Blog

EU-Compliance für Onlineshops

Durchsetzung, Regulierung, Dark Patterns und Plattform-Fallstricke. Geschrieben von Ingenieurinnen und Ingenieuren, die den Richtlinientext lesen.

Die Beiträge erscheinen aktuell auf Englisch. Deutsche Übersetzungen sind in Arbeit.

Regulation15 Jun 2026·5 Min. Lesezeit

GPSR (Verordnung 2023/988) für Onlineshops: was sich am 13. Dezember 2024 geändert hat und was heute zu veröffentlichen ist

Die Verordnung (EU) 2023/988, die allgemeine Produktsicherheits-Verordnung (GPSR), hat die Produktsicherheits-Richtlinie von 2001 am 13. Dezember 2024 abgelöst. Jeder Online-Händler von Verbraucherprodukten in die EU braucht jetzt eine benannte EU-verantwortliche Person, Pflichtangaben zur Sicherheit auf jedem Produktlisting und einen dokumentierten Vorfall-Behandlungs-Prozess. Was im Anwendungsbereich liegt, was auf einer Produktseite erscheinen muss und wo Shopify- und WooCommerce-Shops am häufigsten scheitern.

Beitrag lesen →
Regulation

EU-KI-VO Art. 50: die vier Transparenzpflichten, die jeden EU-Shop 2026 treffen

Die EU-KI-Verordnung (Verordnung 2024/1689) ist am 1. August 2024 in Kraft getreten. Die Transparenzpflichten aus Art. 50, die jeden EU-Shop mit Chatbot oder KI-generierten Produktbildern erfassen, werden ab dem 2. August 2026 anwendbar. Was jede der vier Pflichten tatsächlich verlangt, wer betroffen ist und was „angemessen gekennzeichnet“ in der Praxis bedeutet.

15 Jun 2026·6 Min. Lesezeit
Regulation

Die EU-OS-Plattform wurde am 20. Juli 2025 abgeschaltet: jeder tote Verweis in Ihrem Shop ist jetzt ein UGP-Risiko

Die Verordnung (EU) 2024/3228 hat die EU-Plattform zur Online-Streitbeilegung am 20. Juli 2025 dauerhaft abgeschaltet. Jeder Verweis auf ec.europa.eu/consumers/odr, der in einem Footer, einem Impressum, in den AGB oder im Bestellabschluss verblieben ist, zeigt jetzt auf einen Dienst, den es nicht mehr gibt. Verbraucherschutzbehörden lesen diese Verweise als irreführende Unterlassungen nach der UGP. Was sich geändert hat, was zu entfernen ist und was stattdessen zu zeigen ist.

15 Jun 2026·4 Min. Lesezeit
Regulation

Pay-or-OK-Cookie-Wände nach EDPB-Stellungnahme 08/2024: eine klare Haltung für den EU-E-Commerce

Die EDPB-Stellungnahme 08/2024 bestätigt, dass eine binäre Wahl zwischen Bezahlabo und Tracking-Einwilligung bei großen Online-Plattformen kaum eine freiwillige Einwilligung nach der DSGVO erzeugen kann. Die Stellungnahme erfasst nicht jeden Shop, der strukturelle Maßstab ist aber öffentlich. Wann Ihr Shop betroffen ist, was die EDPB tatsächlich gesagt hat und was die Aufsicht seitdem getan hat.

15 Jun 2026·5 Min. Lesezeit
Regulation

Widerrufsbutton nach § 356a BGB: was deutsche Onlineshops ab dem 19. Juni 2026 vorhalten müssen

Ab dem 19. Juni 2026 muss jeder im elektronischen Geschäftsverkehr geschlossene Verbrauchervertrag mit Dauerverpflichtung einen Widerrufsbutton mit nur einem Klick anbieten. § 356a BGB setzt Art. 4 der Richtlinie (EU) 2023/2673 um und verlangt einen dauerhaft erreichbaren, gesetzlich beschrifteten Button ohne Login-Hürde. Wer betroffen ist, was der Button leisten muss und wo Shopify- und WooCommerce-Shops typischerweise scheitern.

