Widerrufsbutton Pflicht ab 19. Juni 2026: Was Online-Shop-Betreiber jetzt wissen müssen

Der 19. Juni 2026 ist da – und mit ihm eine der wichtigsten gesetzlichen Neuerungen für Online-Händler in Deutschland seit Jahren: Ab sofort ist der Widerrufsbutton gesetzlich vorgeschrieben. Wer ihn noch nicht eingebaut hat, riskiert Bußgelder bis 50.000 €, Abmahnungen und eine Widerrufsfrist von über 12 Monaten. Dieser Artikel erklärt alles was Sie wissen müssen – mit technischen Anforderungen, Sicherheitshinweisen, Design-Tipps und echten Praxisbeispielen.

Was ist der Widerrufsbutton und warum kommt er jetzt?

Der Widerrufsbutton – offiziell „elektronische Widerrufsfunktion“ – ist eine neue gesetzliche Pflicht aus dem § 356a BGB, der am 19. Juni 2026 in Kraft getreten ist. Rechtsgrundlage ist die EU-Richtlinie 2023/2673 zur Modernisierung des europäischen Verbraucherrechts. Das Gesetz wurde am 5. Februar 2026 im Bundesgesetzblatt (BGBl. 2026 I Nr. 28) veröffentlicht.

Das Prinzip dahinter ist einfach: Wer einen Vertrag online in wenigen Klicks abschließen kann, soll ihn auch genauso einfach widerrufen können. Bisher war das Widerrufen oft umständlich – per PDF, E-Mail oder Briefformular. Das ändert sich jetzt grundlegend.

Wen betrifft die Pflicht – und wen nicht?

Der Widerrufsbutton ist verpflichtend für alle Unternehmer, die:

• Waren, digitale Dienstleistungen oder Finanzprodukte an Verbraucher (B2C) online verkaufen
• Verträge über eine Online-Benutzeroberfläche abschließen – das umfasst Websites, Teile davon, mobile Apps und Plattformen
• für deren Angebote ein gesetzliches Widerrufsrecht nach § 355 BGB besteht

Nicht betroffen sind reine B2B-Shops (kein gesetzliches Widerrufsrecht), Verträge per Telefon, Fax oder Bestellkarte sowie Verträge bei denen das Widerrufsrecht nach § 312g BGB ausnahmsweise ausgeschlossen ist (z. B. maßgefertigte Produkte, verderbliche Waren).

Was § 356a BGB technisch fordert: Der zweistufige Prozess

Das Gesetz schreibt einen zweistufigen Prozess vor – ein einfacher „Widerrufen“-Link reicht nicht aus.

Stufe 1: Der Widerrufsbutton

Ein gut lesbarer Button muss dauerhaft auf der Website zugänglich sein – ohne Login, ohne Scrollen. Die Beschriftung muss eindeutig sein:

• „Vertrag widerrufen“ – gesetzlich empfohlene Formulierung
• „Widerruf erklären“ oder „Widerruf starten“ – als gleichwertige Formulierungen zulässig

Ein versteckter Footer-Link, ein Button nur im Kundenkonto oder ein passwortgeschützter Bereich genügt ausdrücklich nicht.

Stufe 2: Das Widerrufsformular

Nach dem Klick öffnet sich ein Formular. Dieses darf nur die gesetzlich vorgeschriebenen Mindestangaben abfragen:

• Name des Verbrauchers
• Angaben zur Identifizierung des Vertrags (z. B. Bestellnummer)
• Ein elektronisches Kommunikationsmittel für die Eingangsbestätigung (E-Mail-Adresse)

Weitere Angaben – insbesondere ein Widerrufsgrund – dürfen nicht abgefragt werden. Ein CAPTCHA ist ebenfalls unzulässig.

Stufe 3: Die Bestätigung

Der Bestätigungs-Button muss mit „Widerruf bestätigen“ beschriftet sein. Nach dem Absenden muss der Unternehmer den Widerrufseingang unverzüglich mit Zeitstempel per E-Mail bestätigen.

Sicherheit im Widerrufsformular: Was viele vergessen

Ein Aspekt der bei der technischen Umsetzung häufig übersehen wird: Das Widerrufsformular muss sicher sein – aber CAPTCHA ist verboten. Wie löst man das?

• Honeypot-Felder: Unsichtbare Felder die nur von Bots ausgefüllt werden – für echte Nutzer unsichtbar, für Spam-Bots eine Falle. Technisch sauber und gesetzeskonform
• Rate Limiting: Serverseitige Begrenzung auf z. B. 5 Widerrufe pro IP-Adresse pro Stunde – schützt vor Missbrauch ohne den Nutzer zu belasten
• Token-basierte Formulare: Jedes Formular bekommt ein einmaliges, zeitlich begrenztes CSRF-Token – verhindert automatisierte Angriffe
• HTTPS und SSL: Das Formular muss zwingend über HTTPS laufen – übertragene Kundendaten (Name, E-Mail) müssen verschlüsselt sein
• DSGVO-konforme Datenspeicherung: Widerrufsdaten dürfen nur so lange gespeichert werden wie rechtlich nötig – in der Regel 3 Jahre für Beweiszwecke
• Eingangsbestätigung mit Zeitstempel: Die automatische Bestätigungs-E-Mail sollte einen kryptografischen Nachweis oder zumindest einen Zeitstempel enthalten – im Streitfall der wichtigste Beweis

Wir empfehlen: Alle Widerrufseingänge sollten in einem geschützten Backend-Bereich protokolliert und für mindestens 3 Jahre archiviert werden. Im Fall einer Abmahnung oder eines Rechtsstreits ist der lückenlose Nachweis entscheidend. Mehr zu Website-Sicherheit und DSGVO 2026 finden Sie in unserem Ratgeber.

