FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
MACIEJ SZPUNAR
föredraget den 21 mars 2019(1)
Mål C‑673/17
Planet49 GmbH
mot
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
(begäran om förhandsavgörande från Bundesgerichtshof (Federala högsta domstolen, Tyskland))
”Begäran om förhandsavgörande – Direktiv 95/46/EG – Direktiv 2002/58/EG – Förordning (EU) 2016/679 – Behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation – Kakor (cookies) – Begreppet den registrerades samtycke – Förklaring om samtycke genom en på förhand ikryssad ruta)”
I. Inledning
1. För att kunna delta i en pristävling som anordnades av Planet49 var en internetanvändare tvungen att kryssa i eller avmarkera två rutor innan han kunde trycka på ”deltagandeknappen”. Genom att välja den ena rutan godtog användaren att bli kontaktad av en rad företag med reklamerbjudanden, genom att välja den andra rutan godtog han att kakor (cookies) installerades på hans dator. Detta är i ett nötskal de omständigheter som avses i förevarande begäran om förhandsavgörande från Bundesgerichtshof (Federala högsta domstolen, Tyskland).
2. Dessa till synes harmlösa omständigheter föranleder grundläggande frågor rörande unionens dataskyddslagstiftning: Exakt vilka krav måste uppfyllas för att ett samtycke ska anses vara informerat och frivilligt? Är det skillnad med hänsyn till (endast) behandling av personuppgifter och installation och tillgång till kakor? Vilka rättsakter är tillämpliga?
3. I det här förslaget till avgörande kommer jag att hävda att i förevarande mål är kraven avseende samtycke de samma enligt direktiv 95/46/EG(2) som enligt förordning (EU) 2016/679(3) och att det inte gör någon skillnad om det mer allmänt rör sig om behandling av personuppgifter eller mer specifikt rör sig om lagring och tillgång till information genom kakor.
II. Tillämpliga bestämmelser
A. Unionsrätt
1. Direktiv 95/46
4. Artikel 2 i direktiv 95/46, med rubriken ”Definitioner”, har följande lydelse:
”I detta direktiv avses med
…
h) den registrerades samtycke: varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.”
5. Avdelning II i samma direktiv, med rubriken ”Principer som gör att uppgiftsbehandling kan tillåtas”, föreskriver följande i artikel 7 a:
”Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast om
a) den registrerade otvetydigt har lämnat sitt samtycke, eller
…”
6. I artikel 10 i samma direktiv, med rubriken ”Information vid insamling av uppgifter från den registrerade”, föreskrivs följande:
”Medlemsstaterna skall föreskriva att den registeransvarige eller hans företrädare i vart fall skall ge den person från vilken uppgifter om honom själv samlas in följande information, utom i fall då han redan känner till informationen:
a) Den registeransvariges och dennes eventuella företrädares identitet.
b) Ändamålen med den behandling för vilken uppgifterna är avsedda.
c) All ytterligare information, exempelvis
– mottagarna eller de kategorier som mottar uppgifterna,
– huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt eventuella följder av att inte svara,
– förekomsten av rättigheter att få tillgång till och att erhålla rättelse av uppgifter som rör honom
i den utsträckning som den ytterligare informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.”
2. Direktiv 2002/58/EG(4)
7. I skälen 24 och 25 i direktiv 2002/58/EG(5) anges följande:
”(24) Terminalutrustning för användare av elektroniska kommunikationsnät och all information som finns lagrad i sådan utrustning är en del av privatlivet för användarna och kräver skydd enligt Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Sådana anordningar som ’spyware’, ’web bugs’, hemliga identifieringsuppgifter och liknande som ger tillträde till användarnas terminaler utan deras kännedom, för att få tillgång till information, lagra hemlig information eller spåra användarnas verksamhet, kan allvarligt inkräkta på dessa användares integritet. Användning av sådana anordningar bör tillåtas endast för legitima syften och med de berörda användarnas kännedom.
(25) Sådana anordningar, till exempel s.k. cookies, kan utgöra ett legitimt och användbart verktyg, exempelvis för att analysera hur effektiv utformningen av en webbplats och annonseringen är och för att kontrollera identiteten hos användare som ägnar sig åt onlinetransaktioner. Om sådana anordningar, till exempel cookies, har ett legitimt syfte som att underlätta tillhandahållandet av informationssamhällets tjänster, bör de tillåtas under förutsättning att användarna får tydlig och klar information i enlighet med direktiv 95/46/EG om syftet med cookies eller liknande anordningar för att säkerställa att användarna görs medvetna om den information som lagras på den terminalutrustning de använder. Användarna bör ha möjlighet att vägra att en cookie eller en liknande anordning lagras i deras terminalutrustning. Detta är särskilt viktigt i de fall då andra än de ursprungliga användarna har tillgång till terminalutrustningen och därmed till eventuella, ur integritetssynpunkt känsliga, personuppgifter som lagras i denna utrustning. Information om användning av flera anordningar som skall installeras på användarens terminalutrustning samt rätten att vägra dessa anordningar kan erbjudas på en gång under samma förbindelse och även omfatta framtida användning av dessa anordningar under senare förbindelser. Sättet att lämna information, ge rätt att vägra eller begära samtycke bör vara så användarvänligt som möjligt. Tillträde till särskilt innehåll på webbplatsen kan ändå göras beroende av ett uttryckligen givet godkännande av en cookie eller liknande anordning om den används i ett legitimt syfte.”
8. I artikel 2 i samma direktiv, under rubriken ”Definitioner”, föreskrivs följande under punkt f:
”Om inte annat anges skall definitionerna i Europaparlamentets och rådets direktiv 95/46/EG och 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv)[(6)] gälla i detta direktiv.
Dessutom skall följande definitioner gälla:
…
f) samtycke: en användares eller abonnents samtycke motsvarar den registrerades samtycke i direktiv 95/46/EG.
…”
9. I artikel 5 i samma direktiv, med rubriken ”Konfidentialitet vid kommunikation”, föreskrivs följande i punkt 3:
”Medlemsstaterna ska se till att lagring av information eller tillgång till information som redan är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i enlighet med direktiv 95/46/EG, bland annat om ändamålen med behandlingen av uppgifterna. Detta får inte förhindra någon teknisk lagring eller åtkomst som endast sker för att utföra överföringen av en kommunikation via ett elektroniskt kommunikationsnät eller det som är absolut nödvändigt för att leverantören ska kunna tillhandahålla en av informationssamhällets tjänster som användaren eller abonnenten uttryckligen har begärt.”
