Welches Tool passt wirklich zu eurem Geschäftsmodell?

Das Barrierefreiheitsstärkungsgesetz (BFSG) gilt in Deutschland seit dem 28. Juni 2025. Mehr zu dem Thema lesen Sie im Blogbeitrag Warum Unternehmen noch heute beginnen sollten, ihre Website auf Barrierefreiheit zu prüfen.
Seitdem steigt die Nachfrage nach barrierefreien Websites – und der Markt an Tools wächst genauso schnell. Wer heute „Accessibility-Software für Web-Agenturen“ sucht, findet schnell zahlreiche Tools, die alle gut klingen – aber strukturell sehr unterschiedlich aufgestellt sind.

Ohne Softwareunterstützung geht es also nicht mehr – aber welches Barrierefreiheit Test-Tools macht in eurer Agentur tatsächlich Sinn? Das hängt von der Frage ab: Was wollt ihr eigentlich anbieten?

Wir haben fünf relevante Anbieter systematisch verglichen: decareto, IFDB, sitebrunch, Eye-Able und Silktide. Keine Werbung, keine Affiliate-Links – nur eine ehrliche Einschätzung, wer für welches Agenturmodell passt.

Erst die Frage, dann das Tool

Bevor ihr euch für ein Tool entscheidet, lohnt es sich, drei Fragen intern zu klären:

1. Was verkauft ihr – Audits oder Behebung? Geht es euch darum, Barrierefreiheitsprüfungen als Leistung anzubieten und zu dokumentieren? Oder wollt ihr auch die operative Umsetzung im Team steuern?

2. Viele kleine Kunden oder wenige komplexe Projekte? Ein Freelancer mit 30 KMU-Mandanten braucht etwas anderes als eine Agentur mit drei Enterprise-Accounts im öffentlichen Sektor.

3. Soll das Tool intern produktiver machen, oder ist es ein Kundenprodukt? White-Label-Fähigkeit, eigene Domains und automatisierter Reportversand sind nur dann relevant, wenn ihr Barrierefreiheit als Managed Service vermarkten wollt.

Die fünf besten Anbieter von Accessibility Software auf einen Blick

decareto – Compliance-Plattform mit Datenschutz-Kombination

decareto ist aus der Datenschutzwelt gewachsen und denkt Barrierefreiheit konsequent von dort aus weiter. Die Plattform verbindet DSGVO-Check, Datenschutzgenerator und Barrierefreiheitsprüfung auf einer Oberfläche – und ist damit eine der wenigen Lösungen, die Datenschutz und Accessibility wirklich aus einem Guss anbietet.

Was decareto im Vergleich besonders hervorhebt

decareto scannt softwarebasiert vollständige Websites inklusive aller Unterseiten – und das auch hinter Passwortschutz und Consent-Bannern nach WCAG & BITV-Kriterien. Für Agenturen, die Kunden mit komplexen Site-Strukturen betreuen, ist das ein entscheidender Unterschied gegenüber Tools, die nur Stichproben liefern. Zudementhält der Report priorisierte Handlungsempfehlungen mit klarem Arbeitsauftrag für die Umsetzung.

Die White-Label-Plattform ist ein echtes Agenturmodell: Reports lassen sich mit eigenem Logo erstellen, auf Custom-Domains teilen und automatisiert an Kunden versenden. Wer Barrierefreiheit und Datenschutz gemeinsam als Compliance-Paket vermarkten möchte, findet hier ein stimmiges Gesamtangebot – DSGVO-Check, Datenschutzgenerator und Barrierefreiheitsprüfung auf einer Plattform.

Dazu kommt ein Preismodell, das im Vergleich heraussticht: White-Label-Reporting, Custom-Domains, API, SSO und Multi-Site-Monitoring – ab 34 € pro Monat für fünf Websites, in höheren Tarifen schon ab 3 € pro Website und Monat. Vergleichbare Funktionen kosten bei Enterprise-orientierten Anbietern ein Vielfaches oder sind schlicht nicht öffentlich bepreist.

Passt gut für: Agenturen und Datenschutzbeauftragte, die Barrierefreiheit und Datenschutz aus einer Hand anbieten wollen; skalierbare White-Label-Audits mit wiederkehrendem Monitoring; alle, die Enterprise-Qualität ohne Enterprise-Budget brauchen.

IFDB – Zertifizierung und rechtliche Absicherung

IFDB denkt Barrierefreiheit vom Compliance-Nachweis aus. Die Access Suite bündelt automatischen Erstscan, manuelles Audit mit echten Nutzern und assistiven Technologien, PDF-Remediation, Echtzeit-Monitoring und – was die anderen nicht bieten – einen vertraglichen Abmahnschutz. Zudem wird ein Partnerprogramm mit kompletter Barrierefreiheit-Beratung angeboten.

Referenzrahmen sind WCAG 2.2, BITV 2.0 und PDF/UA. Für Agenturen, die Kunden im öffentlichen Sektor oder stark regulierten Branchen betreuen, ist das ein relevanter Unterschied. Die Preisgestaltung ist modular und individuell – keine öffentliche Preisliste, was die Kalkulation erschwert, aber für große Projekte kein Ausschlusskriterium ist.

Passt gut für: Agenturen, die als Outsourcing-Partner für regulierte Mandaten tätig sind, mit formalen Nachweispflichten oder Bedarf an PDF-Prüfung und Zertifizierung.

sitebrunch – Operativer Team-Workflow

sitebrunch ist besonders stark dort, wo mehrere Personen an der Umsetzung von Barrierefreiheit beteiligt sind. Kommentare direkt auf der Website, Aufgabenzuweisung, Exports in Jira, Notion und Asana sowie geführte manuelle Prüfungen mit 96 Prüfschritten machen es zum stärksten Tool für Delivery-Teams.

Hinzu kommen sehr günstige Einstiegspreise – Free bis 149 €/Monat für Agenturen – und ein MCP-Server für KI-gestützte Umsetzungsworkflows. White-Label-Optionen sind in höheren Plänen enthalten. PDF-Prüfung nach PDF/UA und WCAG ist ebenfalls an Bord.

Passt gut für: Agenturen, die Accessibility intern als Teamaufgabe organisieren und Ergebnisse direkt in bestehende PM-Workflows übergeben wollen.

Eye-Able – Breitestes operatives Spektrum

Eye-Able deckt den größten Funktionsumfang ab, wenn es um den operativen Alltag geht: Assist-Widget für Endnutzer, KI-gestützte Fehlerbehebung für 26 Fehlertypen, einfache Sprache, Übersetzungen, PDF-Prüfung, Jira-Verknüpfung und manuelle Tests mit Betroffenen. Geprüft wird gegen WCAG, EN 301 549, BITV/BFSG und weitere nationale Standards.

Das macht Eye-Able besonders interessant für Agenturen, die ihren Kunden nicht nur Audits, sondern echte Nutzerunterstützung und Umsetzungsbegleitung mitverkaufen möchten. Preise sind nicht öffentlich – 14 Tage Testphase gibt es kostenlos.

Passt gut für: Agenturen mit Enterprise-Kunden und Fokus auf Umsetzung, Assistenzfunktionen und Content-/Language-Layer als Teil des Angebots.

Silktide – Website Governance über Accessibility hinaus

Silktide ist die breiteste Plattform im Vergleich und geht weit über Barrierefreiheit hinaus: Accessibility, Content-Qualität, UX, Privacy/GDPR und Analytics laufen auf einer gemeinsamen Oberfläche. CMS-Integrationen ermöglichen automatische Retests nach Änderungen; KI liefert kontextbezogene Verbesserungsvorschläge.

Für Agenturen, die Accessibility als Teil einer umfassenderen Website-Qualitätsstrategie positionieren wollen – und deren Kunden große, heterogene Web-Bestände managen – ist Silktide das leistungsstärkste Werkzeug. Preise sind individuell, die meisten Verträge laufen mindestens 12 Monate.

Passt gut für: Enterprise-Governance, große Multi-Site-Bestände, Agenturen mit Qualitätsmanagement-Anspruch über Accessibility hinaus.

So evaluiert ihr ein Barrierefreiheit Test-Tool

Ihr interessiert euch für ein bestimmtes Tool? Dann testet nicht nur den Scanner. Testet den Report und den Workflow dahinter. Nur so könnt ihr herausfinden, ob das Tool im Agentur-Alltag bestehen kann.

• Können Reports direkt an Kunden gesendet oder weitergegeben werden – im eigenen Branding?
• Lassen sich Ergebnisse sinnvoll und verständlich an Entwickler oder Projektmanager übergeben?
• Wie gut ist die Trefferqualität bei realen Kundenprojekten?
• Reicht automatisches Monitoring, oder braucht ihr geführte manuelle Prüfungen oder Tests mit Betroffenen?

Entscheidungshilfe: Welches Szenario passt zu euch?

Die größten Fehlentscheidungen bei der Tool-Auswahl entstehen, wenn Agenturen nur die Scan-Demo sehen – und nicht überprüfen, ob das Ergebnis in ihrem Kundengespräch, in der Entwickler-Übergabe und im Reporting wirklich funktioniert.

