Widerruf-Button: Neue Pflicht für Online-Shops ab 19. Juni

Ende Mai 2026 treffen neue Verbraucherschutzgesetze, aktualisierte Cybersecurity-Rahmenwerke und der zehnte Jahrestag der DSGVO aufeinander. Das Ergebnis: ein komplexes Regelwerk, das viele Unternehmen vor enorme Herausforderungen stellt. Branchenexperten warnen vor einer Klagewelle, sollten digitale Angebote nicht bis Mitte Juni angepasst werden.

Die neuen Anforderungen des EU AI Acts gelten bereits seit August 2024 und stellen viele Unternehmen vor große Hürden bei der Risikodokumentation. Dieser kostenlose Leitfaden verschafft Ihnen den notwendigen Überblick über Fristen und Pflichten, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen

Pflicht zum digitalen Widerruf bis zum 19. Juni

Ein zentraler Termin rückt näher: Bis zum 19. Juni 2026 müssen alle Anbieter von Fernabsatzverträgen einen digitalen Widerruf-Button implementieren. Die Regelung basiert auf Paragraph 356a BGB und der EU-Verbraucherrechterichtlinie. Sie gilt für Websites, mobile Apps und große Marktplätze gleichermaßen.

Die technischen Vorgaben sind präzise: Entwickler müssen einen klar gekennzeichneten Button mit der Aufschrift „Vertrag widerrufen" bereitstellen. Ein Klick darauf führt zu einer Bestätigungsseite, auf der der Nutzer Name, Vertragsnummer und ein Kommunikationsmittel für die Eingangsbestätigung eingibt. Entscheidend: Ein Login darf für diese Funktion nicht erforderlich sein. Auch Pop-ups oder die Aufforderung zum App-Download sind verboten. Die Abfrage eines Widerrufsgrundes ist streng untersagt.

Nach Absenden des Widerrufs über einen zweiten Bestätigungsbutton muss die Plattform unverzüglich eine Eingangsbestätigung mit Datum und Uhrzeit versenden. Viele aktuelle Shop-Systeme erfüllen diese Anforderungen noch nicht. Wer die Frist versäumt, riskiert Abmahnungen und eine automatische Verlängerung der Widerrufsfrist für Verbraucher. Telefonische oder Fax-Verträge bleiben von der Button-Pflicht ausgenommen.

Verschärfte Cybersecurity-Meldepflichten nach NIS2

Parallel dazu haben sich die Sicherheitsanforderungen für „wichtige" und „besonders wichtige" Einrichtungen konkretisiert. Die NIS2-Richtlinie und das deutsche BSI-Gesetz verlangen nun strenge Meldepflichten bei erheblichen Sicherheitsvorfällen. Ein Vorfall gilt als meldepflichtig, wenn er zu schwerwiegenden Betriebsstörungen, erheblichen finanziellen Verlusten oder Schäden für Dritte führt – etwa für Gesundheit, Privatsphäre oder Eigentum.

Die finanzielle Schwelle liegt bei 500.000 Euro oder fünf Prozent des Jahresumsatzes. Auch wiederkehrende Probleme mit derselben Ursache, die innerhalb von sechs Monaten mindestens zweimal auftreten, müssen gemeldet werden. Die Fristen sind knapp: Eine Erstmeldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) muss innerhalb von 24 Stunden nach Kenntnisnahme erfolgen. Bei DSGVO-Verstößen ist innerhalb von 72 Stunden ein detaillierter Bericht fällig.

Angesichts verschärfter Meldepflichten und steigender Cyberrisiken durch neue Technologien ist ein proaktiver Schutz für Unternehmen unverzichtbar. Erfahren Sie in diesem kostenlosen Report, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um ihre IT-Sicherheit ohne hohe Investitionen zu stärken. Gratis Cyber-Security-Report jetzt herunterladen

Neuer Cloud-Standard C5:2026 setzt Maßstäbe

Das BSI hat am 7. April 2026 den aktualisierten Cloud-Standard C5:2026 veröffentlicht. Der Katalog wuchs von 121 auf 168 Kriterien in 17 Themenbereichen. Erstmals enthält er spezifische Anforderungen für Container-Management, Post-Quanten-Kryptografie und vertrauliches Rechnen (Confidential Computing). Eine Übergangsfrist gilt bis zum 28. Februar 2027. Ab dem 1. Juni 2027 werden die neuen Kriterien für alle Type-2-Audits verbindlich. Die Zertifizierung ist bereits Voraussetzung für Anbieter im Gesundheitswesen, der Finanzbranche (DORA) und der öffentlichen Verwaltung.

