{"id":3127,"date":"2025-04-19T08:53:29","date_gmt":"2025-04-19T08:53:29","guid":{"rendered":"https:\/\/decareto.com\/?p=3127"},"modified":"2025-04-28T08:45:33","modified_gmt":"2025-04-28T08:45:33","slug":"wie-sie-problematische-cookies-auf-einer-website-finden","status":"publish","type":"post","link":"https:\/\/decareto.com\/de\/wie-sie-problematische-cookies-auf-einer-website-finden\/","title":{"rendered":"Wie Sie problematische Cookies auf einer Website finden"},"content":{"rendered":"\n<p>Die Pr\u00fcfung auf unerlaubt gesetzte Cookies ist nicht erst seit Inkrafttreten des TDDDG Ende 2021 ein zentraler Punkt bei jedem Website-Audit. Wir werden in diesem Beitrag die Schritte beleuchten, die Ihnen helfen, eine Website daraufhin zu untersuchen:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Den Browser-Verlauf bereinigen und das Consent-Tool (wenn es eins gibt) erscheinen lassen.<\/li>\n\n\n\n<li>Cookies erfassen die ohne Einwilligung gesetzt wurden.<\/li>\n\n\n\n<li>Den Urheber und den Zweck dieser Cookies ermitteln.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">Umgang mit Consent-Management-Plattformen<\/h2>\n\n\n\n<p>Consent-Tools haben sich als Mittel der Wahl etabliert, um auf Websites Einwilligungen einzuholen &#8211; und um Website-Betreibern das gute Gef\u00fchl zu geben, im Bereich Datenschutz alles richtig zu machen. Tats\u00e4chlich lassen sehr viele Websites trotz solcher Werkzeuge noch Cookies durch, es lohnt sich also, genauer hinzuschauen.<\/p>\n\n\n\n<p>Es gibt Consent-Tools in sehr unterschiedlichen Preisklassen und Funktionsweisen &#8211; zum Teil handelt es sich um einfache Open-Source-Skripte, die auf dem Webserver installiert werden, am oberen Ende der Preisskala befinden sich Produkt-Suites, wie von Usercentrics oder OneTrust, die selber als aufwendige externe Dienste auf eigenen Webservern laufen. Allen gemein sind aber die folgenden einfachen Grundprinzipien:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Wenn ein Benutzer eine Einwilligung erteilt hat, dann wird eine Statusinformation im Browser (als Cookie oder Eintrag im Local Storage) gespeichert. Wenn Sie diese Information l\u00f6schen, dann erscheinen Sie wie ein Benutzer, der noch keine Zustimmung gegeben hat, und das Consent-Tool wird erneut angezeigt.<\/li>\n\n\n\n<li>Consent-Tools blockieren keine Cookies, sondern die Dienste, die Cookies setzen. Deshalb verwenden Consent-Tools unterschiedliche Mechanismen, um Javascript-Tags (die externe Dienste repr\u00e4sentieren) erst dann zu laden, wenn der Benutzer eine Einwilligung erteilt hat.<\/li>\n\n\n\n<li>Welche Skripte (und damit Cookies) als so essentiell gelten, dass sie sofort beim \u00d6ffnen der Seite geladen werden, und welche eine Einwilligung erfordern, kann der Website-Betreiber im Consent-Tool konfigurieren.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Den Verlauf zur\u00fccksetzen<\/h2>\n\n\n\n<p>Bevor Sie eine Website auf Cookies untersuchen sollten Sie sicherstellen, dass keine Altlasten das Ergebnis verf\u00e4lschen. Die Cookies im Browser haben m\u00f6glicherweise eine lange Lebensdauer und k\u00f6nnten deshalb von einem fr\u00fcheren Test stammen &#8211; oder im Fall von Third-Party-Cookies sogar vom Test einer ganz anderen Website!