3. Direktiv 2009/136/EG(7)
10. I skäl 66 i direktiv 2009/136/EG(8) anges följande:
”Tredje parter kan vilja lagra information på en användares utrustning eller ha tillträde till redan lagrad information. Det finns flera olika skäl till detta, alltifrån legitima skäl (t.ex. vissa typer av cookies) till skäl som innebär ett oberättigat intrång i privatlivet (t.ex. spionprogramvara eller virus). Det är därför av yttersta vikt att användarna ges tydlig och utförlig information när de deltar i verksamhet som kan leda till sådan lagring eller sådant tillträde. Sättet att lämna information och ge rätt att vägra att lämna information bör vara så användarvänligt som möjligt. Ett undantag till skyldigheten att lämna information och ge någon rätten att vägra att lämna information bör bara få tillämpas i de situationer då den tekniska lagringen eller åtkomsten är strikt nödvändig av det legitima skälet att möjliggöra användning av en specifik tjänst som uttryckligen efterfrågas av abonnenten eller användaren. Om det är tekniskt möjligt och effektivt i enlighet med direktiv 95/46/EG kan användarens samtycke till behandling uttryckas med hjälp av lämpliga webbläsarinställningar eller en annan anordning. Genomförandet av dessa krav bör göras mer verkningsfullt genom de utökade befogenheter som beviljas de relevanta nationella myndigheterna.”
4. Förordning 2016/679
11. I skäl 32 i förordning 2016/679 anges följande:
”Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.”
12. I artikel 4.11 i samma förordning, med artikelrubriken ”Definitioner”, anges följande:
”I denna förordning avses med
…
11. samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne,
…”
13. I artikel 6 i samma förordning, med rubriken ”Laglig behandling av personuppgifter”, föreskrivs följande:
”1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
…”
14. Artikel 7 i förordning 2016/679 har rubriken ”Villkor för samtycke”. I artikel 7.4 föreskrivs att ”[v]id bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet”.
B. Tysk rätt
1. Den tyska civillagen
15. I artikel 307(9) i Bürgerliches Gesetzbuch (den tyska civillagen) (nedan kallad BGB) föreskrivs följande:
”1) Bestämmelser i allmänna avtalsvillkor saknar verkan om de oskäligen missgynnar leverantörernas avtalspart på ett sätt som strider mot tro och heder. En bestämmelse kan även vara oskäligt missgynnande om den inte är klar och begriplig.
2) Vid tvivel ska en bestämmelse anses missgynna en avtalspart på ett oskäligt sätt när bestämmelsen
1. strider mot den grundläggande målsättningen med den lagstiftning som bestämmelsen avviker från, eller
2. begränsar de huvudsakliga rättigheter och skyldigheter som följer av avtalet med den följden att avtalets genomförande är hotat.
3) Punkterna 1 och 2 samt artiklarna 308 och 309 är enbart tillämpliga på bestämmelser i allmänna försäljningsvillkor genom vilka undantagsbestämmelser eller bestämmelser som kompletterar lagstiftningen avtalas. Andra bestämmelser kan vara ogiltiga enligt punkt 1 andra meningen jämförd med punkt 1 första meningen.”
2. Lagen om otillbörlig konkurrens
16. Gesetz gegen den unlauteren Wettbewerb (lag om otillbörlig konkurrens) (nedan kallad UWG) förbjuder otillbörliga affärsmetoder som innebär en oacceptabel störning för en marknadsaktör. I artikel 7.2.2 UWG föreskrivs att ”[e]n oacceptabel störning alltid ska antas föreligga i fall av … telefonreklam till en konsument utan föregående uttryckligt samtycke från denne eller till en annan marknadsaktör utan åtminstone dennes presumerade samtycke”.
3. Lagen om elektroniska informations- och kommunikationstjänster
17. Artikel 7.a i direktiv 95/46 har införlivats med nationell rätt genom artikel 12.1 i Telemediengesetz (lagen om elektroniska informations- och kommunikationstjänster) (nedan kallad TMG). I denna artikel anges på vilka villkor en tjänsteleverantör får samla in och använda personuppgifter för att tillhandahålla informations- eller kommunikationstjänster. Enligt den artikeln får en tjänsteleverantör samla in och använda personuppgifter för att tillhandahålla elektroniska informations- eller kommunikationstjänster endast om det är tillåtet enligt TMG eller någon annan rättsakt som uttryckligen avser elektroniska informations- eller kommunikationstjänster eller om användaren har gett sitt samtycke.
18. I artikel 12.3 TMG föreskrivs att gällande personuppgiftslagstiftning ska tillämpas även när uppgifterna inte behandlas automatiskt.
19. Enligt artikel 13.1 TMG krävs att tjänsteleverantören innan uppgifterna används informerar användaren om personuppgiftsbehandlingens art, omfattning och ändamål samt om uppgiftsbehandling som inte omfattas av tillämpningsområdet för direktiv 95/46.
20. I artikel 15.1 TMG föreskrivs att tjänsteleverantörer får samla in och behandla personuppgifter endast i den mån det är nödvändigt för användningen av de elektroniska informations- eller kommunikationstjänsterna på internet eller för att fakturera användningen (”användningsdata”). Användningsdata definieras bland annat som uppgifter som gör det möjligt att identifiera användarna.
21. Artikel 5.3 i direktiv 2002/58 har införlivats med nationell rätt genom artikel 15.3 TMG. Enligt den sistnämnda artikeln får en tjänsteleverantör upprätta användarprofiler genom pseudonymer för att användas vid reklam, marknadsundersökningar eller konfigurering av elektroniska medier, förutsatt att användaren inte invänder och tjänsteleverantören har informerat användaren om hans eller hennes rätt att vägra, i enlighet med skyldigheten att lämna information enligt artikel 13.1 TMG.
4. Den federala dataskyddslagen
22. Artikel 2 a i direktiv 95/46 har införlivats med nationell rätt genom artikel 3.1 i Bundesdatenschutzgesetz (federala dataskyddslagen) (nedan kallad BDSG)(10). I denna artikel definieras begreppet personuppgifter som uppgifter om personliga eller faktiska omständigheter som rör en identifierad eller identifierbar fysisk person.
23. Artikel 2 h i direktiv 95/46 har införlivats med nationell rätt genom artikel 4 a BDSG. I denna artikel föreskrivs att ett samtycke är giltigt endast om de berörda personerna gett det frivilligt.
