FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

M. SZPUNAR

fremsat den 21. marts 2019(1)

Sag C-673/17

Planet49 GmbH

mod

Bundesverband der Verbraucherzentralen und
Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

(anmodning om præjudiciel afgørelse indgivet af Bundesgerichtshof (forbundsdomstol, Tyskland))

»Præjudiciel forelæggelse – direktiv 95/46/EF – direktiv 2002/58/EF – forordning (EU) 2016/679 – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – cookies – begrebet den registreredes samtykke – samtykkeerklæring ved hjælp af en forudindstillet afkrydsningsrubrik«






I.      Indledning

1.        For at deltage i en konkurrence arrangeret af Planet49 blev internetbrugeren præsenteret for to afkrydsningsfelter, som skulle vælges til eller vælges fra, før brugeren kunne nå frem til at klikke på kappen »deltagelse«. I det ene af afkrydsningsfelterne skulle brugeren acceptere at blive kontaktet af en række virksomheder med reklametilbud, et andet krævede brugerens samtykke til, at der blev installeret cookies på vedkommendes computer. Dette er, kort fortalt, de faktiske omstændigheder i denne forelæggelsesafgørelse fra Bundesgerichtshof (forbundsdomstol, Tyskland).

2.        Under disse tilsyneladende ukomplicerede faktiske omstændigheder ligger grundlæggende spørgsmål vedrørende EU’s databeskyttelseslovgivning: Hvilke krav stilles der mere præcist til informeret samtykke, der skal gives frivilligt? Er der en forskel med hensyn til behandling af personoplysninger (alene) og installation af og adgang til cookies? Hvilke retlige instrumenter finder anvendelse?

3.        I dette forslag til afgørelse vil jeg argumentere for, at kravene til samtykke for så vidt angår den foreliggende sag er de samme i henhold til direktiv 95/46/EF (2) og forordning (EU) 2016/679 (3), og at det i den foreliggende sag ikke gør nogen forskel, om der er tale om det overordnede spørgsmål om behandling af personoplysninger eller det mere specifikke spørgsmål om lagring af og adgang til oplysninger ved hjælp af cookies.

II.    Retsgrundlag

A.      EU-retten

1.      Direktiv 95/46

4.        Artikel 2 i direktiv 95/46 med overskriften »Definitioner« fastsætter:

»I dette direktiv forstås ved:

[…]

h)      »den registreredes samtykke« enhver frivillig, specifik og informeret viljetilkendegivelse, hvorved den registrerede indvilliger i, at personoplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.«

5.        I dette direktivs afdeling II, der har overskriften »Principper vedrørende grundlaget for behandling af oplysninger«, bestemmer artikel 7 i henhold til litra a):

»Medlemsstaterne fastsætter bestemmelser om, at behandling af personoplysninger kun må finde sted, hvis:

a)      der ikke hersker tvivl om, at den registrerede har givet sit samtykke, eller

[…]«

6.        Samme direktivs artikel 10, der har overskriften »Oplysningspligt ved indsamling af oplysninger hos den registrerede«, bestemmer følgende:

»Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller dennes repræsentant skal give den person, hos og om hvem der indsamles oplysninger, mindst følgende informationer, medmindre den pågældende allerede er bekendt hermed, og for så vidt som disse yderligere informationer, under hensyn til de særlige omstændigheder hvorunder oplysningerne indsamles, er nødvendige for at sikre den registrerede en rimelig behandling af oplysningerne:

a)      den registeransvarliges og eventuelt dennes repræsentants identitet

b)      formålene med den behandling, hvortil oplysningerne er bestemt

c)      alle yderligere informationer som f.eks.:

–        modtagerne eller kategorierne af modtagere

–        om det er obligatorisk eller frivilligt at besvare spørgsmålene samt mulige følger af ikke at svare

–        hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af de oplysninger, der vedrører den registrerede.«

2.      Direktiv 2002/58/EF (4)

7.        24. og 25. betragtning til direktiv 2002/58/EF (5) er affattet således:

»(24)      Terminaludstyr for brugere af elektroniske kommunikationsnet og alle oplysninger, der er lagret på sådant udstyr, er en del af brugernes privatsfære, der kræver beskyttelse i henhold til den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder. Såkaldt spionsoftware, såkaldte web bugs, skjulte identifikatorer og andre tilsvarende anordninger kan komme ind i brugerens terminal uden dennes viden for at skaffe adgang til oplysninger, for at lagre skjulte oplysninger eller for at spore brugerens aktiviteter og kan alvorligt krænke disse brugeres privatliv. Brugen af sådanne anordninger til andet end lovlige formål bør kun være tilladt med de pågældende brugeres viden.

(25)      Sådanne anordninger, f.eks. såkaldte »cookies«, kan imidlertid være et legitimt og nyttigt værktøj f.eks. til at analysere effektiviteten af et websteds design og reklame og fastslå identiteten af brugere, der beskæftiger sig med onlinetransaktioner. Hvis sådanne anordninger, for eksempel »cookies«, anvendes med et lovligt formål, som f.eks. for at lette levering af informationssamfundstjenester, bør det være tilladt at bruge dem på den betingelse, at brugere i overensstemmelse med direktiv 95/46/EF får klare og præcise oplysninger om formålet med »cookies« eller tilsvarende anordninger for at sikre, at de er klar over, hvilke oplysninger det terminaludstyr, de bruger, indeholder. Brugere bør have mulighed for at nægte, at en »cookie« eller tilsvarende anordning lagres på deres terminaludstyr. Dette er særlig vigtigt af hensyn til situationer, hvor andre end den oprindelige bruger har adgang til terminaludstyret og dermed til alle data, der indeholder følsomme oplysninger af personlig karakter, og som er lagret på dette udstyr. Information herom og retten til at nægte kan tilbydes én gang med hensyn til anvendelsen af de forskellige anordninger på brugerens terminaludstyr under den samme forbindelse og kan også omfatte senere anvendelse af de samme anordninger under senere forbindelser. Midlerne til at give oplysninger eller give ret til at nægte eller anmode om samtykke bør være så brugervenlige som muligt. Adgangen til et specifikt webstedsindhold vil fortsat kunne gøres betinget af velinformeret accept af en »cookie« eller tilsvarende anordning, hvis den anvendes til et lovligt formål.«

8.        Direktivets artikel 2 med overskriften »Definitioner« fastsætter i litra f):

»Medmindre andet angives, gælder i dette direktiv de definitioner, der er fastsat i direktiv 95/46/EF og Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og ‑tjenester (rammedirektivet) [(6)].

Følgende definitioner anvendes også:

[…]

f)      »samtykke«: givet af bruger eller abonnent svarer til den registreredes samtykke i direktiv 95/46/EF.

[…]«

9.        Direktivets artikel 5, stk. 3, med overskriften »Kommunikationshemmelighed« bestemmer:

»Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46/EF at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet eller er absolut påkrævet for at sætte udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkelig har anmodet om, i stand til at levere denne tjeneste.«

3.      Direktiv 2009/136/EF (7)

10.      66. betragtning til direktiv 2009/136/EF (8) har følgende ordlyd:

»Det kan forekomme, at tredjeparter ønsker at lagre oplysninger på en brugers udstyr eller at få adgang til allerede lagrede oplysninger til en række formål lige fra legitime formål (såsom visse typer cookies) til formål, der indebærer uberettiget krænkelse af privatsfæren (såsom spyware eller virus). Det er derfor af allerstørste betydning, at brugere får klare og fyldestgørende oplysninger, når de foretager sig noget, der kunne medføre en sådan lagring eller adgang fra tredjeparts side. Midlerne til at give oplysninger og give ret til at nægte lagring eller adgang bør gøres så brugervenlige som muligt. En undtagelse fra forpligtelsen til at give oplysninger og give ret til at nægte lagring eller adgang bør begrænses til de situationer, hvor den tekniske lagring eller adgang er strengt nødvendig til det legitime formål, der består i at gøre det muligt at benytte en specifik tjeneste, som abonnenten eller brugeren udtrykkeligt har anmodet om. Hvor det er teknisk muligt og effektivt, i overensstemmelse med de relevante bestemmelser i direktiv 95/46/EF, kan brugerens samtykke til databehandling udtrykkes gennem anvendelse af passende browserindstillinger eller andre applikationer. Håndhævelsen af disse krav bør gøres mere effektiv ved at give de relevante nationale myndigheder øgede beføjelser.«

4.      Forordning 2016/679

11.      32. betragtning til forordning 2016/679 lyder således:

»Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til.«

12.      Artikel 4, nr. 11), i nævnte forordning med overskriften »Definitioner« bestemmer:

»I denne forordning forstås ved:

[…]

11)      »samtykke« fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling

[…]«

13.      Samme forordnings artikel 6, der har overskriften »Lovlig behandling«, bestemmer:

»1.      Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a)      Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

[…]«

14.      Artikel 7 i forordning 2016/679 har overskriften »Betingelser for samtykke«. I overensstemmelse med artikel 7, stk. 4, tages der »[v]ed vurdering af, om samtykke er givet frit, […] størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt«.

