1.

Planet49:n järjestämään arvontaan osallistuminen edellytti, että internetkäyttäjä joko rastitti tai poisti rastin kahdesta valintaruudusta, ennen kuin hänen oli mahdollista napsauttaa ”osallistumispainiketta”. Toisessa valintaruuduista käyttäjän oli hyväksyttävä se, että useat eri yritykset lähettävät hänelle myynninedistämistarjouksia, ja toisessa valintaruudussa käyttäjän oli annettava suostumuksensa evästeiden asettamiseen hänen tietokoneelleen. Nämä ovat tiivistettynä nyt käsiteltävää Bundesgerichtshofin (liittovaltion ylin tuomioistuin, Saksa) esittämää ennakkoratkaisupyyntöä koskevat tosiseikat.

2.

Näiden näennäisesti vaarattomien tosiseikkojen alla piilee unionin tietosuojalainsäädäntöön liittyviä perustavia kysymyksiä: Mitä tarkasti ottaen edellytetään tietoiselta suostumukselta, joka on annettava vapaaehtoisesti? Onko henkilötietojen (pelkän) käsittelyn ja evästeiden asettamisen ja niihin pääsemisen välillä ero? Mitä lainsäädäntövälineitä voidaan soveltaa?

3.

Tässä ratkaisuehdotuksessa esitän, että käsiteltävän asian osalta edellytykset suostumuksen antamiselle ovat samat direktiivissä 95/46/EY ( 2 ) ja asetuksessa (EU) 2016/679 ( 3 ) ja että nyt tarkasteltavassa tapauksessa ei ole eroa siinä, käsitelläänkö yleistä kysymystä henkilötietojen käsittelystä vai täsmällisempää kysymystä tietojen tallentamisesta ja niiden käyttämisestä evästeiden avulla.

4.

Direktiivin 95/46 2 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:

”Tässä direktiivissä tarkoitetaan

– –

5.

Direktiivin 95/46 II jaksoon, jonka otsikko on ”Tietojenkäsittelyn laillisuutta koskevat periaatteet”, kuuluvan 7 artiklan a alakohdassa säädetään seuraavaa:

”Jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan käsitellä ainoastaan,

– –”

6.

Saman direktiivin 10 artiklassa, jonka otsikko on ”Informointi kerättäessä tietoja rekisteröidyltä”, säädetään seuraavaa:

”Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjän tai hänen edustajansa on toimitettava rekisteröidylle, jolta tietoja kerätään, vähintään jäljempänä esitetyt tiedot, paitsi jos hän jo tietää ne:

siltä osin kuin nämä lisätiedot ovat tarpeen ottaen huomioon erityiset olosuhteet, joissa tiedot kerätään, rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi.”

7.

Direktiivin 2002/58/EY ( 5 ) johdanto-osan 24 ja 25 perustelukappaleessa todetaan seuraavaa:

8.

Kyseisen direktiivin 2 artiklan, jonka otsikko on ”Määritelmät”, f alakohdassa säädetään seuraavaa:

”Jollei toisin ole säädetty, tässä direktiivissä sovelletaan direktiivin 95/46/EY ja sähköisten viestintäverkkojen ja ‑palvelujen yhteisestä sääntelyjärjestelmästä (puitedirektiivi) 7 päivänä maaliskuuta 2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/21/EY[ ( 6 )] sisältämiä määritelmiä.

Lisäksi tässä direktiivissä tarkoitetaan

– –

– –”

9.

Direktiivin 2002/58 5 artiklan, jonka otsikko on ”Viestinnän luottamuksellisuus”, 3 kohdassa säädetään seuraavaa:

”Jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin 95/46/EY mukaisesti. Tämä ei estä teknistä tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestinnän välittäminen sähköisissä viestintäverkoissa tai joka on ehdottoman välttämätöntä tietoyhteiskuntapalvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.”

10.

Direktiivin 2009/136/EY ( 8 ) johdanto-osan 66 perustelukappaleessa todetaan seuraavaa:

”Kolmannet osapuolet voivat haluta tallentaa tietoja käyttäjän välineille tai saada yhteyden jo tallennettuihin tietoihin eri tarkoituksia varten, jotka vaihtelevat laillisista tarkoituksista (kuten erityyppiset evästeet) tarkoituksiin, joihin liittyy luvaton tunkeutuminen yksityiselämän alueelle (kuten vakoiluohjelmat ja virukset). Näin ollen on äärimmäisen tärkeää, että käyttäjille tarjotaan selkeät ja kattavat tiedot heidän ryhtyessään toimiin, jotka voivat johtaa tällaiseen tallennukseen tai käyttämisen sallimiseen. Tapojen, joilla annetaan tietoja ja tarjotaan mahdollisuus kieltäytyä, olisi oltava mahdollisimman käyttäjäystävällisiä. Poikkeus tietojen antamisesta ja kieltäytymismahdollisuuden tarjoamisesta olisi rajattava tilanteisiin, joissa tekninen tallennus tai käyttämisen salliminen on ehdottoman välttämätöntä, jotta voidaan laillisesti mahdollistaa sellaisen yksittäisen palvelun käyttö, jota tilaaja tai käyttäjä on nimenomaisesti pyytänyt. Jos se on teknisesti mahdollista ja tehokasta ja direktiivin 95/46/EY asiaa koskevien säännösten mukaista, käyttäjä voi antaa suostumuksensa käyttämiseen selaimen tai muun sovelluksen asianmukaisten asetusten avulla. Näiden vaatimusten voimaansaattamista olisi tehostettava myöntämällä laajennetut valtuudet kansallisille viranomaisille.”

11.

Asetuksen 2016/679 johdanto-osan 32 perustelukappaleessa todetaan seuraavaa:

”Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palvelujen teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten. Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan.”

12.

Kyseisen asetuksen 4 artiklan, jonka otsikko on ”Määritelmät”, 11 alakohdassa säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan

– –

– –”

13.

Saman asetuksen 6 artiklassa, jonka otsikko on ”Käsittelyn lainmukaisuus”, säädetään seuraavaa:

”1.   Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

– –”

14.

Asetuksen 2016/679 7 artiklan otsikko on ”Suostumuksen edellytykset”. Mainitun artiklan 4 kohdan mukaan ”arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten”.

15.

Saksan siviililain (Bürgerliches Gesetzbuch, jäljempänä BGB) 307 §:ssä ( 9 ) säädetään seuraavaa:

”(1)   Elinkeinonharjoittajien soveltamat yleiset ehdot ovat pätemättömiä silloin, kun ne lojaliteettiperiaatteen vastaisesti ovat kohtuuttomalla tavalla epäedulliset niitä käyttävän henkilön sopimuspuolelle. Kohtuuton epäedullisuus voi johtua myös siitä, että ehto ei ole selkeä ja ymmärrettävä.

(2)   Epäselvässä tilanteessa sopimusehdon on katsottava olevan kohtuuttomalla tavalla epäedullinen silloin, kun

(3)   Tämän pykälän 1 ja 2 momenttia sekä 308 ja 309 §:ää sovelletaan ainoastaan yleisten myyntiehtojen niihin säännöksiin, joissa sovitaan laeista tai asetuksista poikkeavista tai niitä täydentävistä ehdoista. Muut säännökset voivat olla pätemättömiä 1 momentin toisen virkkeen perusteella, luettuna yhdessä 1 momentin ensimmäisen virkkeen kanssa.”

16.

