TL;DR
DSGVO und TTDSG schreiben keine universelle maximale Cookie-Laufzeit vor. Der BfDI und die europäischen Datenschutzbehörden empfehlen jedoch eine maximale Lebensdauer von 13 Monaten für Analyse- und Werbe-Cookies sowie eine maximale Einwilligungsgültigkeitsdauer von 6 Monaten. Die Dauer muss dem Zweck angemessen und in der Cookie-Richtlinie dokumentiert sein.
Welche Cookie-Laufzeiten gelten unter der DSGVO?
Cookie-Laufzeiten sind eine der häufigsten Compliance-Fragen. Die Verordnung legt keine universelle Maximaldauer fest, stellt aber einen klaren Grundsatz auf: Die Aufbewahrungsdauer muss dem Zweck des Cookies angemessen sein. Ein Cookie, das keinem Zweck mehr dient, sollte nicht mehr existieren.
Mehrere Rechtstexte regeln Cookie-Laufzeiten in Deutschland und Europa: die ePrivacy-Richtlinie (2002/58/EG), die DSGVO (Datensparsamkeitsgrundsatz, Artikel 5.1.e), das TTDSG sowie die Empfehlungen nationaler Aufsichtsbehörden (BfDI und Landesdatenschutzbehörden).
Empfehlungen der Datenschutzbehörden zur Cookie-Laufzeit
- Empfohlene Maximaldauer für Analyse- und Werbe-Cookies: 13 Monate.
- Über 13 Monate hinaus muss die Dauer begründet und verhältnismäßig sein.
- Session-Cookies (ohne feste Laufzeit) laufen beim Schließen des Browsers ab.
- Empfohlene maximale Gültigkeitsdauer der Einwilligung: 6 Monate.
- Nach Ablauf der Einwilligungsgültigkeit muss das Banner erneut erscheinen.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Laufzeiten nach Cookie-Kategorie
Technisch notwendige Cookies
Keine feste Obergrenze, aber die Dauer muss verhältnismäßig bleiben. Ein Authentifizierungssitzungs-Cookie läuft typischerweise beim Sitzungsende ab. Ein Sprachpräferenz-Cookie kann legitim 1 Jahr dauern. Diese Cookies benötigen keine Einwilligung, müssen aber in der Cookie-Richtlinie aufgeführt werden.
Analyse-Cookies
Empfohlene Maximaldauer: 13 Monate. Analysetools wie Google Analytics 4 oder Matomo verwenden Cookies mit unterschiedlichen Laufzeiten. GA4 verwendet _ga (standardmäßig 2 Jahre) und _ga_[ID] (2 Jahre). Diese Laufzeiten überschreiten die Empfehlung: Kürzere Laufzeiten müssen in den Tool-Einstellungen konfiguriert werden.
Werbe- und Retargeting-Cookies
Empfohlene Maximaldauer: 13 Monate. Werbe-Plattform-Cookies (Meta Pixel, Google Ads, LinkedIn Insight Tag) haben oft standardmäßige Laufzeiten von 1 bis 2 Jahren. Eine CMP verwaltet die Einwilligung für diese Cookies, kann aber die von Dritten festgelegten Laufzeiten nicht kontrollieren. Dokumentieren Sie sie in der Cookie-Richtlinie so, wie sie vom Dritten definiert sind.
Funktionale Cookies
Laufzeit je nach Zweck. Ein Warenkorb-Cookie kann legitim 30 Tage dauern. Ein Personalisierungs-Cookie kann bis zu 1 Jahr dauern. Die Regel: die für den deklarierten Zweck mindestens notwendige Dauer.
Einwilligungsgültigkeit und Cookie-Laufzeit sind verschieden
Dies ist eine häufige Verwechslung. Cookie-Lebensdauer und Einwilligungsgültigkeit sind zwei verschiedene Dinge.
Die Cookie-Lebensdauer ist der Zeitraum, in dem die Cookie-Datei auf dem Gerät des Nutzers gespeichert bleibt. Die Einwilligungsgültigkeit ist der Zeitraum, in dem die von der CMP aufgezeichnete Einwilligung ohne Erneuerung gültig bleibt.
Die empfohlene maximale Einwilligungsgültigkeit beträgt 6 Monate. Danach muss das Banner erneut erscheinen, um eine neue Einwilligung einzuholen.
Laufzeiten in der Praxis konfigurieren
Google Analytics 4 konfigurieren
GA4 ermöglicht die Verkürzung von Cookie-Laufzeiten in der Datenstrom-Konfiguration. Im GA4-Interface unter Verwaltung > Datenströme > Google Tag-Einstellungen > Einstellungen konfigurieren können kürzere Laufzeiten für cookie_expires_time festgelegt werden. Die Empfehlung ist, 13 Monate nicht zu überschreiten.
Ihre CMP konfigurieren
Eine CMP wie FlowConsent ermöglicht die Konfiguration der Einwilligungsgültigkeit (6 Monate empfohlen) und die automatische Verwaltung der Banner-Wiederanzeige. Die CMP zeichnet auch Zeitstempel, Version und Dauer jeder Einwilligung auf.
