So Führen Sie ein Cookie-Audit Ihrer Website Durch

Ihre Website Hat Wahrscheinlich Mehr Cookies Als Sie Denken

Das durchschnittliche Cookie-Audit deckt 40-60% mehr Cookies auf, als Organisationen erwarten. Eine typische Website verwendet zwischen 50 und 300 Cookies, und etwa 60% davon sind Drittanbieter-Cookies, die von externen Diensten wie Google Analytics, Facebook Pixel oder Werbenetzwerken gesetzt werden.

Das ist wichtig, weil 59% der Websites Cookies setzen, bevor Nutzer überhaupt den Einwilligungsbanner sehen, laut einer Studie von November 2025. Nur 15% der 10.000 meistbesuchten Websites in 31 Ländern erfüllen die grundlegenden DSGVO-Anforderungen an Cookie-Compliance. Und die Regulierungsbehörden werden aufmerksam: Frankreichs CNIL verhängte allein 2025 über 475 Millionen Euro an Cookie-Bußgeldern.

Ein Cookie-Audit ist der erste Schritt, um zu verstehen, was Ihre Website tatsächlich im Browser tut, nicht was Sie glauben, dass sie tut.

Was Ist ein Cookie-Audit?

Ein Cookie-Audit ist eine systematische Überprüfung jeder Cookie und Tracking-Technologie auf Ihrer Website. Es identifiziert, welche Daten gesammelt werden, wer sie sammelt, ob Nutzer ihre Einwilligung gegeben haben und ob Ihr Cookie-Banner tatsächlich wie vorgesehen funktioniert.

Gemäß DSGVO Artikel 5(2) müssen Sie die Einhaltung nachweisen können. Gemäß Artikel 30 müssen Sie Aufzeichnungen über Verarbeitungstätigkeiten führen. Ein Cookie-Audit liefert Ihnen beides: dokumentierte Nachweise darüber, was Ihre Website tut, und Belege dafür, dass Sie Maßnahmen zur Behebung von Problemen ergriffen haben.

Schritt 1: Scannen Sie Ihre Website Vor der Einwilligung

Der wichtigste Test ist auch der einfachste. Öffnen Sie Ihre Website in einem neuen Inkognito-Fenster und prüfen Sie, was geladen wird, bevor Sie den Cookie-Banner berühren.

Mit Chrome DevTools:

1. Öffnen Sie ein Inkognito-Fenster (Strg+Umschalt+N oder Cmd+Umschalt+N)
2. Drücken Sie F12, um DevTools zu öffnen, und gehen Sie zur Registerkarte Application
3. Klicken Sie auf Cookies unter Storage in der linken Seitenleiste
4. Navigieren Sie nun zu Ihrer Website
5. Bevor Sie auf dem Cookie-Banner etwas anklicken, prüfen Sie, welche Cookies gesetzt wurden

Alle nicht-essentiellen Cookies, die vor Ihrer Interaktion mit dem Banner erscheinen, sind ein Verstoß gegen Artikel 5(3) der ePrivacy-Richtlinie, der eine Einwilligung vor dem Speichern von Cookies auf dem Gerät des Nutzers vorschreibt. Genau dieser Verstoß kostete SHEIN im September 2025 150 Millionen Euro, als die CNIL feststellte, dass Werbe-Cookies abgelegt wurden, sobald Nutzer die Website besuchten.

Über die Registerkarte Network:

1. Wechseln Sie zur Registerkarte Network in DevTools
2. Aktualisieren Sie die Seite
3. Klicken Sie auf eine beliebige Anfrage und öffnen Sie die Registerkarte Headers
4. Suchen Sie nach Set-Cookie-Headern in den Antworten, diese zeigen gesetzte Cookies
5. Filtern Sie nach Drittanbieter-Domains (jede Domain, die nicht mit Ihrer übereinstimmt)

Schritt 2: Kategorisieren Sie Jede Cookie

Sobald Sie eine vollständige Liste der Cookies haben, kategorisieren Sie jede einzelne:

Unbedingt notwendige Cookies sind von den Einwilligungsanforderungen ausgenommen. Dazu gehören Sitzungs-IDs, CSRF-Tokens, Authentifizierungs-Cookies und Lastausgleichs-Cookies. Sie sind für die Funktion der Website essentiell.

