Wie lange ist eine Einwilligung nach DSGVO gültig?

**Eine Zustimmung nach DSGVO ist nicht pauschal für eine feste Zeit gültig. Sie gilt nur so lange, wie sie für den konkreten Zweck noch informiert, aktuell und für die betroffene Person erwartbar ist; danach muss sie erneuert werden.** ([ico.org.uk](https://ico.org.uk/media/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/consent-1-0.pdf)) ## Entscheidend ist nicht die Zeit, sondern der Kontext Die DSGVO nennt keine starre Frist wie 6 Monate oder 2 Jahre. Maßgeblich ist, ob die Einwilligung noch zu genau der Verarbeitung passt, für die sie erteilt wurde, und ob sich Zweck, Umfang oder Umstände inzwischen geändert haben. ([ico.org.uk](https://ico.org.uk/media/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/consent-1-0.pdf)) Praktisch heißt das: Eine Einwilligung von vor Jahren kann noch wirksam sein, **muss es aber nicht**. Wenn du die Daten lange nicht genutzt hast oder die betroffene Person vernünftigerweise nicht mehr damit rechnen musste, dass ihre Daten noch auf dieser Grundlage verarbeitet werden, wird die Einwilligung angreifbar. Genau darauf weist auch die Datenschutzkonferenz hin. ([lfd.niedersachsen.de](https://www.lfd.niedersachsen.de/download/137645/Orientierungshilfe_zur_Verarbeitung_von_personenbezogenen_Daten_fuer_Zwecke_der_Direktwerbung.pdf)) ## Wann eine Einwilligung neu eingeholt werden sollte Neu einholen musst du sie vor allem dann, wenn sich der Zweck ändert, zusätzliche Verarbeitungen hinzukommen, die Informationen bei der Einwilligung nicht mehr aktuell sind oder die Einwilligung über längere Zeit „ungenutzt“ blieb. Auch bei Kindern kann eine frühere Einwilligung schneller überprüfungsbedürftig sein. ([ico.org.uk](https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/consent/how-should-we-obtain-record-and-manage-consent/?q=profiling)) Ein häufiger Fehler ist die Annahme: „Einmal unterschrieben, immer gültig.“ Genau das ist datenschutzrechtlich zu kurz gedacht. Eine alte Einwilligung verliert nicht automatisch an einem Stichtag ihre Wirkung, aber sie kann faktisch unwirksam werden, wenn Transparenz und Erwartbarkeit nicht mehr gegeben sind. ([lfd.niedersachsen.de](https://www.lfd.niedersachsen.de/download/137645/Orientierungshilfe_zur_Verarbeitung_von_personenbezogenen_Daten_fuer_Zwecke_der_Direktwerbung.pdf)) ## Klare Faustregel für die Praxis Wenn seit der Einwilligung viel Zeit vergangen ist und es keinen laufenden Kontakt gab, solltest du sie erneuern. Die ICO nennt keine feste Frist, empfiehlt aber bei Zweifeln eine Auffrischung etwa alle zwei Jahre als sinnvolle Orientierung, je nach Fall auch früher oder später. Das ist keine harte DSGVO-Regel, aber eine brauchbare Praxislinie. ([ico.org.uk](https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/consent/how-should-we-obtain-record-and-manage-consent/?q=profiling)) Der wichtigste Punkt ist deshalb: **Nicht fragen „Wie alt ist die Einwilligung?“, sondern „Würde die betroffene Person heute noch genau damit rechnen und wurde sie damals dafür klar informiert?“** Wenn die Antwort unsicher ist, ist eine neue Einwilligung der saubere Weg. ([ico.org.uk](https://ico.org.uk/media/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/consent-1-0.pdf))