Cookie-love land for land: En guide til EU & EØS
Selvom ePrivacy-direktivet og GDPR udgør en fælles ramme på tværs af EU, har hver enkelt medlemsstat implementeret ePrivacy-direktivet i national lovgivning med sine egne nuancer. Håndhævelsesintensiteten, fortolkningen af undtagelser og bødernes størrelse varierer betydeligt fra land til land. Denne guide gennemgår de vigtigste cookie-retlige forhold for tolv store europæiske markeder.
Hurtig oversigtstabel
| Land | Tilsynsmyndighed | National lovgivning | Håndhævelsesniveau | Bemærkelsesværdigt |
|---|---|---|---|---|
| Tyskland | Delstatsmyndigheder + BfDI | TTDSG (2021) | Højt | Decentral håndhævelse; PIMS-rammeværk |
| Frankrig | CNIL | Loi Informatique et Libertés | Meget højt | Rekordbøder; detaljerede cookie-retningslinjer |
| Italien | Garante | Privacy Code (D.Lgs. 196/2003) | Højt | Omfattende cookie-retningslinjer fra 2021 |
| Spanien | AEPD | LSSI-CE + LOPDGDD | Moderat | Historik med debat om analyse-undtagelse |
| Nederlandene | AP | Telecommunicatiewet | Højt | Strengt forbud mod cookie-vægge |
| Belgien | APD/GBA | ePrivacy Act (2012) | Moderat | Afgørelse om IAB Europe TCF |
| Østrig | DSB | TKG 2021 | Moderat-højt | Tidlige afgørelser om Google Analytics |
| Danmark | Datatilsynet | Cookiebekendtgørelsen | Moderat | Stigende håndhævelse siden 2022 |
| Sverige | IMY | LEK (2003:389) | Moderat-højt | Store bøder i 2023-2024 |
| Irland | DPC | SI 336/2011 | Moderat | Knudepunkt for Big Tech; kritiseret for håndhævelsestempo |
| Polen | UODO | Telekommunikationslov | Moderat | Voksende håndhævelsesaktivitet |
| Norge | Datatilsynet | Ekomloven | Moderat | EØS-medlem; følger EDPB's vejledning tæt |
Tyskland
Tilsynsmyndighed: Den føderale databeskyttelseskommissær (BfDI) på føderalt niveau samt 16 delstatslige databeskyttelsesmyndigheder (Landesdatenschutzbehörden).
National lovgivning: Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), som trådte i kraft den 1. december 2021, samlede Tysklands cookie-regler. § 25 i TTDSG implementerer artikel 5, stk. 3, i ePrivacy-direktivet og kræver samtykke til lagring af eller adgang til oplysninger på slutbrugerudstyr, medmindre lagringen er strengt nødvendig.
Væsentlige krav: TTDSG præciserede, at samtykke til cookies skal opfylde GDPR-standarden. Tysklands øverste domstol (BGH) havde allerede bekræftet dette i implementeringen af Planet49-afgørelsen (maj 2020), hvor den fastslog, at forudafkrydsede felter ikke er tilstrækkelige. TTDSG indførte også bestemmelser om anerkendte Personal Information Management Systems (PIMS), som skal give brugere mulighed for at administrere samtykkepræferencer centralt frem for på hvert enkelt website — selvom implementeringsreglerne for PIMS har været langsomme at få på plads.
Håndhævelse: Tysklands decentrale håndhævelsesstruktur betyder, at håndhævelsen af cookie-overholdelse varierer fra delstat til delstat. Databeskyttelsesmyndighederne i Berlin, Hamburg og Baden-Württemberg har været blandt de mest aktive. Databeskyttelsesmyndighedernes konference (DSK) udsender med jævne mellemrum fælles holdninger til krav om cookie-samtykke.