Sopimattoman kilpailun estämisestä annetussa laissa (Gesetz gegen den unlauteren Wettbewerb, jäljempänä UWG) kielletään kaupalliset toimet, jotka häiritsevät markkinatoimijaa kohtuuttomasti. UWG:n 7 §:n 2 momentin 2 kohdassa säädetään, että ”kohtuuttomasta häirinnästä on aina katsottava olevan kyse – – puhelinmainonnassa kuluttajalle ilman tämän nimenomaista etukäteissuostumusta tai muulle markkinatoimijalle ilman tämän ainakin oletettua suostumusta”.

17.

Sähköisistä tieto- ja viestintäpalveluista annetun lain (Telemediengesetz, jäljempänä TMG) 12 §:n 1 momentilla pannaan täytäntöön direktiivin 95/46 7 artiklan a alakohta ja määritetään edellytykset, joiden täyttyessä palveluntarjoajalla on oikeus kerätä ja käyttää henkilötietoja sähköisten viestimien tarkoituksiin. Kyseisen pykälän mukaan palveluntarjoajalla on oikeus kerätä ja käyttää henkilötietoja sähköisten viestimien tarkoituksiin vain, jos TMG:ssä tai toisessa lainsäädäntövälineessä, jolla säännellään nimenomaisesti sähköisiä viestimiä, annetaan oikeus siihen tai jos käyttäjä antaa siihen suostumuksensa.

18.

TMG:n 12 §:n 3 momentin mukaan voimassa olevaa henkilötietolainsäädäntöä on sovellettava, vaikka tietoja ei käsiteltäisi automaattisesti.

19.

TMG:n 13 §:n 1 momentissa edellytetään, että palveluntarjoaja ilmoittaa käyttäjälle käytön alussa henkilötietojen käsittelyn luonteesta, laajuudesta ja tarkoituksesta sekä direktiivin 95/46 soveltamisalan ulkopuolella tapahtuvasta tietojen käsittelystä.

20.

TMG:n 15 §:n 1 momentissa säädetään, että palveluntarjoajat voivat kerätä ja käsitellä henkilötietoja vain, jos se on tarpeen verkossa tapahtuvan palvelujen käytön mahdollistamiseksi tai tähän käyttöön liittyvän laskun laatimiseksi (jäljempänä käyttäjätiedot). Määritelmän mukaan käyttäjätiedoilla tarkoitetaan muun muassa tietoja, jotka mahdollistavat käyttäjien yksilöimisen.

21.

TMG:n 15 §:n 3 momentilla pannaan täytäntöön direktiivin 2002/58 5 artiklan 3 kohta, ja siinä annetaan palveluntarjoajalle oikeus salanimien käyttötapauksissa luoda käyttäjäprofiileja mainonnan, markkinatutkimuksen tai sähköisten viestimien konfiguraation tarkoituksiin, edellyttäen että käyttäjä ei vastusta tätä ja että palveluntarjoaja on ilmoittanut käyttäjälle tämän oikeudesta kieltää kyseinen käyttö TMG:n 13 §:n 1 momentissa säädetyn tiedottamisvelvollisuuden mukaisesti.

22.

Liittovaltion tietosuojalain (Bundesdatenschutzgesetz, jäljempänä BDSG) ( 10 ) 3 §:n 1 momentilla pannaan täytäntöön direktiivin 95/46 2 artiklan a alakohta, ja siihen sisältyvän määritelmän mukaan ”henkilötiedoilla” tarkoitetaan tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä koskevia henkilökohtaisia tai asiallisia olosuhteita koskevia tietoja.

23.

BDSG:n 4a §:llä saatetaan osaksi kansallista lainsäädäntöä direktiivin 95/46 2 artiklan h alakohta, ja siinä säädetään, että suostumus on pätevä vain, jos se perustuu kyseisten henkilöiden vapaaseen valintaan.

24.

Planet49 GmbH (jäljempänä Planet49) järjesti 24.9.2013 mainostarkoituksessa arvonnan internetosoitteessa www.dein-macbook.de. ( 11 ) Osallistuakseen arvontaan internetkäyttäjän oli syötettävä postinumeronsa, minkä jälkeen käyttäjä päätyi sivulle, johon hänen piti syöttää nimensä ja osoitteensa. Osoitekenttien alla oli kaksi huomautusta, joiden edessä oli valintaruutu rastittamista varten. Viittaan niihin jäljempänä ensimmäisenä valintaruutuna ja toisena valintaruutuna. Ensimmäinen huomautus, jonka edessä olevaa valintaruutua ei ollut rastitettu valmiiksi, kuului seuraavasti:

”Hyväksyn, että tietyt sponsorit ja yhteistyökumppanit kertovat minulle postitse tai puhelimitse tai sähköpostilla/tekstiviestillä toimialansa tarjonnasta. Voin tehdä päätöksen tässä itse, muussa tapauksessa järjestäjä tekee valinnan puolestani. Voin peruuttaa suostumuksen milloin tahansa. Lisätietoa asiasta on täällä.”

25.

Toinen huomautus, jonka edessä oleva valintaruutu oli rastitettu valmiiksi, kuului seuraavasti:

”Hyväksyn, että tietoihini käytetään Remintrex-verkkoanalyysipalvelua. Tästä seuraa, että arvonnan järjestäjä, Planet49 GmbH, ottaa arvontaan rekisteröitymisen jälkeen käyttöön evästeet, minkä ansiosta Planet49 voi arvioida selauskäyttäytymistäni ja käyttötapojani mainontakumppanien verkkosivuilla ja Remintrex voi siten kohdentaa mainontaa kiinnostuksen kohteiden mukaan. Voin poistaa evästeet käytöstä milloin tahansa. Lisätietoja täällä.”

26.

Arvontaan oli mahdollista osallistua vain, jos ainakin ensimmäinen valintaruutu oli rastitettu.

27.

Ensimmäisessä huomautuksessa kohtiin ”sponsorit ja yhteistyökumppanit” ja ”täällä” liitetyn linkin kautta avautui luettelo, johon oli merkitty 57 yritystä, jokaisen osoite, mainostettava toimiala ja mainonnassa käytettävä viestintäväline (sähköposti, posti tai puhelin) sekä jokaisen yrityksen jälkeen alleviivattu sana ”peruuttaminen”. Luetteloa edelsi seuraava huomautus:

”Napsauttamalla linkkiä ’peruuttaminen’ päätän, ettei mainitulle kumppanille/sponsorille saa antaa mainontasuostumusta. Jos en ole peruuttanut yhtään tai riittävän montaa kumppania/sponsoria, Planet49 valitsee vapaan harkintansa mukaan kumppanit/sponsorit minulle (enimmäismäärä: 30 kumppania/sponsoria).”

28.

Napsautettaessa toisessa huomautuksessa sanaan ”täällä” liitettyä linkkiä näytölle avautui seuraavat tiedot sisältävä sivu:

”Käytetyt evästeet, joiden nimi on ceng_cache, ceng_etag, ceng_png ja gcr, ovat pieniä tiedostoja, jotka käyttämäsi selain tallentaa luokitellusti kiintolevylle ja joiden kautta kulkee tiettyjä tietoja, jotka mahdollistavat käyttäjäystävällisemmän ja tehokkaamman mainonnan. Evästeet sisältävät tietyn sattumanvaraisesti määräytyvän numeron (ID), joka lisätään samanaikaisesti rekisteröitymistietoihisi. Jos vierailet tämän jälkeen Remintrexiin rekisteröityneen mainontakumppanin verkkosivustolla (se, onko rekisteröityminen tapahtunut, selviää mainontakumppanin tietosuojailmoituksesta), sivustolle sijoitettujen kehysten (iFrame) perusteella Remintrex saa automaattisesti tiedon siitä, että sinä (toisin sanoen käyttäjä, jolla on tallennettu ID) olet vieraillut sivulla, mistä tuotteesta olit kiinnostunut ja onko sopimus syntynyt.

