Logo
  • Home
  • Service
  • Über LLH
  • FAQ
  • Kontakt

  • POPIA und DSGVO: Datenschutz als Wachstumsstrategie für Startups in Südafrika

    19.02.2026

    Südafrika zählt zu den dynamischsten Wachstumsmärkten auf dem afrikanischen Kontinent – und Kapstadt entwickelt sich dabei zu einem echten Hub für Startups und Tech-Unternehmen. Doch wer in diesem Markt erfolgreich sein will, kommt an einem Thema nicht vorbei: Datenschutz. Mit dem Protection of Personal Information Act (POPIA) hat Südafrika ein Datenschutzgesetz etabliert, das in vielerlei Hinsicht an die europäische Datenschutz-Grundverordnung (DSGVO) erinnert – und internationale Unternehmen sowie lokale Gründer gleichermaßen vor neue Anforderungen stellt. Dieser Artikel beleuchtet, wie sich POPIA und DSGVO im direkten Vergleich unterscheiden, wo sie sich überschneiden und warum ein proaktiver Umgang mit Datenschutz gerade für die aufstrebende Startup-Szene rund um Kapstadt kein bürokratisches Hindernis, sondern ein echter strategischer Wettbewerbsvorteil sein kann.

    Kapstadt als Startup-Hub: Wenn Europa und Afrika aufeinandertreffen

    Wer in der Berliner Startup-Szene unterwegs ist, hat in den letzten Jahren eine bemerkenswerte Entwicklung beobachtet: Immer mehr Gründerinnen und Gründer, Investoren und Tech-Talente zieht es nach Kapstadt. Die südafrikanische Metropole hat sich zu einem ernstzunehmenden Startup-Ökosystem entwickelt mit einer wachsenden Tech-Community, günstigeren Lebenshaltungskosten im Vergleich zu europäischen Großstädten und einer Zeitzone, die Zusammenarbeit mit Europa problemlos erlaubt. Gleichzeitig entkommen viele dem grauen Berliner Winter, blühen im sonnigen Klima auf und berichten, dort motivierter und produktiver zu arbeiten.

    Datenschutz in Kapstadt

    Initiativen wie das Silicon Cape Initiative-Netzwerk, The Delta oder Programme wie Grindstone und LaunchLab sowie eine wachsende Zahl von Acceleratoren und Co-Working-Spaces haben Kapstadt auf die globale Startup-Landkarte gesetzt. Für deutsche Unternehmen, die mit südafrikanischen Nutzerinnen und Nutzern interagieren, sei es über eine App, einen Online-Shop oder eine SaaS-Plattform, stellt sich damit unweigerlich eine rechtliche Frage: Welche Datenschutzregeln gelten hier eigentlich?

    Die Antwort lautet: Das südafrikanische Datenschutzrecht hat in den letzten Jahren deutlich aufgeholt. Mit dem POPIA verfügt Südafrika seit 2021 über ein umfassendes Datenschutzgesetz – und wer glaubt, dass es sich dabei um eine schwache Kopie der DSGVO handelt, liegt falsch.

    Was ist POPIA und warum zieht Südafrika nach?

    Der Protection of Personal Information Act 4 of 2013 (POPIA) ist seit dem 1. Juli 2021 vollständig in Kraft. Er regelt, wie personenbezogene Daten von natürlichen und juristischen Personen in Südafrika verarbeitet werden dürfen. Begleitet wird POPIA vom Promotion of Access to Information Act 2 of 2000 (PAIA), der ein eigenständiges Recht auf Zugang zu Informationen gewährt – ein Aspekt, der im europäischen Recht so nicht existiert.

    POPIA ist kein Zufall und kein Luxusprojekt: Südafrika reagiert damit auf einen globalen Trend. Daten sind Wirtschaftsgut und Machtfaktor zugleich. Internationale Konzerne wie Google, Meta oder Amazon verarbeiten täglich Millionen südafrikanischer Datensätze und bislang mit wenig rechtlicher Rechenschaftspflicht gegenüber dem lokalen Gesetzgeber. POPIA setzt hier einen klaren Rahmen.

