Cookie-Audit: So scannen und inventarisieren Sie die Tracker Ihrer Website

TL;DR

Ein Cookie-Audit besteht darin, alle Seiten Ihrer Website zu scannen, um alle auf dem Endgerät der Besucher platzierten Tracker zu identifizieren. Dieses Inventar ist der erste Schritt jeder DSGVO-Konformitätsmaßnahme: Ohne zu wissen, welche Cookies Ihre Website tatsächlich platziert, ist es unmöglich, eine zuverlässige Cookie-Richtlinie zu verfassen, Ihr Einwilligungsbanner korrekt zu konfigurieren oder Ihre Konformität bei einer Kontrolle nachzuweisen.

Was ist ein Cookie-Audit?

Ein Cookie-Audit (oder Cookie-Audit) ist eine technische Analyse, die alle von Ihrer Website beim Besuch eines Nutzers platzierten Cookies und Tracker identifiziert. Er erfasst First-Party- und Third-Party-Cookies, ihre Zwecke, ihre Lebensdauer und die Scripts, die sie auslösen.

Das Ziel besteht nicht nur darin, Cookie-Namen aufzulisten. Der Audit muss drei Fragen beantworten können: Welche Tracker sind vorhanden, wer platziert sie (Ihre Website oder ein Dritter), und werden sie vor der Einwilligung korrekt blockiert?

Die CNIL erwartet von Website-Verantwortlichen, dass sie die auf ihrer Domain vorhandenen Tracker genau kennen. Ein regelmäßiger Audit ist das einzige zuverlässige Mittel, um diese Transparenz zu erhalten.

Warum sollten Sie die Cookies Ihrer Website auditieren?

Die auf einer Website vorhandenen Cookies entwickeln sich ständig weiter. Jede Hinzufügung eines Drittanbieter-Scripts (Analytics-Tool, Werbepixel, Chat-Widget, eingebetteter Videoplayer) kann neue Tracker einführen, ohne dass Sie davon informiert werden.

Ohne Audit können Sie nicht garantieren, dass Ihre Cookie-Richtlinie die Realität widerspiegelt. Eine Diskrepanz zwischen dokumentierten und tatsächlich gesetzten Cookies stellt einen Verstoß gegen die DSGVO-Informationspflicht dar.

Ein Audit ermöglicht auch die Erkennung von Cookies, die sich vor der Nutzereinwilligung auslösen. Dies ist eine der am häufigsten bei CNIL-Kontrollen festgestellten Nichteinhaltungen: Analytics- oder Werbe-Scripts, die beim Laden der Seite ausgeführt werden, bevor der Besucher mit dem Einwilligungsbanner.

Wie funktioniert ein Cookie-Scanner?

Ein Cookie-Scanner ist ein Tool, das automatisch die Seiten Ihrer Website durchläuft, die Navigation eines Besuchers simuliert und alle im Browser während dieser Sitzung gesetzten Cookies aufzeichnet.

Der Scan-Prozess

Der Scanner lädt jede Seite Ihrer Website in einem automatisierten Browser (Headless Browser). Er zeichnet die bei jedem Schritt gesetzten Cookies auf: beim ersten Laden, nach Ausführung der Scripts und gegebenenfalls nach Einwilligungssimulation. Das Ergebnis ist ein detailliertes Inventar jedes Cookies mit seinem Namen, seiner Domain, seinem wahrscheinlichen Zweck, seiner Lebensdauer und dem Script, das ihn ausgelöst hat.

Was der Scan erkennt

Ein guter Scanner identifiziert First-Party-Cookies (von Ihrer Domain platziert), Third-Party-Cookies (von Drittanbieter-Domains wie google-analytics.com, facebook.com, doubleclick.net platziert), Sitzungs-Cookies (beim Schließen des Browsers gelöscht) und persistente Cookies (die bis zum Ablauf verbleiben). Er meldet auch Cookies, die sich vor der Einwilligung auslösen.

Die Grenzen eines automatischen Scans

Ein automatischer Scan deckt nicht immer 100 % der Fälle ab. Einige Cookies lösen sich nur bei bestimmten Pfaden aus (Zahlungsformular, Mitgliederbereich, Konversionstrichter). Andere hängen von der Geolokalisierung des Besuchers ab. Ein vollständiger Audit kann mehrere Scans mit unterschiedlichen Konfigurationen erfordern.

Welche Tools sollte man für den Cookie-Audit verwenden?

Mehrere Tool-Kategorien ermöglichen einen Cookie-Audit, vom einfachsten bis zum fortgeschrittensten.

Die im Browser integrierten Tools (Chrome DevTools, Firefox Developer Tools) ermöglichen es, auf einer Seite gesetzte Cookies über den Tab Anwendung > Cookies einzusehen. Dies ist für eine schnelle Diagnose nützlich, aber kein vollständiger Audit: Jede Seite muss manuell überprüft werden.

Browser-Erweiterungen (Cookie Editor, EditThisCookie) erleichtern die Visualisierung und den Export von Cookies auf einer bestimmten Seite. Sie bleiben auf eine seitenweise Analyse beschränkt.

Online-Cookie-Scanner analysieren Ihre gesamte Website automatisch in wenigen Minuten. FlowConsent bietet einen kostenlosen Scanner der Ihre Seiten durchläuft, Tracker identifiziert und Cookies nach Kategorie klassifiziert (notwendig, Analytics, Werbung, soziale Netzwerke). Diese Art von Tool ist am effektivsten für einen regelmäßigen Audit.

