Cookie-Laufzeiten: Die CNIL 13-Monats-Regel und Forever-Cookies
Wie lange dürfen Cookies gespeichert werden? Die CNIL empfiehlt maximal 13 Monate. Erfahre, was das bedeutet und wie du Forever-Cookies erkennst.
Viele Website-Betreiber kümmern sich sorgfältig um den Cookie-Banner, vergessen aber einen entscheidenden Aspekt: Wie lange bleiben die Cookies eigentlich auf dem Gerät des Nutzers? Die französische Datenschutzbehörde CNIL hat dazu klare Empfehlungen veröffentlicht, die auch in Deutschland als Orientierung dienen. Und auf vielen Websites finden sich immer noch sogenannte “Forever-Cookies” — Cookies mit Laufzeiten von mehreren Jahren.
In diesem Artikel erklären wir die CNIL-Empfehlungen, warum Cookie-Laufzeiten ein DSGVO-Thema sind und wie du deine Website prüfst.
Warum Cookie-Laufzeiten relevant sind
Die DSGVO verlangt in Art. 5 Abs. 1 lit. e die “Speicherbegrenzung”: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Zweck notwendig ist. Cookies, die personenbezogene Daten enthalten oder das Nutzerverhalten tracken, fallen unter dieses Prinzip.
Zusätzlich verlangt Art. 13 Abs. 2 lit. a DSGVO, dass du die Speicherdauer in der Datenschutzerklärung angibst. Du musst also nicht nur wissen, welche Cookies deine Website setzt, sondern auch wie lange sie gespeichert werden.
Die CNIL 13-Monats-Empfehlung
Die CNIL (Commission Nationale de l’Informatique et des Libertés) hat in ihren Leitlinien zu Cookies und Trackern eine klare Empfehlung ausgesprochen:
Consent-Cookie: Maximal 6 Monate
Das Cookie, das die Einwilligung oder Ablehnung des Nutzers speichert, sollte maximal 6 Monate gültig sein. Danach muss der Nutzer erneut gefragt werden. Die Logik: Nach einem halben Jahr kann sich die Tracker-Landschaft auf der Website geändert haben, und der Nutzer sollte die Möglichkeit bekommen, seine Entscheidung auf Basis der aktuellen Situation zu treffen.
In der Praxis: Viele CMPs (Consent Management Platforms) setzen das Consent-Cookie standardmäßig auf 12 Monate. Das ist zwar noch vertretbar, aber 6 Monate sind die strengere und sicherere Empfehlung.
Tracking-Cookies: Maximal 13 Monate
Cookies, die für Tracking und Analytics eingesetzt werden, sollten eine maximale Lebensdauer von 13 Monaten haben. Diese Empfehlung gilt ab dem Zeitpunkt, an dem das Cookie gesetzt wird — nicht ab dem letzten Besuch.
Wichtig: Die 13 Monate sind eine Obergrenze. Für viele Cookies ist eine kürzere Laufzeit angemessener:
| Cookie-Typ | Empfohlene Laufzeit |
|---|---|
| Session-Cookies | Bis zum Schließen des Browsers |
| Consent-Cookie | 6 Monate |
| Analytics-Cookies | 13 Monate |
| Marketing-Cookies | 13 Monate |
| A/B-Test-Cookies | Dauer des Tests |
| Warenkorb-Cookies | 30 Tage |
| Spracheinstellung | 12 Monate |
Kein automatisches Erneuern
Ein weiterer wichtiger Punkt: Die Lebensdauer eines Cookies sollte bei jedem erneuten Besuch nicht automatisch verlängert werden. Wenn ein Analytics-Cookie beim ersten Besuch für 13 Monate gesetzt wird, sollte es nach 13 Monaten ablaufen — auch wenn der Nutzer die Website in der Zwischenzeit mehrmals besucht hat.
In der Praxis erneuern viele Tracking-Scripts ihre Cookies bei jedem Seitenaufruf. Google Analytics beispielsweise setzt den _ga-Cookie standardmäßig auf 2 Jahre und erneuert ihn bei jedem Besuch. Das bedeutet: Bei regelmäßigen Besuchern läuft das Cookie faktisch nie ab.
Was sind Forever-Cookies?
