Cookie-Scanner

Automatische Cookie-Erkennung und Kategorisierung für Ihre Website. Letzte Aktualisierung: Februar 2025

1. Was ist der Cookie-Scanner?

Der Barefoot CMP Cookie-Scanner ist ein automatisiertes Tool, das Ihre Website analysiert und alle Cookies, Tracker und Third-Party-Scripts erkennt. Damit erhalten Sie einen vollständigen Überblick über alle Daten, die auf Ihrer Website gesammelt werden – ohne manuelles Prüfen.

  • HTTP-basierte Analyse – Kein Browser-Plugin oder lokale Installation nötig. Der Scanner arbeitet serverseitig.
  • 30+ Tracker-Patterns – Erkennung von Google Analytics, Facebook Pixel, TikTok, LinkedIn und vielen weiteren Diensten.
  • 100+ bekannte Cookies – Umfangreiche Datenbank mit vorklassifizierten Cookies und deren Zweck.
  • Automatische Kategorisierung – Jeder erkannte Cookie wird einer der 4 DSGVO-Kategorien zugeordnet: Notwendig, Analytics, Marketing oder Funktional.
  • Detaillierte Reports – Übersichtliche Ergebnisse mit Anbieter, Zweck und Laufzeit für jeden Cookie.

Hinweis: Der Cookie-Scanner ist im Pro-Plan (9 EUR/Monat) und Agency-Plan (49 EUR/Monat) enthalten. Im Free-Plan steht der Scanner nicht zur Verfügung.

2. Wie funktioniert der Scanner?

Der Cookie-Scanner durchläuft einen mehrstufigen Analyseprozess, um alle Cookies und Tracker auf Ihrer Website zu identifizieren:

  1. HTTP-Request an Ihre Website – Der Scanner ruft Ihre Website per HTTP(S) auf und analysiert die Server-Antwort, einschließlich aller Response-Header.
  2. HTML-Analyse – Der HTML-Quellcode wird nach Script-Tags, Inline-Scripts, Iframes und externen Ressourcen durchsucht.
  3. Pattern-Matching – Alle gefundenen Scripts und URLs werden mit unserer Datenbank bekannter Tracker verglichen. Dabei werden URL-Patterns, Script-Quellen und bekannte Domains abgeglichen.
  4. Cookie-Erkennung – Set-Cookie Headers aus der HTTP-Antwort werden erfasst. Zusätzlich werden JavaScript-Cookie-Zuweisungen im Quellcode erkannt.
  5. Kategorisierung – Jeder erkannte Cookie und Tracker wird automatisch einer der vier Kategorien zugeordnet: necessary, analytics, marketing oder functional.
  6. Report-Erstellung – Alle Funde werden in einem strukturierten Report zusammengefasst, inklusive Details zu Anbieter, Zweck und Laufzeit.

Technischer Hinweis: Der Scanner nutzt HTTP-basierte Analyse. Das bedeutet, er erkennt Scripts und Cookies, die direkt im HTML-Quellcode oder in HTTP-Headern vorhanden sind. JavaScript-generierte Cookies, die erst nach User-Interaktion gesetzt werden, werden möglicherweise nicht erkannt.

3. Scan starten

3.1 Via Dashboard

Der einfachste Weg, einen Scan zu starten, ist über das Barefoot CMP Dashboard:

  1. Dashboard öffnen – Melden Sie sich unter /dashboard an und navigieren Sie zu Ihren Websites.
  2. Website wählen – Klicken Sie auf die Website, die Sie scannen möchten.
  3. Tab „Cookie-Scanner“ klicken – Wechseln Sie zum Scanner-Tab in der Website-Ansicht.
  4. „Scan starten“ Button klicken – Der Scan wird sofort gestartet.
  5. Warten – Ein typischer Scan dauert 10–30 Sekunden, je nach Größe der Website.
  6. Ergebnisse prüfen – Nach Abschluss werden alle gefundenen Cookies und Tracker übersichtlich angezeigt.

3.2 Via API

Für Entwickler und automatisierte Workflows kann der Scanner auch per API angesteuert werden:

JavaScript
// Scan starten const response = await fetch('/v1/instances/bf_a1b2c3d4/scan/start', { method: 'POST', headers: { 'Authorization': 'Bearer YOUR_JWT_TOKEN', 'Content-Type': 'application/json' } }); const result = await response.json(); // { success: true, scanId: "uuid", status: "scanning" } // Ergebnisse abrufen const scan = await fetch('/v1/instances/bf_a1b2c3d4/scan', { headers: { 'Authorization': 'Bearer YOUR_JWT_TOKEN' } }); const results = await scan.json();

4. Erkannte Tracker

Der Barefoot CMP Cookie-Scanner erkennt eine Vielzahl von Tracking-Diensten und ordnet sie automatisch den richtigen Kategorien zu. Hier eine Übersicht aller unterstützten Tracker:

