Skip to main content

Cookie-Scanning & -Auditing: Wissen, was Ihre Website setzt

Sie können die Cookie-Vorschriften nicht einhalten, wenn Sie nicht wissen, welche Cookies Ihre Website setzt. Das klingt selbstverständlich, ist aber die mit Abstand häufigste Schwachstelle bei der Cookie-Compliance. Websites entwickeln sich ständig weiter — neue Plugins werden installiert, Marketing-Tags werden hinzugefügt, Skripte von Drittanbietern werden aktualisiert — und jede Änderung kann neue Cookies mit sich bringen. Ein Cookie-Audit ist keine einmalige Aktivität. Es ist ein fortlaufender Prozess, der mit der Weiterentwicklung Ihrer Website Schritt halten muss.

Warum Cookie-Scanning wichtig ist

Jede Verpflichtung zur Cookie-Compliance setzt ein präzises, vollständiges Verzeichnis Ihrer Cookies voraus. Ohne dieses gilt:

  • Ihr Cookie-Banner ist unvollständig. Wenn Ihr Banner vier Cookie-Kategorien auflistet, Ihre Website aber tatsächlich Cookies in einer fünften Kategorie setzt, können Nutzer keine informierte Einwilligung erteilen. Ihre Einwilligung ist nach der GDPR unwirksam.
  • Ihre Cookie-Richtlinie ist ungenau. Datenschutzbehörden erwarten, dass Ihre Cookie-Richtlinie jedes Cookie mit Name, Zweck, Typ und Dauer auflistet. Eine unvollständige oder veraltete Richtlinie ist ein Compliance-Verstoß, nach dem Datenschutzbehörden bei Prüfungen aktiv suchen.
  • Ihr Einwilligungsmechanismus blockiert möglicherweise nicht alle Cookies. Wenn ein neu hinzugefügtes Skript Cookies setzt, die nicht in Ihrer Consent-Management-Konfiguration enthalten sind, werden diese Cookies ohne Einwilligung ausgelöst — ein direkter Verstoß gegen Artikel 5(3) der ePrivacy-Richtlinie.
  • Sie können nicht auf Nutzeranfragen reagieren. Nach der GDPR haben Nutzer das Recht zu erfahren, welche Daten Sie über sie erheben. Wenn Sie nicht wissen, welche Cookies Ihre Website setzt, können Sie Auskunftsanfragen betroffener Personen nicht korrekt beantworten.

Was ein Cookie-Scan aufdeckt

Ein gründlicher Cookie-Scan identifiziert:

  • Cookie-Namen: Die exakte Kennung für jedes Cookie (z. B. _ga, _fbp, JSESSIONID).
  • Herkunft: Ob das Cookie ein First-Party-Cookie (von Ihrer Domain gesetzt) oder ein Third-Party-Cookie (von einer externen Domain gesetzt) ist.
  • Typ: Session-Cookie (wird beim Schließen des Browsers gelöscht) oder persistentes Cookie (bleibt für eine festgelegte Dauer bestehen).
  • Dauer: Wie lange das Cookie besteht, bevor es abläuft (z. B. 30 Minuten, 1 Jahr, 2 Jahre).
  • Zweck: Was das Cookie tut — Session-Verwaltung, Analyse, Werbung, Personalisierung oder funktionale Zwecke.
  • Kategorie: Die Compliance-Kategorie, zu der das Cookie gehört — unbedingt erforderlich, funktional, Analyse/Leistung oder Marketing/Werbung.
  • Drittanbieter: Falls das Cookie von einem Drittanbieter gesetzt wird, zu welchem Dienst es gehört (Google Analytics, Facebook, HubSpot, Hotjar usw.).
  • Erhobene Daten: Welche Informationen das Cookie speichert oder deren Erhebung es ermöglicht.

Manuelles Cookie-Scanning mit den Browser-DevTools

Die grundlegendste Methode des Cookie-Scannings nutzt die Entwicklertools, die in jeden modernen Browser integriert sind. Auch wenn manuelles Scannen erhebliche Einschränkungen hat, ist es nützlich für Stichproben und um zu verstehen, wie Cookies auf Ihrer Website funktionieren.

