Preliminär utgåva

DOMSTOLENS DOM (stora avdelningen)

den 1 oktober 2019 (*)

”Begäran om förhandsavgörande – Direktiv 95/46/EG – Direktiv 2002/58/EG – Förordning (EU) 2016/679 – Behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation – Kakor (cookies) – Begreppet den registrerades samtycke – Förklaring om samtycke genom en på förhand ikryssad ruta”

I mål C‑673/17,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Bundesgerichtshof (Federala högsta domstolen, Tyskland) genom beslut av den 5 oktober 2017, som inkom till domstolen den 30 november 2017, i målet

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV

mot

Planet49 GmbH,

meddelar

DOMSTOLEN (stora avdelningen)

sammansatt av ordföranden K. Lenaerts, vice ordföranden R. Silva de Lapuerta, avdelningsordförandena J.–C. Bonichot, M. Vilaras, T. von Danwitz, C. Toader, F. Biltgen, K. Jürimäe och C. Lycourgos samt domarna A. Rosas (referent), L. Bay Larsen, M. Safjan och S. Rodin,

generaladvokat: M. Szpunar,

justitiesekreterare: enhetschefen D. Dittert,

efter det skriftliga förfarandet och förhandlingen den 13 november 2018,

med beaktande av de yttranden som avgetts av:

–        Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, genom P. Wassermann, Rechtsanwalt,

–        Planet49 GmbH, genom M. Jaschinski, J. Viniol och T. Petersen, Rechtsanwälte,

–        Tysklands regering, genom J. Möller, i egenskap av ombud,

–        Italiens regering, genom G. Palmieri, i egenskap av ombud, biträdd av F. De Luca, avvocato dello Stato,

–        Portugals regering, genom L. Inez Fernandes, M. Figueiredo, L. Medeiros och C. Guerra, samtliga i egenskap av ombud,

–        Europeiska kommissionen, genom G. Braun, H. Kranenborg och P. Costa de Oliveira, samtliga i egenskap av ombud,

och efter att den 21 mars 2019 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1        Begäran om förhandsavgörande avser tolkningen av artikel 2 f och artikel 5.3 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 (EUT L 337, 2009, s. 11) (nedan kallat direktiv 2002/58), jämförda med artikel 2 h i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31), samt av artikel 6.1 a i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46 (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1).

2        Begäran har framställts i ett mål mellan Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (sammanslutningen av konsumentskyddsorganisationer och konsumentförbund – sammanslutningen av konsumentorganisationer, Tyskland) (nedan kallad Bundesverband) och Planet49 GmbH, ett bolag som erbjuder onlinespel. Målet rör det samtycke som deltagare lämnade, i samband med en pristävling som anordnas av bolaget, till överföring av deras personuppgifter till bolagets sponsorer och samarbetspartners, samt till lagring av information och tillgång till information som lagrats i dessa användares terminalutrustning.

 Tillämpliga bestämmelser

 Unionsrätt

 Direktiv 95/46

3        Artikel 1 i direktiv 95/46 har följande lydelse:

”1.      Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.

2.      Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det under punkt 1 föreskrivna skyddet.”

4        I artikel 2 i direktivet anges följande:

”I detta direktiv avses med

a)      personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet,

b)      behandling av personuppgifter (behandling): varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring,

h)      den registrerades samtycke: varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.”

5        I artikel 7 i direktivet föreskrivs följande:

”Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast om

a)      den registrerade otvetydigt har lämnat sitt samtycke,

…”

6        I artikel 10 i direktivet anges följande:

”Medlemsstaterna skall föreskriva att den registeransvarige eller hans företrädare i vart fall skall ge den person från vilken uppgifter om honom själv samlas in följande information, utom i fall då han redan känner till informationen:

a)      Den registeransvariges och dennes eventuella företrädares identitet.

b)      Ändamålen med den behandling för vilken uppgifterna är avsedda.

c)      All ytterligare information, exempelvis

–        mottagarna eller de kategorier som mottar uppgifterna,

–        huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt eventuella följder av att inte svara,

–        förekomsten av rättigheter att få tillgång till och att erhålla rättelse av uppgifter som rör honom,

i den utsträckning som den ytterligare informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.”

 Direktiv 2002/58

7        I skälen 17 och 24 i direktiv 2002/58 anges följande:

”(17)      I detta direktiv bör en användares eller abonnents samtycke, oavsett om den senare är en fysisk eller juridisk person, ha samma betydelse som den registrerades samtycke enligt vad som definieras och i övrigt fastställs i direktiv [95/46]. Samtycke kan ges i varje lämplig form som gör det möjligt att frivilligt lämna särskilda och informerade uppgifter om användarens önskemål, däribland genom markeringar i en ruta vid besök på en webbplats.

