TL;DR — Die CNIL (und vergleichbar die deutschen Datenschutzbehörden) schreibt eine maximale Speicherdauer von 13 Monaten für Analyse- und Werbe-Cookies auf Nutzergeräten vor. Die Gültigkeit der Einwilligung ist auf 6 Monate begrenzt: Danach muss eine neue Einwilligung eingeholt werden. Diese Regeln gelten für alle Websites, auf die aus dem EU-Raum zugegriffen werden kann.
Die Speicherdauer von Cookies gehört zu den am häufigsten falsch konfigurierten Aspekten der Cookie-Compliance. Viele Website-Betreiber unterscheiden nicht zwischen der technischen Lebensdauer eines Cookies (seinem Ablaufdatum im Browser) und der Aufbewahrungsdauer der zugehörigen Daten auf den Servern des Anbieters. Beide sind reguliert. Dieser Leitfaden erklärt die geltenden Regeln, häufige Situationen und zu vermeidende Fehler.
Was schreiben die Datenschutzbehörden zur Cookie-Dauer vor?
Die CNIL empfiehlt eine maximale Dauer von 13 Monaten für Cookies auf Nutzergeräten. Diese Empfehlung geht auf die Leitlinien von 2020 zurück und wurde in seither veröffentlichten Durchsetzungsentscheidungen bestätigt. Deutsche Datenschutzbehörden (BfDI, Landesdatenschutzbehörden) folgen einem vergleichbaren Ansatz im Rahmen der DSGVO und des TTDSG. Über 13 Monate hinaus gilt ein nicht-funktionaler Cookie als unverhältnismäßig in Bezug auf seinen Zweck.
Sind die 13 Monate eine Empfehlung oder eine Rechtspflicht?
Die 13-Monats-Dauer ist eine Empfehlung, kein direkt durchsetzbarer Rechtstext. Die Behörden haben sie jedoch in ihre Prüfkriterien integriert. Eine Website, die Analyse-Cookies ohne Begründung auf 2 Jahre setzt, riskiert Hinweise oder Bußgelder. In der Praxis sind 13 Monate der Marktstandard: Google Analytics 4 und die meisten konformen CMPs halten diese Dauer standardmäßig ein.
Welche Dauer für funktionale Cookies?
Für den Betrieb des Dienstes unbedingt notwendige Cookies (Warenkorb, authentifizierte Sitzung, Schnittstellenpräferenzen) unterliegen der 13-Monats-Regel nicht auf dieselbe Weise: Ihre Dauer muss ihrem Zweck angemessen sein. Ein 30-tägiger authentifizierter Sitzungs-Cookie ist angemessen. Ein funktionaler Cookie von einem Jahr ohne technische Rechtfertigung ist fragwürdig. Die Grundregel: die kürzeste Dauer, die den ordnungsgemäßen Betrieb des Dienstes ermöglicht.
Gültigkeit der Einwilligung: 6 Monate
Die Behörden regulieren nicht nur die Cookie-Dauer, sondern auch die Gültigkeitsdauer der Einwilligung selbst. Eine einmal erteilte Einwilligung kann nicht als unbegrenzt gültig behandelt werden.
Die 6-Monats-Regel
Nach den Empfehlungen der CNIL und vergleichbaren deutschen Leitlinien ist die Gültigkeit einer Einwilligung auf 6 Monate begrenzt. Nach Ablauf dieser Frist muss eine neue Einwilligung eingeholt werden. Konkret: Hat eine Nutzerin am 1. Januar Cookies akzeptiert, muss die CMP ihr um den 1. Juli herum erneut das Banner anzeigen, sofern sie ihre Einstellungen nicht zwischenzeitlich geändert hat.
Warum unterscheidet sich die Einwilligungsgültigkeit von der Cookie-Dauer?