Schritt für Schritt: Manuelles Cookie-Audit in Chrome

  1. Öffnen Sie ein Inkognito-/Privatfenster. So stellen Sie sicher, dass Sie mit einem sauberen Zustand beginnen — keine vorhandenen Cookies von früheren Besuchen.
  2. Öffnen Sie die DevTools (drücken Sie F12 oder klicken Sie mit der rechten Maustaste und wählen Sie „Untersuchen“).
  3. Wechseln Sie zum Tab „Application“ (in Chrome) oder zum Tab „Speicher“ (in Firefox).
  4. Erweitern Sie den Bereich „Cookies“ in der linken Seitenleiste. Sie sehen eine Liste von Domains.
  5. Besuchen Sie Ihre Website, ohne mit dem Cookie-Banner zu interagieren. Notieren Sie, welche Cookies sofort gesetzt werden — das sind die vor der Einwilligung gesetzten Cookies, bei denen es sich ausschließlich um unbedingt erforderliche Cookies handeln sollte.
  6. Akzeptieren Sie alle Cookies in Ihrem Cookie-Banner. Aktualisieren Sie den Application-/Speicher-Tab und notieren Sie die neu erscheinenden Cookies.
  7. Navigieren Sie durch die wichtigsten Seiten Ihrer Website (Startseite, Produktseiten, Kasse, Kontaktformular, Blog). Manche Cookies werden nur auf bestimmten Seiten oder nach bestimmten Interaktionen gesetzt.
  8. Dokumentieren Sie jedes Cookie: Erfassen Sie für jedes gefundene Cookie Name, Domain, Pfad, Ablaufdatum, Größe und ob es HTTP-only oder secure ist.
  9. Prüfen Sie den Tab „Network“ auf zusätzliches Tracking. Manche Tracking-Technologien nutzen Pixel, Beacons oder API-Aufrufe statt herkömmlicher Cookies. Der Network-Tab zeigt alle ausgehenden Anfragen an Drittanbieter-Domains.

Grenzen des manuellen Scannings

Manuelles Scannen ist wertvoll zum Lernen und für Stichproben, hat aber gravierende Einschränkungen für Compliance-Zwecke:

  • Unvollständige Abdeckung. Sie können nur die Seiten prüfen, die Sie manuell besuchen. Eine große Website mit Hunderten von Seiten kann auf unterschiedlichen Seiten unterschiedliche Cookies setzen. Manuelles Scannen kann sie praktisch nicht alle abdecken.
  • Keine Kategorisierung. Die DevTools zeigen Ihnen die reinen Cookie-Daten, kategorisieren Cookies aber nicht nach Zweck oder Compliance-Kategorie. Sie müssen jedes Cookie einzeln recherchieren.
  • Nur eine Momentaufnahme. Manuelles Scannen liefert eine Momentaufnahme. Es erkennt keine neuen Cookies, die nach Ihrem Audit hinzugefügt werden.
  • Keine Überprüfung der Skriptblockierung. Manuelles Scannen kann nicht ohne Weiteres überprüfen, ob Ihre Consent-Management-Plattform Skripte vor der Einwilligung korrekt blockiert.
  • Zeitaufwendig. Selbst bei einer Website mit nur 20 Seiten dauert es Stunden, jede Seite manuell zu prüfen und jedes Cookie zu dokumentieren.

Automatisiertes Cookie-Scanning

Automatisierte Cookie-Scanning-Tools beheben die Grenzen des manuellen Scannens, indem sie Ihre gesamte Website crawlen, alle Cookies identifizieren und systematisch kategorisieren. Ein gutes automatisiertes Scanning-Tool bietet:

