Was sind Session-Cookies?
Um zu verstehen, was Session-Cookies genau sind, sollte man sich zunächst die Bedeutung und Funktion von Cookies im IT-Kontext vergegenwärtigen. Bei einem Cookie handelt es sich um eine Datei, die von einem Webauftritt auf dem Computer des Nutzers angelegt wird. Solche Textdateien werden von Browser und Webseiten automatisch erzeugt. Sie enthalten zum Teil personenbezogene Informationen über den Nutzer und ermöglichen unter anderem ein anwenderfreundliches Surfen.
Zweck und Risiko von Cookies
Inwiefern verbessern Session-Cookies oder Cookies im Allgemeinen das Surferlebnis? Anhand der kleinen Datenpakte, die beim ersten Besuch gespeichert werden, erkennt die Website den jeweiligen Nutzer wieder. Die Seite erinnert sich also an bestimmte Einstellungen wie Login-Daten, eine gewählte Sprache oder andere persönliche Informationen. Ohne Cookies müsste ein Nutzer beim wiederholten Besuch einer Seite immer wieder dieselben Angaben machen.
Welche Arten von Cookies gibt es? Zum einen setzen viele Websites dauerhafte Cookies ein, die manchmal über Monate oder Jahre hinweg auf einem Gerät gespeichert werden. Oft lässt sich dies nur über ein manuelles Löschen der Cookies verhindern. Das sollten Sie vor allem tun, wenn Sie einen öffentlichen Computer nutzen. Session-Cookies hingegen werden immer dann gelöscht, wenn Sie eine Sitzung auf einer Internetseite beenden. Dies geschieht beim Schließen eines Browsers in der Regel automatisch. Session-Cookies stellen also im Vergleich zu den dauerhaften Cookies für Nutzer kein großes Risiko dar.
Wie funktionieren Session-Cookies?
Im Begriff „Session-Cookie“ steckt das Wort „Session“, das auf Deutsch so viel wie Sitzung bedeutet. Eine Sitzung beginnt, sobald Sie eine Webseite oder Web-Applikation aufrufen. Sie kann auch die Zeit zwischen einem Login und einer Abmeldung umfassen. Der Server erzeugt sofort eine „Session ID“, die an den Client übertragen wird. Diese ID, auch Sitzungsbezeichner genannt, ist eine zufällig zusammengesetzte Nummer, die der Session-Cookie temporär speichert. Sie dient lediglich dazu, dem Nutzer eine bestimmte Sitzung zuzuordnen. Der Sitzungsbezeichner hat einen großen Vorteil: Öffnen Sie mehrere Fenster derselben Webseite, werden diese einer einzigen Sitzung zugeordnet. Dies macht es möglich, gleich mehrere Anfragen gleichzeitig zu starten und dabei keine wichtigen personenbezogenen Informationen zu verlieren.
Durch Session-Cookies werden also Informationen über die aktuelle Sitzung hinterlegt. Platzieren Sie zum Beispiel in einem Onlineshop verschiedene Produkte in einen Warenkorb, bleiben diese dort gespeichert, bis die Sitzung beendet ist. Auch andere Information wie Login-Daten oder bereits ausgefüllte Onlineformulare bleiben so während der Sitzung erhalten. Beenden Sie Ihre Surf-Session jedoch, wird der Sitzungsbezeichner sowie alle anderen gespeicherten Daten gelöscht. Das bedeutet, dass Sie beim Öffnen derselben Webseite im neuen Browserfenster als neuer Besucher angesehen werden.
Wann werden Session-Cookies eingesetzt?
Da Webseiten kein Gedächtnis haben, nutzen sie Session-Cookies, um sich für einen begrenzten Zeitraum an einen Nutzer zu erinnern. Nur so ist die korrekte Nutzung von Onlineshops oder anderen Seiten möglich. Schließlich hängt ihre Funktion von den unterschiedlichen Aktivitäten eines Kunden ab. Bewegt sich dieser von Seite zu Seite, speichern sie dessen Angaben, um zum gewünschten Ziel zu gelangen. Auf eCommerce-Seiten sind dies in der Regel die Zahlungsabwicklung und die Bestellbestätigung.
