Zurück zur Übersicht
Consent-LogEinwilligungDSGVO

Consent-Log: Wie lange muss ich Cookie-Einwilligungen aufbewahren?

Wer Cookies auf eine Einwilligung stützt, muss sie nachweisen können — ohne Consent-Log steht die Behauptung gegen das Wort des Besuchers. Was ins Protokoll gehört, warum es keine gesetzliche Aufbewahrungsfrist gibt und welche Leitplanken die Dauer trotzdem klar eingrenzen.

Aiara Team··8 Min. Lesezeit
Consent-Log: Wie lange muss ich Cookie-Einwilligungen aufbewahren?

«Können Sie belegen, dass dieser Besucher dem Marketing-Cookie zugestimmt hat?» Wenn diese Frage kommt — von einer Aufsichtsbehörde, einem Anwalt oder einer betroffenen Person im Auskunftsbegehren —, entscheidet ein einziges Dokument über Ihre Position: das Consent-Log. Wer Cookie-Einwilligungen sauber dokumentiert, beantwortet die Frage in Minuten. Wer nur ein Banner betreibt, aber nichts protokolliert, steht mit leeren Händen da.

Die häufigste Anschlussfrage lautet: Wie lange müssen diese Protokolle aufbewahrt werden? Die ehrliche Antwort vorweg: Eine gesetzliche Frist gibt es nicht. Was stattdessen gilt, welche Leitplanken die Aufbewahrungsdauer bestimmen und was ein Consent-Log enthalten muss, damit es im Ernstfall trägt — der Überblick.

Was ist ein Consent-Log — und wozu braucht es das?

Ein Consent-Log ist das fortlaufende Protokoll aller Einwilligungen und Widerrufe, die Besucher über Ihr Cookie-Banner erteilen — Ihr Beweismittel für den Fall, dass Sie eine Einwilligung nachweisen müssen.

Die Pflicht dazu steht in der europäischen Datenschutz-Grundverordnung (DSGVO) schwarz auf weiss: Nach Art. 7 Abs. 1 muss der Verantwortliche «nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat». Wer Tracking auf eine Einwilligung stützt, ohne sie zu dokumentieren, verletzt diese Nachweispflicht — unabhängig davon, wie korrekt das Banner gestaltet ist. Dazu kommt die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO: Die Einhaltung der Grundsätze müssen Sie nicht nur sicherstellen, sondern belegen können.

Das Schweizer Bundesgesetz über den Datenschutz (DSG) kennt dagegen keine ausdrückliche Consent-Log-Pflicht. Daraus zu schliessen, die Dokumentation sei in der Schweiz freiwillig, wäre trotzdem ein Fehlschluss: Wer eine Datenbearbeitung auf eine Einwilligung stützt, trägt im Streitfall die Beweislast dafür, dass sie erteilt wurde — das folgt aus dem allgemeinen Beweisrecht. Ohne Protokoll bleibt nur die Behauptung. Was das Gesetz sonst verlangt, fasst unser Ratgeber zum Datenschutzgesetz zusammen. Und sobald Ihre Website Besucher aus dem EU-Raum anspricht, gilt die DSGVO-Nachweispflicht ohnehin direkt.

Was gehört in ein Consent-Log?

Ein belastbares Consent-Log beantwortet vier Fragen: Wer hat wann worin eingewilligt — und auf welcher Grundlage? Konkret gehören fünf Angaben in jeden Eintrag:

  • Zeitstempel — Datum und Uhrzeit der Entscheidung, sekundengenau.
  • Consent-Version — welcher Bannertext, welche Zwecke und welche Dienste galten im Moment der Einwilligung? Ändert sich das Banner, muss nachvollziehbar bleiben, worauf sich ältere Einwilligungen bezogen.
  • Kategorien-Auswahl — was genau wurde akzeptiert oder abgelehnt: alles, nur Statistik, nur Marketing? Ein pauschales «hat zugestimmt» genügt nicht, wenn das Banner eine differenzierte Auswahl anbietet.
  • Pseudonymisierte Kennung — eine zufällige Besucher-ID oder eine gehashte IP-Adresse, damit sich der Eintrag einer Person zuordnen lässt. Die IP-Adresse im Klartext hat im Consent-Log nichts verloren: Sie wäre selbst ein Personendatum, dessen Vorratsspeicherung mehr Risiko schafft als Nutzen — Datensparsamkeit gilt auch für Beweismittel.
  • Widerrufe und Änderungen — jede spätere Anpassung der Auswahl als neuer Eintrag, damit die Historie lückenlos bleibt.

Ein Screenshot des Banners ersetzt das alles nicht: Er zeigt, was Besucher gesehen haben, aber nicht, was ein einzelner Besucher entschieden hat. Wer eine Cookie-Einwilligung dokumentieren will, braucht das Protokoll pro Entscheidung — der Screenshot ist nur die sinnvolle Beilage dazu.

Wie lange müssen Cookie-Einwilligungen aufbewahrt werden?

