Wenn eine Benutzeroberflächenkomponente den Tastaturfokus erhält, muss der Fokusindikator ein Mindestkontrastsverhältnis von 3:1 gegenüber angrenzenden Farben aufweisen und mindestens den Umfang einer 2-CSS-Pixel-Volllinie um das fokussierte Element abdecken oder eine äquivalente Indikatorfläche bieten. Das Kriterium ist eines der wenigen WCAG-Ergänzungen, die messbare Geometrie statt Verhalten spezifizieren.

Die Standard-Fokusringe des Browsers, die Designer fünfzehn Jahre lang aus ästhetischen Gründen überschrieben haben, scheitern an dieser Messung auf der Mehrheit der auditierten Produktionssites. Benutzerdefinierte Fokusstile verwenden in der Regel 1-Pixel-Outlines oder Akzentfarben mit geringem Kontrast, die in Design-Tools korrekt aussehen, aber gegen den Hintergrund des tatsächlich fokussierten Elements unter 3:1 liegen.

Die Zahl ist relevant, auch wenn das Kriterium AAA ist: Sie zeigt, was passieren würde, wenn ein künftiger Gesetzgeber auf WCAG 2.2 Stufe AAA verweist oder ein Beschaffungsvertrag dieses eine Kriterium anhebt.

Eine 2-CSS-Pixel-Outline in einer Farbe setzen, die mindestens 3:1 gegenüber dem Elementhintergrund erreicht; mit einem Kontrastprüfer verifizieren, nicht nach Augenmaß. Wo das Designsystem den Browser-Fokus überschreibt, ein Fokustil-Token bereitstellen, das Designer nicht versehentlich unter den Kontraststchwellenwert senken können.

Das Trefferziel jeder Zeigereingabe muss mindestens 24 mal 24 CSS-Pixel groß sein, außer wenn das Ziel inline in einem Satz steht, wenn es vom User-Agent bemessen wird, wenn ein äquivalentes Ziel verfügbar ist oder wenn die Funktion des Ziels wesentlich ist. Das Kriterium misst das Trefferziel, nicht das sichtbare Symbol.

Das Kriterium erfasst ein spezifisches UI-Muster: dichte Symbol-Symbolleisten, insbesondere in Editoren, Dashboards und Datentabellenköpfen. Die meisten Symbol-Button-Bibliotheken verwenden standardmäßig 16×16- oder 20×20-Pixel-Symbolgrößen innerhalb eines geringfügig größeren Trefferziels. Wenn das Trefferziel ebenfalls unter 24×24 liegt, versagt das Kriterium — und Symbolleistendesigner reduzieren routinemäßig die Abstände, um mehr Symbole in begrenzte horizontale Fläche zu packen.

Ein Mindest-Trefferziel-Token von 24 mal 24 CSS-Pixeln im Designsystem festlegen, angewendet über Padding und nicht über die eigenen Abmessungen des Symbols. Wo Symbolleisten die Untergrenze nicht unterbringen können, ausreichend Abstand hinzufügen, damit benachbarte Ziele nicht innerhalb des Überlappungsausschlusses des Kriteriums liegen. Ein Einstellungs-Äquivalent (ein größeres Menü) für wirklich beengte Oberflächen bereitstellen.

Der Authentifizierungsschritt einer Website oder App darf nicht auf einem kognitiven Funktionstest beruhen — Lösen eines Rätsels, Abschreiben eines verzerrten Bildes, Erkennen von Objekten in einem Raster —, es sei denn, eine alternative Authentifizierungsmethode wird bereitgestellt, ein Hilfsmechanismus ist verfügbar oder eine Ausnahme für Objekterkennung findet Anwendung. Das Auswendiglernen eines Passworts gilt als kognitiver Funktionstest, weshalb Passwort-Manager ausdrücklich berücksichtigt werden.

Die meisten bildbasierten CAPTCHAs versagen offensichtlich. Gleiches gilt für „Klicken Sie auf die Kacheln mit Ampeln“-Aufgaben, Transkriptionstests mit verzerrtem Text und jeden Flow, der einen Einmalcode in ein Feld einfügt, aber die Einfügeinteraktion deaktiviert. Das Muster konzentriert sich auf Login-, Passwort-Zurücksetzen- und Kontoerstellungsflows — genau die hochriskanten Punkte, an denen ein Ausschluss die größten Kosten verursacht.

