Das scheint tatsächlich das Problem zu sein. Ich habs gerade ausprobiert und selbst Cookies werden getrennt gespeichert und ausgelesen. Falls jemand auf ein ähnliches Problem stößt:

Eine (rechenaufwendige) Lösung ist zB den ID und USER Hash per Formular oder Parameter zu übergeben und jede ID in der Datenbank einzeln zu hashen und zu vergleichen. Wenn dann der User-Hash noch stimmt ist alles in Ordnung. Eignet sich aber nur bei weniger gefüllten Datenbanken.

Danke für die Hilfe jedenfalls!