B.      Tysk ret

1.      Den tyske borgerlige lovbog

15.      § 307 (9) i Bürgerliches Gesetzbuch (den tyske borgerlige lovbog, herefter »BGB«) fastsætter:

»(1)      Bestemmelser i almindelige forretningsbetingelser er ugyldige, når de i strid med kravet om god tro stiller medkontrahenten uforholdsmæssigt ringe. En kontrahent kan også stilles uforholdsmæssigt ringe derved, at bestemmelsen ikke er klar og forståelig.

(2)      I tvivlstilfælde anses en bestemmelse for at stille en part uforholdsmæssigt ringe, når den

1.      er uforenelig med de grundlæggende principper for den lovbestemmelse, som fraviges, eller

2.      indebærer en sådan begrænsning af de væsentlige rettigheder eller forpligtelser, der følger af aftalens karakter, at opfyldelsen af aftalens formål bringes i fare.

3)      Stk. 1 og 2 ovenfor og §§ 308 og 309 gælder kun for bestemmelser i almindelige forretningsbetingelser, som danner grundlag for aftaler, som fraviger eller supplerer de pågældende lovbestemmelser. Andre bestemmelser kan være ugyldige i henhold til stk. 1, andet punktum ovenfor, sammenholdt med stk. 1, første punktum ovenfor.«

2.      Lov om bekæmpelse af illoyal konkurrence

16.      Gesetz gegen den unlauteren Wettbewerb (lov om bekæmpelse af illoyal konkurrence, herefter »UWG«) forbyder handelspraksis, som udgør en uacceptabel gene for en markedsdeltager. UWG’s § 7, stk. 2, bestemmer i henhold til nr. 2, at der altid består »en formodning om uacceptabel gene i tilfælde af telefonreklame til en forbruger uden dennes forudgående udtrykkelige samtykke eller til en anden markedsdeltager uden som minimum dennes formodede samtykke«.

3.      Telemedia-loven

17.      § 12, stk. 1, i Telemediengesetz (Telemedia-loven, herefter »TMG«) gennemfører artikel 7, litra a), i direktiv 95/46 og fastlægger, under hvilke betingelser en tjenesteudbyder må indsamle og anvende personoplysninger med henblik på elektroniske medier. I henhold til denne paragraf har en tjenesteudbyder alene ret til at indsamle og anvende personoplysninger med henblik på elektroniske medier, hvis det er tilladt efter TMG eller en anden retsakt, der udtrykkeligt regulerer elektroniske medier, eller hvis brugeren giver sit samtykke hertil.

18.      TMG’s § 12, stk. 3, bestemmer, at den gældende lovgivning om personoplysninger skal finde anvendelse, selv om de pågældende oplysninger ikke behandles automatisk.

19.      I henhold til TMG’s § 13, stk. 1, skal tjenesteudbyderen oplyse brugeren ved begyndelsen af brugen om arten og omfanget af samt formålet med behandlingen af personoplysningerne samt om behandlingen af oplysninger uden for anvendelsesområdet for direktiv 95/46.

20.      TMG’s § 15, stk. 1, bestemmer, at tjenesteudbydere kun kan indsamle og behandle personoplysninger, hvis det er nødvendigt for anvendelsen af medier på internettet eller i forbindelse med udstedelse af en faktura vedrørende denne anvendelse (»brugerdata«). Brugerdata defineres bl.a. som data, der giver mulighed for identificering af brugerne.

21.      TMG’s § 15, stk. 3, gennemfører artikel 5, stk. 3, i direktiv 2002/58 og tillader en tjenesteudbyder at oprette brugerprofiler med pseudonymiserede data til reklameformål, markedsanalyser eller konfiguration af elektroniske medier, forudsat at brugeren ikke gør indsigelse, og tjenesteudbyderen har underrettet brugeren om, at vedkommende har ret til at nægte i overensstemmelse med oplysningspligten i henhold til TMG’s § 13, stk. 1.

4.      Forbundsloven om databeskyttelse

22.      § 3, stk. 1, i Bundesdatenschutzgesetz (forbundslov om databeskyttelse, herefter »BDSG«) (10) gennemfører artikel 2, litra a), i direktiv 95/46 og definerer begrebet »personoplysninger« som oplysninger om personlige eller materielle forhold hos en identificeret eller identificerbar fysisk person.

23.      § 4, litra a), i BDSG gennemfører artikel 2, litra h), i direktiv 95/46 i national ret og fastsætter, at samtykke kun er gyldigt, hvis det udspringer af de berørte personers frie valg.

III. Sagens faktiske omstændigheder, retsforhandlingerne og de præjudicielle spørgsmål

24.      Den 24. september 2013 afholdt Planet49 GmbH en salgsfremmende konkurrence på internetadressen www.dein-macbook.de (11). For at deltage i konkurrencen skulle internetbrugeren indtaste sit postnummer, hvilket førte brugeren videre til en side med felter, hvor vedkommende skulle indtaste navn og adresse. Under indtastningsfelterne til adressen fandtes to oplysningstekster, som var forsynet med afkrydsningsrubrikker. Dem vil jeg herefter betegne som »første afkrydsningsrubrik« og »anden afkrydsningsrubrik«. Den første oplysningstekst, hvis afkrydsningsrubrik ikke var forsynet med et forudindstillet hak, lød:

»Jeg er indforstået med, at nogle sponsorer og samarbejdspartnere via post eller telefonisk eller via e-mail/sms informerer mig om tilbud inden for deres respektive forretningsområder. Disse kan jeg selv fastlægge her, ellers foretager arrangøren valget. Jeg kan til enhver tid tilbagekalde mit samtykke. Yderligere oplysninger herom kan findes her.«

25.      Den anden oplysningstekst, som var forsynet med et forudindstillet hak, lød:

»Jeg er indforstået med, at webanalysetjenesten Remintrex anvendes hos mig. Dette har til følge, at spilarrangøren, Planet49 GmbH, efter registrering til konkurrencen installerer cookies, hvilket gør det muligt for Planet49 at foretage en analyse af min surf- og anvendelsesadfærd på reklamepartneres websites og dermed åbner mulighed for interessemålrettet reklame ved hjælp af Remintrex. Jeg kan til enhver tid slette disse cookies. Læs mere her.«

26.      Det var kun muligt at deltage i konkurrencen, hvis der som minimum blev sat hak i den første afkrydsningsrubrik.

27.      Det elektroniske link under ordene »sponsorer og samarbejdspartnere« og »her« i den første oplysningstekst førte til en liste, som indeholdt 57 virksomheder, deres adresse, det pågældende forretningsområde og den kommunikationsform, der blev benyttet til reklamen (e-mail, post eller telefon), samt efter hver virksomhed det understregede ord »frameld«. Over listen stod følgende oplysning:

»Ved at klikke på linket »frameld« beslutter jeg, at der ikke må gives reklamesamtykke til den pågældende partner/sponsor. Hvis jeg ikke har fravalgt nogen eller tilstrækkeligt mange partnere/sponsorer), vælger Planet49 for mig partnere/sponsorer efter eget skøn (maksimalt antal: 30 partnere/sponsorer).«

28.      Når man aktiverede det elektroniske link under ordet »her« i den anden oplysningstekst, blev følgende information vist:

»De installerede cookies med navnene ceng_cache, ceng_etag, ceng_png og gcr er små filer, som lagres på din harddisk af den browser, du anvender, og som formidler bestemte informationer, der giver en mere brugervenlig og effektiv reklame. Cookierne indeholder et bestemt tilfældigt genereret nummer (ID), som samtidig er knyttet til dine registreringsdata. Når du efterfølgende besøger en hjemmeside tilhørende en reklamepartner, som er registreret for Remintrex (det fremgår af den pågældende reklamepartners databeskyttelseserklæring, om en sådan registrering foreligger), registreres det automatisk på grundlag af en heri integreret iFrame fra Remintrex, at du (dvs. brugeren med det lagrede ID) har besøgt siden, hvilket produkt du har vist interesse for, og om der er gennemført et salg.

Efterfølgende kan Planet49 GmbH på grundlag af det samtykke til reklame, som du afgav i forbindelse med registreringen til konkurrencen, sende dig reklamemails, som tager hensyn til de interesser, du har udvist på reklamepartnerens hjemmeside. Hvis du tilbagekalder reklametilladelsen, modtager du naturligvis ikke flere e-mailreklamer.

