Skip to content
Auditly
AnmeldenKostenlos starten

Pillar 2 of 4

Find the cookie set before the consent banner showed up

We load your page in a clean browser, capture every cookie set in the first 2.5 seconds, and tell you which ones are tracking users without consent.

Starten Sie einen kostenlosen ScanDen kostenlosen Audit testen

The pre-consent problem regulators care about

GDPR and ePrivacy require that any non-essential cookie or tracker is blocked until the user actively opts in. A surprising number of sites get this wrong because their tag manager fires Google Analytics or Meta Pixel before the consent banner has rendered. Even with a Cookiebot or OneTrust banner installed, the underlying scripts are often loaded with the page rather than gated behind the consent decision. We simulate a fresh visitor with no prior consent state. Anything in the cookie jar after page load — that isn't strictly necessary — is a finding.

Security flags that quietly fail in production

Modern browsers reject cookies with SameSite=None unless the Secure flag is present. We flag these because they break silently — your auth might appear to work locally and fail for a percentage of users in the wild. Long-expiry cookies (over a year) are a soft GDPR signal: regulators have written guidance suggesting cookie lifetimes should be proportionate to purpose, and 13 months is the de-facto retention cap most DPAs accept.

Classification you can trust

Every cookie name is checked against an exact-match dictionary first, then a prefix list (so _ga_XXXX inherits Google Analytics's classification). Cookies we can't classify get a minor severity finding so a human can confirm them — better to surface the unknown than to silently call it 'necessary'.

Beispiel-Befunde

serious

Pre-Consent-Tracking erkannt

Cookie „_fbp“ (Meta Pixel, marketing) wurde gesetzt, bevor der Nutzer seine Einwilligung gegeben hat. Der Cookie wurde 1,2 Sekunden nach dem Laden der Seite ausgegeben, während der Consent-Banner noch initialisiert wurde. Um das zu beheben, schalten Sie das Meta-Pixel-Script hinter dem „marketing“-Toggle Ihrer Consent-Management-Plattform frei.

Cookie    : _fbp
Domain    : .example.com
Kategorie : marketing
Set at    : t=1.2s (Banner noch nicht interagiert)
Ablauf    : 90 Tage
serious

SameSite=None ohne Secure-Flag

Der Session-Cookie „sid“ wird mit SameSite=None gesetzt, aber ohne Secure-Flag. Moderne Chromium- und Firefox-Browser verwerfen diese Kombination stillschweigend — damit verliert ein Teil Ihrer Nutzer temporär den Status, also „state“; das betrifft alle, die in den letzten drei Jahren Browser-Updates installiert haben. Lokale Entwicklung verdeckt das Problem, weil localhost als Secure behandelt wird.

Set-Cookie: sid=abc123; Path=/; SameSite=None; HttpOnly

Fix: fügen Sie das Secure-Flag hinzu und stellen Sie sicher, dass der Cookie nur über HTTPS gesetzt wird:
Set-Cookie: sid=abc123; Path=/; SameSite=None; Secure; HttpOnly
moderate

Cookie-Ablauf überschreitet 13 Monate

Cookie „_ga“ (Google Analytics, analytics) ist mit einer Laufzeit von 24 Monaten gesetzt. Die meisten EU-Datenschutzbehörden haben Leitlinien veröffentlicht, die 13 Monate als faktisches Maximum für Analytics-Cookies behandeln — unter Verweis auf die Proportionalität nach ePrivacy. Ein Audit durch eine Aufsicht würde das als übermäßige Speicherdauer markieren.

Cookie  : _ga
Ablauf  : 24 Monate (730 Tage)
DPA Cap : 13 Monate (CNIL, ICO, AEPD)

Fix: Stellen Sie in Ihrem GA4-Admin „Data retention“ auf 14 Monate oder weniger, oder self-hosten Sie mit einer benutzerdefinierten Laufzeit.

Scannen Sie Ihre Website in 60 Sekunden

25 kostenlose Credits. Keine Kreditkarte. Echte Befunde auf der Seite, die Ihnen wichtig ist.

Erstellen Sie Ihren kostenlosen AccountPreise ansehen