15 Jun 2026·6 Min. Lesezeit
Merchant Playbook

Why Zalando's accessibility statement and CRD-aligned T&Cs are exemplary

We scanned en.zalando.de and found one of the cleanest CRD and EAA structures in EU e-commerce. Zalando publishes a dedicated accessibility statement, covers every CRD Article 6 disclosure in its T&Cs, and renders VAT-inclusive pricing across 15 EU languages. Here is what your storefront can copy.

4 Jun 2026·5 min read
Merchant Playbook

What Apple.de gets right: a teardown of its 14-day withdrawal disclosure

We scanned apple.com/de and the German storefront satisfies the Consumer Rights Directive disclosures most cleanly. Here is how Apple presents the 14-day withdrawal right, the model withdrawal form, and the trader identity, and what smaller stores can copy.

4 Jun 2026·5 min read
Merchant Playbook

Germany e-commerce compliance checklist before paid ads (Verbraucherzentrale-proof)

Germany has the most active enforcement of GDPR, ePrivacy, and UCPD in the EU. Before pointing Meta and Google spend at German traffic, run through this seven-item list. It catches the violations consumer associations file abmahnungen on most often.

4 Jun 2026·5 min read
Dark Patterns

UCPD dark patterns: confirmshaming, drip pricing, and forced action

Dark patterns map cleanly to specific UCPD articles. Here is the operational version: four patterns, the article they breach, and the enforcement decisions regulators have already issued.

4 Jun 2026·5 min read
Regulation

European Accessibility Act for e-commerce: what WCAG 2.1 AA requires

Directive 2019/882, the European Accessibility Act, became enforceable on 28 June 2025. For e-commerce, it incorporates WCAG 2.1 Level AA. Here is what that means for product pages, checkout, account flows, and which storefronts are exempt.

4 Jun 2026·6 min read
Platform Gotchas

Klaviyo, Mailchimp, and the pre-ticked box problem at checkout

GDPR Article 4(11) requires unambiguous, affirmative consent. A pre-ticked email opt-in at checkout fails that test. Here is how the default flow looks in two common stacks, recent enforcement, and the two configurations that work.

4 Jun 2026·5 min read
DPA Enforcement

CNIL Google Analytics decisions: what they mean for an EU storefront in 2026

France's CNIL ruled in February 2022 that Google Analytics, as deployed by most operators, breached GDPR Chapter V. The July 2023 EU-US Data Privacy Framework changed the transfer mechanism but did not solve every issue. Here is the 2026 view: what a defensible GA4 install on an EU storefront actually looks like.

4 Jun 2026·6 min read
Regulation

GDPR Article 13 checklist: the disclosures most privacy policies miss

Article 13 of GDPR lists the information a controller must provide at the point of data collection. It is more specific than "have a privacy policy." Here is the full checklist, with the four disclosures most storefronts miss.

4 Jun 2026·6 min read
Dark Patterns

Are countdown timers illegal in the EU? UCPD Annex I, explained

If a product countdown timer resets when the page reloads, the urgency it advertises is false. UCPD Annex I point 7 lists false impressions of limited availability as a blacklisted practice. Intent is not required.

4 Jun 2026·4 min read
Platform Gotchas

Shopify Meta Pixel GDPR: why a default install often fires before consent

Shopify's Meta channel injects Meta Pixel through the web pixel manager. The manager respects the Customer Privacy API only if you have enabled it. If the API is off, every visitor is treated as consented and Meta Pixel fires on the first pageview. Here is what to enable and what to verify.

4 Jun 2026·5 min read
DPA Enforcement

Pre-consent tracking GDPR fines: what DPAs are issuing in 2024 and 2025

Google Analytics, Meta Pixel, and TikTok pixel firing before a visitor accepts cookies is the single most-fined GDPR violation pattern in the EU. Here are the recent decisions with amounts, what regulators specifically cite, and the one-minute DevTools check that confirms whether your store is exposed.

4 Jun 2026·6 min read
Regulation

Omnibus Directive 30-day rule (Article 6a) explained for e-commerce

The Omnibus Directive's Article 6a requires every discounted product to display the lowest price from the 30 days before the sale began. Here is what the rule says, who enforces it, and where it breaks on Shopify and WooCommerce stores.

4 Jun 2026·5 min read

Sie möchten wissen, welche dieser Punkte für Ihren Shop gelten?

Kostenloser Basis-Scan. Keine Installation. Keine Kreditkarte.

Kostenlosen Scan starten