De oplysninger, som formidles via cookierne, anvendes udelukkende til reklame, hvor reklamepartnerens produkter præsenteres. Oplysningerne indsamles, lagres og anvendes separat for hver enkelt reklamepartner. Der oprettes aldrig brugerprofiler på tværs af reklamepartnere. De enkelte reklamepartnere modtager ingen personoplysninger.

Hvis du ikke længere har interesse i anvendelsen af cookierne, kan du til enhver tid slette dem fra din browser. Du kan finde en vejledning til dette i din browsers hjælpefunktion.

Cookierne kan ikke udføre programmer eller overføre vira.

Du kan naturligvis til enhver tid tilbagekalde dette samtykke. Du kan sende din tilbagekaldelse skriftligt til PLANET49 GmbH [adresse]. Det er dog også tilstrækkeligt med en e-mail til vores kundeservice [e-mailadresse].«

29.      Sagsøgeren i hovedsagen, Bundesverband der Verbraucherzentralen (sammenslutningen af tyske forbrugerorganisationer, herefter »Bundesverband«), er registreret på listen over kvalificerede organisationer i henhold til Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (lov om søgsmål med nedlæggelse af påstand om forbud i forbindelse med overtrædelser af lovgivningen om forbrugerrettigheder og andre love, herefter »UKlaG«). Ifølge Bundesverband opfyldte de førnævnte samtykkeerklæringer, der anvendes af Planet49, ikke de krav, som er fastsat i BGB’s § 307, UWG’s § 7, stk. 2, nr. 2, og TMG’s § 12 ff. Et administrativt påbud forud for retssagen var forgæves.

30.      Bundesverband anlagde sag ved Landgericht Frankfurt am Main (den regionale ret i første instans i Frankfurt am Main, Tyskland) med påstand om, at Planet49 forbydes at anvende de ovennævnte klausuler (12), og at dette selskab tilpligtes at betale sagsøgeren 214 EUR med tillæg af rente fra den 15. marts 2014.

31.      Landgericht Frankfurt am Main (den regionale ret i første instans i Frankfurt am Main) gav sagsøgeren medhold i visse påstande og frifandt i øvrigt sagsøgte. Efter appel iværksat til prøvelse af realiteten (13) til Oberlandesgericht i Frankfurt am Main (den regionale appeldomstol i Frankfurt am Main, Tyskland) blev der indgivet en revisionsanke til Bundesgerichtshof (forbundsdomstol) (14).

32.      Bundesgerichtshof (forbundsdomstol) fandt, at udfaldet af revisionsankesagen afhang af fortolkningen af artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 2, litra h), i direktiv 95/46 og med artikel 6, stk. 1, litra a), i forordning 2016/679 og har forelagt Domstolen følgende præjudicielle spørgsmål:

»1)      a)      Er der tale om et gyldigt samtykke som omhandlet i artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58/EF, sammenholdt med artikel 2, litra h), i direktiv 95/46/EF, når lagringen af oplysninger eller adgang til oplysninger, som allerede er lagret på brugerens terminal, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke?

b)      Gør det en forskel i forbindelse med anvendelsen af artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58/EF, sammenholdt med artikel 2, litra h), i direktiv 95/46/EF, om de oplysninger, der lagres eller hentes, er personoplysninger?

c)      Foreligger der under de omstændigheder, der er nævnt i spørgsmål 1[, litra] a), samtykke som omhandlet i artikel 6, stk. 1, litra a), i forordning (EU) 2016/679?

2)      Hvilke oplysninger skal tjenesteudbyderen give brugeren i forbindelse med de klare og fyldestgørende oplysninger, der skal gives i henhold til artikel 5, stk. 3, i direktiv 2002/58/EF? Omfatter disse også cookiernes funktionsvarighed og spørgsmålet om, hvorvidt tredjemand får adgang til cookierne?«

33.      Forelæggelsesafgørelsen indgik til Domstolen den 30. november 2017. Der er indgivet skriftlige indlæg af Planet49, Bundesverband, den portugisiske og den italienske regering samt af Europa-Kommissionen. Der blev afholdt retsmøde den 13. november 2018 med deltagelse af Planet49, Bundesverband, den tyske regering og Kommissionen.

IV.    Bedømmelse

34.      Begge de præjudicielle spørgsmål, Bundesgerichtshof (forbundsdomstol) har indgivet, vedrører afgivelse af samtykke til lagring af oplysninger og adgang til oplysninger, der allerede er lagret på brugerens terminal, dvs. cookies, særligt i forbindelse med bestemmelserne i direktiv 2002/58, sammenholdt med bestemmelserne i direktiv 95/46 eller forordning 2016/679.

35.      Som indledende bemærkninger finder jeg det hensigtsmæssigt at tilvejebringe en faktuel afklaring af fænomenet cookies og terminologien i den forbindelse samt skabe juridisk klarhed over, hvilke retlige instrumenter der gælder for den foreliggende sag.

A.      Indledende bemærkninger

1.      Om cookies

36.      En cookie er en måde, hvorpå der indsamles oplysninger, som genereres af et websted og gemmes af en internetbrugers browser (15). Det er et lille dataelement eller en tekstfil, normalt med en størrelse på under én kbyte, som et websted anmoder en internetbrugers browser om at gemme på den lokale harddisk på brugerens computer eller mobile enhed (16).

37.      En cookie gør det muligt for webstedet at »huske« brugerens handlinger og præferencer over tid. De fleste webbrowsere understøtter cookies, men brugerne kan indstille deres browsere til at afvise dem. De kan også slette dem, når de vil. Mange brugere fastsætter cookieindstillingerne i deres browsere, således at de som standard automatisk sletter cookies, når browservinduet lukkes. Når det er sagt, er der stærkt empirisk belæg for, at folk sjældent ændrer standardindstillinger, et fænomen, der er blevet kaldt »default inertia« (standardpassivitet) (17).

38.      Websteder benytter cookies med henblik på at identificere brugere, huske deres sædvanlige præferencer og gøre det muligt for brugerne at udføre opgaver uden at skulle genindtaste oplysninger, når de browser fra én side til en anden, eller ved efterfølgende besøg på stedet.

39.      Cookies kan også bruges til at indsamle oplysninger om onlineadfærd med henblik på målrettet reklame og markedsføring (18). F.eks. anvender virksomheder software til sporing af brugeradfærd og opbygning af personlige profiler, som giver brugerne mulighed for at få vist reklamer, der er relevante i forhold til en brugers tidligere søgninger (19).

40.      Der findes forskellige typer cookies, hvoraf nogle er klassificeret efter cookiens levetid (f.eks. sessionscookies og faste cookies), mens andre er baseret på det domæne, som cookien tilhører (f.eks. førsteparts- og tredjepartscookies) (20). Når webserveren, der leverer webstedet, lagrer cookies på brugerens computer eller mobile enhed, kaldes de »HTTP-header«-cookies (21). En anden måde, hvorpå der kan lagres cookies, er gennem en JavaScript-kode, som er indeholdt i eller baseret på den pågældende side (22). Gyldigheden af samtykke til installation af cookies og anvendelsen af eventuelle relevante undtagelser bør imidlertid vurderes på grundlag af formålet med cookien snarere end et teknisk kendetegn ved cookien (23).

2.      Om de gældende retlige instrumenter

41.      De lovgivningsmæssige rammer, som finder anvendelse i hovedsagen, har udviklet sig over årene op til senest ikrafttrædelsen af forordning 2016/679.

42.      To sæt EU-retlige instrumenter finder anvendelse på den foreliggende sag. For det første direktiv 95/46 og forordning 2016/679. For det andet direktiv 2002/58, som ændret ved direktiv 2009/136 (24).

43.      Jeg vil gerne fremsætte to bemærkninger med hensyn til disse to sæt instrumenter.

44.      Den første bemærkning vedrører anvendelsen af direktiv 95/46 og forordning 2016/679.

45.      Forordning 2016/679, der har været gældende siden den 25. maj 2018 (25), ophævede direktiv 95/46 med virkning fra samme dato (26).

46.      Denne dato, dvs. den 25. maj 2018, ligger efter det sidste retsmøde ved den forelæggende ret den 14. juli 2017 og således også efter den 5. oktober 2017, hvor den foreliggende sag blev henvist til Domstolen med henblik på en præjudiciel afgørelse.

47.      Ergo er den gældende lovgivning for forhold før den 25. maj 2018 direktiv 2002/58, sammenholdt med direktiv 95/46, mens det for forhold fra og med den 25. maj 2018 er direktiv 2002/58, sammenholdt med forordning 2016/679.

