1.

For at deltage i en konkurrence arrangeret af Planet49 blev internetbrugeren præsenteret for to afkrydsningsfelter, som skulle vælges til eller vælges fra, før brugeren kunne nå frem til at klikke på kappen »deltagelse«. I det ene af afkrydsningsfelterne skulle brugeren acceptere at blive kontaktet af en række virksomheder med reklametilbud, et andet krævede brugerens samtykke til, at der blev installeret cookies på vedkommendes computer. Dette er, kort fortalt, de faktiske omstændigheder i denne forelæggelsesafgørelse fra Bundesgerichtshof (forbundsdomstol, Tyskland).

2.

Under disse tilsyneladende ukomplicerede faktiske omstændigheder ligger grundlæggende spørgsmål vedrørende EU’s databeskyttelseslovgivning: Hvilke krav stilles der mere præcist til informeret samtykke, der skal gives frivilligt? Er der en forskel med hensyn til behandling af personoplysninger (alene) og installation af og adgang til cookies? Hvilke retlige instrumenter finder anvendelse?

3.

I dette forslag til afgørelse vil jeg argumentere for, at kravene til samtykke for så vidt angår den foreliggende sag er de samme i henhold til direktiv 95/46/EF ( 2 ) og forordning (EU) 2016/679 ( 3 ), og at det i den foreliggende sag ikke gør nogen forskel, om der er tale om det overordnede spørgsmål om behandling af personoplysninger eller det mere specifikke spørgsmål om lagring af og adgang til oplysninger ved hjælp af cookies.

4.

Artikel 2 i direktiv 95/46 med overskriften »Definitioner« fastsætter:

»I dette direktiv forstås ved:

[…]

5.

I dette direktivs afdeling II, der har overskriften »Principper vedrørende grundlaget for behandling af oplysninger«, bestemmer artikel 7 i henhold til litra a):

»Medlemsstaterne fastsætter bestemmelser om, at behandling af personoplysninger kun må finde sted, hvis:

[…]«

6.

Samme direktivs artikel 10, der har overskriften »Oplysningspligt ved indsamling af oplysninger hos den registrerede«, bestemmer følgende:

»Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller dennes repræsentant skal give den person, hos og om hvem der indsamles oplysninger, mindst følgende informationer, medmindre den pågældende allerede er bekendt hermed, og for så vidt som disse yderligere informationer, under hensyn til de særlige omstændigheder hvorunder oplysningerne indsamles, er nødvendige for at sikre den registrerede en rimelig behandling af oplysningerne:

7.

24. og 25. betragtning til direktiv 2002/58/EF ( 5 ) er affattet således:

8.

Direktivets artikel 2 med overskriften »Definitioner« fastsætter i litra f):

»Medmindre andet angives, gælder i dette direktiv de definitioner, der er fastsat i direktiv 95/46/EF og Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og ‑tjenester (rammedirektivet) [ ( 6 )].

Følgende definitioner anvendes også:

[…]

[…]«

9.

Direktivets artikel 5, stk. 3, med overskriften »Kommunikationshemmelighed« bestemmer:

»Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46/EF at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet eller er absolut påkrævet for at sætte udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkelig har anmodet om, i stand til at levere denne tjeneste.«

10.

66. betragtning til direktiv 2009/136/EF ( 8 ) har følgende ordlyd:

»Det kan forekomme, at tredjeparter ønsker at lagre oplysninger på en brugers udstyr eller at få adgang til allerede lagrede oplysninger til en række formål lige fra legitime formål (såsom visse typer cookies) til formål, der indebærer uberettiget krænkelse af privatsfæren (såsom spyware eller virus). Det er derfor af allerstørste betydning, at brugere får klare og fyldestgørende oplysninger, når de foretager sig noget, der kunne medføre en sådan lagring eller adgang fra tredjeparts side. Midlerne til at give oplysninger og give ret til at nægte lagring eller adgang bør gøres så brugervenlige som muligt. En undtagelse fra forpligtelsen til at give oplysninger og give ret til at nægte lagring eller adgang bør begrænses til de situationer, hvor den tekniske lagring eller adgang er strengt nødvendig til det legitime formål, der består i at gøre det muligt at benytte en specifik tjeneste, som abonnenten eller brugeren udtrykkeligt har anmodet om. Hvor det er teknisk muligt og effektivt, i overensstemmelse med de relevante bestemmelser i direktiv 95/46/EF, kan brugerens samtykke til databehandling udtrykkes gennem anvendelse af passende browserindstillinger eller andre applikationer. Håndhævelsen af disse krav bør gøres mere effektiv ved at give de relevante nationale myndigheder øgede beføjelser.«

11.

32. betragtning til forordning 2016/679 lyder således:

»Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til.«

12.

Artikel 4, nr. 11), i nævnte forordning med overskriften »Definitioner« bestemmer:

»I denne forordning forstås ved:

[…]

[…]«

13.

Samme forordnings artikel 6, der har overskriften »Lovlig behandling«, bestemmer:

»1.   Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

[…]«

14.

Artikel 7 i forordning 2016/679 har overskriften »Betingelser for samtykke«. I overensstemmelse med artikel 7, stk. 4, tages der »[v]ed vurdering af, om samtykke er givet frit, […] størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt«.

15.

§ 307 ( 9 ) i Bürgerliches Gesetzbuch (den tyske borgerlige lovbog, herefter »BGB«) fastsætter:

»(1)   Bestemmelser i almindelige forretningsbetingelser er ugyldige, når de i strid med kravet om god tro stiller medkontrahenten uforholdsmæssigt ringe. En kontrahent kan også stilles uforholdsmæssigt ringe derved, at bestemmelsen ikke er klar og forståelig.

(2)   I tvivlstilfælde anses en bestemmelse for at stille en part uforholdsmæssigt ringe, når den

3)   Stk. 1 og 2 ovenfor og §§ 308 og 309 gælder kun for bestemmelser i almindelige forretningsbetingelser, som danner grundlag for aftaler, som fraviger eller supplerer de pågældende lovbestemmelser. Andre bestemmelser kan være ugyldige i henhold til stk. 1, andet punktum ovenfor, sammenholdt med stk. 1, første punktum ovenfor.«

16.