Funktionale Cookies merken sich Nutzerpräferenzen wie Sprache oder Anzeigeeinstellungen. Sie erfordern eine Einwilligung, da die Website auch ohne sie funktioniert.

Analyse-Cookies verfolgen das Nutzerverhalten und die Website-Leistung. Google Analytics Cookies (_ga, _gid, _gat) sind die häufigsten. Sie erfordern immer eine Einwilligung.

Marketing- und Werbe-Cookies verfolgen Nutzer über Websites hinweg, um Interessenprofile zu erstellen und zielgerichtete Werbung auszuspielen. Dazu gehören Google Ads (_gcl_au), Facebook Pixel (_fbp) und DoubleClick (IDE). Sie bergen das höchste regulatorische Risiko und erfordern immer eine Einwilligung.

Dokumentieren Sie für jede Cookie: den Namen, die Domain (Erstanbieter oder Drittanbieter), ihren Zweck, wie lange sie bestehen bleibt und ob sie in Ihrer Cookie-Richtlinie aufgeführt ist.

Schritt 3: Testen Sie Ihren Cookie-Banner

Ein Cookie-Banner, der konform aussieht, ist nicht dasselbe wie einer, der funktioniert. Regulierungsbehörden testen das tatsächliche Browserverhalten, nicht das Banner-Design. Das sollten Sie prüfen:

Testen Sie den Ablehnungsbutton. Klicken Sie auf "Alle ablehnen" und prüfen Sie dann in DevTools, ob nicht-essentielle Cookies noch vorhanden sind. Etwa 60% der "Alle ablehnen"-Buttons blockieren Cookies tatsächlich nicht. Der SHEIN-Fall bewies, dass Regulierungsbehörden dies überprüfen.

Testen Sie den Einwilligungswiderruf. Akzeptieren Sie Cookies, versuchen Sie dann, Ihre Einwilligung über die Cookie-Einstellungen zu widerrufen. Prüfen Sie, ob Cookies nicht mehr gelesen werden. Im Orange-Fall (50 Millionen Euro, November 2024) übertrugen Cookies weiterhin Daten, selbst nach dem Widerruf der Einwilligung.

Suchen Sie nach Dark Patterns. Ist der "Akzeptieren"-Button größer, farbiger oder auffälliger als "Ablehnen"? Erfordert das Ablehnen mehr Klicks als das Akzeptieren? Sind nicht-essentielle Cookie-Kategorien vorausgewählt? Die schwedische Datenschutzbehörde IMY erteilte ATG, Aller Media und Warner Music im April 2025 formelle Rügen speziell für täuschende Buttongrößen und Farbkontraste.

Überprüfen Sie den gleichberechtigten Zugang. Gemäß dem EU Digital Omnibus Vorschlag (November 2025) müssen Nutzer Cookies mit einem einzigen Klick ablehnen können. Wenn Ihr Banner erfordert, dass Nutzer sich durch "Einstellungen verwalten" klicken müssen, um abzulehnen, sind Sie bereits im Rückstand.

Schritt 4: Überprüfen Sie Ihre Cookie-Richtlinie

Vergleichen Sie, was Ihre Cookie-Richtlinie sagt, mit dem, was Ihr Audit tatsächlich gefunden hat. Häufige Lücken sind:

• Cookies, die auf der Website existieren, aber nicht in der Richtlinie aufgeführt sind
• Vage Beschreibungen wie "Verbesserung Ihrer Erfahrung" statt konkreter Zwecke
• Fehlende Drittanbieter-Cookie-Anbieter
• Veraltete Cookie-Namen oder -Laufzeiten
• Keine Angabe, wie die Einwilligung widerrufen werden kann

DSGVO Artikel 13 verlangt, dass Sie die Empfänger und Drittparteien offenlegen, die Daten über Ihre Cookies verarbeiten. Artikel 12 verlangt, dass diese Informationen präzise, transparent und leicht zugänglich sind.

Schritt 5: Beheben Sie, Was Sie Finden

Priorisieren Sie Korrekturen nach Risikostufe:

Sofort beheben: Cookie-Laden vor der Einwilligung, fehlende oder defekte Ablehnungsoptionen und Einwilligungsmechanismen, die nicht funktionieren. Dies sind die Verstöße, die die höchsten Bußgelder auslösen.

