Zurück zum Blog
TIPPS 22.03.2026 · 9 Min. Lesezeit

DSGVO-konform scannen: So prüfen Sie Barrierefreiheit ohne Datenschutzrisiko

Barrierefreiheits-Scans verarbeiten personenbezogene Daten. Erfahren Sie, welche DSGVO-Anforderungen ein Scanning-Tool erfüllen muss und worauf Shop-Betreiber bei der Auswahl achten sollten.

DSGVO-konformes Website-Scanning-Tool: Person prüft Barrierefreiheit auf einem Monitor mit EU-Datenschutz-Symbolen

Das Wichtigste in Kürze: Jedes Barrierefreiheits-Scanning-Tool verarbeitet personenbezogene Daten – mindestens IP-Adressen, oft auch Seitenstrukturen und Formularinhalte. Rechtsgrundlage ist in der Regel Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Entscheidend bei der Tool-Auswahl sind: Serverstandort in der EU, keine Speicherung von IP-Adressen über die Scan-Dauer hinaus, ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO und technisch-organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO. Achten Sie zusätzlich auf transparente Datenverarbeitungshinweise, Zugriffssteuerung bei Multi-Projekt-Nutzung und exportierbare Reports für Ihre Nachweispflicht nach Art. 5 Abs. 2 DSGVO.

Warum Barrierefreiheits-Scans ein Datenschutz-Thema sind

Wer seinen Online-Shop auf BFSG-Konformität prüft, denkt zuerst an WCAG-Kriterien, Kontraste und Alt-Texte. Dabei wird leicht übersehen: Jeder Scan verarbeitet Daten, die unter die DSGVO fallen können.

Welche Daten ein Scanning-Tool typischerweise verarbeitet

Datentyp Beispiel DSGVO-relevant?
IP-Adresse des Scanners Server-zu-Server-Kommunikation Ja (Art. 4 Nr. 1 DSGVO)
IP-Adresse des Nutzers Wer den Scan auslöst Ja
URL-Strukturen /checkout, /konto/bestellungen Potenziell (wenn Pfade Nutzerdaten enthalten)
Seitenquelltext HTML inkl. Formulare, Eingabefelder Ja, wenn personenbezogene Inhalte erfasst werden
Screenshot-Daten Visuelle Erfassung der Seite Ja, wenn Nutzerdaten sichtbar sind
Scan-Ergebnisse Fehlerprotokolle mit Seitenkontext Potenziell

Der entscheidende Punkt: Selbst wenn ein Tool keine Nutzerdaten speichern will, kann es sie während des Scans verarbeiten – und das reicht für die DSGVO-Anwendbarkeit aus (Art. 4 Nr. 2 DSGVO definiert „Verarbeitung" bereits als Erhebung und Auslesen).

Das Paradoxon: Compliance schaffen, ohne neue Compliance-Lücken zu öffnen

Sie nutzen ein Scanning-Tool, um die BFSG-Pflicht zu erfüllen. Wenn dieses Tool die DSGVO verletzt, tauschen Sie ein Risiko gegen ein anderes. Konkret:

  • Ohne AVV haften Sie als Verantwortlicher für die Datenverarbeitung durch den Tool-Anbieter (Art. 28 Abs. 10 DSGVO – Bußgeld bis 10 Mio. € oder 2 % des Jahresumsatzes)
  • Ohne TOM-Nachweis fehlt Ihnen bei einer Datenschutzbeschwerde die Dokumentation
  • Bei Drittlandtransfer (z. B. USA) brauchen Sie zusätzlich Standardvertragsklauseln oder einen Angemessenheitsbeschluss

Gerade Agenturen, die Kundenprojekte scannen, agieren oft als Auftragsverarbeiter – ohne es zu wissen.