Design-Anforderungen: So muss der Button aussehen

Das Gesetz schreibt vor, dass der Button „gut lesbar“ sein muss. In der Praxis bedeutet das:

• Ausreichende Schriftgröße: Mindestens 14px – besser 16px für optimale Lesbarkeit auf Mobilgeräten
• Kontrastverhältnis: Mindestens 4,5:1 nach WCAG 2.1 – hellgrauer Text auf weißem Hintergrund ist nicht ausreichend
• Klare Beschriftung: „Vertrag widerrufen“ – keine kreativen Formulierungen die Verbraucher verwirren könnten
• Auffindbarkeit: Der Button sollte im Footer gut sichtbar platziert sein – nicht zwischen 20 anderen Links versteckt
• Mobiloptimierung: Mindestens 44×44px Touch-Target auf mobilen Geräten

Ein gut gestalteter Widerrufsbutton ist kein Makel – er signalisiert Professionalität und Vertrauenswürdigkeit. Kunden die sehen, dass ein Shop den Widerruf ernst nimmt, kaufen beruhigter. Das ist ein echter Conversion-Vorteil, kein Nachteil.

Was droht bei Verstößen?

• Bußgelder bis 50.000 € – bei größeren Unternehmen bis zu 4 % des Jahresumsatzes nach § 19 UWG
• Wettbewerbsrechtliche Abmahnungen durch Konkurrenten oder Abmahnvereine – Rechtsexperten erwarten ähnliche Abmahnwellen wie beim Kündigungsbutton 2022
• Verlängerte Widerrufsfrist von 12 Monaten und 14 Tagen statt der normalen 14 Tage – bei langlebigen Gütern kann das existenzbedrohend sein

Was muss außerdem angepasst werden?

• Widerrufsbelehrung: Muss auf die neue Widerrufsfunktion und den Button ausdrücklich hinweisen
• Datenschutzerklärung: Muss erläutern, welche Daten im Widerrufsprozess erhoben, verarbeitet und wie lange gespeichert werden
• Automatische Bestätigungs-E-Mail: Muss eingerichtet, getestet und dokumentiert sein
• Interne Prozesse: Eingehende Widerrufe müssen verarbeitet, zugeordnet und archiviert werden

Praxis: So haben wir den Widerrufsbutton bei unseren Kunden umgesetzt

Bei Power of Tech haben wir den Widerrufsbutton bereits für mehrere Kunden rechtssicher und technisch einwandfrei integriert. Hier sind drei Beispiele aus unserer Praxis – der Button ist jeweils live im Footer der Shops zu finden:

Variadu – WooCommerce Shop für Lernmaterialien

Variadu ist ein WooCommerce-Shop für Didaktik-Materialien, Bücher und digitale Lernmittel. Wir haben den zweistufigen Widerrufsprozess als eigenständige Seite integriert – der Button „Vertrag widerrufen“ ist im Footer dauerhaft sichtbar und für Gäste ohne Login erreichbar. Das Formular fragt nur die gesetzlich vorgeschriebenen Mindestfelder ab und versendet automatisch eine Eingangsbestätigung per E-Mail.

StarWood Treppenshop – Magento 2 Shop für individuelle Treppen

StarWood Treppenshop ist einer der komplexesten E-Commerce-Projekte in unserem Portfolio – ein Magento 2 Shop mit 3D-Produktkonfiguratoren, Multichannel-Anbindung und B2B-Funktionen. Der Widerrufsbutton wurde als eigenständiges Magento 2 Modul entwickelt und in den Footer des Shops integriert. Besonderes Augenmerk lag auf der Sicherheit: Honeypot-Felder, CSRF-Token und serverseitiges Rate Limiting schützen das Formular vor Missbrauch. Die Widerrufsdaten werden DSGVO-konform im Magento-Backend protokolliert und archiviert.

HoferMed – Professionelle Unternehmenswebsite mit Shop-Funktion

HoferMed ist ein medizinischer Dienstleister mit Online-Shop. Hier war besondere Sorgfalt gefragt – medizinische Produkte unterliegen spezifischen Widerrufsregelungen. Wir haben den Button so implementiert, dass er nur für Produktkategorien angezeigt wird, bei denen ein gesetzliches Widerrufsrecht besteht – und bei Ausnahmen (z. B. bestimmte Medizinprodukte) automatisch ausblendet. Das schützt vor falschen Erwartungen und rechtlichen Graubereichen.

