Was ist ein Cookie in einfachen Worten?

Ein Cookie ist eine kleine Textdatei — meist ein paar hundert Bytes —, die eine Website in deinem Browser speichert. Der Browser sendet das Cookie bei jeder folgenden Anfrage an dieselbe Website zurück, wodurch sich die Website Dinge wie deinen Anmeldestatus, deine Spracheinstellung oder deinen Warenkorb zwischen Seitenladevorgängen und Besuchen merken kann.

Sind Cookies gefährlich oder Viren?

Nein. Ein Cookie ist ein passiver Texteintrag, keine ausführbare Datei. Es kann keine Software installieren, keine Dateien außerhalb des Cookie-Speichers des Browsers lesen und keinen Code selbst ausführen. Das Datenschutzrisiko von Cookies betrifft Tracking und Session-Diebstahl, nicht Schadsoftware. Drittanbieter-Cookies ermöglichen websiteübergreifendes Tracking; gestohlene Sitzungs-Cookies können einem Angreifer erlauben, dich auf einer Website auszugeben, auf der du angemeldet bist.

Was ist der Unterschied zwischen Erstanbieter- und Drittanbieter-Cookies?

Ein Erstanbieter-Cookie wird von der Website gesetzt, deren Adresse in deiner URL-Leiste steht (die Website, die du besuchst). Ein Drittanbieter-Cookie wird von einer anderen Domain gesetzt, deren Skript oder Bild in diese Seite eingebettet ist — meist ein Werbenetzwerk, ein Analysedienst oder ein Social-Widget. Browser beschränken Drittanbieter-Cookies zunehmend, weil sie der Hauptmechanismus für websiteübergreifendes Tracking sind.

Was ist ein Sitzungs-Cookie im Vergleich zu einem persistenten Cookie?

Ein Sitzungs-Cookie hat kein Expires- oder Max-Age-Attribut und wird gelöscht, wenn die Browser-Sitzung endet — typischerweise wenn du den Browser schließt. Ein persistentes Cookie hat ein explizites Expires-Datum in der Zukunft und überlebt über Browser-Sitzungen hinweg bis zu diesem Datum, bis du es manuell löschst oder bis ein Auto-Cleanup-Tool es entfernt.

Was macht das SameSite-Attribut?

SameSite steuert, ob der Browser ein Cookie bei websiteübergreifenden Anfragen sendet. SameSite=Strict bedeutet, dass das Cookie nur bei gleicher-Website-Anfragen gesendet wird. SameSite=Lax (die moderne Voreinstellung in Chrome seit 2020) sendet das Cookie bei gleicher-Website-Anfragen plus websiteübergreifenden GET-Navigationen oberster Ebene. SameSite=None sendet das Cookie bei jeder websiteübergreifenden Anfrage und erfordert Secure. SameSite ist die primäre Verteidigung des Browsers gegen CSRF und websiteübergreifendes Cookie-Tracking.

Was ist HttpOnly und warum ist es wichtig?

HttpOnly ist ein Cookie-Flag, das das Cookie vor JavaScript verbirgt, das in der Seite läuft. document.cookie kann ein HttpOnly-Cookie nicht lesen oder ändern. Das Flag ist die primäre Verteidigung des Browsers gegen Session-Cookie-Diebstahl per XSS — selbst wenn ein Angreifer Skript in deine Seite einschleust, kann er ein HttpOnly-Sitzungs-Cookie nicht lesen.

Werden Drittanbieter-Cookies abgeschafft?

Ja, schrittweise. Safari und Firefox blockieren Drittanbieter-Cookies bereits standardmäßig. Chrome kündigte mehrere Abschaltungs-Zeitpläne an und legte sich 2024 auf ein Nutzerwahl-Modell fest, mit den Privacy-Sandbox-APIs als vorgeschlagenem Ersatz für Werbe-Targeting und Messung. CHIPS (Cookies Having Independent Partitioned State) erlaubt einer Website, Drittanbieter-Cookies explizit für die Partitionierung pro oberster Website anzumelden, sodass sie überleben, ohne websiteübergreifendes Tracking zu ermöglichen.

Wie sehe, bearbeite oder lösche ich Cookies in meinem Browser?