Tämän jälkeen Planet49 voi arvontoja varten rekisteröitymisen yhteydessä annetun mainontasuostumuksen perusteella lähettää sinulle mainontasähköpostia, jossa otetaan huomioon mainontakumppanien verkkosivustoilla osoittamasi kiinnostuksen kohteet. Mainontaluvan peruuttamisen jälkeen et tietenkään saa enää sähköpostimainontaa.

Evästeiden välittämiä tietoja käytetään yksinomaan mainontaan, jossa esitellään mainontakumppaneiden tuotteita. Tiedot kerätään ja tallennetaan ja niitä käytetään erikseen jokaista mainontakumppania varten. Tässä yhteydessä ei luoda useita mainontakumppaneita käsittäviä käyttäjäprofiileja. Yksittäiset mainontakumppanit eivät saa käyttöönsä henkilötietoja.

Jos et halua enää käyttää evästeitä, voit poistaa ne käytöstä milloin tahansa selaimessasi. Ohjeet siihen löydät selaimen avustustoiminnosta.

Evästeiden avulla ei voida ajaa ohjelmia eikä siirtää viruksia.

Sinulla on tietysti mahdollisuus peruuttaa tämä suostumus milloin tahansa. Peruutuksen voit tehdä kirjallisesti PLANET49 GmbH:lle [osoite]. Tähän tarkoitukseen riittää kuitenkin myös sähköpostiviesti asiakaspalveluumme [sähköpostiosoite].”

29.

Pääasiassa alun perin kanteen nostanut Bundesverband der Verbraucherzentralen (kuluttajaneuvontayhdistysten keskusjärjestö, jäljempänä Bundesverband) on kieltokanteista kuluttajan oikeuksien loukkausten ja muiden rikkomisten yhteydessä annetun lain (Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen, jäljempänä UKlaG) mukaiseen luetteloon merkitty kanneoikeutettu elin. Bundesverbandin mukaan edellä mainitut Planet49:n käyttämät suostumusilmoitukset eivät täyttäneet BGB:n 307 §:ssä, UWG:n 7 §:n 2 momentin 2 kohdassa ja TMG:n 12 §:ssä ja sitä seuraavissa pykälissä asetettuja edellytyksiä. Oikeudenkäyntiä edeltänyt kehotus jäi tuloksettomaksi.

30.

Bundesverband nosti Landgericht Frankfurt am Mainissa (alueellinen alioikeus, Frankfurt am Main, Saksa) kanteen, jossa se vaati, että Planet49 lopettaa edellä mainittujen lausekkeiden ( 12 ) käytön ja että kyseinen yritys määrätään maksamaan sille 214 euroa korkoineen 15.3.2014 alkaen.

31.

Landgericht Frankfurt am Main hyväksyi tietyt kannevaatimukset ja hylkäsi kanteen muilta osin. Sen jälkeen, kun edellä mainitusta tuomiosta Oberlandesgericht Frankfurt am Mainiin (osavaltion ylioikeus, Frankfurt am Main, Saksa) tehdyn valituksen ( 13 ) jälkeen asiassa tehtiin oikeuskysymyksiin rajoittuva valitus ( 14 ) Bundesgerichtshofiin.

32.

Bundesgerichtshof katsoo, että Revision-valituksen menestyminen riippuu direktiivin 2002/58 5 artiklan 3 kohdan ja 2 artiklan f alakohdan, luettuina yhdessä direktiivin 95/46 2 artiklan h alakohdan ja asetuksen 2016/679 6 artiklan 1 kohdan a alakohdan kanssa, tulkinnasta, ja se on esittänyt unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

33.

Ennakkoratkaisupyyntö saapui unionin tuomioistuimeen 30.11.2017. Kirjallisia huomautuksia esittivät Planet49, Bundesverband, Portugalin ja Italian hallitukset sekä Euroopan komissio. Planet49, Bundesverband, Saksan hallitus ja komissio osallistuivat 13.11.2018 pidettyyn istuntoon.

34.

Molemmat Bundesgerichtshofin esittämät ennakkoratkaisukysymykset koskevat suostumuksen antamista tietojen tallentamiseen ja käyttäjän päätelaitteelle jo tallennettujen tietojen käyttämiseen, toisin sanoen evästeisiin, direktiivin 2002/58 säännösten, luettuna yhdessä direktiivin 95/46 ja asetuksen 2016/679 säännösten kanssa, erityisessä asiayhteydessä.

35.

Seuraavaksi esittämieni alustavien huomautusten avulla on mielestäni hyödyllistä selventää tosiseikkojen osalta evästeiden ilmiötä ja siihen liittyvää käsitteistöä samoin kuin selventää oikeudellisesti käsiteltävässä asiassa sovellettavia lainsäädäntövälineitä.

36.

Eväste on tapa kerätä verkkosivuston luomia ja internetkäyttäjän selaimen tallentamia tietoja. ( 15 ) Se on pieni data- tai seurantatiedosto, joka on yleensä kooltaan alle kilotavun ja jonka verkkosivusto pyytää internetkäyttäjän selainta tallentamaan käyttäjän tietokoneen paikalliselle kiintolevylle tai mobiililaitteelle. ( 16 )

37.

Evästeen avulla verkkosivuston on mahdollista ”muistaa” käyttäjän toimet tai mieltymykset ajan mittaan. Useimmat internetselaimet tukevat evästeitä, mutta käyttäjät voivat määrittää selaimensa siten, että evästeitä ei hyväksytä. He voivat myös poistaa evästeet milloin tahansa. Monet käyttäjät nimittäin määrittävät evästeasetuksensa selaimissaan siten, että evästeet poistetaan automaattisesti oletusarvoisesti, kun selainikkuna suljetaan. Empiirinen näyttö osoittaa kuitenkin erittäin selvästi, että ihmiset muuttavat oletusasetuksia harvoin, ilmiö, josta käytetään nimitystä ”oletusasetusten aiheuttama toimettomuus” (default inertia). ( 17 )

38.

Verkkosivustot käyttävät evästeitä yksilöidäkseen käyttäjiä, muistaakseen heidän mieltymyksensä ja antaakseen käyttäjille mahdollisuuden suorittaa toimia ilman, että he joutuvat syöttämään tiedot uudelleen siirtyessään sivulta toiselle tai vieraillessaan sivulla myöhemmin.

39.

Evästeiden avulla voidaan myös kerätä tietoja verkkokäyttäytymiseen perustuvaa kohdennettua mainontaa ja markkinointia varten. ( 18 ) Yritykset esimerkiksi käyttävät ohjelmistoja seuratakseen käyttäjien käyttäytymistä ja luodakseen henkilökohtaisia profiileja, minkä ansiosta käyttäjille voidaan näyttää heidän aiempiin hakuihinsa liittyviä mainoksia. ( 19 )

40.

