Erhalten Sie exklusive Einblicke in Datenschutzgesetze, Compliance-Strategien und Produkt-Updates direkt in Ihren Posteingang
Hier ist die direkte Antwort: Die DSGVO legt nicht fest, wie lange eine Einwilligung gilt. Kein Artikel setzt eine 12-Monats-Frist. Kein Erwägungsgrund schreibt ein Erneuerungsintervall vor. Die Verordnung schweigt zur Dauer.
Hier ist die direkte Antwort: Die DSGVO legt nicht fest, wie lange eine Einwilligung gilt. Kein Artikel setzt eine 12-Monats-Frist. Kein Erwägungsgrund schreibt ein Erneuerungsintervall vor. Die Verordnung schweigt zur Dauer.
„Keine feste Regel" bedeutet jedoch nicht „Einwilligung gilt ewig." Dieselben DSGVO-Grundsätze, die definieren, was eine Einwilligung überhaupt gültig macht — spezifisch, informiert, freiwillig, den aktuellen Nutzerwillen widerspiegelnd — bestimmen auch, wann sie abläuft. Die Frage der Dauer ist untrennbar mit den Fragen nach Zweck und Kontext verbunden. Wenn sich diese wesentlich ändern, ist die ursprüngliche Einwilligung möglicherweise nicht mehr gültig, unabhängig davon, wie kürzlich sie erteilt wurde. Wenn sich weder Zweck noch Kontext ändern, kann eine vor zwei Jahren eingeholte Einwilligung noch immer belastbar sein. Wenn beides stabil ist, aber eine lange Zeit vergangen ist, hat die Artikel-29-Datenschutzgruppe (heute EDSA) empfohlen, die Einwilligung „in angemessenen Abständen" aufzufrischen — und mehrere nationale Datenschutzbehörden haben diese Empfehlung in konkrete Zeitrahmen übersetzt.
DSGVO Artikel 7 regelt die Bedingungen für die Einwilligung. Er verlangt, dass der Verantwortliche nachweisen kann, dass die betroffene Person eingewilligt hat; dass Einwilligungen, die schriftlich erteilt werden, in verständlicher Form vorgelegt werden; dass der Widerruf jederzeit möglich ist und so einfach wie die Erteilung; und dass die Rechtmäßigkeit der auf die Einwilligung gestützten Verarbeitung bis zum Zeitpunkt des Widerrufs unberührt bleibt.
Was Artikel 7 nicht tut: Er definiert keine Höchstdauer. Er schreibt keine Erneuerungsintervalle vor. Er setzt keine Ablaufuhr.
Die Grundlage für das Ablaufen der Einwilligung liegt woanders: in Artikel 4 Absatz 11, der verlangt, dass Einwilligung „spezifisch" und „informiert" ist, und in Erwägungsgrund 32, der bestätigt, dass Einwilligung den aktuellen Willen der betroffenen Person widerspiegeln muss. Eine Einwilligung, die vor einem Jahr erteilt wurde, als Ihre Website drei Analyse-Cookies verwendete, deckt nicht automatisch die zwölf Analyse- und Werbe-Cookies ab, die Sie seitdem hinzugefügt haben. Das Verarbeitungsumfeld, dem die betroffene Person zugestimmt hat, existiert nicht mehr — und damit auch nicht die Einwilligung selbst.
In der Praxis wird die meiste Leitlinien zu nationalen Datenschutzbehörden zur Erneuerung von Cookie-Einwilligungen im Rahmen nationaler Umsetzungen der ePrivacy-Richtlinie und nicht direkt unter der DSGVO herausgegeben, was die unten besprochenen 6-Monats- und 12-Monats-Empfehlungen ergibt.
Da die DSGVO keine Fristen setzt, haben nationale Datenschutzbehörden — insbesondere im Kontext der ePrivacy-Richtlinie für Cookies — spezifischere Orientierungswerte herausgegeben:
| Behörde | Empfohlene maximale Einwilligungsdauer | Anmerkungen |
|---|---|---|
| CNIL (Frankreich) | 13 Monate | Formal in CNIL-Leitlinien zu Cookies festgelegt; nach 13 Monaten muss erneut eingewilligt werden |
| DSK (Deutschland) | Keine feste Frist; regelmäßige Überprüfung empfohlen | Orientiert sich an EDSA-Leitlinien; praktisch werden 12 Monate als Maximum angesehen |
| Irische DPC | ~6 Monate für Analyse-Cookies | Praxisorientierte Empfehlung; strenger als die CNIL-Leitlinie |
| ICO (Vereinigtes Königreich) | Keine feste Frist; „angemessene Zeiträume" | UK-DSGVO folgt der EDSA-Rahmenempfehlung |
| EDSA (EU-weit) | Keine feste Frist; „angemessene Abstände" | WP29-Empfehlung, auf europäischer Ebene beibehalten |
Praxisorientierter Orientierungswert: Behandeln Sie jede Einwilligungsaufzeichnung, die älter als 12 Monate ist, als abgelaufen. Zeigen Sie zurückkehrenden Nutzern bei ihrer nächsten Sitzung erneut das Banner an. Dieser Ansatz entspricht dem strengsten national behördlichen Leitfaden (CNIL) und schafft eine verteidigbare Standardposition gegenüber allen EU-Aufsichtsbehörden.
