Für Zielgruppen · Finanzinstitute

Barrierefreiheit für Banken, Fintechs und Zahlungsunternehmen — konzipiert für regulierte Umgebungen.

Banken sind bei der Barrierefreiheit zwei Risikodimensionen ausgesetzt: ADA Title III, dessen Finanzdienstleistungs-Docket zu den dichtesten im US-amerikanischen Klageverfahren zur digitalen Barrierefreiheit gehört, und der European Accessibility Act (EAA), der Bankdienstleistungen für Verbraucher ausdrücklich in Artikel 2 Absatz 2 Buchstabe e einbezieht. Mobile Apps, Zwei-Faktor-Abläufe, PDF-Kontoauszüge und IVR-Systeme müssen sorgfältig behandelt werden. Diese Seite bietet die 30-Punkte-WCAG-2.2-AA-Checkliste und plattformspezifische Hinweise speziell für FI-Entwicklungsteams in regulierten Umgebungen.

Kostenlosen WCAG-2.2-Scanner starten → Zur 30-Punkte-Checkliste springen

Warum Finanzinstitute ein erstrangiges Barrierefreiheitsziel sind

Zwei Regulierungsbehörden, eines der dichtesten Klageverfahren im Bereich der digitalen Barrierefreiheit.

In den Vereinigten Staaten gehören Finanzdienstleistungen seit Beginn der systematischen Erfassung jedes Jahr zu den fünf Sektoren mit den meisten ADA-Title-III-Klagen zur digitalen Barrierefreiheit. Banken haben hochkarätige Sammelklagen wegen unzugänglicher mobiler Apps, ungetaggter PDF-Kontoauszüge und IVR-Systemen beigelegt, die Screenreader-Nutzenden keine Möglichkeit boten, zu einem menschlichen Agenten zu gelangen. Die „No Physical Nexus"-Verteidigung — für Filialbanken im Einzelhandel ohnehin schwach — hat mit dem Wachstum rein online tätiger Neobanken weiter an Überzeugungskraft verloren; mehrere Bezirksgerichte haben sie kategorisch abgelehnt, und parallele Klagen nach dem California Unruh Act und dem New York State Human Rights Law haben das Gesamtrisiko erhöht, auch wenn Bundesansprüche scheitern.

In der Europäischen Union nennt der European Accessibility Act „Bankdienstleistungen für Verbraucher" ausdrücklich in Artikel 2 Absatz 2 Buchstabe e — erfasst werden Girokonten im Einzelhandel, Sparkonten, Verbraucherkredite, Hypotheken und die digitalen Kanäle, über die sie erbracht werden. Banken des öffentlichen Sektors waren seit 2018 bereits durch die Richtlinie über den barrierefreien Zugang zu Websites (WAD) gebunden; der EAA bezieht auch den privaten Sektor und die verbraucherorientierte Fintech-Schicht ein. Die Kleinstunternehmen-Ausnahme befreit realistisch keine echte Bank oder zugelassene Zahlungsinstitution, und EN 301 549 — auf das der EAA für die technische Konformität verweist — basiert auf den WCAG-2.2-Erfolgskriterien.

Die produktspezifischen Risikooberflächen konzentrieren sich auf fünf Bereiche. Erstens Zwei-Faktor- Authentifizierungsabläufe mit aggressiven 30–60-Sekunden-SMS-OTP-Timeouts und sechsstelligen Code-Eingaberastern ohne korrekte aria-Beschriftung. Zweitens PDF-Kontoauszugsarchive und die Zustellung von Steuerformularen — ein einziges nicht-PDF/UA-konformes, ungetaggtes PDF reicht für ein Abmahnschreiben aus. Drittens IVR-Systeme ohne frühzeitigen „0 für einen Agenten"-Ausweg für Nutzende, die keine Menübäume per Gehör navigieren können. Viertens Signaturpads und Identitätsprüfungsabläufe, die auf mausexklusivem Drag-Drop oder unbeschrifteten Signatur-Widgets basieren. Fünftens mobile Banking-App-Oberflächen — VoiceOver- / TalkBack-Beschriftung, Barrierefreiheit bei biometrischen Aufforderungen und Sperrbildschirm-Widgets, jeweils eine separate Auditoberfläche auf jeder Plattform.

