Seit dem 25. Mai 2011 schreibt die Europäische Union ein einheitliches Europäisches Rezept für Cookies vor. Mit diesem Tag ist die Frist abgelaufen, die für die Umsetzung der Richtlinie 2009/136/EG über den Schutz personenbezogener Daten in der elektronischen Kommunikation (auch "Cookie Richtlinie" oder "E-Privacy Richtlinie" genannt) in nationales Recht eingeräumt war. Doch nicht alle Länder haben sie schon umgesetzt.

Erlassen hat der europäische Gesetzgeber die Cookie-Richtlinie 2009. Sie bestimmt unter anderem folgendes: Dienen die Cookies nicht dem alleinigen Zweck der Übertragung von Nachrichten über ein elektronisches Kommunikationsnetz oder der von einem Nutzer ausdrücklichen gewünschten Diensteerbringung, so soll ihre Verwendung nur noch mit vorheriger Einwilligung des Nutzers erlaubt sein (Artikel 5 (3) der Richtlinie). Vorausgesetzt ist zudem die umfassende Information des Nutzers über den Einsatz der Cookie-Techniken und die Verwendung der damit erzeugten Daten.

Ohne Einwilligung ist weiterhin das Setzen eines Cookies im Rahmen eines Online-Shops möglich, wenn es darum geht, den "Einkaufswagen" einem bestimmten Nutzer zuzuordnen. Anders verhält es sich mit dem Einsatz von Cookies, die darauf zielen, das Surf-Verhalten des Nutzers auszuwerten.

Die nationalen Gesetzgeber in Europa, die die Richtlinie in nationales Recht umzusetzen haben, monieren vor allem den unklaren Wortlaut des Artikels 5 (3). Die Richtlinie lässt offen, wie genau die Einwilligung eingeholt werden muss, damit sie wirksam ist. So wird dem nationalen Gesetzgeber ein Gestaltungsspielraum eingeräumt, der in der Praxis zu erheblichen Problemen geführt hat. Gestritten wird insbesondere darüber, ob ein Nutzer aktiv in die Verwendung von Cookies einwilligen muss ("Opt-in") oder ob es reicht, wenn er - beispielsweise über ein Anpassen der BrowserEinstellungen - die Möglichkeit hat, der Verwendung zu widersprechen ("Opt-out").

Die Mitgliedstaaten der EU haben diesen Gestaltungsspielraum genutzt und den Artikel 5 (3) der Richtlinie unterschiedlich umgesetzt. Während sich die Mehrheit für eine Opt-in-Lösung entschieden hat, genügt in einigen Staaten, unter anderen Finnland und Portugal, ein Opt-out des Nutzers. Einige nationale Gesetze haben den Text der Richtlinie direkt übernommen, legen sich also nicht eindeutig fest. Hier ist die Rechtsunsicherheit groß.

Diskutiert wird außerdem, mit welchen technischen Mitteln die geforderte Einwilligung am praktikabelsten auf einer Web-Seite eingeholt werden kann. Hier bevorzugen die meisten Staaten "Pop-Ups" oder Banner, die beim ersten Besuch auf einer Web-Seite angeklickt werden müssen. Auch über die Nutzungsbedingungen einer Site soll die Einwilligung teilweise eingeholt werden können.

Einheitlich setzten alle Staaten nur voraus, dass der Nutzer eindeutig und klar verständlich über den Zweck der Speicherung und Nutzung seiner Daten - sowie die Möglichkeit, eine Speicherung zu verweigern - informiert sein muss. Web-Seiten-Betreiber sind also aufgefordert, unbedingt ihre Nutzungsbedingungen und Datenschutzrichtlinien zu überprüfen und gegebenenfalls umfassend zu ergänzen.

Für den Nutzer bedeutet die Regelung mehr Transparenz. Durch die umfassenden Informationen und die Einwilligungsmöglichkeiten wird er wieder "Herr seiner Daten". Aber auch für Unternehmen ziehen die Änderungen nicht nur einen ärgerlichen Aufwand nach sich, sondern sie können durchaus eine Chance bieten: Je transparenter eine Web-Seite, desto nutzerfreundlicher. Und das ist in jedem Fall ein Qualitätsmerkmal, das sich schnell herumspricht.

Nutzer können sich direkt auf die EU-Richtlinie berufen

Einige Staaten, darunter Deutschland, haben die Richtlinie bisher noch gar nicht in nationales Recht umgesetzt, obwohl die Frist längst abgelaufen ist. Jetzt besteht die Gefahr, dass die Richtlinie unmittelbar anwendbar ist. Dieser europarechtliche Grundsatz gilt jedoch nur dann, wenn der Text der Richtlinie hinreichen konkret ist. Ein Nutzer kann sich unter Umständen gegenüber einem Web-Seiten-Betreiber direkt auf die Richtlinie berufen und auf dessen Pflichten zur Information und zum Einholen der Einwilligung bestehen.

Ob er im Rahmen einer Beschwerde bei einer Datenschutzbehörde mit dieser Argumentation Erfolg hat, hängt davon ab, ob die Behörde die Richtlinie als hinreichend konkret einstuft. Aber zumindest der Bundesbeauftragte für den Datenschutz, Peter Schaar, ist dieser Ansicht. Zudem droht Staaten, die ihrer Umsetzungspflicht nicht nachkommen, früher oder später ein Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof, das die Europäische Kommission einleiten kann.

Festzuhalten bleibt jedoch, dass die Rechtslage in Europa zumindest derzeit alles andere als einheitlich ist. Unternehmen mit Sitz in einem EU-Land müssen sich dabei an die dortigen Anforderungen halten. In Europa tätige Unternehmen mit Sitz außerhalb des Europäischen Wirtschaftsraumes hingegen leiden besonders unter der Rechtsunsicherheit: Sie haben möglicherweise verschiedene nationale Vorgaben für ein und dieselbe Webseite zu beachten. Hier empfiehlt es sich in der Regel, dem strengsten Schutzstandard zu folgen.