Zeitbasierte Erneuerung ist nur ein Teil des Bildes. Einwilligung muss in jedem Fall neu eingeholt werden — unabhängig davon, wann sie zuletzt erteilt wurde — wenn eines der folgenden Ereignisse eintritt:
Neue Verarbeitungszwecke: Wenn Sie beginnen, Daten für einen Zweck zu verwenden, der nicht unter die ursprüngliche Einwilligung fällt — z. B. die Ausweitung von Analyse auf personalisierte Werbung — ist die ursprüngliche Einwilligung für diesen neuen Zweck nicht ausreichend. Eine neue, zweckspezifische Einwilligung ist erforderlich.
Neue Anbieter oder Datenempfänger: Ein Nutzer, der vor sechs Monaten Google Analytics zugestimmt hat, hat nicht LinkedIn Insight Tag, Microsoft Clarity oder einem neuen Retargeting-Anbieter zugestimmt, den Sie letzte Woche hinzugefügt haben. Jeder neue Datenempfänger, der einer Einwilligung bedarf, erfordert eine neue Einwilligung.
Wesentliche Aktualisierung des Datenschutzhinweises: Wenn sich die Bedingungen, unter denen die Einwilligung erteilt wurde — einschließlich der Beschreibung der Verarbeitungszwecke, der Anbieter oder der Datennutzung — wesentlich ändern, spiegelt die ursprüngliche Einwilligung nicht mehr das wider, womit der Nutzer tatsächlich einverstanden war.
Kategorieänderungen: Wenn Cookies, die zuvor als „funktional" kategorisiert waren, nun für Werbezwecke verwendet werden, oder wenn sich der Umfang einer Kategorie über das hinaus erweitert, was zum Zeitpunkt der Einwilligung offengelegt wurde.
Modell 1: Zeitbasierter Ablauf (empfohlen)
Legen Sie eine maximale Einwilligungsdauer in Ihrem CMP fest — typischerweise 6 oder 12 Monate — nach der zurückkehrenden Nutzern automatisch erneut das Banner angezeigt wird. Dies ist das einfachste Modell und entspricht der nationalen DPA-Leitlinie.
Modell 2: Ereignisgesteuerte Erneuerung
Lösen Sie eine Erneuerung aus, wenn ein definierendes Ereignis eintritt: wesentliche Konfigurationsänderung, neue Anbieter hinzugefügt, Datenschutzhinweis aktualisiert. Dieses Modell ist präziser, erfordert jedoch robuste CMP-Versionsverwaltung und Konfigurations-Tracking.
Modell 3: Kombiniertes Modell (beste Praxis)
Kombinieren Sie zeitbasierten Ablauf mit ereignisgesteuerter Erneuerung. Einwilligung läuft nach 12 Monaten ab und wird auch dann erneut eingeholt, wenn eine wesentliche Konfigurationsänderung eintritt — je nachdem, was früher kommt. Dies bietet die umfassendste Compliance-Abdeckung.
Die technische Implementierung des Einwilligungsablaufs dreht sich um die Felder Version und Zeitstempel in der Einwilligungsaufzeichnung. Jedes von einem CMP gespeicherte Einwilligungsereignis sollte enthalten:
Die CMP-Logik für zurückkehrende Nutzer sollte diese drei Felder auswerten: Ist der Zeitstempel älter als die konfigurierte Ablaufgrenze? Stimmt die Konfigurationsversion mit der aktuellen überein? Wenn entweder die Einwilligung abgelaufen ist oder die Konfiguration sich geändert hat, wird das Banner beim nächsten Seitenaufruf erneut angezeigt.
Kritische Implementierungsdetail: Wenn Ihr CMP so konfiguriert ist, dass nach sechs Monaten Erneuerungsbanner angezeigt werden, das Einwilligungs-Cookie aber eine zwölfmonatige Lebensdauer hat, werden zurückkehrende Nutzer, deren Einwilligung logisch abgelaufen ist, das Banner nicht sehen, weil der browserseitige Eintrag noch gültig erscheint. Die Cookie-Lebensdauer und die systemseitige Ablauflogik müssen synchronisiert sein.