III. Bakgrund, förfarandet och tolkningsfrågorna
24. Den 24 september 2013 anordnade Planet49 GmbH en pristävling i reklamsyfte på webbadressen www.dein-macbook.de.(11) Internetanvändare måste för att delta i pristävlingen skriva in sitt postnummer, varefter en sida kom upp som innehöll fält där användarens namn och adress skulle skrivas in. Under adressfälten fanns två förklarande texter med tillhörande kryssrutor. Jag kallar dem nedan ”den första rutan” och ”den andra rutan”. Den första av de förklarande texterna, där rutan inte var ikryssad på förhand, hade följande lydelse:
”Jag samtycker till att sponsorer och samarbetspartner informerar mig per post eller telefon eller via e-post/sms om erbjudanden från sina respektive affärsområden. Dessa kan jag själv bestämma här. I annat fall väljer arrangören. Jag kan när som helst ta tillbaka mitt samtycke. Ytterligare information finns här.”
25. Den andra förklarande texten, där rutan var ikryssad på förhand, hade följande lydelse:
”Jag samtycker till att webbanalystjänsten Remintrex används för mig. Det får till följd att tävlingsarrangören, Planet49 GmbH, använder kakor (cookies) när jag har anmält mig till tävlingen, vilket gör det möjligt för Planet49 att utvärdera mitt surf- och användningsbeteende på reklampartners webbplatser och därmed möjliggör riktad reklam från Remintrex. Jag kan när som helt ta bort kakorna igen. Du kan läsa närmare här.”
26. Det var möjligt att delta i pristävlingen endast om åtminstone den första rutan hade kryssats i.
27. Den elektroniska länken ”sponsorer och samarbetspartner” och ”här” i den första förklarande texten ledde till en förteckning med 57 företag, deras adresser, det affärsområde som reklamen skulle avse och det kommunikationssätt som skulle användas för reklamen (e-post, brev eller telefon), och det understrukna ordet ”avanmälan” efter varje företag. Före förteckningen fanns följande text:
”Genom att klicka på länken ’avanmälan’ bestämmer jag att nämnda partner/sponsorer inte får ges samtycke till reklam. Om jag inte har avregistrerat någon partner/sponsor eller inte avregistrerat tillräckligt många väljer Planet49 partner/sponsorer åt mig efter eget gottfinnande (högsta antal 30 partner/sponsorer).”
28. När man klickade på den elektroniska länken ”här” i den andra förklarande texten visades följande information:
”Kakorna med namnen ceng_cache, ceng_etag, ceng_png och gcr är små filer som lagras på din hårddisk av den webbläsare som du använder och genom vilka viss information lämnas som möjliggör en mer användarvänlig och effektiv reklam. Kakorna innehåller ett bestämt slumpgenererat nummer (ett id) som samtidigt är kopplat till dina registreringsuppgifter. Om du därefter besöker webbplatsen tillhörande en reklampartner som är registrerad för Remintrex (huruvida det finns en registrering framgår av reklampartnerns förklaring om uppgiftsskydd) registrerar Remintrex automatiskt genom en inbäddad iFrame att du (eller användaren med det lagrade id:t) har besökt sidan, vilken produkt du är intresserad av och huruvida ett avtal har ingåtts.
Därefter kan Planet49 GmbH på grundval av det samtycke till reklam som du gav när du registrerade dig för tävlingen skicka reklammejl till dig i vilka hänsyn tas till de intressen som du visat på reklampartnerns webbplats. När du har återkallat ditt samtycke till reklam får du naturligtvis ingen mejlreklam längre.
Den information som överförs genom kakorna används uteslutande för reklam i vilken reklampartnerns produkter presenteras. Informationen samlas in, lagras och används separat för varje reklampartner. Reklampartnerövergripande användarprofiler skapas inte under några omständigheter. De enskilda reklampartnerna får inga personuppgifter.
Om du inte längre har intresse av att kakorna används kan du när som helst ta bort dem via din webbläsare. Det finns en anvisning i webbläsarens hjälpfunktion.
Inga program kan exekveras genom kakorna och virus kan inte överföras via dem.
Du kan naturligtvis när som helst återkalla detta samtycke. Du kan lämna återkallandet skriftligen till PLANET49 GmbH [adress], men det räcker också att skicka ett e-postmeddelande till vår kundtjänst [e-postadress].”
29. Käranden i det nationella målet, Bundesverband der Verbraucherzentralen (nedan kallad Bundesverband) är en sammanslutning av tyska konsumentorganisationer som är registrerad i förteckningen över godkända inrättningar enligt Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (lag om förbudsföreläggande vid åsidosättanden av konsumenträtten och andra överträdelser) (nedan kallad UKlaG). Enligt Bundesverband uppfyllde ovannämnda förklaringar om samtycke som använts av Planet49 inte de krav som anges i artikel 307 BGB, artikel 7.2.2 UWG och artikel 12 och följande artiklar i TMG. En varning som delgavs före domstolsförfarandet gav inget resultat.
30. Bundesverband väckte talan vid Landgericht Frankfurt am Main (Regionala domstolen i Frankfurt am Main, Tyskland) med yrkande om att Planet49 skulle föreläggas att sluta använda de ovannämnda klausulerna(12) och förpliktas att betala ett belopp om 214 euro till Bundesverband jämte ränta från och med den 15 mars 2014.
31. Landgericht Frankfurt am Main (Regionala domstolen i Frankfurt am Main) tog upp en del av yrkandena till prövning och avvisade övriga yrkanden. Domen överklagades(13) till Oberlandesgericht Frankfurt am Main (Regionala överdomstolen i Frankfurt am Main, Tyskland), vars dom överklagades(14) till Bundesgerichtshof (Federala högsta domstolen).
32. Bundesgerichtshof (Federala högsta domstolen) anser att frågan huruvida klaganden ska vinna framgång med överklagandet beror på tolkningen av artiklarna 5.3 och 2 f i direktiv 2002/58, jämförda med artikel 2 h i direktiv 95/46 och artikel 6.1 a i förordning 2016/679, och har hänskjutit följande frågor till domstolen för förhandsavgörande:
”1) a) Är det fråga om giltigt samtycke i den mening som avses i artiklarna 5.3 och 2 f i direktiv 2002/58/EG jämförda med artikel 2 h i direktiv 95/46/EG när lagring av information eller tillgång till information som redan är lagrad i användarens terminalutrustning tillåts genom en på förhand ibockad ruta som användaren måste avmarkera för att vägra samtycke?
b) Gör det, när artiklarna 5.3 och 2 f i direktiv 2002/58/EG jämförda med artikel 2 h i direktiv 95/46/EG tillämpas, skillnad om den lagrade eller hämtade informationen utgör personuppgifter?
c) Föreligger giltigt samtycke i den mening som avses i artikel 6.1 a i förordning (EU) 2016/679 under de omständigheter som nämns i tolkningsfråga 1 a?
