HvJ EU, 01-10-2019, nr. C-673/17

HvJ EU, 01-10-2019, nr. C-673/17

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Uitspraak 01‑10‑2019

K. Lenaerts, R. Silva de Lapuerta, J.-C. Bonichot, M. Vilaras, T. von Danwitz, C. Toader, F. Biltgen, K. Jürimäe, C. Lycourgos, A. Rosas, L. Bay Larsen, M. Safjan, S. Rodin

Partij(en)

In zaak C-673/17*,

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland) bij beslissing van 5 oktober 2017, ingekomen bij het Hof op 30 november 2017, in de procedure

Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV

tegen

Planet49 GmbH,

wijst

HET HOF (Grote kamer),

samengesteld als volgt: K. Lenaerts, president, R. Silva de Lapuerta, vicepresident, J.-C. Bonichot, M. Vilaras, T. von Danwitz, C. Toader, F. Biltgen, K. Jürimäe en C. Lycourgos, kamerpresidenten, A. Rosas (rapporteur), L. Bay Larsen, M. Safjan en S. Rodin, rechters,

advocaat-generaal: M. Szpunar,

griffier: D. Dittert, hoofd van een administratieve eenheid,

gezien de stukken en na de terechtzitting op 13 november 2018,

gelet op de opmerkingen ingediend door:

het Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV, vertegenwoordigd door P. Wassermann, Rechtsanwalt,

Planet49 GmbH, vertegenwoordigd door M. Jaschinski, J. Viniol en T. Petersen, Rechtsanwälte,

de Duitse regering, vertegenwoordigd door J. Möller als gemachtigde,

de Italiaanse regering, vertegenwoordigd door G. Palmieri als gemachtigde, bijgestaan door F. De Luca, avvocato dello Stato,

de Portugese regering, vertegenwoordigd door L. Inez Fernandes, M. Figueiredo, L. Medeiros en C. Guerra als gemachtigden,

de Europese Commissie, vertegenwoordigd door G. Braun, H. Kranenborg en P. Costa de Oliveira als gemachtigden,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 21 maart 2019,

het navolgende

Arrest

1

Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 2, onder f), en van artikel 5, lid 3, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 (PB 2009, L 337, blz. 11) (hierna: ‘richtlijn 2002/58’), gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31), en artikel 6, lid 1, onder a), van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46 (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1).

2

Dit verzoek is ingediend in het kader van een geding tussen het Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV (federale vereniging van consumentenbeschermingsorganisaties, Duitsland) (hierna: ‘Bundesverband’) en Planet49 GmbH, een vennootschap die kansspelen op internet aanbiedt, over de toestemming van de deelnemers aan een door deze vennootschap georganiseerde reclameloterij voor de overdracht van hun persoonsgegevens aan sponsors en partners van deze vennootschap alsook voor de opslag van informatie en de toegang tot informatie die op de eindapparatuur van deze gebruikers is opgeslagen.

Toepasselijke bepalingen

Unierecht

Richtlijn 95/46
3

Artikel 1 van richtlijn 95/46 bepaalt:

‘1.

De lidstaten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer.

2.

De lidstaten mogen het vrije verkeer van persoonsgegevens tussen lidstaten beperken noch verbieden om redenen die met de uit hoofde van lid 1 gewaarborgde bescherming verband houden.’

4

Artikel 2 van deze richtlijn luidt:

‘In de zin van deze richtlijn wordt verstaan onder:

a)

‘persoonsgegevens’, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna ‘betrokkene’ te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit;

b)

‘verwerking van persoonsgegevens’, hierna ‘verwerking’ te noemen, elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

[…]

h)

‘toestemming van de betrokkene’, elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt.’

5

In artikel 7 van deze richtlijn is het volgende vastgelegd:

‘De lidstaten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien:

a)

de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend, of

[…]’

6

Artikel 10 van die richtlijn luidt:

‘De lidstaten bepalen dat de voor de verwerking verantwoordelijke of diens vertegenwoordiger aan de betrokkene, bij wie de betrokkene zelf betreffende gegevens worden verkregen, ten minste de hiernavolgende informatie moet verstrekken, behalve indien de betrokkene daarvan reeds op de hoogte is:

a)

de identiteit van de voor de verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger,

b)

de doeleinden van de verwerking waarvoor de gegevens zijn bestemd,

c)

verdere informatie zoals

de ontvangers of de categorieën ontvangers van de gegevens;

antwoord op de vraag of men al dan niet verplicht is om te antwoorden en de eventuele gevolgen van niet-beantwoording,

het bestaan van het recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens,

voor zover die, met inachtneming van de specifieke omstandigheden waaronder de verdere informatie verkregen wordt, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.’

Richtlijn 2002/58
7

De overwegingen 17 en 24 van richtlijn 2002/58 luiden als volgt:

‘(17)

In deze richtlijn dient ‘toestemming van een gebruiker of abonnee’, ongeacht of deze laatste een natuurlijke of rechtspersoon is, dezelfde betekenis te hebben als ‘Toestemming van de betrokkene’ zoals gedefinieerd en nader bepaald in richtlijn [95/46]. Toestemming kan worden gegeven op elke wijze die de gebruiker in staat stelt vrijelijk een specifieke en geïnformeerde indicatie te geven omtrent zijn wensen, onder andere door bij een bezoek aan een internetwebsite op een vakje te klikken.

[…]

(24)

Eindapparatuur van gebruikers van netwerken voor elektronische communicatie en in die apparatuur bewaarde informatie maken deel uit van de persoonlijke levenssfeer van de gebruikers die op grond van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, [getekend te Rome op 4 november 1950,] bescherming vereist. Zogeheten spionagesoftware, webtaps, verborgen identificatoren en andere soortgelijke programmatuur kunnen de terminal van de gebruiker zonder diens medeweten binnenkomen teneinde toegang tot informatie te krijgen, verborgen informatie op te slaan of de activiteiten van de gebruiker te traceren en kunnen ernstig inbreuk maken op de persoonlijke levenssfeer van die gebruikers. Het gebruik van die programmatuur dient alleen te worden toegestaan voor legitieme doeleinden met medeweten van de betrokken gebruikers.’

8

Artikel 1, leden 1 en 2, van richtlijn 2002/58 bepaalt:

‘1.

Deze richtlijn voorziet in de harmonisering van de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden — met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid — bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen en om te zorgen voor het vrij verkeer van dergelijke gegevens en van elektronischecommunicatieapparatuur en -diensten in de [Europese Unie].

2.

Voor […] de doelstellingen van lid 1 vormen de bepalingen van deze richtlijn een specificatie van en een aanvulling op richtlijn [95/46]. […]’

9

In artikel 2 van deze richtlijn wordt het volgende bepaald:

‘Tenzij anders is bepaald, zijn de definities van richtlijn [95/46] en richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronischecommunicatienetwerken en -diensten (‘kaderrichtlijn’) [(PB 2002, L 108, blz. 33)] van toepassing.

Daarnaast wordt in deze richtlijn verstaan onder:

a)

‘gebruiker’: natuurlijke persoon die gebruikmaakt van een openbare elektronische-communicatiedienst voor particuliere of zakelijke doeleinden zonder noodzakelijkerwijze op die dienst te zijn geabonneerd;

[…]

f)

‘toestemming’ van een gebruiker of abonnee: toestemming van de betrokkene in de zin van richtlijn [95/46];

[…]’

10

Artikel 5, lid 3, van die richtlijn luidt:

‘De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig richtlijn [95/46], onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.’

Verordening 2016/679
11

Overweging 32 van verordening nr. 2016/679 is als volgt verwoord:

‘Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.’

12

Artikel 4 van die verordening luidt:

‘Voor de toepassing van deze verordening wordt verstaan onder:

1)

‘persoonsgegevens’ alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

2)

‘verwerking’ een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

[…]

11)

‘toestemming’ van de betrokkene elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling een hem betreffende verwerking van persoonsgegevens aanvaardt;

[…]’

13

Artikel 6 van voornoemde verordening bepaalt:

‘1.

De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a)

de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

[…]’

14

Artikel 7, lid 4, van die verordening luidt:

‘Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.’

15

Artikel 13, leden 1 en 2, van verordening 2016/679 is als volgt verwoord:

‘1.

Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene al bij de verkrijging van de persoonsgegevens de volgende informatie:

[…]

e)

in voorkomend geval, de ontvangers of categorieën ontvangers van de persoonsgegevens;

[…]

2.

Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen:

a)

de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

[…]’

16

In artikel 94 van die verordening wordt het volgende bepaald:

‘1.

Richtlijn [95/46] wordt met ingang van 25 mei 2018 ingetrokken.

2.

Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar deze verordening. Verwijzingen naar de groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, die bij artikel 29 van richtlijn [95/46] is opgericht, gelden als verwijzingen naar het bij deze verordening opgerichte Europees Comité voor gegevensbescherming.’

Duits recht

17

Ingevolge § 307, lid 1, eerste volzin, van het Bürgerliche Gesetzbuch (hierna: ‘BGB’) ‘blijven de bepalingen uit algemene voorwaarden zonder gevolg wanneer deze de wederpartij van degene die deze voorwaarden hanteert, onevenredig benadelen in strijd met de goede trouw’.

18

Krachtens § 307, lid 2, punt 1, BGB wordt in geval van twijfel ‘uitgegaan van een onevenredige benadeling indien een bepaling onverenigbaar is met fundamentele overwegingen waarop de regeling waarvan wordt afgeweken, berust’.

19

In § 12 van het Telemediengesetz (wet betreffende onlinemedia) van 26 februari 2007 (BGBl. 2007 I, blz. 179), in de versie die van toepassing is op het hoofdgeding (hierna: ‘TMG’), wordt het volgende bepaald:

‘(1)

De aanbieder van diensten mag persoonsgegevens in verband met de terbeschikkingstelling van onlinemedia slechts verzamelen en benutten, voor zover deze wet of een ander wettelijk voorschrift dat expliciet op onlinemedia betrekking heeft, dit toestaat of de gebruiker zijn toestemming heeft gegeven.

(2)

De aanbieder van diensten mag persoonsgegevens die voor de terbeschikkingstelling van onlinemedia zijn verzameld, slechts voor andere doeleinden benutten, voor zover deze wet of een ander wettelijk voorschrift dat expliciet op onlinemedia betrekking heeft, dit toestaat of de gebruiker zijn toestemming heeft gegeven.

(3)

Tenzij anders is bepaald, zijn de voor de bescherming van persoonsgegevens geldende regels van toepassing, ook wanneer de gegevens niet automatisch worden verwerkt.’

20

Ingevolge § 13, lid 1, TMG dient de aanbieder van diensten de gebruiker op het moment waarop met de gegevensverwerking wordt begonnen in algemeen begrijpelijke vorm in kennis te stellen van de wijze waarop zijn persoonsgegevens zullen worden verzameld, over de omvang van deze verzameling en over de doeleinden daarvan, tenzij dat eerder al is gebeurd. Bij geautomatiseerde procedures waardoor de gebruiker later geïdentificeerd kan worden en waarmee het verzamelen of het gebruik van persoonsgegevens wordt voorbereid, dient de gebruiker bij het begin van deze procedure te worden geïnformeerd.

21

Volgens § 15, lid 3, TMG mag de aanbieder van diensten met het oog op reclame, marktonderzoek of de gepaste vormgeving van zijn onlinemedia bij gebruik van pseudoniemen gebruikersprofielen opstellen, mits de gebruiker daartegen geen bezwaar maakt nadat hij op de hoogte is gesteld van zijn recht van bezwaar.

22

Volgens de definitie in § 3, lid 1, van het Bundesdatenschutzgesetz (federale wet betreffende gegevensbescherming) van 20 december 1990 (BGBl. 1990 I, blz. 2954), in de op het hoofdgeding toepasselijke versie (hierna: ‘BDSG’), zijn ‘[p]ersoonsgegevens […] specifieke gegevens over persoonlijke of zakelijke omstandigheden betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene)’.

23

In § 3, lid 3, BDSG wordt verzamelen gedefinieerd als het inwinnen van gegevens over de betrokkene.

24

§ 4a, lid 1, eerste volzin, BDSG zet artikel 2, onder h), van richtlijn 95/46 om en bepaalt dat er alleen rechtsgeldig toestemming wordt verleend wanneer deze berust op de vrije beslissing van de betrokkene.

Hoofdgeding en prejudiciële vragen

25

Op 24 september 2013 heeft Planet49 een reclameloterij georganiseerd op de website www.dein-macbook.de.

26

Internetgebruikers die aan dit spel wilden deelnemen, moesten hun postcode invoeren, waarna zij op een website terechtkwamen waar zij hun naam en adres moesten opgeven. Onder de invoervelden voor het adres stonden twee mededelingen met daarbij selectievakjes. De eerste mededeling, waarvan het vakje (hierna: ‘eerste selectievakje’) niet standaard was aangevinkt, luidde als volgt:

‘Ik vind het goed dat sponsors en partners mij per post of telefonisch dan wel via e-mail of sms op de hoogte stellen van aanbiedingen die verband houden met hun respectievelijke activiteiten. Ik kan deze hier zelf bepalen; anders zal de keuze door de organisator worden gemaakt. Ik kan mijn instemming te allen tijde weer intrekken. Meer informatie daarover is hier te vinden.’

