Was sind Session-Cookies?

Um zu verstehen, was Session-Cookies genau sind, sollte man sich zunächst die Bedeutung und Funktion von Cookies im IT-Kontext ver­ge­gen­wär­ti­gen. Bei einem Cookie handelt es sich um eine Datei, die von einem Web­auf­tritt auf dem Computer des Nutzers angelegt wird. Solche Text­da­tei­en werden von Browser und Webseiten au­to­ma­tisch erzeugt. Sie enthalten zum Teil per­so­nen­be­zo­ge­ne In­for­ma­tio­nen über den Nutzer und er­mög­li­chen unter anderem ein an­wen­der­freund­li­ches Surfen.

Inwiefern ver­bes­sern Session-Cookies oder Cookies im All­ge­mei­nen das Surf­erleb­nis? Anhand der kleinen Da­ten­pak­te, die beim ersten Besuch ge­spei­chert werden, erkennt die Website den je­wei­li­gen Nutzer wieder. Die Seite erinnert sich also an bestimmte Ein­stel­lun­gen wie Login-Daten, eine gewählte Sprache oder andere per­sön­li­che In­for­ma­tio­nen. Ohne Cookies müsste ein Nutzer beim wie­der­hol­ten Besuch einer Seite immer wieder dieselben Angaben machen.

Welche Arten von Cookies gibt es? Zum einen setzen viele Websites dau­er­haf­te Cookies ein, die manchmal über Monate oder Jahre hinweg auf einem Gerät ge­spei­chert werden. Oft lässt sich dies nur über ein manuelles Löschen der Cookies ver­hin­dern. Das sollten Sie vor allem tun, wenn Sie einen öf­fent­li­chen Computer nutzen. Session-Cookies hingegen werden immer dann gelöscht, wenn Sie eine Sitzung auf einer In­ter­net­sei­te beenden. Dies geschieht beim Schließen eines Browsers in der Regel au­to­ma­tisch. Session-Cookies stellen also im Vergleich zu den dau­er­haf­ten Cookies für Nutzer kein großes Risiko dar.

Im Begriff „Session-Cookie“ steckt das Wort „Session“, das auf Deutsch so viel wie Sitzung bedeutet. Eine Sitzung beginnt, sobald Sie eine Webseite oder Web-Ap­pli­ka­ti­on aufrufen. Sie kann auch die Zeit zwischen einem Login und einer Abmeldung umfassen. Der Server erzeugt sofort eine „Session ID“, die an den Client über­tra­gen wird. Diese ID, auch Sit­zungs­be­zeich­ner genannt, ist eine zufällig zu­sam­men­ge­setz­te Nummer, die der Session-Cookie temporär speichert. Sie dient lediglich dazu, dem Nutzer eine bestimmte Sitzung zu­zu­ord­nen. Der Sit­zungs­be­zeich­ner hat einen großen Vorteil: Öffnen Sie mehrere Fenster derselben Webseite, werden diese einer einzigen Sitzung zu­ge­ord­net. Dies macht es möglich, gleich mehrere Anfragen gleich­zei­tig zu starten und dabei keine wichtigen per­so­nen­be­zo­ge­nen In­for­ma­tio­nen zu verlieren.

Durch Session-Cookies werden also In­for­ma­tio­nen über die aktuelle Sitzung hin­ter­legt. Plat­zie­ren Sie zum Beispiel in einem On­line­shop ver­schie­de­ne Produkte in einen Warenkorb, bleiben diese dort ge­spei­chert, bis die Sitzung beendet ist. Auch andere In­for­ma­ti­on wie Login-Daten oder bereits aus­ge­füll­te On­line­for­mu­la­re bleiben so während der Sitzung erhalten. Beenden Sie Ihre Surf-Session jedoch, wird der Sit­zungs­be­zeich­ner sowie alle anderen ge­spei­cher­ten Daten gelöscht. Das bedeutet, dass Sie beim Öffnen derselben Webseite im neuen Brow­ser­fens­ter als neuer Besucher angesehen werden.

Da Webseiten kein Ge­dächt­nis haben, nutzen sie Session-Cookies, um sich für einen be­grenz­ten Zeitraum an einen Nutzer zu erinnern. Nur so ist die korrekte Nutzung von On­line­shops oder anderen Seiten möglich. Schließ­lich hängt ihre Funktion von den un­ter­schied­li­chen Ak­ti­vi­tä­ten eines Kunden ab. Bewegt sich dieser von Seite zu Seite, speichern sie dessen Angaben, um zum ge­wünsch­ten Ziel zu gelangen. Auf eCommerce-Seiten sind dies in der Regel die Zah­lungs­ab­wick­lung und die Be­stell­be­stä­ti­gung.