Fazit

Es gibt kein Barrierefreiheit Test-Tool, das für jede Agentur das richtige ist. Wer Barrierefreiheit als White-Label-Compliance-Produkt mit Datenschutzbezug skalieren will, findet in decareto ein stimmiges Modell – zumal die Kombination aus vollständigem Domain-Scan, WCAG/BITV/BFSG-Prüfung und priorisierten Handlungsempfehlungen zu einem Preis ab 3 € pro Website und Monat im Markt so kein zweites Mal zu finden ist. Wer regulierte Kunden und formale Nachweise braucht, ist bei IFDB besser aufgehoben. Wer vor allem Delivery-Teams steuert, kommt mit sitebrunch schneller ans Ziel. Wer Umsetzung, Assistenz und Language-Layer mitverkauft, sollte Eye-Able ausprobieren. Und wer Website-Governance als Gesamtstrategie denkt, ist bei Silktide am breitesten aufgestellt.

Die entscheidende Frage ist nicht: Welches Tool hat die längste Feature-Liste? Sondern: Welches passt zu dem, was ihr euren Kunden wirklich verkaufen wollt?

Datenschutzerklärungen altern im Hintergrund

Websites verändern sich ständig: Ein neues Tracking-Tool wird eingebunden, ein Tag Manager erweitert, ein YouTube-Video ergänzt, ein Kontaktformular angepasst oder ein externer Dienst entfernt. Dadurch verändert sich auch, welche personenbezogenen Daten verarbeitet werden, welche Dienste aktiv sind und welche Informationen Website-Besucher erhalten müssen.

Viele Datenschutzerklärungen werden einmal erstellt und danach nur unregelmäßig geprüft. Genau dort entstehen Lücken. Für Datenschutzbeauftragte, Agenturen und Compliance-Teams stellen sich regelmäßig dieselben Fragen:

• Welche externen Dienste sind aktuell auf der Website aktiv?
• Welche Cookies und Skripte werden geladen?
• Welche Dienste fehlen in der Datenschutzerklärung?
• Welche Textpassagen sind veraltet?
• Welche Inhalte müssen vor Veröffentlichung geprüft werden?
• Wie lassen sich mehrere Websites, Mandanten oder Sprachversionen effizient verwalten?

Während sich die Website weiterentwickelt, bleibt der Datenschutztext oft statisch. Genau dadurch entstehen Lücken.

Wie ein softwarebasierter Datenschutzgenerator für mehr Klarheit sorgt

Eine Datenschutzerklärung muss zur tatsächlichen Datenverarbeitung auf der Website passen. Genau hier setzt der decareto Datenschutzgenerator an: Er erstellt Datenschutztexte nicht losgelöst von der Website, sondern auf Basis automatisierter Website-Scans und der dabei erkannten Dienste.

Aus dem Website-Scan entsteht ein kontrollierter Prozess für die Erstellung, Prüfung und laufende Pflege von Datenschutztexten. Für erkannte Dienste schlägt der Datenschutzgenerator passende Textvorlagen vor. Neue, geänderte oder weggefallene Dienste werden sichtbar, bevor Anpassungen veröffentlicht werden.

Der Ablauf ist klar strukturiert:

1. Website scannen: Erkennt automatisch eingesetzte Dienste, Cookies, Skripte und externe Anbieter.

2. Gefundene Dienste übernehmen: Die im Scan erkannten Dienste werden direkt in den Datenschutzgenerator übernommen. 

3. Passende Vorlagen auswählen: Für erkannte Dienste gibt es Textbausteine. Zusätzlich können eigene Vorlagen erstellt oder bestehende Texte angepasst werden.

4. Änderungen prüfen und freigeben: Neue oder weggefallene Dienste werden sichtbar gemacht. Die vorgeschlagenen Änderungen werden manuell freigegeben.

5. Datenschutzerklärung veröffentlichen: Nach der Freigabe kann die Datenschutzerklärung veröffentlicht werden – per Export oder HTML-Snippet. 

Damit werden Datenschutztexte nicht nur einmalig erstellt, sondern dauerhaft nachvollziehbar, kontrolliert und mehrsprachig gepflegt.

Das ist besonders relevant, wenn regelmäßig neue Tools eingebunden werden, mehrere Websites betreut werden, Mandanten unterschiedliche Dienste nutzen oder interne Freigabeprozesse erforderlich sind. Auch bei mehreren Sprachversionen sorgt der Datenschutzgenerator dafür, dass Inhalte konsistent und aktuell bleiben.

Der eigentliche Mehrwert liegt damit nicht allein in der schnellen Erstellung einer Datenschutzerklärung. Entscheidend ist die laufende Pflege: Datenschutzverantwortliche behalten die Kontrolle über Inhalte, Versionen, Freigaben und Veröffentlichungen – und können Datenschutztexte zuverlässig an die tatsächliche Datenverarbeitung auf der Website anpassen.

Mehrsprachige Datenschutzerklärungen in 24 Sprachen erstellen

Mit dem Datenschutzgenerator lassen sich Datenschutzerklärungen in 24 Sprachen erstellen, verwalten und regelmäßig aktualisieren. 

Besonders praktisch: Sprachversionen können per Knopfdruck erstellt und zentral gepflegt werden. Dabei lassen sich sowohl decareto-Vorlagen als auch eigene Datenschutztexte und individuelle Vorlagen automatisiert übersetzen.

Das spart vor allem dort Zeit, wo Datenschutzerklärungen regelmäßig angepasst und in mehreren Sprachversionen bereitgestellt werden müssen. Gerade bei internationalen Websites zeigt sich der Nutzen deutlich: Neue Dienste werden nicht nur im Haupttext ergänzt, sondern auch zuverlässig in den relevanten Sprachversionen übernommen.

Besonders bei mehreren Websites, Mandanten oder Sprachversionen sorgt ein zentraler Datenschutzgenerator für mehr Übersicht, Konsistenz und Sicherheit im gesamten Pflegeprozess.

300+ Textvorlagen auf Deutsch und Englisch

decareto stellt mehr als 300 Textvorlagen auf Deutsch und Englisch bereit. Diese Vorlagen helfen dabei, Datenschutztexte schneller aufzubauen und einheitlich zu pflegen.

Zusätzlich können eigene Texte und Vorlagen im Tool hinterlegt und übersetzt werden. Das ist wichtig für Teams, die eigene Standards, mandantenspezifische Formulierungen oder interne Freigabeprozesse nutzen.

So behalten Datenschutz-Teams die Kontrolle über:

• Formulierungen
• Sprachversionen
• Textbausteine
• Freigaben
• Aktualisierungen
• Mandantenspezifische Inhalte

Vorteile auf einen Blick

Der decareto Datenschutzgenerator unterstützt nicht nur bei der Erstellung, sondern auch bei der Verwaltung, Prüfung und Aktualisierung von Datenschutztexten.

Die wichtigsten Vorteile:

• Aktuelle Datenschutzerklärungen: Erkannte Dienste aus Website-Scans als Grundlage nutzen
• 300+ Vorlagen: Sowohl decareto-Vorlagen und als auch eigene Datenschutz-Texte und -Vorlagen können verwendet und übersetzt werden.
• 24 Sprachen per Knopfdruck: Datenschutzerklärungen einfacher international bereitstellen
• Konsistente Texte: Einheitliche Struktur über Websites, Mandanten und Sprachen hinweg
• Mehr Kontrolle: Änderungen werden geprüft und nach Freigabe veröffentlicht
• Ideal für Teams: Besonders geeignet für Datenschutzbeauftragte, Agenturen und Compliance-Teams, die auf der decareto Plattform zusammenarbeiten.

Für wen eignet sich der decareto Datenschutzgenerator?

Er eignet sich besonders für Organisationen, die Datenschutzerklärungen nicht nur einmalig erstellen, sondern dauerhaft pflegen müssen.

• Datenschutzbeauftragte
• Datenschutzberatungen
• Web-Agenturen
• Compliance-Teams
• Unternehmen mit mehreren Websites
• Internationale Organisationen
• Kanzleien mit wiederkehrenden Website-Prüfungen
• Teams mit mehreren Mandanten oder Sprachversionen

Fazit: Datenschutzerklärungen müssen mit der Website mitwachsen

Websites sind dynamisch. Datenschutztexte sollten es auch sein. Der decareto Datenschutz-Generator hilft dabei, Datenschutzerklärungen auf Basis tatsächlicher Website-Scans zu erstellen, erkannte Dienste zu übernehmen, passende Vorlagen zu nutzen, Änderungen zu prüfen und Texte kontrolliert zu veröffentlichen.

Mit der zusätzlichen Übersetzung in 24 Sprachen wird das Tool besonders interessant für internationale Websites, Agenturen, Datenschutzbeauftragte und Compliance-Teams.

Der größte Mehrwert entsteht dort, wo Datenschutztexte regelmäßig geprüft, aktualisiert, übersetzt und nachvollziehbar verwaltet werden müssen.