    Hinzu kommt der wirtschaftliche Druck: Wer mit der EU Handel treiben möchte, muss angemessene Datenschutzstandards nachweisen können. Südafrika arbeitet derzeit an seiner Anerkennung als sicheres Drittland im Sinne der DSGVO – ein Status, der den Datentransfer zwischen Europa und Südafrika erheblich vereinfachen würde.

    DSGVO und POPIA im direkten Vergleich

    Gemeinsamkeiten: Das gleiche Grundprinzip

    Wer die DSGVO kennt, findet in POPIA viele bekannte Konzepte. Beide Regelwerke basieren auf dem Prinzip der Zweckbindung, der Datenminimierung und der Rechenschaftspflicht. Beide verlangen eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Und in beiden Systemen haben Betroffene das Recht auf Auskunft, Berichtigung und mit Löschung ihrer Daten.

    Auch strukturell ähneln sich die Gesetze: POPIA kennt einen „Responsible Party“ (vergleichbar dem Verantwortlichen nach Art. 4 DSGVO) und einen „Operator“ (entspricht dem Auftragsverarbeiter). Verträge zwischen diesen Parteien sind vorgeschrieben, Datenschutz-Folgeabschätzungen bei risikoreichen Verarbeitungen ebenfalls.

    Unterschied 1: POPIA schützt auch Unternehmen

    Ein zentraler Unterschied liegt im materiellen Schutzbereich. Die DSGVO schützt ausschließlich natürliche Personen. Juristische Personen wie GmbHs oder AGs fallen explizit aus dem Schutzbereich heraus. POPIA hingegen erstreckt seinen Schutz ausdrücklich auch auf juristische Personen (Sec. 1 POPIA). Das hat praktische Konsequenzen: Auch Unternehmensdaten können in Südafrika POPIA-relevant sein, wenn sie sich auf identifizierbare juristische Personen beziehen.

    Unterschied 2: Das duale System – POPIA und PAIA

    Während die DSGVO ein integriertes Modell verfolgt, in dem Transparenzpflichten ausschließlich zwischen Verantwortlichen und Betroffenen geregelt sind, kennt Südafrika ein duales System. POPIA regelt den Datenschutz. PAIA regelt den Informationszugang, nicht nur gegenüber staatlichen Stellen, sondern auch gegenüber privaten Unternehmen, sofern der Zugang zur Ausübung oder zum Schutz eines Rechts erforderlich ist (Sec. 50 PAIA).

    Das bedeutet: In Südafrika kann unter Umständen nicht nur die betroffene Person, sondern auch ein Dritter Zugang zu bestimmten Informationen verlangen, wenn er dafür ein rechtliches Interesse geltend machen kann. Für Unternehmen, die in Südafrika operieren, bedeutet das eine zusätzliche Compliance-Schicht, die in Europa so nicht existiert.

    Unterschied 3: Strafrechtliche Haftung

    Während die DSGVO ausschließlich auf administrative Bußgelder setzt (bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes nach Art. 83 DSGVO), geht POPIA einen Schritt weiter: Bestimmte Verstöße können in Südafrika mit Freiheitsstrafen von bis zu zehn Jahren geahndet werden (Sec. 109 POPIA). Das ist kein theoretischer Extremfall – es ist geltendes Recht.

    Rechte im Überblick

    Beide Systeme gewähren Betroffenen das Recht auf Auskunft über ihre gespeicherten Daten sowie das Recht auf Berichtigung und Löschung. Die DSGVO geht mit dem Recht auf Datenübertragbarkeit (Art. 20 DSGVO) noch einen Schritt weiter als POPIA. PAIA ergänzt das Gesamtbild durch ein eigenständiges Informationszugangsrecht, das keine direkte europäische Entsprechung hat.

