Dark Patterns i Cookie Consent: Hvad er ulovligt i 2026?

Forestil dig, at du går ind i en fysisk butik, og ekspedienten siger: “Skriv under her for at handle hos os” — mens han skjuler “nej tak”-siden bag ryggen. Det ville ingen acceptere. Alligevel er det præcis, hvad millioner af websites gør dagligt via manipulerende cookie banners.

Det er slut med at lukke øjnene for det. I 2025 og 2026 er de europæiske tilsynsmyndigheder gået fra vejledning til aktiv håndhævelse — med bøder i hundredvis af millioner euro til følge. Google fik i september 2025 en bøde på €325 millioner fra den franske CNIL. SHEIN fik €150 millioner samme dag. Amazon fik tidligere opretholdt sin rekordbøde på €746 millioner i Luxembourg. Alle tre sager handler i bund og grund om det samme: manipulative designvalg, der fratager brugerne et reelt samtykke.

Denne guide forklarer præcist, hvilke dark patterns der er ulovlige i 2026, hvilken juridisk ramme de bedømmes ud fra, og hvad din cookie banner konkret skal leve op til for at undgå at havne i myndighedernes søgelys.

Hvad er dark patterns i cookie consent?

Begrebet “dark patterns” blev oprindeligt defineret af UX-forskeren Harry Brignull i 2010 som designtricks, der snyder brugere til at gøre noget, de ikke ville have gjort, hvis de havde fuld indsigt. I sammenhæng med cookie consent er det enhver kombination af design, sprog og interaktionsflow, der manipulerer brugeren til at acceptere databehandling, som de ellers ville have afvist.

Det Europæiske Databeskyttelsesråd (EDPB) anvender i sine retningslinjer 03/2022 det mere præcise udtryk “deceptive design patterns” (vildledende designmønstre) og definerer dem som:

“Interfaces and user journeys implemented on social media platforms that attempt to influence users into making unintended, unwilling and potentially harmful decisions, often toward a decision that is against the users’ best interests.”

Selvom retningslinjerne formelt er rettet mod sociale medieplatforme, er principperne direkte anvendelige på alle websites og apps, der indsamler samtykke til cookies og tracking.

Dark patterns i cookie consent handler ikke kun om bevidst manipulation — selv tilsyneladende neutrale designvalg kan udgøre et dark pattern, hvis de faktisk gør det sværere at afvise end at acceptere. Det er effekten, der tæller, ikke intentionen.

Den juridiske ramme

GDPR artikel 4(11) og artikel 7 — hvad samtykke kræver

Samtykke under GDPR er ikke et flueben, man henter med et hvilket som helst klik. Artikel 4(11) definerer gyldigt samtykke som en frivillig, specifik, informeret og utvetydig tilkendegivelse. Artikel 7 uddyber, at bevisbyrden for gyldigt samtykke ligger hos den dataansvarlige, og at samtykke aldrig må betinges af adgang til en tjeneste, hvis behandlingen ikke er nødvendig for at levere den.

Fri vilje er kernen: hvis det er sværere at afvise end at acceptere, er samtykket ikke frit givet. Det er dette princip, alle dark patterns bryder.

ePrivacy-direktivet og national lovgivning

Cookies er teknisk reguleret af ePrivacy-direktivet (2002/58/EF, revideret 2009), som er implementeret nationalt i hvert EU-land. I Danmark er det cookiebekendtgørelsen, der gælder. I Frankrig er det artikel 82 i den franske databeskyttelseslov. Det betyder, at GDPR’s one-stop-shop-mekanisme ikke gælder for cookie-overtrædelser — hvert land kan håndhæve selvstændigt, og en virksomhed kan potentielt modtage bøder fra flere nationale myndigheder simultaneously.

EDPB Cookie Banner Taskforce — rapporten fra januar 2023

I januar 2023 offentliggjorde EDPB sin rapport fra Cookie Banner Taskforce, et samarbejde mellem EU’s databeskyttelsesmyndigheder oprettet som reaktion på hundredvis af strategiske klager fra privatlivsorganisationen noyb. Rapporten fastslår en række centrale krav, som et flertal af EU’s nationale myndigheder er enige om:

• Et “Afvis alle”-alternativ skal være tilgængeligt — de fleste myndigheder kræver det på første lag af banneret
• Forudfyldte bokse for opt-in til cookies er ulovlige uden undtagelse
• Vildledende link-design (hvor afvisning kun fremgår som et hyperlink, ikke en knap) er forbudt
• Brug af farver og kontrast til at fremhæve “Accepter alle” over “Afvis” er forbudt
• Banneret må ikke give brugeren en oplevelse af, at de tvinges til at acceptere for at få adgang til indholdet

EDPB Guidelines 03/2022 — seks kategorier af vildledende design

EDPB’s retningslinjer 03/2022 (opdateret version 2.0, februar 2023) klassificerer dark patterns i seks overordnede kategorier:

1. Overloading — overvælder brugeren med for mange valg, informationer eller klik
2. Skipping — designer flowet så brugeren glemmer eller springer databeskyttelsesaspekter over
3. Stirring — påvirker brugerens følelser eller bruger visuelt pres til at styre valget
4. Obstructing — lægger hindringer i vejen for at afvise eller trække samtykke tilbage
5. Fickle — inkonsekvent design, der gør det svært at forstå og styre privatlivsvalg
6. Left in the dark — skjuler eller tilslører information om databehandling

Datatilsynets tilgang i Danmark

Det danske Datatilsyn, der i 2026 koordinerer sin håndhævelse med Digitaliseringsstyrelsen som et prioriteret indsatsområde, fokuserer specifikt på praksisser, der fratager brugerne en reel mulighed for at sige nej. Tilsynet har identificeret følgende som særligt problematiske:

• Dark patterns, der gør “Accepter” prominent mens “Afvis” gemmes
• Cookie walls, der blokerer indhold medmindre brugeren accepterer
• Forudfyldte samtykke-bokse
• Asymmetrisk design, der kræver flere klik for at afvise end for at acceptere
• Manglende granuleret samtykke — alt-eller-intet frem for kategorispecifikke valg

En analyse fra Cookie Information viste i 2024, at 84% af de analyserede danske virksomhedswebsites havde compliance-problemer — op fra 79% i 2023. Problemet er ikke ved at forsvinde af sig selv.

De 9 ulovlige dark patterns — med eksempler

1. Forudfyldte bokse (Pre-ticked boxes)

Hvad det er: Checkbokse for ikke-essentielle cookies er markeret som standard, og brugeren skal aktivt fjerne markeringen for at afvise.

[SCREENSHOT: Cookie banner med forudfyldt afkrydsningsboks for “Marketing cookies” og “Analytics cookies” — begge markeret med et blåt flueben fra start. Accept-knappen er grøn og fremtrædende. Afvisning kræver, at brugeren manuelt fjerner begge markeringer.]

Hvorfor det er ulovligt: GDPR kræver eksplicit og aktiv handling fra brugeren (opt-in). Artikel 4(11) definerer samtykke som en “utvetydig tilkendegivelse” — en forudvalgt afkrydsningsboks er per definition tvetydig. Samtykket er ikke givet, det er antaget. Dette er fastslået af samtlige EU’s databeskyttelsesmyndigheder og understøttet af en enstemmig EDPB-position.

Bøde-eksempel: Dette var en af kerneklagepunkterne i den originale CNIL-sag mod Google (2022, €150 millioner), hvor Google forhåndsmarkerede visse personaliserings-indstillinger og kræver aktiv fravalg.

2. Skjult eller svært-at-finde “Afvis”-knap

Hvad det er: Muligheden for at afvise cookies er til stede, men er bevidst gjort vanskelig at finde — enten gemt i et undermenupunkt, skjult i brødtekst som et hyperlink, eller kræver 3-5 klik, mens accept sker med ét klik.