(24)      Terminalutrustning för användare av elektroniska kommunikationsnät och all information som finns lagrad i sådan utrustning är en del av privatlivet för användarna och kräver skydd enligt Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, [undertecknad i Rom den 4 november 1950]. Sådana anordningar som ’spyware’, ’web bugs’, hemliga identifieringsuppgifter och liknande som ger tillträde till användarnas terminaler utan deras kännedom, för att få tillgång till information, lagra hemlig information eller spåra användarnas verksamhet, kan allvarligt inkräkta på dessa användares integritet. Användning av sådana anordningar bör tillåtas endast för legitima syften och med de berörda användarnas kännedom.”

8        Artikel 1 i direktiv 2002/58 har följande lydelse:

”1.      Genom detta direktiv möjliggörs en harmonisering av nationella bestämmelser för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, särskilt rätten till integritet och konfidentialitet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation, samt för att säkerställa fri rörlighet för sådana uppgifter samt för utrustning och tjänster avseende elektronisk kommunikation inom [Europeiska unionen].

2.      Bestämmelserna i detta direktiv skall precisera och komplettera direktiv [95/46] för de ändamål som avses i punkt 1. …”

9        I artikel 2 i direktivet anges följande:

”Om inte annat anges skall definitionerna i Europaparlamentets och rådets direktiv [95/46] och 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv)[EGT L 108, 2002, s. 33] gälla i detta direktiv.

Dessutom skall följande definitioner gälla:

a)      användare: en fysisk person som använder en allmänt tillgänglig elektronisk kommunikationstjänst för privat eller affärsmässigt bruk utan att nödvändigtvis ha abonnerat på denna tjänst.

f)      samtycke: en användares eller abonnents samtycke motsvarar den registrerades samtycke i direktiv [95/46].

…”

10      I artikel 5.3 i direktivet föreskrivs följande:

”Medlemsstaterna ska se till att lagring av information eller tillgång till information som redan är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i enlighet med direktiv [95/46], bland annat om ändamålen med behandlingen av uppgifterna. Detta får inte förhindra någon teknisk lagring eller åtkomst som endast sker för att utföra överföringen av en kommunikation via ett elektroniskt kommunikationsnät eller det som är absolut nödvändigt för att leverantören ska kunna tillhandahålla en av informationssamhällets tjänster som användaren eller abonnenten uttryckligen har begärt.”

 Förordning 2016/679

11      I skäl 32 i förordning 2016/679 anges följande:

”Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.”

12      Artikel 4 i denna förordning har följande lydelse:

”I denna förordning avses med

1.      personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,

2.      behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

11.      samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne,

…”

13      I artikel 6 i nämnda förordning föreskrivs följande:

”1.      Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)      Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

…”

14      Artikel 7.4 i samma förordning har följande lydelse:

”Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.”

15      I artikel 13.1 och 13.2 i förordning 2016/679 föreskrivs följande:

”1.      Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:

e)      Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

2.      Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personuppgifterna lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och transparent behandling:

a)      Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

…”

16      Artikel 94 i denna förordning har följande lydelse:

”1.      Direktiv [95/46] ska upphöra att gälla med verkan från och med den 25 maj 2018.

2.      Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. Hänvisningar till arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättades genom artikel 29 i direktiv [95/46], ska anses som hänvisningar till Europeiska dataskyddsstyrelsen, som inrättas genom denna förordning.”

 Tysk rätt

17      Enligt 307 § stycke 1 första meningen i Bürgerliches Gesetzbuch (civillagen, nedan kallad BGB) ”saknar bestämmelser i allmänna avtalsvillkor verkan om de oskäligt missgynnar användarens avtalspart på ett sätt som strider mot tro och heder”.

18      I 307 § stycke 2 led 1 BGB föreskrivs att vid tvivel ”ska en bestämmelse anses missgynna en avtalspart på ett oskäligt sätt när bestämmelsen strider mot den grundläggande målsättningen med den lagstiftning som bestämmelsen avviker från”.

19      I 12 § Telemediengesetz (lagen om elektronisk media) av den 26 februari 2017 (BGBI. 2007 I, s. 179), i den lydelse som är tillämplig i det nationella målet (nedan kallad TMG), föreskrivs följande:

”1.      Tjänsteleverantören får samla in och behandla personuppgifter för att tillhandahålla elektroniska informations- eller kommunikationstjänster endast om detta är tillåtet enligt denna lag eller annan föreskrift som uttryckligen avser sådana tjänster, eller om användaren har gett sitt samtycke.

2.      Tjänsteleverantören får använda personuppgifter som samlats in för att tillhandahålla elektroniska informations- eller kommunikationstjänster för andra syften endast om det är tillåtet enligt denna lag eller annan föreskrift som uttryckligen avser sådana tjänster, eller om användaren har gett sitt samtycke.

3.      Om inte annat föreskrivs ska gällande bestämmelser om skydd för personuppgifter tillämpas även när uppgifterna inte behandlas automatiskt.”

20      Enligt 13 § stycke 1 TMB ska tjänsteleverantören när användningen inleds på ett lättbegripligt sätt informera användaren om arten och omfattningen av och syftet med insamlingen och användningen av personuppgifter, om sådan information inte redan har lämnats. Om processen sker automatiskt och möjliggör senare identifiering av användaren samt inhämtande och användning av personuppgifter ska användaren informeras vid processens början.

