Am 19. Juni 2026 wird der Widerrufsbutton Pflicht. Das sind noch 33 Tage. Gleichzeitig hat Wordfence zwei Sicherheitslücken im Avada Builder offengelegt, die über eine Million WordPress-Sites betreffen. Und Google hat diese Woche drei Search Console Änderungen bekanntgegeben. Wer Online-Shops oder WordPress nutzt, sollte jetzt handeln.
Was du in 10 Minuten erfährst:
- Warum du noch 33 Tage für den Widerrufsbutton hast (19.06. wird Pflicht, § 356a BGB)
- Dass Avada Builder zwei Lücken hat (1 Mio. Sites betroffen, Update auf v3.15.3 nötig)
- Welche Google Search Console Änderungen ab dieser Woche greifen (FAQ-Rich-Results enden)
Als Webentwickler aus der Region Oldenburg beobachte ich das seit Wochen. Der Widerrufsbutton kommt näher, aber die meisten Online-Shops sind noch nicht vorbereitet. Die Avada-Lücken betreffen Premium-Themes, also genau die Zielgruppe die hier in der Region häufig anzutreffen ist. Und die Google-Änderungen haben Auswirkungen auf Traffic und Reporting.
Auch hier in Oldenburg und Umgebung bedeutet das: Drei separate Baustellen, die alle in den nächsten Wochen relevant werden. Keine davon ist ein Notfall, aber alle zusammen erzeugen Handlungsdruck.
Thema | Dringlichkeit | Betrifft dich wenn... |
|---|---|---|
Widerrufsbutton | ⏰ 33 Tage (19.06.) | Du Online-Shop oder digitale Services verkaufst |
Avada Builder Lücken | 🔥 Sofort | Du WordPress mit Avada Theme/Builder nutzt |
Google FAQ-Ende | 📅 Ab 07.05. | Du FAQ-Schema auf Website hast, Traffic tracken |
GSC Logging-Bug | 💡 Info | Du Year-over-Year Reports aus 2025 hast |
Countdown 33 Tage: Der Widerrufsbutton wird Pflicht
Am 19. Juni 2026 tritt der neue § 356a BGB in Kraft. Er setzt die EU-Richtlinie 2023/2673 um und wurde im Februar 2026 im Bundesgesetzblatt verkündet. Das bedeutet konkret: Jeder Online-Shop mit Verbrauchergeschäft muss eine elektronische Widerrufsfunktion bereitstellen. Unabhängig von der Unternehmensgröße.
Die Anforderungen sind klar definiert. Der Button muss gut sichtbar sein. Die Beschriftung muss eindeutig sein, zum Beispiel "Vertrag widerrufen" oder gleichbedeutende Formulierungen. Er muss während der gesamten Widerrufsfrist verfügbar sein. Der Prozess muss zweistufig sein: erst Auswahl, dann Erklärung. Und es braucht eine automatische Eingangsbestätigung.
Was viele nicht wissen: "Stornieren" reicht nicht als Beschriftung. Der Button darf nicht hinter einem Login versteckt sein. Er darf nicht durch Pop-ups verdeckt werden. Und er muss funktional sein, nicht nur als Design-Element.
Die Sanktionen sind ernst zu nehmen. Abmahnungen sind möglich. Bußgelder bis 50.000 Euro werden diskutiert. Bei fehlerhaftem Hinweis in der Widerrufsbelehrung verlängert sich die Widerrufsfrist um ein Jahr. Bei bereits erbrachten Dienstleistungen kann der Wertersatzanspruch verloren gehen.
Achtung: Noch 33 Tage bis zur Pflicht
Am 19. Juni 2026 wird der Widerrufsbutton gesetzlich vorgeschrieben. Wer bis dahin keinen hat, riskiert Abmahnungen ab dem ersten Tag. Die meisten Shop-Systeme haben noch keine native Lösung. Die Implementierung braucht Zeit für Tests und Anpassungen.
Status in den Shop-Systemen
Die Situation in den gängigen Shop-Systemen ist unterschiedlich. Shopware ist am weitesten. Seit Version 6.7.9.0 (April 2026) gibt es eine native Funktion. Es gibt auch einen Backport auf Shopware 6.6. Das bedeutet: Shopware-Shop-Betreiber müssen nur updaten und die Funktion aktivieren.