Einwilligung als unbefristet zu behandeln schafft drei überlagernde Compliance-Risiken:
Regulatorisches Risiko: Wenn Ihre Einwilligungsaufzeichnungen ein Jahr alt sind und Ihr Verarbeitungsumfeld sich geändert hat — neue Cookies, neue Anbieter, aktualisierte Zwecke — deckt die alte Einwilligung die aktuelle Verarbeitung nicht ab. Dies ist ein dokumentiertes Durchsetzungsmuster; es ist keine theoretische Lücke.
Beweisrisiko: Im Fall einer Aufsichtsbehördenanfrage müssen Sie nachweisen, dass die vorgelegte Einwilligungsaufzeichnung der Verarbeitung entspricht, die tatsächlich stattgefunden hat. Eine alte Aufzeichnung, die eine andere Bannerkonfiguration, andere Anbieter oder andere Zwecke als die aktuell eingesetzten widerspiegelt, beweist das Gegenteil von dem, was Sie nachweisen wollen.
Vertrauensrisiko: Nutzer, die nicht wissen, dass ihre Datenpräferenzen seit zwei Jahren nicht überprüft wurden, könnten überrascht sein, wenn sie herausfinden, was in dieser Zeit verarbeitet wurde. Das ist der Reputationsschaden, der oft kostspieliger ist als das Bußgeld.
Cookie-Lebensdauer mit Einwilligungsdauer verwechseln: Die Lebensdauer eines Cookies (wie lange er im Browser des Nutzers gespeichert wird) ist nicht dasselbe wie die Gültigkeitsdauer der Einwilligung. Ein Cookie mit einer 2-Jahres-Lebensdauer bedeutet nicht, dass die Einwilligung 2 Jahre lang gültig ist.
Nur auf Widerruf warten: Einige Organisationen behandeln Einwilligung als gültig, bis ein Nutzer aktiv widerruft. Dies ignoriert die ereignisgesteuerten Auslöser für Erneuerung — neue Anbieter, neue Zwecke — und das zeitbasierte Ablaufrisiko.
Eine Einwilligung für alle Zwecke: Eine einzige allgemeine Einwilligung für „alle Cookies" zu erneuern, ohne granulare Zweckkategorien anzuzeigen, verstößt gegen das Spezifizitätserfordernis des Artikels 4 Absatz 11. Erneuerungsbanner müssen dieselbe Granularität bieten wie der ursprüngliche Banner.
Keine Versionsverwaltung des Banners: Ohne CMP-Versionsverwaltung können Sie nicht nachweisen, welche Bannerkonfiguration einem Nutzer zu einem bestimmten Zeitpunkt angezeigt wurde. Dies macht Ihre Einwilligungsaufzeichnungen im Falle einer Durchsetzungsanfrage nicht verteidigungsfähig.
Muss ich alle Nutzer um erneute Einwilligung bitten, wenn ich einen neuen Cookie hinzufüge?
Ja, wenn der neue Cookie einer Einwilligung bedarf und unter eine Kategorie fällt, die über das hinausgeht, was im ursprünglichen Banner offengelegt wurde. Ein neuer Analyse-Cookie unter einer bestehenden Analysekategorie erfordert möglicherweise keine sofortige Erneuerung für Nutzer, die bereits in diese Kategorie eingewilligt haben — sofern der Cookie innerhalb des offengelegten Umfangs liegt. Ein neuer Werbecookie erfordert eine Erneuerung bei Nutzern, die zwar Analyse genehmigt, Werbung aber abgelehnt haben.
Was passiert mit der Datenverarbeitung, wenn eine Einwilligung abläuft?
Wenn eine zeitbasierte Einwilligung abläuft und der Nutzer keine erneute Einwilligung erteilt hat, gibt es keine gültige Rechtsgrundlage mehr für die einwilligungspflichtige Verarbeitung. Nicht-essentielle Cookies sollten gesperrt werden, bis eine neue Einwilligung eingeholt wird. Dies ist der Standardzustand: Blockieren bis zur Zustimmung, nicht Verarbeiten bis zum Widerruf.
Können wir Einwilligungserneuerungen durch E-Mail vermeiden?
Nein. Einwilligungserneuerungen für Cookies und website-basiertes Tracking müssen im Kontext der Website stattfinden, wo der ursprüngliche Banner erschien. Eine E-Mail, die um Erneuerung der Einwilligung für website-basiertes Tracking bittet, ist kein gültiger Erneuerungsmechanismus.
Wie sollten wir mit Nutzern umgehen, die bei der Erneuerung ablehnen?
Genau wie bei der ursprünglichen Ablehnung: Nicht-essentielle Verarbeitung einstellen, nur strikt notwendige Cookies setzen und das Nutzererlebnis entsprechend anpassen. Das Präferenzcenter sollte es dem Nutzer weiterhin ermöglichen, seine Entscheidung zu überdenken.
Explore more privacy compliance insights and best practices