  • Umfassendes Crawling: Der Scanner besucht jede Seite Ihrer Website (oder eine definierte Teilmenge), einschließlich Seiten, die nur über Navigation oder Suche erreichbar sind.
  • Vor und nach der Einwilligung: Der Scanner prüft, welche Cookies vor der Einwilligung gesetzt werden, welche nach der Einwilligung erscheinen und ob abgelehnte Kategorien ordnungsgemäß blockiert werden.
  • Automatische Kategorisierung: Bekannte Cookies (etwa Google Analytics' _ga oder Facebooks _fbp) werden automatisch auf Basis gepflegter Datenbanken zu Cookie-Zwecken kategorisiert.
  • Identifizierung von Drittanbietern: Alle Drittanbieter-Domains, die Cookies setzen, werden identifiziert und dokumentiert.
  • Geplantes Scannen: Scans laufen automatisch nach Zeitplan (wöchentlich, nach Deployments), um neue Cookies zu erfassen, sobald sie auftauchen.
  • Änderungserkennung: Der Scanner warnt Sie, wenn neue Cookies erscheinen oder sich bestehende Cookies ändern, sodass Sie Ihren Einwilligungsmechanismus und Ihre Cookie-Richtlinie aktualisieren können.
  • Compliance-Berichte: Die Ergebnisse werden so aufbereitet, dass sie Ihre Compliance-Dokumentation unterstützen.

Worauf Sie bei einem Cookie-Scanning-Tool achten sollten

Berücksichtigen Sie bei der Bewertung automatisierter Cookie-Scanning-Lösungen Folgendes:

  1. JavaScript-Rendering: Viele Cookies werden von JavaScript gesetzt, das nach dem Laden der Seite ausgeführt wird. Der Scanner muss JavaScript ausführen (mithilfe einer echten Browser-Engine), um diese Cookies zu erkennen. Einfache HTTP-Crawler, die kein JavaScript rendern, übersehen die meisten Drittanbieter-Cookies.
  2. Crawling-Tiefe: Der Scanner sollte internen Links folgen und Ihre gesamte Website crawlen, nicht nur die Startseite. Cookies, die von eingebetteten Videos, Formularen, Chat-Widgets oder Zahlungsdienstleistern auf bestimmten Seiten gesetzt werden, werden übersehen, wenn nur die Startseite gescannt wird.
  3. Simulation des Erstbesuchs: Der Scanner sollte einen Erstbesucher simulieren (keine vorhandenen Cookies, keine erteilte Einwilligung), um zu überprüfen, dass vor der Einwilligung keine nicht erforderlichen Cookies gesetzt werden.
  4. Cookie-Datenbank: Eine gepflegte Datenbank bekannter Cookies mit ihren Zwecken und Kategorien reduziert den manuellen Aufwand der Klassifizierung erheblich.
  5. Berichterstattung: Klare, exportierbare Berichte, die mit Rechts-, Marketing- und Entwicklungsteams geteilt werden können.
  6. Zeitplanung und Warnmeldungen: Automatisches Scannen nach einem konfigurierbaren Zeitplan mit Benachrichtigungen, wenn neue Cookies erkannt werden.

Der Cookie-Scanning-Prozess

Ein gründlicher Cookie-Scan folgt fünf Schritten, ob manuell oder mit automatisierten Tools durchgeführt:

Schritt 1: Alle Seiten crawlen

Erstellen Sie zunächst eine vollständige Übersicht Ihrer Website. Dazu gehören alle öffentlichen Seiten, geschützte Seiten (falls zutreffend), Landingpages, Danke-Seiten, Fehlerseiten und jede Seite, auf die ein Besucher zugreifen könnte. Beschränken Sie Ihren Scan nicht auf die Startseite — Cookies werden häufig von Drittanbieter-Skripten gesetzt, die nur auf bestimmten Seiten geladen werden (z. B. ein YouTube-Embed in einem Blogbeitrag, ein Zahlungsdienstleister auf der Kassenseite oder ein Chat-Widget, das nur auf Support-Seiten erscheint).

Schritt 2: Alle Cookies identifizieren

Erfassen Sie für jede Seite jedes gesetzte Cookie. Dies umfasst sowohl HTTP-Cookies (sichtbar im Set-Cookie-Header und im Cookie-Speicher des Browsers) als auch clientseitige Speichermechanismen (localStorage, sessionStorage, IndexedDB), die als Tracking-Technologien fungieren können, auch wenn sie technisch gesehen keine Cookies sind.

Schritt 3: Herkunft der Cookies bestimmen

Ermitteln Sie für jedes Cookie, ob es sich um ein First-Party-Cookie (von Ihrer eigenen Domain gesetzt) oder ein Third-Party-Cookie (von einer externen Domain gesetzt) handelt. Third-Party-Cookies sind für die Compliance besonders wichtig, da sie in der Regel die Weitergabe von Daten an externe Organisationen beinhalten, was eine Offenlegung in Ihrer Cookie-Richtlinie und in vielen Fällen einen Auftragsverarbeitungsvertrag erfordert.