Evästeitä on erityyppisiä, joista osa luokitellaan evästeen keston mukaan (esim. istuntokohtaiset evästeet ja pysyvät evästeet) ja osa perustuu verkkotunnukseen, johon eväste kuuluu (esim. ensimmäisen osapuolen ja kolmannen osapuolen evästeet). ( 20 ) Kun internetsivun avaava internetselain tallentaa evästeitä käyttäjän tietokoneelle tai mobiililaitteelle, niistä käytetään nimitystä http header ‑evästeet. ( 21 ) Toinen tapa tallentaa evästeitä on käyttää JavaScript-koodia, joka sisältyy kyseiseen sivuun tai johon siinä viitataan. ( 22 ) Evästeiden asettamiseen annettavan suostumuksen pätevyyttä ja suostumusta koskevien merkityksellisten poikkeusten sovellettavuutta olisi kuitenkin arvioitava evästeen tarkoituksen eikä sen teknisten ominaisuuksien perusteella. ( 23 )

41.

Pääasiassa sovellettava lainsäädäntökehys on kehittynyt asetuksen 2016/679 äskettäistä voimaantuloa edeltävinä vuosina.

42.

Käsiteltävässä asiassa voidaan soveltaa kahta eri unionin lainsäädäntövälinekokonaisuutta. Ensinnäkin direktiiviä 95/46 ja asetusta 2016/679. Toiseksi direktiiviä 2002/58, sellaisena kuin se on muutettuna direktiivillä 2009/136. ( 24 )

43.

Esitän näistä kahdesta välinekokonaisuudesta kaksi huomautusta.

44.

Ensimmäinen huomautus koskee direktiivin 95/46 ja asetuksen 2016/679 sovellettavuutta.

45.

Asetuksella 2016/679, jota on sovellettu 25.5.2018 alkaen, ( 25 ) kumottiin direktiivi 95/46 samasta päivästä lukien. ( 26 )

46.

Kyseinen ajankohta eli 25.5.2018 on myöhäisempi kuin viimeinen ennakkoratkaisua pyytäneen tuomioistuimen istunto, joka pidettiin 14.7.2017, ja myös myöhäisempi kuin 5.10.2017, jolloin käsiteltävässä asiassa esitettiin ennakkoratkaisupyyntö unionin tuomioistuimelle.

47.

Siten 25.5.2018 edeltävien tilanteiden osalta sovellettavan lainsäädännön muodostavat direktiivi 2002/58 yhdessä direktiivin 95/46 kanssa, kun taas 25.5.2018 lähtien syntyneiden tilanteiden osalta sovellettavan lainsäädännön muodostavat direktiivi 2002/58 yhdessä asetuksen 2016/679 kanssa.

48.

Sikäli kuin Bundesverband haluaa vaatimallaan kieltomääräyksellä ( 27 ) estää Planet49:ää toimimasta tulevaisuudessa samoin kuin aiemmin, asetusta 2016/679 voidaan soveltaa käsiteltävässä asiassa. Tulevaisuuteen suuntautuvaa kieltomääräystä koskevasta vaatimuksesta annettavassa ratkaisussa Bundesgerichtshofin on näin ollen otettava huomioon asetuksen 2016/679 vaatimukset. Saksan hallitus viittaa tässä yhteydessä johdonmukaiseen kansalliseen oikeuskäytäntöön, joka koskee merkityksellistä oikeudellista tilannetta kieltokanteissa. ( 28 )

49.

Ennakkoratkaisukysymykseen on näin ollen vastattava sekä direktiivin 95/46 että asetuksen 2016/679 kannalta. ( 29 )

50.

Lisäksi on syytä huomata, että direktiiviin 2002/58 sisältyviä viittauksia direktiiviin 95/46 on pidettävä viittauksina asetukseen 2016/679. ( 30 )

51.

Toinen huomautus koskee direktiivin 2002/58 5 artiklan 3 kohdan kehitystä.

52.

Direktiivillä 2002/58 pyritään varmistamaan Euroopan unionin perusoikeuskirjassa ja erityisesti sen 7 ja 8 artiklassa vahvistettujen oikeuksien täysimääräinen kunnioittaminen. ( 31 ) Kyseisen direktiivin 5 artiklalla pyritään varmistamaan ”viestinnän luottamuksellisuus”. Mainitun artiklan 3 kohdassa säädetään etenkin evästeiden käytöstä ja vahvistetaan edellytykset, joiden on täytyttävä, ennen kuin tietoja voidaan tallentaa käyttäjän päätelaitteelle tai käyttäjän päätelaitteelle tallennettuja tietoja voidaan käyttää evästeen asettamisen avulla.

53.

Direktiivillä 2009/136 tehtiin merkittäviä muutoksia direktiivin 2002/58 5 artiklan 3 kohdan mukaisiin suostumusta koskeviin edellytyksiin käyttäjien suojan parantamiseksi. Ennen kyseisellä direktiivillä tehtyjä muutoksia 5 artiklan 3 kohdassa edellytettiin pelkästään, että käyttäjille annetaan tietoinen mahdollisuus kieltäytyä (opt-out) tietojen käsittelystä evästeiden avulla. Toisin sanoen 5 artiklan 3 kohdan alkuperäisessä versiossa todettiin, että tallentaessaan tietoja käyttäjän päätelaitteelle tai käyttäessään päätelaitteelle tallennettuja tietoja palveluntarjoajan oli annettava käyttäjälle selkeät ja kattavat tiedot etenkin käsittelyn tarkoituksesta ja oikeus kieltää tällainen käsittely.

54.

Direktiivissä 2009/136 tämä kieltämisoikeudesta tiedottamista koskeva edellytys korvattiin edellytyksellä, jonka mukaan ”kyseinen tilaaja tai käyttäjä on antanut suostumuksensa”, mikä tarkoittaa, että sillä korvattiin helpommin täytettävä tietoinen opt-out-järjestelmä tietoisella opt-in-järjestelmällä. Lukuun ottamatta hyvin rajattua poikkeusta, jota ei sovelleta käsiteltävässä asiassa, ( 32 ) direktiivin 2002/58 muutetussa 5 artiklan 3 kohdassa evästeiden käyttö sallitaan ainoastaan sillä edellytyksellä, että käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot siitä, miksi hänen tietojaan seurataan, toisin sanoen käsittelyn tarkoituksesta direktiivin 95/46 mukaisesti. ( 33 )

55.

Kuten jäljempänä yksityiskohtaisemmin esitetään, direktiivin 2002/58 5 artiklan 3 kohdan mukaisen tiedottamisedellytyksen laajuus muodostaa käsiteltävän riita-asian ytimen, etenkin verkkotoimintoja koskevien oletusasetusten yhteydessä.

56.

Ensimmäisen kysymyksensä a kohdassa ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, onko kyse direktiivin 2002/58 5 artiklan 3 kohdassa ja 2 artiklan f alakohdassa, luettuina yhdessä direktiivin 95/46 2 artiklan h alakohdan kanssa, tarkoitetusta pätevästä suostumuksesta, jos tietojen tallentaminen tai käyttäjän päätelaitteelle jo tallennettujen tietojen käyttäminen sallitaan verkkosivulle sijoitetulla valmiiksi rastitetulla valintaruudulla, josta käyttäjän on poistettava rasti evätäkseen suostumuksensa. Tässä yhteydessä ennakkoratkaisua pyytänyt tuomioistuin pohtii, onko merkitystä sillä, ovatko tallennetut tai käytetyt tiedot henkilötietoja (ensimmäisen kysymyksen b kohta). Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lisäksi, onko edellä kuvatuissa olosuhteissa kyseessä asetuksen 2016/679 6 artiklan 1 kohdan a alakohdassa tarkoitettu pätevä suostumus (ensimmäisen kysymyksen c kohta).

57.

Yksi unionin tietosuojalainsäädännön perustana oleva piirre on suostumus.

58.