Bemærkelsesværdige tiltag: Flere undersøgelser af cookie-bannere, der brugte dark patterns, særligt "nudging"-designs, hvor accept-knappen var visuelt fremtrædende, mens afvisningsmuligheden var nedtonet. Bøderne har generelt været lavere end i Frankrig, men håndhævelsesaktiviteten er steget støt, siden TTDSG trådte i kraft.
Frankrig
Tilsynsmyndighed: Commission Nationale de l'Informatique et des Libertés (CNIL).
National lovgivning: Loi Informatique et Libertés (lov nr. 78-17), ændret for at implementere ePrivacy-direktivet. CNIL udstedte omfattende cookie-retningslinjer i september 2020 med en overgangsperiode, der udløb den 31. marts 2021.
Væsentlige krav: Frankrig er det strengeste store EU-marked for cookie-overholdelse. CNIL's retningslinjer kræver: samtykke før enhver ikke-nødvendig cookie sættes; en afvisningsmulighed i bannerets første lag, som er lige så let at bruge som accept-muligheden; ingen cookie-vægge (med begrænsede undtagelser bekræftet af Conseil d'État); detaljerede oplysninger om hvert cookie-formål.
Undtagelse for målgruppemåling: CNIL giver en begrænset undtagelse for cookies til målgruppemåling, der opfylder strenge betingelser: værktøjet skal være konfigureret til udelukkende at producere anonyme statistiske data, cookies skal være begrænset til udgiverens site, cookielevetiden må ikke overstige 13 måneder, og dataene må ikke kombineres med anden behandling. Værktøjer som Matomo (med specifik konfiguration) og AT Internet er blevet anerkendt under denne undtagelse. Google Analytics kvalificerer sig ikke.
Bemærkelsesværdige bøder: Frankrig har udstedt de største cookie-relaterede bøder i Europa. Google LLC fik en bøde på 150 mio. euro i december 2021 for at gøre det sværere at afvise end at acceptere cookies. Facebook fik en bøde på 60 mio. euro i samme sag. Microsoft fik en bøde på 60 mio. euro i december 2022. TikTok fik en bøde på 5 mio. euro i december 2022. Criteo fik en bøde på 40 mio. euro i juni 2023. Samlet set har CNIL pålagt over 400 mio. euro i cookie-specifikke bøder.
Italien
Tilsynsmyndighed: Garante per la protezione dei dati personali (Garante).
National lovgivning: Privacy Code (Decreto Legislativo 196/2003), ændret for at være i overensstemmelse med GDPR. Garante udstedte omfattende cookie-retningslinjer den 10. juni 2021 med krav om overholdelse senest den 10. januar 2022.
Væsentlige krav: Garantes retningslinjer fra 2021 er blandt de mest detaljerede i Europa. De kræver: et første-lags banner med en accept-knap og en tydeligt vist afvisningsknap (markeret med et "X" eller "Fortsæt uden at acceptere"); et andet lag, der er tilgængeligt fra det første banner, med granulær kontrol over cookie-kategorier; scrolling udgør udtrykkeligt ikke samtykke; cookie-samtykke skal indhentes på ny efter højst 6 måneder.
Bemærkelsesværdigt: Garante indførte konceptet om at kræve en specifik "luk"-knap på cookie-bannere frem for at tillade, at fortsat browsing fungerer som afvisning. Retningslinjerne behandlede også spørgsmålet om cookie-analyse og krævede samtykke til al tredjeparts-analyse, mens de kun tillod en begrænset undtagelse for førstepartsanalyseværktøjer med korrekt anonymiserede data.
Spanien
Tilsynsmyndighed: Agencia Española de Protección de Datos (AEPD).
National lovgivning: Ley de Servicios de la Sociedad de la Información (LSSI-CE) og Ley Orgánica de Protección de Datos (LOPDGDD).
