GDPR Cookie-bøder 2026: Alle sager og hvad du kan lære af dem
De er ikke længere symbolske. De er ikke advarsler. De er millionbøder — og de rammer virksomheder i alle størrelser.
Siden GDPR trådte i kraft i maj 2018 har europæiske tilsynsmyndigheder udstedt bøder for mere end 800 millioner euro alene for overtrædelser relateret til cookies og tracking-teknologier. Alene i september 2025 ram CNIL Google med €325 millioner og Shein med €150 millioner — begge for mangelfuldt cookie-samtykke.
Det er ikke længere et spørgsmål om om du kan blive bødelagt. Det er et spørgsmål om hvornår — hvis du ikke har styr på dit cookie-setup.
Denne artikel gennemgår alle de væsentlige cookie-bødesager, hvad virksomhederne gjorde forkert, og hvad du konkret kan lære af dem. Vi dækker sager fra Frankrig, Belgien, Sverige, Danmark, Norge og resten af Europa — og vi ser frem mod, hvad myndighederne har fokus på i 2026.
Tallenes alvor: Cookie-bøder i tal
For at forstå alvoren er det værd at sætte tallene i perspektiv:
- Samlet bødevolumen for cookie-overtrædelser (2018-2025): Over €800 millioner
- Største enkeltbøde for cookies: €325 millioner (Google, CNIL, september 2025)
- Mest aktive myndighed: CNIL (Frankrig) med over €700 millioner i cookie-relaterede bøder
- Mest undersøgte praksis: Manglende “afvis alle”-knap på første lag og forudplacerede cookies
- Antal NOYB-klager besvaret med bøder: Over 150 siden 2021
Og vigtigst: Bøderne stiger. Fra €35 millioner i 2020 til €325 millioner i 2025. Myndighederne har lært af de første runder, de har bygget kapacitet op, og de koordinerer nu på tværs af landegrænser via EDPB’s taskforces.
Overblik: De 20 største cookie-bøder
| # | Virksomhed | Bøde | Myndighed | År | Primær overtrædelse |
|---|---|---|---|---|---|
| 1 | Google LLC + Google Ireland | €325.000.000 | CNIL (FR) | 2025 | Cookies ved kontooprettelse + Gmail-reklamer uden samtykke |
| 2 | Shein (Infinite Styles Services) | €150.000.000 | CNIL (FR) | 2025 | Forudplacerede reklame-cookies, ineffektiv afvisningsmekanisme |
| 3 | Google LLC + Google Ireland | €150.000.000 | CNIL (FR) | 2022 | Ingen nem afvisningsknap på google.fr og youtube.com |
| 4 | Google LLC + Google Ireland | €100.000.000 | CNIL (FR) | 2020 | Automatisk placering af reklame-cookies uden samtykke |
| 5 | Facebook Ireland (Meta) | €60.000.000 | CNIL (FR) | 2022 | Ingen nem afvisningsknap på facebook.com |
| 6 | Microsoft Ireland | €60.000.000 | CNIL (FR) | 2022 | Reklame-cookies på bing.com uden samtykke, to klik for at afvise |
| 7 | Amazon Europe Core | €35.000.000 | CNIL (FR) | 2020 | Automatisk placering af reklame-cookies uden samtykke |
| 8 | Criteo | €40.000.000 | CNIL (FR) | 2023 | Ingen verifikation af partnernes samtykkeindsamling |
| 9 | TikTok UK + TikTok Ireland | €5.000.000 | CNIL (FR) | 2023 | Sværere at afvise end acceptere cookies, utilstrækkelig information |
| 10 | IAB Europe | €250.000 | APD (BE) | 2022 | TCF-framework behandlede persondata uden gyldigt retsgrundlag |
| 11 | Tele2 Sverige | SEK 12M (ca. €1M) | IMY (SE) | 2023 | Ulovlig dataoverførsel til USA via Google Analytics |
| 12 | Apoteket AB | SEK 37M (ca. €3,2M) | IMY (SE) | 2024 | Meta Pixel overførte følsomme helbredsdata til Meta |
| 13 | Apohem AB | SEK 8M (ca. €740.000) | IMY (SE) | 2024 | Meta Pixel overførte følsomme helbredsdata til Meta |
| 14 | Grindr | NOK 65M (ca. €5,65M) | Datatilsynet (NO) | 2021/2022 | Deling af følsomme persondata til reklameplatforme uden samtykke |
| 15 | CDON | SEK 300.000 (ca. €25.000) | IMY (SE) | 2023 | Ulovlig dataoverførsel til USA via Google Analytics |
| 16 | Warner Music Sweden | Reprimand | IMY (SE) | 2024 | Utilstrækkelig information om tilbagetrækning af samtykke |
| 17 | Kry (telemedicine app) | Reprimand | IMY (SE) | 2024 | Meta Pixel indsamlede data via app uden tilstrækkeligt samtykke |
| 18 | Div. norske hjemmesider (6 stk.) | NOK 250.000 pr. stk. | Datatilsynet (NO) | 2024 | Meta/Snapchat-pixel delte brugerdata uden gyldigt samtykke |
| 19 | Det Kongelige Teater (DK) | Indstillet til bøde | Datatilsynet (DK) | 2024 | Manglende slettefrister for 520.000 kundeoplysninger til markedsføring |
| 20 | Diverse danske virksomheder | DKK 200.000+ | Datatilsynet (DK) | 2023-2025 | Cookies placeret før samtykke, manglende information |
Bemærk: Tabellen inkluderer bøder udstedt under ePrivacy-direktivet (implementeret i national lovgivning) samt GDPR. CNIL’s cookie-bøder er primært udstedt under artikel 82 i den franske databeskyttelseslov, som implementerer ePrivacy-direktivet.
Deep-dive: De 10 vigtigste cases
1. Google — €325 millioner (CNIL, september 2025)
Myndighed: CNIL, Frankrig Dato: 1. september 2025 Bødestørrelse: €325 millioner (€200M til Google LLC + €125M til Google Ireland)
Hvad de gjorde forkert:
CNIL gennemførte i 2022-2023 en serie af inspektioner af Gmail og Google-kontooprettelse — initieret af en klage fra privatlivsorganisationen NOYB (None Of Your Business).
Myndigheden identificerede to separate overtrædelser:
-
Gmail-reklamer uden samtykke: Google placerede reklame-e-mails i “Kampagner”- og “Social”-faner i Gmail på en måde, der lignede ægte private e-mails. CNIL afgjorde, at dette udgør direkte elektronisk markedsføring efter artikel L.34-5 i den franske CPCE (loven om post og elektronisk kommunikation), og at Google aldrig havde indhentet de nødvendige samtykker fra de over 53 millioner berørte brugere.
-
Cookies ved kontooprettelse: Under oprettelse af en Google-konto blev brugere styret mod at acceptere cookies til personaliserede reklamer, uden at alternativet var klart præsenteret eller tilstrækkeligt informeret. Samtykket var ikke frit givet, da brugerne ikke klart forstod, at accept af reklame-cookies var en betingelse for adgang til Googles tjenester. Over 74 millioner konti var berørt.
CNIL udstedte desuden et påbud om, at Google inden seks måneder skal stoppe med at vise Gmail-reklamer uden samtykke og sikre gyldigt samtykke til cookies ved kontooprettelse — under trussel om en dagsbøde på €100.000 pr. dag ved manglende overholdelse.
Hvad du kan lære:
- Markedsføring integreret i en tjeneste kræver stadig samtykke — du kan ikke gemme den bag en “service delivery”-begrundelse.
- Cookies-samtykke ved onboarding-flows er et kritisk punkt: Brugere må ikke “nudges” mod at acceptere, og alternativet skal være ligeså fremtrædende.
- Selv tech-giganter med årevis af compliance-arbejde kan have blinde vinkler i deres brugerrejser.
2. Shein — €150 millioner (CNIL, september 2025)
Myndighed: CNIL, Frankrig Dato: 1. september 2025 Bødestørrelse: €150 millioner Berørt enhed: Infinite Styles Services Co. Limited (irsk datterselskab af Shein-gruppen)
Hvad de gjorde forkert:
CNIL’s inspektion af shein.com afslørede et mønster af alvorlige samtykke-overtrædelser:
- Reklame-cookies blev placeret på brugernes enheder øjeblikkeligt, når de besøgte siden — inden de overhovedet havde haft mulighed for at interagere med cookie-banneret.
- Selv når brugere klikkede “Afvis alle”, fortsatte nye cookies med at blive placeret, og eksisterende cookies fortsatte med at blive læst.
- Cookie-banneret var ufuldstændigt og mangelfuldt: Det forklarede ikke formålene med cookies tydeligt og identificerede ikke tredjepartstrackere.
Shein har 12 millioner månedlige brugere i Frankrig, hvilket forstærkede skadens omfang. CNIL fremhævede, at overtrædelserne var vedvarende og gentagne. Da Shein dog implementerede korrigerende foranstaltninger i løbet af proceduren, udstedte CNIL ikke et yderligere påbud.
Hvad du kan lære:
- Det er ikke nok at have et cookie-banner — cookies må teknisk set ikke placeres før samtykke er givet. Det er et teknisk krav, ikke blot et designkrav.
- Selv efter “Afvis alle” skal alle tracking-scripts faktisk stoppe. Teknisk implementering er altafgørende.
- Antallet af berørte brugere er en direkte faktor i bødeberegningen. Store websites er store mål.
3. Google — €150 millioner (CNIL, januar 2022)
Myndighed: CNIL, Frankrig Dato: 6. januar 2022 Bødestørrelse: €150 millioner
Hvad de gjorde forkert:
CNIL undersøgte google.fr og youtube.com og fandt, at Google tilbød en knap, der med ét klik kunne acceptere alle cookies — men ingen tilsvarende knap til at afvise dem. Brugere, der ønskede at afvise cookies, skulle navigere gennem flere klik og undermenuer.
CNIL’s centrale konklusion: Når det er sværere at afvise end at acceptere cookies, er samtykket ikke frit givet. Det er et dark pattern — et manipulerende interface-design der skubber brugerne i en bestemt retning.