Als “Forever-Cookies” werden Cookies mit einer unrealistisch langen Lebensdauer bezeichnet. Technisch gibt es keine Begrenzung — ein Cookie kann auf 100 Jahre gesetzt werden. Typische Beispiele:
_ga(Google Analytics): Standardmäßig 2 Jahre, wird bei jedem Besuch erneuert_fbp(Facebook Pixel): 3 Monate, aber_fbckann bis zu 2 Jahre gespeichert werdenli_fat_id(LinkedIn): 30 Tage, aber das LinkedIn Insight Tag setzt weitere langlebige Cookies- Werbe-Netzwerk-Cookies: Manche Ad-Tech-Anbieter setzen Cookies mit Laufzeiten von 5+ Jahren
Forever-Cookies widersprechen dem Grundsatz der Speicherbegrenzung. Und sie sind ein Zeichen dafür, dass die Cookie-Konfiguration nicht bewusst gewählt wurde, sondern einfach die Standardwerte des Anbieters übernommen wurden.
Warum die CNIL-Regel auch in Deutschland relevant ist
Die CNIL ist eine französische Behörde, und ihre Empfehlungen sind formal nur für Frankreich bindend. Aber:
- Die DSGVO gilt europaweit: Das Prinzip der Speicherbegrenzung (Art. 5) ist in allen EU-Ländern gleich.
- Deutsche Behörden orientieren sich an CNIL: Die Datenschutzkonferenz (DSK) und Landesbeauftragte zitieren regelmäßig CNIL-Empfehlungen als Best Practice.
- Marktortprinzip: Wenn deine Website französische Nutzer hat, gelten die CNIL-Regeln direkt.
- Rechtssicherheit: Wer sich an die strengeren CNIL-Empfehlungen hält, ist auf der sicheren Seite — auch vor deutschen Behörden.
So prüfst du Cookie-Laufzeiten
Manuell im Browser
- Website aufrufen und alle Cookies akzeptieren
- Browser-DevTools öffnen (F12)
- Tab “Application” (Chrome) oder “Storage” (Firefox) wählen
- Unter “Cookies” alle gesetzten Cookies mit Ablaufdatum sehen
- Laufzeiten notieren und mit der Datenschutzerklärung abgleichen
Worauf du achten solltest
- Kein Cookie hat eine Laufzeit von mehr als 13 Monaten
- Session-Cookies haben kein festes Ablaufdatum (Session only)
- Das Consent-Cookie läuft nach maximal 6-12 Monaten ab
- Analytics-Cookies werden bei Besuchern nicht automatisch verlängert
- Alle Cookie-Laufzeiten sind in der Datenschutzerklärung korrekt dokumentiert
- Third-Party-Cookies mit überlangen Laufzeiten sind identifiziert und dokumentiert
Checkliste: Cookie-Laufzeiten optimieren
- Vollständige Cookie-Inventur durchführen (alle Cookies mit Name, Anbieter, Laufzeit)
- Laufzeiten auf maximal 13 Monate begrenzen (wo konfigurierbar)
- Consent-Cookie auf 6 Monate setzen
- Google Analytics Cookie-Laufzeit in GA4 auf 2 Monate konfigurieren
- Automatisches Erneuern von Tracking-Cookies deaktivieren (wo möglich)
- Cookie-Tabelle in der Datenschutzerklärung mit korrekten Laufzeiten pflegen
- Regelmäßig prüfen, ob neue Cookies mit langen Laufzeiten hinzugekommen sind
- Forever-Cookies von Drittanbietern identifizieren und dokumentieren
Cookie-Laufzeiten mit Compliso überwachen
Der Compliso Scanner erkennt automatisch alle Cookies auf deiner Website und dokumentiert ihre Laufzeiten. Dabei werden gezielt problematische Muster erkannt:
- Überlange Laufzeiten: Cookies mit mehr als 13 Monaten Lebensdauer werden markiert
- Forever-Cookies: Cookies mit Laufzeiten von mehreren Jahren werden als Risiko eingestuft
- Fehlende Dokumentation: Abgleich der gefundenen Cookies mit den Angaben in der Datenschutzerklärung
- Neue Cookies: Bei regelmäßigen Scans werden neu hinzugekommene Cookies erkannt und gemeldet
So behältst du den Überblick über alle Cookies auf deiner Website — auch wenn sich die Tracker-Landschaft verändert.
Erfahre mehr über den Compliso Cookie-Scanner oder scanne deine Website jetzt kostenlos und erfahre, ob Forever-Cookies auf deiner Seite lauern.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.