QualiBooth

compliance

Was uns die DSGVO über den EAA gelehrt hat

Der European Accessibility Act folgt demselben Durchsetzungsweg wie die DSGVO. Wenn Ihre Organisation die DSGVO auf die harte Tour gelernt hat, erfahren Sie hier, wie Sie es nicht wiederholen.

5 min read QualiBooth
Eine EU-Flagge vor einem europäischen Regierungsgebäude, symbolisch für die digitale Regulierung der EU.

Das hatten wir schon einmal

Im Jahr 2018 trat die DSGVO in Kraft, und die Reaktion der meisten Organisationen folgte einem vorhersehbaren Verlauf. Eine Phase nahezu vollständigen Schweigens. Dann, als die Frist näher rückte, ein hektisches Gerangel. Dann, als die Durchsetzung tatsächlich einsetzte, echte Dringlichkeit und ein Ansturm, um innerhalb eines Zeitrahmens konform zu werden, der weitaus kürzer war, als er hätte sein sollen.

Der European Accessibility Act befindet sich auf demselben Kurs. Die Frist – der 28. Juni 2025 – ist verstrichen. Die Durchsetzung ist im Gange. Und die Organisationen, die Barrierefreiheit als ein “das erledigen wir irgendwann”-Thema behandelt haben, stellen nun fest, dass das Irgendwann angekommen ist.

Wenn Sie die DSGVO durchlaufen haben, wird Ihnen vieles vom Folgenden bekannt vorkommen.

Was sie gemeinsam haben

Eine Konformitätsfrist, die die meisten Organisationen verpasst haben

Als die DSGVO im Mai 2018 in Kraft trat, zeigten Umfragen, dass eine Mehrheit der EU-Unternehmen nicht konform war – in manchen Berichten lag die Zahl bei über 60 %. Die Geschichte beim EAA sieht ähnlich aus. Kurz vor der Frist im Juni 2025 veröffentlichte Studien zeigten durchweg, dass nur ein kleiner Bruchteil der von dem Gesetz erfassten Unternehmen eine nennenswerte Konformität erreicht hatte.

Beide Gesetze weisen dasselbe grundlegende Muster auf: eine lange Vorlaufphase, in der die meisten Organisationen nur begrenzt handeln, gefolgt von einem Aktivitätsansturm, wenn die Frist naht, gefolgt von einer fortlaufenden Durchsetzung für jene, die sich nicht schnell genug bewegt haben.

Ein räumlicher Geltungsbereich, den viele Unternehmen unterschätzten

Die DSGVO gilt für jede Organisation, die Daten von EU-Bürgern verarbeitet, unabhängig davon, wo die Organisation ansässig ist. Der EAA funktioniert ähnlich: Wenn Ihr digitales Produkt oder Ihre digitale Dienstleistung an Kunden in der EU verkauft wird und Ihre Organisation die Größenschwellen erreicht (mehr als 10 Mitarbeitende und mehr als 2 Millionen € Umsatz), müssen Sie konform sein – unabhängig davon, ob Sie Ihren Hauptsitz in München oder San Francisco haben.

Viele Nicht-EU-Unternehmen waren von der Reichweite der DSGVO überrascht. Dasselbe passiert nun mit dem EAA.

Ein Sanktionsrahmen mit echten Zähnen

Die Bußgelder der DSGVO – bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen €, je nachdem, welcher Betrag höher ist – machten Schlagzeilen. Organisationen sahen sich mit Strafen in Millionenhöhe für Verstöße konfrontiert, die in vielen Fällen vermeidbar gewesen wären.

Die EAA-Strafen werden auf nationaler Ebene festgelegt und variieren daher zwischen den Mitgliedstaaten. Aber sie sind nicht unerheblich. Italien und Frankreich sehen beide Geldstrafen im Bereich von Zehntausenden Euro pro Verstoß vor. Die Umsetzung des deutschen Barrierefreiheitsstärkungsgesetzes (BFSG) umfasst erhebliche Strafen. Und anders als bei der DSGVO, bei der viele Verstöße durch Datenschutzverletzungen oder Beschwerden ans Licht kamen, sind Barrierefreiheitsmängel für jeden sichtbar, der Ihre Website mit einem Screenreader besucht – wozu auch die Behindertenverbände gehören, die Beschwerden wegen Barrierefreiheit einreichen.

Wo sich der EAA von der DSGVO unterscheidet

Barrierefreiheitsverstöße sind von außen sichtbar

DSGVO-Verstöße erforderten oft eine interne Beschwerde oder eine Meldung über eine Datenschutzverletzung, um ans Licht zu kommen. Barrierefreiheitsmängel sind öffentlich auffindbar. Jeder kann Ihre Website öffnen, einen automatisierten Scan durchführen oder sie mit einem Screenreader testen und dokumentieren, was er findet. Behindertenverbände tun genau das, und zwar systematisch.

Das bedeutet, dass der Kreis potenzieller Beschwerdeführer viel größer und die Hürde für die Einreichung einer Beschwerde viel niedriger ist. Sie benötigen keinen Zugang zu internen Systemen oder durchgesickerte Dokumente. Sie brauchen nur einen Browser.

