Sag C-673/17

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV

mod

Planet49 GmbH

(anmodning om præjudiciel afgørelse indgivet af Bundesgerichtshof)

Domstolens dom (Store Afdeling) af 1. oktober 2019

»Præjudiciel forelæggelse – direktiv 95/46/EF – direktiv 2002/58/EF – forordning (EU) 2016/679 – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – cookies – begrebet den registreredes samtykke – erklæring om samtykke ved hjælp af et forudafkrydset felt«

  1. Tilnærmelse af lovgivningerne – telekommunikationssektoren – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – cookies – den registreredes samtykke – begreb – erklæring om samtykke ved hjælp af et forudafkrydset felt – udelukket

    [Europa-Parlamentets og Rådets forordning 2016/679, art. 4, nr. 11), og art. 6, stk. 1, litra a): Europa-Parlamentets og Rådets direktiv 95/46, art. 2, litra h), og 2002/58, som ændret ved direktiv 2009/136, art. 2, litra f), og art. 5, stk. 3]

    (jf. præmis 49-58, 60-63 og domskonkl. 1)

  2. Tilnærmelse af lovgivningerne – telekommunikationssektoren – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – cookies – den registreredes samtykke – begreb – lagrede eller konsulterede oplysninger, som eventuelt udgør personoplysninger – ingen betydning

    [Europa-Parlamentets og Rådets forordning 2016/579, art. 4, nr. 11), og art. 6, stk. 1, litra a): Europa-Parlamentets og Rådets direktiv 95/46, art. 2, litra h), og 2002/58, som ændret ved direktiv 2009/136, art. 2, litra f), og art. 5, stk. 3]

    (jf. præmis 68-71 og domskonkl. 2)

  3. Tilnærmelse af lovgivningerne – telekommunikationssektoren – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – cookies – klare og fyldestgørende oplysninger, der skal gives af tjenesteudbyderen – begreb – cookiernes funktionsvarighed – omfattet – tredjemands mulighed for at få eller ikke få adgang til cookierne – omfattet

    (Europa-Parlamentets og Rådets direktiv 2002/58, som ændret ved direktiv 2009/136, art. 5, stk. 3)

    (jf. præmis 74-81 og domskonkl. 3)

Resumé

Placering af cookies kræver et aktivt samtykke fra internetbrugerne

Ved dom af 1. oktober 2019, Planet49 (C-673/17), har Domstolen (Store Afdeling), fastslået, at samtykke til lagring af oplysninger eller til adgang til oplysninger via cookies, der er installeret i brugeren af et internetwebsteds terminaludstyr, ikke er gyldigt afgivet, når tilladelsen følger af et forudafkrydset felt, og dette uafhængigt af, om de omhandlede oplysninger udgør personoplysninger eller ej. Domstolen har desuden præciseret, at tjenesteudbyderen skal give brugeren af et internetwebsted oplysninger om cookiernes funktionsvarighed og om, hvorvidt tredjemand har mulighed for at få adgang til disse cookies eller ej.

Tvisten i hovedsagen vedrørte Planet49’s afholdelse af en salgsfremmende konkurrence på internetwebstedet www.dein-macbook.de. For at deltage skulle internetbrugerne angive deres navn og adresse på en internetside med afkrydsningsfelter. Det felt, der gav tilladelse til installationen af cookies, var forudafkrydset. Bundesgerichtshof (forbundsdomstol, Tyskland), som skulle behandle en sag, som den tyske forbundssammenslutning af forbrugerforeninger havde anlagt, var i tvivl om, hvorvidt indhentelse af samtykke fra brugerne ved hjælp af det forudafkrydsede felt var gyldigt, og om omfanget af den oplysningspligt, der påhvilede tjenesteudbyderen.

Anmodningen om præjudiciel afgørelse vedrørte i det væsentlige fortolkningen af begrebet samtykke, som er omhandlet i direktiv om databeskyttelse inden for elektronisk kommunikation ( 1 ), sammenholdt med direktiv 95/46 ( 2 ) og med den generelle forordning om databeskyttelse ( 3 ).

Domstolen bemærkede for det første, at artikel 2, litra h), i direktiv 95/46, som artikel 2, litra f), i direktiv om databeskyttelse inden for elektronisk kommunikation henviser til, definerer samtykket som »enhver frivillig, specifik og informeret viljetilkendegivelse, hvorved den registrerede indvilliger i, at personoplysninger, der vedrører den pågældende selv, gøres til genstand for behandling«. Den anførte, at kravet om en viljes-»tilkendegivelse« fra den registreredes side tydeligt pegede på en aktiv og ikke passiv adfærd. Et samtykke givet ved hjælp af et forudafkrydset felt indebærer imidlertid ikke en aktiv adfærd fra brugeren af et internetwebsteds side. Tilblivelseshistorien for artikel 5, stk. 3, i direktiv om databeskyttelse inden for elektronisk kommunikation, som siden ændringen ved direktiv 2009/136 har fastsat, at brugeren skal have »givet sit samtykke« til placeringen af cookies, synes desuden at indikere, at det ikke længere på forhånd kan formodes, at brugeren giver samtykke, og at dette skal følge af en aktiv adfærd fra dennes side. Endelig er et aktivt samtykke nu fastsat ved den generelle forordning om databeskyttelse ( 4 ), hvis artikel 4, nr. 11), kræver en viljestilkendegivelse, der tager form af bl.a. en »klar bekræftelse«, og hvis 32. betragtning udtrykkeligt udelukker, at der foreligger et samtykke i tilfælde af »[t]avshed, forudafkrydsede felter eller inaktivitet«.

Domstolen udtalte derfor, at samtykket ikke er gyldigt afgivet, når lagring af oplysninger eller adgang til oplysninger, som allerede er lagret på brugeren af et internetwebsteds terminaludstyr, tillades ved et forudafkrydset felt, som brugeren skal vælge fra for at nægte at give sit samtykke. Den tilføjede, at det forhold, at en bruger trykker på knappen for at deltage i den omhandlede konkurrence, ikke kan være tilstrækkeligt for at lægge til grund, at denne gyldigt har givet sit samtykke til placering af cookies.

For det andet konstaterede Domstolen, at artikel 5, stk. 3, i direktiv om databeskyttelse inden for elektronisk kommunikation har til formål at beskytte brugeren mod indgreb i dennes privatsfære, uanset om dette indgreb vedrører personoplysninger eller ej. Det følger heraf, at begrebet samtykke ikke skal fortolkes forskelligt, alt efter om de lagrede eller konsulterede oplysninger i brugeren af et internetwebsteds terminaludstyr udgør personoplysninger eller ej.

For det tredje anførte Domstolen, at artikel 5, stk. 3, i direktiv om databeskyttelse inden for elektronisk kommunikation kræver, at brugeren har givet sit samtykke efter at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. Klare og fyldestgørende oplysninger indebærer, at brugeren er i stand til uden besvær at bestemme følgerne af det eventuelle samtykke og at sikre, at dette samtykke gives med fuldt kendskab til følgerne. I denne henseende udtalte Domstolen, at oplysninger om cookiernes funktionsvarighed og om tredjemands mulighed for at få adgang til disse cookies indgår blandt de klare og fyldestgørende oplysninger, som tjenesteudbyderen skal give til brugeren af et internetwebsted.


( 1 ) – Artikel 2, litra f), og artikel 5, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EUT 2002, L 201, s. 37), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25.11.2009 (EUT 2009, L 337, s. 11).

( 2 ) – Artikel 2, litra h), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).

( 3 ) – Artikel 6, stk. 1, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1).

( 4 ) – Artikel 6, stk. 1, litra a), i forordning 2016/679.