Google fik tre måneder til at implementere en ligeværdig afvisningsmekanisme, under trussel om €100.000 i dagsbøder ved manglende overholdelse.
Hvad du kan lære:
- “Accept alle”-knap og “Afvis alle”-knap skal have samme fremtrædende placering og tilgængelighed. Et enkelt ekstra klik er nok til at udgøre en overtrædelse.
- Dette gælder ikke kun selve cookie-banneret men alle steder i brugerrejsen, hvor trackingpræferencer kan ændres.
4. Facebook/Meta — €60 millioner (CNIL, januar 2022)
Myndighed: CNIL, Frankrig Dato: 6. januar 2022 Bødestørrelse: €60 millioner
Hvad de gjorde forkert:
Facebook.com (drevet af Facebook Ireland Limited, med Facebook France som etableringspunkt) havde præcis samme problem som Google i samme undersøgelsesrunde: Én knap til at acceptere cookies, men ingen tilsvarende knap til at afvise dem på første lag. Afvisning krævede navigation til en underside og adskillige klik.
CNIL fremhævede særskilt, at kompleksiteten i afvisningsprocessen i sig selv udgør en hindring for det frie samtykke. Facebook forsøgte at argumentere for, at CNIL ikke havde jurisdiktion (da Facebook Ireland er etableret i Irland under one-stop-shop-mekanismen), men CNIL afviste dette: ePrivacy-direktivet reguleres nationalt og er ikke underlagt one-stop-shop.
Hvad du kan lære:
- One-stop-shop-mekanismen (der giver Irlands DPC kompetence over Meta’s GDPR-sager) gælder ikke for ePrivacy-overtrædelser. Nationale myndigheder kan handle direkte på cookie-spørgsmål.
- Selv den mest ressourcestærke virksomhed kan ikke gemme sig bag jurisdiktionelle argumenter i cookie-sager.
5. Microsoft — €60 millioner (CNIL, december 2022)
Myndighed: CNIL, Frankrig Dato: 22. december 2022 Bødestørrelse: €60 millioner
Hvad de gjorde forkert:
CNIL undersøgte bing.com i september 2020 og maj 2021 og fandt:
- Cookies til reklameformål blev placeret på brugernes enheder uden samtykke ved besøg på siden.
- Der var ingen knap, der gjorde det ligeså nemt at afvise cookies som at acceptere dem. Acceptering tog ét klik; afvisning krævede to klik.
Microsoft anførte, at de allerede inden undersøgelsen startede havde implementeret forbedringer, og at kravet om samtykke til cookies mod reklamefraude ville skade franske individer og virksomheder. CNIL accepterede ikke disse argumenter. Bøden var den største CNIL udstedte i hele 2022.
Hvad du kan lære:
- Selvom du allerede er i gang med at rette problemerne, tæller overtrædelserne i den periode, de skete.
- To klik mod ét klik er nok til at udgøre en violation af det frie samtykke. Symmetri i UI er et lovkrav, ikke et designvalg.
6. Amazon Europe Core — €35 millioner (CNIL, december 2020)
Myndighed: CNIL, Frankrig Dato: 7. december 2020 Bødestørrelse: €35 millioner
Hvad de gjorde forkert:
CNIL’s inspektioner af amazon.fr (gennemført december 2019 til maj 2020) afslørede, at cookies automatisk blev placeret på brugernes computere, så snart de besøgte siden — uden nogen handling fra brugeren og uden forudgående information.
Brugerne var enten utilstrækkeligt informeret eller slet ikke informeret om, at cookies blev sat på deres computer. Amazon oprettede i september 2020 et nyt informationsbanner, men CNIL fandt det fortsat utilstrækkeligt.
Skærpende omstændigheder inkluderede: antallet af berørte brugere (300 millioner cookie-ID’er indsamlet), Amazons forretningsmodel der er baseret på tracking, og de store reklameindtægter genereret via disse cookies.
Hvad du kan lære:
- “Sæt cookies og fortæl bagefter” er ikke acceptabelt — samtykke skal indhentes inden de ikke-nødvendige cookies placeres.
- Antallet af indsamlede cookie-ID’er og de heraf afledte reklameindtægter spiller direkte ind i bødeberegningen.
7. Criteo — €40 millioner (CNIL, juni 2023)
Myndighed: CNIL, Frankrig Dato: 15. juni 2023 Bødestørrelse: €40 millioner (reduceret fra en indledende €60 millioner)
Hvad de gjorde forkert:
Criteo specialiserer sig i behavioral retargeting og samler browsingdata fra brugere via sit tracking-cookie, som placeres på partnersiders hjemmesider. CNIL identificerede fem overtrædelser:
-
Manglende bevis for samtykke: Criteo kunne ikke dokumentere, at de brugere, hvis data de behandlede, faktisk havde givet samtykke. Criteos partnere (website-ejere) var ansvarlige for at indhente samtykke, men Criteo havde ingen mekanismer til at verificere, at dette skete.
-
Ingen klausul i kontrakter om bevis for samtykke: Criteos partnerkontrakterne indeholdt ikke krav om, at partnerne skulle dokumentere samtykket.
-
Utilstrækkelig information: Brugere fik ikke tilstrækkelig information om databehandlingen.
-
Mangelfuld tilbagetrækning af samtykke: Når brugere trak samtykke tilbage, stoppede Criteo med at vise personaliserede annoncer — men slettede ikke bruger-ID’et eller browsing-data knyttet til det.
-
Manglende respekt for ret til adgang og sletning.
Criteo appellerede og argumenterede for, at overtrædelserne var utilsigtede og ikke forvoldte skade. Bøden blev reduceret fra €60M til €40M.
Hvad du kan lære:
- Som data-controller er du ansvarlig for at verificere, at dine partnere og leverandører indhenter gyldigt samtykke — også selvom du ikke er i direkte kontakt med slutbrugeren.
- Tilbagetrækning af samtykke skal resultere i faktisk sletning af data — ikke blot at du stopper med at vise annoncer.
- Adtech-virksomheder og tracking-udbydere er eksplicit i CNIL’s søgelys.
8. TikTok — €5 millioner (CNIL, januar 2023)
Myndighed: CNIL, Frankrig Dato: 12. januar 2023 Bødestørrelse: €5 millioner
Hvad de gjorde forkert:
CNIL undersøgte tiktok.com i juni 2021 og fandt, at TikTok tilbød en øjeblikkelig accept-knap, men ingen tilsvarende afvisningsknap. For at afvise alle cookies krævedes adskillige klik og navigation.
Derudover var information om formålene med cookies utilstrækkelig — hverken i cookie-bannerets første lag eller i det tilknyttede cookie-settings-værktøj.
CNIL’s sammenfatning: Det faktum at afvisningsmekanismen er mere kompleks svarer reelt til at afskrække brugerne fra at afvise cookies og opfordre dem til at foretrække nem-accept-knappen. Dette krænker princippet om frit samtykke.
Hvad du kan lære:
- Interface-design er compliance. En dårligt designet afvisningssti er en juridisk overtrædelse — uanset om det var intentionelt.
- Cookie-bannerets første lag skal indeholde klar information om formål — det er ikke nok at have det skjult et sted i en undermenu.
9. IAB Europe og TCF-frameworket — €250.000 (APD, februar 2022)
Myndighed: APD (Autorité de protection des données), Belgien Dato: 2. februar 2022 Bødestørrelse: €250.000 (plus påbud om korrigerende foranstaltninger)
Hvad de gjorde forkert:
Den belgiske tilsynsmyndighed afgjorde, at IAB Europe’s Transparency and Consent Framework (TCF) — det industristandard-framework, som millioner af websites bruger til at håndtere cookie-samtykke på reklame-platforme — ikke overholdt en række GDPR-bestemmelser.
Centralt i sagen stod det såkaldte TC String: den digitale signal, der koder brugerens samtykke-præferencer. APD afgjorde, at:
- TC Strings udgør persondata, fordi de kan knyttes til identificerbare brugere.
- IAB Europe agerer som joint controller (fælles dataansvarlig) for behandlingen af TC Strings inden for TCF.
Sagen er fortsat genstand for juridiske appeller. Den belgiske markedsdomstol afsagde i maj 2025 en dom, der delvist ophævede APD’s beslutning på proceduremæssige grounds, men bekræftede de materielle fund om TC Strings som persondata. Sagen er henvist tilbage til APD for fornyet behandling. Senest i januar 2026 ophævede markedsdomstolen APD’s validering af IAB Europes handlingsplan, og sagen er igen under afgørelse.
Hvad du kan lære:
- Brug af et industri-framework som TCF fritager dig ikke automatisk for ansvar. Du er stadig ansvarlig for, at din implementation er GDPR-compliant.
- Selv standardiserede consent-mekanismer kan være under juridisk pres — hold dig opdateret om TCF-versioner og EDPB’s vejledning.
- Real-time bidding (RTB) og programmatic advertising befinder sig under intenst myndighedsfokus.
10. Svenske apoteker: Apoteket AB og Apohem AB — SEK 45 millioner (IMY, august 2024)
Myndighed: IMY (Integritetsskyddsmyndigheten), Sverige Dato: 30. august 2024 Bødestørrelse: SEK 37 millioner (ca. €3,2M) for Apoteket AB + SEK 8 millioner (ca. €740.000) for Apohem AB
Hvad de gjorde forkert:
Begge apoteker brugte Meta Pixel på deres websites for at optimere markedsføring på Facebook og Instagram. Problemet var, hvad pixlen indsamlede og videresendte til Meta:
- Oplysninger om køb af håndkøbsmedicin til specifikke helbredsproblemer
- Selvtests (herunder for seksuelt overførte sygdomme)
- Seksuelle hjælpemidler og sengeudstyr
Disse data udgør sensitive helbredsoplysninger, der nyder særlig beskyttelse under GDPR. Apotekerne havde ikke implementeret tilstrækkelige tekniske foranstaltninger for at begrænse, hvilke data Meta Pixel indsendte. De vidste ikke præcist, hvad der blev sendt — og det var netop problemet.
Hvad du kan lære:
- Meta Pixel (og lignende tredjepartspixels) sender potentielt langt mere data end hvad du forventer eller ønsker. Du er ansvarlig for at vide, hvad der sendes.
- Kontekst betyder alt: Den samme pixel på et e-handelssite er ét problem; på et apotek eller sundhedssite er det et meget større problem, fordi data klassificeres som sensitive.
- Implementer server-side tagging og datafiltrering som teknisk sikkerhedsforanstaltning.
Nordiske og danske cases i fokus
Danmark: Datatilsynets cookie-håndhævelse
Datatilsynet i Danmark har primært henvist virksomheder til politianmeldelse med anbefalinger om bøde fremfor at udstede direkte administrative bøder som f.eks. CNIL. Det ændrer dog ikke det substantielle budskab: Konsekvenserne er reelle.
Typiske danske cookie-sager:
- Haveredskabs-virksomhed (2023): Brugte cookies til at sende data til Google og Meta uden retsgrundlag. Indstillet til bøde på minimum DKK 200.000.
- Offentlig myndighed (2022-2023): Placerede cookies og behandlede persondata til reklameformål inden samtykke var indhentet. Datatilsynet fandt desuden, at institutionen og Google var fælles dataansvarlige (joint controllers) for behandlingen.
- Lånemegler (2023): Placerede cookies inden samtykke, og cookie-samtykkeløsningen indeholdt ikke information om, hvordan samtykke kan trækkes tilbage.
- Det Kongelige Teater (2024): Opbevarede oplysninger om ca. 520.000 kunder og nyhedsbrevsmodtagere uden slettefrister, til brug for markedsføring. Politianmeldt med indstilling om bøde på DKK 250.000.
Datatilsynets fokusområde 2026:
Datatilsynet har eksplicit angivet tracking på danske hjemmesider — herunder tracking-cookies og profileringsteknologier — som et af sine prioriterede tilsynsområder for 2026. Tilsynet vil koordinere med Digitaliseringsstyrelsen, og vil særligt undersøge:
- Om brugere har en reel mulighed for at sige nej til tracking
- Om cookies placeres inden samtykke
- Brug af dark patterns (fremhævet “Accepter”-knap, skjult “Afvis”)
- Cookie walls (der blokerer adgang med mindre brugeren accepterer)
- Manglende granulært samtykke
Data fra Cookie Information’s 2024-rapport viser, at 84% af analyserede danske hjemmesider har compliance-problemer — og at 70% placerer ikke-nødvendige cookies inden samtykke. Det er præcis hvad Datatilsynet nu har sat sig for at håndhæve.
Google Analytics i Norden: En koordineret dom
I 2022-2023 afgjorde tilsynsmyndighederne i Østrig, Frankrig, Italien, Sverige og (i praksis) Danmark, at brugen af Google Analytics (universal analytics) var i strid med GDPR, fordi data overføres til USA uden tilstrækkelig beskyttelse.
I Sverige gik IMY et skridt videre og udstedte bøder:
- Tele2: SEK 12 millioner (~€1 million) for ulovlig dataoverførsel via Google Analytics
- CDON: SEK 300.000 (~€25.000) for samme
Disse sager er særligt vigtige, fordi de ramte brugerne af Google Analytics — ikke Google selv. Har du Google Analytics (universal analytics) på din hjemmeside, er du potentielt ansvarlig for dataoverførslen.
Praktisk konsekvens: Med indgåelsen af EU-US Data Privacy Framework (DPF) i 2023 er situationen delvist ændret, da Google nu er DPF-certificeret. Men mange eksperter advarer om, at DPF kan blive anfægtet igen (som Privacy Shield-aftalerne fra 2016). Det er klogt at have en beredskabsplan.
Sverige: IMY og dark patterns i 2025
I april 2025 indledte IMY håndhævelsesaktioner mod tre svenske virksomheder for vildledende cookie-banner-design. Den primære kritik: Ubalanceret design der fremhævede “Accepter”-muligheder over “Afvis”-muligheder, og manglende klar mulighed for at afvise cookies på første lag.
IMY understregede, at virksomheder i alle størrelser er forpligtet til at overholde kravene — markedsposition er ikke en undskyldning. Sagerne viste en koordineret taktik med fokus på dark patterns, ikke blot tekniske fejl.
Norge: Ny e-komloven fra januar 2025
Fra 1. januar 2025 trådte en ny norsk ekomloven i kraft, der afstemmer Norges cookie-samtykke-regler med GDPR’s krav. De væsentligste ændringer:
- Samtykke til cookies skal opfylde GDPR’s samtykke-krav (frivilligt, specifikt, informeret, utvetydigt)
- Browser-indstillinger alene er ikke længere acceptabelt som samtykke til marketing-cookies
- Datatilsynet er nu medregulator for cookies (sammen med NKOM), hvilket forventes at styrke håndhævelsen markant
I 2024 sanktionerede det norske Datatilsynet seks norske hjemmesider for at dele besøgsdata via Meta- og Snapchat-tracking-pixels uden gyldigt samtykke. Én af sagerne involverede en krisetelefon for børn, der utilsigtet delte sensitiv data med sociale medier-platforme — en sag der vakte stor opmærksomhed.