WooCommerce hat keine native Lösung. Es gibt Plugin-Lösungen von Drittanbietern. Die Empfehlung: Ein Plugin auswählen, testen, und vor dem Stichtag scharf schalten. Das braucht Zeit. Nicht erst am 18. Juni anfangen.
Shopify hat ebenfalls keine native Lösung. Im Shopify App Store gibt es eine App namens "EU-Widerrufsbutton". Auch hier gilt: Testen, testen, testen. Besonders die E-Mail-Bestätigungen müssen in allen gängigen Clients funktionieren.
Ein häufiger Fehler den lokale Betriebe machen: Sie installieren ein Plugin oder eine App und denken "Fertig". Aber dann funktioniert die Eingangsbestätigung nicht. Oder der Button ist im Kundenkonto nicht sichtbar. Oder die Widerrufsfrist wird falsch berechnet. Das sind Details die man nur durch Tests findet.
Aus der Praxis
Was ich bei Website-Checks in der Region häufig sehe: Viele Shop-Betreiber haben vom Widerrufsbutton gehört, aber noch nichts getan. Die Annahme ist oft: "Das kommt automatisch mit dem nächsten Update". Aber das stimmt nur für Shopware. WooCommerce und Shopify brauchen manuelle Implementierung. Wer jetzt noch wartet, hat in zwei Wochen ein Problem.
🔍 Kommt dir das bekannt vor?
Viele meiner Kunden standen vor genau dieser Herausforderung. In einem kostenlosen Erstgespräch analysiere ich deine Situation und gebe eine ehrliche Einschätzung.
Kostenloses Erstgespräch anfragen →⏱️ Antwort binnen 24 Stunden
Avada Builder: Zwei Lücken betreffen 1 Million Sites
Wordfence hat im Mai 2026 zwei Schwachstellen im Avada Builder offengelegt. Der Avada Builder ist Teil des Avada-Ökosystems von ThemeFusion, einem der meistverkauften Premium-Themes für WordPress. Mit über einer Million aktiven Installationen ist das eines der größten WordPress-Plugin-Risiken des Quartals.
Die erste Lücke: CVE-2026-4782, Arbitrary File Read, Schweregrad medium. Sie benötigt Subscriber-Level-Zugriff. Das bedeutet: Ein Angreifer braucht zumindest einen Account auf der Website. Dann kann er Dateien auslesen die er nicht sehen sollte.
Die zweite Lücke: CVE-2026-4798, SQL Injection, Schweregrad high. Sie ist unauthenticated ausnutzbar. Das bedeutet: Kein Account nötig. Jeder kann die Lücke ausnutzen. Das ist die gefährlichere der beiden.
Die Patches wurden am 13. April 2026 und am 12. Mai 2026 ausgeliefert. Die Empfehlung: Update auf Version 3.15.3 oder höher. Der Security-Researcher Rafie Muhammad hat die Lücken entdeckt und dafür etwa 4.500 US-Dollar Bounty erhalten.
Was das für lokale Betriebe bedeutet: Avada ist besonders im Premium-Theme-Segment verbreitet. Viele Agenturen nutzen es für Kundenprojekte. Es ist nicht irgendein unbekanntes Plugin. Es ist eines der größten kommerziellen Themes überhaupt.
Das Problem: Viele Betriebe wissen nicht, welche Plugins und Themes auf ihrer Website installiert sind. Die Agentur hat vor drei Jahren die Website gebaut. Seitdem wurden nur Content-Updates gemacht. Niemand hat nach Plugin-Updates geschaut.
Achtung: Premium-Themes sind nicht automatisch sicherer
Viele Betriebe denken: "Ich habe ein Premium-Theme gekauft, das ist sicher". Aber auch kommerzielle Themes haben Sicherheitslücken. Der Unterschied zu kostenlosen Plugins: Die Hersteller reagieren meist schneller mit Patches. Aber nur wenn du die Updates auch installierst.
Wie du prüfst ob du betroffen bist
Die Prüfung ist einfach. Logge dich ins WordPress-Dashboard ein. Geh zu "Design" → "Themes". Schau ob "Avada" installiert ist. Wenn ja, schau welche Version. Wenn du auf "Plugins" → "Installierte Plugins" gehst, siehst du ob "Avada Builder" aktiv ist.