Die kurze, ehrliche Antwort: Weder das DSG noch die DSGVO nennen eine fixe Aufbewahrungsfrist für Consent-Logs. Wer Ihnen «gesetzlich vorgeschriebene fünf Jahre» oder eine andere Zahl als Pflicht verkauft, verkauft eine Erfindung. Statt einer Frist gibt es zwei Leitplanken, aus denen sich die Dauer ableitet.

Leitplanke 1: Solange die Bearbeitung auf der Einwilligung beruht. Der Nachweis muss verfügbar sein, solange Sie sich auf die Einwilligung stützen — also solange die Cookies gesetzt werden und die damit verbundene Datenbearbeitung läuft. Ein Log zu löschen, während das Tracking weiterläuft, wäre widersprüchlich: Genau dann brauchen Sie den Beleg.

Leitplanke 2: Solange Ansprüche geltend gemacht werden können. Auch nach dem Ende der Bearbeitung kann eine betroffene Person klagen oder eine Behörde prüfen. Eine Orientierung bieten die allgemeinen Verjährungsregeln: In der Schweiz verjähren ausservertragliche Ansprüche je nach Konstellation drei Jahre nach Kenntnis, absolut nach zehn Jahren; in Deutschland wird häufig die dreijährige Regelverjährung als Anhaltspunkt genannt. Das sind Orientierungsgrössen aus dem Haftungsrecht — keine Datenschutz-Fristen.

In der Praxis läuft das meist auf eine Aufbewahrung von wenigen Jahren hinaus; verbreitet sind Modelle, die Detaildaten zwei bis drei Jahre im direkten Zugriff halten und danach archivieren. Wichtig ist die Einordnung: Das sind Praxiswerte, abgeleitet aus Verjährung und Verhältnismässigkeit — keine gesetzlichen Vorgaben.

Und die Gegenrichtung gilt genauso: Consent-Logs ewig aufzubewahren, ist keine Sicherheitsreserve, sondern ein eigenes Problem. Auch das Log enthält Personendaten, und die Grundsätze der Verhältnismässigkeit und der Speicherbegrenzung gelten für Beweismittel genauso. Wer zehn Jahre alte Detail-Logs hortet, für die er keinen Aufbewahrungsgrund mehr nennen kann, verletzt genau die Prinzipien, deren Einhaltung das Log beweisen soll. Die Balance: Detaildaten so lange, wie sich die Aufbewahrung begründen lässt, danach löschen oder verdichtet archivieren — und die gewählte Frist samt Begründung intern festhalten. Eine dokumentierte, begründete Entscheidung überzeugt eine Behörde mehr als jede pauschale Zahl.

Widerruf und Re-Consent: Was das Log zusätzlich abbilden muss

Ein Consent-Log, das nur Zustimmungen kennt, ist die halbe Dokumentation — genauso wichtig ist der Nachweis, dass Widerrufe funktionieren und respektiert wurden.

Die DSGVO verlangt in Art. 7 Abs. 3, dass der Widerruf so einfach ist wie die Erteilung. Für das Log heisst das: Ruft ein Besucher die Cookie-Einstellungen erneut auf und deaktiviert eine Kategorie, entsteht ein neuer Eintrag mit Zeitstempel. Erst die Kette «Einwilligung am 5. März, Widerruf am 12. Juni» belegt, dass Ihr System Widerrufe technisch umsetzt — und ab wann Sie welche Cookies nicht mehr setzen durften.

Der zweite Fall ist der Re-Consent: Binden Sie neue Dienste ein oder erweitern Sie die Zwecke — etwa um ein zusätzliches Marketing-Tool —, deckt die alte Einwilligung die neue Bearbeitung nicht ab. Das Banner muss erneut fragen. Für das Log bedeutet das zweierlei: Die neue Einwilligung wird mit der neuen Consent-Version protokolliert, und die alten Einträge bleiben erhalten — sie belegen weiterhin, dass die frühere Bearbeitung rechtmässig war. Rein kosmetische Änderungen wie Farben oder eine sprachliche Glättung ohne inhaltliche Auswirkung lösen dagegen keinen Re-Consent aus.

Consent-Log in der Praxis: Export, Archivierung, Anbieterwechsel

Drei Situationen entscheiden darüber, ob Ihr Consent-Log im Alltag wirklich trägt: die Prüfung, die Langzeit-Aufbewahrung und der Wechsel des Anbieters.

Export für Audits. Ob Datenschutzbehörde, Auditor oder Anwalt der Gegenseite: Verlangt jemand den Nachweis, brauchen Sie die Logs in einem lesbaren Format — als CSV-Datei oder Bericht, gefiltert nach Zeitraum und Domain. Ein Log, das nur in der Datenbank des Anbieters existiert und sich nicht exportieren lässt, ist im Ernstfall wertlos. Prüfen Sie den Export, bevor Sie ihn brauchen.

Archivierung statt Datenfriedhof. Auf gut besuchten Websites wachsen Detail-Logs schnell auf Hunderttausende Einträge. Für ältere Zeiträume genügt eine verdichtete Form: periodische Exporte plus aggregierte Statistiken, während die Detaildaten aus der aktiven Datenbank gelöscht werden. Das hält das System schlank und setzt die Speicherbegrenzung um, ohne den Nachweis aufzugeben.