48.      For så vidt som Bundesverband med det forbud, der søges nedlagt (27), i fremtiden ønsker at forhindre Planet49 i den adfærd, virksomheden har udvist, finder forordning 2016/679 anvendelse i den foreliggende sag. I sin afgørelse om forbuddet for fremtiden skal Bundesgerichtshof (forbundsdomstol) derfor tage hensyn til kravene i forordning 2016/679. I denne forbindelse har den tyske regering henvist til fast national retspraksis vedrørende den relevante retlige situation i søgsmål med påstand om forbud (28).

49.      Som følge heraf skal det præjudicielle spørgsmål derfor besvares i forhold til både direktiv 95/46 og forordning 2016/679 (29).

50.      Desuden bør det bemærkes, at henvisninger i direktiv 2002/58 til direktiv 95/46 skal forstås som henvisninger til forordning 2016/679 (30).

51.      Den anden bemærkning vedrører udviklingen i artikel 5, stk. 3, i direktiv 2002/58.

52.      Direktiv 2002/58 har til formål at sikre fuld respekt for de rettigheder, som er anført i Den Europæiske Unions charter om grundlæggende rettigheder, navnlig artikel 7 og 8 (31). Direktivets artikel 5 har til formål at sikre »kommunikationshemmeligheden«. Navnlig regulerer artikel 5, stk. 3, brugen af cookies og fastsætter de betingelser, som skal være opfyldt, for at der kan lagres data i eller opnås adgang til en brugers computer via installation af en cookie.

53.      Med direktiv 2009/136 indførtes væsentlige ændringer i kravene til samtykke i henhold til artikel 5, stk. 3, i direktiv 2002/58 for at styrke brugernes beskyttelse. Før de ændringer, som blev indført ved dette direktiv, var det blot et krav ifølge artikel 5, stk. 3, at brugerne fik mulighed for et informeret »fravalg« af databehandling via cookies. I overensstemmelse med den oprindelige affattelse af artikel 5, stk. 3, skulle den registeransvarlige ved lagring af oplysninger eller med henblik på at opnå adgang til oplysninger, der er lagret i brugerens terminaludstyr, sikre, at brugeren får klare og fyldestgørende oplysninger, især om formålet med behandlingen, og får ret til at nægte den registeransvarlige en sådan behandling.

54.      Direktiv 2009/136 erstattede dette krav om oplysning om retten til at afvise med et krav om, »at abonnenten eller brugeren har givet sit samtykke hertil«, hvilket betyder, at det erstattede den informerede fravalgsordning, som det var lettere at opfylde, med en informeret tilvalgsordning. Med forbehold for en meget begrænset undtagelse, som ikke finder anvendelse på den foreliggende sag (32), er anvendelsen af cookies i henhold til den reviderede artikel 5, stk. 3, i direktiv 2002/58 kun tilladt, hvis brugeren har givet sit samtykke hertil efter at have fået klare og fyldestgørende oplysninger i overensstemmelse med direktiv 95/46 om, hvorfor hans eller hendes oplysninger bliver sporet, dvs. formålet med behandlingen (33).

55.      Som det vil fremgå nærmere nedenfor, er omfanget af kravet om at give oplysninger i henhold til artikel 5, stk. 3, i direktiv 2002/58 kernen i tvisten, navnlig i forbindelse med standardindstillingerne for onlineaktiviteter.

B.      Spørgsmål 1

56.      Med spørgsmål 1, litra a), ønsker den forelæggende ret oplyst, hvorvidt det udgør et gyldigt samtykke i henhold til artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 2, litra h), i direktiv 95/46, hvis lagringen af oplysninger eller adgang til oplysninger, der allerede er lagret i brugerens terminaludstyr, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke. I denne forbindelse ønsker den forelæggende ret oplyst, om det gør en forskel, om de oplysninger, der lagres eller hentes, udgør personoplysninger [spørgsmål 1, litra b)]. Endelig ønsker den forelæggende ret at vide, om der under de omstændigheder, der er nævnt ovenfor, foreligger et gyldigt samtykke som omhandlet i artikel 6, stk. 1, litra a), i forordning 2016/679 [spørgsmål 1, litra c)].

1.      Om frit og informeret samtykke

57.      Samtykke er en iboende del af EU’s lovgivning om databeskyttelse.

58.      Inden jeg behandler det specifikke spørgsmål om cookies, vil jeg gerne fastslå, hvilke generelle principper der følger af de relevante retsakter om afgivelse af samtykke.

a)      I henhold til direktiv 95/46

1)      Aktivt samtykke

59.      Jeg udleder af bestemmelserne i direktiv 95/46, at samtykke skal komme til udtryk på en aktiv (34) måde.

60.      Artikel 2, litra h), i direktiv 95/46 omhandler en viljetilkendegivelse fra den registrerede, hvilket tydeligt peger på en aktiv og ikke passiv adfærd. Hertil kommer, at artikel 7, litra a), i direktiv 95/46, der omhandler principperne vedrørende grundlaget for behandling af oplysninger (personoplysninger), fastsætter, at der ikke hersker tvivl om, at den registrerede har givet sit samtykke. Igen kan tvetydighed kun fjernes med en aktiv, i modsætning til en passiv, adfærd.

61.      Jeg udleder heraf, at det ikke er tilstrækkeligt i denne henseende, hvis brugerens samtykkeerklæring er formuleret på forhånd, og når brugeren aktivt skal gøre indsigelse, hvis vedkommende ikke er indforstået med behandlingen af oplysninger.

62.      I den sidstnævnte situation kan man ikke vide, om en sådan standardtekst er læst og forstået. Situationen er ikke entydig. En bruger har måske eller måske ikke læst teksten. Den pågældende har måske undladt at læse den på grund af ren og skær forsømmelighed. I en sådan situation er det ikke muligt at fastslå, hvorvidt et samtykke er afgivet frivilligt.

2)      Særskilt samtykke

63.      Særskilt samtykke er tæt knyttet til kravet om aktivt samtykke (35).

64.      Man kan argumentere for, som Planet49 gør det, at den registrerede afgiver et gyldigt samtykke, ikke når vedkommende ikke fravælger en forhåndsformuleret samtykkeerklæring, men når den pågældende aktivt klikker på knappen for deltagelse i konkurrencen på internettet.

65.      Jeg kan ikke tilslutte mig en sådan fortolkning.

66.      For at et samtykke skal være en »frivillig« og »informeret« viljetilkendegivelse, skal det ikke kun være aktivt, men også særskilt. Den aktivitet, en bruger udøver på internettet (læser en webside, deltager i en konkurrence, ser en video osv.), og afgivelsen af et samtykke kan ikke indgå i den samme handling. Navnlig set ud fra brugerens perspektiv kan afgivelse af samtykke ikke fremstå som en underordnet handling i forhold til deltagelsen i konkurrencen. Begge handlinger skal, navnlig rent optisk, fremstå som ligestillede. Som følge heraf forekommer det mig tvivlsomt, at et samlet bundt af udtryk for hensigt, der omfatter afgivelse af samtykke, ville være i overensstemmelse med begrebet samtykke i henhold til direktiv 95/46.

3)      Forpligtelse til at informere fyldestgørende

67.      I denne forbindelse skal det gøres krystalklart for en bruger, om den aktivitet, vedkommende udøver på internettet, er betinget af, at der afgives samtykke. En bruger skal være i stand til at vurdere, i hvilket omfang vedkommende er villig til at afgive oplysninger med henblik på at fortsætte sin aktivitet på internettet. Der må ikke være plads til nogen tvetydighed overhovedet (36). En bruger skal vide, om og i givet fald i hvilket omfang vedkommendes afgivelse af samtykke har indflydelse på vedkommendes udøvelse af aktiviteten på internettet.

b)      I henhold til forordning 2016/679

68.      De ovenfor fastslåede principper gælder ligeledes for forordning 2016/679.

69.      Artikel 4, nr. 11), i forordning 2016/679 definerer samtykke fra den registrerede som enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

70.      Det bør bemærkes, at denne definition er strengere end den i artikel 2, litra h), i direktiv 95/46, idet den kræver en utvetydig viljestilkendegivelse fra den registrerede og en klar bekræftelse, hvorved vedkommende indvilliger i behandling af personoplysninger.

71.      Desuden er betragtningerne til forordning 2016/679 særdeles oplysende. Da jeg i vidt omfang vil henvise til betragtningerne (37), føler jeg mig nødsaget til at minde om, at de naturligvis ikke er retligt bindende (38), men at Domstolen ofte anvender dem ved fortolkningen af bestemmelser i en EU-retsakt. I EU-retsordenen er de beskrivende og ikke normgivende. Spørgsmålet om deres retsvirkning er normalt uden betydning af den simple grund, at betragtningerne typisk afspejles i et direktivs lovbestemmelser. God lovgivningspraksis fra EU’s politiske institutioner sigter normalt mod at opnå en situation, hvor betragtningerne danner en nyttig baggrund for bestemmelserne i en retsakt (39).

