§ 356a BGB ab 19.06.2026 — ein eigenes Shopware-6-Plugin gebaut, von Compliance bis Admin-Workflow

Die Ausgangslage. Im Februar 2026 wurde im Bundesgesetzblatt verkündet, was sich seit Mitte 2023 in Brüssel abgezeichnet hatte: § 356a BGB schreibt ab dem 19. Juni 2026 jedem B2C-Onlineshop in der EU einen elektronischen Widerrufsbutton vor. Was bedeutet das konkret für Shopbetreiber? Jeder Shop, der an Privatkunden verkauft, muss einen sichtbaren Button anbieten, mit dem Kunden ihren Vertrag elektronisch widerrufen können — ohne PDF-Formular, ohne E-Mail-Vorlage, ein-Klick-Zugang, auch für Gastbesteller. Wer das nicht hat, ist abmahnbar — Wettbewerbszentrale, Verbraucherzentrale oder Mitbewerber. Zusätzlich verlängert sich die Widerrufsfrist auf bis zu 12 Monate und 14 Tage. Reichweite: alle B2C-Shopware-Shops im deutschsprachigen Raum, geschätzt 15.000–20.000 Installationen.

Warum nicht einfach die Shopware-Standard-Lösung? Shopware liefert seit Version 6.7.9.0 (April 2026) eine native Basis-Funktion mit. Diese deckt die gesetzliche Mindestpflicht ab: ein Button auf einer Standard-Seite, eine Standard-Bestätigungs-Mail, fertig. Was darüber hinaus fehlt: ein Bearbeitungs-Workflow für die eingehenden Widerrufe im Admin, Anbindung an den Shopware Flow Builder, ein manipulationssicheres Audit-Log nach DSGVO und GoBD, anpassbare E-Mail-Templates, eine Übersichtsliste mit Filter und Status. Bei mehr als ein paar Widerrufen pro Monat wird das ohne diesen Workflow schnell unübersichtlich — Erstattungen gehen verloren, gesetzliche Bearbeitungsfristen werden gerissen, Reklamationen häufen sich.

Das Plugin in einer Lösung. Statt einer Mindest-Compliance und einem separaten Bearbeitungs-Tool habe ich beides in ein einziges Shopware-6-Plugin gepackt: Storefront-Button, zwei-Stufen-Prozess mit echter Vertragsdaten-Vorschau, Eingangsbestätigung als dauerhafter Datenträger, Admin-Modul mit Status-Workflow, Flow-Builder-Trigger, Audit-Log, mehrsprachig in Deutsch, Englisch und Französisch. Kompatibel mit Shopware 6.5, 6.6 und 6.7, PHP 8.1+. Im offiziellen Shopware-Validator: 0 Errors, 0 Warnings. Eine Lizenz, ein Preis (99 € pro Jahr), alles drin — kein Free/Pro-Lock-in, kein Add-on-Shop für Funktionen, die ohnehin zur Pflicht gehören.

Rechtliche Konformität nach § 356a BGB ist Hauptmerkmal, nicht Beifang. Der zwei-Stufen-Prozess löst zwei Probleme gleichzeitig: Stufe 1 sammelt nur die drei gesetzlichen Pflichtfelder (Name, Bestellnummer, E-Mail) plus optionale Felder. Stufe 2 zeigt eine Vorschau, die die echten Vertragsdaten direkt aus der Shopware-Datenbank lädt (Bestelldatum, Artikel, Gesamtbetrag) — damit weiß der Kunde, was er widerruft, der Shop hat den § 356a BGB-Pflichtinhalt sauber abgebildet. Der Bestätigungs-Button trägt den gesetzlichen Wortlaut „Widerruf bestätigen". Die Begründungsangabe bleibt optional — das Plugin erzwingt das technisch, nicht nur per Konfiguration. Der gesamte Flow funktioniert auch für Gastbesteller ohne Login. Die Eingangsbestätigung geht als dauerhafter Datenträger per E-Mail raus, mit Vorgangsnummer, Zeitstempel und allen Pflichtinhalten.

Das Admin-Modul macht den Bearbeitungs-Workflow handhabbar. Eigener Menüpunkt „Widerrufe" unter Bestellungen mit Übersichtsliste, Filter und Sortierung. Detailansicht mit allen Vertragsbezügen. Status-Workflow: Eingegangen → In Prüfung → Anerkannt / Abgelehnt / Erstattet / Storniert — bei jedem Status-Wechsel geht eine vorgefertigte E-Mail an den Kunden raus, in der Sprache der Storefront-Bestellung. Interne Notizen pro Vorgang. Flow-Builder-Trigger „Widerruf eingegangen" für eigene Automatisierungen (Slack-Notification, Erstattungs-Trigger, was auch immer der Shop braucht). DSGVO-Export pro Vorgang als CSV für Auskunftsersuchen nach Art. 15 DSGVO. Append-only Audit-Log: jede Statusänderung, jede Notiz, jeder E-Mail-Versand wird protokolliert — manipulationssicher.

Sicherheit und Datenschutz waren Pflichtthemen, kein Nachgedanke. Append-only Audit-Log nach GoBD-Standard. Automatische Anonymisierung nach Aufbewahrungsfrist (3, 6 oder 10 Jahre konfigurierbar, per Cronjob oder Knopfdruck im Admin auslösbar). Honeypot gegen Bot-Spam (kein sichtbares CAPTCHA, kein Conversion-Killer). Rate-Limit max. 3 Versuche pro Stunde pro IP. Bei Widerrufen nach mehr als 14 Tagen erscheint eine „Späte-Eingang"-Warnung im Admin. Im Plugin-Repository liegt ein DSGVO-Textbaustein, den man direkt in die Datenschutzerklärung übernehmen kann.

Was Sie als Shop-Betreiber daraus mitnehmen können. Erstens: § 356a BGB ist nicht optional, die Frist 19. Juni 2026 ist hart. Wer dann keinen funktionierenden Widerrufsbutton hat, wird abgemahnt — die etablierten Abmahnvereine sind organisiert und kennen das Gesetz. Zweitens: Die Shopware-Standard-Lösung erfüllt die Pflicht, mehr nicht. Wenn Sie mehr als drei Widerrufe pro Monat haben, brauchen Sie einen Admin-Workflow — sonst gehen Fristen, Erstattungen oder Auskunftsersuchen verloren. Drittens: Eigenentwicklung eines vergleichbaren Plugins kostet typischerweise 5.000–15.000 € (Spezifikation, Implementation, Tests, Validator-Konformität, drei Sprachen). Ein fertiges Store-Plugin, das die gesamte Kette abdeckt, ist die wirtschaftliche Variante — vor allem wenn der Entwickler erreichbar bleibt, falls Ihr Shop Sonderfälle hat.