Umsetzung je nach Shopsystem

WooCommerce / WordPress

Für WooCommerce gibt es bereits zertifizierte Lösungen: Germanized ab Version 4.0 und German Market ab Version 3.58. Wichtig: Plugin-Aktivierung allein reicht nicht – der vollständige Ablauf inkl. Sicherheitsmaßnahmen muss konfiguriert, getestet und dokumentiert sein.

Magento 2

Für Magento 2 sind spezialisierte Extensions oder individuelle Module erforderlich. Da Magento 2 eine komplexe Architektur hat, ist eine saubere Integration inkl. Backend-Protokollierung, automatischem E-Mail-Versand und Sicherheitsmaßnahmen entscheidend.

Shopware

Shopware hat mit Release 6.7.9.0 (April 2026) eine native Lösung bereitgestellt. Shop-Betreiber müssen diese aktivieren und vollständig konfigurieren.

Shopify

Im Shopify App Store gibt es Apps für die EU-Widerrufsfunktion. Die vollständige Prozesskonfiguration – nicht nur die App-Installation – ist entscheidend.

Individuelle Shops und andere Systeme

Bei individuell entwickelten Shops ist eine maßgeschneiderte Entwicklung erforderlich. Als Full-Service-Webagentur aus Nürnberg entwickeln wir die Lösung passend zu Ihrem System.

Checkliste: Ist Ihr Shop ab dem 19. Juni 2026 konform?

• Widerrufsbutton mit Beschriftung „Vertrag widerrufen“ vorhanden?
• Button dauerhaft zugänglich – ohne Login, ohne Scrollen?
• Zweistufiger Prozess: Button → Formular → Bestätigung vollständig umgesetzt?
• Formular fragt nur Pflichtfelder ab (Name, Vertragsidentifikation, Kontaktmittel)?
• Kein CAPTCHA im Formular?
• Formular mit CSRF-Token, Honeypot und Rate Limiting gegen Missbrauch geschützt?
• HTTPS/SSL für das Formular aktiv?
• Automatische Bestätigungs-E-Mail mit Zeitstempel eingerichtet?
• Widerrufsdaten DSGVO-konform archiviert (mindestens 3 Jahre)?
• Widerrufsbelehrung und Datenschutzerklärung aktualisiert?
• Gastbestellungen ohne Konto-Zwang widerrufbar?
• Technischer Ablauf vollständig getestet und dokumentiert?

Häufige Fragen zum Widerrufsbutton 2026

Gilt die Pflicht auch für kleine Shops und Kleinunternehmer?

Ja. § 356a BGB gilt für alle Unternehmer im B2C-Fernabsatz, unabhängig von Unternehmensgröße oder Umsatz.

Ist der Widerrufsbutton dasselbe wie der Kündigungsbutton?

Nein. Der Kündigungsbutton nach § 312k BGB existiert seit Juli 2022 für Dauerschuldverhältnisse (Abos, Streaming, Mobilfunk). Der Widerrufsbutton ist ein eigenständiges neues Instrument für einmalige Kaufverträge. Wer beides anbietet, braucht beide Buttons – klar voneinander getrennt.

Darf ich das Formular mit einem CAPTCHA schützen?

Nein. Ein CAPTCHA ist ausdrücklich unzulässig, da es den Widerruf erschwert. Erlaubt sind unsichtbare Schutzmaßnahmen wie Honeypot-Felder, CSRF-Token und serverseitiges Rate Limiting.

Müssen auch Apps den Widerrufsbutton haben?

Ja. Die Definition der „Online-Benutzeroberfläche“ umfasst ausdrücklich auch mobile Apps.

Was passiert, wenn der Widerrufsbutton fehlt aber der Kunde trotzdem widerruft?

Der Widerruf ist wirksam – die verlängerte Frist von 12 Monaten und 14 Tagen gilt. Der Unternehmer muss den Widerruf akzeptieren und kann sich nicht auf die abgelaufene 14-Tage-Frist berufen.

Brauchen Sie Unterstützung bei der Umsetzung?

Die Umsetzung des Widerrufsbuttons ist kein reines Design-Projekt – es ist ein vollständiger Compliance-Prozess mit technischen, sicherheitsrelevanten, rechtlichen und datenschutzrelevanten Anforderungen. Als spezialisierte Webagentur aus Nürnberg mit nachgewiesener Erfahrung in Magento 2, WooCommerce und individuellen Web-Projekten helfen wir Ihnen bei der rechtssicheren Integration.

Wir übernehmen: technische Integration des zweistufigen Widerrufsbuttons, Sicherheitsimplementierung (CSRF, Honeypot, Rate Limiting, HTTPS), Konfiguration der automatischen Bestätigungs-E-Mails, DSGVO-konforme Datenspeicherung, vollständige Tests und Dokumentation sowie Hinweise zur Anpassung Ihrer Rechtstexte in Abstimmung mit Ihrem Rechtsanwalt.

Jetzt ist der richtige Zeitpunkt zu handeln. Kontaktieren Sie uns für eine kostenlose Ersteinschätzung – wir melden uns innerhalb von 24 Stunden.