72.      I henhold til 32. betragtning til forordning 2016/679 bør samtykke gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke.

73.      Aktivt samtykke er derfor nu udtrykkeligt fastsat i forordning 2016/679.

74.      Endvidere hedder det i 43. betragtning til nævnte forordning, at for at sikre, at samtykke er givet frivilligt, bør samtykke ikke udgøre et gyldigt retsgrundlag for behandling af personoplysninger i et specifikt tilfælde, hvis der er en klar skævhed mellem den registrerede og den dataansvarlige, navnlig hvis den dataansvarlige er en offentlig myndighed, og det derfor er usandsynligt, at samtykket er givet frivilligt under hensyntagen til alle de omstændigheder, der kendetegner den specifikke situation. Samtykke formodes ikke at være givet frivilligt, hvis det ikke er muligt at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger, selv om det er hensigtsmæssigt i det enkelte tilfælde, eller hvis opfyldelsen af en kontrakt, herunder ydelsen af en tjeneste, gøres afhængig af samtykke, selv om et sådant samtykke ikke er nødvendigt for dennes opfyldelse.

75.      De tilfælde, hvor der kræves særskilt samtykke, er derfor nu udtrykkeligt understreget i denne betragtning.

c)      I henhold til direktiv 2002/58 – for så vidt angår cookies

76.      I henhold til artikel 5, stk. 3, i direktiv 2002/58 skal medlemsstaterne sikre, at lagring af oplysninger eller adgang til oplysninger, der er lagret, i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren, der har givet sit samtykke, får klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen i overensstemmelse med direktiv 95/46.

77.      Denne bestemmelse fastsætter ikke yderligere kriterier for så vidt angår begrebet samtykke.

78.      Imidlertid indeholder betragtningerne til direktiv 2002/58 og direktiv 2009/136 en vejledning om samtykke til cookies.

79.      Således fremgår det af 17. betragtning til direktiv 2002/58, at samtykke kan gives ved ethvert passende middel, der muliggør en frit givet, specifik og informeret angivelse af brugerens ønsker, herunder ved at afkrydse en rubrik, når man besøger et internetwebsted (40).

80.      Desuden forklares det i 66. betragtning til direktiv 2009/136, at det er af allerstørste betydning, at brugere får klare og fyldestgørende oplysninger, når de foretager sig noget, der kunne medføre en sådan lagring af oplysninger på brugerens udstyr eller adgang til allerede lagrede oplysninger, og at midlerne til at give oplysninger og give ret til at nægte lagring eller adgang bør gøres så brugervenlige som muligt.

81.      I denne forbindelse vil jeg også gerne henvise til det ikke-bindende, men dog oplysende arbejde i »Artikel 29«-Gruppen vedrørende Databeskyttelse (herefter »Artikel 29«-Gruppen) (41), i henhold til hvilken samtykke forudsætter en forudgående bekræftende handling fra brugere, som accepterer lagringen af cookien og brugen af cookien (42). Ifølge den samme gruppe lader begrebet »viljetilkendegivelse« til at forudsætte, at der kræves en handling (43). Andre elementer i definitionen af samtykke og de yderligere krav i artikel 7, litra a), i direktiv 95/46 om, at samtykke skal være utvetydigt, støtter denne fortolkning (44). Kravet om, at den registrerede skal »indvillige«, tyder på, at passivitet alene er utilstrækkelig, og at det kræver en eller anden form for handling, for at der kan være tale om samtykke, idet forskellige former for handlinger, som skal vurderes »ud fra sammenhængen«, dog er mulige (45).

2.      Anvendelse i den foreliggende sag

82.      Jeg vil nu anvende disse kriterier på den foreliggende sag. I den forbindelse vil jeg først behandle spørgsmål 1, litra a) og c), dvs. spørgsmålet om, hvorvidt der har været tale om gyldigt samtykke vedrørende installation af og adgang til brug af cookies. Dette omfatter den anden afkrydsningsrubrik.

83.      På baggrund af, at kravene til samtykke – som det netop er fastslået – ikke varierer væsentligt for så vidt angår cookies og mere generelt behandlingen af personoplysninger, finder jeg det for at sikre en korrekt og ensartet fortolkning af EU-retten endvidere nødvendigt, både for fuldstændighedens skyld og af hensyn til klarheden, kort at analysere, om der har været tale om et gyldigt samtykke til behandlingen af personoplysninger i forbindelse med den første afkrydsningsrubrik, selv om den forelæggende ret ikke udtrykkeligt har rejst dette spørgsmål. Jeg kan også forstå, at Bundesgerichtshof (forbundsdomstol) i forbindelse med den verserende sag vil skulle træffe afgørelse om den første afkrydsningsrubrik (46).

a)      Den anden afkrydsningsrubrik – spørgsmål 1, litra a) og c)

84.      Den forelæggende ret ønsker oplyst, om der er tale om et gyldigt samtykke som omhandlet i artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 2, litra h), i direktiv 95/46, når lagringen af oplysninger eller adgang til oplysninger, der allerede er lagret i brugerens terminaludstyr, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke.

85.      De afgørende udtryk i artikel 2, litra h), i direktiv 95/46 og i artikel 4, nr. 11), i forordning 2016/679 med henblik på dette spørgsmål er »frivillig« og »informeret«. Spørgsmålet er, om der i en situation som den, der er beskrevet af den forelæggende ret, kan gives et frivilligt samtykke på et informeret grundlag.

86.      Planet49 anser dette for at være tilfældet. Alle de øvrige procesdeltagere (47) er uenige. I denne forbindelse fokuserede procesdeltagernes juridiske debat primært på, om afkrydsning eller fjernelse af afkrydsning i en afkrydsningsrubrik forsynet med et forudindstillet hak opfylder disse krav. Debatten drejer sig om spørgsmålet om aktivitet og passivitet. Dette aspekt, hvor vigtigt det end er, udgør imidlertid kun en del af kravene. For det omhandler kun kravet om aktivt, men ikke om særskilt samtykke.

87.      På grundlag af de kriterier, der er opstillet ovenfor, er svaret efter min opfattelse, at der ikke er tale om noget gyldigt samtykke i den foreliggende sag.

88.      For det første opfylder kravet om, at en bruger positivt skal fjerne afkrydsningen i en rubrik og derfor bliver aktiv, hvis vedkommende ikke giver samtykke til installation af cookies, ikke kriteriet om aktivt samtykke. I en sådan situation er det nærmest umuligt objektivt at afgøre, om brugeren har givet sit samtykke på grundlag af en frivillig og informeret beslutning. Hvis det derimod kræves, at brugeren afkrydser en rubrik, gør det en sådan påstand langt mere sandsynlig.

89.      For det andet, og mere væsentligt, kan deltagelse i konkurrencen på internettet og afgivelse af samtykke til installation af cookies ikke udgøre en del af den samme handling. Dette er imidlertid netop tilfældet i den foreliggende sag. I sidste ende foretager en bruger kun et klik på deltagelsesknappen for at deltage i konkurrencen. Samtidig giver vedkommende samtykke til installation af cookies. Der afgives på samme tid to hensigtserklæringer (om deltagelse i konkurrencen og samtykke til installation af cookies). Disse to erklæringer kan ikke begge være omfattet af den samme deltagelsesknap. I den foreliggende sag forekommer samtykket til cookies at være af underordnet karakter i den forstand, at det på ingen måde er klart, at det indgår i en særskilt handling. Med andre ord virker afkrydsning eller fjernelse af afkrydsning i afkrydsningsrubrikken vedrørende cookies som en forberedelse til den endelige og retligt bindende handling, som er at klikke på deltagelsesknappen.

90.      I en sådan situation er en bruger ikke i stand til frivilligt at give særskilt samtykke til lagring af oplysninger eller adgang til oplysninger, der allerede er lagret i vedkommendes terminaludstyr.

91.      Det er desuden blevet fastslået ovenfor, at deltagelse i konkurrencen kun var mulig, hvis der som minimum var blevet sat et hak i den første afkrydsningsrubrik. Som følge heraf var deltagelsen i konkurrencen ikke betinget (48) af, at der var givet samtykke til installation af og adgang til cookies. For en bruger kunne lige så godt have klikket på den første rubrik (alene).

92.      Efter min bedste overbevisning blev brugeren imidlertid på intet tidspunkt underrettet herom. Dette opfylder ikke kriterierne om fyldestgørende information af brugerne, der er fastslået ovenfor.