Innerhalb einer Woche beheben: Dark Patterns, asymmetrische Buttons und vorausgewählte Cookie-Kategorien. Diese werden von Regulierungsbehörden zunehmend ins Visier genommen, besonders nach Schwedens Offensive im April 2025.

Innerhalb eines Monats beheben: Nicht deklarierte Cookies in Ihrer Richtlinie, fehlende Cookie-Beschreibungen und übermäßige Cookie-Laufzeiten.

Laufend: Entfernen Sie Cookies ohne dokumentierten Zweck. Ersetzen Sie Drittanbieter-Analysetools wo möglich durch datenschutzfreundliche Alternativen. Minimieren Sie die Gesamtzahl der Cookies, die Ihre Website setzt.

Aktualisieren Sie nach der Behebung der Probleme Ihre Cookie-Richtlinie, um den aktuellen Stand Ihrer Website widerzuspiegeln. Für jede Cookie listen Sie auf: Name, Anbieter, Zweck, Typ und Dauer.

Wie Oft Sollten Sie Prüfen?

Ein einmaliges Audit reicht nicht aus. Neue Cookies können erscheinen, wann immer Sie ein Plugin hinzufügen, Ihr CMS aktualisieren, eine Marketingkampagne starten oder ein Drittanbieter-Tool integrieren.

Empfohlener Zeitplan:

• Automatisierte wöchentliche Scans, um neue Cookies zu erkennen, sobald sie erscheinen
• Vollständige manuelle Überprüfung einmal pro Quartal
• Sofortiges Audit nach jeder Website-Änderung: neue Funktionen, neue Integrationen, CMS-Updates oder Starts von Marketingkampagnen
• Regulatorische Kontrollpunkte, wenn neue Datenschutzgesetze in Kraft treten (US-Bundesstaaten fügen jeden Januar und Juli neue Gesetze hinzu)

Die britische ICO demonstrierte 2025 die Wirkung konsequenter Audits. Sie überprüften die 1.000 meistbesuchten britischen Websites und stellten fest, dass 67% nicht konform waren. Nach systematischer Durchsetzung stieg die Compliance bis Dezember 2025 auf 95%.

Die Automatisierte Alternative

Manuelle Audits mit Browser-DevTools funktionieren, sind aber zeitaufwändig und fehleranfällig. Sie müssen jede Seite prüfen, nicht nur die Startseite. Sie müssen auf verschiedenen Geräten testen. Und Sie müssen den Prozess regelmäßig wiederholen.

Automatisierte Cookie-Scanning-Tools erledigen das für Sie. Sie durchsuchen Ihre gesamte Website, identifizieren jede Cookie und jeden Tracker, kategorisieren sie, markieren Verstöße vor der Einwilligung und erstellen Berichte, die Sie zum Nachweis der Compliance gemäß DSGVO Artikel 5(2) verwenden können.

Scannen Sie Ihre Website kostenlos, um genau zu sehen, was eine Compliance-Prüfung finden würde. Es dauert 30 Sekunden und zeigt Ihnen Pre-Consent-Cookies, Tracker, die vor der Einwilligung laden, und Banner-Probleme, genau die Dinge, die ein Regulierer prüfen würde.

Die Uhr Tickt

Der EU Digital Omnibus Vorschlag wird Cookie-Regeln bald über einen neuen Artikel 88a direkt in die DSGVO integrieren, die Ablehnung mit einem Klick zur Pflicht machen und eine sechsmonatige Wartefrist einführen, bevor erneut nach Einwilligung gefragt werden darf. Einwilligungssignale auf Browser-Ebene gemäß Artikel 88b könnten die Cookie-Banner einzelner Websites letztendlich ganz ersetzen.

Diese Änderungen werden voraussichtlich Mitte bis Ende 2026 in Kraft treten. Der Zeitpunkt für ein Audit Ihrer Website ist, bevor die Regulierungsbehörden anklopfen, nicht danach. Beginnen Sie mit einem kostenlosen Cookie-Scan und finden Sie heraus, wo Sie heute stehen.