Ennen kuin tarkastelen nimenomaisesti evästeitä, esitän sovellettavista lainsäädäntövälineistä johtuvat yleiset periaatteet, jotka koskevat suostumuksen antamista.

59.

Päättelen direktiivin 95/46 säännöksistä, että suostumus on ilmaistava aktiivisesti. ( 34 )

60.

Direktiivin 95/46 2 artiklan h alakohdassa viitataan rekisteröidyn tahdon ilmaisuun, mikä viittaa selkeästi aktiiviseen eikä passiiviseen käyttäytymiseen. Lisäksi direktiivin 95/46 7 artiklan, jossa käsitellään (henkilö)tietojen käsittelyn laillisuutta koskevia periaatteita, a alakohdassa säädetään, että rekisteröity on yksiselitteisesti antanut suostumuksensa. Tässäkin tapauksessa moniselitteisyys voidaan poistaa ainoastaan aktiivisella eikä passiivisella käyttäytymisellä.

61.

Päättelen tästä, ettei tältä osin riitä, jos käyttäjän suostumusilmoitus on laadittu valmiiksi ja jos käyttäjän on aktiivisesti vastustettava, kun hän ei hyväksy tietojen käsittelyä.

62.

Jälkimmäisessä tilanteessa ei nimittäin voida tietää, onko tällainen valmiiksi laadittu teksti luettu ja sisäistetty. Tilanne ei ole yksiselitteinen. Käyttäjä on voinut lukea tekstin tai sitten ei. Hän on saattanut jättää sen lukematta pelkkää huolimattomuuttaan. Tällaisessa tilanteessa ei ole mahdollista määrittää, onko suostumus annettu vapaaehtoisesti.

63.

Aktiivista suostumusta koskevaan edellytykseen liittyy läheisesti erillistä suostumusta koskeva edellytys. ( 35 )

64.

Voitaisiin väittää, kuten Planet49 tekee, että rekisteröity antaa pätevän suostumuksen, kun hän aktiivisesti ”napsauttaa” verkossa suoritettavan arvonnan osallistumispainiketta, eikä silloin, kun hän ei poista rastia valmiiksi laaditusta suostumusilmoituksesta.

65.

En yhdy tällaiseen tulkintaan.

66.

Jotta suostumus annetaan ”vapaaehtoisesti” ja ”tietoisesti”, sen on oltava paitsi aktiivinen myös erillinen. Käyttäjän internetissä harjoittama toiminta (verkkosivun lukeminen, arvontaan osallistuminen, videon katsominen jne.) ja suostumuksen antaminen eivät voi olla osa samaa toimea. Käyttäjän näkökulmasta suostumuksen antaminen ei etenkään voi vaikuttaa olevan luonteeltaan liitännäistä arvontaan osallistumiseen nähden. Molemmat toimet on, etenkin optisesti, esitettävä yhdenvertaisina. Pidän näin ollen kyseenalaisena, että joukko ilmauksia, joihin sisältyisi suostumuksen antaminen, olisi direktiivin 95/46 suostumuksen käsitteen mukaisia.

67.

Tässä yhteydessä käyttäjälle on tehtävä täysin selväksi, edellyttääkö hänen internetissä harjoittamansa toiminta suostumuksen antamista. Käyttäjän on pystyttävä arvioimaan, miten laajasti hän on valmis antamaan tietonsa voidakseen harjoittaa toimintaansa internetissä. Minkäänlaiselle moniselitteisyydelle ei saa jäädä tilaa. ( 36 ) Käyttäjän on tiedettävä, vaikuttaako se, että hän antaa suostumuksensa, toiminnan harjoittamiseen internetissä, ja jos, niin missä määrin.

68.

Edellä esitetyt periaatteet pätevät yhtä lailla asetukseen 2016/679.

69.

Asetuksen 2016/679 4 artiklan 11 alakohdan määritelmän mukaan rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.

70.

On syytä huomata, että tämä määritelmä on suppeampi kuin direktiivin 95/46 2 artiklan h alakohtaan sisältyvä sikäli, että siinä edellytetään rekisteröidyn yksiselitteistä tahdonilmaisua ja sitä, että rekisteröity hyväksyy henkilötietojensa käsittelyn toteuttamalla selkeästi suostumusta ilmaisevan toimen.

71.

Lisäksi asetuksen 2016/679 johdanto-osan perustelukappaleet ovat erityisen valaisevia. Koska viittaan laajasti johdanto-osan perustelukappaleisiin, ( 37 ) on syytä palauttaa mieleen, että johdanto-osan perustelukappaleilla ei tietenkään ole itsenäistä oikeudellista arvoa ( 38 ) mutta että unionin tuomioistuin tunnetusti turvautuu niihin usein tulkitessaan unionin säädöksen säännöksiä. Unionin oikeusjärjestyksessä ne ovat luonteeltaan kuvailevia eivätkä normatiivisia. Kysymys niiden oikeudellisesta arvosta ei näet yleensä tule esille siitä yksinkertaisesta syystä, että tyypillisesti johdanto-osan perustelukappaleet kuvastuvat direktiivin säännöksissä. Unionin poliittisten toimielinten hyvässä lainsäädäntökäytännössä pyritään nimittäin tilanteeseen, jossa johdanto-osan perustelukappaleet muodostavat hyödyllisen taustan säädöstekstin säännöksille. ( 39 )

72.

Asetuksen 2016/679 johdanto-osan 32 perustelukappaleen mukaan suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palvelujen teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.

73.

Asetuksessa 2016/679 säädetään näin ollen nykyisin nimenomaisesti aktiivisesta suostumuksesta.

74.

Kyseisen asetuksen johdanto-osan 43 perustelukappaleessa todetaan lisäksi, että jotta voidaan varmistaa, että suostumus on annettu vapaaehtoisesti, suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa. Suostumusta ei katsota vapaaehtoisesti annetuksi, jos ei ole mahdollista antaa erillistä suostumusta eri henkilötietojen käsittelytoimille huolimatta siitä, että tämä on asianmukaista yksittäistapauksissa, tai jos sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, edellytyksenä on suostumuksen antaminen huolimatta siitä, että tällainen suostumus ei ole tarpeellista sopimuksen täytäntöön panemiseksi.

75.

Tarvetta erilliseen suostumukseen tähdennetään näin ollen nykyisin nimenomaisesti kyseisessä johdanto-osan perustelukappaleessa.

76.

Direktiivin 2002/58 5 artiklan 3 kohdan mukaan jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin 95/46 mukaisesti.

77.

Kyseisessä säännöksessä ei aseteta muita edellytyksiä suostumuksen käsitteelle.

78.

Direktiivin 2002/58 ja direktiivin 2009/136 johdanto-osan perustelukappaleisiin sisältyy kuitenkin ohjeita suostumuksesta evästeiden osalta.

79.

Direktiivin 2002/58 johdanto-osan 17 perustelukappaleesta ilmenee siten, että suostumus voidaan antaa käyttäen mitä tahansa soveltuvaa tapaa, joka mahdollistaa vapaasti esitetyn täsmällisen ja tietoon perustuvan ilmoituksen käyttäjän toiveista, mukaan lukien ruudun rastittaminen vierailtaessa internetsivustolla. ( 40 )

80.

Direktiivin 2009/136 johdanto-osan 66 perustelukappaleessa lisäksi selitetään, että on äärimmäisen tärkeää, että käyttäjille tarjotaan selkeät ja kattavat tiedot heidän ryhtyessään toimiin, jotka voivat johtaa tietojen tallennukseen käyttäjän välineille tai yhteyden saamiseen jo tallennettuihin tietoihin, ja että tapojen, joilla annetaan tietoja ja tarjotaan mahdollisuus kieltäytyä, olisi oltava mahdollisimman käyttäjäystävällisiä.