Ein guter Datenschutzgenerator erstellt nicht nur Texte. Er sorgt dafür, dass Datenschutzerklärungen mit der Website mitwachsen.

Warum klassische Datenschutzerklärungen heute nicht mehr ausreichen

Eine Datenschutzerklärung ist schnell erstellt. Doch sie ist immer nur so aktuell wie der Tag, an dem sie erstellt wurde.
In der Praxis entstehen Datenschutzrisiken oft nicht durch fehlendes Know-how oder Bewusstsein, sondern durch operative Änderungen im Website-Alltag:

• Marketing testet ein neues Analyse-Tool
• Eine Agentur bindet ein Plugin ein
• Ein externer Dienst lädt zusätzliche Skripte nach
• Ein Cookie wird gesetzt, ohne dass der Text angepasst wurde
• Ein alter Dienst wurde entfernt, steht aber weiterhin in der Datenschutzerklärung
• Ein neuer Dienst ist aktiv, taucht im Datenschutztext aber noch nicht auf

Die zentrale Frage lautet deshalb:

„Passt unsere Datenschutzerklärung noch zu dem, was auf der Website tatsächlich passiert?“

Mit decareto halten Sie Datenschutzerklärungen stets aktuell

Der Datenschutz-Generator übernimmt erkannte Dienste softwarebasiert aus Website-Scans, erkennt relevante Dienste und zeigt, welche Inhalte bereits abgedeckt sind oder ergänzt werden müssen. Sie müssen dadurch nicht mehr jeden Dienst manuell recherchieren oder einzelne Textbausteine zusammensuchen. Das spart Zeit und reduziert mögliche Fehlerquellen.

Der Datenschutz-Generator-Workflow

1. Website scannen

Das Datenschutz-Modul scannt die Website und erkennt eingesetzte Dienste automatisch, zum Beispiel Analytics-Tools, Tag Manager, YouTube-Einbindungen oder weitere externe Services. Eine manuelle Recherche entfällt in der Regel.

2. Datenschutzerklärung anlegen

Die gefundenen Dienste werden in den Datenschutz-Generator übernommen. Für jeden Dienst wird aus mehr als 300 Vorlagen der passende Textbaustein vorgeschlagen und kann direkt verwendet werden. Die Vorlagen können bearbeitet, individuell angepasst und als eigene Vorlagen gespeichert werden.

3. Standardinhalte ergänzen

Neben den erkannten Diensten braucht die Datenschutzerklärung allgemeine Inhalte, etwa:

• Verantwortlicher
• Datenschutzbeauftragter
• Betroffenenrechte
• Cookies
• Kontaktformular
• allgemeine Hinweise zur Datenverarbeitung
• …

Diese Inhalte können über Vorlagen und Gruppierungen vorbereitet werden, lassen sich bearbeite und abspeichern.

4. Änderungen prüfen

Wenn decareto einen neuen Dienst erkennt, erhalten Sie einen Hinweis, dass dieser noch nicht in der Datenschutzerklärung berücksichtigt ist. Datenschutzbeauftragte können den Dienst direkt prüfen und bei Bedarf per Drag-and-Drop ergänzen.

Auch nicht mehr verwendete Dienste werden automatisch erkannt, sodass veraltete Passagen gezielt entfernt werden können. So bleibt Ihre Datenschutzerklärung stets auf dem aktuellen Stand und entspricht den tatsächlich eingesetzten Diensten.

5. Änderungen veröffentlichen

Änderungen in Datenschutz-Text werden nicht automatisch veröffentlicht, sondern bleiben prüfbar. Neue Inhalte erscheinen erst nach aktiver Veröffentlichung. Dadurch verbindet decareto Automatisierung mit fachlicher Kontrolle.

Für die Veröffentlichung der Datenschutzerklärung bietet decareto zwei Wege, die sich flexibel an unterschiedliche Prozesse anpassen.

Export für Abstimmung und Umsetzung

In vielen Organisationen endet die Arbeit des Datenschutzteams nicht direkt im CMS. Texte müssen an Mandanten, Agenturen, Webteams oder interne Stakeholder weitergegeben werden.

Dafür eignet sich der Export des Datenschutztextes als Word-Datei. Die Datenschutzerklärung kann abgestimmt, geprüft und anschließend in den bestehenden Veröffentlichungsprozess übergeben werden.

HTML-Snippet für zentrale Pflege

Alternativ kann ein HTML-Snippet auf der Datenschutzseite eingebunden werden. Die Inhalte werden nach Freigabe über decareto bereitgestellt und passen sich an das Website-Design an.

Änderungen müssen nicht jedes Mal manuell im CMS nachgebaut werden. Die Datenschutzerklärung wird zentral gepflegt, während die Veröffentlichung kontrolliert bleibt.

Für eine zuverlässige Verfügbarkeit werden die Daten redundant auf hochverfügbaren Servern gespeichert. So bleibt die Datenschutzerklärung stabil erreichbar und optimal gegen Ausfälle abgesichert.

Warum der decareto Datenschutz-Generator besonders für Profis relevant ist

Der decareto Datenschutz-Generator richtet sich weniger an Website-Betreiber, die einmalig einen Text erzeugen möchten. Der größere Nutzen liegt bei Datenschutzbeauftragten, Agenturen und Compliance-Teams, die regelmäßig Websites betreuen.

Besonders hilfreich ist decareto, wenn:

• Mehrere Websites betreut werden
• Mandanten unterschiedliche Textstandards haben
• Änderungen nachvollziehbar geprüft werden müssen
• Datenschutztexte regelmäßig aktualisiert werden sollen
• Website-Scans ohnehin Bestandteil des Datenschutzprozesses sind

Fazit: Datenschutztexte müssen mit der Website mitwachsen

Der decareto Datenschutz-Generator ist vor allem für Datenschutzbeauftragte, Agenturen und Compliance-Teams interessant, die Datenschutzerklärungen nicht nur erstellen, sondern dauerhaft aktuell halten müssen.

Der größte Nutzen liegt in der Kombination aus Website-Scan, Vorlagen, Monitoring und kontrollierter Veröffentlichung. Dadurch wird der Pflegeprozess effizienter, nachvollziehbarer und besser steuerbar.

Das bedeutet: weniger manuelle Routinearbeit, mehr Transparenz über eingesetzte Dienste und ein kontrollierter Prozess zur Aktualisierung von Datenschutztexten.

Das Ergebnis: weniger Routinearbeit, mehr Transparenz und eine Datenschutzerklärung, die näher an der tatsächlichen Website-Nutzung bleibt.

Möchten Sie mehr darüber erfahren, wie decareto Sie unterstützen kann Websites DSGVO-konform zu optimieren?

Buchen Sie eine Demo oder testen Sie decareto 14 Tage kostenlos.

Download: Ihr kompletter Datenschutz Technik-Guide

Wie Sie mit Bordmitteln Datenschutzlücken auf den Websites Ihrer Kunden zuverlässig identifizieren.

Jetzt herunterladen

Warum ist Tastaturbedienbarkeit wichtig für Barrierefreiheit?

Tastaturzugänglichkeit ist aus mehreren Gründen notwendig:

• Personen mit Tremor, Muskelschwäche, eingeschränkter Fein­motorik oder einhändiger Nutzung können eine Maus nicht oder nur unter Schmerzen bedienen.
• Blinde und stark sehbehinderte Nutzer:innen navigieren überwiegend mit Screenreadern. Diese Assistenz­software koppelt ihre Kurzbefehle (Tab, Pfeil­navigation, Schnell­sprung­tasten u. a.) direkt an die Tastatur. Ohne wohldefinierten Fokus und steuer­bare Komponenten bleiben Inhalte für sie schlicht unerreichbar.
• Sprach­steuerung (Dragon NaturallySpeaking, Windows Spracherkennung) und Mund-/Augen­steuerungen „tun so, als ob“ sie Tastatur­befehle senden. Erst wenn eine Seite vollständig über Tasten bedienbar ist, funktioniert sie auch mit diesen Technologien.

Die Tastaturzugänglichkeit ist eng verbunden mit dem „Fokus-Indikator“ des ausgewählten Elements. Der Fokus kennzeichnet das aktuell aktive Element auf der Seite, und um es leicht erkennen zu können muss es deutlich hervorgehoben werden. In den beiden folgenden Beispielen wird es durch eine Umrandung bzw. eine Hintergrundfarbe genennzeichnet:

Es ist aus den folgenden Gründen wichtig, dass der Fokus deutlich hervorgehoben werden muss:

• Der sichtbare Fokus zeigt, wo sich die BenutzerIn gerade befindet. Ohne diese Rück­meldung wüsste man beim Navigieren mit der Tab-Taste (s.u.) nicht, welches Element als Nächstes aktiviert wird – das führt zu Verwirrung, Fehleingaben oder gar Abbruch der Interaktion.
• Tastaturereignisse (Enter, Leertaste, Pfeile, ESC …) wirken immer nur auf das aktuell fokussierte Element. Ist kein Fokus vorhanden – oder „steckt“ er im falschen Bereich – funktionieren Interaktionen schlicht nicht.
• Screenreader koppeln ihre Ausgabe an den Fokus. Wenn der Fokus springt, liest der Screenreader den neuen Kontext. Ein fehlender oder unsichtbarer Fokus macht Inhalte für blinde NutzerInnen praktisch unauffindbar.