Die Kosten des Nichtstuns sind konkret und treffen gleichzeitig zwei Bereiche: rechtliches Risiko und Reputationsschaden. US-ADA-Vergleiche gegen Banken liegen üblicherweise deutlich über dem 20.000–50.000-Dollar-Erstbeklagten-Basiswert bei reinen E-Commerce-Klagen, weil die Klägerseite weiß, dass die Regulierungsschicht dichter ist — ein Fair-Banking-Ansatz, die Möglichkeit einer CFPB-Einwilligungsanordnung, eine OCC-Aufsichtsfrage — und entsprechend einpreist. In der EU ist der EAA-Bußgeldrahmen auf Mitgliedstaatenebene festgelegt und reicht von niedrigen fünfstelligen Beträgen in manchen Rechtsordnungen bis zu einem spürbaren Prozentsatz des Umsatzes in anderen; Deutschland, Frankreich, Italien, Spanien und die Niederlande haben 2025 Durchsetzungsteams aufgebaut und 2026 die erste Bußgeldrunde eingeleitet. Der Reputationsschaden potenziert sich: Ein einziger Screenshot einer unzugänglichen mobilen Banking-Oberfläche, geteilt von einem Kunden mit einer großen Disability-Community-Followerschaft, hat in den letzten fünf Jahren bei mindestens einer Großbank in den USA den Aktienkurs bewegt.

Die gute Nachricht ist, dass Barrierefreiheit im FI-Bereich eine erkennbare Form hat. Dieselben rund zwölf Fehlermuster wiederholen sich bei nahezu jedem Audit eines Einzelhandels-Banking-, Neobank- oder Zahlungs-App-Produkts, und die meisten lassen sich mit Design-Tokens, gemeinsamen Komponentenbibliotheken oder einem fokussierten Entwicklungssprint beheben — kein vollständiger Neuaufbau ist erforderlich. Die nachstehende Checkliste ist das, was FI-Entwicklungs- und Compliance-Teams ausgehändigt wird, wenn sie fragen: „Wo fangen wir eigentlich an?" — sechs Oberflächen, fünf konkrete Prüfpunkte pro Oberfläche, alle verankert in WCAG 2.2 AA und in den Aussagen zur funktionalen Leistungsfähigkeit von EN 301 549, auf das der EAA technisch verweist.

Die 30-Punkte-Checkliste für FI-Produkte

Sechs Oberflächen × fünf Prüfpunkte. Ausdrucken, abhaken, auditieren.

  1. 01 Konto & Onboarding

  2. 02 Authentifizierung & 2FA

  3. 03 Transaktionen & Zahlungen

  4. 04 Kontoauszüge & Dokumente

  5. 05 Mobile App-Oberflächen

  6. 06 Kundensupport

Plattformspezifische Implementierungshinweise

Wo die Checkliste im Code greift — nach den Plattformen, die FI-Teams tatsächlich einsetzen.

Temenos, FIS, Finastra — Core-Banking-Mandantschaft

Die drei großen Core-Banking-Anbieter liefern kundenseitige Online-Banking-Frontends als mandantenkonfigurierbare Templates über einer Plattform-Shell. Die Plattform stellt eine Baseline bereit, aber jede Anpassung — Markenfarben, eigene Widgets, CSR-/Agenten-Übergabe — fügt Risiken hinzu, die das eigene Unternehmen, nicht der Anbieter, trägt. Temenos / FIS / Finastra sollten nach ihrem aktuellen VPAT oder EN-301-549-Konformitätsbericht für die konkret eingesetzte Produktversion gefragt werden; anschließend ist die eigene Anpassungsschicht separat zu auditieren. Das wiederkehrende Fehlermuster: benutzerdefinierte Transaktions-Widgets, die in eine ansonsten konforme Shell eingebettet werden, ohne die Tastatur- und Screenreader- Behandlung der Shell zu erben.