93.      Kort sagt er min foreslåede besvarelse af spørgsmål 1, litra a) og c), at der ikke er tale om et gyldigt samtykke som omhandlet i artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 2, litra h), i direktiv 95/46, i en situation som den, der foreligger i hovedsagen, hvor lagring af oplysninger eller adgang til oplysninger, der allerede er lagret i brugerens terminaludstyr, er tilladt ved en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke, og hvor samtykket ikke gives særskilt, men på samme tid som bekræftelsen på deltagelse i en konkurrence på internettet. Det samme gælder fortolkningen af artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 4, nr. 11), i forordning 2016/679.

b)      Den første afkrydsningsrubrik

94.      Selv om den forelæggende rets spørgsmål udelukkende vedrører den anden afkrydsningsrubrik, vil jeg fremsætte to specifikke bemærkninger til afkrydsningsrubrik 1, som kan bistå den forelæggende ret i dens endelige afgørelse.

95.      Det erindres, at den første afkrydsningsrubrik ikke omhandler cookies, men kun behandling af personoplysninger. Her indvilliger brugeren ikke i at få oplysninger lagret på sit udstyr, men (alene) i at blive kontaktet pr. post, telefon eller e-mail af virksomheder, der er anført på en liste.

96.      For det første finder kriterierne om aktivt og særskilt samtykke og fyldestgørende oplysninger naturligvis også anvendelse på den første afkrydsningsrubrik. Aktivt samtykke synes ikke at udgøre et problem, da der ikke på forhånd er sat hak i afkrydsningsrubrikken. Derimod er jeg noget i tvivl med hensyn til særskilt samtykke. På grundlag af ovenstående analyse (49) af de faktiske omstændigheder i den foreliggende sag ville det være bedre, hvis der billedligt talt skulle klikkes på en særskilt knap (50) i stedet for blot sættes hak i en afkrydsningsrubrik for at give samtykke til behandling af personoplysninger.

97.      Hvad for det andet angår den første afkrydsningsrubrik vedrørende henvendelse fra sponsorer og samarbejdspartnere bør der tages hensyn til artikel 7, stk. 4, i forordning 2016/679. Ved vurderingen af, om samtykke er givet frit, tages der i henhold til denne bestemmelse størst muligt hensyn til, bl.a. om opfyldelsen af en kontrakt, herunder om ydelsen af en tjeneste, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for dennes opfyldelse. Artikel 7, stk. 4, i forordning 2016/679 kodificerer derfor nu et »forbud mod bundtning« (51).

98.      Som det fremgår af ordlyden »tages der størst muligt hensyn til«, er forbuddet mod bundtning ikke af absolut karakter (52).

99.      Her skal den kompetente ret vurdere, om samtykket til behandlingen af personoplysninger er nødvendig for at deltage i konkurrencen. I denne forbindelse bør det erindres, at det underliggende formål med deltagelse i konkurrencen er »salg« af personoplysninger (dvs. at brugeren accepterer at blive kontaktet af såkaldte »sponsorer« med henblik på reklametilbud). Brugerens hovedforpligtelse for at deltage i konkurrencen er med andre ord levering af personoplysninger. I en sådan situation forekommer det mig, at behandlingen af disse personoplysninger er nødvendig for at deltage i konkurrencen (53).

3.      Om personoplysninger [spørgsmål 1, litra b)]

100. Jeg vil nu undersøge, om det i forbindelse med anvendelsen af artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 2, litra h), i direktiv 95/46, gør en forskel, om de oplysninger, der lagres eller hentes, er personoplysninger.

101. Dette spørgsmål forstås bedst på baggrund af tysk ret om gennemførelse af artikel 5, stk. 3, i direktiv 2002/58 (54). I tysk ret er der således fastsat en forskel mellem indsamling og anvendelse af personoplysninger og andre data.

102. I henhold til TMG’s § 12, stk. 1, kan en tjenesteudbyder kun indsamle og anvende personoplysninger, bl.a. hvis brugeren har givet samtykke hertil.

103. Ifølge TMG’s § 15, stk. 3, kan en tjenesteudbyder derimod oprette brugerprofiler til anvendelse af pseudonymer, bl.a. med henblik på reklame og markedsanalyse, hvis brugeren ikke gør indsigelse mod dette. For så vidt som der ikke er tale om personoplysninger, er kravet derfor mindre strengt i henhold til tysk ret: ikke samtykke, men blot ikke indsigelse.

104. Personoplysninger er retligt defineret i artikel 4, nr. 1), i forordning 2016/679 som »enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet«.

105. Jeg mener, at det er hævet over enhver tvivl, at »oplysninger« som omhandlet i artikel 5, stk. 3, i direktiv 2002/58 for så vidt angår den foreliggende sag er »personoplysninger«. Dette ser også ud til at være den forelæggende rets synspunkt, idet den udtrykkeligt i sin forelæggelsesafgørelse har anført, at hentning af data fra de af sagsøgte anvendte cookies er omfattet af samtykkekravet i TMG’s § 12, stk. 1, idet der er tale om personoplysninger (55). Det ser desuden heller ikke ud til at være omtvistet mellem parterne i hovedsagen, at der her er tale om personoplysninger.

106. Man kan derfor spekulere på, om dette spørgsmål er relevant for den foreliggende sag, og om ikke spørgsmålet er hypotetisk (56).

107. Hvorom alting er, mener jeg, at besvarelsen af dette spørgsmål er ganske ligetil, for det gør ingen forskel, om de oplysninger, der lagres eller hentes, udgør personoplysninger. Artikel 5, stk. 3, i direktiv 2002/58 henviser til »lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret« (57). Det er klart, at der er et privatlivsaspekt ved alle disse oplysninger, uanset om de udgør »personoplysninger« som omhandlet i artikel 4, nr. 1), i forordning 2016/679 eller ej. Som Kommissionen med rette har fremhævet, har artikel 5, stk. 3, i direktiv 2002/58 til formål at beskytte brugeren mod indgreb i hans eller hendes privatsfære, uanset om dette indgreb omfatter personoplysninger eller andre data.

108. En sådan fortolkning af artikel 5, stk. 3, i direktiv 2002/58 bekræftes i øvrigt af 24. (58) og 25. (59) betragtning til dette direktiv samt udtalelser fra »Artikel 29«-Gruppen. Ifølge denne gruppe gælder »[a]rtikel 5, stk. 3, […] for »oplysninger« (der er lagret eller opnås adgang til). Den kvalificerer ikke sådanne oplysninger. Det er ikke en forudsætning for anvendelsen af denne bestemmelse, at oplysningerne er personoplysninger som defineret i direktiv 95/46/EF« (60).

109. Som følge heraf ser det ud til, at TMG’s § 15, stk. 3, ikke til fulde gennemfører kravene i artikel 5, stk. 3, i direktiv 2002/58, i tysk ret (61).

110. Jeg foreslår derfor at besvare spørgsmål 1, litra b), således, at for så vidt angår anvendelsen af artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 2, litra h), i direktiv 95/46, gør det ingen forskel, om de oplysninger, der lagres eller hentes, er personoplysninger.

C.      Spørgsmål 2

111. Med spørgsmål 2 ønsker den forelæggende ret oplyst, hvilke oplysninger tjenesteudbyderen skal give brugeren i forbindelse med de klare og fyldestgørende oplysninger, der skal gives i henhold til artikel 5, stk. 3, i direktiv 2002/58, og om dette også omfatter cookiernes funktionsvarighed og spørgsmålet om, hvorvidt tredjemand får adgang til cookierne.

1.      Om klare og fyldestgørende oplysninger

112. Artikel 10 og 11 i direktiv 95/46 (og artikel 13 og 14 i forordning 2016/679) fastsætter en forpligtelse til at give oplysninger til de registrerede. Oplysningspligten er knyttet til samtykke, idet der altid skal være oplysninger, inden der kan blive tale om samtykke.

113. I betragtning af den begrebsmæssige lighed mellem en internetbruger (og ‑udbyder) og en forbruger (og erhvervsdrivende) (62) kan man på dette stadium anvende begrebet den gennemsnitlige europæiske forbruger, der er almindeligt oplyst, rimeligt opmærksom og velunderrettet (63) og er i stand til at træffe en kvalificeret beslutning om at indgå forpligtelser (64).

114. På grund af cookiers tekniske kompleksitet, den asymmetriske information mellem udbyder og bruger og mere generelt den relative mangel på viden hos enhver gennemsnitlig internetbruger kan den gennemsnitlige internetbruger dog ikke forventes at have stor viden om, hvordan cookies fungerer.