27

De tweede mededeling, waarvan het vakje (hierna: ‘tweede selectievakje’) standaard was aangevinkt, luidde als volgt:

‘Ik vind het goed dat webanalysedienst Remintrex bij mij wordt ingeschakeld. Dat brengt mee dat de organisator van de loterij, Planet49 […], na mijn registratie voor de loterij cookies zal plaatsen, waardoor deze in de gelegenheid zal zijn mijn surf- en gebruiksgedrag op websites van reclamepartners te analyseren en Remintrex mij specifieke reclameberichten zal kunnen toesturen. Deze cookies kan ik te allen tijde weer wissen. Meer daarover hier.’

28

Deelname aan de loterij was alleen mogelijk wanneer ten minste het eerste selectievakje was aangevinkt.

29

De mededeling bij het eerste selectievakje bevatte onder de woorden ‘sponsors en partners’ en ‘hier’ een elektronische link naar een lijst waarop 57 bedrijven stonden vermeld met hun adres, de activiteiten waarvoor reclame zou worden gemaakt en de daarvoor gebruikte communicatiemiddelen (email, post of telefoon). Onder elk bedrijf stond het onderstreepte woord ‘Afmelden’. De lijst werd voorafgegaan door de volgende aanwijzing:

‘Door op de link ‘Afmelden’ te klikken, beslis ik dat aan de genoemde partner/sponsor geen toestemming mag worden gegeven om reclame te maken. Wanneer ik geen of onvoldoende partners/sponsors heb afgemeld, zal Planet49 naar eigen goeddunken partners/sponsors voor mij selecteren (maximaal aantal: 30 partners/sponsors).’

30

Door te klikken op de link die de mededeling bij het tweede vakje bevatte onder het woord ‘hier’, verscheen de volgende informatie:

‘De geplaatste cookies met de namen ceng_cache, ceng_etag, ceng_png en gcr zijn kleine bestanden die door uw browser worden opgeslagen op uw harde schijf en waardoor gegevens worden binnengehaald die een gebruikersvriendelijkere en effectievere reclame mogelijk maken. De cookies bevatten een gerandomiseerd identificatienummer dat tevens is toegekend aan uw registratiegegevens. Wanneer u vervolgens de website van een voor Remintrex geregistreerde reclamepartner bezoekt (of er sprake is van registratie vindt u in de privacyverklaring van de reclamepartner), wordt via een iFrame van Remintrex automatisch geregistreerd dat u (d.w.z. de gebruiker met het opgeslagen identificatienummer) de website heeft bezocht, voor welk product u belangstelling had en of er al dan niet een overeenkomst is aangegaan.

Vervolgens kan Planet49 […] u op basis van uw instemming met de reclame die u bij uw registratie voor de loterij heeft verleend, e-mails met reclame toesturen waarin rekening wordt gehouden met uw interesses op de website van de reclamepartner. Wanneer u uw instemming met de reclame weer intrekt, zult u uiteraard geen reclame via e-mail meer ontvangen.

De gegevens die via de cookies worden doorgegeven worden uitsluitend benut met het oog op reclame voor producten van de reclamepartner. De gegevens worden voor iedere reclamepartner apart verzameld, opgeslagen en benut. In geen geval zullen er gebruikersprofielen met de gegevens van verschillende reclamepartners worden opgesteld. De verschillende reclamepartners ontvangen geen persoonsgegevens.

Wanneer u niet wilt dat de cookies nog langer worden gebruikt, kunt u deze op elk gewenst moment in uw browser wissen. In de helpfunctie van uw browser kunt u een handleiding vinden.

De cookies kunnen geen programma's op uw computer laten lopen of virussen overdragen.

Uiteraard kunt u uw instemming op elk gewenst moment weer intrekken. U kunt uw intrekking schriftelijk kenbaar maken aan Planet49 […] [adres]. Een e-mail naar onze klantenservice [e-mailadres] volstaat echter ook.’

31

Uit de verwijzingsbeslissing blijkt dat cookies bestanden zijn die de provider van een website op de computer van de gebruiker van deze site plaatst en die bij een volgend bezoek aan deze website opnieuw beschikbaar zijn om het surfen op internet of het verrichten van transacties te faciliteren of om gegevens over het gebruikersgedrag te verkrijgen.

32

In het kader van een ingebrekestelling die niets opleverde, heeft het Bundesverband, dat is opgenomen in de lijst van beroepsgerechtigde entiteiten in de zin van het Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz — UKlaG) [wet inzake verbodsacties bij inbreuken op consumentenrecht en andere inbreuken (wet verbodsacties)] van 26 november 2001 (BGBl. 2001 I, blz. 3138), aangevoerd dat de verklaringen van instemming waar Planet49 met het eerste en het tweede selectievakje om vroeg, niet voldeden aan de vereisten uit § 307 BGB, gelezen in samenhang met § 7, lid 2, punt 2, van het Gesetz gegen den unlauteren Wettbewerb (wet betreffende oneerlijke concurrentie) van 3 juli 2004 (BGBl. 2004 I, blz. 1414), in de in het hoofdgeding toepasselijke versie (hierna: ‘UWG’), en §§ 12 e.v. TMG.

33

Het Bundesverband heeft beroep ingesteld bij het Landgericht Frankfurt am Main (rechter in eerste aanleg Frankfurt aan de Main, Duitsland) en in essentie gevorderd dat Planet49 voortaan nalaat om dergelijke verklaringen van instemming te vragen en ertoe wordt veroordeeld het Bundesverband het bedrag van 214 EUR te betalen, vermeerderd met rente vanaf 15 maart 2014.

34

Het Landgericht Frankfurt am Main heeft dit beroep gedeeltelijk toegewezen.

35

Planet49 heeft hoger beroep ingesteld bij het Oberlandesgericht Frankfurt am Main (hoogste rechterlijke instantie van de deelstaat Hessen, Frankfurt aan de Main, Duitsland). Vervolgens oordeelde deze rechter dat de vordering van het Bundesverband strekkende tot veroordeling van Planet49 om voortaan na te laten in de met consumenten gesloten overeenkomsten voor reclameloterijen de mededeling op te nemen zoals bedoeld in punt 27 van dit arrest en daarbij het tweede selectievakje standaard aan te vinken, moest worden afgewezen, aangezien ten eerste de gebruiker wist dat hij dit vakje kon uitvinken en ten tweede deze mededeling door de opmaak van de website voldoende duidelijk was weergegeven en hierin informatie werd verstrekt over het gebruik van de cookies, zonder dat het nodig was om bekend te maken welke derden toegang konden krijgen tot de verzamelde gegevens.

36

Het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland), waar het Bundesverband beroep tot Revision instelde, is van oordeel dat de uitkomst van het hoofdgeding afhangt van de uitlegging van artikel 5, lid 3, en artikel 2, onder f), van richtlijn 2002/58, gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46 en van artikel 6, lid 1, onder a), van verordening 2016/679.

37

Aangezien het Bundesgerichtshof in het licht van deze bepalingen betwijfelt of Planet49 met het tweede selectievakje rechtsgeldig de toestemming van de gebruikers van de website www.dein-macbook.de verkreeg en tevens twijfel heeft over de omvang van de in artikel 5, lid 3, van richtlijn 2002/58 neergelegde informatieplicht, heeft deze rechterlijke instantie besloten de procedure te schorsen en het Hof de volgende prejudiciële vragen te stellen:

‘1)
a)

Is er sprake van daadwerkelijke toestemming in de zin van artikel 5, lid 3, en artikel 2, onder f), van [richtlijn 2002/58], gelezen in samenhang met artikel 2, onder h), van [richtlijn 95/46], wanneer de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen op de eindapparatuur van de gebruiker wordt toegestaan door middel van een vooraf aangevinkt selectievakje dat door de gebruiker moet worden uitgevinkt ingeval hij weigert zijn toestemming te verlenen?

b)

Maakt het bij de toepassing van artikel 5, lid 3, en artikel 2, onder f), van richtlijn [2002/58], gelezen in samenhang met artikel 2, onder h), van richtlijn [95/46], enig verschil of de opgeslagen of opgevraagde gegevens persoonsgegevens zijn?

c)

Is in de in prejudiciële vraag 1 a) beschreven omstandigheden sprake van daadwerkelijke toestemming in de zin van artikel 6, lid 1, onder a), van [verordening 2016/679]?

2)

Welke gegevens dienen door de aanbieder van diensten aan de gebruiker te worden verstrekt in het kader van de ingevolge artikel 5, lid 3, van richtlijn [2002/58] te verstrekken duidelijke en volledige informatie? Valt daaronder ook de informatie hoelang de cookies actief blijven en of derden toegang tot de cookies hebben?’

Beantwoording van de prejudiciële vragen

Opmerkingen vooraf

38

Om te beginnen moet de toepasselijkheid van richtlijn 95/46 en verordening 2016/679 op de feiten in het hoofdgeding worden onderzocht.

39

Met ingang van 25 mei 2018 is richtlijn 95/46 ingetrokken en vervangen door verordening 2016/679, overeenkomstig artikel 94, lid 1, van die verordening.

40

Deze datum viel uiteraard na de laatste terechtzitting bij de verwijzende rechter op 14 juli 2017, en ook na de datum waarop de verwijzende rechter het Hof verzocht om een prejudiciële beslissing.

41

De verwijzende rechter heeft echter aangegeven dat verordening 2016/679, waarop overigens een deel van de eerste vraag betrekking heeft, rekening houdend met de inwerkintreding ervan op 25 mei 2018, waarschijnlijk in aanmerking moet worden genomen bij de beslechting van het hoofdgeding. Aangezien de door het Bundesverband ingestelde procedure bedoeld is om Planet49 te dwingen dit gedrag in de toekomst na te laten, kan voorts, zoals de Duitse regering ter terechtzitting voor het Hof heeft aangegeven, niet worden uitgesloten dat verordening 2016/679 ratione temporis op het hoofdgeding van toepassing is op grond van de nationale rechtspraak over de betrokken juridische situatie bij verbodsacties. Het staat aan de verwijzende rechter om dit na te gaan (zie omtrent een declaratoire vordering arrest van 16 januari 2019, Deutsche Post, C-496/17, EU:C:2019:26, punt 38).

42

In deze omstandigheden en gelet op het feit dat de verwijzingen in richtlijn 2002/58 naar richtlijn 95/46 krachtens artikel 94, lid 2, van verordening 2016/679 moeten worden begrepen als verwijzingen naar die verordening, is het in het onderhavige geval niet uitgesloten dat richtlijn 2002/58 van toepassing is, gelezen in samenhang met ofwel richtlijn 95/46 ofwel verordening 2016/679 al naargelang van de aard van de vorderingen van het Bundesverband en de betrokken periode.

43

Daarom moeten de gestelde vragen worden beantwoord op basis van zowel richtlijn 95/46 als verordening 2016/679.

Eerste vraag, onder a) en c)

44

Met zijn eerste vraag, onder a) en c), wenst de verwijzende rechter in wezen te vernemen of artikel 2, onder f), en artikel 5, lid 3, van richtlijn 2002/58, gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46 en met artikel 6, lid 1, onder a), van verordening 2016/679, aldus moeten worden uitgelegd dat de in deze bepalingen bedoelde toestemming rechtsgeldig is verleend wanneer de opslag van informatie door middel van cookies of de toegang tot reeds op de eindapparatuur van de gebruiker van een website opgeslagen informatie via cookies wordt toegestaan door middel van een standaard aangevinkt selectievakje dat de gebruiker moet uitvinken ingeval hij weigert zijn toestemming te geven.

45

Om te beginnen moet worden opgemerkt dat volgens de aanwijzingen in de verwijzingsbeslissing de cookies die geplaatst kunnen worden op de eindapparatuur van een gebruiker die deelneemt aan een door Planet49 georganiseerde reclameloterij, een nummer bevatten dat wordt toegekend aan de registratiegegevens van deze gebruiker die zijn naam en adres dient op te geven op het formulier voor deelname aan deze loterij. De verwijzende rechter voegt daaraan toe dat dit nummer en deze gegevens gekoppeld worden met als gevolg dat de door de cookies opgeslagen gegevens gepersonaliseerd worden wanneer de gebruiker verbinding maakt met internet. Het verzamelen van deze gegevens door middel van cookies moet daardoor als verwerking van persoonsgegevens worden aangemerkt. Planet49 heeft deze aanwijzingen bevestigd door in haar schriftelijke opmerkingen te benadrukken dat de met het tweede selectievakje te geven toestemming voor het verzamelen en verwerken van gegevens geacht wordt betrekking te hebben op persoonsgegevens en niet op anonieme informatie.

46

In het verlengde hiervan moet worden opgemerkt dat de lidstaten ingevolge artikel 5, lid 3, van richtlijn 2002/58 er zorg voor dragen dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een gebruiker, alleen is toegestaan op voorwaarde dat de gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig richtlijn 95/46, onder meer over de doeleinden van de verwerking.