Gesetz gegen den unlauteren Wettbewerb (lov om bekæmpelse af illoyal konkurrence, herefter »UWG«) forbyder handelspraksis, som udgør en uacceptabel gene for en markedsdeltager. UWG’s § 7, stk. 2, bestemmer i henhold til nr. 2, at der altid består »en formodning om uacceptabel gene i tilfælde af telefonreklame til en forbruger uden dennes forudgående udtrykkelige samtykke eller til en anden markedsdeltager uden som minimum dennes formodede samtykke«.

17.

§ 12, stk. 1, i Telemediengesetz (Telemedia-loven, herefter »TMG«) gennemfører artikel 7, litra a), i direktiv 95/46 og fastlægger, under hvilke betingelser en tjenesteudbyder må indsamle og anvende personoplysninger med henblik på elektroniske medier. I henhold til denne paragraf har en tjenesteudbyder alene ret til at indsamle og anvende personoplysninger med henblik på elektroniske medier, hvis det er tilladt efter TMG eller en anden retsakt, der udtrykkeligt regulerer elektroniske medier, eller hvis brugeren giver sit samtykke hertil.

18.

TMG’s § 12, stk. 3, bestemmer, at den gældende lovgivning om personoplysninger skal finde anvendelse, selv om de pågældende oplysninger ikke behandles automatisk.

19.

I henhold til TMG’s § 13, stk. 1, skal tjenesteudbyderen oplyse brugeren ved begyndelsen af brugen om arten og omfanget af samt formålet med behandlingen af personoplysningerne samt om behandlingen af oplysninger uden for anvendelsesområdet for direktiv 95/46.

20.

TMG’s § 15, stk. 1, bestemmer, at tjenesteudbydere kun kan indsamle og behandle personoplysninger, hvis det er nødvendigt for anvendelsen af medier på internettet eller i forbindelse med udstedelse af en faktura vedrørende denne anvendelse (»brugerdata«). Brugerdata defineres bl.a. som data, der giver mulighed for identificering af brugerne.

21.

TMG’s § 15, stk. 3, gennemfører artikel 5, stk. 3, i direktiv 2002/58 og tillader en tjenesteudbyder at oprette brugerprofiler med pseudonymiserede data til reklameformål, markedsanalyser eller konfiguration af elektroniske medier, forudsat at brugeren ikke gør indsigelse, og tjenesteudbyderen har underrettet brugeren om, at vedkommende har ret til at nægte i overensstemmelse med oplysningspligten i henhold til TMG’s § 13, stk. 1.

22.

§ 3, stk. 1, i Bundesdatenschutzgesetz (forbundslov om databeskyttelse, herefter »BDSG«) ( 10 ) gennemfører artikel 2, litra a), i direktiv 95/46 og definerer begrebet »personoplysninger« som oplysninger om personlige eller materielle forhold hos en identificeret eller identificerbar fysisk person.

23.

§ 4, litra a), i BDSG gennemfører artikel 2, litra h), i direktiv 95/46 i national ret og fastsætter, at samtykke kun er gyldigt, hvis det udspringer af de berørte personers frie valg.

24.

Den 24. september 2013 afholdt Planet49 GmbH en salgsfremmende konkurrence på internetadressen www.dein-macbook.de ( 11 ). For at deltage i konkurrencen skulle internetbrugeren indtaste sit postnummer, hvilket førte brugeren videre til en side med felter, hvor vedkommende skulle indtaste navn og adresse. Under indtastningsfelterne til adressen fandtes to oplysningstekster, som var forsynet med afkrydsningsrubrikker. Dem vil jeg herefter betegne som »første afkrydsningsrubrik« og »anden afkrydsningsrubrik«. Den første oplysningstekst, hvis afkrydsningsrubrik ikke var forsynet med et forudindstillet hak, lød:

»Jeg er indforstået med, at nogle sponsorer og samarbejdspartnere via post eller telefonisk eller via e-mail/sms informerer mig om tilbud inden for deres respektive forretningsområder. Disse kan jeg selv fastlægge her, ellers foretager arrangøren valget. Jeg kan til enhver tid tilbagekalde mit samtykke. Yderligere oplysninger herom kan findes her.«

25.

Den anden oplysningstekst, som var forsynet med et forudindstillet hak, lød:

»Jeg er indforstået med, at webanalysetjenesten Remintrex anvendes hos mig. Dette har til følge, at spilarrangøren, Planet49 GmbH, efter registrering til konkurrencen installerer cookies, hvilket gør det muligt for Planet49 at foretage en analyse af min surf- og anvendelsesadfærd på reklamepartneres websites og dermed åbner mulighed for interessemålrettet reklame ved hjælp af Remintrex. Jeg kan til enhver tid slette disse cookies. Læs mere her.«

26.

Det var kun muligt at deltage i konkurrencen, hvis der som minimum blev sat hak i den første afkrydsningsrubrik.

27.

Det elektroniske link under ordene »sponsorer og samarbejdspartnere« og »her« i den første oplysningstekst førte til en liste, som indeholdt 57 virksomheder, deres adresse, det pågældende forretningsområde og den kommunikationsform, der blev benyttet til reklamen (e-mail, post eller telefon), samt efter hver virksomhed det understregede ord »frameld«. Over listen stod følgende oplysning:

»Ved at klikke på linket »frameld« beslutter jeg, at der ikke må gives reklamesamtykke til den pågældende partner/sponsor. Hvis jeg ikke har fravalgt nogen eller tilstrækkeligt mange partnere/sponsorer), vælger Planet49 for mig partnere/sponsorer efter eget skøn (maksimalt antal: 30 partnere/sponsorer).«

28.

Når man aktiverede det elektroniske link under ordet »her« i den anden oplysningstekst, blev følgende information vist:

»De installerede cookies med navnene ceng_cache, ceng_etag, ceng_png og gcr er små filer, som lagres på din harddisk af den browser, du anvender, og som formidler bestemte informationer, der giver en mere brugervenlig og effektiv reklame. Cookierne indeholder et bestemt tilfældigt genereret nummer (ID), som samtidig er knyttet til dine registreringsdata. Når du efterfølgende besøger en hjemmeside tilhørende en reklamepartner, som er registreret for Remintrex (det fremgår af den pågældende reklamepartners databeskyttelseserklæring, om en sådan registrering foreligger), registreres det automatisk på grundlag af en heri integreret iFrame fra Remintrex, at du (dvs. brugeren med det lagrede ID) har besøgt siden, hvilket produkt du har vist interesse for, og om der er gennemført et salg.