Zehn Jahre DSGVO: Die KI-Lücke wird sichtbar

Am 25. Mai 2026 jährte sich das Inkrafttreten der DSGVO zum zehnten Mal. Der Jahrestag fiel jedoch auf Kritik: Die bisherigen technisch-organisatorischen Maßnahmen (TOM) reichen für das Zeitalter der künstlichen Intelligenz nicht mehr aus. Analysen zeigen, dass Dokumentationen aus den Jahren 2018 bis 2022 oft unzureichend sind. Moderne KI-Agenten nutzen Techniken wie Prompt Injection oder Retrieval-Augmented Generation (RAG), die klassische Prinzipien der Datenminimierung und Zweckbindung umgehen können.

Aktuelle Branchendaten offenbaren ein ernüchterndes Bild: 63 Prozent der Organisationen können Zweckbindungen für autonome KI-Agenten nicht durchsetzen. 60 Prozent fehlt die technische Fähigkeit, Agenten zu stoppen, die unerwünschtes Verhalten zeigen. Experten fordern daher einen Wechsel von rollenbasierter Zugriffskontrolle (RBAC) zu attributbasierter Autorisierung (ABAC) sowie manipulationssichere Prüfpfade auf Datenebene.

Die finanziellen Risiken bleiben hoch: Bis März 2026 summierten sich die DSGVO-Bußgelder auf rund 6,11 Milliarden Euro. Laut Bitkom empfinden 97 Prozent der Unternehmen den Erfüllungsaufwand als hoch. 69 Prozent geben an, dass Datenschutzauflagen das Training von KI-Modellen erheblich erschweren.

Megalodon-Angriff und Microsoft-Preiserhöhungen

Das operative Umfeld für Entwickler wird zudem durch eine welle hochentwickelter Cyberangriffe belastet. Am 18. Mai 2026 kompromittierte die Kampagne „Megalodon" 5.561 GitHub-Repositories und führte innerhalb von sechs Stunden über 2.700 schädliche Code-Änderungen aus. Ziel war der Diebstahl von SSH-Schlüsseln und Cloud-Zugangsdaten für AWS, Google Cloud und Azure. Microsoft gelang es am 22. Mai, die Infrastruktur der Gruppe „Fox Tempest" zu stören, die mit Hunderten von Fake-Konten Zertifikate für Ransomware-Betreiber bereitgestellt hatte.

Plattformbetreiber müssen zudem mit steigenden Kosten rechnen. Microsoft erhöht zum 1. Juli 2026 die Preise für Microsoft 365: Business Basic steigt um 16 Prozent, Business Standard um 12 Prozent. Parallel kämpfen E-Commerce-Plattformen wie Amazon weiter gegen Brushing-Betrug, bei dem Händler unbestellte Pakete an zufällige Adressen schicken, um gefälschte positive Bewertungen zu generieren. Empfänger haften in der Regel nicht und dürfen die Ware behalten – das System der verifizierten Käufe wird jedoch untergraben.

Bundesarbeitsgericht stärkt Betriebsratsrechte

Eine Entscheidung des Bundesarbeitsgerichts vom 28. Januar 2026 hat die Rechtslage für Plattform-Lieferdienste geklärt. Das Gericht erklärte Betriebsratswahlen in sogenannten „Remote-Städten" für unwirksam, wenn dort keine örtliche Leitung mit Arbeitgeberfunktionen existiert. Digitale Steuerung per App allein begründe keine organisatorisch eigenständige Einheit, die einen Betriebsrat bilden könne.

Ausblick: Die nächsten Hürden

Die kommenden Monate halten weitere kritische Termine bereit. Nach dem 19. Juni müssen sich Entwickler auf die Microsoft-Preisanpassungen zum 1. Juli vorbereiten. Im Herbst 2026 wird der erwartete Börsengang von OpenAI mit einer geschätzten Bewertung von 920 Milliarden Euro die Märkte bewegen.

Anfang 2027 rückt dann die C5:2026-Umstellung in den Fokus. Bis zum 28. Februar 2027 müssen alte Prüfstandards abgelöst sein. Für Entwickler und Plattformbetreiber bedeutet dies: Eine rigorose Überprüfung der technisch-organisatorischen Maßnahmen ist unumgänglich. Die Lücke zwischen veralteten Datenschutzstrategien und den Anforderungen einer KI-gesteuerten Wirtschaft muss geschlossen werden. Wer heute die Compliance vernachlässigt, wird morgen mit erheblichen rechtlichen und operativen Risiken konfrontiert sein – denn die Durchsetzungsmechanismen werden automatisierter und die Meldeschwellen strenger angewendet.

de | wirtschaft | 69422596 |