Væsentlige krav: Spanien anlagde indledningsvis en mere lempelig tilgang til cookie-overholdelse, idet AEPD's cookie-vejledning fra 2013 antydede, at visse analyse-cookies måske kunne bruges på grundlag af legitim interesse. AEPD har dog gradvist tilpasset sig den strengere europæiske konsensus efter EDPB's vejledning og Planet49-afgørelsen. Den nuværende AEPD-vejledning kræver forudgående samtykke til analyse- og markedsføringscookies.
Bemærkelsesværdige tiltag: AEPD gav Vueling Airlines en bøde på 30.000 euro i 2020 for et cookie-banner, der kun gav en accept-mulighed uden mulighed for at afvise cookies. CaixaBank fik en bøde på 6 mio. euro i 2021, delvist relateret til databehandlingspraksis forbundet med cookie-baseret sporing. På det seneste har AEPD fokuseret på cookie-vægge og dark patterns i samtykkegrænseflader.
Nederlandene
Tilsynsmyndighed: Autoriteit Persoonsgegevens (AP).
National lovgivning: Telecommunicatiewet (telekommunikationsloven), artikel 11.7a.
Væsentlige krav: Nederlandene har indtaget en af de strengeste holdninger til cookie-vægge i Europa. AP har klart erklæret, at det ikke er gyldigt samtykke at gøre adgang til et website betinget af at acceptere cookies, fordi samtykke ikke er "frivilligt afgivet", hvis alternativet er at miste adgang til tjenesten. AP kræver også udtrykkeligt samtykke, før nogen sporingscookies sættes, og har været kritisk over for samtykkeplatforme, der bruger manipulerende design.
Bemærkelsesværdige tiltag: AP har undersøgt talrige websites for manglende cookie-overholdelse og har udsendt vejledning, der specifikt er rettet mod dark patterns i cookie-bannere. Myndigheden deltog også i koordinerede gennemgange af offentlige myndigheders websites for cookie-overholdelse. I 2024 øgede AP sin håndhævelsesaktivitet mod mindre organisationer, hvilket signalerede, at forventningerne til cookie-overholdelse gælder uanset virksomhedens størrelse.
Belgien
Tilsynsmyndighed: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).
National lovgivning: Lov af 13. juni 2005 om elektronisk kommunikation, ændret ved lov af 10. juli 2012.
Væsentlige krav: Belgien følger de standardmæssige krav i ePrivacy-direktivet. Den belgiske databeskyttelsesmyndighed fik global betydning inden for cookie-regulering, da den i februar 2022 afgjorde sagen om IAB Europe Transparency and Consent Framework (TCF) og fandt, at TCF's samtykkestreng udgjorde personoplysninger, og at IAB Europe var fælles dataansvarlig. Denne afgørelse, som delvist blev stadfæstet af EU-Domstolen i marts 2024, har konsekvenser for alle websites, der bruger TCF til styring af cookie-samtykke.
Bemærkelsesværdigt: IAB TCF-afgørelsen sendte chokbølger gennem onlineannoncebranchen, da TCF er det mest udbredte samtykkerammeværk for programmatisk annoncering i Europa. Selvom IAB Europe har gennemført ændringer for at imødekomme databeskyttelsesmyndighedens bekymringer, understregede sagen risiciene ved at forlade sig på branchedesignede samtykkerammeværk, der måske ikke fuldt ud opfylder GDPR-kravene.
Østrig
Tilsynsmyndighed: Datenschutzbehörde (DSB).
National lovgivning: Telekommunikationsgesetz 2021 (TKG 2021), § 165.
Væsentlige krav: Østrigs cookie-regler følger den standardmæssige ramme i ePrivacy-direktivet. Den østrigske DSB fik international opmærksomhed i januar 2022, da den blev den første europæiske databeskyttelsesmyndighed til at fastslå, at brugen af Google Analytics var i strid med GDPR, specifikt vedrørende overførsler af personoplysninger til USA efter Schrems II-afgørelsen. Selvom dette primært var et spørgsmål om dataoverførsel, havde det direkte konsekvenser for cookie-overholdelse, da Google Analytics-cookies blev anset for at udgøre personoplysninger, der blev overført til et tredjeland uden tilstrækkelige garantier.
Bemærkelsesværdigt: Google Analytics-afgørelsen udløste en række lignende afgørelser i hele Europa (Frankrig, Italien og andre fulgte trop) og fremskyndede udviklingen af privatlivsbevarende analysealternativer. DSB har fortsat været aktiv omkring spørgsmål vedrørende cookies og sporingsteknologi.
Danmark
Tilsynsmyndighed: Datatilsynet.
National lovgivning: Cookiebekendtgørelsen (bekendtgørelse om oplysning og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr), der implementerer bestemmelserne i ePrivacy-direktivet.
Væsentlige krav: Danmark kræver samtykke til alle cookies, undtagen dem der er strengt nødvendige for en tjeneste, som brugeren udtrykkeligt har anmodet om. Datatilsynet har udsendt vejledning, der bekræfter, at analyse-cookies kræver samtykke, og at fortsat browsing ikke udgør gyldigt samtykke. Dansk vejledning har i stigende grad tilpasset sig de strengere holdninger indtaget af CNIL og EDPB.
Bemærkelsesværdige tiltag: Datatilsynet har øget sin håndhævelsesaktivitet omkring cookies siden 2022 og har undersøgt websites i både den offentlige og private sektor. I 2023 traf myndigheden afgørelser mod flere danske websites for utilstrækkelige cookie-samtykkemekanismer, herunder sager hvor afvisningsmuligheden ikke var tilstrækkeligt synlig. Datatilsynet har også taget stilling til brugen af Google Analytics og Meta-sporingspixels på danske websites og har pålagt flere organisationer at ophøre med at bruge disse værktøjer uden korrekt samtykke og garantier for dataoverførsel.
Sverige
Tilsynsmyndighed: Integritetsskyddsmyndigheten (IMY).
National lovgivning: Lag om elektronisk kommunikation (LEK, 2003:389).
Væsentlige krav: Sverige er gået fra relativt lav cookie-håndhævelse til betydelige tiltag i de senere år. IMY udstedte sine første store cookie-relaterede bøder i 2023 og var rettet mod fire virksomheder (herunder Tele2, CDON, Dagens Industri og Coop) for et samlet beløb på over 100 mio. SEK (ca. 9 mio. euro) for at bruge Google Analytics og dele personoplysninger med Google uden gyldigt samtykke eller tilstrækkelige garantier for dataoverførsel.
Bemærkelsesværdigt: Håndhævelsestiltagene i 2023 signalerede et markant skift i Sveriges tilgang. IMY koordinerede med andre nordiske databeskyttelsesmyndigheder og fulgte de præcedenser, som den østrigske DSB og franske CNIL havde skabt om Google Analytics. Bøderne var blandt de største udstedt af nogen nordisk databeskyttelsesmyndighed og fastslog, at svensk håndhævelse nu er på niveau med de strengeste europæiske myndigheder.
Irland
Tilsynsmyndighed: Data Protection Commission (DPC).
National lovgivning: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).
Væsentlige krav: Irland følger den standardmæssige ramme i ePrivacy-direktivet. DPC's rolle som ledende tilsynsmyndighed for mange store teknologivirksomheder med hovedsæde i Irland (herunder Meta, Google, Apple, Microsoft og TikTok) har dog givet myndigheden en uforholdsmæssig stor betydning inden for europæisk databeskyttelse. DPC har udsendt vejledning om cookie-overholdelse og gennemført audits af websites i både den offentlige og private sektor.