<\/p>\n\n\n\n<p>Au\u00dferdem ist ein Consent-Tool nach dem Schlie\u00dfen ja zun\u00e4chst nicht mehr sichtbar &#8211; und auch wenn Sie schaffen, es wieder zu \u00f6ffnen, hat es oft Daten gespeichert, deshalb ist es der Vergleichbarkeit wegen besser, f\u00fcr einen neuen Test den Verlauf zu l\u00f6schen. Das tun Sie, indem Sie gezielt Cookies sowie Daten im Webspeicher l\u00f6schen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00d6ffnen Sie zun\u00e4chst die Website, die Sie untersuchen m\u00f6chten und klicken Sie mit der rechten Maustaste in den Inhaltsbereich. W\u00e4hlen Sie &#8222;Untersuchen&#8220; um die Entwickler-Tools zu \u00f6ffnen, und dort den App-Reiter:<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-full is-style-default\"><img loading=\"lazy\" decoding=\"async\" width=\"382\" height=\"390\" src=\"https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image.png\" alt=\"\" class=\"wp-image-3131\" srcset=\"https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image.png 382w, https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-294x300.png 294w\" sizes=\"auto, (max-width: 382px) 100vw, 382px\" \/><\/figure>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00d6ffnen Sie den Men\u00fcpunkt &#8222;Lokaler Speicher&#8220; und klicken Sie dort mit der rechten Maustaste auf jeden Untereintrag und w\u00e4hlen dann im Kontextmen\u00fc &#8222;L\u00f6schen&#8220;.<\/li>\n\n\n\n<li>Wiederholen Sie dies f\u00fcr &#8222;Sitzungsspeicher&#8220; und &#8222;Cookies&#8220;.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Was ist &#8222;Local Storage&#8220;?<\/h2>\n\n\n\n<p>Der &#8222;Local Storage&#8220; ist eine etwas neuere Technologie als das Cookie. Damit ist es in allen g\u00e4ngigen Browsern m\u00f6glich, per Javascript Daten im Browser zu speichern und auszulesen. Die wichtigsten Unterschiede zu Cookies sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Daten aus dem Local-Storage werden nicht ungefragt an Server \u00fcbertragen (auch wenn das durch einen per Javascript ausgel\u00f6sten Request nat\u00fcrlich m\u00f6glich ist).<\/li>\n\n\n\n<li>Daten bleiben erhalten, bis sie aktiv gel\u00f6scht werden.<\/li>\n\n\n\n<li>Es gibt weniger Beschr\u00e4nkungen was die Datenmenge angeht &#8211; 5 Mio. Zeichen pro Domain, gegen\u00fcber ca. 4000 Zeichen pro Cookie.<\/li>\n<\/ul>\n\n\n\n<p>Auch der Local Storage f\u00e4llt unter das TTDDG. Man kann die geschriebenen Daten im App-Reiter der Entwicklertools einsehen. Dort gibt es au\u00dferdem einen Men\u00fcpunkt f\u00fcr &#8222;Session Storage&#8220; &#8211; dieser basiert auf der gleichen Technologie wie Local Storage, aber die dort gespeicherten Daten werden beim Schlie\u00dfen des Browsers gel\u00f6scht.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Identifizieren der Cookies, die ohne Einwilligung gesetzt wurden<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Auflisten der Cookies ohne Einwilligung<\/h3>\n\n\n\n<p>Mit den folgenden Schritten k\u00f6nnen Sie nun ermitteln, welche Cookies von einer Webseite gesetzt werden, und ob das mit oder ohne Einwilligung geschieht:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Als Testbeispiel \u00f6ffnen Sie www.spotify.com<\/li>\n\n\n\n<li>Starten Sie die Developer-Tools und \u00f6ffnen Sie den Reiter &#8222;Application&#8220;<\/li>\n\n\n\n<li>L\u00f6schen Sie alle Eintr\u00e4ge im Men\u00fc f\u00fcr Local Storage und Cookies wie oben beschrieben<\/li>\n\n\n\n<li>Klicken Sie den Men\u00fcpunkt Cookies an<\/li>\n\n\n\n<li>Laden Sie die Seite noch einmal.