21      Enligt 15 § stycke 3 TMG får tjänsteleverantören, genom pseudonymer, upprätta användarprofiler för reklam, marknadsundersökningar eller behovsanpassad utformning av elektroniska informations- och kommunikationstjänster, om användaren inte motsätter sig detta efter att ha blivit informerad om sin rätt att göra invändningar.

22      Enligt 3 § stycke 1 i Bundesdatenschutzgesetz (federala dataskyddslagen) av den 20 december 1990 (BGB1. 1990 I, s. 2954), i den lydelse som är tillämplig i det nationella målet (nedan kallad BDSG), avses med ”personuppgifter enskilda uppgifter om en definierad eller definierbar fysisk persons (den registrerades) personliga eller materiella förhållanden”.

23      Enligt definitionen i 3 § stycke 3 BDSG avses med begreppet insamling anskaffning av uppgifter om den registrerade.

24      I 4a § stycke 1 första meningen BDSG, som införlivar artikel 2 h i direktiv 95/46, föreskrivs att samtycket bara har verkan om det är baserat på den registrerades frivilliga beslut.

 Målet vid den nationella domstolen och tolkningsfrågorna

25      Den 24 september 2013 anordnade Planet49 en pristävling i reklamsyfte på webbplatsen www.dein-macbook.de.

26      De internetanvändare som önskade delta i denna tävling behövde lämna sina postnummer, vilket omdirigerade dem till en webbplats där de behövde uppge namn och adressuppgifter. Under adressfälten fanns två texter med tillhörande kryssrutor. Den första texten, där rutan (nedan kallad den första kryssrutan) inte var ikryssad på förhand, hade följande lydelse:

”Jag samtycker till att sponsorer och samarbetspartners informerar mig per post eller telefon eller via e-post/sms om erbjudanden från sina respektive affärsområden. Dessa kan jag själv bestämma här. I annat fall väljer arrangören. Jag kan när som helst ta tillbaka mitt samtycke. Ytterligare information finns här.

27      Den andra texten, där rutan (nedan kallad den andra kryssrutan) var ikryssad på förhand, hade följande lydelse:

”Jag samtycker till att webbanalystjänsten Remintrex används för mig. Det får till följd att tävlingsarrangören, [Planet49], använder kakor (cookies) när jag har anmält mig till tävlingen, vilket gör det möjligt för Planet49 att utvärdera mitt surf- och användningsbeteende på reklampartners webbplatser och därmed möjliggör riktad reklam från Remintrex. Jag kan när som helt ta bort kakorna igen. Mer information finns här.”

28      Det var endast möjligt att delta i pristävlingen om åtminstone den första kryssrutan hade kryssats i.

29      Den elektroniska länken ”sponsorer och samarbetspartners” och ”här” i den texten som tillhörde den första kryssrutan ledde till en förteckning med 57 företag, deras adresser, det affärsområde som reklamen skulle avse och det kommunikationssätt som skulle användas för reklamen (e-post, brev eller telefon). Efter namnet på varje företag fanns det understrukna ordet ”avanmälan”. Före förteckningen fanns följande text:

”Genom att klicka på länken ’avanmälan’ bestämmer jag att nämnda partner/sponsor inte får ges samtycke till reklam. Om jag inte har avregistrerat någon partner/sponsor eller inte avregistrerat tillräckligt många väljer Planet49 partners/sponsorer åt mig efter eget gottfinnande (högsta 30 partners/sponsorer).”

30      Genom att följa den elektroniska länken ”här” i den texten som tillhörde den andra kryssrutan, kom följande uppgifter upp:

”Kakorna med namnen ceng_cache, ceng_etag, ceng_png och gcr är små filer som lagras på din hårddisk av den webbläsare som du använder och genom vilka viss information lämnas som möjliggör en mer användarvänlig och effektiv reklam. Kakorna innehåller ett bestämt slumpgenererat nummer (ett id) som samtidigt är kopplat till dina registreringsuppgifter. Om du därefter besöker en webbplats tillhörande en reklampartner som är registrerad för Remintrex (huruvida det finns en registrering framgår av reklampartnerns förklaring om uppgiftsskydd) registrerar Remintrex automatiskt genom en inbäddad iFrame att du (eller användaren med det lagrade id:t) har besökt sidan, vilken produkt du är intresserad av och huruvida ett avtal har ingåtts.

Därefter kan [Planet49] på grundval av det samtycke till reklam som du gav när du registrerade dig för tävlingen skicka reklampost till dig i vilka hänsyn tas till de intressen som du visat på reklampartnerns webbplats. När du har återkallat ditt samtycke till reklam får du naturligtvis ingen reklammejl längre.

Den information som överförs genom kakorna används uteslutande för reklam i vilken reklampartnerns produkter presenteras. Informationen samlas in, lagras och används separat för varje reklampartner. Reklampartnerövergripande användarprofiler skapas inte under några omständigheter. De enskilda reklampartnerna får inga personuppgifter.

