Cookie-Check: DSGVO-Flags & Tracker prüfen
Liest alle Set-Cookie-Header der Startseite aus, prüft die Flags Secure, HttpOnly und SameSite und erkennt typische Tracking-Cookies (Google Analytics, Facebook Pixel, etc.).
Was prüft der Cookie-Check?
Der Cookie-Check ruft deine Startseite auf und liest alle Cookies aus, die dabei gesetzt werden. Er prüft die drei wichtigen Schutz-Flags – Secure, HttpOnly und SameSite – und erkennt typische Tracking-Cookies von Diensten wie Google Analytics oder dem Facebook-Pixel. So siehst du sofort, ob deine Seite schon vor einer Einwilligung Tracking lädt.
Warum ist das wichtig?
Das ist der häufigste Abmahn-Klassiker im Web. Nach DSGVO und der ePrivacy-Rechtsprechung – EU-weit verbindlich seit dem Planet49-Urteil des EuGH von 2019 – dürfen Tracking- und Marketing-Cookies erst gesetzt werden, nachdem der Besucher aktiv zugestimmt hat. Lädt deine Seite Google Analytics schon beim ersten Aufruf, ist das ein Verstoß – und genau das mahnen Wettbewerber und Verbände regelmäßig ab. Daneben sind fehlende Schutz-Flags ein echtes Sicherheitsrisiko: Ohne sie lassen sich Sitzungs-Cookies leichter stehlen.
Wie lese ich das Ergebnis?
Technisch notwendige Cookies (zum Beispiel für Login oder Warenkorb) sind unkritisch. Problematisch wird es, wenn Tracking-Cookies vor der Einwilligung auftauchen – die gehören hinter dein Consent-Banner. Bei den Flags gilt: Secure (nur über HTTPS), HttpOnly (kein Zugriff per JavaScript, schützt vor Diebstahl bei XSS) und SameSite=Lax oder Strict (Schutz gegen Cross-Site-Request-Forgery). Fehlt bei einem Sitzungs-Cookie Secure oder HttpOnly, solltest du nachbessern.
Häufige Fragen zum Cookie-Audit
Brauche ich für jedes Cookie eine Einwilligung?
Nein. Technisch notwendige Cookies sind erlaubt, Tracking- und Marketing-Cookies brauchen die aktive Zustimmung des Besuchers.
Was unterscheidet notwendige von Tracking-Cookies?
Notwendige Cookies halten die Seite funktionsfähig (Login, Warenkorb). Tracking-Cookies beobachten das Verhalten über Seiten und Dienste hinweg für Analyse und Werbung.
Was bewirkt das SameSite-Flag?
Es steuert, ob ein Cookie bei Aufrufen von fremden Seiten mitgeschickt wird – Lax oder Strict schützt vor CSRF-Angriffen.
Drohen wirklich Abmahnungen wegen Cookies?
Ja. Cookies ohne gültige Einwilligung sind ein verbreiteter Abmahngrund und können zu Unterlassungsforderungen und Bußgeldern führen.
Hintergrund im Lexikon
Vollständigen Audit gewünscht? Der vollständige Webscan-Radar-Sicherheits-Check kombiniert Cookie-Audit mit allen anderen Bereichen plus DSGVO-Audit, CMS-Erkennung, CVE-Abgleich und Performance-Messung in einem Bericht — ebenfalls kostenlos.