    Was müssen Unternehmen nach POPIA beachten, wenn sie in Südafrika Kundendaten verarbeiten?

    Für deutsche Unternehmen, die südafrikanische Nutzer ansprechen, Daten von Personen in Südafrika verarbeiten oder dort Geschäftspartner haben, ergeben sich konkrete Handlungspflichten. Hier sind die wichtigsten Punkte:

    1. Anwendbarkeit prüfen

    POPIA gilt für jeden Verantwortlichen, der personenbezogene Informationen in Südafrika verarbeitet, unabhängig davon, ob das Unternehmen dort ansässig ist. Wer eine südafrikanische Nutzerbasis hat, Daten über südafrikanische Server routet oder Dienstleistungen an Personen in Südafrika erbringt, kann in den Anwendungsbereich fallen.

    2. Information Officer benennen 

    POPIA verlangt, dass jedes Unternehmen, das in den Anwendungsbereich fällt, einen sogenannten „Information Officer“ benennt und beim Information Regulator (der südafrikanischen Aufsichtsbehörde) registriert. Diese Rolle ähnelt dem Datenschutzbeauftragten nach DSGVO mit einem entscheidenden Unterschied: Wer diese Funktion übernehmen darf.

    Unter POPIA ist der Information Officer per Gesetz automatisch der CEO oder die ranghöchste Führungsperson des Unternehmens – sofern keine andere Person ausdrücklich benannt wird (Sec. 1 und Sec. 55 POPIA). Das heißt: Handelt ein Unternehmen nicht, trägt die Geschäftsführung persönlich die volle rechtliche Verantwortung für die POPIA-Compliance, inklusive der persönlichen Haftung bei Verstößen.

    Die DSGVO funktioniert hier grundlegend anders. Der Datenschutzbeauftragte nach Art. 37 DSGVO muss ausdrücklich unabhängig sein, er darf keine Weisungen zu seinen Aufgaben entgegennehmen (Art. 38 Abs. 3 DSGVO) und darf insbesondere nicht in Personalunion auch Entscheidungsträger über Zwecke und Mittel der Datenverarbeitung sein. Ein CEO, COO oder IT-Leiter, der gleichzeitig als Datenschutzbeauftragter fungiert, verstößt nach europäischem Recht gegen das Prinzip der Interessenkonfliktvermeidung. Genau das ist unter POPIA nicht nur erlaubt, sondern der gesetzliche Standardfall.

    Für Unternehmen, die in beiden Rechtssystemen operieren, entsteht damit ein strukturelles Spannungsfeld: Was in Südafrika die Regel ist, wäre in der EU ein Compliance-Verstoß.

    Warum es sich lohnt, den Information Officer auszulagern

    Obwohl POPIA es erlaubt, dass der CEO die Funktion des Information Officers übernimmt, ist das in der Praxis selten sinnvoll und aus denselben Gründen, die auch in der DSGVO-Welt für die Auslagerung des Datenschutzbeauftragten sprechen.

    Erstens: Fachliche Tiefe. Datenschutzrecht ist komplex, entwickelt sich ständig weiter und erfordert spezialisiertes Wissen. Ein CEO oder Geschäftsführer hat in der Regel weder Zeit noch juristische Expertise, um POPIA-Anforderungen, Meldepflichten gegenüber dem Information Regulator und PAIA-Compliance dauerhaft zuverlässig zu managen.

    Zweitens: Haftungsminimierung. Wer den Information Officer auslagert, überträgt damit nicht automatisch die Verantwortung aber er schafft eine strukturelle Trennung, die im Streitfall nachweisbar macht, dass das Unternehmen die Compliance aktiv und professionell organisiert hat. Das wirkt sich strafmildernd aus.

    Drittens: Interessenkonflikt. Auch wenn POPIA keine formelle Unabhängigkeitspflicht wie die DSGVO kennt, ist es faktisch problematisch, wenn dieselbe Person Datenschutzentscheidungen trifft und gleichzeitig prüft, ob diese Entscheidungen rechtmäßig waren. Ein externer Information Officer kann unbefangen und ohne Rücksicht auf interne Hierarchien agieren.