Om du inte längre har intresse av att kakorna används kan du när som helst ta bort dem via din webbläsare. Det finns en anvisning i webbläsarens [hjälpfunktion].

Inga program kan exekveras genom kakorna och virus kan inte överföras via dem.

Du kan naturligtvis när som helst återkalla detta samtycke. Du kan återkalla skriftligen till [Planet49] [adress], men det räcker också att skicka ett e-postmeddelande till vår kundtjänst [e-postadress].”

31      Det framgår av begäran om förhandsavgörande att kakor (cookies) är textfiler som leverantören av en webbplats lagrar i webbplatsanvändarens dator och, när användaren går in på webbplatsen igen, kan hämta på nytt för att underlätta navigeringen på internet eller transaktioner eller hämta information om användarbeteendet.

32      Inom ramen för en formell underrättelse som inte gav något resultat har Bundesverband, som är registrerad i förteckningen över godkända inrättningar enligt 4 § i Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (lag om förbudsföreläggande vid åsidosättanden av konsumenträtten och andra överträdelser) av den 26 november 2001 (BGB1. 2001 I, s. 3138), gjort gällande att de förklaringar om samtycke som Planet49 använder genom den första och den andra kryssrutan inte uppfyller kraven i 307 § BGB, 7 § stycke 2 led 2 i Gesetz gegen den unlauteren Wettbewerb (konkurrenslagen) av den 3 juli 2004 (BGB1. 2004 I, s. 1414) i den lydelse som är tillämplig i det nationella målet, samt 12 § och följande paragrafer i TMG.

33      Bundesverband väckte talan vid Landgericht Frankfurt am Main (Regionala domstolen i Frankfurt am Main, Tyskland) och yrkade i huvudsak att Planet49 skulle föreläggas att sluta använda sådana förklaringar om samtycke och förpliktas att betala ett belopp om 214 euro till Bundesverband jämte ränta från och med den 15 mars 2014.

34      Landgericht Frankfurt am Main (Regionala domstolen i Frankfurt am Main) biföll delvis talan.

35      Domen överklagades av Planet49 till Oberlandesgericht Frankfurt am Main (Regionala överdomstolen i Frankfurt am Main, Tyskland) som fann att Bundesverbands begäran – som syftade till att Planet49 skulle upphöra att i avtal med konsumenter om tävlingar inkludera den förklaring som anges ovan i punkt 27, där den andra kryssrutan var ikryssad på förhand – var ogrundad, eftersom dels användaren förstod att det var möjligt att avmarkera rutan, dels förklaringen var tillräckligt tydligt utformad i typografiskt hänseende och information lämnades om hur kakor används, utan att det var nödvändigt att röja identiteten på tredje parter som hade tillgång till den information som samlades in.

36      Bundesverband överklagade till Bundesgerichtshof (Federala högsta domstolen, Tyskland), som anser att utgången i det nationella målet är beroende av tolkningen av bestämmelserna i artikel 5.3 och artikel 2 f i direktiv 2002/58, artikel 2 h i direktiv 95/46 samt artikel 6.1 a i förordning 2016/679.

37      Eftersom Bundesgerichtshof (Federala högsta domstolen) var tveksam till, med hänsyn till dessa bestämmelser, huruvida Planet49:s inhämtade samtycken från användarna på webbplatsen www.dein-macbook.de, avseende den andra kryssrutan, var giltiga liksom omfattningen av den informationsskyldighet som föreskrivs i artikel 5.3 i direktiv 2002/58, beslutade den att vilandeförklara målet och ställa följande frågor till EU-domstolen:

”1) a)      Är det fråga om giltigt samtycke i den mening som avses i artiklarna 5.3 och 2 f i direktiv [2002/58], jämförda med artikel 2 h i direktiv [95/46], när lagring av information eller tillgång till information som redan är lagrad i användarens terminalutrustning tillåts genom en på förhand ikryssad ruta som användaren måste avmarkera för att vägra samtycke?

b)      Gör det, när artiklarna 5.3 och 2 f i direktiv [2002/58], jämförda med artikel 2 h i direktiv [95/46], tillämpas, skillnad om den lagrade eller hämtade informationen utgör personuppgifter?

c)      Föreligger giltigt samtycke i den mening som avses i artikel 6.1 a i förordning [2016/679] under de omständigheter som nämns i [fråga 1] a?       

2)      Vilken information ska tjänsteleverantören lämna inom ramen för den tydliga och fullständiga information som ska lämnas enligt artikel 5.3 i direktiv [2002/58]? Ingår i denna information även kakornas funktionstid och frågan huruvida tredje part ska få tillgång till kakorna?”

 Prövning av tolkningsfrågorna

 Inledande synpunkter

38      Domstolen ska inledningsvis pröva huruvida direktiv 95/46 och förordning 2016/679 är tillämpliga på omständigheterna i det nationella målet.

39      Med verkan från och med den 25 maj 2018 upphörde direktiv 95/46 att gälla och ersattes av förordning 2016/679, i enlighet med artikel 94.1 i den sistnämnda förordningen.