Efterfølgende kan Planet49 GmbH på grundlag af det samtykke til reklame, som du afgav i forbindelse med registreringen til konkurrencen, sende dig reklamemails, som tager hensyn til de interesser, du har udvist på reklamepartnerens hjemmeside. Hvis du tilbagekalder reklametilladelsen, modtager du naturligvis ikke flere e-mailreklamer.

De oplysninger, som formidles via cookierne, anvendes udelukkende til reklame, hvor reklamepartnerens produkter præsenteres. Oplysningerne indsamles, lagres og anvendes separat for hver enkelt reklamepartner. Der oprettes aldrig brugerprofiler på tværs af reklamepartnere. De enkelte reklamepartnere modtager ingen personoplysninger.

Hvis du ikke længere har interesse i anvendelsen af cookierne, kan du til enhver tid slette dem fra din browser. Du kan finde en vejledning til dette i din browsers hjælpefunktion.

Cookierne kan ikke udføre programmer eller overføre vira.

Du kan naturligvis til enhver tid tilbagekalde dette samtykke. Du kan sende din tilbagekaldelse skriftligt til PLANET49 GmbH [adresse]. Det er dog også tilstrækkeligt med en e-mail til vores kundeservice [e-mailadresse].«

29.

Sagsøgeren i hovedsagen, Bundesverband der Verbraucherzentralen (sammenslutningen af tyske forbrugerorganisationer, herefter »Bundesverband«), er registreret på listen over kvalificerede organisationer i henhold til Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (lov om søgsmål med nedlæggelse af påstand om forbud i forbindelse med overtrædelser af lovgivningen om forbrugerrettigheder og andre love, herefter »UKlaG«). Ifølge Bundesverband opfyldte de førnævnte samtykkeerklæringer, der anvendes af Planet49, ikke de krav, som er fastsat i BGB’s § 307, UWG’s § 7, stk. 2, nr. 2, og TMG’s § 12 ff. Et administrativt påbud forud for retssagen var forgæves.

30.

Bundesverband anlagde sag ved Landgericht Frankfurt am Main (den regionale ret i første instans i Frankfurt am Main, Tyskland) med påstand om, at Planet49 forbydes at anvende de ovennævnte klausuler ( 12 ), og at dette selskab tilpligtes at betale sagsøgeren 214 EUR med tillæg af rente fra den 15. marts 2014.

31.

Landgericht Frankfurt am Main (den regionale ret i første instans i Frankfurt am Main) gav sagsøgeren medhold i visse påstande og frifandt i øvrigt sagsøgte. Efter appel iværksat til prøvelse af realiteten ( 13 ) til Oberlandesgericht i Frankfurt am Main (den regionale appeldomstol i Frankfurt am Main, Tyskland) blev der indgivet en revisionsanke til Bundesgerichtshof (forbundsdomstol) ( 14 ).

32.

Bundesgerichtshof (forbundsdomstol) fandt, at udfaldet af revisionsankesagen afhang af fortolkningen af artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 2, litra h), i direktiv 95/46 og med artikel 6, stk. 1, litra a), i forordning 2016/679 og har forelagt Domstolen følgende præjudicielle spørgsmål:

33.

Forelæggelsesafgørelsen indgik til Domstolen den 30. november 2017. Der er indgivet skriftlige indlæg af Planet49, Bundesverband, den portugisiske og den italienske regering samt af Europa-Kommissionen. Der blev afholdt retsmøde den 13. november 2018 med deltagelse af Planet49, Bundesverband, den tyske regering og Kommissionen.

34.

Begge de præjudicielle spørgsmål, Bundesgerichtshof (forbundsdomstol) har indgivet, vedrører afgivelse af samtykke til lagring af oplysninger og adgang til oplysninger, der allerede er lagret på brugerens terminal, dvs. cookies, særligt i forbindelse med bestemmelserne i direktiv 2002/58, sammenholdt med bestemmelserne i direktiv 95/46 eller forordning 2016/679.

35.

Som indledende bemærkninger finder jeg det hensigtsmæssigt at tilvejebringe en faktuel afklaring af fænomenet cookies og terminologien i den forbindelse samt skabe juridisk klarhed over, hvilke retlige instrumenter der gælder for den foreliggende sag.

36.

En cookie er en måde, hvorpå der indsamles oplysninger, som genereres af et websted og gemmes af en internetbrugers browser ( 15 ). Det er et lille dataelement eller en tekstfil, normalt med en størrelse på under én kbyte, som et websted anmoder en internetbrugers browser om at gemme på den lokale harddisk på brugerens computer eller mobile enhed ( 16 ).

37.

En cookie gør det muligt for webstedet at »huske« brugerens handlinger og præferencer over tid. De fleste webbrowsere understøtter cookies, men brugerne kan indstille deres browsere til at afvise dem. De kan også slette dem, når de vil. Mange brugere fastsætter cookieindstillingerne i deres browsere, således at de som standard automatisk sletter cookies, når browservinduet lukkes. Når det er sagt, er der stærkt empirisk belæg for, at folk sjældent ændrer standardindstillinger, et fænomen, der er blevet kaldt »default inertia« (standardpassivitet) ( 17 ).

38.

Websteder benytter cookies med henblik på at identificere brugere, huske deres sædvanlige præferencer og gøre det muligt for brugerne at udføre opgaver uden at skulle genindtaste oplysninger, når de browser fra én side til en anden, eller ved efterfølgende besøg på stedet.

39.

Cookies kan også bruges til at indsamle oplysninger om onlineadfærd med henblik på målrettet reklame og markedsføring ( 18 ). F.eks. anvender virksomheder software til sporing af brugeradfærd og opbygning af personlige profiler, som giver brugerne mulighed for at få vist reklamer, der er relevante i forhold til en brugers tidligere søgninger ( 19 ).

40.