    Für wachsende Startups – gerade in einem Ökosystem wie Kapstadt, wo Ressourcen knapp und Skalierungsgeschwindigkeit hoch ist – bietet die Auslagerung des Information Officers an spezialisierte Kanzleien oder Beratungsunternehmen einen klaren Vorteil: professionelle Compliance ohne den Aufbau einer eigenen internen Datenschutzabteilung.

    3. Rechtsgrundlage für die Verarbeitung sicherstellen

    Wie unter der DSGVO braucht jede Verarbeitung eine Rechtsgrundlage. In Südafrika sind dies die sogenannten „Conditions for Lawful Processing“ (Secs. 8–25 POPIA): Accountability, Processing Limitation, Purpose Specification, Further Processing Limitation, Information Quality, Openness, Security Safeguards und Data Subject Participation. Einwilligungen müssen freiwillig, informiert und spezifisch sein.

    4. Datenschutzhinweise anpassen

    Datenschutzerklärungen, die rein auf DSGVO ausgerichtet sind, reichen für den südafrikanischen Markt nicht aus. Insbesondere Hinweise zu den Rechten aus PAIA, zur Rolle des Information Officers und zu den spezifischen südafrikanischen Rechtsgrundlagen müssen ergänzt werden.

    5. Drittlandtransfers im Blick behalten

    POPIA enthält Regelungen zum grenzüberschreitenden Datentransfer (Sec. 72 POPIA), die denen der DSGVO ähneln. Wer Daten aus Südafrika in ein anderes Land überträgt – etwa auf europäische Cloud-Server muss sicherstellen, dass das Empfängerland ein angemessenes Schutzniveau bietet oder geeignete Garantien vorhanden sind.

    6. Incident-Response-Prozesse aufbauen

    POPIA verlangt die Meldung von Datenpannen an den Information Regulator und an die betroffenen Personen – ähnlich wie Art. 33 und 34 DSGVO. Wer bereits DSGVO-konforme Prozesse hat, ist gut aufgestellt, muss diese aber auf südafrikanische Spezifika anpassen.

    7. PAIA-Pflichten nicht vergessen

    Neben POPIA müssen Unternehmen, die in Südafrika tätig sind, auch PAIA-Pflichten erfüllen. Das beinhaltet die Erstellung und Veröffentlichung eines sogenannten „PAIA Manual“. Dies ist ein Dokument, das beschreibt, welche Informationen das Unternehmen hält und wie Zugangsanfragen gestellt werden können.

    POPIA vs. DSGVO – Kein Grund zur Panik aber Handlungsbedarf

    Datenschutz in Kapstadt

    POPIA ist kein bürokratisches Regelwerk ohne Zähne. Es ist ein modernes Datenschutzgesetz, das von einer aktiven Aufsichtsbehörde durchgesetzt wird und strafrechtliche Konsequenzen mit sich bringt. Gleichzeitig ist es für Unternehmen, die bereits DSGVO-konform aufgestellt sind, kein Neuland, denn die konzeptionelle Ähnlichkeit erleichtert den Einstieg erheblich.

    Der entscheidende Unterschied liegt in den Details: das duale System aus POPIA und PAIA, der breitere Schutzbereich (inklusive juristischer Personen) und die strafrechtliche Dimension machen eine sorgfältige rechtliche Analyse unumgänglich. Wer Südafrika als Wachstumsmarkt ernst nimmt und das sollte man angesichts der dynamischen Startup-Szene in Kapstadt tun, sollte Datenschutz-Compliance von Anfang an mitdenken.

  • Data Act: Was Unternehmen jetzt wissen müssen

    08.09.2025

    Der EU Data Act revolutioniert den Umgang mit Daten

    Der Data Act der Europäischen Union stellt eine der bedeutendsten Änderungen im europäischen Datenrecht dar und betrifft nahezu jedes Unternehmen, das mit vernetzten Produkten oder digitalen Diensten arbeitet.