81.

Tässä yhteydessä haluan viitata myös 29 artiklan mukaisen tietosuojatyöryhmän ( 41 ) lausuntoihin, jotka eivät ole sitovia mutta jotka ovat siitä huolimatta valaisevia ja joiden mukaan suostumus tarkoittaa sitä, että käyttäjä vahvistaa aktiivisesti etukäteen suostuvansa evästeen tallentamiseen ja evästeen käyttöön. ( 42 ) Kyseinen tietosuojatyöryhmä toteaa, että ”tahdonilmaisun” käsite edellyttää toimenpiteiden toteuttamista. ( 43 ) Suostumuksen määritelmän muut osatekijät ja direktiivin 95/46 7 artiklan a alakohdassa säädetty lisävaatimus, jonka mukaan suostumuksen on oltava yksiselitteinen, tukevat tätä tulkintaa. ( 44 ) Vaatimus, jonka mukaan rekisteröidyn on ”ilmaistava” suostumuksensa, merkitsee, että toimenpiteen toteuttamatta jättäminen sinänsä ei riitä ja että suostumus edellyttää jonkinlaista toimenpidettä. Mahdollisia ovat monet erilaiset toimenpiteet, joita on arvioitava ”asiayhteyden perusteella”. ( 45 )

82.

Sovellan seuraavaksi näitä perusteita käsiteltävään asiaan. Näin tehdessäni tarkastelen ensin ensimmäisen kysymyksen a ja c kohtaa, toisin sanoen sitä, onko annettu pätevä suostumus evästeiden asettamiseen ja käyttämiseen. Tästä on kyse toisessa valintaruudussa.

83.

Koska, kuten edellä on juuri todettu, suostumusta koskevat edellytykset eivät eroa suuresti evästeiden ja yleisemmin henkilötietojen käsittelyn osalta, sekä kattavuuden että selkeyden vuoksi – vaikka ennakkoratkaisua pyytänyt tuomioistuin ei nimenomaisesti kysykään tästä seikasta – unionin oikeuden oikean ja yhtenäisen tulkinnan kannalta on nähdäkseni tarpeen analysoida lyhyesti, onko ensimmäisen valintaruudun yhteydessä annettu pätevä suostumus henkilötietojen käsittelyyn. Olen myös ymmärtänyt, että Bundesgerichtshofin on annettava ratkaisu ensimmäisestä valintaruudusta siinä vireillä olevan oikeudenkäynnin yhteydessä. ( 46 )

84.

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, onko kyse direktiivin 2002/58 5 artiklan 3 kohdassa ja 2 artiklan f alakohdassa, luettuina yhdessä direktiivin 95/46 2 artiklan h alakohdan kanssa, tarkoitetusta pätevästä suostumuksesta, jos tietojen tallentaminen tai käyttäjän päätelaitteelle jo tallennettujen tietojen käyttäminen sallitaan valmiiksi rastitetulla valintaruudulla, josta käyttäjän on poistettava rasti evätäkseen suostumuksensa.

85.

Direktiivin 95/46 2 artiklan h alakohdan ja asetuksen 2016/679 4 artiklan 11 alakohdan tämän kysymyksen kannalta ratkaisevat käsitteet ovat ”vapaaehtoinen” ja ”tietoinen”. Herää kysymys, voidaanko ennakkoratkaisua pyytäneen tuomioistuimen kuvaamassa tilanteessa suostumus antaa vapaaehtoisesti ja tietoisesti.

86.

Planet49:n mukaan asia on näin. Kaikki muut asianosaiset ja muut osapuolet ( 47 ) ovat eri mieltä. Tässä yhteydessä asianosaisten ja muiden osapuolten käymässä oikeudellisessa keskustelussa keskityttiin ensisijaisesti siihen, täyttääkö valintaruudun rastittaminen tai rastin poistaminen valmiiksi rastitetusta valintaruudusta nämä edellytykset. Keskustelu koskee kysymystä aktiivisuudesta ja passiivisuudesta. Tämä näkökohta, niin tärkeä kuin se onkin, muodostaa kuitenkin ainoastaan osan edellytyksistä. Siinä näet käsitellään ainoastaan aktiivista suostumusta koskevaa edellytystä muttei erillistä suostumusta koskevaa edellytystä.

87.

Edellä määritettyjen edellytysten perusteella tähän kysymykseen on nähdäkseni vastattava, ettei kyseessä ole pätevä suostumus.

88.

Ensinnäkään se, että käyttäjän edellytetään ehdottomasti poistavan rastin valintaruudusta ja näin olevan aktiivinen, jos hän ei anna suostumustaan evästeiden asettamiseen, ei täytä aktiivista suostumusta koskevaa edellytystä. Tällaisessa tilanteessa on käytännössä mahdotonta määrittää objektiivisesti, onko käyttäjä antanut suostumuksensa vapaaehtoisen ja tietoisen päätöksen perusteella vai ei. Sitä vastoin se, että käyttäjän edellytetään rastittavan valintaruudun, tekee tällaisesta väittämästä paljon todennäköisemmän.

89.

Toiseksi, ja mikä tärkeämpää, osallistuminen verkossa suoritettavaan arvontaan ja suostumuksen antaminen evästeiden asettamiseen eivät voi olla osa samaa toimea. Käsiteltävässä asiassa on kuitenkin juuri näin. Viime kädessä käyttäjä ainoastaan napsauttaa kerran osallistumispainiketta osallistuakseen arvontaan. Samalla hän antaa suostumuksensa evästeiden asettamiseen. Kaksi tahdonilmaisua (osallistuminen arvontaan ja suostumus evästeiden asettamiseen) esitetään samanaikaisesti. Nämä kaksi tahdonilmaisua eivät voi molemmat olla saman osallistumispainikkeen kohteena. Käsiteltävässä asiassa suostumuksen antaminen evästeisiin vaikuttaa nimittäin olevan luonteeltaan liitännäinen siinä mielessä, että ei ole suinkaan selvää, että se on osa erillistä toimea. Toisin ilmaistuna evästeitä koskevan valintaruudun rastittaminen (tai rastin poistaminen) vaikuttaa valmistelevalta toimelta lopulliseen ja oikeudellisesti sitovaan toimeen eli osallistumispainikkeen napsauttamiseen nähden.

90.

Tällaisessa tilanteessa käyttäjällä ei ole mahdollisuutta antaa vapaaehtoisesti erillistä suostumustaan tietojen tallentamiseen päätelaitteelleen tai sille jo tallennettujen tietojen käyttämiseen.

91.

Lisäksi edellä on todettu, että osallistuminen arvontaan oli mahdollista vain, jos ainakin ensimmäinen valintaruutu oli rastitettu. Tästä seuraa, että arvontaan osallistumisen ehdoksi ei ollut ( 48 ) asetettu suostumuksen antaminen evästeiden asettamiseen ja käyttämiseen. Käyttäjä olisi nimittäin saattanut rastittaa (ainoastaan) ensimmäisen valintaruudun.

92.

Käyttäjälle ei tietääkseni kuitenkaan tiedotettu tästä missään vaiheessa. Tämä ei täytä edellä määritettyä edellytystä täysimääräisten tietojen antamisesta käyttäjille.

93.