Laufzeiten in der Cookie-Richtlinie dokumentieren
Jedes in der Cookie-Richtlinie aufgeführte Cookie muss seine Aufbewahrungsdauer angeben. Diese Dokumentation ist zur Erfüllung der DSGVO-Transparenzanforderungen Pflicht.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Häufige Fehler bei Cookie-Laufzeiten
Standard-Laufzeiten von Drittanbieter-Tools beibehalten. Die meisten Tools (GA4, Meta Pixel, LinkedIn) verwenden Standardlaufzeiten von 1 bis 2 Jahren. Diese überschreiten oft die Empfehlungen. In jedem Tool manuell konfigurieren.
Cookie-Laufzeit und Einwilligungsgültigkeit verwechseln. Einwilligungsgültigkeit (max. 6 Monate) und Cookie-Lebensdauer (max. 13 Monate empfohlen) sind zwei getrennte Parameter. In CMP und Analysetools separat konfigurieren.
Laufzeiten nicht in der Cookie-Richtlinie angeben. Das Fehlen von Laufzeiten in der Cookie-Richtlinie verstößt gegen die Transparenzpflicht. Jedes Cookie muss mit seiner Lebensdauer aufgeführt werden.
Drittanbieter-Cookies eingebetteter Skripte vergessen. Manche Drittanbieter-Skripte (Widgets, Videoplayer, Share-Buttons) setzen Cookies mit eigenen, oft langen Laufzeiten. Regelmäßige Audits mit dem FlowConsent-Scanner identifizieren sie.
Einwilligung nie erneuern. Wenn die Einwilligung eingeholt, aber nie erneuert wird, schwächt die Rechtsgrundlage für die Verarbeitung im Laufe der Zeit. Die CMP muss das Banner alle 6 Monate für Nutzer, die bereits zugestimmt haben, erneut anzeigen.
Checkliste Cookie-Laufzeiten DSGVO-Konformität
- Die Lebensdauer jedes Cookies ist in der Cookie-Richtlinie dokumentiert.
- Analyse- und Werbelaufzeiten überschreiten nicht 13 Monate.
- Die Einwilligungsgültigkeit ist in der CMP auf maximal 6 Monate eingestellt.
- Das Banner erscheint automatisch bei der Einwilligungserneuerung.
- Session-Cookies laufen beim Schließen des Browsers ab.
- Standard-Laufzeiten von Drittanbieter-Tools wurden angepasst.
- Regelmäßige Audits der Drittanbieter-Cookies werden durchgeführt.
- Einwilligungsnachweise enthalten das Ablaufdatum der Einwilligung.
- Funktionale Cookies haben ihrem Zweck angemessene Laufzeiten.
- Kein Cookie wird über seinen deklarierten Zweck hinaus gespeichert.
Fazit
Cookie-Aufbewahrungsfristen sind kein technisches Detail, sondern eine Compliance-Pflicht gemäß dem DSGVO-Datensparsamkeitsgrundsatz. Die praktische Regel: maximal 13 Monate für Analyse- und Werbe-Cookies, maximal 6 Monate für die Einwilligungsgültigkeit.
Prüfen Sie die Cookies auf Ihrer Website und ihre Laufzeiten mit dem FlowConsent Cookie-Scanner.
Häufig gestellte Fragen
Was ist die maximal zulässige Cookie-Laufzeit gemäß DSGVO?
Die DSGVO schreibt keine gesetzliche Höchstlaufzeit für Cookies vor. Der BfDI und andere Behörden empfehlen jedoch maximal 13 Monate für Analysecookies und 6 Monate für Werbecookies. Die Laufzeit muss dem Zweck angemessen und gegenüber Aufsichtsbehörden begründbar sein.
Muss die Cookie-Laufzeit offengelegt werden?
Ja. Die DSGVO (Artikel 13) verpflichtet dazu, Nutzer über die Datenspeicherdauer zu informieren. Bei Cookies bedeutet dies, deren Ablaufdauer in der Cookie-Richtlinie und im Einwilligungsbanner anzugeben. Eine nicht kommunizierte Laufzeit stellt einen Verstoß gegen die Transparenzpflicht dar.
Kann die Cookie-Laufzeit automatisch erneuert werden?
Nicht ohne erneute Einwilligung. Wenn eine Seite neu geladen wird und die Cookie-Laufzeit ohne neue Nutzeraktion zurückgesetzt wird, kann dies als nicht konformes stillschweigendes Verlängern angesehen werden. Die Einwilligung muss regelmäßig erneuert werden (Empfehlung: alle 6 Monate).
Was ist der Unterschied zwischen Session-Cookies und persistenten Cookies?
Session-Cookies verfallen beim Schließen des Browsers und unterliegen in der Regel keiner Einwilligungspflicht, wenn sie technisch notwendig sind. Persistente Cookies bleiben bis zu ihrem Ablaufdatum auf dem Gerät. Ihre Laufzeit muss begründet und in der Cookie-Richtlinie angegeben werden.
Wie oft sollten Nutzer gebeten werden, ihre Cookie-Einwilligung zu erneuern?
Der BfDI empfiehlt, die Einwilligung alle 6 Monate zu erneuern. Andere europäische Behörden (ICO, EDPB) schreiben keine genaue Frequenz vor, geben aber an, dass die Einwilligung aktuell bleiben muss. FlowConsent verwaltet automatisch den Ablauf der Einwilligung und die Erneuerung des Banners.