Compliance-Fragen, beantwortet

Veracly ist ein Dienst zur Überwachung der Website-Compliance für kleine und mittlere Unternehmen. Er prüft Ihre Website gegen die digitalen Regeln, die für Ihre Besucher gelten — Barrierefreiheit (European Accessibility Act (EAA) / BFSG, ADA, UK Equality Act, AODA), Datenschutz (DSGVO und die ePrivacy-Cookie-Regeln) sowie die Transparenzpflichten nach Artikel 50 der EU-KI-Verordnung — und liefert Ihnen anschließend einen verständlichen, nach Schweregrad geordneten Bericht mit einer Copy-and-paste-Lösung für jeden Befund.

Veracly crawlt Ihre Seiten, lässt die Barrierefreiheits-Engine axe-core gegen das gerenderte DOM laufen und erfasst jede Netzwerkanfrage, jedes Cookie und jeden Speichervorgang, der erfolgt, bevor ein Besucher mit Ihrem Cookie-Banner interagiert. Anschließend ordnet Veracly jeden Befund den jeweils einschlägigen Rechtsordnungen zu und bewertet ihn. Jeder Befund ist von Ihnen selbst in den DevTools Ihres eigenen Browsers reproduzierbar — der Bericht zeigt Ihnen genau, wie.

Der kostenlose Scan prüft eine einzelne Seite und sendet Ihnen in etwa fünf Minuten ein signiertes PDF per E-Mail — dieselbe Engine, dieselbe Bewertung, dieselbe kryptografische Signatur wie in der kostenpflichtigen Stufe. Kostenpflichtige Pläne ergänzen eine fortlaufende mehrseitige Überwachung, alle Rechtsordnungen in einem Bericht, geplante erneute Scans, Regressions-Benachrichtigungen sowie eine datierte Nachweis-Historie, die Sie teilen können.

Nein — und das ist bewusst so. Veracly ist ein unabhängiger Überwachungs- und Berichtsdienst: Er sagt Ihnen genau, was zu beheben ist und wie, verkauft aber nicht die Behebung selbst. Konformität wird erreicht, wenn Ihre Entwickler die festgestellten Probleme beheben; kein Werkzeug kann eine Website von sich aus konform machen. Diese Unabhängigkeit ist es, die Veraclys Befunde gegenüber einer Aufsichtsbehörde, einem Prüfer oder einer Rechtsberatung glaubwürdig macht.

Nein. Ein Veracly-Bericht ist ein technischer Compliance-Scan, der von automatisierter Software erstellt wird. Er dient ausschließlich der Information — er ist keine Rechtsberatung, keine aufsichtsrechtliche Stellungnahme und keine Prüfung nach § 317 HGB / ISA. Er ist dafür gedacht, Ihrer Rechtsberatung übergeben zu werden, die auf Grundlage der Befunde in Ihrer Rechtsordnung tätig werden kann.

Der European Accessibility Act (EAA) — Directive (EU) 2019/882 — verlangt, dass eine breite Palette digitaler Produkte und Dienstleistungen, die an EU-Verbraucher verkauft werden, barrierefrei ist. Jeder Mitgliedstaat setzt ihn in nationales Recht um; in Deutschland ist das das Barrierefreiheitsstärkungsgesetz (BFSG). In der Praxis wird die Konformität an EN 301 549 gemessen, das auf die Erfolgskriterien von WCAG 2.1 AA verweist.

Die nationalen Regeln des EAA gelten ab dem 28. Juni 2025. Ab diesem Datum wird von Unternehmen im Anwendungsbereich, die an EU-Verbraucher verkaufen, erwartet, dass sie die Anforderungen an die Barrierefreiheit erfüllen. Einige Mitgliedstaaten gewähren begrenzte Übergangsfristen für bestehende Dienstleistungsverträge, neue digitale Dienste sind jedoch bereits jetzt erfasst.

Er gilt für Unternehmen, die erfasste Produkte und Dienstleistungen an EU-Verbraucher anbieten — darunter E-Commerce, Bankwesen, E-Books, Verkehr und Telekommunikation. Es gibt eine Erleichterung für Kleinstunternehmen bei Dienstleistern mit weniger als 10 Beschäftigten und einem Jahresumsatz oder einer Bilanzsumme von höchstens 2 Mio. €, doch sie ist eng gefasst und umfasst keine Produkte. Wenn Sie online an EU-Verbraucher verkaufen, gehen Sie davon aus, dass Sie wahrscheinlich in den Anwendungsbereich fallen, und klären Sie dies mit Ihrer Rechtsberatung.