Hierbei ist zu beachten, dass bereits vor einer Anmeldung auf einer Webseite ein Session-Cookie generiert wird. Das heißt, dass ein anonymer Onlineshop-Besucher Produkte in einen virtuellen Warenkorb legen kann, ohne dass er sich einloggen muss. Erst beim Bestellvorgang muss er sich anmelden oder Name, Adresse und Zahlungsdetails angeben. Sobald dies geschieht, spricht man von einer personalisierten Sitzung. Beendet der jeweilige Nutzer diese nicht, läuft sie meistens nach einer gewissen Zeitüberschreitung von alleine ab.
Unterschiede zu anderen Cookies
Während Session-Cookies nur dazu dienen, die Nutzung einer Webseite zu erleichtern, erfüllen dauerhafte Cookies zum Teil auch andere Zwecke. Sie verfolgen unter anderem das Surfverhalten von Nutzern und ermöglichen es Unternehmen, ihre Kunden besser zu verstehen. Zum Beispiel erfassen sie genau, welche Produkte sich ein Kunde während einer Sitzung angesehen hat. So werden dessen Kaufinteressen identifiziert und durch gezielte Ads im Onlinemarketing aufgegriffen. Mithilfe dauerhafter Cookies ist es auch möglich, Nutzerdaten nach dem Schließen eines Browsers zu speichern. So müssen diese bei einem erneuten Besuch nicht noch einmal eingegeben werden.
Die meisten dauerhaften Cookies sind First-Party-Cookies. Das Besondere an diesen kleinen Dateipaketen ist, dass sie nur vom Webseitenbetreiber selbst ausgelesen werden dürfen. Dieser nutzt die Informationen nicht nur für die eigene Statistik, sondern auch, um das nächste Shopping-Erlebnis für einen spezifischen Kunden angenehmer zu gestalten. Das Speichern von solchen Cookies ist in der Regel unproblematisch, es sei denn, User nutzen öffentlich zugängliche Computer. Hier sollten Sie aus Sicherheitsgründen beim Login den Dialog „Passwort speichern“ oder „Zugangsdaten speichern“ immer mit „Nein“ beantworten.
Neben den First-Party-Cookies gibt es auch Third-Party-Cookies. Diese Cookies von Drittanbietern sehen Datenschützer als relativ problematisch an. Oft setzen Werbefirmen Cookies in bestimmte Werbebanner und platzieren diese auf andere Webseiten. So erhalten sie einen Einblick in das Surfverhalten verschiedenster Nutzer, wodurch sie genaue Nutzerprofile erstellen können. Dies ermöglicht zielgerichtete Onlinewerbung, die Anwender auf anderen Seiten verfolgt. Um personalisierten Ads aus dem Weg zu gehen, entscheiden sich viele Nutzer dazu, Cookies in ihrem Browser zu deaktivieren.
Es ist auch möglich, die eher harmlosen Session-Cookies im Browser für bestimmte Sitzungen zu deaktivieren. Benötigen Sie diese für eine bestimmte Sitzung, müssen Sie sie dann wieder aktivieren. Denn anders als bei anderen Cookies ist die Verwendung von Session-Cookies nicht immer optional. Gäbe es nämlich keine individuellen Sitzungsdaten, wäre es dem Webserver nicht möglich, verschiedene Nutzer voneinander zu unterscheiden. Das bedeutet auch, dass bestimmte Bereiche oder Funktionen von Webseiten mit deaktivierten Session-Cookies nicht nutzbar sind.
DSGVO: Session-Cookies sind die Ausnahme
Durch die Datenschutzgrundverordnung (DSGVO), die im Mai 2018 europaweit in Kraft getreten ist, gelten für die Verwendung von Cookies neue Regeln. So sind Webseitenbetreiber dazu verpflichtet, Nutzer vorher über die Speicherung ihrer Daten in Kenntnis zu setzen. Diese müssen zuerst einwilligen, bevor Tracking-Cookies ihr Surfverhalten verfolgen dürfen. Aber was sagt die DSGVO über Session-Cookies? Da ohne Session-Cookies die Funktion von Internetseiten stark beeinträchtigt ist, muss der Nutzer hier nicht aktiv einwilligen. Auch in der ePrivacy-Verordnung, die wahrscheinlich Ende 2023 in Kraft tritt, werden Session-Cookies aufgrund ihrer Notwendigkeit eine Ausnahme darstellen.