40      Detta datum är visserligen efter datumet för den sista förhandlingen vid den hänskjutande domstolen, vilken ägde rum den 14 juli 2017, liksom datumet då den hänskjutande domstolen inkom med sin begäran om förhandsavgörande till EU-domstolen.

41      Med anledning av att förordning 2016/679 trädde i kraft den 25 maj 2018 har den hänskjutande domstolen emellertid angett att det är sannolikt att denna förordning ska beaktas när det nationella målet ska avgöras. Förordningen är, för övrigt, en del av den första frågan. Därutöver har Tysklands regering, under den muntliga förhandlingen vid EU-domstolen, angett att det inte är uteslutet att förordning 2016/679, i den mån som det förfarande som anhängiggjorts av Bundesverband syftar till att förhindra Planet49:s förklaring i framtiden, är tillämplig i tiden (ratione temporis) i det nationella målet, på grund av nationell rättspraxis om den relevanta rättsliga situationen vid talan om förbudsföreläggande, vilket det ankommer på den hänskjutande domstolen att kontrollera (se, rörande en talan om fastställelse, dom av den 16 januari 2019, Deutsche Post, C‑496/17, EU:C:2019:26, punkt 38).

42      Mot denna bakgrund och med hänsyn till att, i enlighet med artikel 94.2 i förordning 2016/679, hänvisningar i direktiv 2002/58 till direktiv 95/46 ska anses som hänvisningar till nämnda förordning, är det i förevarande fall inte uteslutet att direktiv 2002/58 är tillämpligt tillsammans med antingen direktiv 95/46 eller förordning nr 2016/679 beroende på Bundesverbands begäran och den berörda perioden.

43      Frågorna ska följaktligen besvaras med beaktande av både direktiv 95/46 och förordning 2016/679.

 Frågorna 1 a och 1 c

44      Den hänskjutande domstolen har ställt frågorna 1 a och 1 c för att få klarhet i huruvida artikel 2 f och artikel 5.3 i direktiv 2002/58, jämförda med artikel 2 h i direktiv 95/46 och artikel 6.1 a i förordning 2016/679, ska tolkas så, att det samtycke som avses i dessa bestämmelser är giltigt när lagring av information eller tillgång till information som redan är lagrad i webbplatsanvändarens terminalutrustning genom kakor, tillåts genom en på förhand ikryssad ruta som användaren måste avmarkera för att vägra samtycke.

45      Det ska inledningsvis påpekas att enligt vad som anges i begäran om förhandsavgörande innehåller kakorna – som kan placeras i terminalutrustningen hos en användare som deltar i en pristävling anordnad av Planet49 – ett nummer som kopplas till registreringsuppgifterna för användaren, som måste anmäla sig med namn och adress i tävlingens anmälningsformulär. Den hänskjutande domstolen har tillagt att genom att numret kopplas till dessa uppgifter knyts de uppgifter som har lagrats genom kakorna till en person när denna använder internet, så att insamlingen av dessa uppgifter genom kakor innebär en behandling av personuppgifter. Dessa uppgifter har bekräftats av Planet49, som i sitt skriftliga yttrande har påpekat att samtycket knutet till den andra kryssrutan är avsett att tillåta insamling och behandling av personuppgifter och inte anonyma uppgifter.

46      Efter denna precisering erinrar EU-domstolen om att enligt artikel 5.3 i direktiv 2002/58 ska medlemsstaterna se till att lagring av information eller tillgång till information som redan är lagrad i en användares terminalutrustning endast är tillåten på villkor att användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i enlighet med direktiv 95/46, bland annat om ändamålen med behandlingen av uppgifterna.

47      Det ska i detta avseende erinras om att det följer av såväl kravet på en enhetlig tillämpning av unionsrätten som av likhetsprincipen, att ordalydelsen i en unionsbestämmelse som inte innehåller någon uttrycklig hänvisning till medlemsstaternas rättsordningar för fastställandet av bestämmelsens innebörd och tillämpningsområde, i regel ska ges en självständig och enhetlig tolkning inom hela Europeiska unionen (dom av den 26 mars 2019, SM (Barn som omhändertagits enligt institutet kafala i algerisk rätt), C‑129/18, EU:C:2019:248, punkt 50, och dom av den 11 april 2019, Tarola, C‑483/17, EU:C:2019:309, punkt 36).

48      Dessutom ska vid tolkningen av en unionsbestämmelse enligt fast rättspraxis inte bara lydelsen och ändamålen beaktas, utan också sammanhanget och unionsrättens samtliga bestämmelser. Även förberedelsearbetet inför antagandet av en unionsrättsbestämmelse kan ge relevanta upplysningar om tolkningen av densamma (dom av den 10 december 2018, Wightman m.fl., C‑621/18, EU:C:2018:999, punkt 47 och där angiven rättspraxis).