<\/li>\n<\/ul>\n\n\n\n<p>Sie sollten nun die Seite mit Consent-Tool sehen, etwa so:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1548\" height=\"879\" src=\"https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-1.png\" alt=\"\" class=\"wp-image-3134\" srcset=\"https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-1.png 1548w, https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-1-300x170.png 300w, https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-1-1024x581.png 1024w, https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-1-768x436.png 768w, https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-1-1536x872.png 1536w\" sizes=\"auto, (max-width: 1548px) 100vw, 1548px\" \/><\/figure>\n\n\n\n<p>Da Sie noch nicht mit dem Consent-Tool interagiert haben um Cookies zuzulassen, wurden per Definition alle Cookies, die Sie sehen, ohne Einwilligung gesetzt. Es sind drei &#8222;1st Party Cookies&#8220; zu sehen, d.h. Cookies die die gleiche Domain wie die Website haben.<\/p>\n\n\n\n<p>Wenn Sie auf die anderen Bereiche im Men\u00fc klicken, sind auch dort Eintr\u00e4ge zu finden, wie hier unter &#8222;Local Storage&#8220;:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"944\" height=\"295\" src=\"https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-3.png\" alt=\"\" class=\"wp-image-3142\" srcset=\"https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-3.png 944w, https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-3-300x94.png 300w, https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-3-768x240.png 768w\" sizes=\"auto, (max-width: 944px) 100vw, 944px\" \/><\/figure>\n\n\n\n<p>Im Fall unserer Beispiel-Website spotify.com haben wir also folgende First-Party-Cookies:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>OptanonConsent<\/li>\n\n\n\n<li>sp_landing<\/li>\n\n\n\n<li>sp_t<\/li>\n<\/ul>\n\n\n\n<p>Au\u00dferdem folgenden Eintrag im Local Storage aus der Domain www.google.com:<\/p>\n\n\n\n<p>rc::a<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Wie kann man die Notwendigkeit eines Cookies ermitteln?<\/h3>\n\n\n\n<p>Das TDDDG verbietet das Setzen von Cookies (oder Eintr\u00e4gen im Webspeicher), die nicht f\u00fcr den Betrieb des Angebots notwendig sind &#8211; au\u00dfer es liegt eine Einwilligung vor. Im n\u00e4chsten Schritt muss also ermittelt werden, ob die gefundenen Cookies technisch notwendig sind. Diese Bewertung kann im Einzelfall kompliziert sein (mehr dazu lesen Sie in unserem Beitrag zur <a href=\"https:\/\/decareto.com\/de\/technisch-notwendige-cookies-wie-erkennt-man-sie\/\" data-type=\"post\" data-id=\"1019\">Erkennung technisch notwendiger Cookies<\/a>). Grundlage dieser Bewertung ist aber immer die Ermittlung der Quelle der Cookies, wie etwa folgende:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Die Webserver-Software kann Cookies setzen, etwa um eine Benutzersitzung zu etablieren oder Statusinformation wie die gew\u00e4hlte Sprache zu speichern. Diese Webserver-Software kann ein Shopsystem wie Shopware sein, oder ein Content-Management-System wie WordPress. Im Falle von WordPress k\u00f6nnte es auch eins der vielen verf\u00fcgbaren Plugins sein.<\/li>\n\n\n\n<li>Wenn in einer Website externe Dienste wie Google Analytics, Paypal oder Youtube verwendet werden, so setzen auch diese h\u00e4ufig Cookies.<\/li>\n<\/ul>\n\n\n\n<p>F\u00fcr vom Webserver gesetzte Cookies ist h\u00e4ufig schwer zu erkennen, zu welchem Zweck sie dienen. Leichter ist die Notwendigkeit zu beurteilen, wenn ein Cookie von einem externen Dienst kommt: Mit wenigen Ausnahmen (etwa Cookies von Consent-Bannern) sind diese Cookies nicht notwendig. <\/p>\n\n\n\n<p>Um die Quellen zu ermitteln verwenden wir eine Suchmaschinen-Recherche. Eine Suche nach &#8222;OptanonConsent cookie&#8220; f\u00fchrt schnell zum Ergebnis, dass es zur Compliance-L\u00f6sung &#8222;OneTrust&#8220; geh\u00f6rt. Man kann also davon ausgehne, dass es Notwendig ist, denn es speichert den Status der Zustimmung.