Bemærkelsesværdigt: DPC er blevet kritiseret af andre europæiske databeskyttelsesmyndigheder og Europa-Parlamentet for det opfattede tempo i sin håndhævelse mod Big Tech. DPC har dog udstedt betydelige GDPR-bøder, herunder en bøde på 1,2 mia. euro mod Meta i 2023 for dataoverførsler. Specifikt vedrørende cookies gennemførte DPC gennemgange af websites i 2020 og 2021 og udstedte anbefalinger om overholdelse til talrige organisationer. Direkte cookie-specifikke bøder fra DPC har været relativt beskedne sammenlignet med CNIL.
Polen
Tilsynsmyndighed: Urząd Ochrony Danych Osobowych (UODO).
National lovgivning: Telekommunikationsloven (Prawo telekomunikacyjne), artikel 173.
Væsentlige krav: Polen kræver samtykke til cookies i overensstemmelse med ePrivacy-direktivet. UODO har udsendt vejledning, der bekræfter, at forudafkrydsede felter og fortsat browsing ikke udgør gyldigt samtykke. Polsk lovgivning indeholder specifikke bestemmelser om, hvilke oplysninger der skal gives til brugere om cookies, herunder formål, den dataansvarliges identitet og instruktioner til at administrere cookie-indstillinger.
Bemærkelsesværdigt: Polens håndhævelsesaktivitet omkring cookies er steget, idet UODO undersøger klager over cookie-bannere, der ikke overholder reglerne, og samarbejder med telekommunikationsmyndigheden. UODO har deltaget i EU-dækkende koordinerede håndhævelsesgennemgange og har tilpasset sin vejledning til EDPB's anbefalinger.
Norge
Tilsynsmyndighed: Datatilsynet (den norske databeskyttelsesmyndighed — adskilt fra den danske myndighed af samme navn).
National lovgivning: Ekomloven (lov om elektronisk kommunikation).
Væsentlige krav: Selvom Norge ikke er EU-medlemsstat, er landet medlem af Det Europæiske Økonomiske Samarbejdsområde (EØS) og har indarbejdet GDPR og ePrivacy-direktivet i sin nationale lovgivning gennem EØS-aftalen. Det norske Datatilsyn følger EDPB's vejledning tæt og har været aktiv i cookie-håndhævelsen.
Bemærkelsesværdige tiltag: Det norske Datatilsyn gav Grindr en bøde på 5 mio. euro i december 2021 (senere ændret til 6,5 mio. euro efter anke) for at dele brugerdata med annoncepartnere uden gyldigt samtykke. Selvom det primært var en samtykkesag relateret til datadeling snarere end cookies specifikt, skabte den vigtige præcedenser for samtykkekrav i sporingsteknologier. Myndigheden har også undersøgt brugen af Google Analytics og andre sporingsværktøjer på norske websites.
Vigtigste konklusioner
På trods af variationerne i national implementering og håndhævelse er der flere principper, der er ensartede på tværs af alle EU- og EØS-lande:
- Samtykke er påkrævet, før nogen ikke-nødvendig cookie sættes. Intet europæisk land accepterer en ren opt-out-model for cookies.
- Samtykke skal opfylde GDPR-standarden: frivilligt afgivet, specifikt, informeret, utvetydigt og påvist ved en klar bekræftende handling.
- Afvisning skal være lige så let som accept. Selvom den konkrete implementering kan variere (separat knap, X til at lukke osv.), er princippet om, at afvisning af cookies ikke må være sværere end at acceptere dem, universelt.
- Håndhævelsen øges overalt. Lande, der tidligere var lempelige, udsteder nu bøder og formelle afgørelser. Der findes ingen "sikker" europæisk jurisdiktion for manglende overholdelse.
- Koordineret håndhævelse vokser. Databeskyttelsesmyndigheder samarbejder i stigende grad gennem EDPB og gennemfører koordinerede gennemgange, hvilket betyder, at manglende overholdelse i ét land sandsynligvis vil tiltrække opmærksomhed i andre.
Overholder din website cookiereglerne?
Scan din website gratis og find alle cookies på få minutter.
Scan dine cookies gratis