49      Vad gäller ordalydelsen i artikel 5.3 i direktiv 2002/58, ska det påpekas att även om det i denna bestämmelse uttryckligen föreskrivs att användaren ska ha ”lämnat sitt samtycke” till att kakor placeras i och att de kommunicerar med vederbörandes terminalutrustning, innehåller bestämmelsen däremot inte några uppgifter om hur detta samtycke ska lämnas. Uttrycket ”lämna sitt samtycke” lämpar sig emellertid för en bokstavstolkning, enligt vilken en handling från användarens sida är nödvändig för att ge uttryck för sitt samtycke. I detta hänseende framgår det av skäl 17 i direktiv 2002/58 att en användares samtycke, vid tillämpningen av detta direktiv, kan ges i varje lämplig form som gör det möjligt att frivilligt lämna särskilda och informerade uppgifter om användarens önskemål, däribland ”genom markeringar i en ruta vid besök på en webbplats”.

50      Vad gäller det sammanhang i vilket artikel 5.3 i direktiv 2002/58 ingår, bör det betonas att artikel 2 f i direktivet, som definierar ”samtycke” i den mening som avses i detta direktiv, hänvisar, i detta hänseende, till ”den registrerades samtycke” i direktiv 95/46. I skäl 17 i direktiv 2002/58 anges att en användares samtycke, vid tillämpningen av detta direktiv, bör ha samma betydelse som den registrerades samtycke enligt vad som definieras och i övrigt fastställs i direktiv 95/46.

51      Artikel 2 h i direktiv 95/46 definierar ”den registrerades samtycke” som ”varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom”.

52      Såsom generaladvokaten har påpekat i punkt 60 i sitt förslag till avgörande, pekar kravet på en ”viljeyttring” av den registrerade tydligt på ett aktivt och inte ett passivt beteende. Ett samtycke som lämnas genom en på förhand ikryssad ruta innebär emellertid inte något aktivt beteende från webbplatsanvändarens sida.

53      Denna tolkning stöds av artikel 7 i direktiv 95/46, som innehåller en uttömmande uppräkning av de situationer när en behandling av personuppgifter kan anses vara tillåten (se, för ett liknande resonemang, dom av den 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 och C‑469/10, EU:C:2011:777, punkt 30, och dom av den 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punkt 57).

54      I artikel 7 a i direktiv 95/46 föreskrivs särskilt att den registrerades samtycke kan göra att en sådan behandling är tillåten under förutsättning att den registrerade ”otvetydigt” har lämnat sitt samtycke. Endast ett aktivt beteende från denna person för att visa sitt samtycke uppfyller detta krav.

55      I detta avseende är det praktiskt taget omöjligt att på ett objektivt sätt avgöra huruvida webbplatsanvändaren faktiskt har gett sitt samtycke till behandling av sina personuppgifter genom att inte avmarkera en på förhand ikryssad ruta samt, under alla omständigheter, huruvida användaren lämnat ett välinformerat samtycke. Det går nämligen inte att utesluta att nämnda användare inte har läst den information som medföljer den på förhand ikryssade rutan, eller till och med att han eller hon inte har noterat denna ruta, innan vederbörande fortsätter med sin aktivitet på webbplatsen han eller hon besöker.

56      Vad slutligen beträffar förberedelsearbetet inför antagandet av artikel 5.3 i direktiv 2002/58, ska det konstateras att det i den ursprungliga lydelsen av denna bestämmelse endast föreskrevs ett krav på att användaren erbjuds ”rätten att vägra” att kakor lagras, efter att, i enlighet med direktiv 95/46, ha fått tillgång till klar och fullständig information, bland annat om ändamålen med behandlingen. Genom direktiv 2009/136 infördes en väsentlig ändring av ordalydelsen i denna bestämmelse genom att ersätta detta uttryck med ”har gett sitt samtycke”. Förberedelsearbetet inför antagandet av artikel 5.3 i direktiv 2002/58 tyder sålunda på att användarens samtycke inte längre kan presumeras utan måste följa av användarens aktiva beteende.

57      Mot bakgrund av ovanstående överväganden är ett samtycke i den mening som avses i artiklarna 2 f och 5.3 i direktiv 2002/58, jämförda med artikel 2 h i direktiv 95/46, följaktligen inte lämnat på ett giltigt sätt om lagring av information eller tillgång till information som redan är lagrad i en webbplatsanvändares terminalutrustning tillåts genom en av tjänsteleverantören på förhand ikryssad ruta som användaren måste avmarkera för att vägra samtycke.

58      Det ska tilläggas att den viljeyttring som avses i artikel 2 h i direktiv 95/46 bland annat måste vara ”särskild”, i den meningen att den måste avse exakt den berörda behandlingen av uppgifter och kan inte härledas från en viljeyttring med ett annat syfte.

59      Tvärtemot vad Planet49 anfört, är det således inte tillräckligt att en användare trycker på knappen för att delta i detta bolags pristävling för att det ska anses att användaren har lämnat ett giltigt samtycke till lagring av kakor.