Wenn Avada oder Avada Builder installiert sind, prüfe die Version. Alles unter 3.15.3 ist verwundbar. Update sofort. Wenn du nicht weißt wie Updates funktionieren oder keinen Zugriff aufs Dashboard hast, kontaktiere die Agentur die deine Website gebaut hat.
Ein wichtiger Punkt: Auch wenn Avada deaktiviert ist, kann die Lücke ausgenutzt werden. Deaktivierte Plugins sind nicht sicher. Sie müssen komplett gelöscht werden, wenn du sie nicht nutzt.
Google Search Console: FAQ-Rich-Results enden diese Woche
Google hat am 7. Mai 2026 bestätigt: FAQ-Rich-Results erscheinen nicht mehr in den Suchergebnissen. Das Reporting auf FAQ-Strukturdaten in der Search Console stoppt ebenfalls. Das bedeutet konkret: Die prominenten FAQ-Boxen in den Suchergebnissen, die viele Klicks gebracht haben, sind weg.
Das betrifft nicht die Funktionalität auf deiner Website. Dein FAQ-Accordion funktioniert weiterhin. Aber Google zeigt die Fragen und Antworten nicht mehr als Rich Result in der Suche an. Stattdessen erscheint deine Seite als normaler blauer Link.
Was viele nicht wissen: FAQPage-Schema bleibt trotzdem sinnvoll. Erstens für AI-Search-Zitierbarkeit. Perplexity, ChatGPT Search und Google AI Overviews greifen Q&A-Inhalte weiterhin ab. Zweitens für Lesbarkeit. Der Accordion-Block hilft dem Leser. Drittens nutzen Bing und DuckDuckGo FAQPage-Markup noch aktiv.
Site-Owner sollten Traffic-Veränderungen auf Seiten mit FAQPage-Schema beobachten. Manche Seiten haben einen Großteil ihres Traffics durch FAQ-Rich-Results bekommen. Dieser Traffic kann jetzt wegbrechen.
Zwei weitere Search Console Änderungen ab dieser Woche
Preferred Sources global ausgerollt: Das Feature ist jetzt in allen unterstützten Sprachen verfügbar. Nutzer können bevorzugte Quellen für Top Stories markieren. Laut Google werden markierte Quellen mit etwa doppelt so hoher Wahrscheinlichkeit angeklickt. Über 200.000 Unique-Sites wurden bereits markiert.
Das bedeutet: Wenn jemand deine Website als bevorzugte Quelle markiert hat, sieht er deine Artikel häufiger in Top Stories. Das ist besonders relevant für lokale Nachrichtenseiten oder Fachportale mit treuer Leserschaft.
GSC-Logging-Bug behoben: Fast ein Jahr lang (13.05.2025 bis 27.04.2026) hat die Search Console Impressions inflationär gemeldet. Klicks waren nicht betroffen. Das bedeutet: Year-over-Year-Vergleiche aus diesem Zeitraum sind unzuverlässig. Wenn deine Impressions 2025 stark gestiegen sind, können das Messfehler sein.
Das ist wichtig für SEO-Reports und KPI-Diskussionen mit Kunden. Wenn du einem Kunden im März 2026 zeigst: "Ihre Impressions sind um 50 Prozent gestiegen", kann das teilweise auf den Bug zurückgehen. Die Klicks sind die zuverlässigere Metrik.
⚡ Brauchst du Unterstützung?
Ich helfe dir bei der Umsetzung – von der Planung bis zum Go-Live.
- Persönliche Beratung & Betreuung
- Transparente Preise & faire Konditionen
- Aus Oldenburg – für dein Business
⏱️ Antwort binnen 24 Stunden
Was du jetzt konkret tun solltest
Die drei Themen haben unterschiedliche Dringlichkeiten. Der Widerrufsbutton hat einen festen Stichtag. Die Avada-Lücken sind ein Sicherheitsrisiko. Die Google-Änderungen sind informativ. Hier die Prioritäten:
Priorität 1: Avada-Update (wenn betroffen)
Falls du Avada oder Avada Builder nutzt, update sofort. Die SQL Injection Lücke (CVE-2026-4798) ist unauthenticated ausnutzbar. Das bedeutet: Jeder kann sie ausnutzen. Warte nicht auf einen besseren Zeitpunkt. Update heute.