Welche WCAG-Kriterien beziehen sich auf Tastaturbedienbarkeit?

Anforderungen an barrierefreie Websites werden im international verbreiteten Standard „Web Content Accessibility Guidelines“ spezifiziert. Er liegt in mehreren Versionen vor (aktuell ist Version 2.2) sowie mehreren „Konformitäts-Niveaus“ (von A bis AAA). Die Anforderungen sind in 86 sog. „Success Criteria“ beschrieben, die folgende Tabelle zeigt auf, welche davon die relevanten Kriterien für Tastaturbedienbarkeit sind.

Mit diesen Schritten testen Sie Websites auf Tastaturbedienbarkeit

Führen Sie einen automatischen Test durch

Automatisierte Test-Tools wie decareto können einige problematische Aspekte identifizieren, die verhindern dass eine Website nicht tastaturzugänglich ist:

• Fehlendes HTML-Attribut tabindex="-1" bei interaktivem Element (dies wird benötigt um den Fokus in einem normalerweise ausgeblendeten Element, etwa einen Dialog-Popup, zu gewährleisten).
• Fehlender oder ausgelöschter Fokus, etwa wenn in einer Website der Fokus-Indikator aus gestalterischen Gründen absichtlich unterdrückt wird.

Die Mehrzahl der Probleme mit Tastaturbedienbarkeit erfordern allerdings manuelles Testing, diese werden in den nächsten Abschnitten beschrieben.

Existiert ein Link zum Hauptinhalt?

Öffnen Sie die Seite und klicken Sie ein bis zweimal die Tab-Taste. Springt der Fokus zuerst auf einen sichtbaren „Zum Inhalt“-Link? (WCAG 2.4.1).

Negativbeispiel: Der Seitentitel bekommt den Fokus, aber es ist kein Überspring-Link vorhanden.

Navigieren Sie mit der Tab-Taste

Klicken Sie Tab und Shift-Tab um vorwärts oder rückwärts zu navigieren. Ist erkennbar, welches Element den Fokus hat, und folgt die Reihenfolge der natürlichen Lese-Logik? Wird nichts Wesentliches übersprungen (WCAG 2.4.3)?

Negativbeispiel: Der Fokus springt aus der Haupt­navigation direkt in den Footer.

Prüfen Sie den Fokus-Indikator

Beobachten Sie, wie der Fokus kenntlich gemacht wird. Ist er gut erkennbar? Der Indikator sollte eine mindestens 2 px breite Linie oder Fläche mit 3:1-Kontrast sein (WCAG 2.4.7 & WCAG 2.4.11). Die beiden Screenshots ganz oben auf der Seite zeigen dies anschaulich.

Negativbeispiel: Der Indikator ist nur eine hauchdünne, graue Outline oder auf dunklem Hintergrund unsichtbar.

Ausklappbare Menüs

Wenn die Website eine Navigation hat, die aufklappbar ist (durch Klick oder durch „Hover“, also Überfahren mit der Maus), dann müssen diese Menüs mit der Tastaur zu öffnen sein.

Identifzieren Sie alle Navigationselemente auf der Seite, die durch Hover oder Klick ein Menü öffnen. Gehen Sie mit Tab auf jeden Menüpunkt und versuchen Sie ihn durch Enter oder Pfeil-runter / Pfeil-hoch zu öffnen. Bleibt der Fokus im geöffneten Menü? Lässt es sich mit Esc schließen? (WCAG 1.4.13, WCAG 2.1.1)

Negativbeispiel: Das Submenü erscheint nur mit Maus-Hover, man kann es über die Tastatur nicht öffnen oder schließen.

Prüfen Sie Formulare

Barrierefreie Formulare können fogendermaßen mit der Tastatur bedient werden:

• Wechseln zwischen den Formularelementen mit Tab und Shift-Tab
• Auswahl von Radiobuttons mit Pfeil-runter / Pfeil-hoch
• Auswahl einer Checkbox mit Space
• Durchlaufen von Dropdown-Optionen mit Pfeil-runter / Pfeil-hoch
• Bestätigen einer Dropdown-Auswahl mit Enter
• Schließen eines geöffneten Dropdowns mit Esc
• Absenden des Formulars mit Enter

Prüfen Sie, ob alle Formulare auf diese Weise bedienbar sind (WCAG 2.1.1)

Prüfen Sie Dialoge und Popups

Identifizieren Sie alle Dialoge die als Popup geöffnet werden und sich vor den Hintergrud legen. Sie müssen mit der Tastatur geöffnet und geschlossen werden können. Innerhalb eines geöffneten Dialogs muss es möglich sein, alle Elemente mit Tab zu erreichen.

• Kann der Dialog mit Enter geöffnet werden?
• Kann er mit Esc geschlossen werden?
• Springt der Fokus beim Öffnen in den Dialog?
• Beim mehrfachen Benutzen von Tab muss der Fokus im Dialog „gefangen“ sein.
• Geht der Fokus nach dem Schließen ordnungsgemäß zurück?

Negativbeispiel: In einem Dialog darf der Fokus beim Verwenden von Tab nicht plötzlich zur Seite wechseln oder gar zu Elementen die hinter dem Dialog liegen.

Prüfen Sie Drag-and-Drop-Aktionen

Drag-and-drop wird gelegentlich verwendet, um bspw. Listen umzusortieren. Für Bedienung mit der Tastatur muss es dazu eine Alternative geben, mit der bspw. ein Element ausgewählt werden kann, und die Sortierung durch Elemente für „nach oben“ und „nach unten“ durchgeführt wird (WCAG 2.5.7)

Für Datenschutzverantwortliche sind jedoch die Mittel, eine Website im Rahmen eines Audits auf Sicherheitslücken zu untersuchen, begrenzt- sofern man nicht im Zweitberuf Experte für Cyber-Sicherheit ist und weiß, wie man einen Penetration-Test durchführt.

Einen wichtigen Aspekt der Website-Sicherheit beschreiben wir in diesem Beitrag, und zwar die sogenannte Transportverschlüsselung, die besonders im Zusammenhang mit Web-Formularen relevant ist. Diese ist überraschend häufig nur lückenhaft umgesetzt, obwohl derartige Schwachstellen leicht zu identifizieren sind. Hier erfahren Sie, wie man die Transportverschlüsselung überprüfen kann.

Was ist Transportverschlüsselung?

Wenn man Transportverschlüsselung meint, sagt man umgangssprachlich immer noch sehr häufig „SSL“, das Akronym für Secure Socket Layer. Gemeint ist damit, dass der Datenverkehr zwischen Browser und Webserver so verschlüsselt wird, dass kein Dritter den Datenverkehr abhören kann.

Diese Bedenken sind berechtigt – das Internet ist durch seine dezentrale Architektur so ausgelegt, dass Datenpakete oft eine Vielzahl von Servern passieren, bevor sie Ihr Ziel erreichen. Dies machen sich Geheimdienste zunutze, die die Betreiber der großen Internetknoten verpflichten, ihnen Vollzugriff zu gewähren.

Das erste Protokoll zur Verschlüsselung von Daten im Web war das besagte SSL, es wurde 1994 von Netscape entwickelt. Auf diese Version 1.0 folgten SSL 2.0 und SSL 3.0, anschließend wurde das Akronym TLS (Transport Layer Security) für verbesserte Verfahren verwendet, mit den Versionen TLS 1.0 bis TLS 1.3. Es sollten mittlerweile nur noch die Verfahren TLS 1.2 und 1.3 eingesetzt werden, weil alle anderen als veraltet und nicht mehr sicher genug gelten.

Die Funktionsweise hat sich seit 1994 allerdings nicht grundsätzlich verändert. Sie sieht sehr stark vereinfacht wie folgt aus:

1. Der Webserver stellt dem Browser ein digitales Zertifikat zur Verfügung. Dieses wurde von einer unabhängigen Stelle ausgestellt und beweist die Identität des Servers – damit wird verhindert, dass ein Angreifer sich sozusagen vor den Webserver stellt, sich für ihn ausgibt, und die Kommunikation abfängt.
2. Das Zertifikat enthält zusätzlich einen sogenannten Öffentlichen Schlüssel für ein asymmetrisches Verschlüsselungsverfahren. Das bedeutet: der Browser kann mit dem öffentlich bekannten Schlüssel eine Nachricht verschlüsseln, die aber nur der Webserver entschlüsseln kann.
3. Browser und Server verständigen sich außerdem darüber, welche Verfahren im Detail für die Verschlüsselung verwendet werden.