60      Nyssnämnda tolkning vinner stöd i än högre grad mot bakgrund av förordning 2016/679.

61      Såsom generaladvokaten konstaterade i punkt 70 i sitt förslag till avgörande framgår det nämligen att ordalydelsen i artikel 4 led 11 i förordning 2016/679, som definierar ”samtycke av den registrerade” vid tillämpning av förordningen, och särskilt, i artikel 6.1 a i förordningen, som fråga 1 c avser, är striktare än den i artikel 2 h i direktiv 95/46, eftersom det krävs en ”frivillig, specifik, informerad och otvetydig” viljeyttring av den registrerade, antingen genom ett uttalande eller genom ”en entydig bekräftande handling” genom vilken behandling av den registrerades personuppgifter godtas.

62      Ett aktivt samtycke föreskrivs således numera uttryckligen i förordning 2016/679. Det kan i detta sammanhang påpekas att enligt skäl 32 i denna förordning kan uttrycket samtycke inbegripa att en ruta kryssas i vid besök på en webbplats. I nämnda skäl anges däremot uttryckligen att ”[t]ystnad, på förhand ikryssade rutor eller inaktivitet” inte bör utgöra samtycke.

63      Av detta följer att det inte utgör ett giltigt samtycke i den mening som avses i artikel 2 f och artikel 5.3 i direktiv 2002/58, jämförda med artikel 4 led 11 och artikel 6.1 a i förordning nr 2016/679, om lagring av information eller tillgång till information som redan är lagrad i webbplatsanvändarens terminalutrustning tillåts genom en på förhand ikryssad ruta som användaren måste avmarkera för att vägra samtycke.

64      Slutligen bör det understrykas att den hänskjutande domstolen inte har ställt någon fråga till domstolen för att få klarhet i huruvida den omständigheten att en användares samtycke till behandling av personuppgifter för reklamändamål är avgörande för möjligheten för användaren att delta i en pristävling – vilket verkar vara fallet i det aktuella målet, enligt de uppgifter som anges i begäran om förhandsavgörande, i vart fall avseende den första kryssrutan – är förenligt med kravet på ”frivillig[t]” samtycke, i den mening som avses i artikel 2 h i direktiv 95/46, liksom artikel 4 led 11 och artikel 7.4 i förordning 2016/679. Under dessa omständigheter saknas det anledning för domstolen att pröva denna fråga.

65      Mot bakgrund av det ovan anförda ska frågorna 1 a och 1 c besvaras enligt följande. Artikel 2 f och artikel 5.3 i direktiv 2002/58, jämförda med artikel 2 h i direktiv 95/46 samt artikel 4 led 11 och artikel 6.1 a i förordning 2016/679, ska tolkas så, att det samtycke som avses i dessa bestämmelser inte är giltigt när lagring av information eller tillgång till information, som redan är lagrad i webbplatsanvändarens terminalutrustning genom kakor, tillåts genom en på förhand ikryssad ruta som denna användare måste avmarkera för att vägra samtycke.

 Fråga 1 b

66      Den hänskjutande domstolen har ställt fråga 1 b för att få klarhet i huruvida artikel 2 f och artikel 5.3 i direktiv 2002/58, jämförda med artikel 2 h i direktiv 95/46 samt artikel 4 led 11 och artikel 6.1 a i förordning 2016/679, ska tolkas olika beroende på om den lagrade eller hämtade informationen i webbplatsanvändarens terminalutrustning utgör personuppgifter eller inte, i den mening som avses i direktiv 95/46 och i förordning 2016/679.

67      Såsom domstolen har påpekat i punkt 45 ovan, framgår det av begäran om förhandsavgörande att lagringen av de aktuella kakorna i det nationella målet innebär en behandling av personuppgifter.

68      Efter detta förtydligande kan det i vart fall konstateras att artikel 5.3 i direktiv 2002/58 hänvisar till ”lagring av information” och ”tillgång till information som redan är lagrad”, utan att kvalificera denna information eller precisera att den ska utgöras av personuppgifter.

69      Såsom generaladvokaten har konstaterat i punkt 107 i sitt förslag till avgörande syftar denna bestämmelse således till att skydda användaren från intrång i dennes privatliv, oavsett om intrånget rör personuppgifter eller inte.

70      Denna tolkning bekräftas av skäl 24 i direktiv 2002/58, enligt vilken all information som finns lagrad i terminalutrustningen för användare av elektroniska kommunikationsnät är en del av privatlivet för användarna och kräver skydd enligt Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Detta skydd gäller all information som finns lagrad på denna terminalutrustning, oavsett om det rör sig om personuppgifter eller inte och, såsom framgår av samma skäl, syftar till att bland annat skydda användarna mot riskerna med hemliga identifieringsuppgifter eller liknande som ger tillträde till användarnas terminalutrustning utan deras kännedom.

71      Mot bakgrund av det ovan anförda ska fråga 1 b besvaras enligt följande. Artikel 2 f och artikel 5.3 i direktiv 2002/58, jämförda med artikel 2 h i direktiv 95/46 samt artikel 4 led 11 och artikel 6.1 a i förordning 2016/679 ska inte tolkas olika beroende på om den lagrade eller hämtade informationen i webbplatsanvändarens terminalutrustning utgör personuppgifter eller inte, i den mening som avses i direktiv 95/46 och i förordning 2016/679.