Yhteenvetona voidaan todeta, että ehdotan, että ensimmäisen ennakkoratkaisukysymyksen a ja c kohtaan vastataan siten, että pääasiassa kyseessä olevan kaltaisessa tilanteessa ei ole kyse direktiivin 2002/58 5 artiklan 3 kohdassa ja 2 artiklan f alakohdassa, luettuina yhdessä direktiivin 95/46 2 artiklan h alakohdan kanssa, tarkoitetusta pätevästä suostumuksesta, jos tietojen tallentaminen tai käyttäjän päätelaitteelle jo tallennettujen tietojen käyttäminen sallitaan valmiiksi rastitetulla valintaruudulla, josta käyttäjän on poistettava rasti evätäkseen suostumuksensa, ja jos suostumusta ei anneta erikseen vaan samanaikaisesti kuin vahvistus verkossa suoritettavaan arvontaan osallistumisesta. Sama pätee direktiivin 2002/58 5 artiklan 3 kohdan ja 2 artiklan f alakohdan, luettuina yhdessä asetuksen 2016/679 4 artiklan 11 alakohdan kanssa, tulkintaan.

94.

Vaikka ennakkoratkaisua pyytäneen tuomioistuimen kysymyksissä viitataan ainoastaan toiseen valintaruutuun, esitän ensimmäisestä valintaruudusta kaksi erityistä huomautusta, jotka voivat auttaa ennakkoratkaisua pyytänyttä tuomioistuinta lopullisen ratkaisun tekemisessä.

95.

Ensin on syytä palauttaa mieleen, että ensimmäinen valintaruutu ei koske evästeitä vaan ainoastaan henkilötietojen käsittelyä. Siinä käyttäjä ei anna suostumustaan tietojen tallentamiseen päätelaitteelleen vaan (pelkästään) siihen, että luettelossa olevat yritykset voivat ottaa häneen yhteyttä postitse, puhelimitse tai sähköpostitse.

96.

Ensinnäkin aktiivista ja erillistä suostumusta sekä täysimääräistä tiedottamista koskevia edellytyksiä sovelletaan selvästikin myös ensimmäisen valintaruudun osalta. Aktiivinen suostumus ei vaikuta olevan ongelma, sillä valintaruutua ei ole rastitettu valmiiksi. En ole sitä vastoin aivan varma erillisestä suostumuksesta. Edellä ( 49 ) esitetyn analyysin perusteella, käsiteltävän asian tosiseikkojen kannalta, olisi parempi, jos kuvaannollisesti puhuen olisi erillinen painike, jota käyttäjän olisi napsautettava, ( 50 ) eikä pelkästään rastitettava valintaruutu suostumuksen antamiseksi henkilötietojen käsittelyyn.

97.

Toiseksi, kun tarkastellaan ensimmäistä valintaruutua, joka koskee sponsoreiden ja yhteistyökumppaneiden yhteydenottoa, huomioon olisi otettava asetuksen 2016/679 7 artiklan 4 kohta. Kyseisen säännöksen mukaan arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten. Asetuksen 2016/679 7 artiklan 4 kohdassa kodifioidaan näin ollen ”niputtamiskielto”. ( 51 )

98.

Kuten ilmaisusta ”on otettava mahdollisimman kattavasti huomioon” ilmenee, niputtamiskielto ei ole luonteeltaan ehdoton. ( 52 )

99.

Tältä osin on toimivaltaisen tuomioistuimen asia arvioida, onko suostumuksen antaminen henkilötietojen käsittelyyn välttämätöntä arvontaan osallistumiseksi. Tältä osin on syytä muistaa, että arvontaan osallistumisen perustana oleva tarkoitus on henkilötietojen ”myyminen” (toisin sanoen suostumuksen antaminen siihen, että niin kutsutut sponsorit lähettävät myynninedistämistarjouksia). Toisin sanoen henkilötietojen antaminen muodostaa käyttäjän pääasiallisen velvoitteen arvontaan osallistumiseksi. Tällaisessa tilanteessa vaikuttaa nähdäkseni siltä, että näiden henkilötietojen käsittely on välttämätöntä arvontaan osallistumiseksi. ( 53 )

100.

Tutkin seuraavaksi, onko direktiivin 2002/58 5 artiklan 3 kohdan ja 2 artiklan f alakohdan, luettuina yhdessä direktiivin 95/46 2 artiklan h alakohdan kanssa, soveltamisen kannalta merkitystä sillä, ovatko tallennetut tai käytetyt tiedot henkilötietoja.

101.

Tämä kysymys on parasta ymmärtää direktiivin 2002/58 5 artiklan 3 kohdan täytäntöön panevan Saksan lainsäädännön taustaa vasten. ( 54 ) Itse asiassa Saksan lainsäädännössä erotetaan henkilötietojen ja muiden tietojen kerääminen ja käyttö.

102.

TMG:n 12 §:n 1 momentin mukaan palveluntarjoaja voi kerätä ja käyttää henkilötietoja vain, jos käyttäjä on muun muassa antanut suostumuksensa siihen.

103.

Sitä vastoin TMG:n 15 §:n 3 momentin mukaan palveluntarjoaja voi luoda käyttäjäprofiileja käyttämällä salanimiä muun muassa mainonnan ja markkinatutkimuksen tarkoituksiin, edellyttäen että käyttäjä ei vastusta tätä. Siten siltä osin kuin kyse ei ole henkilötiedoista, Saksan lainsäädännössä asetetaan lievempi edellytys: käyttäjän ei tarvitse antaa suostumustaan vaan riittää, ettei tämä vastusta käsittelyä.

104.

Asetuksen 2016/679 4 artiklan 1 alakohtaan sisältyvän oikeudellisen määritelmän mukaan henkilötiedoilla tarkoitetaan ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella”.

105.

On nähdäkseni täysin selvää, että sikäli kuin kyse on käsiteltävästä asiasta, direktiivin 2002/58 5 artiklan 3 kohdassa tarkoitetut ”tiedot” ovat ”henkilötietoja”. Tätä mieltä vaikuttaa olevan myös ennakkoratkaisua pyytänyt tuomioistuin, joka toteaa ennakkoratkaisupyynnössään nimenomaisesti, että tietojen hakeminen vastaajan käyttämistä evästeistä kuuluu TMG:n 12 §:n 1 momentin suostumusedellytyksen piiriin, koska kyse on henkilötiedoista. ( 55 ) Pääasian asianosaiset vaikuttavat lisäksi olevan yhtä mieltä siitä, että kyse on henkilötiedoista.

106.

Voidaan näin ollen pohtia tämän kysymyksen merkityksellisyyttä käsiteltävän asian kannalta ja sitä, eikö kysymys ole hypoteettinen. ( 56 )

107.

Olipa asia miten tahansa, vastaus tähän kysymykseen on nähdäkseni melko yksinkertainen: sillä, ovatko tallennetut tai käytetyt tiedot henkilötietoja, ei ole merkitystä. Direktiivin 2002/58 5 artiklan 3 kohdassa viitataan ”tietojen tallentamiseen tai – – tallennettujen tietojen käyttämiseen”. ( 57 ) On selvää, että kaikkiin tällaisiin tietoihin liittyy yksityisyyden suojaa koskeva näkökohta riippumatta siitä, ovatko ne asetuksen 2016/679 4 artiklan 1 alakohdassa tarkoitettuja ”henkilötietoja” vai eivät. Kuten komissio perustellusti korostaa, direktiivin 2002/58 5 artiklan 3 kohdalla pyritään suojelemaan käyttäjää hänen yksityisyytensä loukkaamiselta riippumatta siitä, koskeeko tämä loukkaus henkilötietoja vai muita tietoja.