Der findes forskellige typer cookies, hvoraf nogle er klassificeret efter cookiens levetid (f.eks. sessionscookies og faste cookies), mens andre er baseret på det domæne, som cookien tilhører (f.eks. førsteparts- og tredjepartscookies) ( 20 ). Når webserveren, der leverer webstedet, lagrer cookies på brugerens computer eller mobile enhed, kaldes de »HTTP-header«-cookies ( 21 ). En anden måde, hvorpå der kan lagres cookies, er gennem en JavaScript-kode, som er indeholdt i eller baseret på den pågældende side ( 22 ). Gyldigheden af samtykke til installation af cookies og anvendelsen af eventuelle relevante undtagelser bør imidlertid vurderes på grundlag af formålet med cookien snarere end et teknisk kendetegn ved cookien ( 23 ).

41.

De lovgivningsmæssige rammer, som finder anvendelse i hovedsagen, har udviklet sig over årene op til senest ikrafttrædelsen af forordning 2016/679.

42.

To sæt EU-retlige instrumenter finder anvendelse på den foreliggende sag. For det første direktiv 95/46 og forordning 2016/679. For det andet direktiv 2002/58, som ændret ved direktiv 2009/136 ( 24 ).

43.

Jeg vil gerne fremsætte to bemærkninger med hensyn til disse to sæt instrumenter.

44.

Den første bemærkning vedrører anvendelsen af direktiv 95/46 og forordning 2016/679.

45.

Forordning 2016/679, der har været gældende siden den 25. maj 2018 ( 25 ), ophævede direktiv 95/46 med virkning fra samme dato ( 26 ).

46.

Denne dato, dvs. den 25. maj 2018, ligger efter det sidste retsmøde ved den forelæggende ret den 14. juli 2017 og således også efter den 5. oktober 2017, hvor den foreliggende sag blev henvist til Domstolen med henblik på en præjudiciel afgørelse.

47.

Ergo er den gældende lovgivning for forhold før den 25. maj 2018 direktiv 2002/58, sammenholdt med direktiv 95/46, mens det for forhold fra og med den 25. maj 2018 er direktiv 2002/58, sammenholdt med forordning 2016/679.

48.

For så vidt som Bundesverband med det forbud, der søges nedlagt ( 27 ), i fremtiden ønsker at forhindre Planet49 i den adfærd, virksomheden har udvist, finder forordning 2016/679 anvendelse i den foreliggende sag. I sin afgørelse om forbuddet for fremtiden skal Bundesgerichtshof (forbundsdomstol) derfor tage hensyn til kravene i forordning 2016/679. I denne forbindelse har den tyske regering henvist til fast national retspraksis vedrørende den relevante retlige situation i søgsmål med påstand om forbud ( 28 ).

49.

Som følge heraf skal det præjudicielle spørgsmål derfor besvares i forhold til både direktiv 95/46 og forordning 2016/679 ( 29 ).

50.

Desuden bør det bemærkes, at henvisninger i direktiv 2002/58 til direktiv 95/46 skal forstås som henvisninger til forordning 2016/679 ( 30 ).

51.

Den anden bemærkning vedrører udviklingen i artikel 5, stk. 3, i direktiv 2002/58.

52.

Direktiv 2002/58 har til formål at sikre fuld respekt for de rettigheder, som er anført i Den Europæiske Unions charter om grundlæggende rettigheder, navnlig artikel 7 og 8 ( 31 ). Direktivets artikel 5 har til formål at sikre »kommunikationshemmeligheden«. Navnlig regulerer artikel 5, stk. 3, brugen af cookies og fastsætter de betingelser, som skal være opfyldt, for at der kan lagres data i eller opnås adgang til en brugers computer via installation af en cookie.

53.

Med direktiv 2009/136 indførtes væsentlige ændringer i kravene til samtykke i henhold til artikel 5, stk. 3, i direktiv 2002/58 for at styrke brugernes beskyttelse. Før de ændringer, som blev indført ved dette direktiv, var det blot et krav ifølge artikel 5, stk. 3, at brugerne fik mulighed for et informeret »fravalg« af databehandling via cookies. I overensstemmelse med den oprindelige affattelse af artikel 5, stk. 3, skulle den registeransvarlige ved lagring af oplysninger eller med henblik på at opnå adgang til oplysninger, der er lagret i brugerens terminaludstyr, sikre, at brugeren får klare og fyldestgørende oplysninger, især om formålet med behandlingen, og får ret til at nægte den registeransvarlige en sådan behandling.

54.

Direktiv 2009/136 erstattede dette krav om oplysning om retten til at afvise med et krav om, »at abonnenten eller brugeren har givet sit samtykke hertil«, hvilket betyder, at det erstattede den informerede fravalgsordning, som det var lettere at opfylde, med en informeret tilvalgsordning. Med forbehold for en meget begrænset undtagelse, som ikke finder anvendelse på den foreliggende sag ( 32 ), er anvendelsen af cookies i henhold til den reviderede artikel 5, stk. 3, i direktiv 2002/58 kun tilladt, hvis brugeren har givet sit samtykke hertil efter at have fået klare og fyldestgørende oplysninger i overensstemmelse med direktiv 95/46 om, hvorfor hans eller hendes oplysninger bliver sporet, dvs. formålet med behandlingen ( 33 ).

55.

Som det vil fremgå nærmere nedenfor, er omfanget af kravet om at give oplysninger i henhold til artikel 5, stk. 3, i direktiv 2002/58 kernen i tvisten, navnlig i forbindelse med standardindstillingerne for onlineaktiviteter.

56.

Med spørgsmål 1, litra a), ønsker den forelæggende ret oplyst, hvorvidt det udgør et gyldigt samtykke i henhold til artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 2, litra h), i direktiv 95/46, hvis lagringen af oplysninger eller adgang til oplysninger, der allerede er lagret i brugerens terminaludstyr, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke. I denne forbindelse ønsker den forelæggende ret oplyst, om det gør en forskel, om de oplysninger, der lagres eller hentes, udgør personoplysninger [spørgsmål 1, litra b)]. Endelig ønsker den forelæggende ret at vide, om der under de omstændigheder, der er nævnt ovenfor, foreligger et gyldigt samtykke som omhandlet i artikel 6, stk. 1, litra a), i forordning 2016/679 [spørgsmål 1, litra c)].

57.

Samtykke er en iboende del af EU’s lovgivning om databeskyttelse.

58.

Inden jeg behandler det specifikke spørgsmål om cookies, vil jeg gerne fastslå, hvilke generelle principper der følger af de relevante retsakter om afgivelse af samtykke.

59.

