Cookie-Scanner: So finden Sie heraus, was Ihre Webseite wirklich tracked

«Wir wissen, welche Cookies wir setzen.» Diese Aussage höre ich oft — und sie stimmt fast nie. Bei jedem zweiten Cookie-Audit decke ich Tracking-Tools auf, von denen weder die Webagentur noch der Geschäftsführer wussten. Hier erkläre ich, warum manuelle Inventur fast immer schief geht, wie ein automatischer Scanner funktioniert, und wann sich welcher Ansatz lohnt.

Warum manuelle Inventur fast immer falsch ist

Die meisten Webseitenbetreiber denken: «Wir nutzen Google Analytics und einen Newsletter-Service. Mehr läuft nicht.» Tatsächlich:

• Embed-Tools (YouTube, Vimeo, Calendly) setzen eigene Cookies, die oft vergessen werden
• CDN-Provider (Cloudflare, jsDelivr) können Cookies setzen, die nicht zur eigentlichen Webseite gehören
• CMS-Plugins (insbesondere bei WordPress) bringen oft eigene Cookies mit, die der Admin nicht kennt
• Dynamisches Tag-Loading über Tag Manager kann Tools laden, die im Backend konfiguriert sind, aber dem Frontend-Team nicht bewusst sind
• Drittanbieter-Skripte (Live-Chat, Heatmaps, A/B-Test-Tools) bringen oft mehrere Cookies pro Tool

Realität: Wer denkt, er habe 5 Cookies, hat meist 15. Wer 15 schätzt, hat 30.

Wie ein automatischer Scanner funktioniert

Ein moderner Cookie-Scanner arbeitet in mehreren Schritten:

1. Headless Browser starten (typischerweise Chromium via Playwright oder Puppeteer)
2. Webseite aufrufen wie ein normaler Besucher
3. Cookies auslesen nach dem ersten Page-Load
4. Interaktionen simulieren — Cookie-Banner schliessen, Links klicken, Formulare füllen
5. Erneut Cookies auslesen — viele Cookies werden erst nach Interaktion gesetzt
6. Unterseiten besuchen — Sitemap oder interne Links durchgehen
7. Local Storage und Session Storage erfassen — auch das sind Tracking-Mechanismen
8. Tracking-Pixel identifizieren — Bilder, die HTTP-Requests an Drittserver senden
9. Bericht erstellen — Cookie-Liste mit Anbieter, Zweck (wenn aus Bibliothek bekannt), Speicherdauer

Der Aiara-Scanner geht zusätzlich noch tiefer: er identifiziert dynamisch geladene Tracking-Skripte, prüft DSG-relevante Datenexporte und gleicht die Resultate gegen eine Cookie-Datenbank ab, um automatisch zu klassifizieren (notwendig / Statistik / Marketing).

Manuelle Schnell-Inventur mit DevTools

Wenn Sie eine schnelle Inventur Ihrer eigenen Webseite machen wollen:

1. Inkognito-Modus öffnen im Chrome (verhindert, dass alte Cookies das Bild verfälschen)
2. DevTools öffnen mit F12 oder Cmd+Option+I
3. Application Tab → Cookies → Ihre Domain
4. Sehen Sie sich Erste-Party-Cookies an — gesetzt von Ihrer eigenen Webseite
5. Wechseln Sie zu Drittanbieter-Domains in der Cookie-Liste — Google, Meta, etc.
6. Network Tab → Filter «Doc» und «Script» → schauen Sie, welche Drittanbieter-Skripte geladen werden
7. Local Storage und Session Storage ebenfalls in Application Tab prüfen

Diese Inventur findet etwa 60-70 % aller Cookies einer Webseite. Den Rest entdeckt nur ein automatischer Scan, der Unterseiten, Logins und Formulare durchläuft.

Was Tracking ohne Cookie macht

Eine Falle, die viele übersehen: nicht jedes Tracking braucht ein Cookie. Häufige Cookie-Less-Tracking-Mechanismen:

• Local Storage — wie ein Cookie, aber technisch anders, oft nicht in Cookie-Listen
• Session Storage — temporär, aber bei einigen DSG-Definitionen ebenfalls als Personendaten zu behandeln
• Tracking-Pixel — winzige Bilder, die einen HTTP-Request mit Tracking-Parametern an Drittserver senden
• Server-Side-Tracking — Daten werden direkt vom Server zu Google/Meta gesendet, der Browser sieht nichts
• Fingerprinting — Identifizierung über Browser-Eigenschaften (Schriftarten, Plugins, Bildschirmgrösse) ohne Cookie

Ein guter Scanner erfasst zumindest die ersten drei Kategorien. Server-Side-Tracking und Fingerprinting sind nur durch Code-Review erkennbar.

Die häufigsten Cookies bei Schweizer Webseiten — und wofür sie da sind

Eine kurze Übersicht der Top 15:

Cookie	Anbieter	Zweck	Kategorie
_ga	Google Analytics	User-Identifikation	Statistik
_gid	Google Analytics	Session-ID	Statistik
_gcl_au	Google Ads	Conversion-Tracking	Marketing
_fbp	Meta Pixel	Conversion-Tracking	Marketing
__hstc	HubSpot	User-Tracking	Marketing
hubspotutk	HubSpot	Cookie-Konsens	Marketing
hjSession*	Hotjar	Session-Recording	Statistik
YSC	YouTube Embed	Video-Statistik	Statistik
VISITOR_INFO1_LIVE	YouTube Embed	User-Präferenz	Statistik
__cf_bm	Cloudflare	Bot-Schutz	Notwendig
PHPSESSID	Webserver	Session	Notwendig
_csrf	Webframework	CSRF-Schutz	Notwendig
consent_v1	Aiara Banner	Consent-Speicherung	Notwendig
_calendly_session	Calendly	Termin-Buchung	Funktional
__stripe_mid	Stripe	Zahlungs-Sicherheit	Notwendig

Diese 15 Cookies decken etwa 80 % aller Schweizer KMU-Webseiten ab. Den Rest machen branchenspezifische Tools aus.

Aiara-Scanner — was er konkret tut

Der Aiara-Scanner besucht eine Webseite mit Headless Chromium, klickt durch bis zu 600 Unterseiten, simuliert verschiedene Nutzer-Interaktionen und produziert eine Cookie-Liste mit:

• Cookie-Name und Anbieter
• Vermutete Kategorie (basierend auf Cookie-Datenbank)
• Speicherdauer (aus den HTTP-Headers)
• First-Party vs. Third-Party
• Datenexport-Land (basierend auf der Anbieter-Datenbank)
• DSG-Konformitäts-Hinweise (z.B. «Marketing-Cookie ohne Consent geladen»)

Die Resultate werden direkt in den Cookie-Banner und die Datenschutzerklärung übernommen. Bei Veränderungen — etwa neuer Tool-Integration durch das Marketing-Team — meldet sich der Scanner automatisch.

Wer braucht einen automatischen Scanner?

Als Faustregel:

• Reine Visitenkarten-Webseiten (statisch, kein Marketing) → manueller DevTools-Check reicht
• KMU mit Standard-Marketing-Stack (Google Analytics, Newsletter) → quartalsweiser Scan
• E-Commerce, Multi-Tool-Marketing-Stacks → kontinuierlicher Scan empfehlenswert
• Webagenturen mit vielen Kunden → unbedingt automatisierte Lösung, sonst nicht skalierbar

Der Aufwand für einen sauberen monatlichen Scan ist deutlich kleiner als der einer einzigen EDÖB-Untersuchung — und die Wahrscheinlichkeit, einen versteckten Tracking-Pixel zu finden, ist hoch.