Schwachstellen rund um Transportverschlüsselung

Für eine sichere Transportverschlüsselung muss ein Websitebetreiber nicht nur ein vertrauenswürdiges TLS-Zertifikat bereitstellen, zusätzlich muss der Webserver korrekt konfiguriert werden – im Business-Kontext typischerweise die Aufgabe eines Providers oder IT-Dienstleisters. Die folgenden Fehler sollten vermieden werden, auch weil sie leicht durch Dritte erkennbar sind:

Unverschlüsselter Server

Fast schon zu banal für diese Auflistung, dennoch im privaten Umfeld oder bei Vereinen immer noch anzutreffen. Da Zertifikate mittlerweile kostenfrei erhältlich sind (etwa bei Let’s Encrypt), und die meisten Web-Provider sie über eine Admin-Oberfläche auf Knopfdruck verfügbar machen, sollte es eigentlich auch für diese Zielgruppe Usus sein, sie einzusetzen.

Ungültiges Zertifikat

Mit technischen Basiskenntnissen ist es leicht möglich, ein Webserver-Zertifikat selber zu erstellen. Da dieses aber nicht von einer unabhängigen Stelle ausgestellt wurde, reicht es nicht aus, um die eigene Identität nachzuweisen. Browser zeigen in diesem Fall eine so deutliche Warnung an, dass die Website unbenutzbar wirkt.

Ein Zertifikat ist auch ungültig, wenn es auf einem falschen Webserver als vorgesehen installiert wird. Die Warnmeldung im Browser sieht dann vergleichbar aus.

Fehlende Zertifikatskette

Damit der Nachweis der Identität gelingt, sollten auf dem Server neben dem eigenen Webserver-Zertifikat noch weitere Zertifikate installiert sein, und zwar die sogenannten „Intermediate Certificates“. Diese identifizieren das Unternehmen, bei dem man das Zertifikat gekauft hat. Moderne Browser können diese Zertifikate nachladen, ältere zeigen einen Fehler an, wenn sie nicht vorhanden sind.

Abgelaufenes Zertifikat

Da Zertifikate immer mit einem Ablaufdatum ausgestellt werden (sie sind typischerweise 1 bis 3 Jahre gültig), werden sie zu einem bestimmten Zeitpunkt ungültig und müssen erneuert werden. Auch in diesem Fall zeigen Web-Browser eine sehr extreme Warnmeldung an.

Veraltete Protokolle

Die eingesetzten Details der Verschlüsselung werden wie oben beschrieben zwischen Browser und Server ausgehandelt. Ein Angreifer könnte dem Server ein sehr altes und leicht zu überwindendes Verfahren vorschlagen. Aus diesem Grund sollten Server so konfiguriert sein, dass sie nur moderne, sichere Verfahren unterstützen.

Anfälligkeit für Angriffe

Die bekannten Angriffsmöglichkeiten gegen TLS hängen meist mit veralteten Protokollen zusammen (so ist bspw. POODLE eine Schwachstelle von SSL 3.0). Eine Ausnahme ist u.A. die Heartbleed-Schwachstelle, die seit 2014 ein großes Presseecho hat. Sie basiert auf einem Fehler in der Softwarebibliothek OpenSSL,

Keine erzwungene Verschlüsselung

Die beste Verschlüsselung nützt nichts, wenn sie nicht eingesetzt wird. Deshalb sollten Websites alle Aufrufe, die per http:// erfolgen, zu https:// umleiten, um so eine Verschlüsselung zu erzwingen.

Die Server-Verschlüsselung überprüfen

Die oben genannten Schwachstellen sind teilweise sehr leicht zu prüfen, weil bei einigen davon jeder Browser eine deutlich sichtbare Warnmeldung anzeigt. Das gilt aber nicht für alle – das Akzeptieren alter Protokolle ist bspw. nicht ohne weiteres erkennbar. Es gibt zum Glück ein sehr mächtiges und gleichzeitig kostenfreies Online-Tool, das alle oben genannten Schwachstellen testet – die Website SSLLabs des Unternehmens Qualys.

Geben Sie einfach im Eingabefeld den Servernamen ein, den Sie prüfen wollen, und warten Sie einige Minuten. Das Ergebnis ist dann eine sehr detaillierte Überprüfung einer Vielzahl von Kriterien. Die fachliche Interpretation der Meldungen kann schwierig sein, der für Sie relevanteste Teil ist deshalb die Zusammenfassung am Kopf des Reports – hier am Beispiel von https://decareto.com:

Es ist empfehlenswert, alle Ergebnisse mit einem Rating schlechter als A mit einem entsprechenden Warnhinweis an den Website-Betreiber weiterzugeben. Der technische Ansprechpartner wird die Hinweise zu deuten wissen, zumindest wurden mögliche Risiken damit adressiert.

Wenn Sie im Report nach unten scrollen, sehen Sie auch die Ergebnisse zu den oben erwähnten potentiellen Problemen bei der Verschlüsselung, etwa den akzeptierten Protokollen:

Alle Protokolle unterhalb (also älter) als TLS 1.2 sollten mit „No“ gekennzeichnet sein, mindestens eins der Protokolle TLS 1.2 oder TLS 1.3 sollte mit „Yes“ gekennzeichnet sein.

1. Den Browser-Verlauf bereinigen und das Consent-Tool (wenn es eins gibt) erscheinen lassen.
2. Cookies erfassen die ohne Einwilligung gesetzt wurden.
3. Den Urheber und den Zweck dieser Cookies ermitteln.

Umgang mit Consent-Management-Plattformen

Consent-Tools haben sich als Mittel der Wahl etabliert, um auf Websites Einwilligungen einzuholen – und um Website-Betreibern das gute Gefühl zu geben, im Bereich Datenschutz alles richtig zu machen. Tatsächlich lassen sehr viele Websites trotz solcher Werkzeuge noch Cookies durch, es lohnt sich also, genauer hinzuschauen.

Es gibt Consent-Tools in sehr unterschiedlichen Preisklassen und Funktionsweisen – zum Teil handelt es sich um einfache Open-Source-Skripte, die auf dem Webserver installiert werden, am oberen Ende der Preisskala befinden sich Produkt-Suites, wie von Usercentrics oder OneTrust, die selber als aufwendige externe Dienste auf eigenen Webservern laufen. Allen gemein sind aber die folgenden einfachen Grundprinzipien:

• Wenn ein Benutzer eine Einwilligung erteilt hat, dann wird eine Statusinformation im Browser (als Cookie oder Eintrag im Local Storage) gespeichert. Wenn Sie diese Information löschen, dann erscheinen Sie wie ein Benutzer, der noch keine Zustimmung gegeben hat, und das Consent-Tool wird erneut angezeigt.
• Consent-Tools blockieren keine Cookies, sondern die Dienste, die Cookies setzen. Deshalb verwenden Consent-Tools unterschiedliche Mechanismen, um Javascript-Tags (die externe Dienste repräsentieren) erst dann zu laden, wenn der Benutzer eine Einwilligung erteilt hat.
• Welche Skripte (und damit Cookies) als so essentiell gelten, dass sie sofort beim Öffnen der Seite geladen werden, und welche eine Einwilligung erfordern, kann der Website-Betreiber im Consent-Tool konfigurieren.

Den Verlauf zurücksetzen

Bevor Sie eine Website auf Cookies untersuchen sollten Sie sicherstellen, dass keine Altlasten das Ergebnis verfälschen. Die Cookies im Browser haben möglicherweise eine lange Lebensdauer und könnten deshalb von einem früheren Test stammen – oder im Fall von Third-Party-Cookies sogar vom Test einer ganz anderen Website!

Außerdem ist ein Consent-Tool nach dem Schließen ja zunächst nicht mehr sichtbar – und auch wenn Sie schaffen, es wieder zu öffnen, hat es oft Daten gespeichert, deshalb ist es der Vergleichbarkeit wegen besser, für einen neuen Test den Verlauf zu löschen. Das tun Sie, indem Sie gezielt Cookies sowie Daten im Webspeicher löschen:

• Öffnen Sie zunächst die Website, die Sie untersuchen möchten und klicken Sie mit der rechten Maustaste in den Inhaltsbereich. Wählen Sie „Untersuchen“ um die Entwickler-Tools zu öffnen, und dort den App-Reiter:

• Öffnen Sie den Menüpunkt „Lokaler Speicher“ und klicken Sie dort mit der rechten Maustaste auf jeden Untereintrag und wählen dann im Kontextmenü „Löschen“.
• Wiederholen Sie dies für „Sitzungsspeicher“ und „Cookies“.

Was ist „Local Storage“?

Der „Local Storage“ ist eine etwas neuere Technologie als das Cookie. Damit ist es in allen gängigen Browsern möglich, per Javascript Daten im Browser zu speichern und auszulesen. Die wichtigsten Unterschiede zu Cookies sind:

• Daten aus dem Local-Storage werden nicht ungefragt an Server übertragen (auch wenn das durch einen per Javascript ausgelösten Request natürlich möglich ist).
• Daten bleiben erhalten, bis sie aktiv gelöscht werden.
• Es gibt weniger Beschränkungen was die Datenmenge angeht – 5 Mio. Zeichen pro Domain, gegenüber ca. 4000 Zeichen pro Cookie.

