Was ist ein Website-Compliance-Audit? Ein praktischer Leitfaden für KMU

Wenn Sie ein KMU mit Website betreiben, haben sich die geltenden Regeln in den letzten fünf Jahren vervielfacht. Barrierefreiheits-Gesetze treffen jetzt private Unternehmen in der EU, im UK, in den USA, Kanada und Australien. Die Datenschutzaufsichten haben von Verwarnungen auf umsatzproportionale Bußgelder umgeschwenkt. Cookie-Einwilligungen sind längst nicht mehr nur ein EU-Thema.

Ein Website-Compliance-Audit ist die strukturierte Prüfung, mit der Sie herausfinden, ob Ihre Website wirklich den Gesetzen entspricht, die für sie gelten. Dieser Beitrag erklärt, was das Audit umfasst, wie man es ohne wochenlangen Beratungsaufwand durchführt und was ein KMU als Erstes anpacken sollte.

Was geprüft wird

Es gibt kein einheitliches Globalgesetz für „Website-Compliance“. Das Audit ist eine Checkliste aus den Regelungen, die dort gelten, wo Ihre Besucher leben. Für die meisten KMU in der EU, im UK oder in den USA decken die folgenden vier Listen 90 % des tatsächlichen Risikos ab.

1. Barrierefreiheit

Standard ist WCAG 2.1 Stufe AA. Sie wird vom Europäischen Rechtsakt zur Barrierefreiheit (in Deutschland umgesetzt als BFSG, in Kraft seit 28. Juni 2025), vom UK Equality Act, vom Americans with Disabilities Act (Title III), vom AODA und nahezu jedem anderen relevanten Gesetz weltweit referenziert. Ein automatisierter Scan erfasst etwa 30–40 % der Probleme — Kontraste, fehlende Alt-Texte, Formularlabels, Tastaturfallen, falsche ARIA-Nutzung. Den Rest findet nur ein manueller Test, aber der Scan zeigt, ob die offensichtlichen Probleme existieren.

Mehr lesen: WCAG 2.1 AA Barrierefreiheits-Audit erklärt.

2. Datenschutz und Einwilligung

Für Besucher aus EU/UK ist die Einwilligung für nicht-essentielle Cookies und Tracker zwingend vor deren Ausführung. Ein echtes Audit erfasst den Netzwerkverkehr beim ersten Seitenaufruf, bevor der Nutzer überhaupt klickt. Banner mit „Durch Nutzung der Seite stimmen Sie zu“ oder die Tracker auf Pageload abschießen, sind die häufigste Schwachstelle — und für eine Aufsichtsbehörde am leichtesten zu erkennen.

Mehr lesen: Was ist ein DSGVO-Cookie-Audit?

3. Tracking und Analytics

Geprüft werden Tracking-Pixel (Meta, TikTok, LinkedIn, Google Ads), Session-Recorder (Hotjar, FullStory, Microsoft Clarity), Werbe-Tags und alles, was Besucherverhalten an Dritte sendet. Jedes Tool hat DSGVO-, ePrivacy- und mittlerweile auch US-bundesstaatliche Implikationen. Die Lösung ist meistens nicht das Entfernen, sondern das nachgelagerte Laden nach Einwilligung und die korrekte Offenlegung.

Mehr lesen: Tracking-Pixel-Audit: DSGVO und ePrivacy.

4. Pflichtseiten

• Datenschutzerklärung, die zu dem passt, was die Seite tatsächlich tut
• Cookie-Richtlinie mit aktuellem Cookie-Inventar
• Erklärung zur Barrierefreiheit (Pflicht unter EAA/BFSG seit Juni 2025)
• Impressum (in Deutschland, Österreich, Schweiz Pflicht)
• AGB, sobald Sie etwas verkaufen

Manuelles Audit vs. kontinuierliches Scannen

Ein Beratungs-Audit dauert 2–6 Wochen und kostet für eine KMU-Website 5.000–20.000 €. Das ist als Momentaufnahme in Ordnung — aber die meisten Compliance-Regressionen entstehen nach dem Audit, im laufenden Produktbetrieb. Ein neues Drittanbieter-Widget, ein überarbeitetes Anmeldeformular, ein vom Marketing eingesetztes Analytics-Tool, das in der Entwicklung niemand kennt. Kontinuierliches Scannen erkennt das am Tag des Deploys statt Monate später, wenn der Brief der Aufsichtsbehörde kommt.

Was KMU als Erstes angehen sollten

1. Tracker vor Einwilligung stoppen. Höchstes Risiko, einfachste Behebung. Verschieben Sie jeden Meta-/TikTok-/LinkedIn-Pixel und jede nicht-essentielle Analytics hinter eine Einwilligungsprüfung.
2. „Durch Weiternutzung stimmen Sie zu“-Banner ersetzen durch ein Banner mit gleichwertigen Buttons „Akzeptieren“ und „Ablehnen“. CNIL, ICO und Garante haben für die Alternative bereits Bußgelder verhängt.
3. Top-WCAG-Verstöße beheben. Kontraste, fehlende Alt-Texte, Formular-Labels, Fokus-Zustände, Tastaturfallen. Diese fünf Punkte machen den Großteil echter Beschwerden aus.
4. Erklärung zur Barrierefreiheit veröffentlichen. EAA/BFSG schreiben das seit Juni 2025 vor.
5. Datenschutzerklärung an die Realität anpassen. Die meisten KMU-Erklärungen sind Vorlagen ohne Bezug zur Live-Site. Aufsichten prüfen das.

Häufige Fehler

Vertrauen in ein Accessibility-Overlay. Die FTC hat accessiBe im Januar 2025 mit 1 Mio. USD Bußgeld belegt, weil deren Marketing zu Overlays irreführend war. Overlays schaffen keine Compliance — sie verdecken Probleme zur Laufzeit, der Code bleibt für viele Nutzer unbenutzbar und für Klagen angreifbar.

Compliance als reines US- oder EU-Thema betrachten. Die meisten KMU-Sites bedienen heute Besucher aus mehreren Jurisdiktionen.

Nur einmal auditieren. Häufiges Muster: gründliches Audit, sauberer Bericht, sechs Monate Routine-Releases, Behördenbrief. Machen Sie das Audit zum festen Teil Ihres Release-Prozesses.

So geht Veracly damit um

Veracly wurde speziell für die KMU-Variante dieses Problems gebaut. Ein Scan berichtet gleichzeitig gegen EAA/BFSG, DSGVO, ADA, UK Equality Act, AODA und US-State-Gesetze, mit entwicklergerechten Fixes pro Verstoß und kontinuierlichem Monitoring nach der Baseline. Starten Sie einen kostenlosen Scan und sehen Sie Ihre Website mit den Augen einer Aufsichtsbehörde — bevor diese hinschaut.