Die rechtlichen Anforderungen im Detail

Rechtsgrundlage: Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO

Für die meisten Barrierefreiheits-Scans kommt Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage in Betracht. Das berechtigte Interesse liegt in der Erfüllung gesetzlicher Barrierefreiheitspflichten (BFSG, § 3 Abs. 1). Die Interessenabwägung fällt in der Regel positiv aus, wenn:

  1. Nur technisch notwendige Daten verarbeitet werden
  2. IP-Adressen nicht über die Scan-Dauer hinaus gespeichert werden
  3. Keine Profilerstellung stattfindet
  4. Die Verarbeitung dokumentiert und transparent erfolgt

Auftragsverarbeitung: Wann ein AVV Pflicht ist

Sobald ein externer Anbieter in Ihrem Auftrag Daten verarbeitet – und das ist bei jedem Cloud-basierten Scanning-Tool der Fall –, schreibt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag vor. Der AVV muss mindestens regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Datenverarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO
  • Unterauftragnehmer (z. B. Hosting-Provider des Tool-Anbieters)

Praxistipp: Fragen Sie beim Tool-Anbieter aktiv nach dem AVV. Wenn keiner angeboten wird, ist das ein Warnsignal.

Technisch-organisatorische Maßnahmen (TOM)

Art. 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen". Für ein Scanning-Tool bedeutet das konkret:

Maßnahme Umsetzung
Verschlüsselung bei Übertragung TLS 1.2+ für alle API-Kommunikation
Verschlüsselung bei Speicherung AES-256 für gespeicherte Scan-Ergebnisse
Zugriffskontrolle Rollenbasierte Berechtigungen, keine geteilten Accounts
Protokollierung Nachvollziehbarkeit, wer wann was gescannt hat
Datensparsamkeit Nur technisch notwendige Daten erfassen
Löschkonzept Automatische Löschung nach definiertem Zeitraum

Checkliste: So erkennen Sie ein datenschutzkonformes Scanning-Tool

Nicht jedes Tool, das „DSGVO-konform" im Marketing schreibt, erfüllt die Anforderungen tatsächlich. Prüfen Sie diese Punkte:

Muss-Kriterien

  • Serverstandort in der EU – idealerweise Deutschland. Kein Datentransfer in Drittländer ohne Rechtsgrundlage
  • AVV verfügbar – als Download oder auf Anfrage, nicht erst nach langem Nachfragen
  • Keine IP-Speicherung über die Scan-Dauer hinaus – fragen Sie explizit nach der Speicherdauer
  • TLS-Verschlüsselung für alle Datenübertragungen
  • Transparente Datenschutzerklärung – welche Daten werden konkret verarbeitet?
  • Kein Login für Erstscans – wer nur eine URL prüfen will, sollte kein Konto anlegen müssen

Soll-Kriterien

  • Rollenbasierte Zugriffssteuerung – besonders wichtig für Agenturen mit mehreren Mandanten
  • Exportierbare Reports – PDF oder andere Formate für Ihre Nachweispflicht
  • Löschfunktion – Sie müssen Scan-Daten auf Wunsch entfernen können (Art. 17 DSGVO)
  • Deutschsprachige Berichte – reduziert Übersetzungsfehler und spart interne Abstimmung
  • Dokumentierte TOM – der Anbieter kann seine Sicherheitsmaßnahmen nachweisen
  • Subunternehmer-Liste – welche Drittanbieter sind an der Verarbeitung beteiligt?

Drei typische Datenschutz-Fallen bei Barrierefreiheits-Scans

Falle 1: Kostenlose US-Tools ohne AVV

Viele verbreitete Accessibility-Scanner (z. B. Browser-Extensions oder Open-Source-Tools mit Cloud-Backend) übertragen Seitendaten an Server in den USA. Ohne Angemessenheitsbeschluss oder Standardvertragsklauseln ist das seit dem Schrems-II-Urteil (EuGH, Rs. C-311/18) problematisch.

Risiko: Sie scannen Ihren Shop auf BFSG-Konformität, verstoßen dabei aber gegen die DSGVO. Eine Datenschutzbeschwerde durch einen Betroffenen kann ein Bußgeldverfahren auslösen.

Falle 2: Screenshots von eingeloggten Bereichen

Einige Tools erstellen Screenshots als Teil des Scan-Berichts. Wenn Sie dabei eingeloggte Bereiche scannen (Kundenkonto, Bestellübersicht, Dashboard), können personenbezogene Daten Dritter in den Screenshots landen – ohne deren Einwilligung.