    Du findest den Data Act unter eur-lex.europa.eu.

    Was ist der Data Act und was regelt er?

    Der Data Act ist eine EU-Verordnung, die den fairen Zugang zu und die Nutzung von Daten in der gesamten Europäischen Union regelt. Die Verordnung schafft einen rechtlichen Rahmen, der es Nutzern ermöglicht, auf die von ihren vernetzten Produkten und Diensten generierten Daten zuzugreifen und diese zu nutzen.

    Der Data Act zielt darauf ab, das Ungleichgewicht bei der Datennutzung zwischen großen Technologieunternehmen und Verbrauchern sowie kleineren Unternehmen zu beseitigen. Er stärkt die Rechte der Nutzer und schafft neue Möglichkeiten für Innovation und Wettbewerb in der digitalen Wirtschaft.

    Ab wann gilt der Data Act? Wichtige Fristen für dein Unternehmen

    Der Data Act tritt stufenweise in Kraft. Die Verordnung ist bereits am 11. Januar 2024 in Kraft getreten, jedoch gelten verschiedene Übergangsfristen:

    • Für neue Produkte: Ab dem 12. September 2025 müssen alle neuen vernetzten Produkte die Anforderungen des Data Act erfüllen
    • Für bestehende Produkte: Unternehmen haben bis zum 12. September 2027 Zeit, um ihre bereits auf dem Markt befindlichen Produkte anzupassen

    Diese Fristen solltest du unbedingt in deiner Compliance-Planung berücksichtigen.

    Vernetzte Produkte und verbundene Dienste: Definition und Beispiele

    Der Data Act unterscheidet zwischen „vernetzten Produkten“ und „verbundenen Diensten“. Vernetzte Produkte sind physische Gegenstände, die Daten sammeln können und über eine elektronische Kommunikationsverbindung verfügen. Dazu gehören beispielsweise:

    • Smart-Home-Geräte wie intelligente Thermostate oder Sicherheitskameras
    • Fitness-Tracker und Smartwatches
    • Vernetzte Fahrzeuge und deren Bordsysteme
    • Industrielle IoT-Geräte und Sensoren

    Verbundene Dienste sind digitale Services, die in Verbindung mit diesen Produkten stehen, wie mobile Apps zur Gerätesteuerung oder Cloud-basierte Analyseplattformen.

    Welche Daten müssen Unternehmen nach dem Data Act bereitstellen?

    Der Data Act verpflichtet Unternehmen zur Bereitstellung verschiedener Datenkategorien. Diese umfassen alle Daten, die durch die Nutzung vernetzter Produkte oder verbundener Dienste generiert werden.

    Produktdaten und ihre Bedeutung

    Produktdaten umfassen alle Informationen, die direkt durch die Nutzung eines vernetzten Produkts entstehen. Bei einem Smart-Thermostat wären das beispielsweise Temperaturmessungen, Heizzyklen oder Energieverbrauchsdaten. Diese Daten müssen dem Nutzer in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden.

    Dienstdaten richtig verstehen

    Dienstdaten entstehen durch die Nutzung verbundener Dienste und können Nutzungsstatistiken, Präferenzen oder Interaktionsmuster umfassen. Ein praktisches Beispiel wären die Nutzungsdaten einer Fitness-App, die mit einem Wearable-Gerät verbunden ist.

    Software und Apps im Data Act

    Auch Software-Updates, App-Funktionalitäten und deren Nutzung fallen unter den Anwendungsbereich des Data Act. Unternehmen müssen sicherstellen, dass Nutzer Zugang zu den durch ihre Software generierten Daten erhalten.

    Datenweitergabe verweigern: Wann ist das erlaubt?

