Skip to main content

Dark patterns i cookiesamtykke

Et dark pattern er et brugergrænsefladedesign, der manipulerer brugere til at træffe valg, de ellers ikke ville have truffet. I forbindelse med cookiesamtykke leder dark patterns brugere hen mod at acceptere alle cookies — ikke gennem klar information og et reelt valg, men gennem visuel manipulation, forvirrende sprogbrug og bevidst friktion.

Dark patterns i cookiesamtykke er ikke bare dårligt design — de udgør et juridisk ansvar. Databeskyttelsesmyndigheder i hele EU har uddelt betydelige bøder netop for manipulerende samtykkegrænseflader, og den regulatoriske opmærksomhed intensiveres.

Hvorfor dark patterns gør samtykke ugyldigt

Under GDPR skal samtykke være:

  • Frivilligt afgivet (artikel 4, nr. 11) — brugeren skal have et reelt valg, uden pres eller manipulation.
  • Specifikt — samtykke skal gives til hvert enkelt formål.
  • Informeret — brugeren skal forstå, hvad han eller hun giver samtykke til.
  • Utvetydigt — givet gennem en klar, bekræftende handling.

Dark patterns underminerer bevidst "frivilligt afgivet" og "informeret". Hvis afvisningsmuligheden er skjult, visuelt nedtonet eller begravet bag flere klik, er brugerens samtykke ikke frivilligt afgivet. Hvis sproget er forvirrende eller vildledende, er brugeren ikke blevet informeret. I begge tilfælde er samtykket juridisk ugyldigt — og enhver cookie, der sættes på baggrund af det samtykke, udgør en overtrædelse.

EU's Cookie Pledge

I november 2023 lancerede Europa-Kommissionen Cookie Pledge — en frivillig forpligtelse for virksomheder til at indføre fair cookiepraksis. Selvom det ikke er juridisk bindende, signalerer Cookie Pledge Kommissionens forventninger og varsler den regulatoriske retning.

Centrale principper i Cookie Pledge:

  • At afvise cookies skal være lige så nemt som at acceptere dem — hvad angår antal klik, visuel præsentation og kognitiv indsats.
  • Ingen manipulerende designelementer, der leder brugere hen mod accept.
  • Klart, enkelt sprog, som brugere kan forstå med det samme.
  • Ingen cookie walls, der blokerer adgangen til indhold.
  • Nem tilbagetrækning af samtykke til enhver tid.

Blandt de virksomheder, der har underskrevet Cookie Pledge, er flere store brands. Selvom initiativet er frivilligt, har databeskyttelsesmyndigheder eksplicit henvist til Pledgets principper i håndhævelsesafgørelser.

EDPB's retningslinjer om dark patterns

Det Europæiske Databeskyttelsesråd (EDPB) offentliggjorde retningslinjer 03/2022 om dark patterns i grænseflader på sociale medieplatforme, som i vid udstrækning også er blevet anvendt på cookiesamtykkegrænseflader. Retningslinjerne identificerer seks kategorier af dark patterns:

  1. Overbelastning — at bombardere brugere med overdreven information eller anmodninger, hvilket fører til beslutningstræthed.
  2. Springe over — at designe grænseflader, der springer over eller forudvælger valgmuligheder uden brugerens aktive medvirken.
  3. Påvirkning — at bruge følelsesladet sprog eller visuelle signaler til at lede brugere hen mod et bestemt valg.
  4. Hindring — at gøre det vanskeligt at udøve rettigheder (fx finde afvisningsknappen, tilgå indstillinger eller trække samtykke tilbage).
  5. Inkonsistens — inkonsekvent design, der forvirrer brugere om, hvor de er, og hvad deres valg betyder.
  6. Efterladt i mørket — at skjule information, bruge tvetydigt sprog eller give ufuldstændig kontekst.

Nationale databeskyttelsesmyndigheder har brugt disse kategorier som ramme, når de har vurderet cookiebannere under håndhævelsessager.

Almindelige dark patterns med eksempler

Forudafkrydsede afkrydsningsfelter

At præsentere afkrydsningsfelter for cookiekategorier, som allerede er afkrydset, så brugeren aktivt skal fjerne krydset for at afvise samtykke. Dette blev udtrykkeligt kendt ugyldigt af Den Europæiske Unions Domstol i Planet49-sagen (C-673/17, oktober 2019). Domstolen fastslog, at forudafkrydsede afkrydsningsfelter ikke udgør en "aktiv tilkendegivelse" af samtykke.

Trods denne utvetydige afgørelse fortsætter mange websites med at bruge forudafkrydsede præferencepaneler, især for kategorierne "analyse" eller "funktionel". Hver eneste af disse implementeringer producerer ugyldigt samtykke.