Auch der Local Storage fällt unter das TTDDG. Man kann die geschriebenen Daten im App-Reiter der Entwicklertools einsehen. Dort gibt es außerdem einen Menüpunkt für „Session Storage“ – dieser basiert auf der gleichen Technologie wie Local Storage, aber die dort gespeicherten Daten werden beim Schließen des Browsers gelöscht.

Identifizieren der Cookies, die ohne Einwilligung gesetzt wurden

Auflisten der Cookies ohne Einwilligung

Mit den folgenden Schritten können Sie nun ermitteln, welche Cookies von einer Webseite gesetzt werden, und ob das mit oder ohne Einwilligung geschieht:

• Als Testbeispiel öffnen Sie www.spotify.com
• Starten Sie die Developer-Tools und öffnen Sie den Reiter „Application“
• Löschen Sie alle Einträge im Menü für Local Storage und Cookies wie oben beschrieben
• Klicken Sie den Menüpunkt Cookies an
• Laden Sie die Seite noch einmal.

Sie sollten nun die Seite mit Consent-Tool sehen, etwa so:

Da Sie noch nicht mit dem Consent-Tool interagiert haben um Cookies zuzulassen, wurden per Definition alle Cookies, die Sie sehen, ohne Einwilligung gesetzt. Es sind drei „1st Party Cookies“ zu sehen, d.h. Cookies die die gleiche Domain wie die Website haben.

Wenn Sie auf die anderen Bereiche im Menü klicken, sind auch dort Einträge zu finden, wie hier unter „Local Storage“:

Im Fall unserer Beispiel-Website spotify.com haben wir also folgende First-Party-Cookies:

• OptanonConsent
• sp_landing
• sp_t

Außerdem folgenden Eintrag im Local Storage aus der Domain www.google.com:

rc::a

Wie kann man die Notwendigkeit eines Cookies ermitteln?

Das TDDDG verbietet das Setzen von Cookies (oder Einträgen im Webspeicher), die nicht für den Betrieb des Angebots notwendig sind – außer es liegt eine Einwilligung vor. Im nächsten Schritt muss also ermittelt werden, ob die gefundenen Cookies technisch notwendig sind. Diese Bewertung kann im Einzelfall kompliziert sein (mehr dazu lesen Sie in unserem Beitrag zur Erkennung technisch notwendiger Cookies). Grundlage dieser Bewertung ist aber immer die Ermittlung der Quelle der Cookies, wie etwa folgende:

• Die Webserver-Software kann Cookies setzen, etwa um eine Benutzersitzung zu etablieren oder Statusinformation wie die gewählte Sprache zu speichern. Diese Webserver-Software kann ein Shopsystem wie Shopware sein, oder ein Content-Management-System wie WordPress. Im Falle von WordPress könnte es auch eins der vielen verfügbaren Plugins sein.
• Wenn in einer Website externe Dienste wie Google Analytics, Paypal oder Youtube verwendet werden, so setzen auch diese häufig Cookies.

Für vom Webserver gesetzte Cookies ist häufig schwer zu erkennen, zu welchem Zweck sie dienen. Leichter ist die Notwendigkeit zu beurteilen, wenn ein Cookie von einem externen Dienst kommt: Mit wenigen Ausnahmen (etwa Cookies von Consent-Bannern) sind diese Cookies nicht notwendig.

Um die Quellen zu ermitteln verwenden wir eine Suchmaschinen-Recherche. Eine Suche nach „OptanonConsent cookie“ führt schnell zum Ergebnis, dass es zur Compliance-Lösung „OneTrust“ gehört. Man kann also davon ausgehne, dass es Notwendig ist, denn es speichert den Status der Zustimmung.

Die Quelle von sp_landing und sp_t ist weniger offensichtlich, aber der Präfix „sp“ könnte auf Spotify hinweisen. Eine Suchrecherche zeigt tatsächlic folgendes Ergebnis: „The sp_landing is set by Spotify to implement audio content from Spotify on the website and also registers information on user interaction related to the audio content“. Auch hier könnte man technische Notwendigkeit unterstellen.

Interessanter ist der Webspeicher-Eintrag rc::a. Eine Suche nach „rc::a cookie“ führt zu Suchergebnissen, die zu Datenschutzerklärungen unterschiedlicher Websites führen, in denen Google als Quelle genannt wird, mit dem Zweck „This cookie is used to distinguish between humans and bots. This is beneficial for the website, in order to make valid reports on the use of their website.“

Ein Blick auf den Reiter „Network“ der Entwicklertools zeigt Aufrufe zu Servern von Google mit dem Pfad „www.google.com/recaptcha“:

Tatsächlich ist Google ReCaptcha bekannt als externer Dienst um zwischen Menschen und „Bots“ zu unterscheiden und den Zugriff von Bots auf die Website zu verhindern – offensichtlich wird der Eintrag rc::a im Webspeicher also von Google Recaptcha gesetzt, und man kann nun über die technische Notwendigkeit zumindest streiten.

Ist Barrierefreiheit gesetzlich vorgeschrieben?

In Deutschland müssen die Websites öffentlicher Stellen (Behörden und andere öffentliche Einrichtungen auf Bundes-, Landes- und kommunaler Ebene) aufgrund des Bundesgleichstellungsgesetzes barrierefrei sein. Bei Verstößen können zwar keine Bußgelder verhängt werden, Menschen mit Behinderungen haben aber die Möglichkeit, über eine Beschwerde und ein folgendes „Durchsetzungsverfahren“ eine Korrektur zu erzwingen.

Ab Juni 2025 gilt die Pflicht zur Barrierefreiheit auch für den privaten Sektor, denn ab dann gilt das „Barrierefreiheitsstärkungsgesetz“ (BFSG), das den EAA in nationales Recht umsetzt und bei Verstößen auch Bußgelder vorsieht.

Gibt es weitere Gründe, eine Website barrierefrei umzusetzen?

Es ist nicht nur aufgrund von rechtlichen Pflichten bzw. Compliance ratsam, Menschen mit Behinderungen nicht von der Nutzung der eigenen Website auszuschließen. Es liegt vielmehr aus einer ganzen Reihe weiterer Gründe im eigenen unternehmerischen Interesse, Websites barrierefrei zu gestalten.

Erhöhung der Reichweite

Die Europäische Kommission geht von 87 Millionen Menschen mit Behinderung aus, die vom European Accessibility Act profitieren sollen. Eine barrierefreie Website ist für Menschen mit Seh-, Hör- oder motorischen Einschränkungen zugänglich und vergrößert damit die Reichweite und damit potentiell auch die Kundenbasis.

Verbesserte Benutzerfreundlichkeit

Die Vorgaben zur Barrierefreiheit kommen nicht nur behinderten Menschen zugute, denn sie erzwingen eine konsistente Navigation, gut sichtbare Schaltflächen und saubere Strukturierung. Damit führen sie zu einer besseren Usability für alle.

Besseres SEO-Ranking

Google und andere Suchmaschinen bevorzugen barrierefreie Websites. Das liegt an folgenden Gründen:

• Gute Usability führt zu geringerer Absprungrate und längerer Verweildauer
• Eine klare Strukturierung des HTML-Codes erleichtert damit das Crawlen und Indizieren der Inhalte
• Barrierefreie Websites sind für die Verwendung von Screen-Readern ausgelegt, was Ihre Auffindbarkeit bei Voice-Suche verbessert
• Suchmaschinen würdigen Konformität zu Standards wie WCAG
• Barrierefreiheit bedeutet oft auch geringere Ladezeiten einer Seite, was SEO zu gute kommt

Stärkung von Image und Markenwahrnehmung

Wenn Ihr Unternehmen Inklusion und Zugänglichkeit ernst nimmt wird es als verantwortungsbewusst und fortschrittlich wahrgenommen. Dies ist gerade für Unternehmen ab einer bestimmten Größe oder in regulierten Märkten nicht unwichtig.

Welche Unternehmen müssen ihre Website barrierefrei umsetzen?

Das BFSG gilt zwischen Unternehmern und Verbrauchern und betrifft sowohl Produkte als auch Dienstleistungen. Sie sind unter anderem in folgenden Fällen betroffen:

• Wenn Sie Hersteller, Importeur oder Händler von digitalen Produkten wie etwa Smartphones, Ebook-Reader, Geldautomaten oder internetfähige Fernseher sind.
• Wenn Sie Dienstleistungen wie etwa Telefondienste oder Personenbeförderung erbringen. Insbesondere ist der „elektronische Geschäftsverkehr“ betroffen, womit neben Online-Shops auch Buchungen aller Art (auch Online-Terminbuchungen) und vergleichbare Interaktionen gemeint sind.

Das Gesetz sieht einige Ausnahmem vor, etwa was Inhalte angeht die vor dem Stichtag 28.06.2025 erstellt wurden, zudem gilt es unter bestimmten Voraussetzungen nicht für „Kleinstunternehmen“, Sie sollten im Zweifelsfall ein Anwalt hinzuziehen.

Wenn eine Website von einer öffentlichen Stelle betrieben wird, oder wenn auf der Website etwas gekauft oder ein Geschäft angebahnt werden kann, dann muss sie also vermutlich barrierefrei umgesetzt werden.