In Chrome öffne die DevTools (F12) → Application → Storage → Cookies, um sie anzuzeigen und zu bearbeiten; öffne Einstellungen → Datenschutz und Sicherheit → Cookies, um sie in großen Mengen zu löschen. Für wiederholbare Abläufe installiere eine Manifest-V3-Erweiterung wie CookieVault Editor. Siehe unsere Schritt-für-Schritt-Anleitungen zum Löschen, Bearbeiten und Exportieren von Cookies.

Was ist die maximale Größe oder Anzahl von Cookies?

RFC 6265 empfiehlt, dass Browser mindestens 4.096 Bytes pro Cookie (Name plus Wert kombiniert) und mindestens 50 Cookies pro Domain unterstützen. Chrome und Firefox erzwingen in der Praxis rund 4 KB pro Cookie und etwa 180 Cookies pro Domain. Versuche, die Cookie-Nutzlast klein zu halten — große Cookies werden bei jeder Anfrage an die passende Domain gesendet, was die Latenz erhöht.

Was ist ein Cookie? Browser-Cookies erklärt (Leitfaden 2026)

TL;DR: Ein Cookie ist ein kleines Datenstück — typischerweise ein paar hundert Bytes —, das eine Website in deinem Browser speichert, um Informationen zwischen Anfragen zu merken. Cookies treiben Logins, Warenkörbe und Analytics an; sie ermöglichten auch die Ära des websiteübergreifenden Trackings, die Browser jetzt zurückfahren.

Ein Cookie ist ein Name-Wert-Texteintrag, den eine Website über den HTTP-Antwort-Header Set-Cookie in deinem Browser setzt und den der Browser über den Anfrage-Header Cookie automatisch an nachfolgende Anfragen an dieselbe Domain anhängt. Cookies sind der ursprüngliche Mechanismus für Zustand auf einem ansonsten zustandslosen HTTP-Web — sie sind älter als localStorage, IndexedDB, Service Worker und jede moderne Client-Speicher-Alternative. Jedes Cookie, dem du je begegnet bist, von “angemeldet bleiben” bis zum EU-Einwilligungsbanner, das danach fragt, wird von diesem einen kleinen Protokoll geregelt¹.

Wie Cookies funktionieren

Kurz gesagt: Cookies sind eine dünne Schicht über HTTP. Der Server setzt eines mit einem Set-Cookie: name=value-Antwort-Header; der Browser speichert es in einem Cookie-Behälter pro Domain; bei jeder folgenden passenden Anfrage sendet der Browser Cookie: name=value zurück. Es gibt keinen clientseitigen Handshake — der Browser befolgt die Direktiven des Servers innerhalb der Grenzen von RFC 6265.

Der Cookie-Mechanismus wird weithin Lou Montulli zugeschrieben, einem Netscape-Ingenieur, der ihn 1994 einführte, um “merke den Warenkorb zwischen Seiten” für den E-Commerce-Kunden MCI Net zu lösen². Drei Jahrzehnte später ist das zugrunde liegende Protokoll im Wesentlichen unverändert. Die formale Spezifikation ist IETF RFC 6265¹, mit einer aktiven Revision in IETF-Entwürfen³, die die Sicherheits- und Datenschutzgrenzen verschärft.

Ein minimaler Cookie-Austausch sieht so aus:

# Server-Antwort
HTTP/1.1 200 OK
Set-Cookie: sid=abc123; Path=/; HttpOnly; Secure; SameSite=Lax

# Folgende Client-Anfrage an dieselbe Website
GET /account HTTP/1.1
Cookie: sid=abc123

Der Browser interpretiert den Wert abc123 nicht — er ist für den Browser undurchsichtig. Der Server interpretiert ihn (typischerweise als Datenbank-Session-Schlüssel). Die Aufgabe des Browsers ist es, anhand der Attribute Domain, Path, Secure, SameSite und Ablauf des Cookies zu entscheiden, welche Cookies an jede Anfrage angehängt werden.

Kernpunkt: Ein Cookie wird vom Server gesetzt, vom Browser gespeichert und vom Server bei jeder folgenden passenden Anfrage gelesen. Der Browser ist der Kurier, nicht der Verfasser.

Anatomie eines Cookies

Kurz gesagt: Ein Cookie hat einen Pflichtteil (name=value) und sieben Attribute, die der Server setzen kann: Domain, Path, Expires, Max-Age, Secure, HttpOnly und SameSite. Jedes Attribut grenzt ein oder schränkt ein, wann der Browser das Cookie zurücksendet.

