BFSG Ein-Jahr-Bilanz: Welche Lücken Shops jetzt schließenSeit dem 28. Juni 2025 ist das Barrierefrei…
BFSG Ein-Jahr-Bilanz: Welche Lücken Shops jetzt schließen
BFSG Ein-Jahr-Bilanz: Welche Lücken Shops jetzt schließen
Seit dem 28. Juni 2025 ist das Barrierefreiheitsstärkungsgesetz (BFSG) in Deutschland verpflichtend. Ein Jahr später laufen die ersten Verfahren, Marktüberwachungsbehörden in mehreren Bundesländern haben Stichproben gestartet, und drei Compliance-Lücken tauchen in fast jedem geprüften Shop auf. Pro Fall sind Bußgelder bis 100.000 Euro möglich, und die Mehrzahl der Probleme lässt sich mit überschaubarem Aufwand fixen, wenn Du eine saubere Komponenten-Architektur hast.
Ein Jahr BFSG-Enforcement: Was Behörden und Verbände tatsächlich tun
Die zentrale Marktüberwachung sitzt in Magdeburg, die Landesbehörden arbeiten ihr aber zu. Verbraucherzentralen und der Sozialverband VdK reichen seit Sommer 2025 systematisch Beschwerden ein. activeMind.legal dokumentiert in seinem BFSG-Guide, dass Beschwerden inzwischen vierstellig liegen und die Behörden im Schnitt innerhalb von acht Wochen Stellungnahmen anfordern. Wer nicht innerhalb der Frist reagiert, riskiert ein Anhörungsverfahren.
Die parallel gültige europäische Verordnung, der European Accessibility Act (EAA), setzt den Rahmen. Level Access beziffert in seiner Analyse zu den Penalties for EAA Non-Compliance die deutsche Obergrenze auf 100.000 Euro pro Verstoß. In Frankreich liegt sie bei 50.000 Euro, in Irland bei 60.000 Euro. Deutschland ist also der härtere Markt, und gleichzeitig der mit dem größten E-Commerce-Volumen in der EU.
Das Update zu unserem Vorgänger-Post zum European Accessibility Act im E-Commerce bestätigt: Die Behörden gehen nicht flächendeckend vor, aber gezielt. Bei großen Shops mit hoher Sichtbarkeit liegt das Risiko, in eine Stichprobe zu kommen, im zweistelligen Prozentbereich pro Jahr.
Die drei Compliance-Lücken, die deutsche Shops 2026 immer noch haben
Wir haben in den vergangenen Monaten Audit-Daten aus über 40 deutschen Mid-Market-Shops gesichtet. Drei Pattern wiederholen sich.
1. Cookie-Banner mit defektem Focus-Trap. Schätzungsweise 70 Prozent der Top-100-DE-Shops haben einen Cookie-Banner, der für Tastatur-Nutzer eine Sackgasse ist. Wer mit Tab navigiert, landet im Banner und kommt nicht wieder heraus, weil das ARIA-modal-Attribut falsch gesetzt ist oder fehlt. Screenreader-Nutzer hören den Banner gar nicht erst. Das ist eine direkte Verletzung von WCAG 2.1 Success Criterion 2.1.2 (No Keyboard Trap), und in unserem Bench der häufigste Audit-Fund.
2. ARIA-Live-Region für Cart-Updates fehlt. Wer einen Artikel in den Warenkorb legt, sieht visuell ein Mini-Cart-Pop-Up oder eine Badge-Aktualisierung. Screenreader bekommen davon nichts mit. Schätzung: 80 Prozent der Shops liefern keine aria-live="polite"-Ansage. Conversion-Implikation: Visuell beeinträchtigte Käufer brechen ab, weil sie nicht wissen, ob die Aktion erfolgreich war. Compliance-Implikation: Verstoß gegen WCAG 4.1.3 (Status Messages).
3. Tastatur-Navigation im Mega-Menü bricht. Bei rund 60 Prozent der Shops mit Mega-Menü ist die Tab-Reihenfolge nicht durchdacht. Sub-Menüs öffnen sich beim Hover, aber Pfeil-Tasten funktionieren nicht. Tab springt direkt zum Footer-Link, ohne die Sub-Kategorien anzubieten. Das verletzt WCAG 2.1.1 (Keyboard) und 2.4.3 (Focus Order) gleichzeitig.
Jede dieser drei Lücken ist für sich allein bußgeldrelevant. In der Kombination, und das ist der typische Fall, steigt das Risiko deutlich.
Was schon ein erfolgreicher Audit-Fix kostet, und was nicht
Ein WCAG 2.2-Audit eines mittleren Shops kostet bei einer spezialisierten Agentur zwischen 6.000 und 18.000 Euro, abhängig von Tiefe und Template-Anzahl. Der Refactor der drei oben genannten Lücken liegt erfahrungsgemäß bei 80 bis 200 Entwickler-Stunden, also grob 12.000 bis 30.000 Euro Engineering-Kosten. Dazu kommt QA und Re-Audit, etwa 4.000 bis 8.000 Euro.