CMPs (Einwilligungsverwaltungsplattformen) integrieren oft einen Cookie-Scanner in ihre Funktionsweise. Sie können neue Cookies bei jeder Aktualisierung erkennen und bei Diskrepanzen mit der bestehenden Konfiguration warnen.

Wie interpretiert man die Ergebnisse eines Audits?

Das von einem Scanner produzierte Rohinventar muss analysiert und klassifiziert werden, um verwertbar zu sein.

Klassifizieren Sie jeden Cookie in eine der vier Standardkategorien: unbedingt erforderlich (Authentifizierung, Warenkorb, Einwilligungswahl), Analytics (Zielgruppenmessung), Werbung (Targeting, Retargeting, Konversion) und soziale Netzwerke (Share-Buttons, Widgets). Diese Klassifizierung bestimmt, welche Cookies einer vorherigen Einwilligung bedürfen und welche davon ausgenommen sind.

Überprüfen Sie dann die Lebensdauer jedes Cookies. Die CNIL empfiehlt eine maximale Dauer von 13 Monaten. Cookies, deren Dauer diese Grenze überschreitet, müssen gemeldet und wenn möglich neu konfiguriert werden.

Identifizieren Sie nicht dokumentierte Cookies: solche, die keinem Service entsprechen, den Sie freiwillig installiert haben. Sie stammen oft von kaskadiert geladenen Drittanbieter-Scripts (ein Chat-Widget, das einen Werbepixel lädt, zum Beispiel).

Häufige Fehler bei einem Cookie-Audit

Nur die Startseite scannen. Cookies können von Seite zu Seite variieren. Ein Scanner muss eine repräsentative Stichprobe aller Site-Bereiche abdecken (Blog, Produktseiten, Formulare, Mitgliederbereich).

Cookies von Subdomains ignorieren. Wenn Ihre Website Subdomains verwendet (app.meinsite.com, blog.meinsite.com), kann jede eigene Cookies platzieren. Der Audit muss die gesamte Domain abdecken.

Das Verhalten vor der Einwilligung nicht testen. Der Scan muss prüfen, welche Cookies sich auslösen, bevor der Nutzer mit dem Banner interagiert hat. Dies ist der wichtigste Test für die Konformität.

Einen einmaligen Audit durchführen und nie erneuern. Cookies ändern sich bei jeder Modifikation der Website. Ein Audit muss mindestens einmal pro Quartal geplant werden und nach jeder Hinzufügung eines Drittanbieter-Scripts.

Die Ergebnisse nicht dokumentieren. Der Audit hat nur Wert, wenn er nachvollzogen wird. Bewahren Sie eine datierte Historie der Scans auf, um Ihren Konformitätsansatz nachweisen zu können.

Vom Audit zur Konformität: die nächsten Schritte

Der Audit produziert ein Inventar. Der nächste Schritt besteht darin, es konkret zu nutzen.

Aktualisieren Sie Ihre Cookie-Richtlinie mit dem aus dem Scan stammenden Inventar. Jeder Cookie muss dort mit seinem Namen, seinem Herausgeber, seinem Zweck und seiner Lebensdauer aufgeführt sein.

Konfigurieren Sie Ihre CMP, um nicht-essentielle Scripts vor der Einwilligung zu blockieren. Überprüfen Sie, dass die Cookie-Kategorien in Ihrer CMP mit den vom Audit identifizierten übereinstimmen.

Wenn Ihre Website den Google Consent Mode v2 verwendet, stellen Sie sicher, dass die an Google-Tags übermittelten Einwilligungssignale die Kategorien Ihres Audits korrekt widerspiegeln.

Entfernen oder ersetzen Sie nicht-essentielle Cookies, die Sie nicht rechtfertigen können. Wenn ein Drittanbieter-Script Cookies platziert, die Sie nicht benötigen, entfernen Sie es oder ersetzen Sie es durch eine konforme Alternative.

Checkliste: Cookies Ihrer Website auditieren

1. Einen vollständigen Scan Ihrer Website starten, der alle Hauptbereiche abdeckt.
2. Prüfen, welche Cookies sich vor der Einwilligung auslösen.
3. Jeden Cookie nach Kategorie klassifizieren: notwendig, Analytics, Werbung, soziale Netzwerke.
4. Nicht dokumentierte Drittanbieter-Cookies identifizieren.
5. Lebensdauer jedes Cookies prüfen (max. 13 Monate von der CNIL empfohlen).
6. Cookie-Richtlinie mit dem vollständigen Inventar aktualisieren.
7. CMP neu konfigurieren, um nicht eingewilligte Scripts zu blockieren.
8. Ungerechtfertigte Cookies entfernen oder ersetzen.
9. Scan-Ergebnisse mit Datum dokumentieren.
10. Den nächsten Audit planen (mindestens vierteljährlich).

Fazit

Der Cookie-Audit ist der Ausgangspunkt jeder Cookie-Konformitätsmaßnahme. Ohne zuverlässiges Inventar beruhen Ihre Cookie-Richtlinie, Ihr Einwilligungsbanner und Ihre CMP-Konfiguration auf Annahmen. Ein regelmäßiger Scan ermöglicht es, nicht dokumentierte Tracker, Cookies, die sich vor der Einwilligung auslösen, und Abweichungen zwischen Ihrer Dokumentation und der Realität zu erkennen.

Starten Sie einen kostenlosen Scan Ihrer Website um das vollständige Inventar Ihrer Cookies in wenigen Minuten zu erhalten.