Hierbei ist zu beachten, dass bereits vor einer Anmeldung auf einer Webseite ein Session-Cookie generiert wird. Das heißt, dass ein anonymer On­line­shop-Besucher Produkte in einen vir­tu­el­len Warenkorb legen kann, ohne dass er sich einloggen muss. Erst beim Be­stell­vor­gang muss er sich anmelden oder Name, Adresse und Zah­lungs­de­tails angeben. Sobald dies geschieht, spricht man von einer per­so­na­li­sier­ten Sitzung. Beendet der jeweilige Nutzer diese nicht, läuft sie meistens nach einer gewissen Zeit­über­schrei­tung von alleine ab.

Während Session-Cookies nur dazu dienen, die Nutzung einer Webseite zu er­leich­tern, erfüllen dau­er­haf­te Cookies zum Teil auch andere Zwecke. Sie verfolgen unter anderem das Surf­ver­hal­ten von Nutzern und er­mög­li­chen es Un­ter­neh­men, ihre Kunden besser zu verstehen. Zum Beispiel erfassen sie genau, welche Produkte sich ein Kunde während einer Sitzung angesehen hat. So werden dessen Kauf­in­ter­es­sen iden­ti­fi­ziert und durch gezielte Ads im On­line­mar­ke­ting auf­ge­grif­fen. Mithilfe dau­er­haf­ter Cookies ist es auch möglich, Nut­zer­da­ten nach dem Schließen eines Browsers zu speichern. So müssen diese bei einem erneuten Besuch nicht noch einmal ein­ge­ge­ben werden.

Die meisten dau­er­haf­ten Cookies sind First-Party-Cookies. Das Besondere an diesen kleinen Da­tei­pa­ke­ten ist, dass sie nur vom Web­sei­ten­be­trei­ber selbst aus­ge­le­sen werden dürfen. Dieser nutzt die In­for­ma­tio­nen nicht nur für die eigene Statistik, sondern auch, um das nächste Shopping-Erlebnis für einen spe­zi­fi­schen Kunden an­ge­neh­mer zu gestalten. Das Speichern von solchen Cookies ist in der Regel un­pro­ble­ma­tisch, es sei denn, User nutzen öf­fent­lich zu­gäng­li­che Computer. Hier sollten Sie aus Si­cher­heits­grün­den beim Login den Dialog „Passwort speichern“ oder „Zu­gangs­da­ten speichern“ immer mit „Nein“ be­ant­wor­ten.

Neben den First-Party-Cookies gibt es auch Third-Party-Cookies. Diese Cookies von Dritt­an­bie­tern sehen Da­ten­schüt­zer als relativ pro­ble­ma­tisch an. Oft setzen Wer­be­fir­men Cookies in bestimmte Wer­be­ban­ner und plat­zie­ren diese auf andere Webseiten. So erhalten sie einen Einblick in das Surf­ver­hal­ten ver­schie­dens­ter Nutzer, wodurch sie genaue Nut­zer­pro­fi­le erstellen können. Dies er­mög­licht ziel­ge­rich­te­te On­line­wer­bung, die Anwender auf anderen Seiten verfolgt. Um per­so­na­li­sier­ten Ads aus dem Weg zu gehen, ent­schei­den sich viele Nutzer dazu, Cookies in ihrem Browser zu de­ak­ti­vie­ren.

Es ist auch möglich, die eher harmlosen Session-Cookies im Browser für bestimmte Sitzungen zu de­ak­ti­vie­ren. Benötigen Sie diese für eine bestimmte Sitzung, müssen Sie sie dann wieder ak­ti­vie­ren. Denn anders als bei anderen Cookies ist die Ver­wen­dung von Session-Cookies nicht immer optional. Gäbe es nämlich keine in­di­vi­du­el­len Sit­zungs­da­ten, wäre es dem Webserver nicht möglich, ver­schie­de­ne Nutzer von­ein­an­der zu un­ter­schei­den. Das bedeutet auch, dass bestimmte Bereiche oder Funk­tio­nen von Webseiten mit de­ak­ti­vier­ten Session-Cookies nicht nutzbar sind.

Durch die Da­ten­schutz­grund­ver­ord­nung (DSGVO), die im Mai 2018 eu­ro­pa­weit in Kraft getreten ist, gelten für die Ver­wen­dung von Cookies neue Regeln. So sind Web­sei­ten­be­trei­ber dazu ver­pflich­tet, Nutzer vorher über die Spei­che­rung ihrer Daten in Kenntnis zu setzen. Diese müssen zuerst ein­wil­li­gen, bevor Tracking-Cookies ihr Surf­ver­hal­ten verfolgen dürfen. Aber was sagt die DSGVO über Session-Cookies? Da ohne Session-Cookies die Funktion von In­ter­net­sei­ten stark be­ein­träch­tigt ist, muss der Nutzer hier nicht aktiv ein­wil­li­gen. Auch in der ePrivacy-Ver­ord­nung, die wahr­schein­lich Ende 2023 in Kraft tritt, werden Session-Cookies aufgrund ihrer Not­wen­dig­keit eine Ausnahme dar­stel­len.