Analytics Analytics-Tracker

  • Google Analytics (GA4) _ga, _ga_*, _gid Cookies
  • Google Tag Manager GTM Container Scripts
  • Matomo / Piwik _pk_* Cookies
  • Hotjar _hj* Cookies
  • Microsoft Clarity _clck, _clsk Cookies
  • Plausible Analytics Script-Erkennung
  • Fathom Analytics Script-Erkennung
  • Adobe Analytics s_cc, s_sq Cookies
  • Mixpanel mp_* Cookies
  • Heap Analytics _hp2_* Cookies

Marketing Marketing-Tracker

  • Google Ads / Google Conversion _gcl_* Cookies
  • Facebook / Meta Pixel _fbp, _fbc Cookies
  • TikTok Pixel _ttp, _tt_* Cookies
  • LinkedIn Insight Tag _li*, li_* Cookies
  • Pinterest Tag _pin_unauth, _pinterest_* Cookies
  • Twitter / X Pixel Script-Erkennung
  • Criteo cto_* Cookies
  • Taboola t_gid, taboola* Cookies
  • Outbrain Script-Erkennung
  • HubSpot __hs*, hubspotutk Cookies
  • Bing / Microsoft Ads _uetsid, _uetvid Cookies

Funktional Funktionale Tracker

  • YouTube Embeds YSC, VISITOR_INFO Cookies
  • Vimeo Embeds vuid Cookie
  • Google Maps Script-Erkennung
  • Google reCAPTCHA _GRECAPTCHA Cookie
  • Intercom intercom-* Cookies
  • Tawk.to Script-Erkennung
  • Zendesk Script-Erkennung
  • Typeform Script-Erkennung
  • Calendly Script-Erkennung

5. Automatische Kategorisierung

Der Cookie-Scanner ordnet jeden erkannten Cookie automatisch einer der vier DSGVO-Kategorien zu. Die Zuordnung basiert auf unserer umfangreichen Cookie-Datenbank mit über 100 vorklassifizierten Cookies.

  • Notwendig (necessary) – Cookies, die für die grundlegende Funktionalität der Website erforderlich sind (z.B. Session-Cookies, CSRF-Schutz).
  • Analytics (analytics) – Cookies, die zur Analyse des Nutzerverhaltens eingesetzt werden (z.B. Google Analytics, Matomo).
  • Marketing (marketing) – Cookies für Werbetargeting und Remarketing (z.B. Facebook Pixel, Google Ads).
  • Funktional (functional) – Cookies, die die Nutzererfahrung verbessern, aber nicht zwingend notwendig sind (z.B. YouTube Embeds, Chat-Widgets).

Cookies, die nicht in der Datenbank vorhanden sind, werden als „Nicht kategorisiert“ markiert. Sie können die Kategorie jederzeit manuell im Dashboard anpassen.

Wichtig: Überprüfen Sie immer die Scan-Ergebnisse manuell. Nicht alle Cookies können automatisch korrekt kategorisiert werden. Insbesondere eigene oder unbekannte Third-Party-Cookies sollten Sie selbst zuordnen.

6. Scan-Ergebnisse interpretieren

Nach Abschluss eines Scans erhalten Sie einen detaillierten Report mit folgenden Informationen:

Gefundene Cookies

  • Name – Der technische Name des Cookies (z.B. _ga, _fbp)
  • Anbieter – Der Dienst, der den Cookie setzt (z.B. Google, Meta)
  • Kategorie – Die zugewiesene DSGVO-Kategorie
  • Zweck – Wofür der Cookie verwendet wird
  • Laufzeit – Wie lange der Cookie gespeichert bleibt

Gefundene Tracker-Scripts

  • URL-Pattern – Das erkannte Script-Muster
  • Erkannter Dienst – Der zugeordnete Tracking-Dienst
  • Kategorie – Die DSGVO-Kategorie des Trackers

Inline-Scripts

Der Scanner erkennt auch Tracking-Code, der direkt im HTML eingebettet ist, z.B. Google Tag Manager Snippets, Google Analytics Inline-Code oder andere Tracker.

Status-Ampel

  • Grün – Alle gefundenen Cookies sind kategorisiert. Ihre Cookie-Erklärung ist vollständig.
  • Gelb – Einige Cookies sind nicht kategorisiert. Manuelle Zuordnung empfohlen.
  • Rot – Viele unbekannte Cookies gefunden. Dringend überprüfen und kategorisieren.