Was bedeutet Barrierefreiheit auf Websites?

Nicht-barrierefreie Websites schließen insbesondere Menschen mit einer Sehbehinderung aus:

• Blinde Menschen verwenden Screenreader, die den Inhalt einer Website vorlesen. In Windows ist der „Narrator“ vorinstalliert, in MacOS gibt es „Voiceover“. Die Interaktion erfolgt über die Tastatur ohne Zuhilfenahme der Maus. Die Programmierung der Website muss so erfolgen, dass dies problemlos möglich ist, denn viele Elemente in Websites erschweren die Verwendung von Screenreadern (etwa Slider sowie Links und Bilder ohne verständliche Beschriftung) oder müssen speziell dafür angepasst werden, wie etwa Eingabeformulare. Die Bedienung per Tastatur kommt auch Menschen mit einer motorischen Einschränkung zugute.
• Menschen mit stark eingeschränkter Sicht benötigen möglicherweise keinen Screenreader, sie benötigen aber die Möglichkeit, den Text der Seite stark zu vergrößeren, was nicht auf allen Seiten funktioniert, und sie benötigen ausreichenden Kontrast in der Farbgebung.
• Blinde und gehörlose Menschen können Videos nur dann nutzen, wenn es ein Transkript oder Untertitel gibt.

Weitere Anforderungen an Barrierefreiheit sind eine einfache Sprache (für Menschen mit einer kognitiven Beeinträchtigung) oder die Berücksichtigung von Farbgebung (für Menschen mit einer Rot-Grün-Schwäche).

Der allgemein verwendete und auch international akzeptierte Standard für Barrierefreiheit auf Websites ist beschrieben in den “W3C Web Content Accessibility Guidelines”, die aktuell in Version 2 vorliegen und auf 13 Richtlinien basieren.

1. Wahrnehmbar
   1. Stellen Sie Textalternativen für alle Nicht-Text-Inhalte zur Verfügung, so dass diese in andere vom Benutzer benötigte Formen geändert werden können, wie zum Beispiel Großschrift, Braille, Symbole oder einfachere Sprache.
   2. Stellen Sie Alternativen für zeitbasierte Medien zur Verfügung.
   3. Erstellen Sie Inhalte, die auf verschiedene Arten dargestellt werden können (zum Beispiel mit einfacherem Layout), ohne dass Informationen oder Strukturen verloren gehen.
   4. Machen Sie es für die Benutzer leichter, Inhalte zu sehen und zu hören, einschließlich der Trennung zwischen Vordergrund und Hintergrund.
2. Bedienbar
   1. Sorgen Sie dafür, dass alle Funktionalitäten von der Tastatur aus verfügbar sind.
   2. Geben Sie den Benutzern ausreichend Zeit, Inhalte zu lesen und zu benutzen.
   3. Gestalten Sie Inhalte nicht auf Arten, von denen bekannt ist, dass sie zu Anfällen führen.
   4. Stellen Sie Mittel zur Verfügung, um Benutzer dabei zu unterstützen zu navigieren, Inhalte zu finden und zu bestimmen, wo sie sich befinden.
   5. Machen Sie es Benutzern leichter, andere Eingabegeräte als Tastaturen zu verwenden.
3. Verständlich
   1. Machen Sie Textinhalte lesbar und verständlich.
   2. Sorgen Sie dafür, dass Webseiten vorhersehbar aussehen und funktionieren.
   3. Helfen Sie den Benutzern dabei, Fehler zu vermeiden und zu korrigieren.
4. Robust
   1. Maximieren Sie die Kompatibilität mit aktuellen und zukünftigen Benutzeragenten, einschließlich assistierender Techniken.

Der Aufwand, eine Website Richtlinien-konform umzusetzen oder anzupassen ist nicht zu unterschätzen, wir werden in folgenden Artikeln näher auf die konkrete Umsetzung eingehen. Die WCAG sehen drei Konformitätsstufen vor (A bis AAA), die unterschiedlich aufwändig in der Umsetzung sind.

Wie kann eine Website auf Barrierefreiheit geprüft werden?

Die Prüfung einer Website auf Barrierefreiheit sollte immer eine Kombination aus manuellen und automatisierten Tests sein – darin ähnelt es der Prüfung auf Datenschutzkonformität.

Automatisierte Tests können insb. technische Aspekte und die Programmierung der Website überprüfen, also Themen wie Farbkontrast, Alternativtexte, Bedienung per Tastatur etc. Da eine saubere Programmierung unter Berücksichtigung der WCAG-Standards entscheidend für eine barrierefreie Benutzung ist, können durch Automatisierung viele Fehler sehr schnell gefunden werden.

Andererseits können bestimmte Fehler durch automatisierte Tests nur schlecht aufgedeckt werden, etwa ob alle Navigationselemente über die Tastatur erreicht werden können, ob Alternativtexte sinnvoll sind, oder ob die sichtbare Ordnung auf der Seite der Strukturierung des HTML-Codes entspricht.

Eine gute Bewertung durch automatisierte Tests ist also eine notwendige, aber keine hinreichende Bedingung für Barrierefreiheit.

Kostenfreie Tools zur Prüfung der Barrierefreiheit sind etwa WAVE (https://wave.webaim.org/) oder Lighthouse, welches Bestandteil der Entwickler-Tools in jedem Chrome-Browser ist. Mit solchen Tools können einzelne Seiten getestet werden, sie geben aber keine Information dazu welche Fehler auf mehreren Seiten gefunden werden und erlauben auch keine kontinuierliche Überwachung.

Diese Möglichkeiten gibt es aktuell nur bei sehr hochpreisigen Produkten. decareto Compliance Monitoring wird ab 2025 eine automatisierte Prüfung einer gesamten Website zu einem Bruchteil der Kosten anbieten die von vergleichbaren Tools aufgerufen werden.

1. Fehlender Zugriff auf rechtliche Informationen und unklare Datenverarbeitung

Ein häufiger Fehler bei der Gestaltung von Consent-Bannern ist, dass der Zugriff auf das Impressum und die Datenschutzerklärung blockiert oder erschwert wird, bevor der Nutzer seine Einwilligung erteilt hat. Gemäß Art. 13 und 14 DSGVO müssen diese Informationen jedoch jederzeit frei zugänglich sein, ohne dass eine Einwilligung erforderlich ist. Nutzer müssen die Möglichkeit haben, sich über die Datenverarbeitung zu informieren, bevor sie eine Entscheidung treffen.

Darüber hinaus muss im Banner der Zweck der Datenverarbeitung kurz und klar kommuniziert werden. Detaillierte Informationen, wie welche personenbezogenen Daten betroffen sind, was mit ihnen passiert und wer Zugriff darauf hat, können über einen Link zur Datenschutzerklärung bereitgestellt werden.

Tipp: Stellen Sie sicher, dass das Impressum und die Datenschutzerklärung immer im Footer der Website verlinkt und ohne Einwilligung zugänglich sind. Alternativ können Sie einen klar sichtbaren Link direkt im Consent-Banner integrieren. Das Banner selbst sollte eine kurze Erklärung des Verarbeitungszwecks enthalten, z. B. „Wir verwenden Cookies zur Analyse der Nutzung und für personalisierte Werbung“, und auf die Datenschutzerklärung verlinken, wo die detaillierten Informationen bereitstehen.

Abbildung 1. ein Beispiel, das alle notwendigen Informationen beinhaltet

2. Irreführendes Design

Ein weiteres häufiges Problem bei der Gestaltung von Cookie-Bannern ist die Nutzung von Dark Patterns. Es handelt sich um irreführende Designelemente, die den Nutzer unbewusst zur Zustimmung drängen. Oft ist die Schaltfläche „Akzeptieren“ optisch hervorgehoben, während „Ablehnen“ oder „Einstellungen anpassen“ schwerer zu finden oder weniger auffällig gestaltet sind. Dies kann den Eindruck erwecken, dass die Einwilligung die einzige sinnvolle Option ist.

Laut Art. 7 DSGVO muss die Einwilligung jedoch freiwillig erfolgen. Das bedeutet, der Nutzer muss eine echte Wahl haben, ohne durch das Design beeinflusst zu werden. Wenn das Banner die Ablehnung erschwert, fehlt die Freiwilligkeit und die Einwilligung ist unwirksam.

Tipp: Präsentieren Sie alle Optionen gleichwertig. „Akzeptieren“, „Ablehnen“ und „Einstellungen anpassen“ müssen gleich groß, sichtbar und leicht zugänglich sein, sodass der Nutzer eine informierte Entscheidung treffen kann.

Abbildung 2. Ein Beispiel für Dark Patterns

3. Keine differenzierte Auswahl von Cookies

Nutzer dürfen gemäß Art. 6 DSGVO nicht gezwungen werden, pauschal allen Cookies zuzustimmen. Sie müssen die Möglichkeit haben, zwischen verschiedenen Cookie-Kategorien wie notwendigen, funktionalen und Marketing-Cookies zu wählen. Viele Cookie-Banner bieten jedoch nur die Optionen „Alle akzeptieren“ oder „Alle ablehnen“, was nicht ausreicht.