Plaid, Yodlee, MX — Datenaggregator-Einbettungen

Das Verknüpfen von Konten gehört zu den meistgenutzten Abläufen im modernen Fintech und wird fast universell als eingebetteter Drittanbieter-iFrame geliefert. Plaid Link, Yodlee FastLink und MX Connect liefern barrierefreiheitsbewusste Widgets, aber die iFrame-Grenze unterbricht das Fokus-Management beim Ein- und Austritt — beim Schließen des Modals fällt der Fokus häufig auf <body>, und Screenreader verlieren die Ankündigung „erfolgreich verknüpft". Die Einbettung sollte in einer eigenen aria-live-Region umschlossen werden, der Fokus beim Schließen auf einen bekannten Anker zurückgesetzt und die Fehlerpfade (Institution nicht verfügbar, MFA-Abfrage) explizit mit assistiver Technologie getestet werden.

Stripe, Adyen — Barrierefreiheit des Payment Elements

Stripe Payment Element und Adyen Drop-in sind gegenüber der alten „Card-iFrame"-Generation deutlich besser, aber jedes wird in einem iFrame mit eigener Fokus- und Live-Region-Behandlung ausgeliefert. Der häufigste Fehler: Die Senden-Schaltfläche der übergeordneten Seite wartet nicht darauf, dass sich der Fokuszustand des iFrames stabilisiert — was zu stillen Übermittlungsfehlern führt, die der Screenreader nie ankündigt. Die iFrame-onReady- / onChange-Events sollten mit einer aria-live-Statusregion auf übergeordneter Ebene verknüpft werden; die Senden-Schaltfläche sollte niemals ohne einen per aria-describedby angekündigten Textgrund deaktiviert werden.

DocuSign, Adobe Sign — E-Signatur-Ablauf

E-Signatur-Abläufe sind eine der in US-ADA-Bankklagen am häufigsten zitierten Risikooberflächen, weil das Signatur-Widget oft das entscheidende Steuerelement für einen Kreditvertrag, eine Hypothekenoffenlegung oder ein Kartenantragsdokument ist. DocuSign und Adobe Sign bieten beide Barrierefreiheitsfunktionen (Tastatur-Signatur, screenreader- angekündigte Felder), aber beide erfordern, dass die Umschlagkonfiguration auf Kundenseite entsprechend vorgenommen wird — die Plattformstandards tun dies nicht. Umschlagsvorlagen sollten mit expliziten Feldbeschriftungen, barrierefreier Lesereihenfolge und einer nicht-bildbasierten Signaturoption (getippter Name) konfiguriert werden, bevor ein Produktionsumschlag versendet wird.

Bloomberg-Terminal-artige Trading-UIs

Spezialisierte Desktop- und Web-Trading-UIs sind eine bekannte Barrierefreiheitslücke; die meisten Plattformen sind auf Tastaturgeschwindigkeit für sehende Power-User ausgelegt — nicht für Screenreader-Nutzende. Bei der Entwicklung einer eigenen Trading- oder Treasury-UI sollte jede Zelle der Watchlist / des Orderbuchs als beschriftetes Landmark behandelt, Aktualisierungen per aria-live mit Throttling ausgegeben (sonst wird die assistive Technologie-Warteschlange überflutet) und ein nicht-echtzeitfähiger Nur-Lese-Modus für Nutzende bereitgestellt, deren assistive Technologie sekundenschnelle Aktualisierungen nicht verarbeiten kann. Bloomberg-artige Informationsdichte ist mit Barrierefreiheit realisierbar, aber nur mit gezielter Ingenieursarbeit — sie entsteht nicht von selbst und nicht durch Framework-Standardeinstellungen.

