen zum Spam-Schutz für zulässig erachtet.

Unter Beachtung der Einwilligungspflicht für das ReCaptcha-Cookie von Google kann "Google ReCaptcha" hierfür datenschutzkonform implementiert werden.

Datenschutzfreundlicher ist allerdings die Alternative von "FriendlyCaptcha", die gänzlich ohne Cookies und die Verarbeitung personenbezogener Daten auskommt und auf die Mandanten einen attraktiven Rabatt erhalten.

Ein Abgleich von Bestellnummer und E-Mail-Adresse im Eingabeformular wäre unzulässig.

Das Widerrufsformular muss für jeden Verbraucher mit (beliebigen) seiner Identifikation dienenden Daten nutzbar sein und dessen Absendbarkeit darf gerade nicht davon abhängig gemacht werden, dass die korrekte, auch für die Bestellung verwendete Mailadresse angegeben wird.

Für eine solche Maßnahme besteht aufgrund der Zulässigkeit von Captcha-Lösungen (s. meine vorheriger Mail) aber auch kein Bedarf.

Potenziell unzulässige Hürde ist der eine Punkt.

Der andere ist, dass ich via Brute Force abfragen kann, wer Kunde bei Dir ist bzw. Widerrufe für Deine Kunden auslösen kann.

Bei der Passwort-Recovery haben wir ja aus guten Gründen die Funktion & Meldung "[...] sofern ein Kundenkonto für die angegebene E-Mail Adresse existiert [...]" statt preiszugeben, ob es ein Kundenkonto mit der E-Mail-Adresse gibt. Und aus ebenso guten Gründen muss das Zurücksetzen erst bestätigt werden. Die Bestätigung haben wir beim Widerruf nicht.

Michaela Klaiber hat geschrieben: ↑20 Okt 2025, 16:57 Ein Abgleich von Bestellnummer und E-Mail-Adresse im Eingabeformular wäre unzulässig.

Hat sich damit ja ohnehin erledigt.

Burkhard hat geschrieben: ↑20 Okt 2025, 15:44 Vielleicht ein hashcode aus Email und Bestellnr zur Validierung...

Hashcode aus E-Mail-Adresse, Bestellnummer und einem Geheimnis wäre eine gute Option für eine Bestell-Identifikationsnummer.

Michaela Klaiber hat geschrieben: ↑20 Okt 2025, 16:57 Für eine solche Maßnahme besteht aufgrund der Zulässigkeit von Captcha-Lösungen (s. meine vorheriger Mail) aber auch kein Bedarf.

Nein, natürlich nicht… Junge, Junge…