DOKUMENTATION

Wie Cookie Radar funktioniert

Alles was du wissen musst – von der ersten Website bis zum automatischen Monitoring.

00

Technologie & Architektur

Cookie Radar ist vollständig in Python entwickelt und läuft auf einem Linux-Server. Der Kern besteht aus zwei Komponenten: einem Scanner und einem Web-Dashboard.

SCANNER
Playwright + Chromium

Öffnet einen echten Headless-Browser und simuliert Besucher – inklusive Consent-Interaktion. Keine emulierten HTTP-Requests, sondern echtes Browser-Verhalten.

DASHBOARD
Flask + Bootstrap

Python-Webanwendung mit Flask. Alle Ergebnisse, Einstellungen und Reports sind über den Browser zugänglich. Läuft hinter einem nginx-Proxy mit HTTPS.

DATENBANK
SQLite

Alle Scan-Ergebnisse, Cookie-Definitionen, Drittanbieter und Einstellungen werden lokal in einer SQLite-Datenbank gespeichert. Kein externer Datenbankserver notwendig.

KI-ANREICHERUNG
Claude API (Anthropic)

Unbekannte Cookies und Drittanbieter-Domains werden optional via Claude (Haiku) analysiert und mit Vendor, Zweck und Kategorie angereichert.

Wie ein Scan abläuft

1

Unterseiten ermitteln

Der Scanner öffnet die Startseite und folgt internen Links, um relevante Unterseiten zu finden (konfigurierbar, Standard: bis zu 5). Zusätzlich werden manuell festgelegte Pfade immer gescannt.

2

Drei Scan-Zustände pro Seite

Jede Seite wird in drei isolierten Browser-Kontexten geladen: vor dem Consent-Banner, nach dem Akzeptieren aller Cookies, und nach dem Ablehnen. So wird der genaue Unterschied sichtbar.

3

Consent-Banner automatisch erkennen

Cookie Radar unterstützt über 35 Consent Management Plattformen (OneTrust, Cookiebot, Usercentrics, Borlabs u.v.m.) und klickt Akzeptieren/Ablehnen automatisch. Einige moderne CMPs (z.B. Usercentrics v3) werden über ihre JavaScript-API gesteuert.

4

Cookies & Drittanbieter erfassen

Alle gesetzten Cookies (Name, Domain, Laufzeit) und alle ausgehenden Netzwerk-Requests zu externen Domains werden aufgezeichnet. Third-Party-Requests werden nach Domain zusammengefasst.

5

Datenschutzerklärung prüfen & Privacy Score berechnen

Nach dem Scan wird die hinterlegte Datenschutzerklärung geladen und geprüft, ob alle gefundenen Dienste darin erwähnt werden. Das Ergebnis fließt in den Privacy Score (A–D) ein.

6

Vergleich mit Vorscans (Diff)

Jeder Scan wird mit dem letzten Scan verglichen. Neue oder verschwundene Cookies und Drittanbieter werden als Änderungen markiert und können per E-Mail gemeldet werden.

01

Überblick

Cookie Radar scannt deine Websites automatisch mit einem echten Chromium-Browser – genau so wie ein echter Besucher. Dabei werden alle Cookies und Drittanbieter-Verbindungen in drei Zuständen erfasst: vor dem Consent-Banner, nach dem Akzeptieren und nach dem Ablehnen.

So siehst du sofort, ob deine Website die DSGVO einhält – und wirst automatisch benachrichtigt, wenn sich etwas ändert.

02

Erste Schritte

1

Website hinzufügen

Im Dashboard auf „+ Website hinzufügen" klicken. URL und Name eingeben. Optional: maximale Unterseiten (Standard: 5) und feste Pfade festlegen, die immer gescannt werden sollen (z.B. /datenschutz, /shop).

2

Scan starten

Mit dem grünen „Scan starten"-Button oben rechts werden alle deine Websites gescannt. Der Fortschritt wird in Echtzeit angezeigt. Je nach Anzahl der Seiten dauert ein Scan einige Minuten.

3

Ergebnisse auswerten

Nach dem Scan siehst du im Dashboard eine farbcodierte Übersicht aller Websites mit Cookie-Anzahl und Drittanbieter-Verbindungen – aufgeteilt nach den drei Scan-Zuständen.

Tageslimit: Jeder Account hat ein konfigurierbares Limit an Scans pro Tag. Automatische Scans zählen separat.
03

Die drei Scan-Zustände

Jede Seite wird dreimal gescannt – in je einem eigenen Browser-Kontext:

Pre-Consent

Vor dem Klick

Die Seite wird geladen, ohne dass irgendetwas geklickt wird. Alles was hier erscheint, passiert ohne Einwilligung – laut DSGVO meist unzulässig.

Post-Accept

Nach „Alle akzeptieren"

Der Scanner klickt automatisch auf „Akzeptieren". Danach wird alles erfasst, was nach vollständiger Einwilligung geladen wird.

