Hvad GDPR kræver af et cookie-banner

GDPR og ePrivacy-direktivet fastlægger fem ufravigelige regler for cookiesamtykke:

• Frit givet: At afvise cookies skal være lige så nemt som at acceptere dem.
• Specifikt: Samtykke skal indhentes separat for hvert formål.
• Informeret: Brugere skal vide, hvad de samtykker til, før de samtykker.
• Utvetydigt: Forudafkrydsede bokse og fortsat browsing tæller ikke.
• Tilbagekaldeligt: Brugere skal kunne tilbagekalde samtykke når som helst.

Eksempel 1: "Kun accepter"-banneret (Ikke-overensstemmende)

Sådan ser det ud

En lille bjælke med "Vi bruger cookies til at forbedre din oplevelse" og én "OK"-knap. Ingen afvisningsmulighed, ingen indstillinger.

Hvorfor det fejler

Intet reelt valg, ingen information om cookies, ingen måde at afvise. CNIL bødede Google EUR 150 millioner og Facebook EUR 60 millioner i 2022 for præcis dette mønster.

Dom: Ulovligt under GDPR.

Eksempel 2: Accepter alle + lille "Administrer præferencer"-link (Ikke-overensstemmende)

Sådan ser det ud

En fremtrædende "Accepter alle"-knap med et lille gråt "Administrer præferencer"-link. Ingen "Afvis alle"-knap.

Hvorfor det fejler

Visuel hierarki skubber brugere mod accept. Afvisning kræver to klik, mens accept kræver ét. Flere DPA'er har afgjort, at dette ikke er frit givet samtykke.

Dom: Ikke-overensstemmende. Afvis skal være lige så tilgængeligt som Accepter.

Eksempel 3: Lige store Accepter og Afvis-knapper (Overensstemmende)

Sådan ser det ud

To lige store knapper: "Accepter alle" og "Afvis alle". Under dem et "Administrer præferencer"-link. Kort forklaring af cookie-formål.

Hvorfor det virker

Ægte frit valg, begge muligheder lige fremtrædende, ét klik hver. Dette er mønsteret CNIL eksplicit anbefalede.

Dom: Overensstemmende. Grundlinjen enhver hjemmeside bør opfylde.

Eksempel 4: Cookie-væggen (Ikke-overensstemmende)

Sådan ser det ud

Fuldskærmsoverlay der blokerer alt indhold. Den eneste mulighed er "Accepter cookies".

Hvorfor det fejler

GDPR artikel 7(4) — samtykke er ikke frit givet, hvis adgang til tjenesten er betinget af det. Det hollandske DPA konkluderede, at cookie-vægge generelt ikke er tilladt.

Dom: Ikke-overensstemmende i de fleste EU-jurisdiktioner.

Eksempel 5: Forudafkrydsede bokse (Ikke-overensstemmende)

Sådan ser det ud

Detaljeret banner der viser cookie-kategorier med afkrydsningsfelter — men alle er forudafkrydsede.

Hvorfor det fejler

EU-Domstolens Planet49-afgørelse (2019) afgjorde dette endeligt: forudafkrydsede bokse udgør ikke gyldigt samtykke. Samtykke kræver en klar bekræftende handling.

Dom: Eksplicit ulovligt ifølge EU-Domstolens retspraksis.

Eksempel 6: Den lagdelte tilgang (Overensstemmende — Bedste praksis)

Sådan ser det ud

Første lag: kompakt banner med Accepter alle, Afvis alle og Tilpas-knapper. Andet lag: detaljeret præferencecenter med individuelle kategori-skiftere og leverandørliste. Tredje lag: fuld cookie-politik.

Hvorfor det virker

Balancerer information med brugervenlighed. Første lag leverer valg, andet leverer detaljer, tredje leverer fuld transparens. Eksplicit anbefalet af EDPB.

Dom: Bedste praksis. Guldstandarden for overholdelse.

Eksempel 7: Vildledende knapetiketter (Ikke-overensstemmende)

Sådan ser det ud

"Jeg accepterer" versus "Jeg accepterer ikke at afvise ikke-essentielle cookies". Eller: "Accepter anbefalede indstillinger" versus "Brug begrænset version".

Hvorfor det fejler

GDPR-betragtning 42 kræver klart, tydeligt sprog. Dobbelte negationer, antydede konsekvenser og manipulerende etiketter er ikke-overensstemmende.

Dom: Ikke-overensstemmende. Brug klare, neutrale etiketter.

Eksempel 8: Det korrekt udførte overensstemmende banner

Sådan ser det ud

En ren bundbjælke med: klar overskrift, kort forklaring, tre ens stilede knapper (Accepter alle, Afvis alle, Administrer præferencer) og et link til cookie-politikken. Administrer præferencer åbner et præferencecenter med individuelle skiftere, leverandørliste og Gem-knap.

Hvorfor det virker

Opfylder alle krav: frit valg, symmetriske knapper, lagdelt information, tydeligt sprog, ingen forudafkrydsede bokse, nem tilbagekaldelse via cookie-indstillingsikon.

Dom: Fuldt overensstemmende.

Reelle bøder for dårlige bannere

• Google (Frankrig, 2022): EUR 150 millioner — afvisningsmulighed var sværere at finde end accept.
• Facebook (Frankrig, 2022): EUR 60 millioner — samme asymmetriproblem.
• Microsoft (Frankrig, 2022): EUR 60 millioner — reklamecookies sat uden gyldigt samtykke.
• TikTok (Frankrig, 2023): EUR 5 millioner — afvisning af cookies krævede flere trin end accept.

Overholdelsestjekliste

• Er der en synlig "Afvis alle"-knap på første lag?
• Er Accepter og Afvis lige fremtrædende?
• Er alle afkrydsningsfelter uafkrydsede som standard?
• Vises banneret før ikke-essentielle cookies sættes?
• Kan brugere tilgå detaljerede kategorikontroller?
• Logges samtykke med tidsstempel?
• Kan brugere ændre samtykke når som helst?
• Er banneret på brugerens sprog?
• Forhindrer klik på Afvis faktisk ikke-essentielle cookies?

Hvordan FlexyConsent håndterer dette ud af boksen

FlexyConsent er en Google-certificeret CMP med IAB TCF 2.3-understøttelse. Den adresserer alle overholdelseskrav:

• Lige store Accepter og Afvis-knapper på første lag
• Lagdelt tilgang indbygget (første lag for valg, andet for detaljerede kontroller)
• Ingen forudafkrydsede bokse — alle valgfrie kategorier uafkrydsede som standard
• Google Consent Mode V2 integreret ud af boksen
• 43 sprog med automatisk registrering
• Geotargeting for regionsspecifikke bannere
• Samtykkelogning og dokumentation til revisioner
• Planer fra EUR 0/måned

Opsæt et overensstemmende banner på under fem minutter på panel.flexyconsent.com.