Native iOS- / Android-Banking-Apps

Die mobile Banking-App ist bei den meisten Filialbanken die meistgenutzte Oberfläche und das häufigste Klageziel bei US-ADA-Klagen gegen mobile Apps. Auf iOS muss jedes interaktive Element ein Barrierefreiheitslabel, korrekt gesetzte Accessibility Traits (Button, Header, Adjustable) und eine logische Reihenfolge der Barrierefreiheitselemente tragen, die weder den aktiven Kontoauswähler noch den Überweisungsbetrag überspringt. Auf Android gelten parallele Anforderungen: content-description auf jedem anklickbaren View, korrektes importantForAccessibility bei dekorativen Views und manuell verifizierte TalkBack-Reihenfolge — nicht nur aus dem Layout abgeleitet. XCUITest- und Espresso-Barrierefreiheits-Assertions in CI sind als Absicherung sinnvoll, aber niemals als Ersatz für einen echten assistiven Technologie-Durchlauf bei jedem Release-Kandidaten.

Der Monitoring- und Audit-Zyklus

Ein einmaliger Audit übersteht keinen einzigen Banking-Sprint.

Banken und Fintechs deployen so häufig wie jedes moderne Softwareteam. Das Marketing tauscht am Dienstag ein Rate-Card-Hero aus, das Kreditteam stellt am Donnerstag einen neuen Vorqualifizierungsablauf live, ein Drittanbieter-Widget liefert am Wochenende ein Update. Eine einmalige Barrierefreiheitsbehebung hält etwa bis zum nächsten Sprint — weshalb das Modell, das für FI-Teams tatsächlich trägt, aus drei Schichten besteht, nicht einer. Jede Schicht erfasst andere Mängel, und die Schichten sind kein Ersatz füreinander.

Erstens sollte noch heute ein kostenloser WCAG-2.2-Scanner gegen die öffentliche Marketing-Website und die Online-Banking-Einstiegsseiten gestartet werden, um eine Ausgangslage zu ermitteln. Zweitens sollte ein kontinuierliches automatisiertes Monitoring gegen jeden Preview-Build und jeden Produktions-Deploy eingerichtet werden — das ist die Schicht, die Regressionen abfängt, bevor Kundinnen und Kunden sie bemerken, und die einzige Schicht, die mit dem Deploy-Takt einer echten Bank skaliert. Drittens sollte ein manueller Audit durch Testende mit Behinderungen mindestens einmal jährlich beauftragt werden — sowie nach jedem größeren Redesign, Replatforming oder Produktneustart. Automatisierte Tools erfassen niemals die Screenreader-Lesbarkeit einer Transaktionsbestätigung, die Fokusreihenfolge eines 2FA-Ablaufs oder ob ein Anmeldevorgang tatsächlich lückenlos bedienbar ist. Kontoauszugsarchive erfordern besonders manuelle Tests; siehe barrierefreie PDFs von A bis Z für den PDF/UA-Arbeitsablauf.

Speziell für die Übergabe zwischen Monitoring und manuellem Audit deckt unser Monitoring-Einkaufsführer die Plattformen ab, die den Scan-bis-Audit-Workflow lückenlos abdecken — Qualibooth, axe Monitor, Siteimprove und Level Access. Die Auswahl sollte anhand von drei FI-spezifischen Kriterien getroffen werden: Integrationsfähigkeit mit CI und dem bestehenden Change-Management-Prozess; ob das manuelle Audit-Netzwerk der Plattform tatsächlich Testende mit den Behinderungen umfasst, die die eigenen Kundinnen und Kunden haben (kognitiv, motorisch, sehschwach, blind, gehörlos und schwerhörig — nicht nur blinde Nutzende); und ob das Reporting der Plattform dem regulierungsorientierten Artefakt entspricht, das das Compliance-Team benötigt (VPAT/ACR, EN-301-549-Konformitätsbericht, Erklärung zur Barrierefreiheit). Nicht alle leisten das.