    Grundsätzlich dürfen Unternehmen die Datenweitergabe nur in begründeten Ausnahmefällen verweigern. Der Data Act sieht vor, dass eine Verweigerung nur bei berechtigten Sicherheitsbedenken zulässig ist.

    Berechtigte Sicherheitsbedenken liegen vor, wenn die Datenweitergabe die Sicherheit des Produkts, des Dienstes oder der Nutzer gefährden würde. Dazu gehören beispielsweise Situationen, in denen sensible Sicherheitsinformationen preisgegeben werden könnten oder die Weitergabe zu Cybersicherheitsrisiken führen würde.

    Dürfen Nutzer ihre Daten an Dritte weitergeben?

    Ein wichtiger Aspekt des Data Act ist die Portabilität der Daten. Nutzer haben das Recht, ihre Daten an Dritte weiterzugeben, einschließlich Konkurrenten des ursprünglichen Anbieters. Dies soll den Wettbewerb fördern und Innovation vorantreiben.

    Du als Unternehmen musst technische und organisatorische Maßnahmen implementieren, die es Nutzern ermöglichen, ihre Daten einfach und sicher an Dritte zu übertragen. Dabei müssen angemessene Sicherheitsvorkehrungen getroffen werden, um Missbrauch zu verhindern.

    Welche Pflichten haben Händler und Online-Shop-Betreiber?

    Als Händler oder Online-Shop-Betreiber triffst du verschiedene Verpflichtungen nach dem Data Act. Diese hängen davon ab, ob du als Hersteller, Importeur oder Händler von vernetzten Produkten fungierst.

    Informationspflichten für Händler

    Du musst deine Kunden klar und verständlich über ihre Datenrechte informieren. Dazu gehört die Aufklärung darüber, welche Daten gesammelt werden, wie sie genutzt werden und wie Kunden auf ihre Daten zugreifen können.

    Technische Umsetzung der Datenportabilität

    Online-Shop-Betreiber müssen sicherstellen, dass die von ihnen verkauften vernetzten Produkte die technischen Anforderungen für Datenportabilität erfüllen. Das bedeutet, dass entsprechende APIs oder andere technische Schnittstellen implementiert werden müssen.

    Pflichten nach dem Data Act im Überblick

    Die wichtigsten Verpflichtungen für Unternehmen nach dem Data Act lassen sich wie folgt zusammenfassen:

    Bereitstellungspflicht: Du musst Nutzern kostenlos Zugang zu ihren Daten gewähren und diese in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen.

    Informationspflicht: Klare und transparente Information der Nutzer über Datensammlung, -verarbeitung und -rechte ist obligatorisch.

    Technische Implementierung: Die notwendigen technischen Systeme zur Datenportabilität müssen bis zu den genannten Fristen umgesetzt werden.

    Sicherheitspflicht: Angemessene Sicherheitsmaßnahmen zum Schutz der übertragenen Daten müssen implementiert werden.

    Dokumentationspflicht: Die Compliance mit dem Data Act muss nachweisbar dokumentiert werden.

    Data Act Compliance: Lass dich professionell beraten

    Die Umsetzung des Data Act kann komplex sein und erfordert sowohl rechtliches als auch technisches Know-how. Falls du dir unsicher bist, wie du die Anforderungen in deinem Unternehmen umsetzen sollst, stehen wir dir als erfahrene Rechtsberater gerne zur Seite.

    Wir helfen dir dabei, eine maßgeschneiderte Compliance-Strategie zu entwickeln, die rechtlichen Anforderungen zu verstehen und die notwendigen technischen und organisatorischen Maßnahmen zu implementieren. Kontaktiere uns für eine individuelle Beratung – gemeinsam sorgen wir dafür, dass dein Unternehmen optimal auf den Data Act vorbereitet ist.

    kostenlose 30-minütige Erstberatung sichern

  • Barrierefreiheit nach BFSG: Ist Deine Webseite rechtssicher?