115. Derfor indebærer klare og fyldestgørende oplysninger, at en bruger er i stand til uden besvær at bestemme følgerne af det eventuelle samtykke, den pågældende måtte give. Med henblik herpå skal vedkommende være i stand til at vurdere konsekvenserne af sine handlinger. De oplysninger, der gives, skal være let forståelige og må ikke være tvetydige eller give anledning til fortolkningsvanskeligheder. De skal være tilstrækkeligt detaljerede til, at brugeren kan forstå, hvordan de cookies, som konkret anvendes, fungerer.

116. Oplysningerne omfatter, således som den forelæggende ret med rette har anført, både cookiernes funktionsvarighed og spørgsmålet om, hvorvidt tredjemand får adgang til cookierne.

2.      Oplysninger om cookiernes funktionsvarighed

117. I henhold til 23. og 26. betragtning til direktiv 2002/58 indgår cookiers funktionsvarighed i kravet om informeret samtykke, hvilket betyder, at tjenesteudbyderne »til enhver tid [bør] holde abonnenterne underrettet om, hvilke typer data de behandler, samt hvorfor og hvor længe behandlingen foretages«. Selv om cookien er afgørende, skal spørgsmålet om, hvor indgribende den er, ses i forhold til de konkrete omstændigheder med henblik på samtykke. Ud over at overveje, hvilke oplysninger hver cookie indeholder, og om den er tilknyttet andre oplysninger om brugeren, skal tjenesteudbyderne se på cookiens levetid, og om denne levetid er passende i forhold til formålet med cookien.

118. Cookiers funktionsvarighed vedrører de udtrykkelige krav om informeret samtykke med hensyn til oplysningernes kvalitet og tilgængelighed for brugerne. Dette er af afgørende betydning for, at personerne kan træffe informerede beslutninger (65) før behandlingen. Da data indsamlet af cookies skal fjernes, når de ikke længere er nødvendige for at opfylde det oprindelige formål, følger det heraf, som den portugisiske og den italienske regering har gjort gældende, at lagringsperioden for indsamlede data klart skal meddeles til brugeren.

3.      Oplysninger om tredjemands adgang

119. Her har Planet49 gjort gældende, at hvis tredjemand får adgang til en cookie, skal brugerne også underrettes herom. Såfremt det, som i den foreliggende sag, kun er den udbyder, der ønsker at installere en cookie, som har adgang til cookien, er det tilstrækkeligt at henlede opmærksomheden på dette forhold. Den omstændighed, at andre tredjeparter ikke har adgang, behøver ikke påpeges særskilt. En sådan forpligtelse ville ikke være forenelig med lovgivers hensigt om, at databeskyttelsestekster bør være brugervenlige og kortfattede.

120. Jeg kan ikke tilslutte mig en sådan fortolkning. Hvis oplysninger skal være klare og fyldestgørende, bør en bruger i stedet udtrykkeligt informeres om, hvorvidt tredjeparter har adgang til de installerede cookies eller ej. Og hvis tredjeparter har adgang, skal deres identitet offentliggøres. Som Bundesverband med rette har fremhævet, er dette helt nødvendigt for at sikre, at der gives informeret samtykke.

4.      Konklusion

121. Jeg foreslår derfor, at spørgsmål 2 besvares således, at de klare og fyldestgørende oplysninger, som en tjenesteudbyder skal give en bruger i henhold til artikel 5, stk. 3, i direktiv 2002/58, skal omfatte cookiernes funktionsvarighed og spørgsmålet om, hvorvidt tredjeparter får adgang til cookierne eller ej.

V.      Forslag til afgørelse

122. På baggrund af ovenstående betragtninger foreslår jeg, at Domstolen besvarer de præjudicielle spørgsmål, der er forelagt af Bundesgerichtshof (forbundsdomstol, Tyskland), som følger:

»1)      Der er ikke tale om gyldigt samtykke som omhandlet i artikel 5, stk. 3, og artikel 2, litra f), i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation), sammenholdt med artikel 2, litra h), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger i en situation som den, der foreligger i hovedsagen, hvor lagringen af oplysninger eller adgangen til oplysninger, der allerede er lagret på brugerens terminal, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke, og hvor samtykket ikke gives særskilt, men på samme tid som bekræftelsen på deltagelse i en konkurrence på internettet.

2)      Det samme gælder fortolkningen af artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 4, nr. 11), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

3)      Med henblik på anvendelsen af artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 2, litra h), i direktiv 95/46, gør det ingen forskel, om de oplysninger, der lagres eller hentes, er personoplysninger.

4)      De klare og fyldestgørende oplysninger, som en tjenesteudbyder skal give en bruger i henhold til artikel 5, stk. 3, i direktiv 2002/58, omfatter cookiernes funktionsvarighed og spørgsmålet om, hvorvidt tredjemand får adgang til cookierne.«


1 –      Originalsprog: engelsk.


2 –      Europa-Parlamentets og Rådets direktiv af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).


3 –      Europa-Parlamentets og Rådets forordning af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1).


4 –      Benævnes ofte »e-datadirektivet«.


5 –      Europa-Parlamentets og Rådets direktiv af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25.11.2009 (EUT 2009, L 337, s. 11).


6 –      EFT 2002, L 108, s. 33.


7 –      Ofte benævnt »cookie-direktivet«.


8 –      Europa-Parlamentets og Rådets direktiv af 25.11.2009 om ændring af direktiv 2002/22/EF om forsyningspligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og ‑tjenester, direktiv 2002/58/EF og forordning (EF) nr. 2006/2004 om samarbejde mellem nationale myndigheder med ansvar for håndhævelse af lovgivning om forbrugerbeskyttelse (EUT 2009, L 337, s. 11). Det normative indhold af direktiv 2009/136 er derfor nu indeholdt i sidstnævnte direktiver samt den nævnte forordning, som ændret (og, for så vidt angår den foreliggende sag, i artikel 5, stk. 3, i direktiv 2002/58), hvilket er grunden til, at der i den foreliggende sag alene er anført en betragtning til direktiv 2009/136.


9 –      O.a.: Fodnoten vedrører brugen af »article« på engelsk og er ikke relevant i en dansk oversættelse.


10 –        Det skal nævnes, at dette er den tidligere gældende version af BDSG af 20.12.1990, som ændret, og ikke den gældende version af 30.6.2017.


11 –      Det er muligt at få en idé om, hvordan webstedet faktisk så ud, her: https://web.archive.org/web/20130902100750/http:/www.dein-macbook.de:80/


12 –      Og andre bestemmelser, der ikke er relevante for den foreliggende sag.


13 –      »Berufung«.


14 –      »Revision«.


15 –      Jf. også generaladvokat Bots forslag til afgørelse Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2017:796, punkt 5).


16 –      Jf. O. Lynskey, »Track[ing] changes: an examination of EU Regulation of online behavioural advertising through a data protection lens«, European Law Review, Sweet & Maxwell, 2011, s. 874-886, s. 875 og 876.


17 –      Jf. O. Lynskey, ibidem, s. 878 ff.


18 –      Jf. generelt D. Clifford, »EU Data Protection Law and Targeted Advertising: Consent and the Cookie Monster – Tracking the crumbs of online user behaviour«, Journal of Intellectual Property, Information Technology and Electronic Commerce Law, 2014, s. 195 og 196.


19 –      Jf. http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm


20 –      Jf. D. Clifford, ibidem, s. 195 og 196.


21 –      Jf. http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm


22 –      Jf. http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm


23 –      Jf. f.eks. udtalelse 04/2012 om undtagelser fra kravet om, at der skal gives samtykke til cookies, vedtaget af »Artikel 29«-Gruppen den 7.6.2012 (00879/12/DA, WP 194, s. 12).


24 –      For fuldstændighedens skyld kunne det tilføjes, at direktiv 2002/58 ligeledes blev ændret ved Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15.3.2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58 (EUT 2006, L 105, s. 54). For det første, som det fremgår af artikel 11 i direktiv 2006/24, var denne ændring dog begrænset og vedrørte kun en enkelt artikel i direktiv 2002/58, og for det andet og mere væsentligt er direktiv 2006/24 i mellemtiden blevet erklæret ugyldigt, jf. dom af 8.4.2014, Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238, præmis 71).


25 –      Jf. artikel 99, stk. 2, i forordning 2016/679.


26 –      Jf. artikel 94, stk. 1, i forordning 2016/679.


27 –      På tysk: »Unterlassungsanspruch«.


28 –      Jf. Bundesgerichtshof, 23.2.2016, XI ZR 101/15, punkt II.1, Neue Juristische Wochenschrift (NJW), 2016, s. 1881: For så vidt som sagsøgerens begæring om forbud er rettet mod fremtiden, skal påstande om forbud, hvis retsgrundlag er blevet ændret i løbet af retssagen, behandles af appelretten under hensyntagen til den aktuelle retlige situation, selv om lovændringen først trådte i kraft efter afslutningen af de mundtlige forhandlinger i anden instans eller i løbet af appelsagen. Jf. også Bundesgerichtshof, den 13.7.2004, KZR 10/03, punkt I, Gewerblicher Rechtsschutz und Urheberrecht (GRUR), 2004, s. 62.