 Fråga 2

72      Den hänskjutande domstolen har ställt fråga 2 för att få klarhet i huruvida artikel 5.3 i direktiv 2002/58 ska tolkas så, att den information som tjänsteleverantören ska lämna till webbplatsanvändaren omfattar kakornas funktionstid samt möjligheten för tredje part att få tillgång eller inte till dessa kakor.

73      Såsom redan framgår av punkt 46 ovan krävs det enligt artikel 5.3 i direktiv 2002/58 att användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, ”i enlighet med direktiv [95/46]”, bland annat om ändamålen med behandlingen av uppgifterna.

74      Såsom generaladvokaten betonade i punkt 115 i sitt förslag till avgörande, innebär tydlig och fullständig information att en användare enkelt måste kunna avgöra följderna av ett eventuellt samtycke och säkerställa att ett välgrundat samtycke lämnas. Den måste vara lättförståelig och tillräckligt detaljerad så att användaren kan förstå hur de kakor som används fungerar.

75      I en sådan situation som den som är i fråga i det nationella målet, där kakor, enligt vad som framgår av handlingarna i målet, syftar till att samla in information för reklamändamål med avseende på en pristävlingsarrangörs samarbetspartners produkter, innefattar information om kakornas funktionstid och om huruvida tredje parter ges tillgång till kakorna eller inte en del av den tydliga och fullständiga information som ska lämnas till användaren i enlighet med artikel 5.3 i direktiv 2002/58.

76      I detta avseende ska det noteras att det i artikel 10 i direktiv 95/46, vilken artikel 5.3 i direktiv 2002/58 hänvisar till, samt i artikel 13 i förordning 2016/679 anges vilken information som den personuppgiftsansvarige ska tillhandahålla den person från vilken uppgifterna om vederbörande samlas in.

77      Denna information omfattar bland annat, enligt artikel 10 i direktiv 95/46, förutom den registeransvariges identitet och ändamålen med den behandling för vilken uppgifterna är avsedda, all ytterligare information, exempelvis mottagarna eller de kategorier som mottar uppgifterna, i den utsträckning som den ytterligare informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.

78      Även om tiden för behandlingen av uppgifterna inte ingår bland denna information, framgår det emellertid av uttrycket ”i vart fall” i artikel 10 i direktiv 95/46 att det inte är någon uttömmande uppräkning. Information om kakornas funktionstid ska emellertid anses uppfylla kravet på en korrekt behandling av de uppgifter som föreskrivs i nämnda artikel, eftersom i en sådan situation som den som är i fråga i det nationella målet, en lång funktionstid, eller till och med obegränsad tid, innebär att mer information samlas in om användarens surfvanor och eventuella besök på pristävlingsarrangörens reklampartners webbplatser.

79      Denna tolkning stöds av artikel 13.2 a i förordning 2016/679, som föreskriver att den personuppgiftsansvarige ska till den registrerade lämna, för att säkerställa rättvis och transparent behandling, information om bland annat den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

80      Vad gäller möjligheten för tredje part att få tillgång eller inte till kakorna, rör det sig om information som ingår i den information som anges i artikel 10 c i direktiv 95/46 och i artikel 13.1 e i förordning 2016/679, eftersom mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna uttryckligen nämns i dessa bestämmelser.

81      Mot bakgrund av ovanstående överväganden ska fråga 2 besvaras enligt följande. Artikel 5.3 i direktiv 2002/58 ska tolkas så, att den information som tjänsteleverantören ska lämna till webbplatsanvändaren omfattar kakornas funktionstid samt möjligheten för tredje part att få tillgång eller inte till dessa kakor.

 Rättegångskostnader

82      Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (stora avdelningen) följande:

1)      Artikel 2 f och artikel 5.3 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009, jämförda med artikel 2 h i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, samt artikel 4 led 11 och artikel 6.1 a i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46 (allmän dataskyddsförordning) ska tolkas så, att det samtycke som avses i dessa bestämmelser inte är giltigt när lagring av information eller tillgång till information som redan är lagrad i webbplatsanvändarens terminalutrustning, genom kakor, tillåts genom en på förhand ikryssad ruta som denna användare måste avmarkera för att vägra samtycke.

2)      Artikel 2 f och artikel 5.3 i direktiv 2002/58, i dess lydelse enligt direktiv 2009/136, jämförda med artikel 2 h i direktiv 95/46, samt artikel 4 led 11 och artikel 6.1 a i förordning 2016/679 ska inte tolkas olika beroende på om den lagrade eller hämtade informationen i webbplatsanvändarens terminalutrustning utgör personuppgifter eller inte, i den mening som avses i direktiv 95/46 och i förordning 2016/679.

3)      Artikel 5.3 i direktiv 2002/58, i dess lydelse enligt direktiv 2009/136, ska tolkas så, att den information som tjänsteleverantören ska lämna till webbplatsanvändaren omfattar kakornas funktionstid samt möjligheten för tredje part att få tillgång eller inte till dessa kakor.

Underskrifter


*      Rättegångsspråk: tyska.