Schritt 4: Cookies nach Kategorie klassifizieren

Ordnen Sie jedes Cookie einer Compliance-Kategorie zu:

  • Unbedingt erforderlich: Für das Funktionieren der Website notwendig. Kann vom Nutzer nicht deaktiviert werden. Beispiele: Session-Cookies, CSRF-Tokens, Load-Balancing-Cookies, Cookies für Einwilligungspräferenzen.
  • Funktional: Ermöglichen erweiterte Funktionen und Personalisierung. Beispiele: Sprachpräferenzen, Regionsauswahl, zuletzt angesehene Artikel (sofern nicht für Werbung genutzt).
  • Analyse/Leistung: Erheben Informationen darüber, wie Besucher die Website nutzen. Beispiele: Cookies von Google Analytics, Hotjar, Matomo.
  • Marketing/Werbung: Verfolgen Besucher über Websites hinweg zu Werbezwecken. Beispiele: Facebook Pixel, Google-Ads-Cookies, Retargeting-Cookies, Affiliate-Tracking-Cookies.

Schritt 5: Zweck, Dauer und Typ dokumentieren

Dokumentieren Sie für jedes Cookie seinen Zweck in einer verständlichen Sprache, die auch ein technischer Laie versteht, seine Dauer (Session oder persistent, und falls persistent, wie lange) sowie seinen Typ (HTTP-Cookie, localStorage usw.). Diese Dokumentation bildet die Grundlage Ihrer Cookie-Richtlinie und der Informationen in Ihrem Cookie-Banner.

Laufende Überwachung

Ein Cookie-Scan ist nur zum Zeitpunkt seiner Durchführung gültig. Ihre Website ist nicht statisch — sie entwickelt sich mit jedem Deployment, jedem Plugin-Update und jeder Marketingkampagne weiter. Eine laufende Überwachung ist unerlässlich, weil:

  • Neue Skripte neue Cookies mit sich bringen. Wenn ein Entwickler ein neues Analyse-Tool hinzufügt, ein Marketingteam ein neues Tracking-Pixel installiert oder ein Plugin aktualisiert wird, können neue Cookies auf Ihrer Website erscheinen, ohne dass sich jemand ausdrücklich dazu entschieden hat, sie hinzuzufügen.
  • Drittanbieter-Skripte sich ändern. Selbst wenn Sie Ihre Website nicht ändern, können die von Ihnen genutzten Drittanbieter-Dienste ihre Skripte aktualisieren und neue Cookies einführen. Ein Google-Analytics-Update, eine Änderung an einem Social-Media-Widget oder eine CDN-Konfigurationsänderung können allesamt die Cookies auf Ihrer Website beeinflussen.
  • Compliance kontinuierlich ist. Datenschutzbehörden erwarten, dass Ihre Cookie-Richtlinie und Ihr Einwilligungsmechanismus den aktuellen Zustand Ihrer Website widerspiegeln. Eine Richtlinie, die vor sechs Monaten korrekt war, aber seither hinzugefügte Cookies nicht enthält, ist heute nicht konform.

Bewährte Praxis ist es, automatisierte Scans nach jedem Deployment und mindestens monatlich durchzuführen. Richten Sie Warnmeldungen für neue Cookies ein, damit Ihr Team sie bewerten, kategorisieren und in Ihren Einwilligungsmechanismus aufnehmen kann, bevor sie zu einem Compliance-Problem werden.

Cookie-Scanning und Ihre Cookie-Richtlinie

Ihre Cookie-Richtlinie und Ihre Cookie-Scan-Ergebnisse müssen synchron bleiben. Jedes bei einem Scan identifizierte Cookie sollte in Ihrer Richtlinie dokumentiert sein, und jedes in Ihrer Richtlinie aufgeführte Cookie sollte tatsächlich auf Ihrer Website vorhanden sein. Eine Diskrepanz in beide Richtungen ist ein Problem:

  • Cookies auf der Website, aber nicht in der Richtlinie: Das bedeutet, dass Nutzer nicht über das gesamte Tracking auf Ihrer Website informiert werden. Ihre Einwilligung, selbst wenn erteilt, deckt möglicherweise keine nicht offengelegten Cookies ab.
  • Cookies in der Richtlinie, aber nicht auf der Website: Weniger gravierend, aber die Auflistung nicht existierender Cookies stiftet Verwirrung und untergräbt das Vertrauen in die Genauigkeit Ihrer Dokumentation.