Post-Reject

Nach „Ablehnen"

Der Scanner klickt auf „Ablehnen". Tracking-Cookies oder externe Verbindungen die hier noch auftauchen, sind ein klarer DSGVO-Verstoß.

Consent-Manager-Erkennung: Cookie Radar erkennt über 35 Systeme automatisch (CCM19, Cookiebot, OneTrust, Usercentrics v2/v3, Sourcepoint, Google Consent, Iubenda, Didomi, CookieYes, TrustArc, Piwik PRO u.v.a.) und bedient den Banner wie ein echter Nutzer. Wird kein bekanntes System gefunden, versucht ein generischer Fallback den Banner zu bedienen.
04

Ergebnisse lesen

Das Dashboard zeigt für jede Website eine Zeile mit farbcodierten Zellen:

Grün – kein Problem erkannt
Gelb – auffällig (Tracking pre-consent)
Rot – Änderungen zum Vorscan
Grau – kein Consent-Banner erkannt

Über „Details" gelangt man zur Scan-Detailseite mit einer vollständigen 3-Spalten-Ansicht aller Cookies und Third-Party-Verbindungen nach Consent-Zustand. Über „Changes" sieht man einen direkten Vergleich mit dem vorherigen Scan.

Scan-Detail: Farbcode & Einträge als „nicht kritisch" markieren

Die Scan-Detailseite zeigt alle Cookies und Drittanbieter in drei Spalten (Pre-Consent, Post-Accept, Post-Reject). Cookies sind dabei farblich markiert:

  • Gelb hinterlegt – Cookie existiert bereits vor dem Consent-Klick (potenziell DSGVO-problematisch)
  • Grün hinterlegt – Cookie erscheint erst nach Consent (korrekt)
  • Weißer Hintergrund – Cookie ist in allen Zuständen vorhanden

Mit dem ✕-Button neben jedem Eintrag kann ein Cookie oder Drittanbieter als „nicht kritisch" markiert werden. Das hat zwei Effekte:

  • Der Eintrag fließt nicht mehr in den Privacy Score ein (erscheint durchgestrichen mit „unkritisch"-Badge)
  • Er wird auch aus der Change-Erkennung ausgeschlossen – kein Rauschen durch bekannte, akzeptierte Dienste
Typischer Anwendungsfall: Technische CDN-Domains (cloudflare.com, fastly.net) oder Dienste, die bewusst ohne Consent geladen werden dürfen (z.B. ein eigener Analytics-Dienst), können so aus der Bewertung herausgenommen werden. Mit dem ↩-Button lässt sich die Markierung jederzeit rückgängig machen.

Datenschutzerklärung-URL (DSE)

Im Edit-Dialog einer Website muss eine Datenschutzerklärung-URL hinterlegt werden (Pflichtfeld). Cookie Radar prüft nach jedem Scan, ob die gefundenen Cookies und Drittanbieter dort erwähnt werden – und zeigt dies mit einem farbigen Punkt (●) in der Scan-Detailseite an. Diese Informationen fließen auch in den Privacy Score ein.

Intelligentes Matching: Cookie Radar erkennt Dienste auch wenn sie in der DSE anders geschrieben sind – z.B. matcht googletagmanager.com auf „Google Tag Manager" oder fonts.googleapis.com auf „Google Fonts". Dafür werden Leerzeichen ignoriert und Vendor-Namen aus der Cookie-Datenbank verwendet.

Privacy Score

Nach jedem Scan berechnet Cookie Radar automatisch einen Privacy Score (A–D) pro Website. Er bewertet, wie DSGVO-konform die Website aufgestellt ist:

A
Sehr gut – kaum Pre-Consent-Tracking, Dienste in DSE/Consent-Tool erwähnt.
B
Gut – wenig Pre-Consent-Tracking, die meisten Dienste dokumentiert.
C
Auffällig – mäßiges Pre-Consent-Tracking oder fehlende Dokumentation.
D
Kritisch – viel Tracking vor Consent, kaum Transparenz – Handlungsbedarf.
Wie wird der Score berechnet? Punkte (0–7) für: wenig Pre-Consent-Cookies (+0–2), wenig Pre-Consent-Drittanbieter (+0–2), DSE gefunden (+1), Drittanbieter in DSE oder Consent-Tool erwähnt (+0–2). Score A = 6–7 Punkte, B = 4–5, C = 2–3, D = 0–1. Auf der Scan-Detailseite zeigt ein farbiger Punkt (●) pro Cookie und Drittanbieter ob er in der Datenschutzerklärung oder im Consent-Tool erwähnt wird.
05

Einzelseiten-Scan

Mit dem ▶ Button in der Aktionen-Spalte jeder Website lässt sich gezielt nur diese eine Website scannen – ohne alle anderen Websites im Account zu scannen. Praktisch wenn du schnell eine bestimmte Seite prüfen möchtest, ohne das Tageslimit für einen Vollscan zu verbrauchen.