Jeg udleder af bestemmelserne i direktiv 95/46, at samtykke skal komme til udtryk på en aktiv ( 34 ) måde.

60.

Artikel 2, litra h), i direktiv 95/46 omhandler en viljetilkendegivelse fra den registrerede, hvilket tydeligt peger på en aktiv og ikke passiv adfærd. Hertil kommer, at artikel 7, litra a), i direktiv 95/46, der omhandler principperne vedrørende grundlaget for behandling af oplysninger (personoplysninger), fastsætter, at der ikke hersker tvivl om, at den registrerede har givet sit samtykke. Igen kan tvetydighed kun fjernes med en aktiv, i modsætning til en passiv, adfærd.

61.

Jeg udleder heraf, at det ikke er tilstrækkeligt i denne henseende, hvis brugerens samtykkeerklæring er formuleret på forhånd, og når brugeren aktivt skal gøre indsigelse, hvis vedkommende ikke er indforstået med behandlingen af oplysninger.

62.

I den sidstnævnte situation kan man ikke vide, om en sådan standardtekst er læst og forstået. Situationen er ikke entydig. En bruger har måske eller måske ikke læst teksten. Den pågældende har måske undladt at læse den på grund af ren og skær forsømmelighed. I en sådan situation er det ikke muligt at fastslå, hvorvidt et samtykke er afgivet frivilligt.

63.

Særskilt samtykke er tæt knyttet til kravet om aktivt samtykke ( 35 ).

64.

Man kan argumentere for, som Planet49 gør det, at den registrerede afgiver et gyldigt samtykke, ikke når vedkommende ikke fravælger en forhåndsformuleret samtykkeerklæring, men når den pågældende aktivt klikker på knappen for deltagelse i konkurrencen på internettet.

65.

Jeg kan ikke tilslutte mig en sådan fortolkning.

66.

For at et samtykke skal være en »frivillig« og »informeret« viljetilkendegivelse, skal det ikke kun være aktivt, men også særskilt. Den aktivitet, en bruger udøver på internettet (læser en webside, deltager i en konkurrence, ser en video osv.), og afgivelsen af et samtykke kan ikke indgå i den samme handling. Navnlig set ud fra brugerens perspektiv kan afgivelse af samtykke ikke fremstå som en underordnet handling i forhold til deltagelsen i konkurrencen. Begge handlinger skal, navnlig rent optisk, fremstå som ligestillede. Som følge heraf forekommer det mig tvivlsomt, at et samlet bundt af udtryk for hensigt, der omfatter afgivelse af samtykke, ville være i overensstemmelse med begrebet samtykke i henhold til direktiv 95/46.

67.

I denne forbindelse skal det gøres krystalklart for en bruger, om den aktivitet, vedkommende udøver på internettet, er betinget af, at der afgives samtykke. En bruger skal være i stand til at vurdere, i hvilket omfang vedkommende er villig til at afgive oplysninger med henblik på at fortsætte sin aktivitet på internettet. Der må ikke være plads til nogen tvetydighed overhovedet ( 36 ). En bruger skal vide, om og i givet fald i hvilket omfang vedkommendes afgivelse af samtykke har indflydelse på vedkommendes udøvelse af aktiviteten på internettet.

68.

De ovenfor fastslåede principper gælder ligeledes for forordning 2016/679.

69.

Artikel 4, nr. 11), i forordning 2016/679 definerer samtykke fra den registrerede som enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

70.

Det bør bemærkes, at denne definition er strengere end den i artikel 2, litra h), i direktiv 95/46, idet den kræver en utvetydig viljestilkendegivelse fra den registrerede og en klar bekræftelse, hvorved vedkommende indvilliger i behandling af personoplysninger.

71.

Desuden er betragtningerne til forordning 2016/679 særdeles oplysende. Da jeg i vidt omfang vil henvise til betragtningerne ( 37 ), føler jeg mig nødsaget til at minde om, at de naturligvis ikke er retligt bindende ( 38 ), men at Domstolen ofte anvender dem ved fortolkningen af bestemmelser i en EU-retsakt. I EU-retsordenen er de beskrivende og ikke normgivende. Spørgsmålet om deres retsvirkning er normalt uden betydning af den simple grund, at betragtningerne typisk afspejles i et direktivs lovbestemmelser. God lovgivningspraksis fra EU’s politiske institutioner sigter normalt mod at opnå en situation, hvor betragtningerne danner en nyttig baggrund for bestemmelserne i en retsakt ( 39 ).

72.

I henhold til 32. betragtning til forordning 2016/679 bør samtykke gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke.

73.

Aktivt samtykke er derfor nu udtrykkeligt fastsat i forordning 2016/679.

74.

Endvidere hedder det i 43. betragtning til nævnte forordning, at for at sikre, at samtykke er givet frivilligt, bør samtykke ikke udgøre et gyldigt retsgrundlag for behandling af personoplysninger i et specifikt tilfælde, hvis der er en klar skævhed mellem den registrerede og den dataansvarlige, navnlig hvis den dataansvarlige er en offentlig myndighed, og det derfor er usandsynligt, at samtykket er givet frivilligt under hensyntagen til alle de omstændigheder, der kendetegner den specifikke situation. Samtykke formodes ikke at være givet frivilligt, hvis det ikke er muligt at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger, selv om det er hensigtsmæssigt i det enkelte tilfælde, eller hvis opfyldelsen af en kontrakt, herunder ydelsen af en tjeneste, gøres afhængig af samtykke, selv om et sådant samtykke ikke er nødvendigt for dennes opfyldelse.

75.

De tilfælde, hvor der kræves særskilt samtykke, er derfor nu udtrykkeligt understreget i denne betragtning.

76.

I henhold til artikel 5, stk. 3, i direktiv 2002/58 skal medlemsstaterne sikre, at lagring af oplysninger eller adgang til oplysninger, der er lagret, i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren, der har givet sit samtykke, får klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen i overensstemmelse med direktiv 95/46.

77.

Denne bestemmelse fastsætter ikke yderligere kriterier for så vidt angår begrebet samtykke.

78.

Imidlertid indeholder betragtningerne til direktiv 2002/58 og direktiv 2009/136 en vejledning om samtykke til cookies.

79.