108.

Direktiivin 2002/58 5 artiklan 3 kohdan tällaisen tulkinnan vahvistavat lisäksi saman direktiivin johdanto-osan 24 ( 58 ) ja 25 ( 59 ) perustelukappale sekä 29 artiklan mukaisen tietosuojatyöryhmän lausunnot. Mainittu 29 artiklan mukainen tietosuojatyöryhmä nimittäin katsoo, että ”5 artiklan 3 kohtaa sovelletaan (tallennettuun ja/tai käytettyyn) ’tietoon’. Tietoa ei määritellä mitenkään tarkemmin. Säännöksen soveltaminen ei edellytä, että kyseessä olisivat direktiivissä 95/46/EY tarkoitetut henkilötiedot”. ( 60 )

109.

Näin ollen vaikuttaa siltä, että TMG:n 15 §:n 3 momentilla ei saateta direktiivin 2002/58 5 artiklan 3 kohdan edellytyksiä täysimääräisesti osaksi Saksan lainsäädäntöä. ( 61 )

110.

Ehdotan näin ollen, että ensimmäisen ennakkoratkaisukysymyksen b kohtaan vastataan siten, että direktiivin 2002/58 5 artiklan 3 kohdan ja 2 artiklan f alakohdan, luettuina yhdessä direktiivin 95/46 2 artiklan h alakohdan kanssa, soveltamisen kannalta ei ole merkitystä sillä, ovatko tallennetut tai käytetyt tiedot henkilötietoja.

111.

Toisella kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, mitä tietoja palveluntarjoajan on annettava käyttäjälle direktiivin 2002/58 5 artiklan 3 kohdan mukaisissa selkeissä ja kattavissa tiedoissa ja kuuluvatko niihin myös evästeiden toiminta-aika ja se, saavatko kolmannet pääsyn evästeisiin.

112.

Direktiivin 95/46 10 ja 11 artiklassa (ja asetuksen 2016/679 13 ja 14 artiklassa) asetetaan velvoite informoida rekisteröityjä. Informointivelvollisuus liittyy suostumukseen sikäli, että tiedot on aina toimitettava ennen kuin voidaan antaa suostumus.

113.

Kun otetaan huomioon internetkäyttäjän (ja internetpalvelun tarjoajan) ja kuluttajan (ja elinkeinonharjoittajan) käsitteellinen läheisyys, ( 62 ) tässä vaiheessa voidaan turvautua tavanomaisesti valistuneen, kohtuullisen tarkkaavaisen ja huolellisen keskivertokuluttajan, ( 63 ) joka kykenee tietoisesti tekemään päätöksen sopimuksen tekemisestä, ( 64 ) käsitteeseen.

114.

Evästeiden teknisen monimutkaisuuden, palveluntarjoajan ja käyttäjän välisen tiedon epäsuhdan ja yleisemmin kenen tahansa internetin keskivertokäyttäjän suhteellisen vähäisen tietämyksen vuoksi internetin keskivertokäyttäjällä ei kuitenkaan voida odottaa olevan paljon tietoa evästeiden toiminnasta.

115.

Selkeät ja kattavat tiedot tarkoittavat siten sitä, että käyttäjä pystyy helposti määrittämään mahdollisesti antamansa suostumuksen seuraukset. Tätä varten hänen on pystyttävä arvioimaan toimiensa vaikutuksia. Annettujen tietojen on oltava selvästi ymmärrettäviä, eivätkä ne saa jättää tilaa moniselitteisyydelle tai tulkinnalle. Niiden on oltava riittävän yksityiskohtaisia, jotta käyttäjän on mahdollista ymmärtää tosiasiallisesti käytettyjen evästeiden toimintaa.

116.

Kuten ennakkoratkaisua pyytänyt tuomioistuin aivan oikein esittää, näihin tietoihin kuuluvat sekä evästeiden toiminta-aika että se, saavatko kolmannet pääsyn evästeisiin.

117.

Direktiivin 2002/58 johdanto-osan 23 ja 26 perustelukappaleen mukaan evästeiden toiminta-aika on tietoista suostumusta koskevan edellytyksen osatekijä, mikä tarkoittaa, että palvelun tarjoajien olisi ”aina ilmoitettava tilaajille, minkä tyyppisiä tietoja ne käsittelevät, mikä on käsittelyn tarkoitus ja kuinka kauan se kestää”. Vaikka eväste olisikin olennainen, kysymystä siitä, miten invasiivinen se on, on tutkittava suostumuksen kannalta asiaan liittyvien olosuhteiden perusteella. Sen lisäksi, että kysytään, mitä tietoja kukin eväste sisältää ja liittyvätkö nämä tiedot joihinkin muihin käyttäjästä tallennettuihin tietoihin, palveluntarjoajien on tarkasteltava evästeen elinkaarta ja sitä, onko tämä elinkaari asianmukainen evästeen tarkoitus huomioon ottaen.

118.

Evästeiden toiminta-aika liittyy tietoisen suostumuksen perustan muodostavien, käyttäjille annettavien tietojen laatua ja saatavuutta koskevaan nimenomaiseen vaatimukseen. Nämä tiedot ovat erittäin tärkeitä, jotta henkilöt voivat tehdä tietoon perustuvia päätöksiä ennen tietojen käsittelyä. ( 65 ) Kuten Portugalin ja Italian hallitukset väittävät, koska evästeillä kerätyt tiedot on poistettava, kun ne eivät ole enää tarpeen alkuperäisen tarkoituksen saavuttamiseksi, tästä seuraa, että kerättyjen tietojen tallentamisaika on ilmoitettava selkeästi käyttäjälle.

119.

Tältä osin Planet49 väittää, että jos kolmannet osapuolet saavat pääsyn evästeeseen, tästä on myös ilmoitettava käyttäjille. Jos, kuten käsiteltävässä asiassa, ainoastaan palveluntarjoajalla, joka haluaa asettaa evästeen, on pääsy evästeeseen, riittää kuitenkin, että tästä ilmoitetaan käyttäjälle. Siitä, että muilla kolmansilla osapuolilla ei ole pääsyä evästeeseen, ei tarvitse huomauttaa erikseen. Tällainen velvollisuus ei olisi yhteensopiva sen lainsäädännön tarkoituksen kanssa, että tietosuojalainsäädännön olisi oltava käyttäjäystävällistä ja ytimekästä.

120.

En voi yhtyä tällaiseen tulkintaan. Jotta tiedot ovat selkeitä ja kattavia, käyttäjälle olisi pikemminkin ilmoitettava nimenomaisesti, onko kolmansilla osapuolilla pääsy asetettuihin evästeisiin vai ei. Ja jos kolmansilla osapuolilla on pääsy evästeisiin, niiden henkilöllisyys on paljastettava. Kuten Bundesverband perustellusti korostaa, tämä on ehdottoman välttämätöntä sen varmistamiseksi, että annetaan tietoinen suostumus.

121.

Ehdotan näin ollen, että toiseen ennakkoratkaisukysymykseen vastataan siten, että selkeisiin ja kattaviin tietoihin, jotka palveluntarjoajan on annettava käyttäjälle direktiivin 2002/58 5 artiklan 3 kohdan mukaisesti, kuuluvat evästeiden toiminta-aika ja se, saavatko kolmannet pääsyn evästeisiin.

122.

Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin vastaa Bundesgerichtshofin esittämiin ennakkoratkaisukysymyksiin seuraavasti: