Cookie- und Tracking-Status

Das obige Panel schreibt einen kurzlebigen First-Party-Cookie auf diesen Hostnamen, liest ihn wieder aus und prüft, ob localStorage, sessionStorage und IndexedDB in Ihrer aktuellen Sitzung nutzbar sind. Es meldet auch die Signale „Do Not Track“ und „Global Privacy Control“, sofern Ihr Browser diese bereitstellt. Was es nicht tun kann, ist Third-Party-Cookies zu zählen (dazu ist ein eingebetteter Iframe von einer anderen Herkunft erforderlich) oder als HttpOnly gekennzeichnete Cookies aufzulisten (diese sind designbedingt vor JavaScript verborgen). Ich habe diese Seite nach einem Ausfall des Stripe-Checkouts erstellt, dessen Diagnose mich Stunden gekostet hat, weil ich keine schnelle Möglichkeit hatte, zu überprüfen, ob Cookies im Browser des Benutzers überhaupt geschrieben wurden.

Was diese Seite tatsächlich testet

Dies ist eine First-Party-Diagnose. Alles, was sie überprüft, ist auf die Interaktion zwischen Ihrem Browser und whatismytools.com beschränkt. Sie kann weder den Zustand Ihres Browsers auf anderen Websites noch HttpOnly-Cookies sehen. Innerhalb dieses Rahmens laufen vier Tests ab.

Schreiben und Lesen von First-Party-Cookies. Ein eindeutig benannter Cookie wird mit SameSite=Lax gesetzt und sofort wieder ausgelesen. Wenn das Lesen erfolgreich ist, funktionieren Cookies für diese Herkunft (Origin) in Ihrer aktuellen Sitzung.
Web Storage. localStorage und sessionStorage werden mit dem Schreiben und Lesen einer kurzen Zeichenfolge getestet. Beide können unabhängig von Cookies fehlschlagen, insbesondere im privaten Surfmodus.
IndexedDB. Eine Testdatenbank wird geöffnet und wieder geschlossen. Ein Fehlschlag an dieser Stelle bedeutet meist, dass ein verschärftes Datenschutzprofil oder eine Kioskmodus-Richtlinie den dauerhaften Speicher blockiert.
Datenschutzsignale. Die Seite liest navigator.doNotTrack und navigator.globalPrivacyControl aus, sofern diese bereitgestellt werden. Deren Fehlen bedeutet nicht, dass Sie keine Datenschutzrechte haben; es bedeutet lediglich, dass Ihr Browser kein Opt-out-Verhalten programmatisch signalisiert.

Insbesondere zeigt das Panel nicht an, wie viele Cookies auf Ihrem Gerät gespeichert sind, welche Drittanbieter Cookies auf anderen Websites gesetzt haben oder welche Werbepartner Sie websiteübergreifend wiedererkennen können. Browser verbergen diese Informationen absichtlich vor JavaScript. Für diese Antworten sollten Sie den integrierten Speicher-Inspektor Ihres Browsers verwenden (DevTools → Anwendung → Speicher in Chrome und Edge, Speicher-Inspektor in Firefox, Speicher-Tab im Safari Web-Inspektor).

First-Party- vs. Third-Party-Cookies im Jahr 2026

Ein First-Party-Cookie (Erstanbieter-Cookie) wird von der Website gesetzt, deren URL in Ihrer Adresszeile steht. Ein Third-Party-Cookie (Drittanbieter-Cookie) wird von einer anderen Herkunft (Origin) gesetzt, die in die Seite eingebettet ist, typischerweise über ein <iframe>, <img> oder ein Drittanbieterskript. Beide Arten nutzen denselben HTTP-Cookie-Mechanismus, der in RFC 6265 definiert ist; der Unterschied liegt rein darin, welche Herkunft sie gesetzt hat und an welche Website sie zurückgesendet werden.

Zwei Jahrzehnte lang nutzte die Werbeindustrie Third-Party-Cookies, um Nutzer über verschiedene Websites hinweg wiederzuerkennen. Ein Tracking-Pixel auf news.example.com und derselbe Tracking-Pixel auf shop.example.com lasen beide denselben Third-Party-Cookie, wodurch der Tracker ein Profil erstellen konnte, das beide Besuche umfasste. Dieses Modell wird nun abgelöst.