Således fremgår det af 17. betragtning til direktiv 2002/58, at samtykke kan gives ved ethvert passende middel, der muliggør en frit givet, specifik og informeret angivelse af brugerens ønsker, herunder ved at afkrydse en rubrik, når man besøger et internetwebsted ( 40 ).

80.

Desuden forklares det i 66. betragtning til direktiv 2009/136, at det er af allerstørste betydning, at brugere får klare og fyldestgørende oplysninger, når de foretager sig noget, der kunne medføre en sådan lagring af oplysninger på brugerens udstyr eller adgang til allerede lagrede oplysninger, og at midlerne til at give oplysninger og give ret til at nægte lagring eller adgang bør gøres så brugervenlige som muligt.

81.

I denne forbindelse vil jeg også gerne henvise til det ikke-bindende, men dog oplysende arbejde i »Artikel 29«-Gruppen vedrørende Databeskyttelse (herefter »Artikel 29«-Gruppen) ( 41 ), i henhold til hvilken samtykke forudsætter en forudgående bekræftende handling fra brugere, som accepterer lagringen af cookien og brugen af cookien ( 42 ). Ifølge den samme gruppe lader begrebet »viljetilkendegivelse« til at forudsætte, at der kræves en handling ( 43 ). Andre elementer i definitionen af samtykke og de yderligere krav i artikel 7, litra a), i direktiv 95/46 om, at samtykke skal være utvetydigt, støtter denne fortolkning ( 44 ). Kravet om, at den registrerede skal »indvillige«, tyder på, at passivitet alene er utilstrækkelig, og at det kræver en eller anden form for handling, for at der kan være tale om samtykke, idet forskellige former for handlinger, som skal vurderes »ud fra sammenhængen«, dog er mulige ( 45 ).

82.

Jeg vil nu anvende disse kriterier på den foreliggende sag. I den forbindelse vil jeg først behandle spørgsmål 1, litra a) og c), dvs. spørgsmålet om, hvorvidt der har været tale om gyldigt samtykke vedrørende installation af og adgang til brug af cookies. Dette omfatter den anden afkrydsningsrubrik.

83.

På baggrund af, at kravene til samtykke – som det netop er fastslået – ikke varierer væsentligt for så vidt angår cookies og mere generelt behandlingen af personoplysninger, finder jeg det for at sikre en korrekt og ensartet fortolkning af EU-retten endvidere nødvendigt, både for fuldstændighedens skyld og af hensyn til klarheden, kort at analysere, om der har været tale om et gyldigt samtykke til behandlingen af personoplysninger i forbindelse med den første afkrydsningsrubrik, selv om den forelæggende ret ikke udtrykkeligt har rejst dette spørgsmål. Jeg kan også forstå, at Bundesgerichtshof (forbundsdomstol) i forbindelse med den verserende sag vil skulle træffe afgørelse om den første afkrydsningsrubrik ( 46 ).

84.

Den forelæggende ret ønsker oplyst, om der er tale om et gyldigt samtykke som omhandlet i artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 2, litra h), i direktiv 95/46, når lagringen af oplysninger eller adgang til oplysninger, der allerede er lagret i brugerens terminaludstyr, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke.

85.

De afgørende udtryk i artikel 2, litra h), i direktiv 95/46 og i artikel 4, nr. 11), i forordning 2016/679 med henblik på dette spørgsmål er »frivillig« og »informeret«. Spørgsmålet er, om der i en situation som den, der er beskrevet af den forelæggende ret, kan gives et frivilligt samtykke på et informeret grundlag.

86.

Planet49 anser dette for at være tilfældet. Alle de øvrige procesdeltagere ( 47 ) er uenige. I denne forbindelse fokuserede procesdeltagernes juridiske debat primært på, om afkrydsning eller fjernelse af afkrydsning i en afkrydsningsrubrik forsynet med et forudindstillet hak opfylder disse krav. Debatten drejer sig om spørgsmålet om aktivitet og passivitet. Dette aspekt, hvor vigtigt det end er, udgør imidlertid kun en del af kravene. For det omhandler kun kravet om aktivt, men ikke om særskilt samtykke.

87.

På grundlag af de kriterier, der er opstillet ovenfor, er svaret efter min opfattelse, at der ikke er tale om noget gyldigt samtykke i den foreliggende sag.

88.

For det første opfylder kravet om, at en bruger positivt skal fjerne afkrydsningen i en rubrik og derfor bliver aktiv, hvis vedkommende ikke giver samtykke til installation af cookies, ikke kriteriet om aktivt samtykke. I en sådan situation er det nærmest umuligt objektivt at afgøre, om brugeren har givet sit samtykke på grundlag af en frivillig og informeret beslutning. Hvis det derimod kræves, at brugeren afkrydser en rubrik, gør det en sådan påstand langt mere sandsynlig.

89.

For det andet, og mere væsentligt, kan deltagelse i konkurrencen på internettet og afgivelse af samtykke til installation af cookies ikke udgøre en del af den samme handling. Dette er imidlertid netop tilfældet i den foreliggende sag. I sidste ende foretager en bruger kun et klik på deltagelsesknappen for at deltage i konkurrencen. Samtidig giver vedkommende samtykke til installation af cookies. Der afgives på samme tid to hensigtserklæringer (om deltagelse i konkurrencen og samtykke til installation af cookies). Disse to erklæringer kan ikke begge være omfattet af den samme deltagelsesknap. I den foreliggende sag forekommer samtykket til cookies at være af underordnet karakter i den forstand, at det på ingen måde er klart, at det indgår i en særskilt handling. Med andre ord virker afkrydsning eller fjernelse af afkrydsning i afkrydsningsrubrikken vedrørende cookies som en forberedelse til den endelige og retligt bindende handling, som er at klikke på deltagelsesknappen.

90.

I en sådan situation er en bruger ikke i stand til frivilligt at give særskilt samtykke til lagring af oplysninger eller adgang til oplysninger, der allerede er lagret i vedkommendes terminaludstyr.

91.

Det er desuden blevet fastslået ovenfor, at deltagelse i konkurrencen kun var mulig, hvis der som minimum var blevet sat et hak i den første afkrydsningsrubrik. Som følge heraf var deltagelsen i konkurrencen ikke betinget ( 48 ) af, at der var givet samtykke til installation af og adgang til cookies. For en bruger kunne lige så godt have klikket på den første rubrik (alene).

92.