06

Gruppen & Sortierung

Gruppen anlegen

Beim Hinzufügen oder Bearbeiten einer Website kann eine Gruppe vergeben werden (z.B. „Kunde A", „Intern", „Staging"). Websites ohne Gruppe erscheinen unter „Meine Websites".

Gruppe umbenennen

Auf den Gruppenname im Dashboard klicken – ein Eingabefeld erscheint direkt in der Überschrift. Änderung mit ✓ bestätigen.

Reihenfolge ändern

Über die ▲ ▼ Pfeile in der Aktionen-Spalte lassen sich Websites innerhalb ihrer Gruppe nach oben oder unten verschieben.

07

Automatisierung

Über das ⚙ Automatisierung-Menü oben rechts im Dashboard lassen sich geplante Scans einrichten:

  • Täglich – jeden Tag zur gewählten Uhrzeit
  • Wöchentlich – einmal pro Woche
  • Monatlich – einmal pro Monat
  • Aus – keine automatischen Scans
Empfehlung: Wöchentliche Scans reichen für die meisten Websites. Täglich ist sinnvoll bei häufig aktualisierten Seiten oder kritischen Projekten.
08

E-Mail-Reports

Es gibt zwei Wege um Reports zu erhalten:

Manuell

Beim manuellen Scan die Checkbox „E-Mail-Report" aktivieren. Nach dem Scan wird ein vollständiger Report an deine hinterlegte E-Mail-Adresse geschickt.

Automatisch

Im Automatisierungs-Menü lässt sich festlegen ob nach jedem automatischen Scan ein Report verschickt wird – oder nur bei Änderungen (empfohlen).

09

Changes & Scan-Verlauf

Nach jedem Scan werden die Ergebnisse mit den vorherigen Scans verglichen. Neu hinzugekommene oder verschwundene Cookies und Drittanbieter werden als Changes markiert. Die Zahl in der Changes-Spalte zeigt die Gesamtanzahl der Unterschiede – ein Klick öffnet den detaillierten Vergleich.

Stabilitätsfenster – kein Rauschen durch CDN & Lazy Loading

Viele Webseiten laden Ressourcen je nach Netzwerk, Server-Load oder A/B-Tests mal früher, mal später – oder gar nicht. Ein naiver Scan-Vergleich würde solche intermittierenden Einträge ständig als „neu" oder „entfernt" melden.

Cookie Radar verwendet daher ein Stabilitätsfenster: Eine Änderung wird nur gemeldet, wenn sie konsistent ist:

  • Neu hinzugekommen = Element ist im aktuellen Scan vorhanden und war in keinem der letzten 2 Scans zu sehen.
  • Verschwunden = Element fehlt im aktuellen Scan und war in allen letzten 2 Scans vorhanden.
  • Alles, was nur sporadisch auftaucht oder fehlt, wird stillschweigend ignoriert.
Beispiel: Ein CDN-Script, das bei 1 von 3 Scans nicht geladen wird, erzeugt keine Change-Meldung. Erst wenn es dauerhaft weg ist (in allen Vergleichsscans abwesend), wird es als „entfernt" gewertet.

Über die Site-Detailseite (Klick auf den Website-Namen) ist der vollständige Scan-Verlauf mit Verlaufs-Charts für Cookies und Third-Party-Verbindungen einsehbar.

10

Cookie- & Third-Party-Explorer

Cookie-Explorer

Unter „Cookie-Explorer" in der Navigation findest du alle erfassten Cookies aller Websites – suchbar und filterbar nach Name, Domain, Consent-Zustand und Website. Alle Cookie-Details (Laufzeit, Secure, HttpOnly, SameSite) sind auf einen Blick sichtbar.

Third-Party-Explorer

Unter „Third-Party-Explorer" siehst du alle externen Netzwerkanfragen – nach Domain, Ressourcentyp und HTTP-Status. Bekannte Tracker (Google, Meta, HubSpot etc.) werden automatisch kategorisiert.

11

Admin-Bereich

Nur für Administratoren sichtbar. Zugänglich über „Admin" in der Navigation.

User-Verwaltung

Neue Nutzer anlegen, bestehende bearbeiten (Limits, Rolle, Passwort). Über den Wartungshinweis-Button lässt sich ein Banner für alle Nutzer ein- und ausschalten.

Cookie-Datenbank

Zentrale Datenbank bekannter Cookies und Drittanbieter-Domains. Einträge können manuell gepflegt oder per KI-Anreicherung (Claude AI) automatisch befüllt werden. Über zwei Tabs: Cookies und Domains/Drittanbieter.

Fragen? hi@pixologe.de  ·  Zurück zur Startseite