Ingen afvisningsknap

At vise kun "Accepter alle" og "Administrer præferencer" på det første lag uden mulighed for at afvise. Brugeren skal klikke på "Administrer præferencer", navigere i et sekundært panel, fravælge alle kategorier og derefter klikke på "Gem" — typisk tre til fem klik for at afvise, mod ét klik for at acceptere.

CNIL (Frankrigs databeskyttelsesmyndighed) har været særligt håndfast i håndhævelsen mod dette mønster. I sine håndhævelsessager fra januar 2022 mod Google (150 millioner EUR) og Facebook (60 millioner EUR) fremhævede CNIL specifikt fraværet af en ligetil afvisningsmekanisme på det første lag som en overtrædelse.

Visuel manipulation

At gøre "Accepter"-knappen visuelt dominerende, mens "Afvis"-muligheden minimeres. Almindelige teknikker omfatter:

  • En stor, klart farvet "Accepter alle"-knap ved siden af en lille, grå eller gennemsigtig "Afvis"-mulighed.
  • "Accepter" som en solid knap med høj kontrast, mens "Afvis" er et tekstlink eller en ghost-knap.
  • "Accepter" i brugerens visuelle fokusfelt (centreret, højrestillet eller i primær position), mens "Afvis" placeres på en mindre fremtrædende plads.
  • Brug af grøn til "Accepter" (der signalerer sikkerhed/kør) og rød eller grå til "Afvis" (der signalerer fare/stop/deaktiveret).

Princippet er ligetil: Hvis en almindelig bruger ville opfatte accept-muligheden som "standard"- eller "anbefalet" handling udelukkende på baggrund af det visuelle design, bruger banneret et dark pattern.

Forvirrende sprog og "legitim interesse"

Nogle samtykkegrænseflader præsenterer visse sporingsformål som baseret på "legitim interesse" frem for samtykke, hvor disse formål er slået til på forhånd og kræver fravalg frem for tilvalg. Dette er teknisk tilladt under GDPR for reelle legitime interesser, men det misbruges i vid udstrækning.

Når et cookiebanner opremser snesevis af annonceleverandører under "legitim interesse" med bittesmå kontakter, er den praktiske effekt, at de fleste brugere ikke forstår, hvad de ser, og ikke foretager sig noget — hvilket resulterer i sporing som standard. Flere databeskyttelsesmyndigheder, herunder den belgiske APD, har udfordret denne praksis og argumenteret for, at legitim interesse ikke kan være retsgrundlaget for annoncesporing.

Overdrevne antal klik for at afvise

Asymmetrien i indsats er måske det mest udbredte dark pattern:

Handling Antal nødvendige klik
Accepter alle cookies 1 klik
Afvis alle cookies (dark pattern) 3-7 klik (åbn indstillinger, fravælg hver kategori, gem, muligvis bekræft)
Afvis alle cookies (compliant) 1 klik ("Afvis alle"-knap på det første lag)

EDPB's retningslinjer om samtykke er utvetydige: "Tilbagetrækning af samtykke skal være lige så nem som at give det." I forlængelse heraf bør afvisning af samtykke ikke kræve mere indsats end at give det.

Cookie walls

En cookie wall blokerer adgangen til websitet fuldstændigt, medmindre brugeren accepterer cookies. Sideindholdet er skjult bag et overlay, og den eneste måde at komme videre på er at klikke på "Accepter".

EDPB har i sine retningslinjer 05/2020 fastslået, at cookie walls generelt ikke giver frivilligt afgivet samtykke, fordi brugeren ikke får et reelt valg — det er "samtykke eller forlad siden". Nogle jurisdiktioner tillader en nuanceret version (den nederlandske DPA har fx angivet, at cookie walls kan være acceptable, hvis brugeren har et reelt ligeværdigt alternativ), men den sikreste position er at undgå dem helt.

Overbelastning med information

Nogle bannere præsenterer siders tætte juridiske tekst, snesevis af leverandørkontakter og komplekse kategorihierarkier — ikke for at informere, men for at overvælde. Stillet over for en mur af tekst og 150 individuelle leverandørkontakter klikker de fleste brugere blot på "Accepter alle" af ren træthed. Dette er "overbelastnings"-dark patternet, som EDPB har identificeret: at bruge udtømmende information til at forhindre meningsfuld deltagelse.

Løsningen er en lagdelt tilgang: kortfattet, klar information på det første lag, med detaljeret information tilgængelig, men ikke obligatorisk at navigere i.

Følelsesmæssig manipulation

At bruge skyldfremkaldende eller følelsesladet sprog til at styre samtykkevalg:

  • "Nej tak, jeg er ligeglad med en personaliseret oplevelse"
  • "Jeg foretrækker at se irrelevante annoncer"
  • "Fortsæt med en forringet oplevelse"
  • Brug af triste emoji eller misbilligende billeder, når brugeren bevæger sig mod afvisning

Disse "confirmshaming"-teknikker får brugeren til at føle, at det er et dårligt eller asocialt valg at afvise cookies. Sproget bør være neutralt og informativt, ikke følelsesladet.