Authentifizierungsflows sind auch der Bereich, in dem das Kriterium am schärfsten zubeißt, denn das Versagen verschlechtert die Erfahrung nicht — es beendet sie.

Kognitive CAPTCHAs durch eine nicht-kognitive Alternative ersetzen — gerätebasierte Attestierung, Magic Links, Passkeys oder unsichtbare Risikobewertung. Passwort-Manager-Autofill ermöglichen. Sicherstellen, dass Einfügen in Einmalcode-Feldern funktioniert. Wenn ein CAPTCHA bestehen bleiben muss, eine Audio-Alternative bereitstellen, die ihrerseits keine Transkription von verzerrter Sprache erfordert.

Wenn eine Benutzeroberflächenkomponente den Tastaturfokus erhält, darf das fokussierte Element nicht vollständig durch autorenseitige Inhalte verborgen sein. Teilweise Überlappung ist auf dieser Stufe erlaubt (ein Sticky-Header, der die obere Hälfte eines fokussierten Feldes überdeckt, ist zulässig); vollständige Verdeckung ist es nicht.

Die häufigste Kollision ist ein Sticky-Header — manchmal ein Cookie-Banner oder ein schwebendes Chat-Widget —, der das fokussierte Formularfeld überlagert, wenn ein Tastaturnutzender hineintabt. Produktionssites, die während der Redesign-Ära 2020–22 einen Sticky-Header über ein vorhandenes Formular gelegt haben, haben das Fokus-und-Scroll-Verhalten routinemäßig übersehen, weil das ursprüngliche Formular erstellt wurde, bevor Sticky-Elemente existierten.

scroll-margin-top (oder scroll-padding-top auf dem Scroll-Container) gleich der Höhe jedes Sticky-Overlays setzen. Testen, dass das Tabben durch ein langes Formular das fokussierte Element vollständig unterhalb eines Headers scrollt. Mit sichtbaren Fokus-Stilen kombinieren, damit Nutzende sehen können, wo der Fokus tatsächlich gelandet ist.

Funktionen, die eine Ziehbewegung verwenden, müssen auch über eine Einzelzeiger-Aktion bedienbar sein — ein Tipper, ein Klick oder ein Äquivalent, das keine anhaltende Zeigerbewegung erfordert. Drag-and-Drop-Interaktionen sind nicht verboten; sie dürfen lediglich nicht der einzige verfügbare Weg zur Funktion sein.

Listen-Reihenfolge- und Kanban-ähnliche Benutzeroberflächen werden häufig nur mit Drag-Umsortierung ausgeliefert. Dasselbe gilt für Slider-Steuerelemente, die als ziehbare Thumbs ohne entsprechenden Spinbutton oder Texteingabe implementiert sind, sowie für Bild-Zuschnitt-UIs, die ein Ziehen zum Setzen der Grenzen erfordern. Das Kriterium erfasst diese jedes Mal.

Für jede Ziehinteraktion eine äquivalente Tipper/Klick-Alternative bereitstellen — „nach oben verschieben“- und „nach unten verschieben“-Schaltflächen neben ziehbaren Listenelementen, eine numerische Eingabe neben einem Slider, einen Klick-zum-Setzen-der-Grenzen-Modus im Zuschneidewerkzeug. Wenn die Alternative in einem Kontextmenü versteckt ist, sicherstellen, dass sie per Tastatur erreichbar ist.

Innerhalb desselben authentifizierten Prozesses darf die Nutzerin oder der Nutzer nicht aufgefordert werden, dieselbe Information zweimal einzugeben — es sei denn, die erneute Eingabe ist wesentlich, der vorherige Eintrag ist nicht mehr gültig oder die Information betrifft die Sicherheit (ein Passwort-Rückgabe bei der Kontoerstellung ist das kanonische Gegenbeispiel). Automatisches Ausfüllen oder Auswählen aus zuvor eingegebenen Werten erfüllt das Kriterium.