Der vollständige Attributsatz, definiert in RFC 6265¹ und seiner bis-Revision³:

Name und Wert — das einzige Pflichtpaar. ASCII-Text. Zusammen müssen sie in rund 4 KB passen⁴.
Domain — Standard ist der Host, der Set-Cookie gesendet hat. Domain=example.com zu setzen, lässt das Cookie für example.com und alle Subdomains gelten.
Path — Standard ist das Verzeichnis des Anfragepfads. Path=/account zu setzen, beschränkt das Cookie auf URLs unter /account.
Expires / Max-Age — Datum oder Dauer. Beide wegzulassen, macht das Cookie zu einem Sitzungs-Cookie (gelöscht, wenn die Browser-Sitzung endet). Max-Age=0 löscht das Cookie sofort.
Secure — gesetzt, sendet der Browser das Cookie nur über HTTPS. Reine HTTP-Anfragen sehen es nicht.
HttpOnly — gesetzt, kann JavaScript in der Seite das Cookie nicht über document.cookie erreichen. Die primäre Verteidigung gegen Session-Cookie-Diebstahl per XSS.
SameSite — Strict / Lax / None. Steuert das Verhalten bei websiteübergreifenden Anfragen (unten behandelt).
Priority (Chrome-spezifische Erweiterung) — Low / Medium / High. Gibt dem Browser einen Hinweis, welche Cookies zuerst zu verdrängen sind, wenn der Cookie-Behälter pro Domain voll ist.

Kurz gesagt: Cookies werden entlang zweier orthogonaler Achsen klassifiziert — Lebensdauer (Sitzung vs. persistent) und Herkunft (Erstanbieter vs. Drittanbieter). Ein einzelnes Cookie hat immer einen Wert auf jeder Achse. Datenschutzvorschriften und Browser-Einstellungen legen dann ein nutzungsbasiertes Kategoriensystem darüber (unbedingt erforderlich / funktional / Analytics / Werbung), das du auf Einwilligungsbannern siehst.

Sechs gängige Kategorien, über die Nutzer und Regulierer sprechen, auf das zugrunde liegende Protokoll abgebildet:

Kategorie	Lebensdauer	Herkunft	Typische Nutzung	Standard-Browser-Richtlinie (2026)
Sitzungs-Cookie	Sitzung	Erstanbieter	Login-Sitzung, aktueller Warenkorb	Standardmäßig erlaubt
Persistent Erstanbieter	Persistent	Erstanbieter	”Angemeldet bleiben”, Spracheinstellung	Standardmäßig erlaubt
Unbedingt erforderlich	Beides	Erstanbieter	Auth, Betrugsprävention	Keine Einwilligung nötig (DSGVO)
Funktional / Präferenz	Persistent	Erstanbieter	UI-Theme, Schriftgröße	Einwilligung empfohlen (DSGVO)
Analytics Erstanbieter	Persistent	Erstanbieter	Erstanbieter-Analytics	Einwilligung in der EU erforderlich
Drittanbieter-Werbung	Persistent	Drittanbieter	Werbe-Targeting, Retargeting, Cross-Site-IDs	Blockiert in Safari / Firefox; eingeschränkt in Chrome⁵

Das Information Commissioner’s Office (UK) fasst die Unterscheidung knapp zusammen⁶:

Unbedingt erforderliche Cookies sind solche, die wesentlich sind, um einen vom Nutzer angeforderten Online-Dienst bereitzustellen. Die meisten anderen Cookies erfordern eine informierte Einwilligung, bevor sie gesetzt werden.

Wofür Cookies verwendet werden

Kurz gesagt: Auf Protokollebene ist ein Cookie generischer Name-Wert-Speicher. In der Praxis nutzt das Web Cookies für sechs verschiedene Aufgaben, in etwa absteigender Reihenfolge ihrer Bedeutung für die Nutzererfahrung.

Die sechs dominierenden Cookie-Anwendungsfälle im modernen Web:

Authentifizierung und Session-Management — ein Session-ID-Cookie, das dem Server sagt, zu welchem angemeldeten Nutzer eine Anfrage gehört. Fast immer HttpOnly, Secure, SameSite=Lax oder Strict.
CSRF-Schutz-Token — ein zufälliger Anti-Fälschungs-Wert, den der Server bei zustandsändernden Anfragen prüft. Meist mit einem versteckten Formularfeld gepaart.
Warenkorb und unfertige Arbeit — Bewahren von Warenkorbinhalten und Formularentwürfen über Seitenladevorgänge hinweg. Oft eine einzelne ID, die auf serverseitigen Zustand zeigt.
Nutzereinstellungen — Sprache, Theme, Layout-Dichte, Barrierefreiheits-Einstellungen. Kleine persistente Cookies mit Max-Age von Monaten bis Jahren.
Erstanbieter-Analytics — Besucheridentifikation und Sitzungs-Timing für Produkte wie Plausible, Fathom oder selbst gehostetes PostHog (wenn cookie-basiert konfiguriert).
Werbung und websiteübergreifendes Tracking — Drittanbieter-Cookies, gesetzt von Werbenetzwerken, Retargetern und Analytics-Plattformen, die denselben Nutzer über mehrere Websites hinweg identifizieren müssen. Das ist die Kategorie, die Browser aktiv zurückfahren.

Für Entwickler ist die praktische Folge, dass die meisten Cookies, die du setzt, Erstanbieter sein sollten, auf die aktuelle Website beschränkt, als HttpOnly und Secure markiert und mit SameSite=Lax versehen, es sei denn, du hast einen bestimmten websiteübergreifenden Ablauf, der None braucht.

SameSite, HttpOnly, Secure — die drei Sicherheitsattribute

Kurz gesagt: Drei Cookie-Attribute — SameSite, HttpOnly und Secure — verteidigen gegen drei verschiedene Angriffsklassen. Alle drei korrekt zu setzen, ist die wirkungsvollste einzelne Cookie-Sicherheitsverbesserung, die ein Server vornehmen kann.

Diese drei Attribute bilden die moderne Cookie-Sicherheitsbasis. Jedes verteidigt gegen eine bestimmte Angriffsklasse:

Secure verteidigt gegen passives Netzwerk-Schnüffeln. Der Browser weigert sich, das Cookie über reines HTTP zu senden. Erforderlich für jedes Cookie, das Sitzungszustand hält, da Session-Diebstahl über ein offenes WLAN sonst trivial ist.
HttpOnly verteidigt gegen XSS-getriebenen Session-Diebstahl. JavaScript, das über eine Cross-Site-Scripting-Schwachstelle in die Seite eingeschleust wird, kann ein HttpOnly-Cookie nicht über document.cookie lesen. Der Server sieht es weiterhin; das Skript des Angreifers nicht.
SameSite verteidigt gegen CSRF und websiteübergreifendes Tracking. Drei Werte:
- SameSite=Strict — das Cookie wird nur bei gleicher-Website-Anfragen gesendet. Maximaler Schutz; manchmal unbequem (ein Nutzer, der von einer anderen Website zu deiner Domain klickt, erscheint bei der ersten Anfrage abgemeldet).
- SameSite=Lax — das Cookie wird bei gleicher-Website-Anfragen plus websiteübergreifenden GET-Navigationen oberster Ebene (Linkklicks) gesendet. Die moderne Chrome-Voreinstellung seit 2020⁷.
- SameSite=None — das Cookie wird bei jeder websiteübergreifenden Anfrage gesendet. Erforderlich für legitime Drittanbieter-Cookies (Single Sign-On, eingebettete Bezahl-Widgets). Muss mit Secure gepaart werden.

Die web.dev-Anleitung von Google ist bei der Prioritätenreihenfolge eindeutig⁷: “Wenn du heute nur eine Sache tust, setze SameSite=Lax auf jedes Sitzungs-Cookie.”

Erstanbieter- vs. Drittanbieter-Cookies und die Abschaltungsgeschichte

Kurz gesagt: Ein Erstanbieter-Cookie wird von der Website in der URL-Leiste gesetzt; ein Drittanbieter-Cookie wird von einer anderen Domain gesetzt, deren Code auf dieser Website läuft. Drittanbieter-Cookies bauten die moderne Werbe-Tracking-Ökonomie auf, und moderne Browser schränken sie systematisch ein oder beseitigen sie.

Das Zurückfahren von Drittanbieter-Cookies ist die folgenreichste Änderung am Cookie-Ökosystem seit der Schaffung des Protokolls. Status nach Browser ab Mitte 2026:

Safari — Drittanbieter-Cookies sind standardmäßig blockiert, seit die Intelligent Tracking Prevention (ITP) in Safari 11 (2017) erschien, mit sukzessiven Verschärfungen.
Firefox — Drittanbieter-Cookies sind seit 2022 unter Total Cookie Protection (TCP) standardmäßig partitioniert, was websiteübergreifendes Tracking effektiv beseitigt.
Chrome — nach mehreren Verschiebungen der vollständigen Drittanbieter-Cookie-Abschaltung⁵ legte sich auf einen Nutzerwahl-Ansatz fest, mit den Privacy-Sandbox-APIs als vorgeschlagenem Ersatz für Werbe-Targeting, Attribution und Betrugsprävention.

Für legitime websiteübergreifende Anwendungsfälle (föderiertes Login, eingebettete Checkout-iFrames) ist die moderne Alternative CHIPS — Cookies Having Independent Partitioned State⁸. Ein Cookie mit dem Attribut Partitioned wird in einem separaten Behälter pro oberster Website gespeichert, sodass derselbe iFrame, geladen unter zwei verschiedenen Elternseiten, nicht dasselbe Cookie lesen kann. CHIPS bewahrt den legitimen Anwendungsfall “merke Einstellungen innerhalb dieses Widgets”, während es den websiteübergreifenden Identifikator-Fluss unterbricht.

Wenn du heute einen Dienst betreibst, der von Drittanbieter-Cookies abhängt, ist die unmittelbare Arbeit, deine Cookies daraufhin zu prüfen, welche websiteübergreifende Sichtbarkeit brauchen (nutze CHIPS) und welche von vornherein Tracking waren (auf Privacy Sandbox oder Erstanbieter-Daten neu aufbauen).

Wie du Cookies anzeigst, bearbeitest und löschst

Kurz gesagt: Jeder moderne Browser lässt dich Cookies über Einstellungen oder DevTools anzeigen. Für wiederholbare Abläufe — Session-Bugs debuggen, Cookies als Test-Fixtures exportieren, prüfen, was eine Website gespeichert hat — ist eine Manifest-V3-Erweiterung wie CookieVault Editor das Standardwerkzeug. Der achtstufige Inspektions-Workflow unten funktioniert in jedem Chromium-Browser.

Achtstufige Schnellreferenz zum Anzeigen und Bearbeiten von Cookies in Chrome (Edge, Brave, Opera, Vivaldi, Arc funktionieren identisch; Firefox ist ähnlich mit einem anderen Menü-Layout):

Öffne die Zielwebsite in einem Tab.
Drücke F12, um die DevTools zu öffnen.
Klicke auf den Tab Application.
Klicke in der linken Seitenleiste unter Storage auf Cookies.
Klicke auf die Domain, um alle Cookies im Geltungsbereich zu sehen.
Doppelklicke auf eine Zelle (Value, Expires, SameSite usw.), um sie direkt zu bearbeiten.
Drücke Enter, um die Änderung zu übernehmen; der Browser wendet sie sofort an.
Lade die Seite neu, um das geänderte Cookie bei der nächsten Anfrage zu senden.

Zum Löschen von Cookies in großen Mengen behandelt der Leitfaden zum Cookie-Löschen in Chrome drei Methoden. Um Logins zu behalten und dabei Tracker zu entfernen, siehe Cookies löschen, aber angemeldet bleiben. Für wiederholbare Ein-Klick-Bearbeitungen über viele Websites hinweg ist CookieVault Editor das quelloffene Manifest-V3-Werkzeug, das wir pflegen.

Häufige Missverständnisse über Cookies

Eine kurze Klarstellung von Aussagen, die du im Internet gesehen haben magst und die nicht stimmen:

“Cookies sind Viren” — falsch. Ein Cookie ist ein passiver Texteintrag. Es kann keine Software installieren, keinen Code ausführen und keine Dateien außerhalb des Cookie-Speichers des Browsers erreichen.
“Cookies speichern dein Passwort” — fast immer falsch. Ein Login-Cookie hält eine Session-ID, kein Passwort. Das Passwort wird einmal an den Server gesendet, gehasht, und der Server gibt ein Session-ID-Cookie zurück. Das Passwort selbst ist nicht im Cookie.
“Cookies zu deaktivieren macht dich anonym” — falsch. Browser sind über viele andere Kanäle fingerprintbar (User-Agent, Bildschirmauflösung, Schriftarten, WebGL-Hashes, IP-Adresse), die nicht von Cookies abhängen.
“Alle Cookies tracken dich über Websites hinweg” — falsch. Erstanbieter-Cookies, die von der Website gesetzt werden, die du besuchst, sehen dich nicht auf anderen Websites. Websiteübergreifendes Tracking ist speziell ein Drittanbieter-Cookie-Anliegen.
“Cookies sind unter der DSGVO illegal” — falsch. Cookies sind legal. Was die DSGVO (und die ePrivacy-Richtlinie) regulieren, ist die Einwilligungs-Anforderung für nicht-essenzielle Cookies. Unbedingt erforderliche Cookies brauchen keine Einwilligung.
“Cookies zu löschen behebt jedes Browser-Problem” — teilweise wahr. Cookies zu löschen setzt Sitzungs- und Präferenzzustand zurück. Es behebt keine zwischengespeicherten Ressourcen, keine Service-Worker-Bugs und keine Erweiterungskonflikte.

Siehe auch

Wie man Cookies in Chrome löscht
Cookies löschen, aber angemeldet bleiben
Wie man Cookies in Chrome bearbeitet
Wie man Cookies als JSON exportiert
CookieVault Editor — der quelloffene Manifest-V3-Cookie-Manager
CookieVault Guardian — Cookies beim Tab-Schließen automatisch löschen

Die aktuelle IETF-Spezifikation ist RFC 6265 — “HTTP State Management Mechanism”, verfügbar unter https://datatracker.ietf.org/doc/html/rfc6265. Dieses Dokument definiert die Header Set-Cookie und Cookie, die Semantik der Cookie-Attribute, das Speichermodell und die Cookie-Abgleichsregeln. ↩ ↩² ↩³
Die HTTP-Cookies-Referenz des Mozilla Developer Network unter https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies fasst den modernen Cookie-Attributsatz und die browserseitigen Verarbeitungsregeln zusammen. Die Ursprungsgeschichte von 1994 wird über Web-Geschichtsquellen hinweg breit zitiert und geht auf Lou Montullis Arbeit bei Netscape an einer “Einkaufskorb”-Funktion zurück. ↩
Die aktive Revision der Cookie-Spezifikation ist “RFC 6265bis” — formal draft-ietf-httpbis-rfc6265bis — veröffentlicht in der IETF-HTTP-Arbeitsgruppe unter https://datatracker.ietf.org/doc/draft-ietf-httpbis-rfc6265bis/. Sie verschärft Präfix-Regeln (__Host-, __Secure-), formalisiert SameSite und verfeinert die Partitionierungs-Semantik. ↩ ↩²
Die Werte 4 KB pro Cookie und 50 Cookies pro Domain sind Empfehlungen aus RFC 6265 §6.1. Reale Browser-Limits sind etwa doppelt so hoch wie das empfohlene Minimum, variieren aber je nach Browser; die chrome.cookies-API-Referenz des Chrome-Teams unter https://developer.chrome.com/docs/extensions/reference/api/cookies dokumentiert die praktischen Chrome-Limits. ↩
Chromes Position zu Drittanbieter-Cookies hat sich mehrfach verschoben. Der aktuelle Ansatz ist unter Privacy Sandbox unter https://developer.chrome.com/docs/privacy-sandbox/ dokumentiert. Statusseiten und einzelne API-Dokumentationen unter diesem Stamm verfolgen laufende Änderungen. ↩ ↩²
Das UK Information Commissioner’s Office (ICO) veröffentlicht praktische Hinweise zu Cookies und Einwilligung unter den Privacy and Electronic Communications Regulations (PECR). Das ICO hat diese Hinweisseite mehrfach umstrukturiert und die URL ist instabil; suche nach “ICO PECR cookies guidance” oder beginne bei https://ico.org.uk und navigiere zu “For organisations → Online tracking”. Die in der obigen Tabellen-Anmerkung sinngemäß übernommene Definition “unbedingt erforderlich” folgt der ICO-Formulierung. ↩
Googles web.dev-Einführung “SameSite cookies explained” unter https://web.dev/articles/samesite-cookies-explained ist die kanonische, an Praktiker gerichtete Referenz für SameSite-Voreinstellungen und die Chrome-Rollout-Geschichte. ↩ ↩²
Die CHIPS-Spezifikation — “Cookies Having Independent Partitioned State” — ist unter https://developer.chrome.com/docs/privacy-sandbox/chips dokumentiert. CHIPS erlaubt einem websiteübergreifenden Cookie, sich für die Partitionierung pro oberster Website anzumelden, sodass es die Drittanbieter-Cookie-Blockierung überlebt, ohne websiteübergreifendes Tracking zu ermöglichen. ↩

Was ist ein Cookie? Browser-Cookies erklärt