Lösung: Scannen Sie nur öffentlich zugängliche Seiten automatisiert. Für eingeloggte Bereiche nutzen Sie Testaccounts mit Dummy-Daten.

Falle 3: Geteilte Agentur-Accounts

Agenturen, die einen Account für alle Mitarbeiter und Kundenprojekte nutzen, haben kein Audit-Trail. Wenn ein Mandant nach Art. 15 DSGVO Auskunft verlangt oder Löschung nach Art. 17 fordert, lässt sich ohne Zugriffsprotokollierung nicht nachvollziehen, wer welche Daten wann verarbeitet hat.

Lösung: Nutzen Sie Tools mit separaten Projekten und individuellen Benutzerkonten.

Wie CheckBarriere das Thema Datenschutz löst

CheckBarriere wurde von Anfang an so entwickelt, dass Barrierefreiheits-Scans ohne unnötige Datenverarbeitung funktionieren:

Anforderung Umsetzung bei CheckBarriere
Serverstandort Deutschland (Netcup, Nürnberg)
IP-Adressen Werden nicht gespeichert – auch nicht temporär in Logs
AVV Verfügbar und auf Anfrage bereitgestellt
Kostenloser Erstscan Ohne Registrierung – keine E-Mail, kein Account nötig
Verschlüsselung TLS 1.3, HSTS mit Preload
Scan-Ergebnisse Nur die gescannte URL und technische Ergebnisse werden gespeichert – keine Seiteninhalte
Zugriffssteuerung Separate Projekte pro Domain im Pro-Plan
Reports Deutschsprachig, als PDF exportierbar, mit BFSG-Bezug und Priorisierung
Löschung Scan-Daten jederzeit löschbar

Der Scanner arbeitet serverseitig: Er ruft die öffentlich erreichbare URL auf, analysiert den HTML-Quelltext gegen WCAG 2.1 AA-Kriterien und speichert ausschließlich die technischen Prüfergebnisse. Personenbezogene Inhalte der gescannten Seite werden weder gespeichert noch an Dritte weitergegeben.

Besonderheiten für Agenturen und Freelancer

Wer Barrierefreiheits-Scans für Kunden durchführt, hat eine doppelte Verantwortung: gegenüber den eigenen Kunden und gegenüber deren Endnutzern.

Auftragsverarbeitung in der Kette

Ihr Kunde (Verantwortlicher)
    → Sie als Agentur (Auftragsverarbeiter)
        → Scanning-Tool (Unterauftragnehmer)

In dieser Konstellation brauchen Sie:

  1. Einen AVV zwischen Ihrem Kunden und Ihnen
  2. Einen AVV zwischen Ihnen und dem Tool-Anbieter
  3. Die Zustimmung Ihres Kunden zur Nutzung von Unterauftragsverarbeitern

Dokumentationspflicht nach Art. 30 DSGVO

Als Auftragsverarbeiter müssen Sie ein Verzeichnis der Verarbeitungstätigkeiten führen. Für Barrierefreiheits-Scans sollte dieses mindestens enthalten:

  • Name und Kontaktdaten des Verantwortlichen (Ihres Kunden)
  • Kategorien der verarbeiteten Daten (URLs, technische Scan-Ergebnisse)
  • Empfänger (Tool-Anbieter als Unterauftragnehmer)
  • Vorgesehene Löschfristen
  • Beschreibung der TOM

Einmaliger Scan oder kontinuierliches Monitoring?

Diese Entscheidung hat auch datenschutzrechtliche Auswirkungen:

Aspekt Einmal-Scan Dauerhaftes Monitoring
Datenverarbeitung Einmalig, punktuell Regelmäßig, wiederkehrend
Speicherdauer Kurz (einmalige Ergebnisse) Länger (Verlaufsdaten)
AVV nötig? Ja, bei Cloud-Tool Ja, zwingend
Nachweisbarkeit Momentaufnahme Verlaufsdokumentation für Nachweispflicht
Datenschutz-Risiko Geringer Höher (mehr Daten über Zeit)

Für die BFSG-Compliance empfiehlt sich Monitoring, weil sich Shops laufend ändern – neue Templates, Plugins, Produktseiten. Datenschutzrechtlich bedeutet das aber auch: Sie brauchen ein klares Löschkonzept für veraltete Scan-Daten und eine dokumentierte Rechtsgrundlage für die wiederkehrende Verarbeitung.