Tipp: Bieten Sie den Nutzern eine verständliche Möglichkeit, zwischen den Cookie-Kategorien zu wählen. Erklären Sie den Zweck jeder Kategorie klar, damit der Nutzer genau weiß, wofür er seine Zustimmung gibt.

Abbildung 3. Ein Beispiel mit einer klaren Auswahlmöglichkeit

4. Deutliche und verständliche Überschrift

Neben den Mindestinformationen im Cookie-Banner spielt auch die sprachliche und visuelle Gestaltung eine zentrale Rolle. Laut Art. 12 DSGVO müssen Informationen „präzise, transparent, verständlich und leicht zugänglich“ in einfacher Sprache dargestellt werden. Oft werden jedoch Überschriften verwendet, die zu vage sind und nicht deutlich machen, worum es bei der Einwilligung tatsächlich geht. Sätze wie „Wir respektieren Ihre Privatsphäre“ oder „Zur Verbesserung der Nutzererfahrung“ reichen nicht aus, um den Nutzer über die Tragweite der Entscheidung aufzuklären.

Tipp: Verwenden Sie klare und präzise Überschriften, die den Nutzern direkt vermitteln, was mit ihren Daten geschieht.

Abbildung 5. + 6. Die Abbildung 5 ist ein Beispiel für eine unklare Überschrift. Die Überschrift in Abbildung 6 ist klar und transparent.

5. Keine einfache Möglichkeit, die Einwilligung zu widerrufen oder zu ändern

Nach Art. 7 Abs. 3 DSGVO haben Nutzer das Recht, ihre Einwilligung jederzeit zu widerrufen oder zu ändern. Viele Cookie-Banner bieten diese Möglichkeit jedoch entweder gar nicht oder machen sie schwer auffindbar.

Tipp: Integrieren Sie eine leicht zugängliche Möglichkeit, die Cookie-Einstellungen zu ändern, beispielsweise durch einen permanenten Link im Footer der Website. Der Widerruf oder die Anpassung der Einwilligung sollte genauso einfach sein wie die Erteilung.

Abbildung 7. Zugriffauf den Consent-Layer über den Footer der Website

6. Datenschutzfreundliche Voreinstellungen

Art. 25 DSGVO verlangt, dass Systeme standardmäßig so konfiguriert sind, dass nur die minimal notwendigen Daten verarbeitet werden. Viele Cookie-Banner setzen jedoch bereits voreingestellte Cookies oder haben vorausgewählte Häkchen für die Zustimmung, was gegen die DSGVO verstößt.

Tipp: Vermeiden Sie voreingestellte Cookies oder bereits aktivierte Häkchen für die Zustimmung. Nutzer müssen aktiv einwilligen (Opt-in), bevor nicht notwendige Cookies aktiviert werden. Nur technisch notwendige Cookies dürfen ohne Zustimmung verwendet werden.

Technische Umsetzung des Cookie-Banners

Neben der visuellen Gestaltung darf die technische Implementierung des Cookie-Banners nicht vernachlässigt werden. Ein häufiger Fehler ist das Setzen von nicht notwendigen Cookies, oder das Verwenden von externen Diensten, für die eine Einwilligung erforderlich ist, bevor der Nutzer seine Einwilligung erteilt hat. Dies verstößt gegen Art. 6 DSGVO, bzw. §25 TDDDG sowie die ePrivacy-Richtlinie.

Verwenden Sie Tools wie decareto, um sicherzustellen, dass keine Cookies ohne vorherige Einwilligung geladen werden. So können Sie gewährleisten, dass die technische Umsetzung ihrer Website den Anforderungen der DSGVO entspricht.

Quellen:

https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/#43_wie_gestalte_ich_einwilligungs-banner

https://www.hh-datenschutz.de/fileadmin/mustervorlagen/Handreichung_Cookie-Consent-Banner.pdf

https://www.lfd.niedersachsen.de/download/161158/Datenschutzkonforme_Einwilligungen_auf_Webseiten_-_Anforderungen_an_Consent-Layer_PDF_-_nicht_vollstaendig_barrierefrei_.pdf

https://www.verbraucherzentrale.nrw/sites/default/files/2023-05/lg_koln_vom_23-03-2023_33_o_376_22_geschwaerzt.pdf

Shopify ist eine Cloud-basierte E-Commerce-Plattform, die es Händlern erlaubt, auch ohne Programmierkenntnisse Online-Shops zu erstellen und zu betreiben. Shopify übernimmt dabei das Hosting und die Verwaltung. Über ein Ökosystem von externen „Apps“, die in den eigenen Shop eingebunden werden können, sind Shopify-Shops leicht erweiterbar um Funktionen für Buchhaltung, Logistik, Marketing oder Rechtssicherheit.

Shopify Inc., ist ein Kanadisches Unternehmen und hat seinen Hauptsitz in 151 O’Connor Street, Ground floor, Ottawa, Ontario, K2P 2L8.

Shopify betreibt Online-Präsenzen für über 2 Millionen Händler, der Shopify App Store enthält 13.000 Apps.

Ist Shopify DSGVO-konform?

Für eine Beurteilung der DSGVO-Konformität ist u.A. relevant, in welchen Ländern Shopify personenbezogene Daten verarbeitet, wobei nicht nur die Standorte der Rechenzentren, sondern auch der Hauptsitze der beteiligten Unternehmen berücksichtig werden müssen.

Shopify ist ein kanadisches Unternehmen und nutzt als Hosting-Infrastruktur die Google Cloud Platform (USA). Zusätzlich wird zur Skalierung das Content-Delivery-Network des Unternehmens Cloudflare eingesetzt (ebenfalls USA).

Eine Datenverarbeitung ist grundsätzlich nur für Länder in der EU zulässig oder für solche, für die es einen Angemessenheitsbeschluss gibt. Dies ist bei Kanada der Fall. Für die USA liegt ein Angemessenheitsbeschluss vor für Unternehmen, die zertifiziert im EU-US-Data Privacy Network sind. Cloudflare und Google sind beide im DPF zertifiziert (Stand 05.08.2024), damit ist die Nutzung zunächst rechtlich zulässig.

Shopify-Shops greifen aber praktisch immer auf zusätzliche externe Dienste zurück, die teilweise ebenfalls personenbezogene Daten verarbeiten oder Cookies setzen, und damit für die Beurteilung der DSGVO-Konformität relevant sind.

Für einen DSGVO-konformen Einsatz müssen zusätzlich noch weitere Pflichten erfüllt werden (s.u.).

Werden durch Shopify Cookies gesetzt?

Shopify setzt nach eigenen Angaben die folgenden Cookies:

Wie prüft man externe Dienste und Cookies in einem Shopify-Shop?

Ein wesentlicher Bestandteil der DSGVO-Konformität eines Shopify-Stores ist der Einsatz eines Consent-Banners, damit Benutzer eine rechtskonforme Einwilligung geben können. Bevor diese erteilt wurde, dürfen keine Dienste geladen werden, die eine Einwilligung benötigen, und es dürfen auch keine Cookies gesetzt werden, die nicht für den Betrieb des Shops notwendig sind.

Wenn Apps im Shop verwendet werden, so werden oft Verbindungen zum Webserver des Betreibers der App aufgebaut, und die Apps setzen möglicherweise auch Cookies. Eine Bewertung muss im Einzelfall erfolgen.

Idealerweise sollte der Shop ohne Eiwilligung keine Netzwerkaufrufe zur Servern durchführen, die nicht zu Shopify gehören, d.h. zu anderen Domains als

• Ihre Shop-Domain
• shopify.com
• shopifycdn.com
• shopifycloud.com
• shop.app

Which of Shopify’s cookies can be considered technically necessary is controversial, but of those mentioned above, at most the cookies _identity_session, checkout and user should be set without consent.

Um diese Checks durchzuführen empfehlen wir den Einsatz einer automatisierten Lösung wie decareto Compliance Monitoring, denn eine manuelle Prüfung ist meistens nur schwer realisierbar. Zudem erfordert der Einsatz von Marketing-Maßnahmen in Online-Shops eine dauerhafte und regelmäßige Überwachung. Wie Sie die Einwilligung für Cookies und Dienste mit kostenfreien Tools manuell überprüfen zeigen wir ausführlich in unserem E-Book „Der Datenschutz Technik Guide“.

Wie setzt man Shopify DSGVO-konform ein?

Der rechtskonforme Einsatz von Shopify ist nicht trivial, insb. durch den Einsatz von Apps, die möglicherweise ebenfalls personenbezogene Daten verarbeiten. Es sind u.A. die folgenden Punkte zu beachten:

• Anpassung der Datenschutzerklärung
• Verwendung eines korrekt konfigurierten Consent-Banners
• Abschluss von Verträgen zur Auftragsdatenverarbeitung mit Shopify sowie den Betreibern der Apps

Wir empfehlen, dafür externe Datenschutzberatung in Anspruch zu nehmen.