    18.08.2025

    Seit dem 28. Juni 2025 hat sich die digitale Landschaft in Deutschland grundlegend verändert. Das Barrierefreiheitsstärkungsgesetz (BFSG) ist in Kraft getreten und verpflichtet Unternehmen dazu, ihre digitalen Angebote barrierefrei zu gestalten. Was für viele zunächst wie eine weitere bürokratische Hürde erscheint, ist in Wahrheit eine der weitreichendsten Veränderungen im deutschen Digitalrecht der letzten Jahre. BFSG findest Du hier: https://bfsg-gesetz.de/11-bfsg/

    Die Auswirkungen sind bereits spürbar: Erste Abmahnungen sind verschickt, Marktüberwachungsbehörden haben ihre Kontrollen intensiviert, und Verbraucherschutzverbände bereiten sich auf eine neue Klagewelle vor. Unternehmen, die ihre Webseiten noch nicht entsprechend angepasst haben, bewegen sich auf rechtlich dünnem Eis.

    Legal Living Hub hat die wichtigsten Punkte des BFSG für Dich geprüft und hier zusammengefasst. Wenn Du Dir nicht sicher bist und rechtliche Unterstützung bei der Umsetzung brauchst, wende dich an uns.

    kostenlose 30-minütige Erstberatung sichern

    Betrifft das auch Dein Unternehmen?

    Die Reichweite des BFSG ist beeindruckend und erfasst weit mehr Unternehmen, als viele zunächst vermuteten. Wenn Du einen Online-Shop betreibst, Bankdienstleistungen anbietest, E-Books verkaufst oder auch nur eine Unternehmenswebseite mit Buchungsfunktionen hast, bist Du und Dein Unternehmen höchstwahrscheinlich betroffen. Auch Personenbeförderungsunternehmen mit Online-Buchungssystemen, Telekommunikationsanbieter und viele weitere Branchen müssen ihre digitalen Angebote überarbeiten.

    Besonders interessant: Das Gesetz macht keinen Unterschied zwischen großen Konzernen und kleineren Unternehmen. Auch der lokale Handwerksbetrieb mit Online-Terminbuchung oder das mittelständische Unternehmen mit E-Commerce-Funktionen unterliegen den neuen Bestimmungen. Eine Bagatellgrenze existiert nicht.

    Wer genau muss handeln? – das beantwortet §1 Abs. 2 BFSG. Im Grunde sind es alle Unternehmen, die:
    – ihre Produkte oder Dienstleistungen online oder digital an EU-Verbraucher anbieten
    – und deren Angebote unter die betroffenen Kategorien fallen (aufgelistet im BFSG)
    – ab dem 28. Juni 2025 in der EU geschäftlich tätig sind

    Was bedeutet Barrierefreiheit konkret für deine Webseite?

    Barrierefreiheit geht weit über das hinaus, was viele Unternehmen bisher darunter verstanden haben. Es reicht nicht mehr aus, einfach etwas größere Schriftarten zu verwenden oder ein paar Alternativtexte bei Bildern zu ergänzen. Das BFSG verlangt eine umfassende Überarbeitung der Art, wie wir digitale Inhalte konzipieren und programmieren.

    Deine Webseite muss vollständig mit der Tastatur bedienbar sein. Das bedeutet, dass ein Nutzer, der keine Maus verwenden kann, jeden Button erreichen, jedes Formular ausfüllen und jede Funktion nutzen können muss. Screenreader müssen alle Inhalte sinnvoll erfassen und wiedergeben können. Kontraste müssen den strengen WCAG-Richtlinien entsprechen, und die gesamte Seitenstruktur muss logisch und verständlich aufgebaut sein.

    Diese Anforderungen betreffen nicht nur die Oberflächengestaltung, sondern erfordern oft tiefgreifende technische Anpassungen im Code. Moderne Webseiten mit komplexen JavaScript-Anwendungen, dynamischen Inhalten oder interaktiven Elementen stellen dabei besondere Herausforderungen dar.