47

In dit verband moet in herinnering worden gebracht dat de eenvormige toepassing van het Unierecht en het gelijkheidsbeginsel vereisen dat de bewoordingen van een bepaling van Unierecht die voor de vaststelling van de betekenis en de draagwijdte ervan niet uitdrukkelijk verwijst naar het recht van de lidstaten, normaliter in de gehele Unie autonoom en uniform worden uitgelegd [arresten van 26 maart 2019, SM (Onder Algerijnse kafala geplaatst kind), C-129/18, EU:C:2019:248, punt 50, en 11 april 2019, Tarola, C-483/17, EU:C:2019:309, punt 36].

48

Volgens vaste rechtspraak van het Hof dient bij de uitlegging van een bepaling van Unierecht bovendien niet alleen rekening te worden gehouden met de bewoordingen en de doelstellingen ervan, maar ook met de context ervan en met het Unierecht in zijn geheel. Ook de ontstaansgeschiedenis van een bepaling van Unierecht kan relevante gegevens voor de uitlegging van die bepaling bevatten (arrest van 10 december 2018, Wightman e.a., C-621/18, EU:C:2018:999, punt 47 en aldaar aangehaalde rechtspraak).

49

Wat de bewoordingen van artikel 5, lid 3, van richtlijn 2002/58 betreft, moet erop worden gewezen dat deze bepaling weliswaar uitdrukkelijk de voorwaarde stelt dat de gebruiker ‘toestemming heeft verleend’ voor het plaatsen en raadplegen van cookies op zijn eindapparatuur, maar dat deze bepaling daarentegen geen aanwijzingen bevat over de wijze waarop deze toestemming moet worden verleend. De woorden ‘toestemming heeft verleend’ zijn echter vatbaar voor een letterlijke uitlegging volgens welke een handeling van de gebruiker nodig is om zijn toestemming uit te drukken. In dit verband volgt uit overweging 17 van richtlijn 2002/58 dat de in deze richtlijn vereiste toestemming van een gebruiker voor de toepassing ervan kan worden gegeven op elke wijze die de gebruiker in staat stelt vrijelijk een specifieke en geïnformeerde indicatie te geven omtrent zijn wensen, onder andere ‘door bij een bezoek aan een internetwebsite op een vakje te klikken’.

50

Wat de context van artikel 5, lid 3, van richtlijn 2002/58 betreft, moet worden benadrukt dat artikel 2, onder f), van deze richtlijn, waarin ‘toestemming’ in de zin van deze richtlijn wordt gedefinieerd, in dit verband verwijst naar ‘toestemming van de betrokkene’ in de zin van richtlijn 95/46. Overweging 17 van richtlijn 2002/58 verduidelijkt dat voor de toepassing ervan ‘toestemming van een gebruiker’ dezelfde betekenis moet hebben als ‘toestemming van de betrokkene’ zoals gedefinieerd en nader bepaald in richtlijn 95/46.

51

Artikel 2, onder h), van voornoemde richtlijn definieert ‘toestemming van de betrokkene’ als ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt’.

52

Zoals de advocaat-generaal in punt 60 van zijn conclusie heeft opgemerkt, wordt met de eis van een ‘wilsuiting’ van de betrokkene dus duidelijk naar een actieve en niet naar een passieve gedraging verwezen. Toestemming door middel van een standaard aangevinkt selectievakje impliceert echter geen actieve gedraging van de gebruiker van een website.

53

Deze uitlegging vindt steun in artikel 7 van richtlijn 95/46 dat een uitputtende lijst bevat van gevallen waarin een verwerking van persoonsgegevens als rechtmatig kan worden aangemerkt (zie in die zin arresten van 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 en C-469/10, EU:C:2011:777, punt 30, en 19 oktober 2016, Breyer, C-582/14, EU:C:2016:779, punt 57).

54

In het bijzonder bepaalt artikel 7, onder a), van richtlijn 95/46 dat toestemming van de betrokkene er pas toe kan leiden dat een dergelijke verwerking rechtmatig geschiedt, als de betrokkene deze toestemming ‘ondubbelzinnig’ heeft verleend. Aan deze voorwaarde kan echter uitsluitend worden voldaan wanneer deze betrokkene met een actieve gedraging duidelijk blijk geeft van zijn toestemming.

55

In dit opzicht lijkt het praktisch onmogelijk om objectief vast te stellen of de gebruiker van een website door een standaard aangevinkt vakje niet uit te vinken, inderdaad toestemming heeft gegeven om zijn persoonsgegevens te verwerken en in ieder geval of deze toestemming op basis van informatie is verleend. Het kan immers niet worden uitgesloten dat deze gebruiker de informatie bij het standaard aangevinkte vakje niet heeft gelezen of dat hij dit vakje niet eens heeft opgemerkt voor hij zijn activiteiten op de bezochte website voortzette.

56

Ten slotte moet over de ontstaansgeschiedenis van artikel 5, lid 3, van richtlijn 2002/58 worden vastgesteld dat in de oorspronkelijke versie van deze bepaling alleen werd vereist dat de gebruiker ‘het recht krijgt aangeboden [om het plaatsen van cookies] te weigeren’, nadat hij overeenkomstig richtlijn 95/46 duidelijke en volledige informatie heeft verkregen over onder andere de doeleinden van de verwerking. Richtlijn 2009/136 heeft een wezenlijke wijziging in de bewoordingen van deze bepaling aangebracht door deze uitdrukking te vervangen door de woorden ‘toestemming heeft verleend’. De ontstaansgeschiedenis van artikel 5, lid 3, van richtlijn 2002/58 lijkt er dus op te wijzen dat de toestemming van de gebruiker voortaan niet langer kan worden verondersteld en moet voortvloeien uit een actieve gedraging zijnerzijds.

57

Gelet op een en ander is de toestemming van artikel 2, onder f), en artikel 5, lid 3, van richtlijn 2002/58, gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46, derhalve niet rechtsgeldig verleend wanneer de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van de gebruiker van een website, wordt toegestaan door middel van een standaard aangevinkt selectievakje dat de gebruiker moet uitvinken ingeval hij weigert zijn toestemming te verlenen.

58

Toegevoegd moet worden dat de wilsuiting van artikel 2, onder h), van richtlijn 95/46 met name in die zin ‘specifiek’ moet zijn dat deze precies op de verwerking van de betrokken gegevens gericht moet zijn en niet kan worden afgeleid uit een algemene wilsuiting die op iets anders betrekking heeft.

59

In het onderhavige geval kan, anders dan Planet49 stelt, dus niet enkel omdat de gebruiker op de knop voor deelname aan de door deze vennootschap georganiseerde reclameloterij heeft geklikt, al worden vastgesteld dat de gebruiker rechtsgeldig toestemming heeft gegeven voor het plaatsen van cookies.

60

De voorgaande uitlegging dringt zich des te meer op in het licht van verordening 2016/679.

61

De bewoordingen waarmee in artikel 4, punt 11, van verordening 2016/679 voor de toepassing van deze verordening het begrip ‘toestemming van de betrokkene’ is gedefinieerd en in het bijzonder de bewoordingen van artikel 6, lid 1, onder a), ervan, op welke bepaling de eerste vraag onder c), betrekking heeft, blijken, zoals de advocaat-generaal in punt 70 van zijn conclusie in wezen heeft vastgesteld, immers nog strikter dan die van artikel 2, onder h), van richtlijn 95/46, aangezien hier een ‘vrije, specifieke, geïnformeerde en ondubbelzinnige’ wilsuiting van de betrokkene wordt vereist, in de vorm van een verklaring of een ‘ondubbelzinnige actieve handeling’ die zijn toestemming voor een hem betreffende verwerking van persoonsgegevens weergeeft.

62

In verordening 2016/679 wordt nu dus uitdrukkelijk actieve toestemming voorgeschreven. In dit verband moet worden opgemerkt dat volgens overweging 32 van deze verordening de toestemming met name kan worden uitgedrukt door te klikken op een vakje bij een bezoek aan een website. Daarentegen sluit deze overweging uitdrukkelijk uit dat ‘stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit’ als toestemming mogen gelden.

63

Hieruit volgt dat de toestemming van artikel 2, onder f), en artikel 5, lid 3, van richtlijn 2002/58, gelezen in samenhang met artikel 4, punt 11, en artikel 6, lid 1, onder a), van verordening 2016/679, niet rechtsgeldig is verleend wanneer de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van de gebruiker van een website, wordt toegestaan door middel van een standaard aangevinkt selectievakje dat de gebruiker moet uitvinken ingeval hij weigert zijn toestemming te verlenen.

64

Ten slotte moet erop worden gewezen dat de verwijzende rechter het Hof niet de vraag heeft voorgelegd of het verenigbaar is met het vereiste van ‘vrije’ toestemming in de zin van artikel 2, onder h), van richtlijn 95/46 en artikel 4, punt 11, en artikel 7, lid 4, van verordening 2016/679 dat een gebruiker — zoals gelet op de gegevens in de verwijzingsbeslissing in de onderhavige zaak in ieder geval bij het eerste selectievakje het geval lijkt te zijn — alleen kan deelnemen aan een loterij indien hij toestemming geeft voor de verwerking van zijn persoonsgegevens voor reclamedoeleinden. In deze omstandigheden hoeft het Hof deze vraag niet te onderzoeken.

65

Gelet op een en ander moet op de eerste vraag, onder a) en c), worden geantwoord dat artikel 2, onder f), en artikel 5, lid 3, van richtlijn 2002/58, gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46 alsmede met artikel 4, punt 11, en artikel 6, lid 1, onder a), van verordening 2016/679, aldus moeten worden uitgelegd dat de in deze bepalingen bedoelde toestemming niet rechtsgeldig is verleend wanneer de opslag van informatie door middel van cookies of de toegang tot reeds op de eindapparatuur van de gebruiker van een website opgeslagen informatie via cookies wordt toegestaan door middel van een standaard aangevinkt selectievakje dat deze gebruiker moet uitvinken ingeval hij weigert zijn toestemming te verlenen.

Eerste vraag, onder b)

66

Met zijn eerste vraag, onder b), wenst de verwijzende rechter in wezen te vernemen of artikel 2, onder f), en artikel 5, lid 3, van richtlijn 2002/58, gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46 alsmede artikel 4, punt 11, en artikel 6, lid 1, onder a), van verordening 2016/679, verschillend moeten worden uitgelegd naargelang de informatie die is opgeslagen in de eindapparatuur van de gebruiker van een website of daaruit is opgevraagd, al dan niet bestaat in persoonsgegevens in de zin van richtlijn 95/46 en verordening 2016/679.

67

Zoals is opgemerkt in punt 45 van dit arrest, volgt uit de verwijzingsbeslissing dat het plaatsen van cookies zoals aan de orde in het hoofdgeding, gelijkstaat aan de verwerking van persoonsgegevens.

68

Na deze toelichting moet in ieder geval worden vastgesteld dat artikel 5, lid 3, van richtlijn 2002/58 verwijst naar ‘opslag van informatie’ en ‘het verkrijgen van toegang tot informatie die reeds is opgeslagen’ zonder deze informatie nader te omschrijven of aan te geven dat het hier moet gaan om persoonsgegevens.

69

Zoals de advocaat-generaal in punt 107 van zijn conclusie heeft vastgesteld, beoogt deze bepaling de gebruiker te beschermen tegen inmenging in zijn privéleven, ongeacht of die inmenging betrekking heeft op persoonsgegevens.

70

Deze uitlegging wordt bevestigd door overweging 24 van richtlijn 2002/58 waarin staat te lezen dat alle informatie die wordt bewaard in de eindapparatuur van gebruikers van netwerken voor elektronische communicatie, deel uitmaakt van de op grond van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden te beschermen persoonlijke levenssfeer van de gebruikers. Deze bescherming is van toepassing op alle informatie die is opgeslagen op deze eindapparatuur, ongeacht of het gaat om persoonsgegevens, en beoogt met name, zoals uit dezelfde overweging blijkt, de gebruikers te beschermen tegen het risico dat verborgen identificatoren en andere soortgelijke programmatuur zonder hun medeweten binnenkomen in hun eindapparatuur.

71

Gelet op het voorgaande moet op de eerste vraag, onder b), worden geantwoord dat artikel 2, onder f), en artikel 5, lid 3, van richtlijn 2002/58, gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46 alsmede met artikel 4, punt 11, en artikel 6, lid 1, onder a), van verordening 2016/679, niet verschillend moeten worden uitgelegd naargelang de informatie die is opgeslagen in de eindapparatuur van de gebruiker van een website of daaruit is opgevraagd, al dan niet bestaat in persoonsgegevens in de zin van richtlijn 95/46 en verordening 2016/679.

Tweede vraag

72

Met zijn tweede vraag wenst de verwijzende rechter in wezen te vernemen of artikel 5, lid 3, van richtlijn 2002/58 aldus moet worden uitgelegd dat de informatie die de aanbieder van diensten aan de gebruiker van een website moet verstrekken, de informatie omvat hoelang de cookies actief blijven en of derden al dan niet toegang tot de cookies kunnen hebben.

73

Zoals reeds volgt uit punt 46 van dit arrest, vereist artikel 5, lid 3, van richtlijn 2002/58 dat de gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie ‘overeenkomstig richtlijn [95/46]’, onder meer over de doeleinden van de verwerking.

74

Zoals de advocaat-generaal in punt 115 van zijn conclusie heeft opgemerkt, houdt duidelijke en volledige informatie in dat de gebruiker in staat is om gemakkelijk de gevolgen te bepalen van eventueel door hem te verlenen toestemming en dat gewaarborgd is dat hij deze toestemming met kennis van zaken verleent. Deze informatie moet duidelijk te begrijpen en voldoende gedetailleerd zijn om de gebruiker in staat te stellen de werking van de geplaatste cookies te begrijpen.

75

In een situatie als aan de orde in het hoofdgeding, waarin de cookies blijkens de aanwijzingen in het aan het Hof overgelegde dossier waren bedoeld om informatie te verzamelen voor reclamedoeleinden met betrekking tot producten van partners van de organisator van een reclameloterij, maken de vragen hoelang de cookies actief blijven en of derden al of niet toegang tot deze cookies kunnen hebben, deel uit van de duidelijke en volledige informatie die overeenkomstig artikel 5, lid 3, van richtlijn 2002/58 aan de gebruiker moet worden verstrekt.

76

In dit verband moet worden opgemerkt dat artikel 10 van richtlijn 95/46, waarnaar artikel 5, lid 3, van richtlijn 2002/58 en artikel 13 van verordening 2016/679 verwijzen, een opsomming bevat van de informatie die de voor de verwerking verantwoordelijke moet verstrekken aan de betrokkene bij wie hij de op die betrokkene zelf betrekking hebbende gegevens verkrijgt.

77

Krachtens artikel 10 van richtlijn 95/46 gaat het bij deze informatie niet alleen om de identiteit van de voor de verwerking verantwoordelijke en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, maar ook om verdere informatie zoals met name de ontvangers of de categorieën ontvangers van de gegevens voor zover die, met inachtneming van de specifieke omstandigheden waaronder deze verdere informatie verkregen wordt, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.

78

Hoewel de duur van de gegevensverwerking niet bij de voornoemde informatie is opgenomen, blijkt uit de uitdrukking ‘ten minste’ in artikel 10 van richtlijn 95/46 duidelijk dat geen uitputtende opsomming van deze informatie is gegeven. Informatie over de vraag hoelang de cookies actief zijn, moet worden geacht te passen bij de in dit artikel opgenomen eis van een eerlijke gegevensverwerking, aangezien in een situatie zoals die in het hoofdgeding een lange of zelfs onbeperkte duur tot gevolg heeft dat veel informatie wordt verzameld over het surfgedrag van de gebruiker en de frequentie van diens eventuele bezoeken aan de sites van reclamepartners van de organisator van de loterij.

79

Deze uitlegging wordt bevestigd door artikel 13, lid 2, onder a), van verordening 2016/679, waarin is bepaald dat de verwerkingsverantwoordelijke, om een behoorlijke en transparante verwerking te waarborgen, de betrokkene informatie moet verstrekken over met name de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die periode.

80

De vraag of derden al dan niet toegang tot de cookies kunnen hebben, betreft informatie die valt onder de in artikel 10, onder c), van richtlijn 95/46 en artikel 13, lid 1, onder e), van verordening 2016/679 opgenomen informatie, aangezien in deze bepalingen uitdrukkelijk de ontvangers of categorieën ontvangers van de gegevens staan vermeld.

81

Gelet op een en ander moet op de tweede vraag worden geantwoord dat artikel 5, lid 3, van richtlijn 2002/58 aldus moet worden uitgelegd dat de aanbieder van diensten de gebruiker van een website onder meer moet informeren over de vraag hoelang de cookies actief blijven en of derden al dan niet toegang tot de cookies kunnen hebben.

Kosten

82

Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechterlijke instantie over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Grote kamer) verklaart voor recht:

1)

Artikel 2, onder f), en artikel 5, lid 3, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, alsmede met artikel 4, punt 11, en artikel 6, lid 1, onder a), van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), moeten aldus worden uitgelegd dat de in deze bepalingen bedoelde toestemming niet rechtsgeldig is verleend wanneer de opslag van informatie door middel van cookies of de toegang tot reeds op de eindapparatuur van de gebruiker van een website opgeslagen informatie via cookies wordt toegestaan door middel van een standaard aangevinkt selectievakje dat deze gebruiker moet uitvinken ingeval hij weigert zijn toestemming te geven.

2)

Artikel 2, onder f), en artikel 5, lid 3, van richtlijn 2002/58, zoals gewijzigd bij richtlijn 2009/136, gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46 alsmede met artikel 4, punt 11, en artikel 6, lid 1, onder a), van verordening 2016/679, moeten niet verschillend worden uitgelegd naargelang de informatie die is opgeslagen in de eindapparatuur van de gebruiker van een website of daaruit is opgevraagd, al dan niet bestaat in persoonsgegevens in de zin van richtlijn 95/46 en verordening 2016/679.

3)

Artikel 5, lid 3, van richtlijn 2002/58, zoals gewijzigd bij richtlijn 2009/136, moet aldus worden uitgelegd dat de aanbieder van diensten de gebruiker van een website onder meer moet informeren over de vraag hoelang de cookies actief blijven en of derden al dan niet toegang tot de cookies kunnen hebben.

ondertekeningen

Conclusie 21‑03‑2019

Inhoudsindicatie

‘Prejudiciële verwijzing — Richtlijn 95/46/EG — Richtlijn 2002/58/EGVerordening (EU) 2016/679 — Verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie — Cookies — Begrip ‘toestemming van de betrokkene’ — Verklaring van toestemming door middel van reeds aangevinkt selectievakje’

M. Szpunar

Partij(en)

Zaak C-673/171.

Planet49 GmbH

tegen

Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V.

[verzoek van het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland) om een prejudiciële beslissing]

I. Inleiding

1.

Om te kunnen deelnemen aan een door Planet49 georganiseerde loterij werd een internetgebruiker geconfronteerd met twee selectievakjes die moesten worden aangevinkt of uitgevinkt voordat hij op de deelnameknop kon klikken. Door middel van het ene selectievakje diende de gebruiker te aanvaarden dat hij kon worden benaderd door een reeks bedrijven met reclameaanbiedingen; door middel van het andere selectievakje diende de gebruiker in te stemmen met het plaatsen van cookies op zijn computer. In het kort zijn dit de feiten van de onderhavige prejudiciële verwijzing van het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland).

2.

Achter deze ogenschijnlijk onschuldige feiten gaan fundamentele vraagstukken van Unierecht inzake gegevensbescherming schuil: wat zijn precies de vereisten voor de vrijelijk te geven geïnformeerde toestemming? Is er een verschil met betrekking tot de (enkele) verwerking van persoonsgegevens en de opslag van en de toegang tot cookies? Welke rechtsinstrumenten zijn van toepassing?

3.

In deze conclusie zal ik betogen dat de vereisten voor toestemming krachtens richtlijn 95/46/EG2. en verordening (EU) 2016/6793. wat de onderhavige zaak betreft dezelfde zijn en dat het in casu geen verschil maakt of we te maken hebben met de algemene kwestie van de verwerking van persoonsgegevens dan wel met de meer specifieke kwestie van het opslaan van cookies en het verkrijgen van toegang tot informatie door middel daarvan.

II. Toepasselijke bepalingen

A. Unierecht

1. Richtlijn 95/46/EG
4.

Artikel 2 van richtlijn 95/46, met als opschrift ‘Definities’, luidt:

‘In de zin van deze richtlijn wordt verstaan onder:

[…]

h)

‘toestemming van de betrokkene’, elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt.’

5.

In afdeling II van die richtlijn, die het opschrift ‘Beginselen betreffende de toelaatbaarheid van gegevensverwerking’ draagt, bepaalt artikel 7, onder a), het volgende:

‘De lidstaten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien:

a)

de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend, of

[…]’.

6.

Artikel 10 van die richtlijn, met als opschrift ‘Informatieverstrekking in geval van verkrijging van gegevens bij de betrokkene’, luidt:

‘De lidstaten bepalen dat de voor de verwerking verantwoordelijke of diens vertegenwoordiger aan de betrokkene, bij wie de betrokkene zelf betreffende gegevens worden verkregen, ten minste de hierna volgende informatie moet verstrekken, behalve indien de betrokkene daarvan reeds op de hoogte is:

a)

de identiteit van de voor de verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger,

b)

de doeleinden van de verwerking waarvoor de gegevens zijn bestemd,

c)

verdere informatie zoals

de ontvangers of de categorieën ontvangers van de gegevens,

antwoord op de vraag of men al dan niet verplicht is om te antwoorden en de eventuele gevolgen van niet-beantwoording,

het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens,

voor zover die, met inachtneming van de specifieke omstandigheden waaronder de verdere informatie verkregen wordt, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.’

2. Richtlijn 2002/58/EG4.
7.

De overwegingen 24 en 25 van richtlijn 2002/58/EG5. luiden als volgt:

‘(24)

Eindapparatuur van gebruikers van netwerken voor elektronische communicatie en in die apparatuur bewaarde informatie maken deel uit van de persoonlijke levenssfeer van de gebruikers die op grond van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden bescherming vereist. Zogeheten spionagesoftware, webtaps, verborgen identificatoren en andere soortgelijke programmatuur kunnen de terminal van de gebruiker zonder diens medeweten binnenkomen teneinde toegang tot informatie te krijgen, verborgen informatie op te slaan of de activiteiten van de gebruiker te traceren en kunnen ernstig inbreuk maken op de persoonlijke levenssfeer van die gebruikers. Het gebruik van die programmatuur dient alleen te worden toegestaan voor legitieme doeleinden met medeweten van de betrokken gebruikers.

(25)

Dergelijke programmatuur, bijvoorbeeld zogeheten cookies, kan evenwel een legitiem en nuttig hulpmiddel zijn om bijvoorbeeld de doeltreffendheid van het ontwerp van websites en van reclame te onderzoeken, en om de identiteit te bepalen van gebruikers die onlinetransacties verrichten. Wanneer dergelijke programmatuur, bijvoorbeeld cookies, voor een legitiem doel bestemd is, zoals het vergemakkelijken van de levering van diensten van de informatiemaatschappij, dient hun gebruik te worden toegestaan op voorwaarde dat gebruikers worden voorzien van duidelijke en nauwkeurige informatie, overeenkomstig richtlijn 95/46/EG, over de doeleinden van cookies of soortgelijke programmatuur, welke verzekert dat de gebruiker zich ervan bewust is dat er informatie op de door hem gebruikte eindapparatuur wordt geplaatst. De gebruikers dienen de gelegenheid te hebben te weigeren dat een cookie of soortgelijke voorziening op hun eindapparatuur wordt opgeslagen. Dat is met name belangrijk in situaties waarin ook andere gebruikers toegang hebben tot de eindapparatuur en zo tot op die apparatuur opgeslagen gegevens die privacygevoelige informatie bevatten. De informatie en het recht van weigering kan voor het gebruik van de verschillende programmatuur bestemd om op de eindapparatuur van gebruikers te worden geïnstalleerd, eenmaal gedurende eenzelfde verbinding worden aangeboden en geldt dan ook voor het eventuele verdere gebruik van die programmatuur gedurende volgende verbindingen. De wijze waarop informatie wordt gegeven, een recht van weigering wordt aangeboden of toestemming wordt gevraagd dient zo gebruikersvriendelijk mogelijk te zijn. Aan toegang tot specifieke inhoud van een website kan nog altijd de voorwaarde worden verbonden dat een cookie of soortgelijke voorziening, indien gebruikt voor een legitiem doel, bewust wordt aanvaard.’

8.

Artikel 2, met het opschrift ‘Definities’, bepaalt onder f) het volgende:

‘Tenzij anders is bepaald, zijn de definities van richtlijn 95/46/EG van het Europees Parlement en de Raad en richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronischecommunicatienetwerken en -diensten (kaderrichtlijn)[6.] van toepassing.

Daarnaast wordt in deze richtlijn verstaan onder:

[…]

f)

‘toestemming’ van een gebruiker of abonnee: toestemming van de betrokkene in de zin van richtlijn 95/46/EG;

[…]’

9.

Artikel 5 van die richtlijn draagt het opschrift ‘Vertrouwelijk karakter van de communicatie’. Lid 3 ervan bepaalt het volgende:

‘De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig richtlijn 95/46/EG, onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronischecommunicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.’

3. Richtlijn 2009/136/EG7.
10.

Overweging 66 van richtlijn 2009/136/EG8. luidt:

‘Het is mogelijk dat derden informatie op de apparatuur van een gebruiker willen installeren of toegang tot reeds opgeslagen informatie willen krijgen, dit om tal van redenen, gaande van wettige handelingen (bv. bepaalde types cookies) tot ongeoorloofde indringing in de privésfeer (bv. spyware of virussen). Daarom is het van kapitaal belang dat gebruikers duidelijke en omvattende informatie krijgen wanneer zij een handeling stellen die kan resulteren in een dergelijke opslag of toegang. De wijze waarop informatie wordt gegeven en een recht van weigering wordt aangeboden moet zo gebruikersvriendelijk mogelijk zijn. Uitzonderingen op de verplichting om informatie te geven en een recht van weigering aan te bieden moeten worden beperkt tot situaties waarbij de technische opslag of toegang strikt noodzakelijk is voor het wettige doel of om het gebruik mogelijk te maken van een specifieke dienst waarom de abonnee of gebruiker heeft verzocht. Wanneer dit technisch mogelijk en doeltreffend is, kan, overeenkomstig de desbetreffende bepalingen van richtlijn 95/46/EG, de toestemming van de gebruiker met verwerking worden uitgedrukt door gebruik te maken van de desbetreffende instellingen van een browser of een andere toepassing. Deze bepalingen moeten doeltreffender worden afgedwongen via uitgebreide bevoegdheden die aan de desbetreffende nationale instanties worden verleend.’

4. Verordening (EU) 2016/679
11.

Overweging 32 van verordening 2016/679 luidt:

‘Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangevinkte vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.’

12.

Artikel 4, punt 11, van die verordening bepaalt, onder het opschrift ‘Definities’, het volgende:

‘Voor de toepassing van deze verordening wordt verstaan onder:

[…]

11)

‘toestemming’ van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

[…]’

13.

Artikel 6 van diezelfde verordening, met als opschrift ‘Rechtmatigheid van de verwerking’, luidt:

‘1.

De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a)

de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

[…]’

14.

Artikel 7 van verordening 2016/679 heeft als opschrift ‘Voorwaarden voor toestemming’. Artikel 7, lid 4, ervan bepaalt dat ‘[b]ij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, […] onder meer ten sterkste rekening [wordt] gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst’.

B. Duits recht

1. Bürgerliches gesetzbuch
15.

§ 3079. van het Bürgerliche Gesetzbuch (Duits burgerlijk wetboek; hierna: ‘BGB’) luidt:

‘(1)

Bedingen in algemene verkoopvoorwaarden zijn ongeldig wanneer zij de medecontractant in strijd met de eisen van de goede trouw onredelijk benadelen. Van een onredelijke benadeling kan ook sprake zijn doordat een bepaling niet duidelijk en begrijpelijk is.

(2)

In geval van twijfel moet een onredelijke benadeling worden aangenomen wanneer een beding:

1.

niet verenigbaar is met de beginselen die ten grondslag liggen aan de wettelijke regeling waarvan wordt afgeweken, dan wel

2.

wezenlijke, uit de aard van de overeenkomst voortvloeiende rechten of plichten zodanig beperkt dat het bereiken van het doel van de overeenkomst in gevaar komt.

(3)

De leden 1 en 2 alsmede de §§ 308 en 309 gelden uitsluitend voor bedingen in algemene voorwaarden waarbij regelingen worden overeengekomen die afwijken van wettelijke of bestuursrechtelijke bepalingen of deze aanvullen. Andere bepalingen kunnen uit hoofde van lid 1, tweede zin, juncto lid 1, eerste zin, ongeldig zijn.’

2. Gesetz gegen den unlauteren Wettbewerb
16.

Volgens het Gesetz gegen den unlauteren Wettbewerb (wet tot bestrijding van oneerlijke mededinging; hierna: ‘UWG’) zijn oneerlijke handelspraktijken die de belangen van marktdeelnemers onaanvaardbaar schaden verboden. § 7, lid 2, punt 2, UWG, bepaalt dat ‘onaanvaardbare hinder altijd moet worden verondersteld […] in geval van telefonische reclame die is gericht tot een consument zonder diens voorafgaande uitdrukkelijke toestemming of aan een andere marktdeelnemer zonder voorafgaande toestemming’.

3. Telemediengesetz
17.

§ 12, lid 1, van het Telemediengesetz (wet inzake telemedia; hierna: ‘TMG’) vormt de omzetting van artikel 7, onder a), van richtlijn 95/46 en legt de voorwaarden vast waaronder een aanbieder van diensten persoonsgegevens in verband met de terbeschikkingstelling van telemedia mag verzamelen en benutten. Ingevolge die paragraaf mag de aanbieder van diensten persoonsgegevens in verband met de terbeschikkingstelling van telemedia slechts verzamelen en benutten, voor zover het TMG of een ander wettelijk voorschrift dat expliciet op telemedia betrekking heeft, dit toestaat of de gebruiker zijn toestemming heeft gegeven.

18.

§ 12, lid 3, TMG bepaalt dat de voor de bescherming van persoonsgegevens geldende regels ook van toepassing zijn wanneer de gegevens niet automatisch worden verwerkt.

19.

§ 13, lid 1, TMG bepaalt dat de aanbieder van diensten de gebruiker bij het begin van het gebruik moet informeren over de aard, de omvang en het doel van de verzameling en het gebruik van persoonsgegevens en over de verwerking van zijn gegevens buiten het toepassingsgebied van richtlijn 95/46.

20.

Ingevolge § 15, lid 1, TMG mag de aanbieder van diensten persoonsgegevens van een gebruiker slechts verzamelen en benutten voor zover dit nodig is om het gebruik van telemedia mogelijk te maken en te factureren (‘gebruiksgegevens’). Gebruiksgegevens worden gedefinieerd als onder andere gegevens die de identificatie van de gebruiker mogelijk maken.

21.

§ 15, lid 3, TMG zet artikel 5, lid 3, van richtlijn 2002/58 om en machtigt een aanbieder van diensten om gebruikersprofielen op te stellen door middel van pseudoniemen voor doeleinden van reclame, marktanalyse of configuratie van elektronische media, op voorwaarde dat de gebruiker geen bezwaar maakt en de aanbieder van diensten de gebruiker op de hoogte heeft gebracht van zijn recht van weigering, overeenkomstig de informatieplicht krachtens § 13, lid 1, TMG.

4. Bundesdatenschutzgesetz
22.

§ 3, lid 1, van het Bundesdatenschutzgesetz (federale gegevensbeschermingswet; hierna: ‘BDSG’)10. vormt de omzetting van artikel 2, onder a), van richtlijn 95/46 en definieert persoonsgegevens als gegevens over persoonlijke of zakelijke omstandigheden van een geïdentificeerde of identificeerbare natuurlijke persoon.

23.

§ 4, onder a), BDSG zet artikel 2, onder h), van richtlijn 95/46 in nationaal recht om en bepaalt dat toestemming enkel geldig is wanneer zij berust op de vrije keuze van de betrokkene.

III. Feiten, procedure en prejudiciële vragen

24.

Op 24 september 2013 heeft Planet49 GmbH een reclameloterij georganiseerd op de website ‘www.dein-macbook.de’.11. Om hieraan deel te nemen diende de internetgebruiker zijn postcode in te voeren, waarna hij op een pagina terechtkwam waar hij zijn naam en adres diende in te voeren. Onder de invoervelden voor het adres stonden twee aanwijzingen met de bijbehorende selectievakjes. Ik zal hiernaar verder verwijzen als ‘eerste selectievakje’ en ‘tweede selectievakje’. De eerste aanwijzing, welke was voorzien van een selectievakje dat niet reeds was aangevinkt, luidde:

‘Ik vind het goed dat sponsors en partners mij per post of telefonisch dan wel via e-mail of sms op de hoogte stellen van aanbiedingen die verband houden met hun activiteiten. Ik kan deze hier zelf bepalen; anders zal de keuze door de organisator worden gemaakt. Ik kan mijn instemming te allen tijde weer intrekken. Meer informatie daarover is hier te vinden.’

25.

De tweede aanwijzing, welke was voorzien van een selectievakje dat reeds was aangevinkt, luidde:

‘Ik vind het goed dat webanalysebedrijf Remintrex bij mij wordt ingeschakeld. Dat brengt mee dat de organisator van het kansspel, Planet49 GmbH, na mijn registratie voor het kansspel cookies zal plaatsen, waardoor deze in de gelegenheid zal zijn mijn surf- en gebruiksgedrag op websites van reclamepartners te analyseren en Remintrex mij specifieke reclameberichten zal kunnen toesturen. Deze cookies kan ik te allen tijde weer wissen. Meer daarover hier.’

26.

Deelname aan de loterij was alleen mogelijk wanneer ten minste het eerste selectievakje was aangevinkt.

27.

Via de elektronische link waarvan de woorden ‘sponsors en partners’ en ‘hier’ uit de eerste aanwijzing waren voorzien, kwam de gebruiker in een lijst terecht met 57 bedrijven, hun adres, de activiteiten waarvoor reclame zou worden gemaakt en de daarvoor gebruikte communicatiemiddelen (e-mail, post of telefoon) alsmede het onderstreepte woord ‘Afmelden’ onder elk bedrijf. De lijst werd voorafgegaan door de volgende aanwijzing:

‘Door op de link ‘Afmelden’ te klikken beslis ik dat aan de genoemde partner/sponsor geen toestemming mag worden gegeven om reclame te maken. Wanneer ik geen of onvoldoende partners/sponsors heb afgemeld, zal Planet49 naar eigen goeddunken partners/sponsors voor mij selecteren (maximaal aantal: 30 partners/sponsors).’

28.

Door te klikken op de link waarvan het woord ‘hier’ uit de tweede aanwijzing was voorzien, verscheen de volgende informatie:

‘De geplaatste cookies met de namen ceng_cache, ceng_etag, ceng_png en gcr zijn kleine bestanden die door uw browser worden opgeslagen op uw harde schijf en waardoor gegevens worden binnengehaald die een gebruikersvriendelijkere en effectievere reclame mogelijk maken. De cookies bevatten een gerandomiseerd identificatienummer dat tevens is toegekend aan uw registratiegegevens. Wanneer u vervolgens de website van een voor Remintrex geregistreerde reclamepartner bezoekt (of er sprake is van registratie vindt u in de privacyverklaring van de reclamepartner), wordt via een iFrame van Remintrex automatisch geregistreerd dat u (dat wil zeggen de gebruiker met het opgeslagen identificatienummer) de website heeft bezocht, voor welk product u belangstelling had en of er al dan niet een overeenkomst is aangegaan.

Vervolgens kan Planet49 GmbH u op basis van uw instemming met de reclame die u bij uw registratie voor het kansspel heeft verleend, e-mails met reclame toesturen waarin rekening wordt gehouden met uw interesses op de website van de reclamepartner. Wanneer u uw instemming met de reclame weer intrekt, zult u uiteraard geen reclame via e-mail meer ontvangen.

De gegevens die via de cookies worden doorgegeven, worden uitsluitend benut met het oog op reclame voor producten van de reclamepartner. De gegevens worden voor iedere reclamepartner apart verzameld, opgeslagen en benut. In geen geval zullen er gebruikersprofielen met de gegevens van verschillende reclamepartners worden opgesteld. De verschillende reclamepartners ontvangen geen persoonsgegevens.

Wanneer u niet wilt dat de cookies nog langer worden gebruikt, kunt u deze op elk gewenst moment in uw browser wissen. In de helpfunctie van uw browser kunt u een handleiding vinden.

De cookies kunnen geen programma's op uw computer laten draaien of virussen overdragen.

Uiteraard kunt u uw instemming op elk gewenst moment weer intrekken. U kunt uw intrekking schriftelijk kenbaar maken aan PLANET49 GmbH [adres]. Een e-mail naar onze klantenservice [e-mailadres] volstaat echter ook.’

29.

Verzoeker in het hoofdgeding, het Bundesverband der Verbraucherzentralen (een vereniging van consumentenbeschermingsorganisaties; hierna: ‘Bundesverband’), is opgenomen in de lijst van bevoegde entiteiten in de zin van het Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz) (Duitse wet inzake de stakingsvordering; hierna: ‘UKlaG’). Volgens het Bundesverband voldeden de hiervoor genoemde verklaringen van toestemming die zijn gebruikt door Planet49 niet aan de vereisten van § 307 BGB, § 7, lid 2, punt 2, UWG en §§ 12 e.v. TMG. Een precontentieuze aanmaning dienaangaande leverde niets op.

30.

Het Bundesverband heeft een procedure ingesteld bij het Landgericht Frankfurt am Main (rechter in eerste aanleg Frankfurt am Main, Duitsland) en hierin geëist dat Planet49 stopt met het gebruik van de hiervoor genoemde bedingen12. en dat zij wordt veroordeeld tot betaling van 214 EUR, vermeerderd met rente vanaf 15 maart 2014.

31.

Het Landgericht Frankfurt am Main heeft een aantal vorderingen toegewezen en de eis voor het overige verworpen. Na het hoger beroep ten gronde13. bij het Oberlandesgericht Frankfurt am Main (hoogste rechterlijke instantie van de deelstaat Hessen, Frankfurt am Main, Duitsland) is beroep over een rechtsvraag ingesteld bij het Bundesgerichtshof.14.

32.