[SCREENSHOT: Cookie banner, første lag. En stor grøn “Accepter alle”-knap dominerer. Midt i en lang tekstblok ses sætningen “Du kan ændre dine præferencer her” — ordet “her” er understreget som et hyperlink. Ingen afvisningsknap er synlig uden at klikke igennem.]

Hvorfor det er ulovligt: CNIL’s rapport fra 2022 fastslår direkte: “Next to an ‘Accept all’ button, a ‘Refusal all’ button must be implemented.” Asymmetrien i antallet af klik underminerer kravet om frivilligt samtykke. Hvis ét klik giver samtykke og fem klik afviser det, er valget ikke frit.

Bøde-eksempel: Den direkte årsag til bøden på €150 millioner til Google og €60 millioner til Facebook fra CNIL i januar 2022. Det krævede 5 klik for at afvise cookies på Googles tjenester og 3 klik på Facebook, mens accept skete med ét. CNIL pålagde begge virksomheder at rette dette inden tre måneder under trussel om dagbøder på €100.000.

3. Farvemanipulation (Visuelt pres via farve)

Hvad det er: “Accepter alle”-knappen er farvet i en varm, synlig farve (typisk grøn eller blå), mens “Afvis”-knappen er grå, nedtonet eller har lav kontrast mod baggrunden.

[SCREENSHOT: Cookie banner med to knapper. “Accepter alle” er en fremtrædende grøn knap med hvid tekst i fuld bredde. “Afvis” er en lille grå-på-lysegrå knap med minimal kontrast. Visuel vægt er 90/10 i accept-knappens favør.]

Hvorfor det er ulovligt: EDPB’s Cookie Banner Taskforce-rapport fra 2023 er eksplicit: “Deceptive practices that consist in using different button colors and contrast with a view to highlight the ‘accept all’ button over the available options are prohibited.” Alle knapper skal ideelt set have samme størrelse, farve, skrifttype og kontrast. En 2023-studie fra CNIL og den franske government-enhed DITP viste, at dark pattern-bannere reducerede afvisningsraten til 4% sammenlignet med 33-46% for neutrale bannere.

Bøde-eksempel: CNIL fremhævede farvedesign som et af de konkrete elementer i sagen mod SHEIN (september 2025, €150 millioner), hvor accept-valget var markant visuelt fremhævet over afvisning.

4. Asymmetrisk design (Stor acceptknap, lille afvisknap)

Hvad det er: Accept-knappen er fysisk større, bredere eller mere fremtrædende end afvisningsknappen. Designet skaber en falsk hierarkisk oplevelse, der signalerer, at accept er “det rigtige valg”.

[SCREENSHOT: Cookie banner hvor “Accepter alle”-knappen fylder hele bannerets bredde og er placeret øverst. Nedenunder er en smal, halvt så bred “Afvis ikke-essentielle”-knap. Visuelt sender layout’et et klart signal om det “korrekte” valg.]

Hvorfor det er ulovligt: EDPB klassificerer dette under kategorien “Stirring” og specifikt dark pattern-typen “Look over there”, der beskriver situationer, hvor “action or information is put in competition with another element” via visuel stil. Det er en form for nudging. GDPR-princippet om frivilligt samtykke kræver en magtbalance — ikke et design, der aktivt tipper skalaen mod accept.

5. Cookie walls (Adgang blokeret uden accept)

Hvad det er: Websitet blokerer helt adgangen til indholdet, medmindre brugeren accepterer tracking-cookies. Ingen afvisning er mulig — valget er binært: accepter eller forlad siden.

[SCREENSHOT: Populær nyhedsside med et overlay, der dækker hele skærmen. Overskriften lyder “For at læse denne artikel skal du acceptere vores cookies.” En stor blå knap siger “Accepter og læs videre”. Der er ingen anden vej frem.]

Hvorfor det er ulovligt: GDPR artikel 7(4) fastslår, at samtykke ikke er frit givet, hvis det betinges af adgang til en tjeneste, der ikke er nødvendig for behandlingens formål. EDPB’s Cookie Banner Taskforce-rapport bekræfter, at designmønstre, der giver “the impression that the user has to consent to access the website”, er forbudt.

En cookie wall er som udgangspunkt ulovlig i EU. Det danske Datatilsyn anerkender dog under visse betingelser en “pay-or-consent”-model som alternativ — men kun hvis fire kriterier er opfyldt: der skal tilbydes et rimeligt alternativ (f.eks. betalt adgang), alternativet må ikke være uforholdsmæssigt dyrt, samtykket skal stadig opfylde alle GDPR-krav, og den dataansvarlige skal kunne dokumentere lovligheden.

EDPB Opinion 08/2024 (april 2024) slog fast, at pay-or-consent-modeller “in most cases” ikke udgør gyldigt samtykke, særligt for store online platforme. Meta blev i april 2025 idømt en bøde på €200 millioner af EU-Kommissionen for netop denne model på Facebook og Instagram (under DMA, ikke GDPR — men princippet er det samme).

6. Misbrug af “Legitim interesse”

Hvad det er: Banneret præsenterer en liste af formål som aktiverede under “legitim interesse” med individuelle til/fra-knapper, mens der ikke er nogen “Afvis alle”-knap på første lag. Brugeren skal manuelt slå hundredvis af formål og partnere fra et ad gangen.

[SCREENSHOT: Cookie banner, andet lag. En lang liste med 427 tredjepartspartnere, alle med en blå aktiveringsknap. Øverst ses en tekst: “Disse partnere behandler dine data på basis af legitim interesse.” Ingen overordnet “Fravælg alle”-knap er synlig uden at scrolle til bunden.]

Hvorfor det er ulovligt: Legitim interesse kan ikke bruges som retsgrundlag for tracking-cookies til advertising og profilering — det kræver samtykke. EDPB’s Cookie Banner Taskforce-rapport specificerer, at det er et dark pattern, hvis toplag-banneret ikke tilbyder en “Afvis alle”-mulighed, men i stedet skjuler en kompleks blanding af samtykke- og legitim-interesse-knapper i undermenuer, der er forudvalgt til “aktiv”.

EDPB skrev direkte til IAB Europe i december 2023 og påpegede, at en situation med 1.000-2.000 partnere giver “an illusion of choice” og er uforenelig med specifikt samtykke.

Bøde-eksempel: Amazons bøde på €746 millioner fra Luxembourg CNPD (2021, stadfæstet af retten i marts 2025) handlede netop om, at Amazon brugte legitim interesse som grundlag for adfærdsbaseret annoncering, selv om behandlingens omfang krævede eksplicit samtykke.

7. Forvirret og vildledende sprog

Hvad det er: Bannerets tekst bruger juridisk jargon, dobbeltnegativer eller formulerer afvisning på en forvirrende måde. Klassikere inkluderer: “Klik her for at ikke vælge ikke at dele dine data” eller “Accept cookies” som knaptekst på en side, der faktisk tillader afvisning.

[SCREENSHOT: Cookie banner med knapteksten “Accepter cookies” på en knap, der viser sig at føre til en side med individuelle præferencer. En anden knap lyder “Vis indstillinger”. Ingen knap siger eksplicit “Afvis alle”. Brødteksten indeholder formuleringen “dine data kan blive behandlet” — uden at specificere af hvem eller til hvad.]

Hvorfor det er ulovligt: GDPR kræver, at samtykke indhentes i “et klart og enkelt sprog” (artikel 7(2) og recital 42). CNIL fremhævede specifikt i sin 2022-afgørelse mod Facebook, at Facebook brugte en knap mærket “Accept cookies” som adgang til en side, der faktisk tillod afvisning — og at dette “necessarily generates confusion” og udgør et ugyldigt samtykke.

8. Forced action og endless clicking

Hvad det er: Brugeren tvinges til at gennemgå unødvendigt mange klik, sider eller konfirmationsdialogbokse for at afvise — f.eks. ved at klikke “Afvis” og derefter bekræfte “Er du sikker?” og derefter vente og klikke “Bekræft afvisning”. Accept sker med ét klik.

[SCREENSHOT: Flow-diagram der viser accept-stien: 1 klik. Afvisnings-stien: 1. Klik “Indstillinger” → 2. Scroll ned → 3. Slå alle kategorier fra én ad gangen → 4. Klik “Gem præferencer” → 5. Pop-up: “Bekræft dine valg” → 6. Klik “Bekræft”. I alt 6 handlinger versus 1.]

Hvorfor det er ulovligt: EDPB kategoriserer dette som “Obstructing” — specifikt dark pattern-typen “Longer path”, der beskriver en situation, hvor “the privacy-friendly option requires more steps than the privacy-unfriendly option.” IAB Europe’s egne TCF-compliance-checks identificerede i 2024, at 42% af undersøgte CMPs fejlede på netop dette punkt: “Withdrawal of consent harder than giving consent.”

9. Nudging via visuelt pres

Hvad det er: Banneret bruger ord, billeder eller framing til følelsesmæssigt at presse brugeren mod accept. F.eks. “Hjælp os at forbedre din oplevelse ved at acceptere cookies” kombineret med et billede af et smilende team — mens afvisning beskrives som “Nej tak, jeg vil ikke have en bedre oplevelse.”

[SCREENSHOT: Cookie banner med tekst: “Vi bruger cookies for at give dig den bedste oplevelse. Accepter for at hjælpe os.” Acceptknap: “Ja, optimer min oplevelse!” Afvisningsknap (lille, grå, placeret i hjørnet): “Nej tak, jeg er ligeglad.”]

Hvorfor det er ulovligt: EDPB klassificerer dette som “Stirring” — følelsesmæssig manipulation, der udnytter brugernes ønske om at handle positivt og undgå at fremstå som den person, der “ikke vil hjælpe”. Det underminerer frivilligheden i samtykket. GDPR’s krav om informeret, frivilligt samtykke kræver neutral præsentation af valgmuligheder uden emotionelle incitamenter.

Dark Pattern Bingo

Tjek om din banner rammer nogen af disse mønstre. Jo flere krydser, jo større compliance-risiko.

+---------------------------+---------------------------+---------------------------+
|   Forudfyldt "Ja"-boks    |  Afvisning bag 3+ klik    |  Groen accept, graa afvis  |
+---------------------------+---------------------------+---------------------------+
|  Accept = 2x storst knap  |   Cookie wall / paywall   |  Legitim interesse toggle |
+---------------------------+---------------------------+---------------------------+
|   Dobbeltnegativer i tekst| Confirm-dialog ved afvis  | "Hjælp os" nudge-sprogbrug|
+---------------------------+---------------------------+---------------------------+

0 krydser: Godt udgangspunkt — men bliv ved med at auditere. 1-3 krydser: Compliance-risiko er reel — korriger hurtigst muligt. 4+ krydser: Din banner er et potentielt juridisk problem. Handle nu.

Lovlige alternativer — sådan ser et compliant banner ud

Det er ikke svært at gøre det rigtigt. Et lovligt cookie banner skal leve op til disse grundprincipper:

Symmetri i design: Accept- og afvis-knapper har samme størrelse, farve og kontrast. Begge er placeret på første lag. Der er ingen visuel hierarkisering.

Ét klik til afvisning: Det må ikke kræve flere handlinger at afvise end at acceptere. “Afvis alle” skal være tilgængeligt med samme antal klik som “Accepter alle.”

Klar kategorisering: Brugeren kan se, hvilke kategorier af cookies der er tale om (essentielle, statistik, marketing), og kan give eller afvise samtykke pr. kategori uden at blive tvunget til alt-eller-intet.

Letforståeligt sprog: Ingen juridisk jargon, ingen dobbeltnegativer. Knaptekster er entydige: “Accepter alle”, “Afvis alle”, “Tilpas mine valg”.

Let tilbagetrækning: Brugeren kan til enhver tid ændre eller trække sit samtykke tilbage med samme lethed, som det blev givet. Typisk via et ikon i hjørnet af siden.

Ingen cookie walls: Siden skal være tilgængelig for brugere, der afviser cookies (med den eventuelle undtagelse af dokumenterede pay-or-consent-modeller, der opfylder Datatilsynets fire kriterier).

[SCREENSHOT: Privaci.io compliant banner eksempel — to jævnbyrdige knapper “Accepter alle” og “Afvis alle” placeret side om side med identisk størrelse og neutrale blå/hvide farver. En diskret “Tilpas”-knap er placeret nedenunder. Et lille informationsafsnit forklarer kortfattet de tre cookie-kategorier. Banneret optager nederste tredjedel af skærmen og blokerer ikke indhold.]

Privaci.io by bon.do’s compliant banner templates er bygget fra grunden til at opfylde disse krav. Vores templates er forudkonfigureret med symmetriske knapper, ét-klik-afvisning på første lag, granuleret kategorisering og automatisk logning af samtykke-bevis — så du ikke skal bekymre dig om designdetaljer, der kan koste dig millioner.

Case studies: Bøder der forandrede markedet

Google — €150 millioner (CNIL, Frankrig, januar 2022) + €325 millioner (CNIL, september 2025)

I januar 2022 fastslog CNIL, at Googles cookie-flow på google.fr, youtube.com og Gmail krævede 5 klik for at afvise, men kun ét for at acceptere. Dertil kom vildledende knaplabels. Bøde: €150 millioner med krav om rettelse inden tre måneder.

I september 2025 genudstedte CNIL en bøde på €325 millioner for Googles brug af samtykke-designs i Gmail, der styrede brugere mod personaliserede annoncer uden forudgående eksplicit samtykke. Fordi lignende problemer var opstået tidligere, skærpede tilsynet bødens størrelse markant. Tilsammen har Google betalt over €475 millioner til CNIL i cookie-relaterede bøder.

Facebook — €60 millioner (CNIL, Frankrig, januar 2022)

Simultant med Google-sagen: Facebook krævede 3 klik for afvisning vs. ét klik for accept. En konfus “Cookie setup”-side indeholdt en “Accept cookies”-knap, der ikke klart signalerede, at det var muligt at afvise. Bøde: €60 millioner plus krav om rettelse.

SHEIN — €150 millioner (CNIL, Frankrig, september 2025)

Cookies blev sat inden brugeren overhovedet fik mulighed for at give samtykke. Afvisningsknappen var begravet bag flere klik, mens accept var fremhævet visuelt. Tilsynet fandt herudover, at den tekniske implementering af “Afvis alle” ikke altid fungerede — cookies blev sat alligevel. Bøde: €150 millioner.

Amazon — €746 millioner (CNPD, Luxembourg, 2021, stadfæstet 2025)

Den hidtil største GDPR-bøde inden for cookie/samtykke-kategorien. Amazon brugte legitim interesse som retsgrundlag for profilbaseret annoncering i en skala, der ifølge CNPD krævede eksplicit samtykke. Bøden blev anket, men Luxembourgs administrative domstol stadfæstede den i marts 2025.

Meta — €200 millioner (EU-Kommissionen, april 2025)

Under Den Digitale Markedslovs (DMA) regler fandtes Metas “pay-or-consent”-model på Facebook og Instagram ikke at udgøre et reelt valg. Brugere skulle enten acceptere tracking eller betale et månedligt abonnement — en binær model uden granulering eller reel alternativ. Bøde: €200 millioner.

Checkliste: Er din cookie banner compliant i 2026?

Brug denne tjekliste til en hurtig self-audit. Alle punkter skal bekræftes for at opnå grundlæggende compliance.

Design og visuel symmetri

• “Accepter alle” og “Afvis alle” har identisk størrelse
• “Accepter alle” og “Afvis alle” har identisk farve og kontrast
• Ingen af knapperne er visuelt fremhævet over den anden
• Afvisningsknap er en reel knap — ikke et tekstlink eller en lille grå pil

Funktionelt flow

• Afvisning af alle cookies kan ske med ét enkelt klik på første bannerlaget
• Accept af alle cookies kan ske med ét enkelt klik på første bannerlaget
• Der kræves ikke flere klik for at afvise end for at acceptere
• Brugeren møder ikke “Er du sikker?”-dialoger ved afvisning

Indhold og transparens

• Banneret specificerer cookie-kategorier (essentielle, statistik, marketing)
• Banneret identificerer (eller giver let adgang til identifikation af) dataansvarlige
• Sproget er klart og forståeligt uden juridisk jargon
• Ingen dobbeltnegativer eller forvirrende knaplabels
• Ingen emotionelle formuleringer, der pressor brugeren mod accept

Teknisk implementering

• Ingen ikke-essentielle cookies sættes inden samtykke er givet
• Samtykkevalg gemmes og respekteres teknisk
• Tilbagetrækning af samtykke er mulig med samme lethed som at give det
• Samtykke-log opbevares (hvem, hvornår, hvad der blev accepteret/afvist)
• Banneret fremvises igen, hvis formål eller cookies ændrer sig

Cookie walls

• Adgang til sidens indhold er ikke betinget af accept af tracking-cookies
• Hvis pay-or-consent benyttes: Datatilsynets fire kriterier er alle dokumenteret opfyldt

Granularitet

• Brugeren kan give og afvise samtykke pr. kategori — ikke kun alt-eller-intet
• “Legitim interesse” er ikke brugt som retsgrundlag for tracking/annoncering
• Forudfyldte bokse benyttes ikke (hverken på første eller andet lag)

Resultat:

• 15/15 bekræftet: Din banner er i god form. Overvej en professionel audit for at sikre, at din tekniske implementering matcher designet.
• 10-14 bekræftet: Der er punkter, der skal adresseres. Prioriter det manglende.
• Under 10 bekræftet: Din banner udgør en reel compliance-risiko. Overvej at skifte til en compliance-certificeret løsning.

Gratis banner audit — og hvad Privaci.io kan gøre for dig

Reglerne er klare, men implementeringen er kompleks. En banner der ser compliant ud, kan stadig sætte cookies teknisk, inden samtykket er logget. En banner med symmetriske knapper kan stadig mangle korrekt samtykke-logning. En korrekt opsat banner kan stadig bruge forældet kategorisering.

Privaci.io by bon.do scanner dit website automatisk og identificerer:

• Hvilke cookies og trackere din side anvender — herunder dem, du ikke vidste om
• Om cookies sættes inden samtykke indhentes
• Om din banner overholder EDPB’s og nationale myndigheders krav til design og funktion
• Huller i din samtykke-logning

Vores platform tilbyder:

• Compliant banner templates — forudbygget til at opfylde alle krav nævnt i denne guide, med symmetrisk design, ét-klik-afvisning og korrekt samtykke-logning
• Automatisk cookie-scanning — din cookieliste holdes opdateret, så du ikke manuelt skal overvåge nye trackere
• Samtykke-dokumentation — fuldt audit trail, der kan fremvises til tilsynsmyndigheder
• Løbende overvågning — så du er opdateret, når reglerne ændrer sig

Prøv Privaci.io’s gratis banner-audit på privaci.io og se om din side består testen.

FAQ

Skal min banner have en “Afvis alle”-knap på første lag?

Et klart flertal af EU’s databeskyttelsesmyndigheder — herunder CNIL, Datatilsynet og tilsynene i Belgien, Spanien, Italien, Nederlandene og Tjekkiet — kræver dette. EDPB’s Cookie Banner Taskforce-rapport fra 2023 bekræfter dette som den dominerende position. Det er den sikreste og mest fremtidssikrede tilgang at inkludere “Afvis alle” på første lag uanset dit hjemland.

Er det ulovligt at bruge en grøn acceptknap og en grå afvisningsknap?

Ja — hvis det sker med henblik på at fremhæve den ene over den anden. EDPB’s Cookie Banner Taskforce-rapport er eksplicit: brug af forskellige farver og kontrast for at fremhæve “Accepter alle” er forbudt. Knapperne skal ideelt have samme størrelse, farve, skrifttype og kontrast.

Kan jeg bruge “legitim interesse” som grundlag for analytics-cookies?

Nej. Analytics og reklame-cookies kræver samtykke — legitim interesse er ikke et gyldigt grundlag for ikke-essentiel cookie-baseret databehandling. Amazon-sagen understreger dette.

Er cookie walls lovlige i 2026?

Som udgangspunkt nej. En ren cookie wall — where access is blocked unless you accept — er ulovlig. En pay-or-consent model kan under visse meget specifikke betingelser accepteres, men kræver dokumentation af, at samtykket stadig er reelt frivilligt, og at alternativet (typisk betalt adgang) er rimeligt prisfastsat. EDPB Opinion 08/2024 gør det klart, at disse modeller i de fleste tilfælde ikke opfylder GDPR-kravet om frit givet samtykke.

Hvad er de maksimale bøder for dark patterns i cookie banners?

Under GDPR kan bøder udgøre op til 4% af global årlig omsætning eller €20 millioner — det højeste beløb gælder. I praksis har bøder for cookie dark patterns ligget i intervallet fra hundredtusinder til hundredvis af millioner euro afhængigt af virksomhedens størrelse, overtrædelsens alvorlighed og om der er tale om gentagelse. Dertil kommer mulighed for krav om suspension af dataindsamling.

Behøver jeg at ændre min banner, hvis jeg bruger en tredjepartsplatform som Google Tag Manager?

Ja. Ansvaret for GDPR-compliance hviler på den dataansvarlige — det vil sige dig som websiteoperatør. Selv om du bruger en tredjepartsplatform til teknisk implementering, er det dit ansvar at sikre, at ingen cookies sættes inden samtykke, og at designet er compliant. Tag Manager-setups har historisk set ofte resulteret i, at cookies sættes for tidligt — dette er et af de hyppigste compliance-problemer identificeret i den danske rapport fra 2024.

Hvornår sker der typisk håndhævelse?

Håndhævelse sker typisk via klager (fra brugere, konkurrenter eller organisationer som noyb) eller via tilsynsmyndighedernes egne inspektioner. Datatilsynet har gjort cookie compliance til et prioriteret indsatsområde for 2026 og koordinerer med Digitaliseringsstyrelsen. Automatiserede scanningsværktøjer gør det muligt for myndigheder at overvåge langt flere websites end tidligere.

Yderligere ressourcer

• EDPB Guidelines 03/2022 on Deceptive Design Patterns (v2.0, februar 2023)
• EDPB Cookie Banner Taskforce Report (januar 2023)
• EDPB Opinion 08/2024 on Consent or Pay Models
• Datatilsynet — Vejledning om cookies og lignende teknologier
• CNIL — Recommendation on Cookies and Other Trackers

Denne artikel er skrevet af Privaci.io by bon.do — en cookie compliance platform, der hjælper virksomheder med at opfylde GDPR og ePrivacy-direktivets krav. Indholdet er informativt og udgør ikke juridisk rådgivning. Kontakt en juridisk rådgiver for specifik vejledning til din situation.