Der technische Standard ist bereits festgelegt

Die DSGVO verlangte von Organisationen die Umsetzung “geeigneter technischer und organisatorischer Maßnahmen” zum Schutz von Daten – ein bewusst vage gehaltener Standard, um technologischen Wandel zu ermöglichen. Der EAA legt einen konkreten technischen Standard fest: EN 301 549, der auf die Web Content Accessibility Guidelines (WCAG 2.1/2.2) auf Level AA verweist.

Diese Klarheit ist ein zweischneidiges Schwert. Einerseits wissen Organisationen genau, was sie erreichen müssen. Andererseits macht sie es leicht, Nichtkonformität nachzuweisen – automatisierte Tools können in Sekunden einen detaillierten Verstoßbericht erstellen.

Frühe Durchsetzung findet bereits statt

Die DSGVO hatte ein relativ ruhiges erstes Durchsetzungsjahr, bevor die großen Bußgelder kamen. Die EAA-Durchsetzung bewegt sich schneller. Französische Behörden begannen kurz nach der Frist, Bescheide an große Einzelhändler zu erlassen. Ein Pariser Gericht entschied in einem Fall zur Barrierefreiheit einer Schulplattform, der potenzielle Geldstrafen von 25.000 € pro Jahr umfasste. Interessenverbände in allen EU-Mitgliedstaaten reichen aktiv Beschwerden ein.

Die DSGVO-Lehren, die für den EAA gelten

”Wir werden konform, bevor die Durchsetzung uns erreicht” ist keine Strategie

Viele Organisationen stellten diese Rechnung bei der DSGVO auf und stellten fest, dass die Durchsetzung schneller und gezielter war als erwartet. Barrierefreiheitsbeschwerden werden jetzt eingereicht. Die Organisationen, die dem zuvorkommen, sind jene, die mit Prüfung und Nachbesserung beginnen, bevor sie einen förmlichen Bescheid erhalten.

Dokumentation zählt genauso viel wie die technische Behebung

Die DSGVO verlangte von Organisationen, Verzeichnisse von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen und Nachweise über Einwilligungen zu führen. Der EAA verlangt barrierefreie Plattformen und, in vielen nationalen Umsetzungen, Barrierefreiheitserklärungen, die den aktuellen Konformitätsgrad, bekannte Ausnahmen und Kontaktmechanismen für Nutzer zum Melden von Barrieren dokumentieren.

Eine Barrierefreiheitserklärung, die Ihren aktuellen Stand korrekt widerspiegelt – und die Fähigkeit, kontinuierliche Verbesserung nachzuweisen – ist ein aussagekräftiger Nachweis für gutgläubige Konformität.

Konformität ist ein Prozess, kein Projekt

Die Denkfalle bei der DSGVO bestand darin, Konformität als ein abzuhakendes Kästchen zu behandeln: ein Rechtsteam beauftragen, die Datenschutzerklärung aktualisieren, Cookie-Banner hinzufügen, fertig. Viele Organisationen hörten dann auf – nur um festzustellen, dass sie ihre Konformität erneut überprüfen mussten, als sie neue Produkte einführten oder bestehende aktualisierten.

Barrierefreiheit funktioniert genauso. Jede neue Funktion, jede Drittanbieter-Komponente, jede Design-Auffrischung kann neue Barrieren einführen. Nachhaltige Konformität erfordert die Integration von Barrierefreiheit in Ihre Entwicklungs- und Inhaltsabläufe, statt sie als einmalige Nachbesserung zu behandeln. Unser Leitfaden zu Barrierefreiheit im Software-Entwicklungslebenszyklus erläutert, wie das in der Praxis aussieht.

Beginnen Sie mit einer Bestandsaufnahme

Bevor Sie eine Nachbesserung planen können, müssen Sie verstehen, wo Sie derzeit stehen. Das bedeutet, ein Audit durchzuführen – sowohl automatisiert als auch manuell – um die Mängel zu dokumentieren, sie nach Auswirkung und Häufigkeit zu priorisieren und einen realistischen Nachbesserungsplan zu erstellen.

Wenn Sie dies noch nicht getan haben, ist der schnellste Ausgangspunkt ein kostenloser automatisierter Scan, der Ihnen ein sofortiges Bild der automatisiert erkennbaren Verstöße liefert. Für das vollständige Bild – einschließlich der rund 60–70 % der Barrieren, die automatisierte Tools nicht erkennen können – sind manuelle Tests durch Menschen, die assistive Technologie nutzen, erforderlich.

Die Organisationen, die die DSGVO gut bewältigten, warteten nicht auf die Durchsetzung. Sie bewerteten ihre Position, erstellten einen Plan und setzten ihn mit derselben Dringlichkeit um, die sie jedem anderen wesentlichen Geschäftsrisiko widmen würden. Der EAA verdient dieselbe Behandlung.

Finden Sie heraus, ob Ihre Website die EAA-Anforderungen erfüllt