Ein FI-spezifischer Hinweis zur Governance: Die Monitoring-Schicht muss innerhalb des Change-Management-Prozesses verankert sein, den die Bank oder das lizenzierte Fintech bereits für Produktionsänderungen betreibt. Wenn der Release-Prozess die Freigabe durch das Sicherheitsteam erfordert, liegt das Barrierefreiheits-Gate an derselben Stelle — typischerweise als CI-Prüfung in der Deploy-Pipeline sowie als vierteljährliches Review in demselben Forum, das SOC-2-, PCI-DSS- und ISO-27001-Nachweise behandelt. Barrierefreiheit als separates Compliance-Silo zu behandeln, ist der Weg, auf dem sie vernachlässigt wird; sie als einen weiteren Risiko- und Kontrollpunkt neben den bereits bestehenden zu behandeln, ist der Weg, auf dem sie dauerhaft verankert wird.

FAQ

Die Fragen, die FI-Entwicklungs- und Compliance-Teams stellen, bevor sie sich engagieren.

Fallen Banking-Apps in den Geltungsbereich des European Accessibility Act?

Ja. Der EAA (Europäischer Rechtsakt zur Barrierefreiheit) nennt „Bankdienstleistungen für Verbraucher" ausdrücklich in Artikel 2 Absatz 2 Buchstabe e. Erfasst werden Girokonten, Sparkonten, Privatkredite, Hypotheken und die digitalen Kanäle, über die sie erbracht werden — Websites, mobile Apps, Geldautomaten und Selbstbedienungsterminals. B2B-Banking liegt weitgehend außerhalb des EAA-Anwendungsbereichs, aber jedes Produkt, das ein EU-Verbraucher online eröffnen und nutzen kann, ist erfasst. Die Kleinstunternehmen-Ausnahme (unter 10 Beschäftigte UND unter 2 Mio. € Jahresumsatz) befreit realistisch keine zugelassene Bank in der EU.

Gelten PDF-Kontoauszüge als „Bankdienstleistung" im Sinne der Barrierefreiheit?

Ja — und dies ist eine der am häufigsten strittigen Oberflächen in US-ADA-Klagen gegen Banken. Ein monatlicher Kontoauszug, der als nicht PDF/UA-konformes PDF geliefert wird, ist für viele Screenreader-Nutzende funktional unzugänglich. Der EAA behandelt ihn als Teil der in den Geltungsbereich fallenden Dienstleistung, und US-Gerichte haben durchgängig festgestellt, dass die Zustellung von Kontoauszügen integraler Bestandteil der Bankbeziehung ist. Kontoauszüge sollten als PDF/UA-konforme PDFs ausgegeben werden; für Transaktionsverläufe ist eine HTML- oder CSV-Alternative anzubieten.

Wie funktioniert 2FA für eine Person, die einen Screenreader nutzt?

Das hängt vom Kanal ab. SMS-OTP ist grundsätzlich zugänglich, aber die Zeitfenster sind knapp — die meisten Banken setzen ein Ablaufdatum von 30–60 Sekunden, was WCAG 2.2.1 Timing Adjustable für viele Nutzende nicht erfüllt. Authenticator-App-Codes funktionieren gut, wenn das Eingabefeld Einfügen akzeptiert; Probleme entstehen, wenn Banken die sechs Ziffern ohne korrekte aria-Beschriftung auf sechs separate Felder aufteilen. Hardware-Schlüssel und Passkeys werden zunehmend zur zugänglichsten Option, weil die Nutzerinteraktion (Gerät berühren, biometrische Aufforderung) auf Betriebssystemebene stattfindet und gut angekündigt wird — ein Fallback für Nutzende ohne Schlüssel ist jedoch zwingend erforderlich.

Gibt es eine finanzdienstleistungsspezifische Barrierefreiheitszertifizierung?

Es gibt kein bankspezifisches Äquivalent zu EN 301 549 — dieselben Standards gelten wie für jeden anderen digitalen Dienst. Was für Finanzinstitute spezifisch ist, ist die Regulierungsschicht: In den USA haben CFPB und OCC Leitlinien veröffentlicht, die Barrierefreiheit im Rahmen fairer Bankverpflichtungen referenzieren, und die EAA-Durchsetzung in der EU erfolgt auf Ebene der Mitgliedstaaten durch dieselben Behörden, die das Verbraucherbankgeschäft beaufsichtigen. Banken beauftragen üblicherweise einen VPAT/ACR gegen WCAG 2.2 AA sowie einen parallelen EN-301-549-Konformitätsbericht.