WCAG (Web Content Accessibility Guidelines) ist der W3C-Standard für barrierefreie Webinhalte, gegliedert in die Stufen A, AA und AAA. AA ist die Messlatte, auf die sich die meisten Gesetze beziehen. Veracly bewertet Ihre Website anhand von WCAG 2.2 AA — der aktuellen Version — und berichtet zusätzlich den rechtlichen Mindestwert (WCAG 2.1 AA für EAA, ADA und UK Equality Act; WCAG 2.0 AA für AODA), damit Sie beides sehen.

Für die meisten privaten Unternehmen haben US-Gerichte den Americans with Disabilities Act (Title III) über Rechtsprechung wie Robles v. Domino’s und Gil v. Winn-Dixie auf Websites angewandt und dabei in der Regel an WCAG 2.1 AA gemessen. Für Websites von Behörden auf Ebene der Bundesstaaten und Kommunen legt die Title-II-Regelung des DOJ von 2024 ausdrücklich WCAG 2.1 AA fest. Wenn Sie Besucher aus den USA haben, stellt der ADA ein reales Risiko dar.

Der UK Equality Act 2010 (§20) verpflichtet Dienstleister, angemessene Vorkehrungen zu treffen, damit Menschen mit Behinderungen einen Dienst nutzen können — was Gerichte und die EHRC so behandeln, dass es auch Websites einschließt. WCAG 2.1 AA ist der praktische Maßstab, mit dem nachgewiesen wird, dass diese Vorkehrungen getroffen wurden.

Der Accessibility for Ontarians with Disabilities Act (AODA) verlangt von Organisationen in Ontario, ihre Webinhalte barrierefrei zu gestalten. Seine Integrated Accessibility Standards Regulation (O. Reg. 191/11, §14) verweist auf WCAG 2.0 AA als rechtlichen Mindeststandard. Veracly bewertet AODA anhand dieses 2.0-Mindeststandards und zeigt zugleich die umfassendere 2.2-Sicht zum Vergleich.

Nach der ePrivacy-Richtlinie (Art. 5(3)) und der DSGVO dürfen nicht notwendige Cookies und Tracker — Analyse, Werbe-Pixel und Ähnliches — erst gesetzt werden, nachdem der Besucher eine vorherige, informierte und freiwillig erteilte Einwilligung gegeben hat. Unbedingt erforderliche Cookies sind ausgenommen. Der häufigste Verstoß, den Veracly erkennt, sind Tracker, die beim Laden der Seite auslösen, bevor irgendeine Banner-Interaktion stattgefunden hat.

§ 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ist die deutsche Umsetzung von Art. 5(3) der ePrivacy-Richtlinie. Er verlangt eine Einwilligung, bevor Informationen auf dem Endgerät eines Nutzers gespeichert oder ausgelesen werden — also bevor nicht notwendige Cookies gesetzt oder Local-/Session-Storage zum Tracking genutzt werden. Anders als das BFSG kennt er keine Ausnahme für Kleinstunternehmen.

Ein Pre-Consent-Tracker ist ein Cookie, ein Speichereintrag oder eine Drittanbieter-Anfrage, die auslöst, bevor der Besucher das Cookie-Banner akzeptiert. Da die Einwilligung zuerst erfolgen muss, gehören diese zu den eindeutigsten und am besten reproduzierbaren Datenschutzproblemen — Sie können sie selbst in den DevTools bestätigen (z. B. F12 → Network, dann neu laden und beobachten, welche Anfragen vor jedem Klick auslösen).

Aufsichtsbehörden (darunter der EDPB und mehrere nationale Behörden) vertreten die Auffassung, dass das Ablehnen nicht notwendiger Cookies genauso einfach sein muss wie das Akzeptieren — typischerweise ein gleich auffälliges „Alle ablehnen“ neben „Alle akzeptieren“ auf der ersten Ebene. Ein Banner, das nur „Akzeptieren“ anbietet oder die Ablehn-Option versteckt, ist ein häufiger, reproduzierbarer Befund.

Artikel 50 der EU-KI-Verordnung legt Transparenzpflichten fest: Sie müssen Menschen darüber informieren, wenn sie mit einem KI-System (etwa einem Chatbot) interagieren, und KI-generierte oder manipulierte Inhalte (Text, Bilder, Audio, Video) müssen als solche gekennzeichnet werden. Es handelt sich um eine Transparenzpflicht, getrennt von den Regeln der Verordnung für Hochrisiko-KI.

Die Transparenzpflichten nach Artikel 50 gelten EU-weit ab dem 2. August 2026. Wenn Ihre Website einen Chatbot nutzt oder KI-generierte Inhalte für EU-Besucher veröffentlicht, ist das das Datum, bis zu dem Sie bereit sein sollten.

Ja — nach Artikel 50(1) müssen Sie, wenn ein Besucher mit einem KI-System wie einem Chatbot oder KI-Assistenten interagiert, deutlich machen, dass er nicht mit einem Menschen spricht (es sei denn, dies ergibt sich offensichtlich aus dem Kontext). Veracly erkennt gängige Chat-/Assistenten-Widgets und prüft, ob ein klarer KI-Hinweis vorhanden ist.