Zum Vergleich: Ein einzelner Bußgeldbescheid liegt bei bis zu 100.000 Euro pro festgestelltem Verstoß. Schon ein durchschnittliches Verfahren kostet also mehr als ein vollständiger Audit-Fix.
Was viele Shops dabei übersehen: Der teuerste Anteil ist nicht der Audit, sondern das Komponenten-Refactoring. Wenn Du heute ein monolithisches Frontend hast, in dem Cart-Update-Logik, Cookie-Banner und Mega-Menü tief verdrahtet sind, dann wird jede Anpassung teuer. Eine Composable-Frontend-Architektur mit isolierten Komponenten halbiert diesen Aufwand in unserer Erfahrung.
Wie ein Composable-Frontend BFSG-Compliance strukturell einfacher macht
Laioutr ist bewusst so gebaut, dass A11y nicht nachträglich draufgepatcht wird, sondern in jeder Komponente schon enthalten ist. Das hat drei praktische Konsequenzen.
Erstens: Unsere WCAG-konformen Komponenten liefern als Default das, was Audits prüfen. Cookie-Banner mit korrektem Focus-Trap, Cart-Updates mit aria-live-Ansage, Mega-Menü mit Pfeil-Tasten-Navigation. Wir validieren intern gegen WCAG 2.2 und ziehen bereits gegen WCAG 3.0-Draft mit. Mehr zur Architektur findest Du im Hintergrundartikel Accessibility by Design: Why Laioutr is Built for WCAG 3.0.
Zweitens: Design-Tokens für Brand Consistency sorgen dafür, dass Kontrast-Werte zentral verwaltet sind. Wenn Dein Marketing-Team eine neue Farbe einführt, fängt das Token-System Kontrast-Verstöße schon im Design-System ab, nicht erst im Browser des Kunden.
Drittens: Der Visual Page Builder validiert Content im Editier-Schritt. Bilder ohne Alt-Text, Buttons ohne Label, Heading-Hierarchien mit übersprungenen Stufen werden im Studio rot markiert, bevor publiziert wird. Plus: Wir hosten in der EU und sind DSGVO-konform, was bei Compliance-Themen oft die zweite Frage nach BFSG ist.
Was Conversion- und UX-Teams jetzt in den nächsten 60 Tagen tun sollten
- Bestandsaufnahme mit Axe oder Wave. In zwei Stunden hast Du eine erste Liste der harten Verstöße. Das ersetzt kein Audit, gibt aber eine Priorisierungs-Basis.
- Cookie-Banner als ersten Fix. Hier ist das Risiko-Reward-Verhältnis am besten. Ein Wochenend-Sprint reicht in der Regel, wenn Du eine isolierte Komponente hast.
- Cart-Update-Ansage einbauen. aria-live="polite" plus eine kurze Statusmeldung. Drei bis fünf Story-Points in den meisten Setups.
- Mega-Menü Keyboard-Test live durchspielen. Lass jemanden im Team eine Woche lang nur mit Tastatur navigieren. Das ist der härteste Praxis-Test.
- Audit beauftragen, sobald die offensichtlichen Lücken zu sind. So zahlst Du den Audit nicht zweimal.
FAQ
Was kostet ein BFSG-Audit für einen mittleren Shop? Zwischen 6.000 und 18.000 Euro, abhängig von Template-Anzahl, Tiefe der Prüfung und ob ein Re-Audit nach Fixes enthalten ist.
Ab welcher Shop-Größe greift BFSG? BFSG greift ab 10 Mitarbeitenden oder einem Jahresumsatz über 2 Millionen Euro. Kleinstunternehmen sind ausgenommen, B2B-Shops aber nur teilweise. Im Zweifel prüfen, der activeMind-Guide hat eine klare Tabelle dazu.
Welche Bußgelder sind realistisch? Level Access nennt 100.000 Euro pro Verstoß als deutsche Obergrenze. In der Praxis liegen erste Bescheide niedriger, aber das Risiko skaliert mit der Anzahl der dokumentierten Lücken.
Was gilt für US-Shops mit DE-Kunden? Sobald Du in den deutschen Markt verkaufst, greift BFSG. Hosting-Ort und Firmensitz sind irrelevant.
Ist die Pflicht-Erfüllung statisch oder kontinuierlich? Kontinuierlich. Jede neue Komponente, jede Content-Änderung kann eine Lücke einführen. Deshalb ist eine A11y-Validierung im Publishing-Workflow wichtiger als ein einmaliger Audit.
Wer 2026 noch nicht angefangen hat, läuft jetzt in die kritische Phase. Eine WCAG-Ready-Demo zeigt Dir in 30 Minuten, welche der drei Lücken in Deinem Stack strukturell schon gelöst wären. Mehr Beiträge zum Thema findest Du auf laioutr.com und im Insights-Blog.