Die Cookie-Dauer (maximal 13 Monate) ist der Zeitraum, in dem die Datei auf dem Gerät des Nutzers verbleibt. Die Einwilligungsgültigkeit (6 Monate) ist der Zeitraum, in dem die Plattform die Zustimmung des Nutzers noch als aktuell betrachten darf. Diese beiden Dauern sind unabhängig und müssen beide von der CMP verwaltet werden.
Was Ihre CMP leisten muss
Eine konforme CMP muss beide Dauern automatisch konfigurieren und verwalten.
Ablauf des Einwilligungs-Cookies
Die meisten CMPs speichern die Entscheidung des Nutzers in einem Cookie oder im localStorage. Dieser Einwilligungs-Cookie muss selbst mit einer Dauer konfiguriert werden, die mit den Behördenempfehlungen übereinstimmt. 12 bis 13 Monate sind üblich. Nach Ablauf dieser Frist erlischt der Einwilligungs-Cookie und der Nutzer sieht das Banner erneut.
Erneuerung der Einwilligung nach 6 Monaten
Die 6-Monats-Regel ist restriktiver als die Cookie-Dauer. Auch wenn der Einwilligungs-Cookie eine Laufzeit von 13 Monaten hat, muss die CMP das Banner nach 6 Monaten für Nutzer erneut anzeigen, die ihre Einwilligung gegeben haben. Bei abgelehnter Einwilligung besteht keine Pflicht zur erneuten Anfrage, aber die CMP muss dies protokollieren, um dies bei einer Prüfung nachweisen zu können.
Datenspeicherung auf Drittanbieter-Servern
Die 13-Monats-Regel betrifft den Cookie auf dem Gerät des Nutzers. Die durch diesen Cookie erhobenen Daten (etwa GA4-Sitzungen) haben ihre eigene Aufbewahrungsdauer auf den Servern von Google oder des jeweiligen Tool-Anbieters. Diese ist durch die DSGVO und die Nutzungsbedingungen des Dienstes geregelt: Google Analytics 4 speichert Daten standardmäßig 14 Monate, einstellbar auf 2, 6 oder 14 Monate.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Häufige Fehler
Analyse-Cookies auf 2 Jahre setzen. Dies war der Standard von Universal Analytics. GA4 und die meisten modernen CMPs haben dies auf 13 Monate korrigiert. Die tatsächliche Konfiguration der gesetzten Cookies überprüfen.
Cookie-Dauer und Datenspeicherung verwechseln. Dies sind zwei unterschiedliche Parameter: einer betrifft die Datei auf dem Gerät, der andere die Daten auf den Servern des Anbieters.
Einwilligung nach 6 Monaten nicht erneuern. Das Banner muss nach 6 Monaten für Nutzerinnen und Nutzer, die eingewilligt haben, erneut erscheinen. Die Konfiguration der CMP überprüfen.
Allen Cookies dieselbe Dauer zuweisen. Funktionale Cookies sollten die technisch kürzest mögliche Dauer haben. Reichweitenmessungs-Cookies dürfen 13 Monate nicht überschreiten.
Dauern nicht in der Cookie-Richtlinie dokumentieren. Die Cookie-Richtlinie muss die Dauer jedes Cookies oder jeder Kategorie explizit nennen. Dies ist eine Anforderung der Datenschutzbehörden und der DSGVO.
Checkliste Cookie-Speicherdauer
- Alle aktiven Cookies auf der Website prüfen und ihre tatsächliche Ablaufdauer notieren (DevTools oder Scanner).
- Sicherstellen, dass Analyse- und Werbe-Cookies 13 Monate nicht überschreiten.
- Den Einwilligungs-Cookie der CMP auf maximal 12 bis 13 Monate konfigurieren.
- Automatische Einwilligungserneuerung nach 6 Monaten in der CMP für zustimmende Nutzer aktivieren.
- Die Datenspeicherdauer in Google Analytics prüfen (auf maximal 14 Monate oder weniger einstellen).
- Cookie-Richtlinie mit genauen Dauern oder Bereichen nach Kategorie aktualisieren.