Mehrstufige Checkout-Flows, mehrseitige Antragsformulare und Visa/Genehmigungsanträge fragen routinemäßig nach derselben Adresse, demselben Namen oder denselben Kontaktinformationen in zwei separaten Schritten, weil die Schritte von verschiedenen Teams erstellt und nie abgestimmt wurden. Die zuvor eingegebenen Werte der Nutzerin oder des Nutzers werden nicht in einer sitzungsübergreifenden Session zwischen den Schritten gespeichert.

Nutzerseitig eingegebene Werte über die Schritte eines einzelnen Prozesses hinweg speichern; passende Felder in nachfolgenden Schritten vorausfüllen; oder eine Ein-Klick-„Dieselbe Adresse verwenden“-Schaltfläche anbieten. Das Muster zeigt sich typischerweise bei der Prozessanalyse und nicht beim Frontend-Audit, sodass eine teamübergreifende Flow-Überprüfung der praktische Behebungsschritt ist.

Wenn ein Hilfsmechanismus bereitgestellt wird — ein Kontakt-Link, ein Hilfe-Link, ein Chat-Widget, eine Support-Telefonnummer, ein Selbsthilfe-Link —, muss er an derselben relativen Position auf den Seiten erscheinen, auf denen er bereitgestellt wird. Das Kriterium erfordert keine Hilfe; nur dass sie, wo sie vorhanden ist, konsistent platziert wird.

Das Kriterium ist im Prinzip unkompliziert und erfasst eine enge Gruppe von Sites, die auf einigen Seiten einen „Kontakt“-Link in der Kopfzeile, auf anderen in der Fußzeile und auf einer dritten Gruppe von Seiten in einem schwebenden Chat-Widget haben — häufig das Ergebnis mehrerer Site-Bereiche, die verschiedenen Teams mit separaten Vorlagen gehören.

Platzierung von Hilfsmechanismen über Vorlagen hinweg prüfen; einen einzigen kanonischen Ort festlegen (Kopfzeile, dauerhafter Footer oder schwebendes Widget) und alle Abweichungen angleichen. Die Behebung ist selten technisch; es ist ein Governance-Schritt für Inhalte und Vorlagen.

Das AAA-Pendant zu 2.4.11: Wenn eine Benutzeroberflächenkomponente den Tastaturfokus erhält, darf das fokussierte Element durch autorenseitige Inhalte überhaupt nicht verdeckt sein. Teilweise Überlappung ist auf dieser Stufe verboten — ein Sticky-Header, der einen Teil des fokussierten Feldes überdeckt, versagt.

Dieselben Sticky-Overlay-Kollisionen, die 2.4.11-Fehler verursachen, bestehen bei 2.4.12 fort. Sites, die scroll-margin-top zur Erfüllung des Minimumkriteriums eingesetzt haben, hinterlassen bei Edge-Case-Viewport-Höhen tendenziell noch einige CSS-Pixel Überlappung. Auf AAA-Stufe ist diese Überlappung bereits das Versagen.

scroll-margin-top so anpassen, dass es die Höhe jedes autorenseitigen Overlays komfortabel überschreitet, einschließlich dynamischer (Cookie-Banner beim ersten Besuch, Chat-Widgets, die beim Hover erweitern). Explizite Regressionstests für das Tabbing-in-Formular-Verhalten bei gängigen Viewport-Größen hinzufügen.

Das AAA-Pendant zu 3.3.8: Die Authentifizierung darf sich grundsätzlich nicht auf einen kognitiven Funktionstest stützen. Die Ausnahmen für Objekterkennung und persönliche Inhalte, die auf AA-Stufe gelten, finden hier keine Anwendung. Gedächtnistests, Transkriptionstests und Bilderkennungsaufgaben scheitern auf dieser Stufe.

Selbst Sites, die traditionelle CAPTCHAs durch Objekterkennungsaufgaben ersetzt haben (die AA-Ausnahme), scheitern an 3.3.9. Das Kriterium ist das Signal der Arbeitsgruppe, in welche Richtung sich die Authentifizierung entwickeln sollte: weg von kognitiven Aufgaben, hin zu Geräteattestation oder biometrischer Verifizierung.

Passkeys (WebAuthn) als primären Authentifizierungsmechanismus einführen; Passwort plus Passkey als Übergangszustand und nicht als Ziel behandeln. Wo Bilderkennung für die Risikobewertung beibehalten wurde, diese serverseitig aus Verhaltenssignalen ausführen und nicht als nutzerseitige Aufgabe.