Der aktuelle Status von Third-Party-Cookies nach Browser:

Safari blockiert Third-Party-Cookies standardmäßig seit 2020 über die Intelligent Tracking Prevention (ITP). Die Blockierung ist vollständig: Es werden keine Third-Party-Cookies gesendet, selbst nicht mit Zustimmung des Nutzers.
Firefox blockiert Tracking-Cookies standardmäßig über den verbesserten Tracking-Schutz (Enhanced Tracking Protection, ETP) unter Verwendung einer gepflegten Liste bekannter Tracker. Der strenge Modus blockiert alle Third-Party-Cookies; der Standardmodus (Standardeinstellung) blockiert bekannte Tracker und partitioniert den Rest pro Top-Level-Website.
Brave blockiert alle Third-Party-Cookies und deren Speicherung auf Shield-Ebene. Aggressive Shields randomisieren zudem Fingerprinting-Signale.
Chrome hat fünf Jahre lang versprochen, Third-Party-Cookies schrittweise abzuschaffen, machte jedoch 2024 eine Kehrtwende und bietet nun eine Auswahl über die Privacy Sandbox an. Third-Party-Cookies sind in Chrome standardmäßig weiterhin erlaubt, es sei denn, der Nutzer aktiviert den neuen Tracking-Schutz.
Edge verwendet eine ausgewogene Standardeinstellung (Balanced), die bekannte Tracker blockiert, ohne alle Third-Party-Cookies zu blockieren.

Der Ersatzmechanismus für legitimen websiteübergreifenden Zustand (wie föderierte Logins, eingebettete Zahlungs-Widgets) ist CHIPS (Cookies Having Independent Partitioned State). Eine Website setzt einen Cookie mit dem Partitioned-Attribut, und der Browser speichert ihn isoliert für die Top-Level-Website, die das eingebettete Element geladen hat. Dies ist der richtige Weg, um eingebettete Widgets im Jahr 2026 bereitzustellen.

Wie sich der Tracking-Schutz entwickelt hat

Der Tracking-Schutz in Browsern entwickelte sich in drei groben Wellen. Der heutige Stand jedes Browsers spiegelt wider, auf welche Welle die jeweiligen Entwickler gesetzt haben.

Erste Welle (2014 bis 2018): Benutzer-Opt-in. Browser führten Einstellungen ein, um Third-Party-Cookies zu blockieren. Fast niemand nutzte sie. „Do Not Track“ wurde als Header-Signal hinzugefügt. Kaum eine Website hielt sich daran. Diese Ära bewies, dass ein Opt-in-Modell niemanden schützt, der nicht ohnehin bereits weiß, dass er sich aktiv anmelden muss.

Zweite Welle (2018 bis 2023): Standard-Blockierung mit Erlaubnislisten. Safari führte 2017 die Intelligent Tracking Prevention (ITP) ein und machte sie zum Standard. Firefox folgte mit Enhanced Tracking Protection. Beide nutzen eine vom Browser-Hersteller gepflegte Liste bekannter Tracker sowie Heuristiken zur Erkennung websiteübergreifender Identifizierung. Brave wurde von Tag eins an auf diesem Prinzip aufgebaut. Die ITP-Dokumentation von WebKit ist nach wie vor die klarste Beschreibung der Funktionsweise.

Dritte Welle (ab 2024): Strukturierter Ersatz. Chromes Privacy Sandbox versucht, datenschutzfreundlichen Ersatz für die Werbezielgruppen-Ausrichtung anzubieten: Topics API (lokal berechnete Interessenkategorien), Attribution Reporting (Messung von Werbekonversionen ohne Identifizierung von Nutzern) und CHIPS (partitionierte Cookies). Firefox und Safari sind skeptisch und haben diese nicht übernommen. Das Ergebnis ist eine unübersichtliche Phase Mitte der 2020er Jahre, in der die Funktion stark davon abhängt, welchen Browser Sie verwenden.

Ein Cookie ist ein Schlüssel-Wert-Paar sowie eine kleine Menge von Attributen, die steuern, wohin und wie er gesendet wird. Fünf dieser Attribute leisten in Produktivsystemen den Großteil der Arbeit.

Set-Cookie: session_id=abc123;
  Domain=example.com;
  Path=/;
  Max-Age=2592000;
  Secure;
  HttpOnly;
  SameSite=Lax;
  Partitioned

Secure: Der Cookie wird nur über HTTPS übertragen. Erforderlich für Session-Cookies auf jeder professionellen Website. Erforderlich für alle Cookies mit SameSite=None.
HttpOnly: Der Cookie kann nicht über document.cookie ausgelesen werden. Erforderlich für Sitzungs-Tokens, um Diebstahl durch XSS-Angriffe zu verhindern. Diese Seite meldet einen HttpOnly-Cookie als „nicht sichtbar“, da JavaScript keinen Zugriff darauf hat; dies ist das korrekte Verhalten und zeigt, dass die Website Sicherheitsstandards einhält.
SameSite: Strict sendet den Cookie nur bei Anfragen der gleichen Website (Same-Site),Lax sendet ihn zusätzlich bei Top-Level-Navigationen, während None ihn bei allen Anfragen sendet, aber Secure voraussetzt. Seit Chrome 80 ist der Standardwert Lax, was 2020 viele eingebettete Integrationen lahmgelegt hat und nach wie vor die Ursache für die Hälfte aller Cookie-Bugs ist, auf die ich stoße.
Max-Age: Lebensdauer in Sekunden. Expires ist eine ältere Entsprechung unter Angabe eines absoluten Datums. Ohne diese Angaben handelt es sich um einen Session-Cookie, der beim Schließen des Browsers gelöscht wird. Die ITP von Safari begrenzt clientseitig gesetzte, dauerhafte Cookies unabhängig von Ihren Angaben auf maximal sieben Tage.
Partitioned: Integriert den Cookie in den CHIPS-Speicher, wenn er in einem Drittanbieter-Kontext geladen wird. Ohne dieses Attribut blockieren oder isolieren moderne Browser Third-Party-Cookies.

Wie man Cookies richtig löscht

„Alle Cookies löschen“ ist selten das, was Sie eigentlich wollen. Es meldet Sie überall ab, leert Ihre Warenkörbe und setzt die Einstellungen jeder Website zurück. Das Löschen für einzelne Websites ist meist das bessere Werkzeug.

Chrome und Edge: Klicken Sie auf das Schloss-Symbol in der Adresszeile → Cookies und Websitedaten → überprüfen und löschen Sie die Einträge für die aktuelle Website. Um alles zu löschen: Einstellungen → Datenschutz und Sicherheit → Browserdaten löschen → Cookies und andere Websitedaten.

Firefox: Unter Einstellungen → Datenschutz & Sicherheit → Cookies und Websitedaten → Daten verwalten können Sie Cookies für einzelne Websites löschen. Das Schloss-Symbol in der Adresszeile bietet ebenfalls die Option Cookies und Websitedaten löschen.

Safari: Einstellungen → Datenschutz → Websitedaten verwalten. Hier können Sie nach Websites suchen und gezielt Einträge entfernen. Safari löscht Cookies von Websites, die Sie in den letzten 30 Tagen nicht besucht haben, laut ITP auch automatisch.

Ein Haken dabei: Das Löschen von Cookies löscht weder localStorage, sessionStorage noch IndexedDB. Eine Website, die ihre Sitzung im localStorage speichert, bleibt auch nach dem Löschen der Cookies eingeloggt. Browser-Oberflächen bezeichnen diese Sammlung je nach Hersteller als „Websitedaten“ oder „gespeicherte Webinhalte“. Um eine Website vollständig zurückzusetzen, löschen Sie die Websitedaten im Speicher-Inspektor oder nutzen Sie die Browser-Option „Alle Websitedaten löschen“ für diese Herkunft.

Vergleich des Browser-Tracking-Schutzes

Die Checkout-Seite eines Kunden funktionierte in Chrome, meldete jedoch bei etwa jedem fünften Safari-Nutzer „Sitzung abgelaufen“. Der Cookie für das Sitzungs-Token wurde mit einer Gültigkeit von 30 Tagen gesetzt, aber die ITP von Safari begrenzte ihn auf sieben Tage, da er über JavaScript anstatt über den serverseitigenSet-Cookie-Header gesetzt wurde. Kunden, die nach einer Woche zurückkehrten, wurden unbemerkt ausgeloggt. Die Lösung bestand darin, die Token-Ausstellung auf den Server mit einem Secure-, HttpOnly- und SameSite=Lax-Cookie zu verlagern. Das Panel auf dieser Seite hätte „Cookie vorhanden, per JS gesetzt, läuft in sieben Tagen ab“ in Sekundenschnelle aufgezeigt; ohne es verbrachte ich einen ganzen Nachmittag mit dem Lesen der ITP-Dokumentation.

Browser	Third-Party-Cookies	Fingerprinting-Schutz	Standardmäßig
Chrome	Erlaubt (Privacy Sandbox Opt-in)	Eingeschränkt (Privacy Sandbox APIs)	Aus
Safari	Standardmäßig blockiert (ITP seit 2020)	Stark (ITP + Skripteinschränkungen)	Ein
Firefox	Blockiert oder partitioniert (ETP)	Stark mit `resistFingerprinting`	Standardmäßig ein
Brave	Standardmäßig blockiert	Aggressive Randomisierung	Ein
Edge	Bekannte Tracker blockiert (Ausgewogen)	Eingeschränkt	Ausgewogen ein
Arc	Blockiert (DuckDuckGo-Listen)	Eingeschränkt	Ein

Häufig gestellte Fragen (FAQ)

Was sind Third-Party-Cookies?

Ein Third-Party-Cookie (Drittanbieter-Cookie) wird von einer anderen Domain als der in Ihrer Adressleiste befindlichen gesetzt, in der Regel über ein eingebettetes Bild, ein Iframe oder ein Skript. Sie bildeten das Rückgrat des websiteübergreifenden Werbe-Trackings. Safari, Firefox und Brave blockieren sie standardmäßig; Chrome und Edge erlauben sie weiterhin, bieten aber Opt-in-Schutzmaßnahmen an. CHIPS-partitionierte Cookies sind der empfohlene Weg, um Third-Party-Cookies für legitime Zwecke im Jahr 2026 einzusetzen.

Sind Cookies schlecht für meine Privatsphäre?

First-Party-Cookies sorgen dafür, dass Websites sich an Ihren Login-Status erinnern und Ihren Warenkorb speichern. Sie sind unverzichtbar und risikoarm. Third-Party-Cookies wurden in der Vergangenheit genutzt, um Sie über Websites hinweg zu verfolgen, weshalb fast jeder große Browser außer Chrome sie standardmäßig blockiert. Der Cookie-Mechanismus an sich ist neutral; der jeweilige Anwendungsfall bestimmt die Auswirkung auf den Datenschutz.

Woher weiß ich, ob mein Browser Tracker blockiert?

Nutzen Sie den Test Cover Your Tracks der EFF, der bekannte Tracker-Domains lädt und meldet, welche blockiert wurden. Brave und Firefox zeigen zudem ein Schild-Symbol in der Adresszeile an, das Aufschluss darüber gibt, was auf der aktuellen Seite blockiert wurde. In Chrome zeigt der Tab „Privacy Sandbox“ in den Einstellungen Ihren aktuellen Schutzstatus an.

Was ist der Unterschied zwischen Cookies und localStorage?

Cookies werden bei jeder Anfrage automatisch an den Server gesendet, sind auf ca. 4 KB pro Cookie begrenzt und können Sicherheits-Flags wie HttpOnly tragen. localStorage is nur über JavaScript zugänglich, bietet ca. 5 bis 10 MB Speicher und wird niemals über das Netzwerk gesendet. Nutzen Sie Cookies für Sitzungs-Tokens, die der Server benötigt, und localStorage für clientseitige Einstellungen und gecachten UI-Zustand.

Warum muss ich mich ständig neu auf Websites einloggen?

Dafür gibt es drei häufige Gründe. Erstens begrenzt die ITP von Safari clientseitig über JavaScript gesetzte Cookies auf sieben Tage. Jede Website, die Session-Cookies clientseitig generiert, loggt Sie also nach einer Woche aus. Zweitens löschen private Browsing-Modi alle Cookies, sobald das Fenster geschlossen wird. Drittens entfernen aggressive Erweiterungen zur Bereinigung von Cookies oder Speicher den Zustand zwischen Sitzungen. Wenn Sie nur auf einer bestimmten Website ständig ausgeloggt werden, liegt das Problem bei dieser Website; wenn es überall passiert, löscht Ihr Browser Daten zu aggressiv.

Welcher Browser die Speicherung vornimmt und welche Version verwendet wird, sehen Sie unter Was ist mein Browser. Der rohe User-Agent-String, den Websites auslesen, um Tracking-Entscheidungen zu treffen, befindet sich auf Was ist mein User Agent. GPU- und WebGL-Fingerprinting-Signale finden Sie unter Was ist mein WebGL / GPU. Informationen zu der IP, mit der Ihre Tracking-Cookies verknüpft wären, finden Sie unter Was ist meine IP-Adresse.

Zitierte Quellen

RFC 6265: HTTP State Management Mechanism (Cookies, 2011)
WebKit Tracking Prevention Policy: Safari Intelligent Tracking Prevention
Google Privacy Sandbox: CHIPS partitioned cookies
Mozilla: Firefox Enhanced Tracking Protection
Global Privacy Control: Spezifikation und unterstützende Browser
EFF Cover Your Tracks: Browser-Tracker-Blockierungstest

Common questions

What are third-party cookies?

A third-party cookie is set by a domain other than the one in your address bar, usually via an embedded image, iframe, or script. They were the backbone of cross-site advertising tracking. Safari, Firefox, and Brave block them by default; Chrome and Edge still allow them but offer opt-in protections. CHIPS partitioned cookies are the supported way to ship third-party cookies for legitimate purposes in 2026.

Are cookies bad for my privacy?

First-party cookies are how websites remember you are logged in and keep your shopping cart. They are essential and low-risk. Third-party cookies were historically used to track you across sites, which is why every major browser except Chrome now blocks them by default. The cookie mechanism itself is neutral; the use case determines the privacy impact.

How do I know if my browser is blocking trackers?

Use the EFF's Cover Your Tracks test, which loads known tracker domains and reports which were blocked. Brave and Firefox also surface a shield icon in the address bar showing what was blocked on the current page. In Chrome, the Privacy Sandbox tab in settings shows your current protection state.

What is the difference between cookies and localStorage?

Cookies are sent automatically to the server on every request, are limited to about 4 KB each, and can have security flags like HttpOnly. localStorage is accessible only from JavaScript, holds about 5 to 10 MB, and is never sent over the network. Use cookies for session tokens that the server needs; use localStorage for client-side preferences and cached UI state.

Why do I keep having to log in to websites?

Three common causes. First, Safari's ITP caps JavaScript-set cookies at seven days, so any site that issues session cookies from the client logs you out after a week. Second, private browsing modes delete all cookies when the window closes. Third, aggressive cookie or storage clearing extensions wipe state between sessions. If only one site keeps logging you out, the issue is on their side; if every site does, your browser is clearing too aggressively.

Siehe auch diese Tools

🌐Was ist meine IPSehen Sie sofort Ihre öffentliche IPv4- und/oder IPv6-Adresse mit Anbieter-, Stadt- und Länderdetails.→📡Was ist mein InternetanbieterFinden Sie heraus, welcher Internetdienstanbieter (ISP) oder welche Organisation mit Ihrer IP verknüpft ist.→🔷Was ist mein DNSFragen Sie öffentliche DNS-A- und AAAA-Einträge über Cloudflare DNS-over-HTTPS mit klaren Resolver-Labels ab.→📶Was ist meine LatenzMessen Sie die HTTPS-Roundtrip-Zeit von Ihrem Browser zu dieser Website – ein praktischer Browser-Ping.→🛜Was ist mein NetzwerktypErkennen Sie, ob Sie WLAN, Mobilfunk oder Ethernet nutzen, mit der geschätzten Bandbreite der Network Info API.→🔐VPN-Leck prüfen / Leake ich?Vergleichen Sie Ihre HTTP-sichtbare IP mit WebRTC ICE-Adressen, um mögliche IP-Lecks zu erkennen.→⚡Internet-GeschwindigkeitstestTesten Sie Ihre Download- und Upload-Geschwindigkeit mit einem schnellen, präzisen In-Browser-Test.→🖥️Was ist mein BrowserErkennen Sie Ihren Browsernamen, Version, Engine und Betriebssystem mit einem Klick.→🔍Was ist mein User AgentSehen Sie die vollständige User-Agent-Zeichenfolge, die Ihr Browser an Webserver sendet.→📐Was ist meine BildschirmauflösungPrüfen Sie Ihre Bildschirmauflösung, Farbtiefe, Pixelverhältnis und Viewport-Größe.→🎮Was ist mein WebGL / GPUErkennen Sie Ihren GPU-Renderer, Hersteller, WebGL-Version und Grafikfunktionen direkt im Browser.→📍Was ist mein StandortFinden Sie Ihren ungefähren Standort anhand Ihrer IP-Adresse heraus, einschließlich Stadt und Land.→🕐Was ist meine ZeitzoneFinden Sie Ihre aktuelle Zeitzone, den UTC-Offset und die Ortszeit inklusive Sommerzeit-Status.→🔌Was ist meine Offenen PortsPrüfen Sie, welche TCP-Ports auf Ihrer öffentlichen IP-Adresse offen, geschlossen oder gefiltert sind.→