- Begründungen für die gewählten Dauern im Verzeichnis der Verarbeitungstätigkeiten dokumentieren.
- Dauern nach jeder CMP- oder Analytics-Tool-Aktualisierung überprüfen.
- Website unter /de/scan scannen, um Cookies zu identifizieren, deren Dauer die Empfehlung überschreitet.
Die Behördenregeln zur Cookie-Speicherdauer sind nicht komplex, erfordern aber eine explizite Konfiguration der CMP und jedes Analytics-Tools. Die maximale Dauer von 13 Monaten für Cookies und 6 Monaten für die Gültigkeit der Einwilligung sind die zwei wichtigsten Parameter. Scannen Sie Ihre Website unter /de/scan, um die tatsächlichen Dauern Ihrer aktiven Cookies zu überprüfen.
Häufig gestellte Fragen
Was ist die 13-Monats-Regel für Cookies?
Die französische Datenschutzbehörde CNIL verlangt, dass die Cookie-Einwilligung mindestens alle 13 Monate erneuert wird. Wenn ein Nutzer vor 13 Monaten Cookies akzeptiert hat und seitdem das Einwilligungsbanner nicht mehr gesehen hat, gilt seine Einwilligung als abgelaufen und muss erneut eingeholt werden. Diese Regel soll sicherstellen, dass die Einwilligung aktuell bleibt und die tatsächlichen Präferenzen des Nutzers widerspiegelt.
Gilt die 13-Monats-Regel für alle Cookies?
Die 13-Monats-Regel betrifft speziell die Erneuerung der Einwilligung. Sie gilt für alle einwilligungspflichtigen Cookies, d.h. analytische und Werbe-Cookies. Unbedingt notwendige Cookies (die für den Betrieb der Website wesentlich sind) benötigen keine Einwilligung und unterliegen daher nicht dieser Beschränkung. Die technische Speicherdauer von Cookies ist von der Einwilligungserneuerungsfrist zu unterscheiden.
Wie implementiere ich die 13-Monats-Erneuerung technisch?
Ihre CMP (Consent-Management-Plattform) sollte das Einwilligungsdatum jedes Nutzers zusammen mit seiner Wahl speichern. Wenn ein wiederkehrender Nutzer Ihre Website besucht, prüft die CMP, ob 13 Monate seit seiner letzten Einwilligung vergangen sind. Falls ja, zeigt sie das Banner erneut an, um eine neue Einwilligung einzuholen. Die meisten konformen CMPs handhaben dies automatisch, aber es lohnt sich zu überprüfen, ob dieser Mechanismus korrekt konfiguriert ist.
Gilt die 13-Monats-Regel europaweit oder nur in Frankreich?
Die 13-Monats-Regel ist spezifisch für die Leitlinien der französischen CNIL. Andere europäische Datenschutzbehörden können unterschiedliche Vorgaben haben: Einige empfehlen Erneuerungsfristen von 6 oder 12 Monaten oder befassen sich mit anderen Aspekten der Einwilligungsdauer. Nach DSGVO lautet der allgemeine Grundsatz, dass die Einwilligung freiwillig, spezifisch, informiert und aktuell bleiben muss. Konsultieren Sie die Leitlinien der Behörde in Ihrem Niederlassungsland.
Welche Risiken bestehen, wenn die Einwilligung nach 13 Monaten nicht erneuert wird?
Die Nichterlangung der Einwilligung nach 13 Monaten stellt einen Verstoß gegen die CNIL-Leitlinien dar und könnte im Falle einer Kontrolle oder Beschwerde zu einer formellen Mahnung oder finanziellen Sanktion führen. Allgemeiner gesagt, verletzt die Verwendung von Cookies auf Basis einer abgelaufenen Einwilligung den DSGVO-Grundsatz der wirksamen Einwilligung. Es handelt sich daher sowohl um ein rechtliches als auch um ein Reputationsrisiko, insbesondere im Kontext einer zunehmenden regulatorischen Durchsetzung.