Volgens het Bundesgerichtshof hangt het succes van het beroep in Revision af van de uitlegging van artikel 5, lid 3, en artikel 2, onder f), van richtlijn 2002/58, gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46, en van artikel 6, lid 1, onder a), van verordening 2016/679. Het heeft het Hof de volgende prejudiciële vragen voorgelegd:

‘1.
a)

Is er sprake van daadwerkelijke toestemming in de zin van artikel 5, lid 3, en artikel 2, onder f), van [richtlijn 2002/58], gelezen in samenhang met artikel 2, onder h), van [richtlijn 95/46], wanneer de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen op de eindapparatuur van de gebruiker wordt toegestaan door middel van een vooraf aangevinkt selectievakje dat door de gebruiker moet worden uitgevinkt ingeval hij weigert zijn toestemming te verlenen?

b)

Maakt het bij de toepassing van artikel 5, lid 3, en artikel 2, onder f), van [richtlijn 2002/58], gelezen in samenhang met artikel 2, onder h), van [richtlijn 95/46], enig verschil of de opgeslagen of opgevraagde gegevens persoonsgegevens zijn?

c)

Is in de in prejudiciële vraag 1 a) beschreven omstandigheden sprake van daadwerkelijke toestemming in de zin van artikel 6, lid 1, onder a), van [verordening 2016/679]?

2.

Welke gegevens dienen door de aanbieder van diensten aan de gebruiker te worden verstrekt in het kader van de ingevolge artikel 5, lid 3, van richtlijn [2002/58] te verstrekken duidelijke en volledige informatie? Valt daaronder ook de informatie hoelang de cookies actief blijven en of derden toegang tot de cookies hebben?’

33.

De verwijzingsbeslissing is bij het Hof ingekomen op 30 november 2017. Schriftelijke opmerkingen zijn ingediend door Planet49, het Bundesverband, de Portugese en de Italiaanse regering en de Europese Commissie. Op 13 november 2018 vond een terechtzitting plaats, waar Planet49, het Bundesverband, de Duitse regering en de Commissie zijn verschenen.

IV. Beoordeling

34.

Beide prejudiciële vragen van het Bundesgerichtshof betreffen de toestemming voor de opslag van informatie en het verkrijgen van toegang tot informatie die reeds is opgeslagen op de eindapparatuur van de gebruiker, dat wil zeggen cookies, in de specifieke context van richtlijn 2002/58, gelezen in samenhang met richtlijn 95/46 of verordening 2016/679.

35.

Bij wijze van inleidende opmerkingen acht ik het nuttig om een feitelijke verduidelijking te geven met betrekking tot het verschijnsel cookies en verwante terminologie, alsmede een juridische verduidelijking van de rechtsinstrumenten die op deze zaak van toepassing zijn.

A. Inleidende opmerkingen

1. Cookies
36.

Een cookie is een vorm van verzamelen van informatie die afkomstig is van een website en wordt bewaard door de browser van de internetgebruiker.15. Het is een gegevens- of tekstbestandje, meestal minder dan één kilobyte groot. Een website vraagt de browser van een internetgebruiker om dit bestandje op de lokale harde schijf van de computer of het mobiele apparaat van de gebruiker op te slaan.16.

37.

Met een cookie kan de website het internetgedrag of de voorkeuren van de gebruiker in de loop van de tijd ‘onthouden’. De meeste webbrowsers ondersteunen cookies, maar gebruikers kunnen hun browsers zo instellen dat zij worden geweigerd. Ze kunnen ze ook te allen tijde verwijderen. Veel gebruikers stellen hun cookie-instellingen in hun browsers in om cookies automatisch te verwijderen wanneer het browservenster wordt gesloten. Niettemin bestaat er overweldigend empirisch bewijs voor het feit dat mensen zelden de standaardinstellingen veranderen, een verschijnsel waarvoor de term default inertia is gemunt.17.

38.

Websites gebruiken cookies om gebruikers te identificeren, hun eigen voorkeuren te onthouden en om het mogelijk te maken dat gebruikers taken voltooien zonder informatie opnieuw in te voeren tijdens het browsen van de ene naar de andere pagina of bij een later bezoek aan de site.

39.

Cookies kunnen ook worden gebruikt om informatie te verzamelen met betrekking tot onlinegedrag voor reclame- en marketingdoeleinden.18. Bedrijven gebruiken bijvoorbeeld software om het gedrag van gebruikers bij te houden en persoonlijke profielen op te stellen, waardoor gebruikers advertenties te zien krijgen die samenhangen met eerdere zoekopdrachten van een gebruiker.19.

40.

Er zijn verschillende soorten cookies, waarvan sommige zijn ingedeeld op basis van de levensduur van het cookie (bijvoorbeeld sessiecookies en permanente cookies) en andere op basis van het domein waartoe het cookie behoort (bijvoorbeeld first-party- en third- party-cookies).20. Als de webserver waarvan de webpagina afkomstig is, cookies opslaat op de computer of het mobiele apparaat van de gebruiker, dan worden deze cookies http header-cookies genoemd.21. Een andere manier om cookies op te slaan is door middel van JavaScript-code die op die pagina staat of waarnaar wordt verwezen.22. De geldigheid van de toestemming voor het plaatsen van cookies en de toepasselijkheid van relevante vrijstellingen moeten evenwel worden beoordeeld op basis van het doel van het cookie en niet op basis van de technische kenmerken ervan.23.

2. Toepasselijke rechtsinstrumenten
41.

Het rechtskader dat van toepassing is op het hoofdgeding heeft zich in de loop van de jaren ontwikkeld en heeft uiteindelijk geleid tot de inwerkingtreding van verordening 2016/679.

42.

Op de onderhavige zaak zijn twee clusters van instrumenten van Unierecht van toepassing. In de eerste plaats richtlijn 95/46 en verordening 2016/679 en, in de tweede plaats, richtlijn 2002/58, zoals gewijzigd bij richtlijn 2009/136.24.

43.

Ik wil twee opmerkingen maken met betrekking tot deze twee clusters van instrumenten.

44.

De eerste opmerking heeft betrekking op de toepasselijkheid van richtlijn 95/46 en verordening 2016/679.

45.

Bij verordening 2016/679, die sinds 25 mei 201825. van toepassing is, is richtlijn 95/46 met ingang van dezelfde datum ingetrokken.26.

46.

Deze datum van 25 mei 2018 viel na de laatste terechtzitting bij de verwijzende rechter van 14 juli 2017 en ook na 5 oktober 2017, de datum waarop de onderhavige zaak voor een prejudiciële beslissing naar het Hof werd verwezen.

47.

Dit betekent dus dat de toepasselijke regeling voor situaties die dateren van vóór 25 mei 2018 richtlijn 2002/58 is, gelezen in samenhang met richtlijn 95/46, terwijl op situaties die dateren van na 25 mei 2018 richtlijn 2002/58 juncto verordening 2016/679 van toepassing is.

48.

Voor zover het Bundesverband met de stakingsvordering27. Planet49 ertoe wil brengen zich in de toekomst anders te gedragen, is verordening 2016/679 van toepassing in de onderhavige zaak. In zijn uitspraak met betrekking tot de stakingsvordering zal het Bundesgerichtshof derhalve rekening moeten houden met de voorschriften van verordening 2016/679. In dit verband verwijst de Duitse regering naar vaste nationale rechtspraak inzake de betrokken juridische situatie in stakingsvorderingen.28.

49.

Bijgevolg moet bij de beantwoording van de gestelde vraag rekening worden gehouden met zowel richtlijn 95/46 als verordening 2016/679.29.

50.

Verder moet worden opgemerkt dat verwijzingen in richtlijn 2002/58 naar richtlijn 95/46 moeten worden begrepen als verwijzingen naar verordening 2016/679.30.

51.

De tweede opmerking betreft de ontwikkeling van artikel 5, lid 3, van richtlijn 2002/58.

52.

Richtlijn 2002/58 strekt tot volledige eerbiediging van de grondrechten en beginselen die tot uitdrukking zijn gebracht in het Handvest van de grondrechten van de Europese Unie en met name de artikelen 7 en 8 ervan.31. Artikel 5 van deze richtlijn heeft tot doel het ‘vertrouwelijk karakter van de communicatie’ te garanderen. In het bijzonder regelt artikel 5, lid 3, het gebruik van cookies en stelt het de eisen vast waaraan moet worden voldaan voordat gegevens door middel van het plaatsen van een cookie op de computer van een gebruiker kunnen worden opgeslagen of toegang hiertoe kan worden verkregen.

53.

Richtlijn 2009/136 heeft ter versterking van de bescherming van de gebruiker de toestemmingsvereisten van artikel 5, lid 3, van richtlijn 2002/58 aanzienlijk gewijzigd. Vóór de wijzigingen door die richtlijn vereiste artikel 5, lid 3, enkel dat gebruikers de mogelijkheid kregen van een geïnformeerde opt-out van de gegevensverwerking via cookies. Met andere woorden: volgens de oorspronkelijke versie van artikel 5, lid 3, moet de dienstenaanbieder voor de opslag van informatie of voor het verkrijgen van toegang tot informatie die is opgeslagen in de eindapparatuur van een gebruiker, de gebruiker voorzien van duidelijke en volledige informatie over met name de doeleinden van de verwerking en hem het recht bieden om een dergelijke verwerking te weigeren.

54.

Richtlijn 2009/136 heeft dit vereiste van recht van weigering vervangen door het vereiste dat ‘de betrokken abonnee of gebruiker toestemming heeft verleend’, wat betekent dat deze richtlijn het geïnformeerde opt-out-systeem, waaraan gemakkelijker was te voldoen, heeft vervangen door een geïnformeerd opt-in-systeem. Behoudens een zeer beperkte uitzondering die niet van toepassing is op de onderhavige zaak32. is het gebruik van cookies krachtens het herziene artikel 5, lid 3, van richtlijn 2002/58 alleen toegestaan wanneer de gebruiker toestemming heeft gegeven na duidelijke en omvattende informatie te hebben gekregen in overeenstemming met richtlijn 95/46 over de redenen voor het bijhouden van zijn gegevens, dat wil zeggen de doeleinden van de verwerking.33.

55.

Zoals hieronder nader zal worden uiteengezet, vormt de reikwijdte van de informatieplicht krachtens artikel 5, lid 3, van richtlijn 2002/58 de kern van waar het in de onderhavige zaak om gaat, met name in de context van de standaardinstellingen voor onlineactiviteiten.

B. Eerste vraag

56.

Met zijn eerste vraag, onder a), wenst de verwijzende rechter te vernemen of sprake is van geldige toestemming in de zin van artikel 5, lid 3, en artikel 2, onder f), van richtlijn 2002/58, gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46, wanneer de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van de gebruiker wordt toegestaan door middel van een reeds aangevinkt selectievakje dat door de gebruiker moet worden uitgevinkt ingeval hij weigert zijn toestemming te verlenen. Hiermee samenhangend vraagt de verwijzende rechter zich af of het enig verschil maakt of de opgeslagen of opgevraagde gegevens persoonsgegevens zijn [eerste vraag, onder b)]. Tot slot wenst de verwijzende rechter te vernemen of in de hiervoor beschreven omstandigheden sprake is van daadwerkelijke toestemming in de zin van artikel 6, lid 1, onder a), van verordening 2016/679 [eerste vraag, onder c)].

1. Vrije en op informatie berustende toestemming
57.

Een kenmerk van de Uniewetgeving inzake gegevensbescherming is dat van de toestemming.

58.

Alvorens in te gaan op het specifieke probleem van cookies wil ik de algemene, uit de toepasselijke rechtsinstrumenten voortvloeiende beginselen betreffende het geven van toestemming in kaart brengen.

a) Richtlijn 95/46
1) Actieve toestemming
59.

Ik leid uit de bepalingen van richtlijn 95/46 af dat actief34. blijk moet worden gegeven van toestemming.

60.

Artikel 2, onder h), van richtlijn 95/46 verwijst naar een wilsuiting van de betrokkene, wat duidelijk wijst op een actieve in plaats van een passieve gedraging. Daarenboven bepaalt artikel 7, onder a), van richtlijn 95/46, waarin het gaat om beginselen betreffende de toelaatbaarheid van de verwerking van (persoons-)gegevens, dat de betrokkene zijn ondubbelzinnige toestemming heeft verleend. Dubbelzinnigheid kan evenzeer enkel worden weggenomen door een actieve, niet door een passieve gedraging.

61.

Hieruit leid ik af dat het in dit opzicht niet voldoende is als de verklaring van toestemming van de gebruiker vooraf is geformuleerd en als de gebruiker actief bezwaar moet maken als hij het niet eens is met de verwerking van gegevens.

62.

In het laatste geval is het immers niet zeker of een dergelijke vooraf geformuleerde tekst is gelezen en begrepen. De situatie is niet ondubbelzinnig. Een gebruiker kan de tekst al dan niet hebben gelezen. Hij kan dit uit pure nalatigheid niet hebben gedaan. In een dergelijke situatie is het niet mogelijk om vast te stellen of toestemming vrijelijk is gegeven.

2) Afzonderlijke toestemming
63.

Nauw gekoppeld aan het vereiste van actieve toestemming is dat van afzonderlijke toestemming.35.

64.

Men zou met Planet49 kunnen betogen dat geldige toestemming niet wordt gegeven door de betrokkene wanneer hij het vinkje bij de vooraf geformuleerde toestemmingsverklaring niet verwijdert, maar wanneer hij actief klikt op de deelnameknop voor de onlineloterij.

65.

Ik onderschrijf deze uitlegging niet.

66.

Om te kunnen spreken van ‘vrije’ en ‘op informatie berustende’ toestemming, moet deze niet alleen actief maar ook afzonderlijk zijn gegeven. De activiteit van een gebruiker op internet (lezen van een webpagina, deelname aan een loterij, bekijken van een video enzovoort) en het geven van toestemming kunnen geen deel uitmaken van dezelfde handeling. Met name kan het geven van toestemming vanuit de gebruiker bezien niet bijkomend aan de deelname aan de loterij zijn. Beide acties moeten, vooral optisch, als gelijk worden gepresenteerd. Het lijkt mij bijgevolg twijfelachtig of een bundel uitingen van voornemens, waaronder het geven van toestemming, in overeenstemming is met het begrip toestemming in de zin van richtlijn 95/46.

3) Verplichting om volledig te informeren
67.

Wat dit betreft, moet het voor een gebruiker glashelder worden gemaakt of de activiteit die hij op internet ontplooit, verbonden is met het geven van toestemming. Een gebruiker moet in staat zijn te beoordelen in hoeverre hij bereid is zijn gegevens te verstrekken om zijn activiteit op internet te ontplooien. Er mag geen enkele marge zijn voor welke dubbelzinnigheid dan ook.36. Een gebruiker moet weten of en, zo ja, in hoeverre zijn verklaring van toestemming van invloed is op zijn activiteit op internet.

b) Verordening 2016/679
68.

De hierboven in kaart gebrachte beginselen gelden eveneens voor verordening 2016/679.

69.

Artikel 4, punt 11, van verordening 2016/679 definieert toestemming van de betrokkene als elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

70.

Deze definitie is strikter dan die van artikel 2, onder h), van richtlijn 95/46, omdat zij een ondubbelzinnige wilsuiting van de betrokkene vereist en een ondubbelzinnige actieve handeling waarmee de betrokkene hem betreffende verwerking van persoonsgegevens aanvaardt.

71.

Voorts zijn de overwegingen van verordening 2016/679 bijzonder verhelderend. Omdat ik uitgebreid naar de overwegingen zal verwijzen37., voel ik me genoodzaakt eraan te herinneren dat zij klaarblijkelijk geen zelfstandige juridische betekenis hebben38., maar dat het Hof daarvan bij de uitlegging van een rechtshandeling van de Unie vaak gebruikmaakt. Binnen de rechtsorde van de Unie zijn deze overwegingen descriptief en niet prescriptief van aard. Normaal gesproken komt de vraag naar hun juridische betekenis niet aan de orde om de eenvoudige reden dat de overwegingen gewoonlijk hun neerslag vinden in het dispositief van een richtlijn. Goede wetgevingspraktijken van de politieke instellingen van de EU hebben de neiging om te streven naar een situatie waarin de overwegingen een nuttige achtergrond bieden voor de bepalingen van een juridische tekst.39.

72.

Volgens overweging 32 van verordening 2016/679 dient toestemming te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangevinkte vakjes of inactiviteit mag derhalve niet als toestemming gelden.

73.

Actieve toestemming is nu dus uitdrukkelijk voorgeschreven door verordening 2016/679.

74.

Voorts valt in overweging 43 van die verordening te lezen dat om ervoor te zorgen dat toestemming vrijelijk wordt verleend, toestemming geen geldige rechtsgrond mag zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. De toestemming wordt geacht niet vrijelijk te zijn verleend indien geen afzonderlijke toestemming kan worden gegeven voor verschillende persoonsgegevensverwerkingen ondanks het feit dat dit in het individuele geval passend is, of indien de uitvoering van een overeenkomst, daaronder begrepen het verlenen van een dienst, afhankelijk is van de toestemming ondanks het feit dat dergelijke toestemming niet noodzakelijk is voor die uitvoering.

75.

De noodzaak van afzonderlijke toestemming wordt daarom nu nadrukkelijk in deze overweging beklemtoond.

c) Richtlijn 2002/58 — de kwestie van de cookies
76.

Ingevolge artikel 5, lid 3, van richtlijn 2002/58 dragen de lidstaten er zorg voor dat de opslag van informatie of het verkrijgen van toegang tot informatie die is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken gebruiker overeenkomstig richtlijn 95/46 voorzien wordt van duidelijke en volledige informatie, onder andere over de doeleinden van de verwerking.

77.

Deze bepaling stelt geen verdere criteria vast met betrekking tot het begrip toestemming.

78.

Niettemin bevatten de overwegingen van richtlijn 2002/58 en richtlijn 2009/136 een leidraad wat betreft toestemming met betrekking tot cookies.

79.

Zo vermeldt overweging 17 van richtlijn 2002/58 dat toestemming kan worden gegeven op elke wijze die de gebruiker in staat stelt vrijelijk een specifieke en geïnformeerde indicatie te geven omtrent zijn wensen, onder andere door bij een bezoek aan een internetwebsite op een vakje te klikken.40.

80.

Bovendien maakt overweging 66 van richtlijn 2009/136 gewag van het feit dat het van kapitaal belang is dat gebruikers duidelijke en omvattende informatie krijgen wanneer zij een handeling stellen die kan resulteren in een dergelijke opslag van informatie in de apparatuur van een gebruiker of toegang tot reeds opgeslagen informatie en dat de wijze waarop informatie wordt gegeven en een recht van weigering wordt aangeboden zo gebruikersvriendelijk mogelijk moet zijn.

81.

In dit verband wil ik ook wijzen op het niet-bindende maar niettemin verhelderende werk van de Groep gegevensbescherming artikel 29 (hierna: ‘Artikel 29-Groep’)41., volgens hetwelk toestemming impliceert dat gebruikers voorafgaand actief toestemming hebben gegeven voor de opslag van het cookie en het gebruik ervan.42. Diezelfde werkgroep wijst erop dat het begrip ‘uiting’ een element van actie omvat.43. Andere elementen van de definitie van toestemming en het aanvullende vereiste in artikel 7, onder a), van richtlijn 95/46 dat toestemming ondubbelzinnig moet zijn, staven deze uitlegging.44. Het vereiste dat de betrokkene zijn toestemming ‘te kennen moet geven’ lijkt erop te duiden dat inactiviteit onvoldoende is en enige vorm van handelen is vereist om van toestemming te kunnen spreken, hoewel dat handelen verschillende vormen kan aannemen, ‘afhankelijk van de context’.45.

2. Toepassing op de onderhavige zaak
82.

Ik zou deze criteria nu willen toepassen op de onderhavige zaak. Daarbij zal ik om te beginnen ingaan op de eerste vraag, onder a) en c), dat wil zeggen de vraag of sprake is van geldige toestemming voor het plaatsen van en de toegang tot de cookies. Dit betreft het tweede selectievakje.

83.

Gelet op het feit dat de vereisten voor toestemming niet sterk verschillen, of het nu gaat om cookies dan wel om meer in het algemeen de verwerking van persoonsgegevens, zoals zojuist is vastgesteld, acht ik het — zowel ten behoeve van de volledigheid als van de duidelijkheid en ook al stelt de verwijzende rechter niet uitdrukkelijk een vraag over dit onderwerp — voor de juiste en uniforme uitlegging van het Unierecht noodzakelijk om kort te onderzoeken of er sprake is van geldige toestemming betreffende de verwerking van persoonsgegevens in het kader van het eerste selectievakje. Ik begrijp tevens dat het Bundesgerichtshof in de daar aanhangige procedure uitspraak moet doen over het eerste selectievakje.46.

a) Tweede selectievakje — Eerste vraag, onder a) en c)
84.

De verwijzende rechter vraagt zich af of er sprake is van geldige toestemming in de zin van artikel 5, lid 3, en artikel 2, onder f), van richtlijn 2002/58, gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46, wanneer de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van de gebruiker wordt toegestaan door middel van een vooraf aangevinkt selectievakje dat door de gebruiker moet worden uitgevinkt ingeval hij weigert zijn toestemming te verlenen.

85.

De begrippen van artikel 2, onder h), van richtlijn 95/46 en artikel 4, punt 11, van verordening 2016/679 waar het wat deze vraag betreft om gaat zijn ‘vrije’ en ‘geïnformeerde’. De vraag die rijst in een situatie als door de verwijzende rechter beschreven, is of toestemming op vrije en geïnformeerde wijze kan worden gegeven.

86.

Volgens Planet49 is dat het geval. Alle andere deelnemers aan de procedure vinden van niet.47. In deze context spitste het juridische debat van de deelnemers aan de procedure zich eerst en vooral toe op de vraag of het aanvinken dan wel uitvinken van een vooraf aangevinkt selectievakje aan deze vereisten voldoet. Het debat draait om de kwestie van activiteit en passiviteit. Dit aspect, hoe belangrijk het ook is, omvat evenwel slechts een deel van de vereisten, aangezien het alleen gaat over het vereiste van actieve maar niet over dat van afzonderlijke toestemming.

87.

Naar mijn mening is het antwoord op basis van de hierboven vastgestelde criteria dat er in het onderhavige geval geen sprake is van geldige toestemming.

88.

Ten eerste voldoet het feit dat een gebruiker een vooraf aangevinkt selectievakje moet uitvinken, en dus in actie moet komen, wanneer hij geen toestemming geeft voor het plaatsen van cookies, niet aan het criterium van actieve toestemming. In een dergelijke situatie is het zo goed als onmogelijk om objectief vast te stellen of een gebruiker wel of niet vrijelijk en geïnformeerd toestemming heeft gegeven. Het vereiste dat een gebruiker een vakje moet aanvinken, maakt een dergelijke bewering daarentegen veel aannemelijker.

89.

Ten tweede, en belangrijker: de deelname aan de onlineloterij en de toestemming voor het plaatsen van cookies kunnen geen deel uitmaken van dezelfde handeling. Maar dit is precies het geval in de onderhavige zaak. Uiteindelijk doet een gebruiker met slechts één klik op de deelnameknop mee aan de loterij. Tegelijkertijd stemt hij in met het plaatsen van cookies. Twee wilsuitingen (deelname aan de loterij en toestemming voor het plaatsen van cookies) worden tegelijkertijd gedaan. Deze twee uitingen kunnen niet allebei onder één deelnameknop worden samengebracht. In het onderhavige geval lijkt de toestemming voor de cookies namelijk bijkomstig van aard, in die zin dat het geenszins duidelijk is dat zij een onderdeel vormt van een afzonderlijke handeling. Anders gezegd, het aanvinken van het selectievakje voor de cookies dan wel uitvinken van het vooraf aangevinkt selectievakje lijkt een voorbereidende handeling voor de laatste en juridisch bindende handeling, te weten het aanklikken van de deelnameknop.

90.

In een dergelijke situatie is een gebruiker niet in de positie om vrijelijk zijn afzonderlijke toestemming te geven voor de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in zijn eindapparatuur.

91.

Bovendien is hierboven vastgesteld dat deelname aan de loterij alleen mogelijk was als ten minste het eerste selectievakje was aangevinkt. Bijgevolg hing de deelname aan de loterij niet af48. van het geven van toestemming voor het plaatsen van en het verkrijgen van toegang tot cookies. Een gebruiker kon net zo goed (enkel) het eerste selectievakje hebben aangevinkt.

92.

Maar voor zover ik weet, werd de gebruiker op geen enkel moment hiervan op de hoogte gebracht. Dit voldoet niet aan de hierboven in kaart gebrachte criteria voor het volledig geïnformeerd zijn van gebruikers.

93.

Samenvattend geef ik in overweging om op de eerste vraag, onder a) en c), te antwoorden dat er geen sprake is van geldige toestemming in de zin van artikel 5, lid 3, en artikel 2, onder f), van richtlijn 2002/58, gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46, in een situatie als in het hoofdgeding waarin de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van de gebruiker wordt toegestaan door middel van een vooraf aangevinkt selectievakje dat door de gebruiker moet worden uitgevinkt ingeval hij weigert zijn toestemming te verlenen en waarin toestemming niet afzonderlijk wordt verleend maar tegelijkertijd met de bevestiging van de deelname aan een onlineloterij. Dit geldt ook voor de uitlegging van artikel 5, lid 3, en artikel 2, onder f), van richtlijn 2002/58, gelezen in samenhang met artikel 4, punt 11, van verordening 2016/679.

b) Eerste selectievakje
94.

Hoewel de vragen van de verwijzende rechter betrekking hebben op enkel het tweede selectievakje wil ik twee specifieke opmerkingen maken met betrekking tot het eerste selectievakje, die de verwijzende rechter kunnen helpen bij zijn definitieve beslissing.

95.

Ter herinnering: het eerste selectievakje heeft geen betrekking op cookies maar enkel op de verwerking van persoonsgegevens. Met dit eerste selectievakje stemt een gebruiker er niet mee in om informatie op zijn apparatuur op te slaan, maar (enkel) om door een reeks bedrijven per post, telefoon of e-mail te worden benaderd.