Veracly führt eine Transparenz-Bereitschaftsprüfung für Artikel 50 durch — sie kennzeichnet einen nicht offengelegten Chatbot oder einen fehlenden KI-Nutzungshinweis, damit Sie diese vor der Frist angehen können. Es handelt sich um ein Bereitschaftssignal, nicht um eine Feststellung, dass Ihre Website „mit der KI-Verordnung konform“ ist, und es deckt nicht die Governance-Anforderungen der Verordnung für Hochrisiko-KI ab.

Jeder Bericht ist kryptografisch signiert (Ed25519) und im Audit-Ledger von Veracly verankert. Die Signatur erstreckt sich auf das exakte PDF, sodass jede Manipulation erkennbar ist. Der Bericht trägt eine Verifizierungs-ID und eine Verify-URL, damit seine Herkunft unabhängig bestätigt werden kann.

Ja. Jeder, der das PDF besitzt, kann den Verify-Link aufrufen und die Signatur gegen den öffentlichen Schlüssel von Veracly abgleichen, veröffentlicht unter veracly.app/.well-known/veracly-signing-key.json. Die Verifizierung läuft in seinem Browser — kein Veracly-Konto und kein Veracly-Server im Vertrauenspfad —, und genau das macht sie für Dritte glaubwürdig.

Ein Bericht aus dem kostenlosen Scan bleibt 60 Tage herunterladbar, und sein kryptografischer Verifizierungsnachweis wird für denselben Zeitraum aufbewahrt; der Bericht selbst läuft nie ab, sobald Sie das PDF gespeichert haben. Kostenpflichtige Berichte bleiben für Ihr Konto verfügbar, und ihre Audit-Ledger-Verankerungen bleiben bestehen, sodass der Bericht über die Zeit unabhängig verifizierbar bleibt.

Ja — dafür ist er gemacht. Da der Bericht unabhängig verifizierbar ist, ohne Veracly vertrauen zu müssen, können Sie ihn Ihrer Rechtsberatung, einem Prüfer, einer Aufsichtsbehörde oder einem Käufer im Rahmen einer Due Diligence übergeben, und diese können bestätigen, dass er echt und unverändert ist. Kostenpflichtige Websites können zudem eine fortlaufende, datierte Nachweis-Zeitleiste teilen.

Ein Scan einer einzelnen Seite ist kostenlos. Kostenpflichtige Pläne werden monatlich pro Website abgerechnet und skalieren danach, wie viele Seiten und Websites Sie überwachen; aktuelle Stufen und Preise finden Sie im Preisbereich auf veracly.app. Für den kostenlosen Scan und einen vollständigen signierten Bericht im Voraus fallen keine Kosten an.

Kostenpflichtige Pläne ergänzen eine fortlaufende, geplante Überwachung über mehrere Seiten hinweg; alle fünf Rechtsordnungen plus die Prüfung nach der EU-KI-Verordnung in einem einzigen Bericht; Regressions-Benachrichtigungen, wenn ein neues Problem auftritt; eine datierte, unabhängig verifizierbare Nachweis-Historie; sowie signierte PDF-Berichte, die Sie mit Ihrer Rechtsberatung oder mit Käufern teilen können.

Veracly scannt nur das, was der Browser eines normalen Besuchers laden würde: öffentliche Seiteninhalte, die Drittanbieter-Anfragen, die Ihre Seiten stellen, sowie die Cookies und Speichereinträge, die sie schreiben. Es erkennt clientseitiges Tracking; serverseitige Datenflüsse (etwa Server-zu-Server-Pixel-APIs) liegen außerhalb des Umfangs und werden im Bericht entsprechend vermerkt.

Scan-Ergebnisse und erstellte Berichte werden nur so lange aufbewahrt, wie es für den Dienst erforderlich ist, und dann nach einem festen Zeitplan gelöscht — Berichte aus dem kostenlosen Scan für 60 Tage, mit längeren Zeiträumen für kostenpflichtige Scan-Daten und die Audit-Ledger-Verankerungen, die Berichte verifizierbar halten. Die vollständigen, aktuellen Aufbewahrungsfristen sind in der Datenschutzerklärung von Veracly veröffentlicht.

Veracly prüft die Compliance, verkauft aber nicht die Behebung — daher tragen seine Befunde keinen Interessenkonflikt. Ein Werkzeug, das Ihnen auch die Behebung verkaufte, könnte sie nicht glaubwürdig bescheinigen. Diese Unabhängigkeit ist es, die einen Veracly-Bericht zu etwas macht, das Sie einer Aufsichtsbehörde, einem Prüfer oder einem Käufer vorlegen können.