Falls du keinen Zugriff aufs Dashboard hast, kontaktiere deine Agentur. Falls die Agentur nicht reagiert, such einen anderen Entwickler. Eine offene SQL Injection Lücke auf einer produktiven Website ist ein ernstes Risiko.
Priorität 2: Widerrufsbutton-Implementierung starten
33 Tage klingen nach viel Zeit. Aber die Implementierung braucht mehr als einen Tag. Besonders wenn du WooCommerce oder Shopify nutzt. Du brauchst ein Plugin oder eine App. Du musst die Widerrufsbelehrung anpassen. Du musst E-Mail-Templates testen. Du musst die Kundenkonto-Integration prüfen.
Rechne mit einer Woche für Implementierung und Tests. Dann hast du noch Puffer für unerwartete Probleme. Wenn du jetzt startest, bist du rechtzeitig fertig. Wenn du noch zwei Wochen wartest, wird es knapp.
Priorität 3: FAQ-Traffic beobachten
Schau in deine Search Console. Filtere nach Seiten mit FAQ-Schema. Beobachte den Traffic über die nächsten zwei Wochen. Wenn der Traffic einbricht, weißt du: Das lag an den FAQ-Rich-Results. Dann kannst du überlegen, ob du die Seite anders optimierst.
Falls der Traffic stabil bleibt, war das FAQ-Rich-Result ohnehin nicht dein Haupttreiber. Dann ändert sich für dich nichts. Das FAQPage-Schema bleibt weiterhin sinnvoll für AI-Search.
Aus der Praxis
Was ich bei Website-Checks in der Region häufig sehe: Betriebe haben mehrere dringende Baustellen gleichzeitig und priorisieren nicht. Alles wird als "wichtig" eingestuft, nichts wird gemacht. Besser: Avada sofort, Widerrufsbutton diese Woche starten, FAQ-Traffic beobachten. In dieser Reihenfolge. Dann hast du alles unter Kontrolle.
BFSG-Status: 11 Monate nach Inkrafttreten
Kurze Einordnung zum Barrierefreiheitsstärkungsgesetz, das seit dem 28. Juni 2025 gilt. Die Stichprobenprüfungen laufen. Abmahnwellen haben begonnen. Laut aktuellen Erhebungen sind über 70 Prozent der betroffenen deutschen Unternehmens-Websites noch nicht BFSG-konform.
Der maßgebliche Standard bleibt WCAG 2.1 AA via EN 301 549. Nicht WCAG 2.2, wie oft fälschlicherweise angenommen wird. Overlay-Tools wie AccessiBe oder UserWay werden von Barrierefreiheits-Verbänden weiter abgelehnt. Sie erfüllen die Anforderungen nicht. Der Bußgeldrahmen liegt bei bis zu 100.000 Euro.
Das ist keine neue Frist und kein neues Thema. Aber es ist wichtig zu verstehen: Die Durchsetzung läuft. Die Marktüberwachungsbehörden prüfen aktiv. Wer noch nicht konform ist, sollte es auf die Liste setzen.
Die Konkurrenz schläft noch
Die gute Nachricht: Die meisten lokalen Betriebe in der Region haben weder den Widerrufsbutton implementiert, noch ihre Avada-Installation geprüft, noch die Google-Änderungen auf dem Schirm. Wer jetzt handelt, hat einen Vorsprung.
Der Widerrufsbutton wird am 19. Juni für ALLE verpflichtend. Aber die meisten fangen erst an, wenn die ersten Abmahnungen kommen. Wer jetzt schon fertig ist, kann in Ruhe arbeiten. Die Avada-Lücken betreffen nur einen Teil der WordPress-Nutzer. Aber wer betroffen ist und nicht updated, riskiert echte Sicherheitsprobleme.
Was für Großstädte gilt, funktioniert in unserer Region anders. Hier im ländlichen Raum sind vielleicht 10 Prozent der Online-Shops bereits vorbereitet. In Hamburg oder Berlin sind es deutlich mehr. Das bedeutet: First-Mover-Vorteil.
🚀 Lass uns über dein Projekt sprechen
In einem kostenlosen 30-Minuten-Erstgespräch analysiere ich deine Anforderungen und gebe konkrete Empfehlungen – unverbindlich und ehrlich.
Termin vereinbaren →