Anbieterwechsel. Der kritischste Moment im Lebenszyklus eines Consent-Logs: Kündigen Sie Ihr Consent-Tool, verschwinden mit dem Konto meist auch die Logs — und damit der Nachweis für die gesamte bisherige Laufzeit. Exportieren Sie deshalb sämtliche Consent-Logs, bevor Sie den alten Vertrag beenden, und archivieren Sie die Exporte intern. Worauf beim Umstieg sonst zu achten ist, zeigt unser Wechsel-Guide.

Wie Aiara das Consent-Log führt

Bei Aiara ist das Consent-Log kein Zusatzmodul, sondern Teil jeder Banner-Installation — mit den Punkten aus diesem Artikel als Voreinstellung statt als Option.

Jede Entscheidung eines Besuchers wird serverseitig protokolliert: Zeitstempel, gewählte Kategorien, Art der Aktion und die aufgerufene Seite. Die IP-Adresse speichert Aiara dabei nie im Klartext, sondern ausschliesslich als SHA-256-Hash mit geheimem Schlüssel — die pseudonymisierte Kennung aus dem Kapitel oben. Widerrufe und geänderte Auswahlen erzeugen neue Einträge, die Historie bleibt lückenlos.

Für die Aufbewahrung sorgt eine automatische Archivierung: Detail-Einträge werden nach 24 Monaten in monatliche CSV-Archive überführt und zusätzlich als aggregierte Statistik gesichert; danach verschwinden sie aus der aktiven Datenbank. So bleibt der Nachweis erhalten, ohne dass ein Datenfriedhof entsteht. Für Audits und einen allfälligen Wechsel gilt: Die Logs gehören Ihnen und lassen sich jederzeit exportieren. Welche Daten dabei wo liegen, dokumentiert das Trust Center transparent.

Damit wird aus der Aufbewahrungsfrage das, was sie sein sollte: eine Abwägung, die Sie einmal begründet treffen — und die danach automatisiert läuft, statt eine offene Flanke zu bleiben.

Häufige Fragen

Gibt es eine gesetzliche Aufbewahrungsfrist für Cookie-Einwilligungen?

Nein. Weder das Schweizer Datenschutzgesetz noch die europäische Datenschutz-Grundverordnung nennen eine fixe Frist für Consent-Logs. Massgeblich sind zwei Leitplanken: Der Nachweis muss verfügbar sein, solange die Datenbearbeitung auf der Einwilligung beruht — und solange rechtliche Ansprüche denkbar sind, wofür die allgemeinen Verjährungsregeln eine Orientierung bieten. Verbreitete Praxismodelle halten Detaildaten zwei bis drei Jahre im Zugriff und archivieren danach; das ist eine begründete Abwägung, keine gesetzliche Vorgabe.

Muss die IP-Adresse im Consent-Log gespeichert werden?

Nein — und im Klartext sollte sie es auch nicht. Für den Nachweis genügt eine pseudonymisierte Kennung, etwa eine zufällige Besucher-ID oder eine gehashte IP-Adresse. Die Klartext-IP wäre selbst ein Personendatum und widerspricht der Datensparsamkeit: Das Consent-Log soll die Einhaltung des Datenschutzes beweisen, nicht neue Risiken schaffen.

Reicht ein Screenshot des Cookie-Banners als Nachweis?

Nein. Ein Screenshot belegt, wie das Banner aussah — aber nicht, dass ein bestimmter Besucher zu einem bestimmten Zeitpunkt eingewilligt hat. Für den Nachweis nach Art. 7 Abs. 1 der Datenschutz-Grundverordnung braucht es ein Protokoll pro Entscheidung: Zeitstempel, Kategorien-Auswahl, Consent-Version und eine pseudonymisierte Kennung. Als Ergänzung ist der Screenshot trotzdem sinnvoll, um das damalige Banner-Design zu dokumentieren.

Was passiert mit dem Consent-Log bei einem Anbieterwechsel?

Exportieren Sie sämtliche Logs, bevor Sie den alten Vertrag kündigen — mit der Kontolöschung sind die Daten beim bisherigen Anbieter in der Regel unwiederbringlich weg, und mit ihnen der Nachweis für die gesamte bisherige Laufzeit. Archivieren Sie die Exporte intern und prüfen Sie beim neuen Anbieter vor der Unterschrift, ob Export und Archivierung eingebaut sind.

Wann muss ich Besucher erneut um Einwilligung bitten?

Immer dann, wenn sich der Inhalt der Einwilligung ändert: neue Dienste, neue Zwecke oder neue Kategorien im Banner. Die alte Einwilligung deckt nur ab, was zum Zeitpunkt der Erteilung erkennbar war. Rein optische Anpassungen lösen dagegen keinen Re-Consent aus. Wichtig für das Log: Die neue Einwilligung wird mit neuer Consent-Version protokolliert, und die alten Einträge bleiben als Nachweis für die Vergangenheit erhalten.

Bereit für sauberen Cookie-Consent?

Aiara macht Cookie-Banner, Datenschutzerklärung und Impressum für Ihre Webseite — DSG- und DSGVO-konform.

Aiara entdecken