Der effizienteste Ansatz besteht darin, Ihr Scanning-Tool mit Ihrer Cookie-Richtlinie zu integrieren, sodass die Richtlinie automatisch aktualisiert wird, wenn neue Cookies erkannt werden. Dadurch entfällt der manuelle Schritt, die Richtlinie nach jedem Scan zu aktualisieren, und das Risiko, dass beide auseinanderlaufen, wird verringert.

Wie Passiro das Cookie-Scanning handhabt

Der Scanner von Passiro nutzt eine Headless-Browser-Engine, um jede Seite Ihrer Website zu besuchen und JavaScript genau so auszuführen, wie es der Browser eines echten Besuchers tun würde. So wird sichergestellt, dass Cookies, die von dynamisch geladenen Skripten, eingebetteten Inhalten und Single-Page-Application-Frameworks gesetzt werden, allesamt erkannt werden. Der Scanner läuft vor und nach einer simulierten Einwilligung, um zu überprüfen, dass Ihr Consent-Management korrekt funktioniert — dass also nicht erforderliche Cookies bis zur Erteilung der Einwilligung tatsächlich blockiert werden.

Die Scan-Ergebnisse werden automatisch anhand einer kontinuierlich aktualisierten Datenbank bekannter Cookies kategorisiert, mit der Möglichkeit, jedes Cookie manuell zu klassifizieren oder neu zu klassifizieren. Geplante Scans laufen auf konfigurierbarer Basis, und Sie erhalten Warnmeldungen, wenn neue Cookies auf Ihrer Website erscheinen, sodass Sie handeln können, bevor sie zu einem Compliance-Risiko werden.

Wie oft sollten Sie scannen?

Die richtige Scanning-Frequenz hängt davon ab, wie oft sich Ihre Website ändert:

  • Nach jedem Deployment: Jede Codeänderung kann potenziell neue Cookies mit sich bringen. Integrieren Sie das Cookie-Scanning in Ihre CI/CD-Pipeline oder führen Sie nach jedem Release einen Scan durch.
  • Nach dem Hinzufügen von Drittanbieter-Diensten: Wann immer Sie ein neues Analyse-Tool, eine Marketingplattform, ein Chat-Widget, einen Zahlungsdienstleister oder ein beliebiges Drittanbieter-Skript hinzufügen, scannen Sie sofort.
  • Mindestens monatlich: Selbst wenn Sie keine Änderungen vornehmen, können Drittanbieter-Skripte auf Ihrer Website aktualisiert werden und neue Cookies einführen. Ein monatlicher Scan erfasst diese Änderungen.
  • Nach CMP-Updates: Wenn Sie Ihre Consent-Management-Plattform aktualisieren oder Ihre Cookie-Kategorien ändern, scannen Sie, um zu überprüfen, dass die Änderungen wie erwartet funktionieren.
  • Vierteljährliche Überprüfung: Führen Sie über das automatisierte Scannen hinaus vierteljährlich eine manuelle Überprüfung Ihres Cookie-Verzeichnisses durch, um zu bestätigen, dass die Kategorisierungen weiterhin korrekt sind, dass Drittanbieter noch erforderlich sind und dass Ihre Cookie-Richtlinie die Realität widerspiegelt.

Die Organisationen, die Cookie-Scanning als routinemäßige Wartung und nicht als periodisches Audit behandeln, sind diejenigen, die kontinuierliche Compliance aufrechterhalten — und die unangenehme Überraschung vermeiden, während einer Untersuchung durch eine Datenschutzbehörde undokumentierte Tracking-Cookies zu entdecken.

Erfüllt Ihre Website die Cookie-Vorschriften?

Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.

Cookies kostenlos scannen