Reelle håndhævelseseksempler

Databeskyttelsesmyndigheder er gået fra vejledning til håndhævelse. Her er bemærkelsesværdige sager, hvor dark patterns i cookiesamtykke førte til betydelige bøder:

CNIL mod Google (150 millioner EUR) — januar 2022

CNIL fandt, at google.fr ikke tilbød en mekanisme til at afvise cookies lige så nemt som at acceptere dem. Accept af cookies krævede ét klik; afvisning krævede navigation gennem flere skærmbilleder. Bøden blev ledsaget af et påbud om at tilføje en "Afvis alle"-knap på det første lag inden for tre måneder.

CNIL mod Facebook (60 millioner EUR) — januar 2022

Samme håndhævelsessag. Facebooks cookiebanner på facebook.com manglede en afvisningsmulighed på det første lag. Brugerne skulle navigere gennem indstillinger for at afvise cookies. CNIL pålagde bøden og påbød afhjælpning.

CNIL mod Microsoft (60 millioner EUR) — december 2022

CNIL fandt, at bing.com placerede annoncecookies uden korrekt samtykke, og at cookiebanneret ikke gav en lige så nem måde at afvise cookies på.

CNIL mod TikTok (5 millioner EUR) — december 2022

TikToks cookiebanner krævede flere handlinger for at afvise cookies. CNIL fandt, at dette overtrådte kravet om lige tilgængelige samtykke- og afvisningsmekanismer.

Den italienske Garante mod diverse virksomheder — 2023

Den italienske databeskyttelsesmyndighed gennemførte kontrolaktioner rettet mod dark patterns i cookiebannere og udstedte advarsler og bøder til flere virksomheder for at bruge manipulerende designs af accept-/afvis-knapper.

Sådan designer du etiske samtykkegrænseflader

At designe en etisk cookiesamtykkegrænseflade handler ikke kun om at undgå bøder — det handler om at respektere dine brugere og opbygge tillid. Her er principperne:

  1. Lige fremtrædenhed. Accept- og afvisningsmuligheder skal være visuelt identiske i størrelse, farvevægt og placering. Hvis "Accepter" er en solid blå knap, skal "Afvis" også være en solid knap af samme størrelse.
  2. Lige indsats. At afvise cookies skal kræve samme antal klik som at acceptere dem. Ét klik til at acceptere betyder ét klik til at afvise.
  3. Klart sprog. Brug enkelt, neutralt sprog. "Accepter alle" og "Afvis alle" — ikke "Accepter" og "Læs mere".
  4. Ingen standardvalg. Alle ikke-nødvendige cookiekategorier skal være slået fra som standard. Ingen forudafkrydsede felter, ingen forudaktiverede legitime interesser.
  5. Ærlig information. Beskriv, hvad cookies gør, i faktuelle vendinger. Ingen eufemismer, ingen skræmmetaktik, ingen følelsesmæssig manipulation.
  6. Tilgængelige indstillinger. Præferencepanelet skal være nemt at navigere i, med klare kategorier og præcise beskrivelser.
  7. Nem tilbagetrækning. Et vedvarende indstillingsikon eller -link skal være tilgængeligt på hver side, så brugere kan ændre deres præferencer til enhver tid.

Tjekliste: Er mit banner fri for dark patterns?

Brug denne tjekliste til at gennemgå dit nuværende cookiebanner:

  1. Er der en "Afvis alle"-knap på bannerets første lag?
  2. Er afvisningsknappen samme størrelse som accept-knappen?
  3. Har afvisningsknappen samme visuelle stil som accept-knappen (begge solide, begge med kontur osv.)?
  4. Kræver afvisning af cookies samme antal klik som at acceptere dem?
  5. Er alle ikke-nødvendige cookiekategorier slået fra som standard i præferencepanelet?
  6. Er sproget neutralt og faktuelt (ingen skyldfølelse, ingen følelsesmæssig manipulation)?
  7. Kan brugeren tilgå sitets indhold uden at acceptere cookies (ingen cookie wall)?
  8. Kan brugeren ændre sine præferencer til enhver tid via et synligt link eller ikon?
  9. Er formålsbeskrivelsen specifik (ikke bare "forbedr din oplevelse")?
  10. Sættes der ingen cookies, før brugeren har truffet et valg?

Hvis du svarede "nej" til nogen af disse spørgsmål, kan dit banner indeholde dark patterns, der udsætter dig for regulatorisk risiko.

Passiros samtykkebanner er designet fra bunden til at være frit for dark patterns og opfylder som standard alle kriterier på denne tjekliste. Se, hvordan Passiro kan hjælpe dig med at implementere etisk, compliant cookiesamtykke.

Overholder din website cookiereglerne?

Scan din website gratis og find alle cookies på få minutter.

Scan dine cookies gratis