Efter min bedste overbevisning blev brugeren imidlertid på intet tidspunkt underrettet herom. Dette opfylder ikke kriterierne om fyldestgørende information af brugerne, der er fastslået ovenfor.

93.

Kort sagt er min foreslåede besvarelse af spørgsmål 1, litra a) og c), at der ikke er tale om et gyldigt samtykke som omhandlet i artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 2, litra h), i direktiv 95/46, i en situation som den, der foreligger i hovedsagen, hvor lagring af oplysninger eller adgang til oplysninger, der allerede er lagret i brugerens terminaludstyr, er tilladt ved en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke, og hvor samtykket ikke gives særskilt, men på samme tid som bekræftelsen på deltagelse i en konkurrence på internettet. Det samme gælder fortolkningen af artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 4, nr. 11), i forordning 2016/679.

94.

Selv om den forelæggende rets spørgsmål udelukkende vedrører den anden afkrydsningsrubrik, vil jeg fremsætte to specifikke bemærkninger til afkrydsningsrubrik 1, som kan bistå den forelæggende ret i dens endelige afgørelse.

95.

Det erindres, at den første afkrydsningsrubrik ikke omhandler cookies, men kun behandling af personoplysninger. Her indvilliger brugeren ikke i at få oplysninger lagret på sit udstyr, men (alene) i at blive kontaktet pr. post, telefon eller e-mail af virksomheder, der er anført på en liste.

96.

For det første finder kriterierne om aktivt og særskilt samtykke og fyldestgørende oplysninger naturligvis også anvendelse på den første afkrydsningsrubrik. Aktivt samtykke synes ikke at udgøre et problem, da der ikke på forhånd er sat hak i afkrydsningsrubrikken. Derimod er jeg noget i tvivl med hensyn til særskilt samtykke. På grundlag af ovenstående analyse ( 49 ) af de faktiske omstændigheder i den foreliggende sag ville det være bedre, hvis der billedligt talt skulle klikkes på en særskilt knap ( 50 ) i stedet for blot sættes hak i en afkrydsningsrubrik for at give samtykke til behandling af personoplysninger.

97.

Hvad for det andet angår den første afkrydsningsrubrik vedrørende henvendelse fra sponsorer og samarbejdspartnere bør der tages hensyn til artikel 7, stk. 4, i forordning 2016/679. Ved vurderingen af, om samtykke er givet frit, tages der i henhold til denne bestemmelse størst muligt hensyn til, bl.a. om opfyldelsen af en kontrakt, herunder om ydelsen af en tjeneste, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for dennes opfyldelse. Artikel 7, stk. 4, i forordning 2016/679 kodificerer derfor nu et »forbud mod bundtning« ( 51 ).

98.

Som det fremgår af ordlyden »tages der størst muligt hensyn til«, er forbuddet mod bundtning ikke af absolut karakter ( 52 ).

99.

Her skal den kompetente ret vurdere, om samtykket til behandlingen af personoplysninger er nødvendig for at deltage i konkurrencen. I denne forbindelse bør det erindres, at det underliggende formål med deltagelse i konkurrencen er »salg« af personoplysninger (dvs. at brugeren accepterer at blive kontaktet af såkaldte »sponsorer« med henblik på reklametilbud). Brugerens hovedforpligtelse for at deltage i konkurrencen er med andre ord levering af personoplysninger. I en sådan situation forekommer det mig, at behandlingen af disse personoplysninger er nødvendig for at deltage i konkurrencen ( 53 ).

100.

Jeg vil nu undersøge, om det i forbindelse med anvendelsen af artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 2, litra h), i direktiv 95/46, gør en forskel, om de oplysninger, der lagres eller hentes, er personoplysninger.

101.

Dette spørgsmål forstås bedst på baggrund af tysk ret om gennemførelse af artikel 5, stk. 3, i direktiv 2002/58 ( 54 ). I tysk ret er der således fastsat en forskel mellem indsamling og anvendelse af personoplysninger og andre data.

102.

I henhold til TMG’s § 12, stk. 1, kan en tjenesteudbyder kun indsamle og anvende personoplysninger, bl.a. hvis brugeren har givet samtykke hertil.

103.

Ifølge TMG’s § 15, stk. 3, kan en tjenesteudbyder derimod oprette brugerprofiler til anvendelse af pseudonymer, bl.a. med henblik på reklame og markedsanalyse, hvis brugeren ikke gør indsigelse mod dette. For så vidt som der ikke er tale om personoplysninger, er kravet derfor mindre strengt i henhold til tysk ret: ikke samtykke, men blot ikke indsigelse.

104.

Personoplysninger er retligt defineret i artikel 4, nr. 1), i forordning 2016/679 som »enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet«.

105.

Jeg mener, at det er hævet over enhver tvivl, at »oplysninger« som omhandlet i artikel 5, stk. 3, i direktiv 2002/58 for så vidt angår den foreliggende sag er »personoplysninger«. Dette ser også ud til at være den forelæggende rets synspunkt, idet den udtrykkeligt i sin forelæggelsesafgørelse har anført, at hentning af data fra de af sagsøgte anvendte cookies er omfattet af samtykkekravet i TMG’s § 12, stk. 1, idet der er tale om personoplysninger ( 55 ). Det ser desuden heller ikke ud til at være omtvistet mellem parterne i hovedsagen, at der her er tale om personoplysninger.

106.

Man kan derfor spekulere på, om dette spørgsmål er relevant for den foreliggende sag, og om ikke spørgsmålet er hypotetisk ( 56 ).

107.

Hvorom alting er, mener jeg, at besvarelsen af dette spørgsmål er ganske ligetil, for det gør ingen forskel, om de oplysninger, der lagres eller hentes, udgør personoplysninger. Artikel 5, stk. 3, i direktiv 2002/58 henviser til »lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret« ( 57 ). Det er klart, at der er et privatlivsaspekt ved alle disse oplysninger, uanset om de udgør »personoplysninger« som omhandlet i artikel 4, nr. 1), i forordning 2016/679 eller ej. Som Kommissionen med rette har fremhævet, har artikel 5, stk. 3, i direktiv 2002/58 til formål at beskytte brugeren mod indgreb i hans eller hendes privatsfære, uanset om dette indgreb omfatter personoplysninger eller andre data.

108.