2) Vilken information ska tjänsteleverantören lämna inom ramen för den klara och fullständiga information som ska lämnas enligt artikel 5.3 i direktiv 2002/58/EG? Ingår i denna information även kakornas funktionstid och frågan huruvida tredje part ska få tillgång till kakorna?”
33. Begäran om förhandsavgörande inkom till domstolen den 30 november 2017. Skriftliga yttranden inkom från Planet49, Bundesverband, den portugisiska och den italienska regeringen och Europeiska kommissionen. Vid förhandlingen den 13 november 2018 närvarade Planet49, Bundesverband, den tyska regeringen och kommissionen.
IV. Bedömning
34. De båda frågor som Bundesgerichtshof (Federala högsta domstolen) har hänskjutit till domstolen för förhandsavgörande avser samtycke till lagring av information och tillgång till information som redan är lagrad i användarens terminalutrustning, det vill säga kakor, i det särskilda sammanhang som avses i bestämmelserna i direktiv 2002/58, jämförda med bestämmelserna i direktiv 95/46 eller förordning 2016/679.
35. Jag anser att det är lämpligt med några inledande anmärkningar för att bringa klarhet i begreppet kakor och tillhörande terminologi samt för att klargöra vilken lagstiftning som är tillämplig i förevarande mål.
A. Inledande anmärkningar
1. Om kakor
36. Kakor är ett sätt att samla in information som genereras av en webbplats och sparas av internetanvändarens webbläsare.(15) Det är en liten datamängd eller en textfil, vanligen mindre än en kilobyte i storlek, som en webbplats skickar till internetanvändarens webbläsare och som lagras på den lokala hårddisken i användarens dator eller mobila enhet.(16)
37. En kaka gör att webbplatsen kan ”minnas” användarens åtgärder eller preferenser över tiden. De flesta webbläsare stöder kakor, men användaren kan ställa in sin webbläsare så att den inte tar emot kakor. Användaren kan också radera en kaka när som helst. Många användare ändrar kakinställningarna i webbläsaren så att kakor som standard automatiskt raderas när webbläsarfönstret stängs. Med detta sagt finns det överväldigande empiriska belägg för att människor sällan ändrar standardinställningarna – ett fenomen kallat ”default inertia”.(17)
38. Webbplatser använder kakor för att identifiera användare, minnas deras preferenser och låta användarna utföra uppgifter utan att på nytt behöva skriva in information när de navigerar från en sida till en annan eller besöker samma webbplats senare.
39. Kakor kan också användas för att samla in information om internetbeteendet, vilken används för riktad reklam och marknadsföring på internet.(18) Företag använder till exempel program för att spåra användarbeteendet och bygga personliga profiler, så att de kan visa användarna reklam som är relevant på grundval av användarens tidigare sökningar.(19)
40. Det finns olika typer av kakor. Kakor kan delas in efter sin livslängd (till exempel sessionskakor och persistenta kakor) eller utifrån vilken domän kakan tillhör (till exempel förstapartskakor och tredjepartskakor).(20) När den webbserver som tillhandahåller webbsidan lagrar kakor på användarens dator eller mobila enhet kallas de http-kakor.(21) Ett annat sätt att lagra kakor är genom JavaScript-kod som finns på webbsidan eller som det hänvisas till där.(22) Huruvida ett samtycke till placering av kakor är giltigt och huruvida eventuella relevanta undantag är tillämpliga ska emellertid bedömas mot bakgrund av kakans syfte, snarare än de tekniska egenskaperna.(23)
2. Tillämpliga rättsakter
41. Den lagstiftningsram som är tillämplig på det nationella målet har utvecklats över åren. Förordning 2016/679 trädde i kraft helt nyligen.
42. Två uppsättningar av unionsrättsakter är tillämpliga på förevarande mål. För det första direktiv 95/46 och förordning 2016/679. För det andra direktiv 2002/58, i dess lydelse enligt direktiv 2009/136.(24)
43. Jag vill göra två påpekanden vad gäller dessa båda uppsättningar av rättsakter.
44. Det första påpekandet rör tillämpligheten av direktiv 95/46 och förordning 2016/679.
45. Genom förordning 2016/679, som är tillämplig sedan den 25 maj 2018,(25) har direktiv 95/46 upphävts med verkan från och med samma datum.(26)
46. Det datumet, den 25 maj 2018, inträffade efter det att den sista förhandlingen hade hållits vid den hänskjutande domstolen den 14 juli 2017 och också efter det att begäran om förhandsavgörande i förevarande mål hade hänskjutits till domstolen den 5 oktober 2017.
47. För de situationer som förelåg före den 25 maj 2018 utgörs den tillämpliga lagstiftningen således av direktiv 2002/58 i kombination med direktiv 95/46, medan det för situationer som föreligger från och med den 25 maj 2018 är direktiv 2002/58 i kombination med förordning 2016/679 som är tillämpliga.
48. I den mån Bundesverband genom det sökta förbudsföreläggandet(27) vill förhindra att Planet49 beter sig på samma sätt i framtiden är förordning 2016/679 tillämplig i förevarande mål. I sitt beslut om ett framtida förbudsföreläggande måste Bundesgerichtshof (Federala högsta domstolen) därför beakta kraven i förordning 2016/679. Den tyska regeringen har i detta sammanhang hänvisat till fast nationell rättspraxis om den relevanta rättsliga situationen vid talan om förbudsföreläggande.(28)
49. Tolkningsfrågan ska följaktligen besvaras med beaktande av både direktiv 95/46 och förordning 2016/679.(29)
50. Det ska dessutom påpekas att hänvisningarna i direktiv 2002/58 till direktiv 95/46 ska tolkas som hänvisningar till förordning 2016/679.(30)
51. Det andra påpekandet rör utvecklingen av artikel 5.3 i direktiv 2002/58.
52. Direktiv 2002/58 syftar till att säkerställa full respekt för rättigheterna i Europeiska unionens stadga om de grundläggande rättigheterna, särskilt artiklarna 7 och 8.(31) Artikel 5 i samma direktiv syftar till att säkerställa ”konfidentialitet vid kommunikation”. I artikel 5.3 regleras särskilt användningen av kakor och fastställs de krav som ska vara uppfyllda för att det ska vara tillåtet att genom en kaka som placeras på en användares dator lagra uppgifter på datorn eller få tillgång till sådana uppgifter.
53. Genom direktiv 2009/136 har betydande ändringar av samtyckeskraven införts i artikel 5.3 i direktiv 2002/58 i syfte att förbättra skyddet för användarna. Innan dessa ändringar infördes krävdes enligt artikel 5.3 endast att användarna skulle ha rätt till en informerad vägran (”opt-out”) vad gällde behandling av uppgifter via kakor. Med andra ord var tjänsteleverantören enligt den ursprungliga lydelsen i artikel 5.3 tvungen att, för att lagra information eller för att få tillgång till information som var lagrad i användarens terminalutrustning, tillhandahålla användaren klar och fullständig information, särskilt om ändamålet med behandlingen, och att erbjuda användaren rätten att vägra sådan behandling.
54. Genom direktiv 2009/136 har kravet på information om en rätt att vägra ersatts med ett krav på att ”abonnenten eller användaren i fråga har gett sitt samtycke”, vilket innebär att systemet med informerad vägran (”opt-out”), där kraven var enklare att uppfylla, har ersatts med ett system med informerat samtycke (”opt-in”). Bortsett från ett mycket begränsat undantag, som inte är tillämpligt i förevarande fall,(32) tillåts användning av kakor enligt artikel 5.3 i direktiv 2002/58 i dess ändrade lydelse endast om användaren har gett sitt samtycke efter att i enlighet med direktiv 95/46 ha fått tillgång till tydlig och fullständig information om varför hans eller hennes uppgifter spåras, det vill säga om behandlingens ändamål.(33)
55. Vad kravet att lämna information enligt artikel 5.3 i direktiv 2002/58 omfattar, särskilt i samband med standardinställningar för aktiviteter på internet, är den centrala frågan i förevarande tvist, som det framgår nedan.
B. Den första tolkningsfrågan
56. Genom fråga 1 a vill den hänskjutande domstolen får klarhet i huruvida det utgör giltigt samtycke i den mening som avses i artiklarna 5.3 och 2 f i direktiv 2002/58, jämförda med artikel 2 h i direktiv 95/46, när lagring av information eller tillgång till information som redan är lagrad i användarens terminalutrustning tillåts genom en på förhand ikryssad ruta som användaren måste avmarkera för att vägra samtycke. Den hänskjutande domstolen vill få klarhet i huruvida det gör skillnad om den lagrade eller hämtade informationen utgör personuppgifter (fråga 1 b). Slutligen vill den hänskjutande domstolen få klarhet i huruvida det under ovanstående omständigheter föreligger giltigt samtycke i den mening som avses i artikel 6.1 a i förordning 2016/679 (fråga 1 c).
1. Frivilligt och informerat samtycke
57. Samtycke är en grundläggande aspekt i unionens dataskyddslagstiftning.
58. Innan jag går närmare in på den specifika frågan om kakor är det lämpligt att fastställa de allmänna principer som följer av de tillämpliga rättsakterna beträffande samtycke.
a) Enligt direktiv 95/46
1) Aktivt samtycke
59. Av bestämmelserna i direktiv 95/46 drar jag slutsatsen att samtycket måste visas på ett aktivt(34) sätt.
60. I artikel 2 h i direktiv 95/46 talas om en viljeyttring av den registrerade, vilket tydligt pekar på ett aktivt snarare än ett passivt beteende. I artikel 7 a i direktiv 95/46, om de principer som gör att (person)uppgiftsbehandling kan tillåtas, föreskrivs dessutom att den registrerade otvetydigt ska ha lämnat sitt samtycke. Även här kan tvetydighet undanröjas endast genom ett aktivt, inte ett passivt, beteende.
61. Av detta drar jag slutsatsen att det i detta sammanhang inte är tillräckligt om användarens samtyckesförklaring har formulerats på förhand och användaren aktivt måste invända, om han inte samtycker till uppgiftsbehandlingen.
62. I sistnämnda situation är det omöjligt att veta om den på förhand formulerade texten har lästs och om användaren har tagit till sig den. Denna situation är inte otvetydig. En användare kan ha läst texten, eller också inte. Han kan ha låtit bli att läsa den av ren försummelse. I en sådan situation är det inte möjligt att fastställa huruvida samtycket är frivilligt.
2) Separat samtycke
63. Kravet på separat samtycke har ett nära samband med kravet på aktivt samtycke.(35)
64. Det skulle kunna hävdas, såsom Planet49 har gjort, att ett giltigt samtycke erhålls från den registrerade, inte när han inte avmarkerar en på förhand formulerad samtyckesförklaring, men när han aktivt trycker på knappen för deltagande i pristävlingen på internet.
65. Jag instämmer inte i den tolkningen.
66. För att ett samtycke ska anses vara ”frivilligt” och ”informerat” måste det inte endast ha getts aktivt, utan också separat. Den aktivitet som användaren ägnar sig åt på internet (till exempel att läsa en webbsida, delta i en pristävling eller titta på en video) och samtycket kan inte vara en del av samma handling. Framför allt kan samtycket från användarens perspektiv inte framstå som accessoriskt till deltagandet i pristävlingen. Båda handlingarna måste, särskilt optiskt, presenteras på ett likvärdigt sätt. Det är följaktligen tveksamt om en sammankoppling av viljeyttringar som inkluderar samtycke är förenligt med begreppet samtycke enligt direktiv 95/46.
3) Skyldighet att tillhandahålla fullständig information
67. I detta sammanhang måste det göras kristallklart för användaren huruvida den aktivitet han ägnar sig åt på internet är beroende av att han ger sitt samtycke. En användare måste kunna bedöma i vilken mån han är beredd att lämna ut sina uppgifter för att kunna ägna sig åt en aktivitet på internet. Det får inte finnas något som helst utrymme för tvetydigheter.(36) En användare måste veta huruvida samtycket påverkar möjligheten att ägna sig åt en aktivitet på internet och i så fall i vilken utsträckning.
b) Enligt förordning 2016/679
68. De principer som fastställts ovan gäller även enligt förordning 2016/679.
69. I artikel 4.11 i förordning 2016/679 definieras samtycke av den registrerade som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.
70. Det ska påpekas att denna definition är striktare än definitionen i artikel 2 h i direktiv 95/46, eftersom det krävs en otvetydig viljeyttring av den registrerade och en entydig bekräftande handling genom vilken behandling av personuppgifter godtas.
71. Skälen i förordning 2016/679 är också mycket belysande. Eftersom jag kommer att göra omfattande hänvisningar till skälen,(37) ska det erinras om att de naturligtvis inte har något självständigt rättsligt värde,(38) men att domstolen ofta hänvisar till dem vid tolkningen av bestämmelser i unionens rättsakter. I unionens rättsordning är de beskrivande och inte föreskrivande till sin karaktär. Frågan om deras rättsliga värde uppkommer normalt inte av den enkla anledningen att de vanligtvis återspeglas i artikeldelen i en rättsakt. En god lagstiftningspraxis från unionsinstitutionerna tenderar att bidra till en situation där skälen ger en användbar bakgrund till bestämmelserna i en rättsakt.(39)
72. Enligt skäl 32 i förordning 2016/679 bör samtycke lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som till exempel genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, att man väljer inställningsalternativ för tjänster på informationssamhällets område eller någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke.
73. I förordning 2016/679 föreskrivs således uttryckligen att samtycket ska vara aktivt.
74. I skäl 43 i samma förordning anges dessutom att för att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.
75. I detta skäl betonas således uttryckligen att det krävs ett separat samtycke.
c) Enligt direktiv 2002/58 – i fråga om kakor
76. Enligt artikel 5.3 i direktiv 2002/58 ska medlemsstaterna se till att lagring av information eller tillgång till information som redan är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i enlighet med direktiv 95/46, bland annat om ändamålen med behandlingen av uppgifterna.
77. Denna bestämmelse innehåller inga ytterligare kriterier vad gäller begreppet samtycke.
78. Skälen i direktiven 2002/58 och 2009/136 ger emellertid vägledning om vad som avses med samtycke i fråga om kakor.
79. I skäl 17 i direktiv 2002/58 anges således att samtycke kan ges i varje lämplig form som gör det möjligt att frivilligt lämna särskilda och informerade uppgifter om användarens önskemål, däribland genom markeringar i en ruta vid besök på en webbplats.(40)
80. I skäl 66 i direktiv 2009/136 förklaras dessutom att det är av yttersta vikt att användarna ges tydlig och utförlig information när de deltar i verksamhet som kan leda till lagring av information på en användares utrustning eller tillträde till redan lagrad information och att sättet att lämna information och ge rätt att vägra att lämna information bör vara så användarvänligt som möjligt.
81. I detta sammanhang ska det också erinras om det icke-bindande men icke desto mindre belysande arbetet i Artikel 29-arbetsgruppen för skydd av personuppgifter (nedan kallad Artikel 29-arbetsgruppen),(41) enligt vilken samtycke innebär en bekräftande åtgärd från användarens sida för att ge samtycke innan kakan lagras och används.(42) Artikel 29-arbetsgruppen har påpekat att begreppet ”viljeyttring” antyder behovet av handling.(43) Andra inslag i definitionen av samtycke och det ytterligare kravet i artikel 7 a i direktiv 95/46 om att samtycket ska vara otvetydigt stöder denna tolkning.(44) Kravet att den registrerade personen måste ”yttra” sitt samtycke tyder på att frånvaron av handling inte skulle vara tillräckligt och att någon form av handling krävs för att det ska röra sig om samtycke, även om man kan tänka sig olika typer av handlingar, som i så fall ska bedömas ”i sitt sammanhang”.(45)
2. Tillämpning i förevarande fall
82. Jag kommer nu att tillämpa dessa kriterier på förevarande fall. Jag kommer därvid först att undersöka fråga 1 a och c, det vill säga huruvida giltigt samtycke har getts till placering av kakor och tillgång till kakor. Detta gäller den andra rutan.
83. Eftersom kraven på samtycke, som det har fastställts ovan, inte skiljer sig mycket beroende på om det är frågan om kakor och mer allmänt är frågan om behandling av personuppgifter, anser jag vidare att det för fullständighetens och tydlighetens skull och för en korrekt och enhetlig tolkning av unionsrätten är nödvändigt att, även om den hänskjutande domstolen inte uttryckligen har frågat om detta, kortfattat analysera huruvida ett samtycke till behandling av personuppgifter som ges genom den första rutan är giltigt. Jag har också förstått att Bundesgerichtshof (Federala högsta domstolen) i det nationella målet kommer att behöva fatta ett avgörande avseende den första rutan.(46)
a) Den andra rutan – Fråga 1 a och c
84. Den hänskjutande domstolen vill få klarhet i huruvida det utgör ett giltigt samtycke i den mening som avses i artiklarna 5.3 och 2 f i direktiv 2002/58, jämförda med artikel 2 h i direktiv 95/46, om lagring av information eller tillgång till information som redan är lagrad i användarens terminalutrustning tillåts genom en på förhand ikryssad ruta som användaren måste avmarkera för att vägra samtycke.
85. De avgörande orden i artikel 2 h i direktiv 95/46 och artikel 4.11 i förordning 2016/679 vad gäller denna fråga är orden ”frivillig” och ”informerad”. Frågan är huruvida samtycke kan anses vara frivilligt och informerat i den situation som har beskrivits av den hänskjutande domstolen.
86. Planet49 anser att så är fallet. Alla andra parter(47) är av motsatt åsikt. I detta sammanhang har den juridiska diskussionen mellan parterna huvudsakligen fokuserat på huruvida ikryssning av en ruta eller avmarkering av en redan på förhand ikryssad ruta uppfyller dessa krav. Diskussionen har rört sig kring frågan om aktivitet och passivitet. Denna aspekt utgör emellertid, hur viktig den än är, endast en del av kraven. Den avser nämligen endast kravet på aktivt samtycke, men inte kravet på separat samtycke.
87. Mot bakgrund av ovan fastställda principer är svaret, enligt min mening, att det inte föreligger giltigt samtycke i förevarande fall.
88. För det första är kravet på aktivt samtycke inte uppfyllt när det krävs att användaren ska avmarkera en ruta och således ska vara aktiv när han inte medger installation av kakor. I en sådan situation är det praktiskt taget omöjligt att objektivt avgöra huruvida användarens samtycke grundar sig på ett frivilligt och informerat beslut. Att så är fallet är däremot långt mer sannolikt när det krävs att användaren kryssar i en ruta.
89. För det andra, och vilket är viktigare, kan deltagandet i en pristävling på internet och samtycket till installation av kakor inte vara en del av samma handling. Men det är just detta som är fallet i förevarande mål. Användaren trycker nämligen endast en gång på deltagandeknappen för att delta i pristävlingen. Samtidigt samtycker han till att kakor installeras. Två viljeyttringar (deltagande i pristävlingen och samtycke till att kakor installeras) görs samtidigt. Dessa två viljeyttringar kan inte båda göras via samma deltagandeknapp. I förevarande fall förefaller samtycket till kakor vara av accessorisk karaktär i den meningen att det inte på något sätt är tydligt att det är en del av en separat handling. Att avmarkera eller kryssa i en ruta om kakor förefaller med andra ord som en förberedande handling till den slutliga och rättsligt bindande handling som en tryckning på deltagandeknappen innebär.
90. I en sådan situation har användaren inte möjlighet att frivilligt och separat samtycka till lagring av information eller tillgång till information som redan är lagrad i hans eller hennes terminalutrustning.
91. Som det framgår ovan var det vidare möjligt att delta i pristävlingen endast om åtminstone den första rutan hade kryssats i. Deltagandet i pristävlingen var följaktligen inte beroende(48) av att samtycke getts till installation och tillgång till kakor. Användaren kunde nämligen lika väl ha kryssat i (enbart) den första rutan.
92. Men såvitt jag känner till informerades användaren inte om detta någonstans. Detta uppfyller inte principen ovan att användarna ska ges tillgång till fullständig information.
93. Sammanfattningsvis föreslår jag att fråga 1 a och c besvaras så, att giltigt samtycke i den mening som avses i artiklarna 5.3 och 2 f i direktiv 2002/58, jämförda med artikel 2 h i direktiv 95/46, inte föreligger i en sådan situation som i det nationella målet, där lagring av information eller tillgång till information som redan är lagrad i användarens terminalutrustning tillåts genom en på förhand ikryssad ruta som användaren måste avmarkera för att vägra samtycke och där samtycke inte ges separat utan samtidigt med att användaren bekräftar sitt deltagande i en pristävling på internet. Det samma gäller tolkningen av artiklarna 5.3 och 2 f i direktiv 2002/58, jämförda med artikel 4.11 i förordning 2016/679.
b) Den första rutan
94. Även om den hänskjutande domstolens frågor endast avser den andra rutan vill jag göra två särskilda påpekanden rörande den första rutan, som den hänskjutande domstolen kan ha nytta av i sitt slutliga avgörande.
95. Som det angetts ovan avser den första rutan inte kakor, utan endast behandling av personuppgifter. Genom att kryssa i denna ruta samtycker användaren inte till att information lagras på hans eller hennes utrustning, utan (endast) till att bli kontaktad av en rad företag via brev, telefon eller e-post.
96. Det ska påpekas att principen om aktivt och separat samtycke samt fullständig information naturligtvis också gäller avseende den första rutan. Aktivt samtycke förefaller inte att utgöra ett problem, eftersom rutan inte är ikryssad på förhand. Däremot är jag tveksam till att samtycket kan anses ha getts separat. Mot bakgrund av ovanstående bedömning(49) vore det med beaktande av omständigheterna i förevarande fall bättre om det bildligt talat fanns en separat knapp att trycka på(50) och inte endast en ruta som ska kryssas i för att samtycka till behandling av personuppgifter.
97. Vad gäller den första rutan om att bli kontaktad av sponsorer och samarbetspartner ska vidare artikel 7.4 i förordning 2016/679 beaktas. Enligt denna bestämmelse ska vid bedömning av huruvida samtycke är frivilligt största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet. Genom artikel 7.4 i förordning 2016/679 har således ett ”förbud mot sammankoppling” kodifierats.(51)
98. Som det framgår av orden ”ska största hänsyn tas till” är förbudet mot sammankoppling inte absolut.(52)
99. Här ankommer det på den behöriga domstolen att bedöma huruvida samtycke till behandling av personuppgifter är nödvändigt för att delta i pristävlingen. Härvid ska det erinras om att pristävlingens bakomliggande syfte är att kunna ”sälja” personuppgifter (det vill säga att användaren samtycker till att bli kontaktad av så kallade ”sponsorer” för reklamerbjudanden). Tillhandahållandet av personuppgifter är med andra ord användarens huvudsakliga skyldighet om han vill delta i pristävlingen. I denna situation anser jag att behandlingen av dessa personuppgifter är nödvändig för att delta i pristävlingen.(53)
3. Om personuppgifter (fråga 1 b)
100. Jag kommer nu att undersöka huruvida det vid tillämpningen av artiklarna 5.3 och 2 f i direktiv 2002/58, jämförda med artikel 2 h i direktiv 95/46, gör skillnad om den hämtade eller lagrade informationen utgör personuppgifter.
101. Denna fråga förstås bäst mot bakgrund av den lagstiftning genom vilken artikel 5.3 i direktiv 2002/58(54) har införlivats med tysk rätt. I tysk lagstiftning görs nämligen skillnad beroende på om insamlingen och användningen avser personuppgifter eller andra uppgifter.
102. Enligt artikel 12.1 TMG får en tjänsteleverantör samla in och använda personuppgifter endast om, bland andra villkor, användaren har samtyckt till det.
103. Enligt artikel 15.3 TMG får en tjänsteleverantör däremot skapa användarprofiler genom pseudonymer för att användas vid bland annat reklam och marknadsundersökningar, förutsatt att användaren inte invänder mot detta. I den mån inga personuppgifter är involverade, ställs således mindre strikta krav enligt tysk lagstiftning: det krävs inte samtycke, utan endast att man inte invänder.
104. Personuppgifter definieras i artikel 4.1 i förordning 2016/679 som ”varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”.
105. Jag anser det vara ställt utom tvivel att i förevarande fall utgör den ”information” som avses i artikel 5.3 i direktiv 2002/58 ”personuppgifter”. Detta förefaller också att vara den hänskjutande domstolens åsikt, eftersom den i sin begäran om förhandsavgörande uttryckligen har angett att för tillgång till uppgifter från de kakor som svaranden använder krävs samtycke enligt artikel 12.1 TMG, eftersom uppgifterna i fråga är personuppgifter.(55) Det förefaller dessutom inte råda någon oenighet mellan parterna i det nationella målet om att det rör sig om personuppgifter.
106. Man kan därför undra över denna frågas relevans för målet och huruvida den inte är hypotetisk.(56)
107. Oavsett hur det är med den saken anser jag att svaret på denna fråga är ganska enkelt: det gör ingen skillnad om den lagrade eller hämtade informationen utgör personuppgifter. I artikel 5.3 i direktiv 2002/58 talas om ”lagring av information, eller tillgång till information som redan är lagrad.”(57) Det står klart att all sådan information medför en integritetsaspekt, oavsett om informationen utgör ”personuppgifter” i den mening som avses i artikel 4.1 i förordning 2016/679. Som kommissionen har betonat syftar artikel 5.3 i direktiv 2002/58 till att skydda användaren från intrång i den privata sfären, oavsett om intrånget gäller personuppgifter eller andra uppgifter.
108. Denna tolkning av artikel 5.3 i direktiv 2002/58 stöds dessutom av skälen 24(58) och 25(59) i samma direktiv och av olika yttranden från Artikel 29-arbetsgruppen. Artikel 29-arbetsgruppen har angett att ”[a]rtikel 5.3 gäller för ’information’ (som lagras och/eller hämtas). Det står ingenting om vilken typ av information som avses. Informationen behöver inte bestå av personuppgifter enligt betydelsen i direktiv 95/46/EG för att bestämmelsen ska gälla”.(60)
109. Det förefaller följaktligen som att kraven i artikel 5.3 i direktiv 2002/58 inte har införlivats fullständigt med tysk rätt genom artikel 15.3 TMG.(61)
110. Jag föreslår därför att fråga 1 b besvaras så, att vid tillämpning av artiklarna 5.3 och 2 f i direktiv 2002/58, jämförda med artikel 2 h i direktiv 95/46, gör det ingen skillnad om den lagrade eller hämtade informationen utgör personuppgifter.
C. Den andra frågan
111. Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i vilken information tjänsteleverantören ska lämna för att uppfylla kravet i artikel 5.3 i direktiv 2002/58, att användaren ska ges tydlig och fullständig information, samt huruvida information även måste lämnas om kakornas funktionstid och om huruvida tredje part kommer att få tillgång till kakorna.
1. Om tydlig och fullständig information
112. I artiklarna 10 och 11 i direktiv 95/46 (och artiklarna 13 och 14 i förordning 2016/679) föreskrivs en skyldighet att lämna information till den registrerade. Skyldigheten att lämna information är kopplad till samtycket, eftersom information alltid ska lämnas innan samtycke kan erhållas.
113. Med beaktande av den begreppsmässiga närheten mellan internetanvändare (och leverantör) och konsument (och näringsidkare)(62) kan man i detta skede luta sig mot begreppet en normalt informerad och skäligen uppmärksam och medveten europeisk genomsnittskonsument,(63) som kan fatta beslut om att göra åtaganden med kännedom om samtliga omständigheter.(64)
114. På grund av kakornas tekniskt komplicerade karaktär, den asymmetriska informationen mellan leverantör och användare och mer allmänt den relativa avsaknaden av kunskap hos vilken genomsnittlig internetanvändare som helst, kan den genomsnittliga internetanvändaren emellertid inte förväntas ha en hög kunskapsnivå om hur kakor fungerar.
115. Tydlig och fullständig information innebär således att en användare enkelt måste kunna avgöra följderna av ett eventuellt samtycke. Användaren måste således kunna bedöma verkningarna av sitt handlande. Den information som lämnas måste vara lättförståelig och får inte vara tvetydig eller kunna tolkas på olika sätt. Den måste vara tillräckligt detaljerad så att användaren kan förstå hur de kakor som används faktiskt fungerar.
116. Som den hänskjutande domstolen har föreslagit innebär detta att information måste lämnas både om kakornas funktion och om huruvida tredje part kommer att få tillgång till kakorna.
2. Information om kakornas funktionstid
117. Enligt skälen 23 och 26 i direktiv 2002/58 omfattas kakornas funktionstid av kravet på informerat samtycke, vilket innebär att tjänsteleverantörerna ”bör alltid hålla abonnenterna informerade om vilka typer av uppgifter som de behandlar samt om behandlingens syfte och varaktighet”. Även om en kaka är väsentlig, ska frågan om vilket intrång den innebär granskas mot bakgrund av omständigheterna kring samtycket. Förutom att fråga sig vilka uppgifter varje kaka innehåller och huruvida den är kopplad till någon annan information som innehas om användaren, måste tjänsteleverantörerna överväga kakans livslängd och huruvida livslängden är lämplig mot bakgrund av kakans syfte.
118. Med hänsyn till de uttryckliga kraven på informationens kvalitet och tillgänglighet krävs att kakornas funktionstid anges, för att användarens samtycke ska anses informerat. Denna information är av avgörande betydelse för att den enskilde ska kunna fatta informerade beslut före uppgiftsbehandlingen.(65) Eftersom de uppgifter som samlas in via kakor ska raderas när de inte längre är nödvändiga för att uppnå det ursprungliga syftet, följer av detta, som den portugisiska och den italienska regeringen har hävdat, att användaren tydligt ska informeras om lagringstiden för de insamlade uppgifterna.
3. Information om tillgång för tredje part
119. Planet49 har hävdat att om tredje parter får tillgång till en kaka, måste användaren också informeras om detta. Om, såsom i förevarande fall, endast den tjänsteleverantör som vill installera kakan har tillgång till den, räcker det emellertid att uppmärksamma användaren på denna omständighet. Den omständigheten att tredje parter inte har tillgång måste inte påpekas separat. En sådan skyldighet är inte förenlig med lagstiftarens avsikt att informationen om uppgiftsskyddet ska vara användarvänlig och koncis.
120. Jag kan inte instämma i denna tolkning. För att informationen ska vara tydlig och fullständig, måste användaren uttryckligen informeras om huruvida tredje parter har tillgång till kakorna. Och om tredje parter har tillgång, ska deras identitet lämnas ut. Som Bundesverband har betonat är detta nödvändigt för att säkerställa ett informerat samtycke.
4. Slutsats
121. Jag föreslår därför att den andra frågan ska besvaras så, att den tydliga och fullständiga information som en tjänsteleverantör ska ge en användare i enlighet med artikel 5.3 i direktiv 2002/58 innefattar information om kakornas funktionstid och om huruvida tredje parter ges tillgång till kakorna eller inte.
V. Förslag till avgörande
122. Mot bakgrund av det ovan anförda föreslår jag att domstolen besvarar de tolkningsfrågor som har ställts av Bundesgerichtshof (Federala högsta domstolen, Tyskland) på följande sätt:
1) Giltigt samtycke i den mening som avses i artiklarna 5.3 och 2 f i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), jämförda med artikel 2 h i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, föreligger inte i en sådan situation som i det nationella målet, där lagring av information eller tillgång till information som redan är lagrad i användarens terminalutrustning tillåts genom en på förhand ikryssad ruta som användaren måste avmarkera för att vägra samtycke och där samtycke inte ges separat utan samtidigt med att användaren bekräftar sitt deltagande i en pristävling på internet.
2) Det samma gäller tolkningen av artiklarna 5.3 och 2 f i direktiv 2002/58, jämförda med artikel 4.11 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
3) Vid tillämpning av artiklarna 5.3 och 2 f i direktiv 2002/58, jämförda med artikel 2 h i direktiv 95/46, gör det ingen skillnad om den lagrade eller hämtade informationen utgör personuppgifter.
4) Den tydliga och fullständiga information som en tjänsteleverantör ska ge en användare i enlighet med artikel 5.3 i direktiv 2002/58 innefattar information om kakornas funktionstid och om huruvida tredje parter ges tillgång till kakorna eller inte.