Der Audit-Trail ist das Produkt. Der Scan ist nur der Eintrag.

Warum CI-axe nicht reicht

Wenn Sie axe-core in der GitHub Action laufen lassen, machen Sie genau das Richtige für Entwickler-Feedback. Aber dieser Lauf ist als Beweismittel ungeeignet, aus drei Gründen:

• Kein zeitgestempelter externer Bericht. CI-Logs sind Ihre eigenen Logs. Bei einer juristischen Auseinandersetzung kommt schnell die Frage, ob diese Logs manipulierbar sind.
• Kein produktionsnaher Scan. CI scant typischerweise eine PR-Vorschau oder eine Storybook-Instanz, nicht die Live-Site nach Deploy. Genau die Lücke ist juristisch relevant.
• Keine Aufbewahrungsdauer. CI-Logs werden nach 90 Tagen gelöscht. Wer 12 Monate fortlaufende Sorgfalt nachweisen muss, hat sechs der zwölf nicht mehr.

Was ein verteidigbarer Audit-Trail enthält

Wir sehen folgende Elemente in Audit-Trails, die in BFSG-Verfahren tatsächlich getragen haben:

1. Quelle. Welche Seiten, in welcher Tiefe, mit welchem Sampling. Bei WCAGdesk: alle gefundenen URLs aus sitemap.xml bis zur Plan-Obergrenze (50 / 200 Seiten), mit Same-Origin-Fallback-Crawl wenn keine Sitemap vorhanden.
2. Engine-Version. Welche Regelmenge wurde geprüft. Bei uns: axe-core 4.11 mit den Tags wcag2a, wcag2aa, wcag21a, wcag21aa, best-practice.
3. Zeitstempel. Server-Uhrzeit, nicht Client-Uhrzeit. Eingespeist von unserer Datenbank, nicht aus dem Scan-Tool selbst.
4. Selektor + Snippet pro Verstoß. Welcher CSS-Selektor, welcher HTML-Auszug, welcher WCAG-Punkt — damit jeder Verstoß einzeln reproduzierbar bleibt.
5. Severity-Wert pro Lauf. Gewichtete Summe (kritisch × 10, schwerwiegend × 5, mäßig × 2, gering × 1) — dadurch Trends sichtbar.
6. Diff zum Vorlauf. Welche Verstöße sind neu, welche sind behoben. So sehen Sie und Ihr Anwalt, dass Sie aktiv arbeiten.
7. Aufbewahrung. Bei Defense 90 Tage, bei Counsel ohne Limit. Beides reicht nach aktueller deutscher BFSG-Rechtsprechung deutlich aus.

Aufbewahrungsdauer ist die Trennlinie

Eine BFSG-Auseinandersetzung läuft typischerweise über Monate. Vom ersten Anwaltsschreiben bis zum modifizierten Unterlassungsverpflichtungs-Vergleich vergehen 6–18 Wochen. In dieser Zeit muss Ihr Audit-Trail den Stand vor der Abmahnung dokumentieren — und parallel zeigen, dass Sie aktiv beheben.

Aufbewahrungsfristen unter 30 Tagen sind dafür ungeeignet. Genau hier liegt der Unterschied zwischen einem CI-Lauf und einem produktionsnahen Audit-Trail-Service.

Was das im Verfahren wert ist

Wir sind kein Anwalt; aber wir lesen viele BFSG-Verfahrensauszüge. Drei wiederkehrende Punkte, an denen ein Audit-Trail Wert generiert:

• Vorsatzfrage. Wer fortlaufende Bewertungen vorlegt, kann nicht glaubhaft als "wusste vom Mangel und ignorierte" dargestellt werden.
• Sorgfaltsfrage. Wer regelmäßige Bewertungen mit Behebungsdaten zeigt, erfüllt das Sorgfaltskriterium auch dann, wenn nicht alles behoben ist.
• Schadenshöhe. Modifizierte Unterlassungserklärungen mit konkreten behobenen Punkten reduzieren regelmäßig die Anwaltskosten-Forderung.

Was wir damit nicht meinen

Ein Audit-Trail ist kein Konformitätsnachweis. Vollständige WCAG-Konformität wird durch manuelle Expertenprüfung festgestellt, nicht durch ein automatisiertes Tool. Was wir liefern, ist die fortlaufende, automatisch erzeugte Beweisspur — die Grundlage, auf der ein Anwalt oder Auditor weiterarbeitet.

Wer 100-prozentige Compliance verspricht, lügt. Genau dafür hat die FTC im April 2025 AccessiBe um $1M Strafe verklagt. WCAGdesk ist explizit das Gegenteil — siehe Methodik.

Wie der Trail bei uns aussieht

Konkret: pro Site sehen Sie eine Tabelle mit allen Scans, sortiert nach Datum. Pro Scan:

• Status (running / done / failed) mit Statusdot
• Geprüfte Seiten
• Anzahl Verstöße
• Severity-Score
• Diff zum Vorgängerlauf (+ X neu, − Y behoben)
• Direktlink zum Scan-Detail mit allen Issues und PDF/CSV-Export

Jedes PDF ist eigenständig — es referenziert die Scan-ID, die Engine-Version und den Zeitstempel. Wer fünf PDFs aus den letzten fünf Quartalen vorlegen kann, hat einen Audit-Trail, der einer Prüfung standhält.