En sådan fortolkning af artikel 5, stk. 3, i direktiv 2002/58 bekræftes i øvrigt af 24. ( 58 ) og 25. ( 59 ) betragtning til dette direktiv samt udtalelser fra »Artikel 29«-Gruppen. Ifølge denne gruppe gælder »[a]rtikel 5, stk. 3, […] for »oplysninger« (der er lagret eller opnås adgang til). Den kvalificerer ikke sådanne oplysninger. Det er ikke en forudsætning for anvendelsen af denne bestemmelse, at oplysningerne er personoplysninger som defineret i direktiv 95/46/EF« ( 60 ).

109.

Som følge heraf ser det ud til, at TMG’s § 15, stk. 3, ikke til fulde gennemfører kravene i artikel 5, stk. 3, i direktiv 2002/58, i tysk ret ( 61 ).

110.

Jeg foreslår derfor at besvare spørgsmål 1, litra b), således, at for så vidt angår anvendelsen af artikel 5, stk. 3, og artikel 2, litra f), i direktiv 2002/58, sammenholdt med artikel 2, litra h), i direktiv 95/46, gør det ingen forskel, om de oplysninger, der lagres eller hentes, er personoplysninger.

111.

Med spørgsmål 2 ønsker den forelæggende ret oplyst, hvilke oplysninger tjenesteudbyderen skal give brugeren i forbindelse med de klare og fyldestgørende oplysninger, der skal gives i henhold til artikel 5, stk. 3, i direktiv 2002/58, og om dette også omfatter cookiernes funktionsvarighed og spørgsmålet om, hvorvidt tredjemand får adgang til cookierne.

112.

Artikel 10 og 11 i direktiv 95/46 (og artikel 13 og 14 i forordning 2016/679) fastsætter en forpligtelse til at give oplysninger til de registrerede. Oplysningspligten er knyttet til samtykke, idet der altid skal være oplysninger, inden der kan blive tale om samtykke.

113.

I betragtning af den begrebsmæssige lighed mellem en internetbruger (og ‑udbyder) og en forbruger (og erhvervsdrivende) ( 62 ) kan man på dette stadium anvende begrebet den gennemsnitlige europæiske forbruger, der er almindeligt oplyst, rimeligt opmærksom og velunderrettet ( 63 ) og er i stand til at træffe en kvalificeret beslutning om at indgå forpligtelser ( 64 ).

114.

På grund af cookiers tekniske kompleksitet, den asymmetriske information mellem udbyder og bruger og mere generelt den relative mangel på viden hos enhver gennemsnitlig internetbruger kan den gennemsnitlige internetbruger dog ikke forventes at have stor viden om, hvordan cookies fungerer.

115.

Derfor indebærer klare og fyldestgørende oplysninger, at en bruger er i stand til uden besvær at bestemme følgerne af det eventuelle samtykke, den pågældende måtte give. Med henblik herpå skal vedkommende være i stand til at vurdere konsekvenserne af sine handlinger. De oplysninger, der gives, skal være let forståelige og må ikke være tvetydige eller give anledning til fortolkningsvanskeligheder. De skal være tilstrækkeligt detaljerede til, at brugeren kan forstå, hvordan de cookies, som konkret anvendes, fungerer.

116.

Oplysningerne omfatter, således som den forelæggende ret med rette har anført, både cookiernes funktionsvarighed og spørgsmålet om, hvorvidt tredjemand får adgang til cookierne.

117.

I henhold til 23. og 26. betragtning til direktiv 2002/58 indgår cookiers funktionsvarighed i kravet om informeret samtykke, hvilket betyder, at tjenesteudbyderne »til enhver tid [bør] holde abonnenterne underrettet om, hvilke typer data de behandler, samt hvorfor og hvor længe behandlingen foretages«. Selv om cookien er afgørende, skal spørgsmålet om, hvor indgribende den er, ses i forhold til de konkrete omstændigheder med henblik på samtykke. Ud over at overveje, hvilke oplysninger hver cookie indeholder, og om den er tilknyttet andre oplysninger om brugeren, skal tjenesteudbyderne se på cookiens levetid, og om denne levetid er passende i forhold til formålet med cookien.

118.

Cookiers funktionsvarighed vedrører de udtrykkelige krav om informeret samtykke med hensyn til oplysningernes kvalitet og tilgængelighed for brugerne. Dette er af afgørende betydning for, at personerne kan træffe informerede beslutninger ( 65 ) før behandlingen. Da data indsamlet af cookies skal fjernes, når de ikke længere er nødvendige for at opfylde det oprindelige formål, følger det heraf, som den portugisiske og den italienske regering har gjort gældende, at lagringsperioden for indsamlede data klart skal meddeles til brugeren.

119.

Her har Planet49 gjort gældende, at hvis tredjemand får adgang til en cookie, skal brugerne også underrettes herom. Såfremt det, som i den foreliggende sag, kun er den udbyder, der ønsker at installere en cookie, som har adgang til cookien, er det tilstrækkeligt at henlede opmærksomheden på dette forhold. Den omstændighed, at andre tredjeparter ikke har adgang, behøver ikke påpeges særskilt. En sådan forpligtelse ville ikke være forenelig med lovgivers hensigt om, at databeskyttelsestekster bør være brugervenlige og kortfattede.

120.

Jeg kan ikke tilslutte mig en sådan fortolkning. Hvis oplysninger skal være klare og fyldestgørende, bør en bruger i stedet udtrykkeligt informeres om, hvorvidt tredjeparter har adgang til de installerede cookies eller ej. Og hvis tredjeparter har adgang, skal deres identitet offentliggøres. Som Bundesverband med rette har fremhævet, er dette helt nødvendigt for at sikre, at der gives informeret samtykke.

121.

Jeg foreslår derfor, at spørgsmål 2 besvares således, at de klare og fyldestgørende oplysninger, som en tjenesteudbyder skal give en bruger i henhold til artikel 5, stk. 3, i direktiv 2002/58, skal omfatte cookiernes funktionsvarighed og spørgsmålet om, hvorvidt tredjeparter får adgang til cookierne eller ej.

122.

På baggrund af ovenstående betragtninger foreslår jeg, at Domstolen besvarer de præjudicielle spørgsmål, der er forelagt af Bundesgerichtshof (forbundsdomstol, Tyskland), som følger: