Das Cookie-Banner kennst Du von jeder zweiten Webseite. Ein Klick auf "Akzeptieren", und der Begriff verschwindet im Hintergrund. Was dahinter passiert, bleibt vage. Vor allem: Cookies sind nur eine von mehreren Schubladen, die Dein Browser für eine Webseite öffnet.
Daneben liegen Local Storage und Session Storage, zwei jüngere Mechanismen. Das Banner erwähnt sie nie, obwohl sie genauso Daten in Deinem Browser ablegen. Wer die eigene Webseite betreut oder fremde Webseiten bewusst nutzt, kommt mit einem einfachen Modell weit. Drei Schubladen, jede mit eigener Reichweite, Lebensdauer und DSGVO-Relevanz.
Drei Schubladen, die jede Webseite öffnen kann
Eine Webseite, die in Deinem Browser läuft, hat genau drei Standard-Orte, an denen sie Daten ablegt: Cookies, Local Storage und Session Storage. Daneben existiert ein vierter Bereich, der Browser-Cache, in dem Bilder, Stylesheets und Skripte zwischengelagert werden. Der gehört aber in eine eigene Diskussion, weil er dem Browser selbst dient und keiner einzelnen Webseite. Wer sich tiefer für die Performance-Seite interessiert: Caching ist eine eigene Schublade mit eigener Logik.
Drei Fragen sortieren die Schubladen sauber. Wer kann darauf zugreifen? Wie lange bleibt der Inhalt? Reist die Information mit jedem Klick zum Server? Genau diese drei Fragen trennen Cookies, Local Storage und Session Storage voneinander.
Cookies — der Klassiker mit Doppelnatur
Cookies sind die ältesten der drei. Netscape führte sie 1994 ein, damit ein Server sich an einen Browser erinnern konnte. Das Prinzip hat sich nicht geändert: Der Server schickt dem Browser ein kleines Daten-Päckchen, der Browser legt es ab. Bei jeder weiteren Anfrage an dieselbe Webseite reist das Päckchen automatisch mit. Diese Mitreise-Eigenschaft macht Cookies bis heute zur Standard-Lösung für Login-Sessions. Der Server weiß, dass Du eingeloggt bist, weil das Cookie es ihm bei jedem Klick erneut sagt.
Cookies kommen in zwei Geschmacksrichtungen. Session-Cookies leben nur, solange das Browserfenster offen ist. Schließt Du den Tab, sind sie weg. Das ist der typische Warenkorb-Cookie eines Online-Shops, wenn Du nicht eingeloggt bist. Persistent-Cookies tragen ein Ablaufdatum: eine Stunde, ein Jahr, manchmal zehn Jahre. Sie überleben Browser-Neustarts und sind die Grundlage für das "angemeldet bleiben"-Häkchen.
Hinzu kommt eine zweite Unterscheidung, die das ganze Banner-Theater ausgelöst hat. First-Party-Cookies setzt die Webseite selbst, die Du besuchst. Third-Party-Cookies setzt eine andere Domain, deren Code auf der Seite eingebunden ist (typischerweise Werbenetzwerke oder Tracker). Letztere sind das Hauptproblem der DSGVO und die Hauptzielscheibe moderner Browser, die sie zunehmend blockieren. Die Tracking-Vertiefung findest Du in einem eigenen Beitrag über Pixel, Fingerprint und die Tracking-Seite derselben Medaille. Cookies sind im Vergleich zu den jüngeren Speichern winzig: maximal vier Kilobyte pro Cookie. Für Texte reicht das, für Komfort-Funktionen nicht mehr.
Local Storage und Session Storage — die jüngeren Geschwister
Mit HTML5 kamen ab etwa 2009 zwei neue Speicher dazu, die der Cookie-Logik gezielt zwei Eigenschaften wegnahmen. Beide leben rein im Browser. Der Server bekommt nichts davon mit, solange die Webseite den Inhalt nicht aktiv über JavaScript an ihn sendet. Und beide sind deutlich größer: fünf bis zehn Megabyte pro Webseite, also gut tausendmal mehr Platz als ein Cookie bietet.
Local Storage hält die Daten zeitlich unbegrenzt. Was eine Webseite hier ablegt, bleibt liegen, auch wenn Du den Browser schließt, das Notebook zuklappst und am nächsten Tag zurückkommst. Typische Inhalte: Deine gewählte Sprache, ein gespeicherter Dark-Mode-Schalter, ein Warenkorb-Stand bei Shops ohne Login, eine letzte Sortier-Reihenfolge in einer Tabelle.
Session Storage hat dieselbe Mechanik, aber die kürzeste Lebensdauer von allen drei Speichern. Sie endet, sobald Du den Tab schließt. Nur diesen einen Tab. Browserfenster und Computer bleiben unberührt. Damit ist Session Storage der natürliche Ort für Zwischenstände in mehrseitigen Formularen, für temporäre Filter oder für den Wizard-Schritt, an dem ein Nutzer gerade steht. Reload des Tabs überlebt der Inhalt, ein neuer Tab derselben Webseite sieht aber nichts davon.
Beide Speicher sind dem Server unsichtbar, solange die Webseite ihn nicht aktiv informiert. Das macht sie technisch schlanker, weil sie nicht bei jeder Anfrage mitgeschickt werden. Für Login-Sessions taugen sie nicht: Der Server müsste sich auf den Eintrag verlassen, hat ihn aber nicht. Cookies bleiben der Standard für alles, was der Server wissen muss.
Wann was zum Einsatz kommt und was DSGVO dazu sagt
In der Praxis spielen die drei Speicher zusammen. Eine typische Webseite legt einen Session-Cookie für den Login an, schreibt die gewählte Sprache in Local Storage, hält den aktuellen Filter-Stand in Session Storage. Drei Schubladen, drei Aufgaben, kein Konflikt.
Die DSGVO-Logik macht zwischen den dreien keinen Unterschied. Maßgeblich ist allein, was darin landet und wofür. Die Speicher-Technik selbst spielt keine Rolle. Daten, die für den Betrieb der Webseite unbedingt erforderlich sind (Login-Status, Sprache, Warenkorb), dürfen ohne Einwilligung gesetzt werden, egal in welcher Schublade. Alles, was Tracking, Werbung oder Profilbildung dient, braucht aktive Zustimmung, ebenfalls egal in welcher Schublade.
Genau hier täuscht das Wort "Cookie-Banner". Es benennt nur die älteste Speicher-Form, suggeriert aber, Local Storage und Session Storage seien aus der Pflicht. Sind sie nicht. Wenn Du auf Deiner Webseite ein Werbe-Skript einbindest, das Nutzer-IDs in Local Storage schreibt, gilt dafür dieselbe Einwilligungspflicht wie für ein Tracking-Cookie. Wer das Banner ernst meint, deckt alle drei Speicher ab, nicht nur den, der den Namen trägt. Falls Du den Lexikon-Eintrag zur Banner-Pflicht noch nachschlagen willst: eine kompakte Definition findest Du in der Infobox.
Fazit — drei Schubladen, ein mentales Modell
Cookies, Local Storage und Session Storage sind keine Synonyme, sondern drei Werkzeuge mit unterschiedlicher Reichweite. Cookies reisen zum Server und sind klein, Local Storage bleibt im Browser und ist groß und langlebig, Session Storage stirbt mit dem Tab. Wer diese drei Fragen sortiert hat, führt jede technische oder rechtliche Diskussion um Browser-Daten ruhiger. Wer liest mit? Wie lange bleibt es? Wandert es zum Server?
Für Deine eigene Webseite folgt daraus die strategische Faustregel: Frag bei jedem Drittanbieter-Skript, in welche Schublade es schreibt und warum. Die Antwort entscheidet, ob Du es ohne Banner einbinden darfst oder ob die Einwilligungspflicht greift. Wenn Du tiefer in die Tracking-Seite einsteigen willst, lohnt der Sprung zur Vertiefung über Pixel, Fingerprint und die DSGVO-Praxis.