<\/p>\n\n\n\n<p>Die Quelle von sp_landing und sp_t ist weniger offensichtlich, aber der Pr\u00e4fix &#8222;sp&#8220; k\u00f6nnte auf Spotify hinweisen. Eine Suchrecherche zeigt tats\u00e4chlic folgendes Ergebnis: &#8222;The sp_landing is set by Spotify to implement audio content from Spotify on the website and also registers information on user interaction related to the audio content&#8220;. Auch hier k\u00f6nnte man technische Notwendigkeit unterstellen.<\/p>\n\n\n\n<p>Interessanter ist der Webspeicher-Eintrag rc::a. Eine Suche nach &#8222;rc::a cookie&#8220; f\u00fchrt zu Suchergebnissen, die zu Datenschutzerkl\u00e4rungen unterschiedlicher Websites f\u00fchren, in denen Google als Quelle genannt wird, mit dem Zweck &#8222;This cookie is used to distinguish between humans and bots. This is beneficial for the website, in order to make valid reports on the use of their website.&#8220;<\/p>\n\n\n\n<p>Ein Blick auf den Reiter &#8222;Network&#8220; der Entwicklertools zeigt Aufrufe zu Servern von Google mit dem Pfad &#8222;www.google.com\/recaptcha&#8220;:  <\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"166\" src=\"https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-4-1024x166.png\" alt=\"\" class=\"wp-image-3144\" srcset=\"https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-4-1024x166.png 1024w, https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-4-300x49.png 300w, https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-4-768x124.png 768w, https:\/\/decareto.com\/wp-content\/uploads\/2025\/04\/image-4.png 1063w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Tats\u00e4chlich ist Google ReCaptcha bekannt als externer Dienst um zwischen Menschen und &#8222;Bots&#8220; zu unterscheiden und den Zugriff von Bots auf die Website zu verhindern &#8211; offensichtlich wird der Eintrag rc::a im Webspeicher also von Google Recaptcha gesetzt, und man kann nun \u00fcber die technische Notwendigkeit zumindest streiten.<\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Pr\u00fcfung auf unerlaubt gesetzte Cookies ist nicht erst seit Inkrafttreten des TDDDG Ende 2021 ein zentraler Punkt bei jedem Website-Audit. Wir werden in diesem Beitrag die Schritte beleuchten, die Ihnen helfen, eine Website daraufhin zu untersuchen: Umgang mit Consent-Management-Plattformen Consent-Tools haben sich als Mittel der Wahl etabliert, um auf Websites Einwilligungen einzuholen &#8211; und [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":3171,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"none","_seopress_titles_title":"Wie Sie problematische Cookies auf einer Website finden","_seopress_titles_desc":"Problematische Cookie geh\u00f6ren zu den h\u00e4ufigsten Datenschutzverletzungen - wir beschreiben, wie man eine Website auf solche Cookies untersucht","_seopress_robots_index":"","footnotes":""},"categories":[12],"tags":[],"class_list":["post-3127","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"acf":[],"_links":{"self":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/3127","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/comments?post=3127"}],"version-history":[{"count":10,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/3127\/revisions"}],"predecessor-version":[{"id":3174,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/3127\/revisions\/3174"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/media\/3171"}],"wp:attachment":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/media?parent=3127"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/categories?post=3127"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/tags?post=3127"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}