96.

Ten eerste zijn de criteria voor actieve en afzonderlijke toestemming en volledige informatie uiteraard ook van toepassing op het eerste selectievakje. Actieve toestemming lijkt geen probleem te vormen, aangezien het selectievakje niet vooraf is aangevinkt. Wel heb ik enige twijfels wat betreft de afzonderlijke toestemming. Op basis van de bovenstaande analyse49. zou het, wat de feiten in de onderhavige zaak betreft, beter zijn als er, figuurlijk gesproken, een afzonderlijke knop moest worden aangeklikt50. in plaats van alleen een vakje dat moet worden aangevinkt om toestemming te geven voor de verwerking van persoonsgegevens.

97.

Ten tweede moet, waar het in het eerste selectievakje gaat om het contact door sponsors en partners, rekening worden gehouden met artikel 7, lid 4, van verordening 2016/679. Krachtens deze bepaling wordt bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst. Artikel 7, lid 4, van verordening 2016/679 codificeert nu dus een ‘verbod op gezamenlijke aanbiedingen’.51.

98.

Zoals uit de bewoordingen ‘wordt […] ten sterkste rekening gehouden met’ blijkt, is het verbod op gezamenlijke aanbiedingen niet absoluut van aard.52.

99.

Wat dit aangaat, staat het aan de bevoegde rechter om na te gaan of de toestemming voor de verwerking van persoonsgegevens noodzakelijk is om mee te kunnen doen aan de loterij. In dit verband moet in gedachten worden gehouden dat het onderliggende doel van de deelname aan de loterij de ‘verkoop’ van persoonsgegevens is (dat wil zeggen dat toestemming wordt verleend om te worden benaderd door zogenoemde sponsors voor reclameaanbiedingen). Met andere woorden, het verstrekken van persoonsgegevens vormt de hoofdverplichting van de gebruiker voor deelname aan de loterij. In een dergelijke situatie komt het mij voor dat de verwerking van deze persoonsgegevens inderdaad noodzakelijk is voor de deelname aan de loterij.53.

3. Persoonsgegevens [eerste vraag, onder b)]
100.

Ik wil nu nagaan of het bij de toepassing van artikel 5, lid 3, en artikel 2, onder f), van richtlijn 2002/58, gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46, enig verschil maakt of de opgeslagen of opgevraagde gegevens persoonsgegevens zijn.

101.

Deze vraag kan het best worden begrepen tegen de achtergrond van de omzetting van artikel 5, lid 3, van richtlijn 2002/58 in Duits recht.54. In het Duitse recht wordt namelijk een verschil gemaakt tussen het verzamelen en het gebruiken van persoonsgegevens en andere gegevens.

102.

Ingevolge § 12, lid 1, TMG mag een aanbieder van diensten persoonsgegevens slechts verzamelen en benutten voor zover, onder andere, de gebruiker zijn toestemming heeft gegeven.

103.

§ 15, lid 3, TMG daarentegen machtigt een aanbieder van diensten om gebruikersprofielen op te stellen met gebruikmaking van pseudoniemen, onder meer voor doeleinden van reclame en marktanalyse, op voorwaarde dat de gebruiker hiertegen geen bezwaar maakt. Voor zover het niet gaat om persoonsgegevens is het vereiste in het Duitse recht dus minder strikt: geen toestemming, maar enkel een verklaring van geen bezwaar.

104.

Persoonsgegevens worden in artikel 4, punt 1, van verordening 2016/679 gedefinieerd als ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon’.

105.

Mijns inziens lijdt het geen twijfel dat de in artikel 5, lid 3, van richtlijn 2002/58 bedoelde ‘informatie’, wat het onderhavige geval betreft, ‘persoonsgegevens’ vormt. Dit lijkt ook de opvatting van de verwijzende rechter, die in zijn verwijzingsbeslissing uitdrukkelijk vermeldt dat de opvraging van gegevens uit de door verweerster gebruikte cookies onder het toestemmingsvereiste van § 12, lid 1, TMG valt, aangezien het hier om persoonsgegevens gaat.55. Bovendien lijkt het voor de partijen in het hoofdgeding buiten kijf te staan dat we hier te maken hebben met persoonsgegevens.

106.

Men zou zich daarom kunnen afvragen wat het belang van deze vraag voor het onderhavige geval is en of de vraag niet hypothetisch van aard is.56.

107.

Hoe het ook zij, ik denk dat het antwoord op deze vraag vrij eenvoudig is: het maakt geen verschil of de opgeslagen of opgevraagde informatie persoonsgegevens vormt. Artikel 5, lid 3, van richtlijn 2002/58 verwijst naar de ‘opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen’.57. Het is duidelijk dat dergelijke informatie een privacyaspect heeft, ongeacht of deze wel of niet moet worden aangemerkt als persoonsgegevens in de zin van artikel 4, punt 1, van verordening 2016/679. Zoals de Commissie terecht benadrukt, beoogt artikel 5, lid 3, van richtlijn 2002/58 de gebruiker te beschermen tegen inmenging in zijn privésfeer, ongeacht of die inmenging betrekking heeft op persoonsgegevens of andere gegevens.

108.

Een dergelijke lezing van artikel 5, lid 3, van richtlijn 2002/58 vindt bovendien steun in de overwegingen 2458. en 2559. van die richtlijn, alsmede in de adviezen van de Artikel 29-Groep. Volgens deze groep is ‘[a]rtikel 5, lid 3 […] van toepassing op ‘informatie’ (opgeslagen en/of verkregen). Dergelijke informatie wordt niet gekwalificeerd. Het is [niet] noodzakelijk voor de toepassing van deze bepaling dat deze informatie persoonsgegevens betreft in de zin van [richtlijn 95/46].’60.

109.

Het lijkt er bijgevolg op dat § 15, lid 3, TMG de voorschriften van artikel 5, lid 3, van richtlijn 2002/58 niet volledig in Duits recht omzet.61.

110.

Daarom geef ik in overweging om op de eerste vraag, onder b), te antwoorden dat het voor de toepassing van artikel 5, lid 3, en artikel 2, onder f), van richtlijn 2002/58, in samenhang met artikel 2, onder h), van richtlijn 95/46 niet uitmaakt of de opgeslagen of opgevraagde informatie persoonsgegevens vormt.

C. Tweede vraag

111.

Met zijn tweede vraag wenst de verwijzende rechter te vernemen welke gegevens door de aanbieder van diensten aan de gebruiker dienen te worden verstrekt in het kader van het vereiste van artikel 5, lid 3, van richtlijn 2002/58 om duidelijke en volledige informatie te verstrekken en of daaronder ook de informatie valt hoelang de cookies actief blijven en of derden toegang tot de cookies hebben.

1. Duidelijke en volledige informatie
112.

De artikelen 10 en 11 van richtlijn 95/46 (en de artikelen 13 en 14 van verordening 2016/679) houden een verplichting in om aan de betrokkenen informatie te verstrekken. De informatieplicht is gekoppeld aan de toestemming, aangezien er altijd informatie moet zijn verstrekt voordat toestemming kan worden verleend.

113.

Gelet op het feit dat de termen internetgebruiker (en aanbieder) en consument (en handelaar) conceptueel dicht bijeen liggen62., kan in dit stadium worden teruggegrepen op de notie van de gemiddelde Europese consument die redelijk goed geïnformeerd, omzichtig en oplettend63. is en die in staat is om te besluiten geïnformeerd toestemming te verlenen.64.

114.

Wegens de technische complexiteit van cookies, de asymmetrische verhouding tussen aanbieder en gebruiker wat betreft informatie en, meer in het algemeen, het relatieve gebrek aan kennis van elke gemiddelde internetgebruiker, kan van de gemiddelde internetgebruiker evenwel niet worden verwacht dat hij ten aanzien van de werking van cookies over een hoog kennisniveau beschikt.

115.

Duidelijke en volledige informatie houdt dus in dat een gebruiker in staat is om gemakkelijk de gevolgen te bepalen van eventuele toestemming die hij verleent. Daartoe moet hij de gevolgen van zijn handelen kunnen beoordelen. De verstrekte informatie moet duidelijk te begrijpen zijn, ondubbelzinnig en niet voor meerderlei uitleg vatbaar. Zij moet voldoende gedetailleerd zijn om de gebruiker in staat te stellen de werking van de daadwerkelijk geplaatste cookies te begrijpen.

116.

Zoals de verwijzende rechter terecht in overweging geeft, omvat dat zowel de duur van de werking van de cookies als de vraag of derden toegang verkrijgen tot de cookies.

2. Informatie over de duur en de werking van de cookies
117.

Ingevolge de overwegingen 23 en 26 van richtlijn 2002/58 is de duur van de werking van cookies een element van het vereiste van geïnformeerde toestemming, wat betekent dat dienstenaanbieders ‘hun abonnees altijd op de hoogte [moeten] brengen van de soorten gegevens die zij verwerken, waarvoor zij dat doen en hoelang dat wordt gedaan’. Zelfs als het cookie wezenlijk is, moet ten behoeve van de toestemming in het licht van de samenhangende omstandigheden worden nagegaan in hoeverre het de privacy schendt. Naast de vraag welke gegevens elk cookie bevat en of het is gekoppeld aan andere informatie over de gebruiker, moeten de aanbieders van diensten rekening houden met de levensduur van het cookie en of deze levensduur passend is in het licht van het doel van het cookie.

118.

De duur van de werking van de cookies heeft betrekking op de uitdrukkelijke vereisten inzake geïnformeerde toestemming met betrekking tot de kwaliteit van de informatie aan de gebruikers en de toegankelijkheid van die informatie. Dit is van essentieel belang om betrokkenen in staat te stellen om vóór de verwerking een op informatie berustende beslissing te nemen.65. Zoals door de Portugese en de Italiaanse regering is opgemerkt, moet de duur van de opslag van de verzamelde gegevens — gelet op het feit dat de door cookies verzamelde gegevens dienen te worden verwijderd zodra deze niet langer nodig zijn om het oorspronkelijke doel te bereiken — duidelijk aan de gebruiker worden medegedeeld.

3. Informatie over toegang door derden
119.

Planet49 betoogt dat wanneer derden toegang tot een cookie verkrijgen, gebruikers hiervan eveneens op de hoogte moeten worden gebracht. Wanneer evenwel, zoals in het onderhavige geval, alleen een aanbieder die het cookie wil plaatsen toegang hiertoe heeft, zou het voldoende zijn om de aandacht op dit feit te vestigen. Het feit dat andere derden geen toegang hebben, zou niet apart hoeven te worden vermeld. Een dergelijke verplichting zou niet verenigbaar zijn met de bedoeling van de wet dat de teksten inzake gegevensbescherming gebruiksvriendelijk en beknopt moeten blijven.

120.

Ik deel deze opvatting niet. Voor duidelijke en volledige informatie moet een gebruiker juist uitdrukkelijk ervan op de hoogte worden gebracht of derden wel of niet toegang hebben tot de cookies. Hebben derden toegang, dan moet hun identiteit bekend worden gemaakt. Zoals het Bundesverband terecht beklemtoont, is dit onmisbaar om ervoor te zorgen dat sprake is van geïnformeerde toestemming.

4. Resultaat
121.

Ik geef bijgevolg in overweging om op de tweede vraag te antwoorden dat onder de ingevolge artikel 5, lid 3, van richtlijn 2002/58 te verstrekken duidelijke en volledige informatie ook de informatie valt over de duur van de werking van de cookies en of derden wel of niet toegang tot de cookies hebben.

V. Conclusie

122.

Gelet op het voorgaande geef ik het Hof in overweging de prejudiciële vragen van het Bundesgerichtshof te beantwoorden als volgt:

‘1)

Er is geen sprake van geldige toestemming in de zin van artikel 5, lid 3, en artikel 2, onder f), van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, in een situatie als in het hoofdgeding waarin de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van de gebruiker wordt toegestaan door middel van een vooraf aangevinkt selectievakje dat door de gebruiker moet worden uitgevinkt ingeval hij weigert zijn toestemming te verlenen en waarin toestemming niet afzonderlijk wordt verleend maar tegelijkertijd met de bevestiging van de deelname aan een onlineloterij.

2)

Dit geldt evenzeer voor de uitlegging van artikel 5, lid 3, en artikel 2, onder f), van richtlijn 2002/58, gelezen in samenhang met artikel 4, punt 11, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46 (algemene verordening gegevensbescherming).

3)

Voor de toepassing van artikel 5, lid 3, en artikel 2, onder f), van richtlijn 2002/58, in samenhang met artikel 2, onder h), van richtlijn 95/46 maakt het niet uit of de opgeslagen of opgevraagde informatie persoonsgegevens vormt.

4)

Onder de ingevolge artikel 5, lid 3, van richtlijn 2002/58 te verstrekken duidelijke en volledige informatie valt ook de informatie over de duur van de werking van de cookies en of derden wel of niet toegang tot de cookies hebben.’

Deze functie is alleen te gebruiken als je bent ingelogd.