hi,

Nach session.timeout werden die Session-Daten auf dem Server gelöscht, d.h. zu der evtl. vom Benutzer gespeicherten ID wird keine Session mehr gefunden.

nein.
nach session.timeout ist die session abgelaufen.
die session-dateien existieren aber weiterhin, bis sie vom zufallsgesteuert aufgerufenen garbage collector entfertn werden.

Zieht der Benutzer dann eine "alte" ID aus der History wird eine neue, "leere" Session erstellt.

nicht unbedingt; wie gesagt, die session-datei ist ja idR. noch länger vorhanden.
ob das kennzeichen "abgelaufen" ausreicht, um bei erneutem zugriff mit der gleichen session-ID _nicht_ mehr an die daten zu kommen, kann von unterschiedlichen faktoren abhängen - u.a. davon, ob überhaupt schon genug zeit bis zum automatischen timeout vergangen ist (an einem rechner, auf den mehrere leute zugriff haben, kann ja schon kurz danach einer kommen und die seite erneut aufrufen).

gruß,
wahsaga