Widerruf-Button ab 19. Juni: Neue Pflicht für alle Online-Shops

Die Regulierungswelle rollt: Von der Pflicht zum Widerruf-Button über bahnbrechende Gerichtsurteile bis hin zu neuen Sicherheitsrisiken durch KI – Unternehmen im digitalen Markt stehen vor gewaltigen Herausforderungen. Was sich für Verbraucher und Firmen konkret ändert.

Pflicht zum Klick: Der Widerruf-Button kommt

Online-Händler und App-Betreiber müssen ab dem 19. Juni 2026 ihre digitalen Vertragssysteme umstellen. Der neue § 356a BGB schreibt einen sogenannten „Widerruf-Button" für Fernabsatzverträge vor. Die Regelung gilt für alle B2C-Shops und mobilen Anwendungen.

Ob Widerrufs-Buttons oder Dokumentationspflichten – die Anforderungen an die DSGVO-Compliance wachsen stetig und überfordern viele Verantwortliche. Dieser kostenlose Ratgeber zeigt Ihnen in 5 klaren Schritten, wie Sie Ihr Unternehmen rechtssicher aufstellen und Abmahnungen vermeiden. In 5 Schritten DSGVO-konform: So haken Sie alle Pflichten schnell und einfach ab

Das Gesetz sieht ein zweistufiges Verfahren vor: Zunächst muss ein klar beschrifteter Button zum Einleiten des Widerrufs erscheinen, gefolgt von einem zweiten Button zur Bestätigung. Diese Funktion muss von jeder Unterseite der Website erreichbar sein. Eine Übergangsfrist gibt es nicht.

Die Folgen bei Verstößen sind happig: Neben Abmahnungen droht eine automatische Verlängerung der Widerrufsfrist auf satte 12 Monate und 14 Tage. Das neue Gesetz ist strikt von der bestehenden Kündigungsbutton-Pflicht für Dauerschuldverhältnisse zu unterscheiden.

Gericht ebnet Weg für Milliarden-Strafe gegen Meta

Ein richtungsweisendes Urteil aus Dublin verändert die Durchsetzung des Datenschutzes in Europa grundlegend. Der High Court in Dublin bestätigte am 28. Mai 2026 die Befugnis der irischen Datenschutzkommission (DPC), einzelne Beschwerden zu umfassenden Systemuntersuchungen auszuweiten.

Richterin Siobhán Phelan wies eine Klage von Meta gegen die Behörde ab. Ausgangspunkt war eine Beschwerde aus dem Jahr 2018 zu Datenzugriffsproblemen auf der Plattform „Hive". Das Gericht stellte klar: Die DPC darf eine Einzelbeschwerde als Grundlage für eine konzernweite Prüfung der Compliance-Strukturen nutzen.

Der Weg ist nun frei für eine geplante Geldstrafe zwischen 360 und 430 Millionen Euro gegen Meta. Allerdings bleibt die endgültige Höhe der Strafe Gegenstand möglicher weiterer Berufungen.

Deutsche Gerichte schaffen Klarheit beim Kopplungsverbot

Während die Durchsetzung verschärft wird, bringen deutsche Gerichte etwas Entspannung in die Frage der Datenverarbeitung bei Vertragsschluss. Das Amtsgericht Nürnberg entschied bereits im Juli 2025: Die DSGVO enthält kein absolutes „Kopplungsverbot".

Die Richter stellten fest, dass die Einwilligung zur Datenverarbeitung bei Vertragsschluss als freiwillig gilt – solange der Anbieter keine Monopolstellung hat. Auch die Übermittlung von Daten an Auskunfteien zur Betrugsprävention ist demnach zulässig, wenn ein berechtigtes Interesse vorliegt.

Ein besonders wichtiger Punkt für Verbraucher: Ein bloßes „Unwohlsein" bei der Datenverarbeitung berechtigt nicht zu Schadensersatz nach Artikel 82 DSGVO.

Zusätzlich müssen Unternehmen seit dem 12. September 2025 die Anforderungen des Data Act erfüllen. Das Gesetz verpflichtet Firmen, Datenzugriffe für Nutzer und Dritte zu verwalten – bei gleichzeitigem Schutz von Geschäftsgeheimnissen. Nach dem Prinzip „Schützen, dann teilen" sind Klassifizierungssysteme, Vertraulichkeitsvereinbarungen und Zugriffsprotokolle Pflicht. Datenzugriff darf nur verweigert werden, wenn ein Unternehmen nachweisen kann, dass das Teilen zu schwerwiegenden wirtschaftlichen Schäden führen würde.

IT-Teams am Limit: 82 Prozent der Firmen überfordert

Die praktische Umsetzung der vielen Standards belastet die Unternehmen massiv. Eine Sophos-Studie vom Frühjahr 2026 unter 5.000 IT-Managern aus 17 Ländern zeigt: 82 Prozent der Organisationen sind unsicher, ob sie alle aktuellen Compliance-Anforderungen erfüllen können. Im Durchschnitt müssen IT-Teams gleichzeitig fünf verschiedene Standards einhalten – darunter DSGVO, NIS2, DORA und ISO 27001. Rund 39 Prozent ihrer gesamten Arbeitszeit verbringen sie mit Compliance-Aufgaben.

Die realen Risiken wurden Mitte April 2026 deutlich: Ein massiver Cyberangriff auf den Dienstleister Unimed traf zahlreiche Universitätskliniken in Deutschland – darunter Freiburg, Heidelberg, Tübingen und Göttingen. In mehreren Fällen wurden Patientendaten wie Namen, Adressen und Abrechnungsinformationen gestohlen. Bis Ende Mai 2026 waren die privaten Abrechnungsprozesse einiger betroffener Kliniken noch immer eingestellt, nachdem sie die IT-Verbindungen zum Dienstleister gekappt hatten.

Neue Gefahr: KI-Modelle ohne Schutzmechanismen

Eine weitere Herausforderung kommt aus dem Bereich der Künstlichen Intelligenz. Ende Mai 2026 machte das Tool „Heretic" auf GitHub Schlagzeilen. Es nutzt eine Technik namens „Abliteration", um Sicherheitsvorkehrungen aus Open-Weight-KI-Modellen wie Llama und Gemma zu entfernen – und das in weniger als zehn Minuten.

Die neuen technischen Möglichkeiten der KI bringen nicht nur Chancen, sondern auch strikte rechtliche Vorgaben durch die EU-KI-Verordnung mit sich. Dieser kostenlose Umsetzungsleitfaden hilft IT- und Rechtsabteilungen, alle relevanten Fristen, Risikoklassen und Dokumentationspflichten sofort im Blick zu behalten. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt

Über 13 Millionen Downloads modifizierter Modelle wurden bereits registriert. Branchenexperten raten Unternehmen dringend, Modellinventare und Hash-Prüfungen einzuführen. Nur so lässt sich sicherstellen, dass die eingesetzten KI-Tools den Sicherheitsstandards des AI Act und der Datenschutzverordnung entsprechen.

de | wirtschaft | 69438466 |