Tendenser: Hvad ser vi i 2025-2026?
1. Bøder stiger dramatisk
Fra CNIL’s første store cookie-bøde på €35 millioner i 2020 til €325 millioner i 2025 er der tale om næsten ti gange så store bøder på fem år. Myndighederne har opbygget compliance-evidens, erfaring med adtech-sektoren og politisk vilje til at handle.
2. Cookie walls er et nyt fokusområde
En cookie wall er en praksis, hvor adgang til indhold betinges af, at brugeren accepterer cookies. EDPB’s retningslinjer 05/2020 har siden 2020 gjort det klart, at cookie walls generelt er i strid med krav om frit samtykke. Men myndighederne har hidtil primært fokuseret på tekniske overtrædelser. Nu er cookie walls rykket højere op på prioriteringslisten.
Undtagelse: “Consent or pay”-modeller er genstand for debat. EDPB’s udtalelse 08/2024 om store online-platformers brug af “samtykke eller betal”-modeller fastslog, at sådanne modeller for store platforme generelt ikke giver frit samtykke. Nationale myndigheder følger op på dette.
3. Dark patterns er topprioritet
EDPB’s Cookie Banner Taskforce-rapport fra januar 2023 identificerede otte typer problematisk praksis (Type A til H), og myndighederne håndhæver nu eksplicit designelementer:
- Farveforskelle der fremhæver “Accepter” over “Afvis”
- “Afvis”-mulighed gemt i en tekstpassage
- Pre-afkrydsede bokse
- Manglende “Afvis alle”-knap på første lag
- Legitime interesser påberåbt for tracking uden reel vurdering
4. Koordineret enforcement via EDPB
EDPB’s Cookie Banner Taskforce (oprettet 2021 som reaktion på NOYB’s over 700 klager) har vist, at europæiske tilsynsmyndigheder kan og vil koordinere håndhævelse. Resultatet er konvergerende standarder på tværs af alle EU/EØS-lande — en virksomhed kan ikke “shoppe” efter det mest lemfældige tilsyn.
5. Adtech og tredjepartstrackere under lup
Sagerne mod Criteo, IAB Europe og de svenske apoteker (Meta Pixel) viser en klar tendens: Myndighederne bevæger sig op i adtech-værdikæden. Du er ikke kun ansvarlig for dine egne cookies — du er ansvarlig for at vide, hvad dine marketingpartneres scripts indsamler og sender.
6. Schrems III kan komme
EU-US Data Privacy Framework (DPF) fra 2023 reducerede midlertidigt usikkerheden om Google Analytics og andre amerikanske trackere. Men NOYB og andre privatlivsorganisationer har allerede anfægtet DPF ved EU-Domstolen. Hvis DPF annulleres (som Privacy Shield og Safe Harbor tidligere), vil mange virksomheder igen befinde sig i en potentielt ulovlig situation med amerikanske tracking-tools.
7. AI og tracking konvergerer
I 2025 begynder europæiske tilsynsmyndigheder at se på, hvordan AI-baserede recommendation-systemer og personaliseringsteknologier anvender tracking-data. Den næste bølge af bøder vil formentlig krydsede grænsen mellem cookie-compliance og AI-regulering (EU AI Act).
Hvad er din risiko? Forstå din eksponering
Din potentielle bøde afhænger af flere faktorer, som tilsynsmyndighederne eksplicit tager i betragtning:
Skærpende faktorer (øger bøden):
- Stort antal berørte brugere
- Høje reklame-/tracking-indtægter
- Gentagne overtrædelser (tidligere advarsler eller sager)
- Manglende samarbejde med tilsynsmyndigheden
- Forsætlig manipulation (dark patterns)
- Behandling af sensitive data
Formildende faktorer (reducerer bøden):
- Proaktive korrigerende foranstaltninger under proceduren
- Fuldt samarbejde med tilsynsmyndigheden
- Første overtrædelse
- Hurtigt ophør af overtrædelsen
Den juridiske ramme:
Under ePrivacy-direktivet (implementeret nationalt) kan nationale myndigheder udstede bøder efter national lovgivning — typisk op til €20 millioner eller 4% af global omsætning under GDPR’s sanktionsramme, alt efter den konkrete overtrædelse.
Frankrig: Bøder under artikel 82 i den franske databeskyttelseslov — op til €300.000 per overtrædelse, men CNIL anvender løbende dagsbøder ved manglende overholdelse af påbud.
Vigtig pointe: Store virksomheder med store reklameindtægter er primære mål, men SMV’er er ikke immune. Bøder på DKK 200.000 - DKK 1.000.000 er allerede set i Danmark — beløb der for mange mindre virksomheder er fuldt ud mærkbare.
Risiko-beregner: Hvad er DIN eksponering?
Er du usikker på, om din hjemmeside lever op til kravene? Brug Privaci.io’s gratis cookie-scanner til at få et øjebliksbillede af din compliance-status.
Privaci.io by bon.do scanner din hjemmeside automatisk og:
- Identificerer alle cookies og trackere på din side
- Kategoriserer dem (nødvendige, funktionelle, statistik, marketing)
- Sammenligner med din cookie-erklæring
- Vurderer, om cookies placeres inden samtykke
- Identificerer dark patterns og manglende elementer i dit cookie-banner
Start din gratis scan nu på privaci.io — du har resultater inden for minutter.
De fleste cookie-problemer er teknisk enkle at løse, når du ved, hvad du kigger efter. De fleste compliance-problemer opstår fordi ingen har tjekket siden en gang til.
Sådan undgår du bøder: Den praktiske guide
Tekniske krav
1. Blokér ikke-nødvendige scripts inden samtykke
Alle scripts til marketing, analytics og tracking skal teknisk blokeres, indtil brugeren har givet eksplicit samtykke. Dette er ikke et designspørgsmål — det er et teknisk krav. Brug et tag management-system eller en consent management platform (CMP), der håndterer script-blokeringslogikken korrekt.
2. Registrer samtykket
Du skal kunne bevise, at samtykke er givet. Det betyder:
- Timestamp for samtykke
- Version af cookie-politik på tidspunktet for samtykke
- Hvad brugeren specifikt accepterede
- Genanmeld ved ændringer i formål eller cookies
3. Implementér korrekt “Afvis alle”-funktionalitet
Afvisning af alle ikke-nødvendige cookies skal:
- Være muligt med ét enkelt klik
- Stå tydeligt og ligeværdigt fremme med “Accepter alle”
- Faktisk stoppe al tracking — verificér dette teknisk efter implementering
4. Gør tilbagetrækning ligeså nemt som samtykke
Brugere skal til enhver tid let kunne ændre eller trække samtykke tilbage. En let tilgængelig “cookie-indstillinger”-link i footeren (synlig på alle sider) er minimum.
Design-krav
5. Undgå dark patterns
Tjek disse konkrete punkter:
- “Accepter”- og “Afvis”-knapperne har samme størrelse, farve og prominens (eller “Afvis” er mere fremtrædende)
- “Afvis” er ikke en lille tekstlink gemt i en tekstpassage
- Ingen pre-afkrydsede bokse for valgfrie cookies
- Ingen forvirrende negativt formulerede valgmuligheder (“Tillad mig ikke at blive tracket = ja?”)
6. Giv klar information på første lag
Cookie-bannerets første lag skal kommunikere:
- Hvad cookies bruges til (specifikt, ikke blot “for at forbedre din oplevelse”)
- Hvem der sætter cookies (inkl. tredjeparter)
- At du til enhver tid kan ændre dit valg
Organisatoriske krav
7. Opdatér din cookie-erklæring løbende
Nye scripts tilføjes konstant via marketing, CMS-opdateringer og tredjepartsintegrationer. Scan din side regelmæssigt (mindst kvartalsvis) og opdatér cookie-erklæringen tilsvarende.
8. Sæt din cookie-politik under governance
Udpeg en ansvarlig person for cookie-compliance. Dokumentér processer for:
- Godkendelse af nye tracking-scripts
- Periodisk scanning og revision
- Opdatering af samtykke-records
9. Vær særligt opmærksom på tredjepartstrackere
Gennemgå alle tredjepartsscripts (Google Tag Manager-containere, social pixels, affiliate-scripts) og verificér:
- Hvad data sendes til hvem
- Om leverandøren er GDPR-compliant og har en DPA (databehandleraftale)
- Om data overføres til tredjelande og på hvilket grundlag
Opdateringslog
Denne artikel holdes løbende opdateret med nye sager og ændringer i håndhævelsespraksis.
| Dato | Opdatering |
|---|---|
| 7. marts 2026 | Artikel publiceret med alle kendte cookie-bøder pr. marts 2026 |
| — | Inkluderer CNIL’s Google €325M og Shein €150M fra september 2025 |
| — | Inkluderer IMY’s danske og svenske pharmacy Meta Pixel-sager (2024) |
| — | Inkluderer norsk ekomloven-opdatering pr. januar 2025 |
| — | Inkluderer Datatilsynet DK’s fokusområder for 2026 |
Næste planlagte opdatering: Juni 2026
Ofte stillede spørgsmål (FAQ)
Gælder disse bøder for min lille hjemmeside?
Ja, men proportionelt. Tilsynsmyndighederne kigger primært på store platforms med mange brugere og store reklameindtægter, men SMV’er er ikke immune. I Danmark er virksomheder allerede indstillet til bøder fra DKK 200.000 for cookie-overtrædelser. Hertil kommer, at en bøde som regel er ledsaget af påbud om rettelse og offentliggørelse — det reputationsmæssige skade kan overstige selve bøden.
Er det nok at have et cookie-banner?
Nej. At have et cookie-banner er ikke tilstrækkeligt. Problemet i de fleste bødesager er ikke fraværet af et banner, men at banneret ikke fungerer korrekt: cookies placeres inden samtykke, “Afvis”-muligheden er gemt, eller der er ingen teknisk blokeringslogik bag banneret.
Hvad er forskellen på GDPR og ePrivacy-direktivet for cookies?
ePrivacy-direktivet (Cookie-loven) regulerer selve placeringen af cookies og lignende teknologier — det kræver samtykke inden placering. GDPR regulerer behandlingen af persondata, der efterfølgende indsamles via cookies. Mange cookie-bøder er udstedt under ePrivacy (implementeret nationalt), og her gælder ikke GDPR’s one-stop-shop-mekanisme — så nationale myndigheder kan handle direkte, uanset hvor virksomheden er etableret i EU.
Hvad er et dark pattern?
Et dark pattern er et interface-design, der manipulerer brugere til at træffe valg de ikke ville have truffet med et neutralt design. I cookie-sammenhæng: En stor grøn “Accepter alle”-knap mod en lille grå tekstlink til afvisning. En ekstra klik for at afvise. Pre-afkrydsede bokse. EDPB og nationale tilsynsmyndigheder betragter dark patterns som en overtrædelse af kravet om frit samtykke.
Hvad er en cookie wall?
En cookie wall er, når et website blokerer adgang til indhold, med mindre brugeren accepterer alle cookies. EDPB har slået fast, at cookie walls generelt er i strid med krav om frit samtykke (retningslinjer 05/2020), fordi brugere ikke har et reelt valg. Der er en nuanceret diskussion om “samtykke eller betal”-modeller (pay-or-consent), men for de fleste websites er cookie walls problematiske.
Gælder reglerne for B2B-sites og intranets?
Ja, ePrivacy-direktivet gælder for alle cookies og tracking-teknologier uanset om siden henvender sig til forbrugere eller erhvervskunder. Der er ingen B2B-undtagelse. Intranets med kun interne medarbejdere kan have et andet retsgrundlag (f.eks. berettiget interesse eller nødvendighed for ansættelsesforholdet), men public-facing websites med tracking er fuldt underlagt reglerne.
Hvad sker der, hvis jeg bruger Google Analytics?
Med EU-US Data Privacy Framework (DPF) fra 2023 er Google nu certificeret, og dataoverførsler til USA er igen lovlige under dette framework. Men DPF er anfægtet juridisk af NOYB. Som minimum bør du: (1) bruge Google Analytics 4 (ikke universal analytics), (2) aktivere IP-anonymisering, (3) deaktivere data-deling med Google, og (4) have en databehandleraftale med Google. Alternativt: Overvej EU-hosted analytics-alternativer som Piwik PRO (dansk-venlig), Plausible eller Matomo.
Artiklen er udgivet af Privaci.io — cookie compliance-løsning til virksomheder, bygget af bon.do. Privaci.io scanner din hjemmeside automatisk, identificerer compliance-problemer og hjælper dig med at implementere et korrekt cookie-setup. Juridisk disclaimer: Denne artikel er informativ og udgør ikke juridisk rådgivning. Kontakt en advokat med speciale i databeskyttelsesret for konkret juridisk vejledning.
FAQ
Hvad er de maksimale GDPR-bøder for cookie-overtrædelser?
De maksimale bøder er 20 mio. euro eller 4% af virksomhedens globale årlige omsætning – alt efter hvad der er højest. I praksis er de fleste cookie-relaterede bøder væsentligt lavere, men millionbøder er set i flere EU-lande.
Hvem kan modtage GDPR-bøder i Danmark?
Datatilsynet kan udstede bødeindstillinger til alle virksomheder der behandler persondata om personer i Danmark, uanset om virksomheden er dansk eller udenlandsk. Politiet og domstolene udsteder de endelige bøder.
Er der forskel på bødepraksis i EU-landene?
Ja, der er stor forskel. Irland, Frankrig, Italien og Luxembourg er kendte for høje bøder. Danmark har hidtil haft en mere afdæmpet tilgang, men Datatilsynet har signaleret øget fokus på cookie compliance og har offentliggjort konkrete vejledninger.
Kan en lille virksomhed få store GDPR-bøder?
Bøder tilpasses efter virksomhedens størrelse og overtrædelsens alvor. En lille virksomhed vil typisk ikke få millionbøder, men kan stadig modtage påbud, advarsler og mindre bøder. Gentagne overtrædelser efter advarsel kan eskalere.
Hvad er de mest almindelige cookie-overtrædelser, der fører til bøder?
De hyppigste overtrædelser er: cookies sat inden samtykke, manglende “afvis alle”-mulighed, forudvalgte samtykker, utilstrækkelig information i cookie-banneret, og manglende dokumentation af samtykker.
Hvad gør jeg, hvis jeg modtager en henvendelse fra Datatilsynet om cookies?
Tag henvendelsen alvorligt og svar inden fristen. Gennemfør en fuld cookie-scanning for at dokumentere nuværende status, ret eventuelle overtrædelser, og beskriv de konkrete tiltag du har taget. Juridisk rådgivning anbefales ved større sager.