29 –      Med hensyn til anvendelsen af direktiv 95/46 og forordning 2016/679 i forbindelse med en Feststellungsklage i henhold til tysk procesret jf. Domstolens dom af 16.1.2019, Deutsche Post (C-496/17, EU:C:2019:26, præmis 39), og generaladvokat Campos Sánchez-Bordonas forslag til afgørelse Deutsche Post (C-496/17, EU:C:2018:838, punkt 32): »Det tilkommer den forelæggende ret at fortolke den nationale procesret, og Domstolen kan ikke udtale sig herom. Hvis den forelæggende ret i kraft af nationale bestemmelser er af den opfattelse, at sagen ratione temporis skal afgøres i henhold til [forordning 2016/679] og ikke direktiv 95/46, bør Domstolen fortolke førstnævnte, ikke sidstnævnte.«


30 –      Jf. artikel 94, stk. 2, i forordning 2016/679.


31 –      Jf. generelt anden betragtning.


32 –      Kravet om samtykke forhindrer ikke lagring eller adgang i henhold til artikel 5, stk. 3, andet punktum, i direktiv 2002/58, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet, eller hvis lagring eller adgang er absolut påkrævet for at levere en informatiossamfundstjeneste til brugeren, som vedkommende udtrykkeligt har anmodet om. I den foreliggende sag er lagring eller adgang til oplysningerne teknisk set ikke nødvendig som omhandlet i artikel 5, stk. 3, andet punktum, i direktiv 2002/58, men anvendes snarere i reklameøjemed; derfor finder undtagelsen fra kravet om samtykke ikke anvendelse.


33 –      Jf. også R. Bond, »The EU E-Privacy Directive and Consent to Cookies«, The Business Lawyer, bind 68, nr. 1, American Bar Association, november 2012, s. 215.


34 –      I stedet for at anvende ordparret »aktiv« og »passiv« kunne man også henvise til udtrykkene »eksplicit« og »implicit.«


35 –      Strengt taget omfatter kravet om særskilt samtykke allerede kravet om aktivt samtykke. For kun hvis samtykkekriteriet anvendes særskilt, kan det ikke »sniges ind« ved hjælp af forhåndsafkrydsede indstillinger.


36 –      Dette betyder ikke, at deltagelse i en konkurrence ikke kan gøres betinget af et samtykke. Imidlertid skal dette samtykke afgives særskilt, og brugeren skal informeres behørigt herom. Jeg vil vende tilbage til dette punkt nedenfor.


37 –      Jeg har også allerede henvist til betragtningerne til direktiv 2002/58 og 2009/136 ovenfor.


38 –      Dom af 19.11.1998, Nilsson m.fl. (C-162/97, EU:C:1998:554, præmis 54), og af 24.11.2005, Deutsches Milch-Kontor (C-136/04, EU:C:2005:716, præmis 32), samt generaladvokat Ruiz-Jarabo Colomers forslag til afgørelse TeliaSonera Finland (C-192/08, EU:C:2009:309, punkt 87-89).


39 –      Jf. ligeledes mit forslag til afgørelse X og Visser (C-360/15 og C-31/16, EU:C:2017:397, punkt 132).


40 –      Jf. andet punktum i 17. betragtning til direktiv 2002/58.


41 –      Denne er et rådgivende organ oprettet i medfør af artikel 29 i direktiv 95/46. Med ikrafttrædelsen af forordning 2016/679 blev »Artikel 29«-Gruppen erstattet af Det Europæiske Databeskyttelsesråd (jf. artikel 68 og artikel 94, stk. 2, i forordning 2016/679).


42 –      Jf. udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet, vedtaget af »Artikel 29«-Gruppen den 22.6.2010 (00909/10/DA, WP 171, s. 16, punkt 4.1.3).


43 –      Udtalelse nr. 15/2011 om definitionen af samtykke, vedtaget af »Artikel 29«-Gruppen den 13.7.2011 (01197/11/DA, WP 187, s. 12).


44 –      Udtalelse nr. 15/2011 om definitionen af samtykke, vedtaget af »Artikel 29«-Gruppen den 13.7.2011 (01197/11/DA, WP 187, s. 12).


45 –      Udtalelse nr. 15/2011 om definitionen af samtykke, vedtaget af »Artikel 29«-Gruppen den 13.7.2011 (01197/11/DA, WP 187, s. 12).


46 –      Dette punkt, som allerede fremgår af forelæggelsesafgørelsen, blev udtrykkeligt bekræftet af Bundesverband i retsmødet efter et spørgsmål fra Domstolen.


47–      Dvs. Bundesverband, den tyske, den italienske og den portugisiske regering samt Kommissionen.


48 –      Jf. artikel 7, stk. 4, i forordning 2016/679.


49 –      Jf. navnlig punkt 66 i dette forslag til afgørelse.


50 –      En knap som deltagelsesknappen.


51 –      I henhold til tysk terminologi: »Kopplungsverbot« jf. blandt mange A. Ingold, i G. Sydow (red.), Europäische Datenschutzgrundverordnung, Handkommentar, Nomos, Baden-Baden, 2017, artikel 7, punkt 30.


52 –      Jf. D. Heckmann, A. Paschke, i E. Ehmann, M. Selmayr (red.), DS-GVO (Datenschutz-Grundverordnung), Kommentar, C.H. Beck, München, 2017, artikel 7, punkt 53.


53 –      Jf. i denne retning også J. Buchner, B. Kühling, i J. Buchner, B. Kühling (red.), Datenschutz-Grundverordnung/BDSG, Kommentar, 2. udgave, 2018, C.H. Beck, München, artikel 7 DS-GVO, punkt 48.


54 –      Som ændret ved direktiv 2009/136.


55 –      Jf. forelæggelsesafgørelsens punkt 24.


56 –      I retsmødet har repræsentanten for Bundesverband ganske vist påpeget, at en præcisering fra Domstolen med hensyn til spørgsmål 1, litra b), ville være særdeles nyttig på baggrund af en uenighed i tysk retsvidenskab om, hvorvidt TMG’s § 15, stk. 3, er i overensstemmelse med EU-retten eller ej.


57 –      Min fremhævelse.


58 –      Jf. retlig ramme ovenfor.


59 –      Ibidem.


60 –      Jf. udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet, vedtaget af »Artikel 29«-Gruppen den 22.6.2010 (00909/10/DA, WP 171, s. 9, punkt 3.2.1). Tilsvarende anføres det i udtalelse nr. 2/2013 om apps i intelligente enheder, som »Artikel 29«-Gruppen vedtog den 27.2.2013 (00461/13/DA, WP 202, s. 7, punkt 3.1), at »[s]amtykkekravet i artikel 5, stk. 3, finder anvendelse på alle oplysninger uden hensyn til arten af de oplysninger, der lagres eller skaffes adgang til. Det er ikke begrænset til personoplysninger, men kan være en hvilken som helst type oplysninger, der er lagret på enheden«.


61 –      For at være præcis: kravene i direktiv 2009/136 om ændring af bl.a. direktiv 2002/58.


62 –      Jf. om terminologien på forbrugerbeskyttelsesområdet artikel 2 i Europa-Parlamentets og Rådets direktiv 2011/83/EU af 25.10.2011 om forbrugerrettigheder, om ændring af Rådets direktiv 93/13/EØF og Europa-Parlamentets og Rådets direktiv 1999/44/EF samt om ophævelse af Rådets direktiv 85/577/EØF og Europa-Parlamentets og Rådets direktiv 97/7/EF (EUT 2011, L 304, s. 64).


63 –      Dette er den klassiske terminologi, som Domstolen benytter til at beskrive den gennemsnitlige europæiske forbruger. Jf. eksempelvis dom af 7.8.2018, Verbraucherzentrale Berlin (C-485/17, EU:C:2018:642, præmis 44), af 7.6.2018, Scotch Whisky Association (C-44/17, EU:C:2018:415, præmis 47), og af 16.7.1998, Gut Springenheide og Tusky (C-210/96, EU:C:1998:369, præmis 31).


64 –      Jf. generaladvokat Saugmandsgaard Øes forslag til afgørelse slewo (C-681/17, EU:C:2018:1041, punkt 55).


65 –      Udtalelse nr. 15/2011 om definitionen af samtykke, vedtaget af »Artikel 29«-Gruppen den 13.7.2011 (01197/11/DA, WP 187, s. 37).