    Barrierefreiheitsanforderungen für Produkte und Dienstleistungen

    Die wesentlichen und detaillierten BARRIEREFREIHEITSANFORDERUNGEN FÜR PRODUKTE UND DIENSTLEISTUNGEN findest du im Anhang I der Richtlinie 2019/882. Die Web Content Accessibility Guidelines (WCAG), auf denen das deutsche Recht basiert, umfassen Hunderte weitere Kriterien, deren korrekte Interpretation und Umsetzung spezielles Fachwissen erfordert.

    Hinzu kommt, dass sich die Anforderungen je nach Art der Webseite und den angebotenen Dienstleistungen unterscheiden. Ein Online-Shop hat andere Herausforderungen als eine Banking-Plattform oder eine Buchungswebseite für Reisedienstleistungen. Diese Nuancen zu verstehen und entsprechende Lösungen zu entwickeln, ist eine Aufgabe für Spezialisten.

    Wenn du festgestellt hast, dass diese Anforderungen dein Unternehmen betreffen, wende dich gerne an uns – wir haben eine Checkliste für die Erfüllung dieser Anforderungen vorbereitet, die wir gern angepasst an Dein Produkt/ Deine Dienstleistung Dir gerne zur Verfügung stellen. Frag dies über unser Kontaktformular an.

    Unser Ansatz: Rechtssicherheit durch systematische Prüfung

    In unserem Team haben wir uns darauf spezialisiert, Unternehmen durch den komplexen Prozess der BFSG-Compliance zu führen. Wir beginnen mit einer umfassenden Analyse deiner bestehenden Webseite, die weit über automatisierte Tests hinausgeht. Mit unserer Expertise prüfen wir jeden Aspekt deiner digitalen Präsenz mit denselben Hilfstechnologien, die auch deine Nutzer verwenden.

    Dabei identifizieren wir nicht nur Probleme, sondern entwickeln konkrete, praxistaugliche Lösungsansätze. Wir verstehen, dass jedes Unternehmen individuelle Anforderungen und Budgetbeschränkungen hat. Deshalb erstellen wir für jeden Kunden einen maßgeschneiderten Compliance-Plan, der rechtliche Sicherheit mit wirtschaftlicher Vernunft verbindet.

    Unsere Prüfung umfasst alle relevanten Aspekte des BFSG: von der technischen Umsetzung über die inhaltliche Gestaltung bis hin zur ordnungsgemäßen Dokumentation und den erforderlichen Erklärungen zur Barrierefreiheit. Wir sorgen dafür, dass du nicht nur den Buchstaben des Gesetzes erfüllst, sondern auch vor zukünftigen rechtlichen Herausforderungen geschützt bist.

    Warum du jetzt handeln solltest

    Die Zeiten, in denen Barrierefreiheit als „nice to have“ betrachtet werden konnte, sind definitiv vorbei. Das BFSG ist geltendes Recht, und die Durchsetzung hat bereits begonnen. Unternehmen, die jetzt noch zögern, riskieren nicht nur rechtliche Konsequenzen, sondern verpassen auch die Chance, sich als verantwortungsvolle und zukunftsorientierte Organisation zu positionieren.

    Lass uns gemeinsam dafür sorgen, dass deine Webseite nicht nur den aktuellen rechtlichen Anforderungen entspricht, sondern auch zukunftssicher aufgestellt ist. Kontaktiere uns für eine erste Einschätzung deiner Situation. Wir zeigen dir, wo deine Webseite steht, welche Risiken bestehen und wie du diese schnell und effizient beseitigen kannst.

© 2025 Olga Weidenkeller | Legal Living Hub

  • Impressum
  • Datenschutzhinweise
Cookie-Einstellungen
Legal Living Hub verwendet Cookies, damit die Webseite zuverlässig funktioniert und wir Informationen für statistische Auswertungen sammeln können. Du kannst deine Cookie-Einstellungen jederzeit im Footer der Webseite ändern. Mehr Informationen findest du in unseren Datenschutzhinweisen.