Beispiel-Ergebnis

JSON
{ "status": "completed", "domain": "example.com", "scannedAt": "2025-02-10T03:00:00Z", "duration": 12500, "results": { "cookies": [ { "name": "_ga", "provider": "Google", "category": "analytics", "purpose": "Google Analytics Tracking-ID", "expiry": "2 Jahre", "type": "HTTP Cookie" } ], "trackers": [ { "pattern": "googletagmanager.com/gtm.js", "service": "Google Tag Manager", "category": "analytics", "source": "script" } ], "summary": { "totalCookies": 8, "totalTrackers": 5, "categorized": 11, "uncategorized": 2 } } }

7. Geplante Scans

Barefoot CMP führt automatisch regelmäßige Scans Ihrer Website durch, damit Ihre Cookie-Erklärung immer aktuell bleibt.

  • Wöchentlicher automatischer Scan – Jeden Montag um 03:00 UTC wird Ihre Website automatisch gescannt.
  • Pro-Plan – Wöchentliche automatische Scans für Ihre Website.
  • Agency-Plan – Wöchentliche automatische Scans für alle Ihre Websites (bis zu 50).
  • E-Mail-Benachrichtigungen – Bei Änderungen gegenüber dem letzten Scan werden Sie per E-Mail benachrichtigt (wenn konfiguriert).

Tipp: Sie können jederzeit zusätzliche manuelle Scans im Dashboard starten – unabhängig vom automatischen Scan-Zeitplan.

8. Einschränkungen

Der Cookie-Scanner ist ein leistungsstarkes Tool, hat aber einige technische Einschränkungen, die Sie kennen sollten:

  • HTTP-basierte Analyse – Der Scanner verwendet keinen vollständigen Browser. JavaScript wird nicht ausgeführt, daher werden dynamisch erzeugte Cookies möglicherweise nicht erkannt.
  • Single-Page-Applications (SPAs) – Bei SPAs (React, Angular, Vue) wird nur die initiale Seite gescannt. Nachgeladene Inhalte werden nicht erfasst.
  • Login-geschützte Seiten – Seiten, die eine Authentifizierung erfordern, können nicht gescannt werden.
  • Cookies nach User-Interaktion – Cookies, die erst nach Klick auf einen Button oder Formular-Absendung gesetzt werden, werden nicht erkannt.
  • Subdomains – Subdomains (z.B. shop.example.com) müssen separat als eigene Website angelegt und gescannt werden.

Empfehlung: Für eine vollständige Cookie-Analyse empfehlen wir zusätzlich manuelle Tests im Browser. Öffnen Sie dazu die Developer Tools (F12) und navigieren Sie zu Application → Cookies, um alle gesetzten Cookies zu sehen.

9. Troubleshooting

Häufige Fragen und Lösungen bei Problemen mit dem Cookie-Scanner:

Prüfen Sie folgende Punkte:

  • Ist die Domain korrekt eingegeben? (z.B. example.com ohne https://)
  • Ist die Website öffentlich erreichbar?
  • Verwendet die Website HTTPS? HTTP-Weiterleitungen können Probleme verursachen.
  • Gibt es Redirects (z.B. von www auf non-www)? Geben Sie die finale URL an.
  • Blockiert eine Firewall oder ein CDN (z.B. Cloudflare) den Zugriff?

Dies ist eine häufige Situation und liegt an der HTTP-basierten Analyse. Der Scanner erkennt nur Cookies, die direkt im HTML oder in HTTP-Headern gesetzt werden. Cookies, die erst durch JavaScript-Ausführung oder User-Interaktion entstehen, werden nicht erfasst. Führen Sie zusätzlich eine manuelle Prüfung im Browser durch (Developer Tools → Application → Cookies).

Die automatische Kategorisierung basiert auf unserer Cookie-Datenbank und kann in seltenen Fällen fehlerhaft sein. Sie können die Kategorie jederzeit manuell im Dashboard anpassen: Navigieren Sie zu Ihrer Website → Cookies → klicken Sie auf den entsprechenden Cookie und wählen Sie die korrekte Kategorie aus.

Ein Scan hat ein Timeout von 60 Sekunden. Große Websites mit vielen externen Ressourcen können länger benötigen. Wenn der Scan regelmäßig abläuft, prüfen Sie, ob Ihre Website langsam lädt (z.B. große Bilder, viele Third-Party-Scripts). In den meisten Fällen dauert ein Scan 10–30 Sekunden.

Ein fehlgeschlagener Scan kann verschiedene Ursachen haben:

  • Domain nicht erreichbar – Die Website ist offline oder die Domain existiert nicht.
  • Firewall blockiert – Cloudflare, Sucuri oder andere WAFs blockieren den Scanner-Request.
  • SSL-Fehler – Das SSL-Zertifikat ist abgelaufen oder ungültig.
  • Server-Fehler – Die Website gibt einen HTTP 500 oder anderen Fehler zurück.

Versuchen Sie es später erneut oder prüfen Sie die Erreichbarkeit Ihrer Website.

Jetzt Ihre Website scannen

Finden Sie heraus, welche Cookies und Tracker auf Ihrer Website aktiv sind. Starten Sie Ihren ersten Scan in weniger als einer Minute.

Zum Dashboard