Häufige Fragen

Brauche ich für einen kostenlosen Barrierefreiheits-Scan einen AVV?

Wenn der Scan über ein Cloud-basiertes Tool läuft und dabei personenbezogene Daten verarbeitet werden (mindestens Ihre IP-Adresse), ist ein AVV nach Art. 28 DSGVO grundsätzlich erforderlich. Bei einem einmaligen Scan ohne Account-Erstellung ist das Risiko gering, aber formal besteht die Pflicht. Tools, die keinen AVV anbieten, sollten Sie kritisch prüfen.

Darf ich die Website meines Kunden ohne dessen Einwilligung scannen?

Sie sollten Ihren Kunden informieren, bevor Sie dessen Website mit einem externen Tool scannen. Idealerweise regeln Sie das im Dienstleistungsvertrag oder in einem separaten AVV. Bei öffentlich zugänglichen Seiten ist das Risiko gering, bei Staging-Umgebungen oder passwortgeschützten Bereichen ist eine explizite Vereinbarung nötig.

Welche Daten darf ein Scanning-Tool maximal speichern?

Gemäß dem Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) darf ein Tool nur die Daten speichern, die für den Scan-Zweck erforderlich sind: die gescannte URL, die technischen Ergebnisse (WCAG-Verstöße), den Zeitstempel und ggf. Ihre Account-Daten. Seitenquelltext, Formularinhalte oder IP-Adressen sollten nach dem Scan gelöscht werden.

Sind Browser-Extensions für Barrierefreiheits-Scans DSGVO-konform?

Das hängt davon ab, ob und wohin die Extension Daten sendet. Rein lokale Tools (z. B. axe DevTools im Browser) verarbeiten Daten nur auf Ihrem Rechner – hier gelten andere Regeln als bei Cloud-basierten Lösungen. Prüfen Sie die Datenschutzerklärung der Extension und ob Daten an externe Server übermittelt werden.

Was passiert, wenn mein Scanning-Tool gegen die DSGVO verstößt?

Als Verantwortlicher haften Sie für die Auswahl eines geeigneten Auftragsverarbeiters (Art. 28 Abs. 1 DSGVO – „hinreichende Garantien"). Wenn Sie ein Tool ohne AVV oder mit unzureichenden TOM einsetzen und es zu einer Datenschutzverletzung kommt, tragen Sie die Haftung – unabhängig davon, ob der Tool-Anbieter den Fehler verursacht hat.

Fazit: Datenschutz als Auswahlkriterium, nicht als Nachgedanke

Ein Barrierefreiheits-Scanner ist nur so gut wie sein Umgang mit Ihren Daten. Wer die BFSG-Pflicht ernst nimmt, sollte auch die DSGVO-Konformität des gewählten Tools ernst nehmen – nicht als bürokratische Pflichtübung, sondern als echten Qualitätsindikator.

Die drei wichtigsten Punkte bei der Tool-Auswahl:

  1. AVV und TOM prüfen – bevor Sie den ersten Scan starten
  2. Serverstandort bestätigen – EU, idealerweise Deutschland
  3. Datensparsamkeit verifizieren – welche Daten werden gespeichert, wie lange, warum?

Wenn Sie ein Tool finden, das diese Fragen klar und ohne Ausflüchte beantwortet, sind Sie auf der sicheren Seite – für Barrierefreiheit und Datenschutz gleichzeitig.

Rechtshinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Bei konkreten datenschutzrechtlichen Fragen wenden Sie sich an einen Fachanwalt für IT-Recht oder Ihren Datenschutzbeauftragten.

Stand: März 2026

Artikel teilen

LinkedIn X
Engin Yildirim, Gründer von CheckBarriere

Engin Yildirim

Gründer & Softwareentwickler · CheckBarriere

Softwareentwickler mit über 13 Jahren Erfahrung. Spezialisiert auf WCAG 2.1, BFSG-Compliance und barrierefreie Web-Entwicklung.

LinkedIn Mehr über den Autor →

Veröffentlicht am 22.03.2026