Welchem Klagerisiko ist ein Unternehmen bei einer unzugänglichen mobilen Banking-App ausgesetzt?

In den USA gehören mobile Banking-Apps zu den Oberflächen mit der höchsten Klagequote nach ADA Title III; mehrere Großbanken haben Sammelklagen im hohen sechs- bis niedrigen siebenstelligen Bereich verglichen. Das US-Justizministerium hat offiziell erklärt, dass Dienste öffentlicher Einrichtungen zugänglich sein müssen, und die Positionen des 11. und 9. Bezirksgerichts zur „Physical Nexus"-Verteidigung sind so weit geschwächt, dass eine rein online tätige Neobank nicht sicherer als eine traditionelle Bank mit Filialen ist. In der EU wurden EAA-Bußgelder ab 2026 in mehreren Mitgliedstaaten verhängt.

Kann ein Screenreader-Nutzer eine Transaktion ohne sehende Hilfe verifizieren?

Das sollte möglich sein — und bei einem gut konzipierten Banking-Produkt ist es das auch. Die Mindestanforderungen lauten: Der Transaktionsbestätigungsbildschirm liest Betrag, Währung, Empfänger und Datum als zusammenhängenden Satz vor; die Bestätigungsschaltfläche ist eindeutig beschriftet (nicht nur „Bestätigen", sondern „Überweisung von 250 € an Jane Doe bestätigen"); der Erfolgszustand wird per aria-live angekündigt; und der resultierende Beleg ist als selektierbarer Text verfügbar — nicht als Bild. Fehlt auch nur eine dieser Anforderungen, kann die nutzende Person nicht eigenständig verifizieren, was sie gerade autorisiert hat — was sowohl ein Barrierefreiheitsproblem als auch eine Frage des fairen Bankings ist.

Wie häufig sollte eine Bank oder ein Fintech seine digitalen Oberflächen auditieren?

Automatisierte Scans sollten bei jedem Deploy ausgeführt werden. Kontinuierliches Monitoring sollte täglich gegen die Produktionsumgebung laufen. Manuelle Audits durch Testende mit Behinderungen sollten mindestens einmal jährlich für Bestandsprodukte beauftragt werden — sowie nach jedem größeren Redesign, Replatforming oder gesetzlich vorgeschriebenen Änderungen. Banken ändern sich häufig — ein Marketing-Hero am Dienstag, eine 2FA-Anpassung am Freitag — und ein einmaliger Jahres-Audit übersteht keinen einzigen Sprint.

Drei nächste Schritte

Den Schritt wählen, der zum aktuellen Stand des eigenen Teams passt.

  1. Scanner starten

    Ein live laufender kostenloser WCAG-2.2-Scanner für jede öffentliche URL. Betrieben von Qualibooth, öffnet in einem neuen Tab. Bester Einstiegspunkt, wenn noch keine Ausgangslage für Online-Banking- oder Marketing-Oberflächen vorliegt.

    Scanner öffnen →

  2. Monitoring-Einkaufsführer lesen

    Unser Monitoring-Einkaufsführer deckt die Plattformen ab, die den Scan-bis-Audit-Workflow lückenlos abwickeln — mit den FI-spezifischen Kriterien (CI-Integration, regulierungsorientiertes Reporting, echte Testenden-Netzwerke), die für Banken und lizenzierte Fintechs tatsächlich relevant sind.

    Leitfaden lesen →

  3. Audit-Angebot einholen

    Den Leitfaden zur Beauftragung eines manuellen Audits durch Testende mit Behinderungen lesen — was zu verlangen ist, welches Budget für ein FI-Engagement einzuplanen ist und welche Plattformen ein echtes Testenden-Netzwerk haben versus welche es auslagern.

    Leitfaden lesen →