Skip to main content

Manipulativa mönster (dark patterns) i cookie-samtycke

Ett manipulativt mönster (dark pattern) är en design av användargränssnitt som får användare att göra val de annars inte skulle ha gjort. När det gäller cookie-samtycke styr manipulativa mönster användarna mot att acceptera alla cookies — inte genom tydlig information och verkligt val, utan genom visuell manipulation, förvirrande formuleringar och avsiktligt motstånd.

Manipulativa mönster i cookie-samtycke är inte bara dålig design — de utgör ett juridiskt ansvar. Dataskyddsmyndigheter i hela EU har utfärdat betydande böter specifikt för manipulativa samtyckesgränssnitt, och den regulatoriska granskningen skärps.

Varför manipulativa mönster ogiltigförklarar samtycke

Enligt GDPR måste samtycke vara:

  • Frivilligt (artikel 4.11) — användaren måste ha ett verkligt val, utan påtryckningar eller manipulation.
  • Specifikt — samtycke måste ges för varje enskilt ändamål.
  • Informerat — användaren måste förstå vad hen samtycker till.
  • Otvetydigt — givet genom en tydlig aktiv handling.

Manipulativa mönster undergräver "frivilligt" och "informerat" redan i designen. Om avvisningsalternativet är dolt, visuellt nedtonat eller begravt bakom flera klick, har användarens samtycke inte lämnats frivilligt. Om formuleringarna är förvirrande eller vilseledande, har användaren inte informerats. I båda fallen är samtycket juridiskt ogiltigt — och varje cookie som placeras utifrån det samtycket utgör en överträdelse.

EU:s Cookie Pledge

I november 2023 lanserade Europeiska kommissionen Cookie Pledge — ett frivilligt åtagande för företag att införa rättvis cookie-hantering. Även om det inte är juridiskt bindande signalerar Cookie Pledge kommissionens förväntningar och förebådar den regulatoriska riktningen.

Viktiga principer i Cookie Pledge:

  • Att avvisa cookies måste vara lika enkelt som att acceptera dem — vad gäller antal klick, visuell presentation och kognitiv ansträngning.
  • Inga manipulativa designelement som styr användare mot att acceptera.
  • Tydligt och enkelt språk som användare förstår vid en första anblick.
  • Inga cookieväggar som blockerar åtkomst till innehåll.
  • Enkelt att återkalla samtycke när som helst.

Bland de företag som skrev under Cookie Pledge finns flera stora varumärken. Även om initiativet är frivilligt har dataskyddsmyndigheter uttryckligen hänvisat till principerna i Cookie Pledge i sina tillsynsbeslut.

EDPB:s riktlinjer om manipulativa mönster

Europeiska dataskyddsstyrelsen (EDPB) publicerade Riktlinjer 03/2022 om manipulativa mönster i gränssnitt för sociala medieplattformar, vilka i stor utsträckning har tillämpats även på gränssnitt för cookie-samtycke. Riktlinjerna identifierar sex kategorier av manipulativa mönster:

  1. Överbelastning — att bombardera användare med överdriven information eller förfrågningar, vilket leder till beslutströtthet.
  2. Överhoppning — att utforma gränssnitt som hoppar över eller förvalar alternativ utan användarens aktiva medverkan.
  3. Påverkan — att använda känslomässigt språk eller visuella signaler för att styra användare mot ett visst val.
  4. Försvårande — att göra det svårt att utöva sina rättigheter (t.ex. hitta avvisningsknappen, komma åt inställningarna eller återkalla samtycke).
  5. Ombytlighet — inkonsekvent design som förvirrar användare om var de befinner sig och vad deras val innebär.
  6. Lämnad i ovisshet — att dölja information, använda tvetydigt språk eller ge ofullständig kontext.

Nationella dataskyddsmyndigheter har använt dessa kategorier som ett ramverk vid bedömning av cookiebanners i tillsynsärenden.

Vanliga manipulativa mönster med exempel

Förkryssade rutor

Att presentera kryssrutor för cookie-kategorier som redan är ikryssade, vilket kräver att användaren aktivt kryssar ur dem för att avvisa samtycke. Detta förklarades uttryckligen ogiltigt av EU-domstolen i Planet49-målet (C-673/17, oktober 2019). Domstolen slog fast att förkryssade rutor inte utgör en "aktiv indikation" på samtycke.

Trots detta otvetydiga avgörande fortsätter många webbplatser att använda förkryssade inställningspaneler, särskilt för kategorierna "analys" eller "funktionella". Var och en av dessa implementeringar genererar ogiltigt samtycke.

Ingen avvisningsknapp

Att endast visa "Acceptera alla" och "Hantera inställningar" i det första lagret, utan något alternativ för att avvisa. Användaren måste klicka på "Hantera inställningar", navigera i en sekundär panel, avmarkera alla kategorier och sedan klicka på "Spara" — vanligtvis tre till fem klick för att avvisa, jämfört med ett klick för att acceptera.

CNIL (Frankrikes dataskyddsmyndighet) har varit särskilt offensiv i sin tillsyn mot detta mönster. I sina tillsynsåtgärder i januari 2022 mot Google (150 miljoner euro) och Facebook (60 miljoner euro) hänvisade CNIL specifikt till avsaknaden av en enkel avvisningsmekanism i det första lagret som en överträdelse.

Visuell manipulation

Att göra "Acceptera"-knappen visuellt dominerande samtidigt som "Avvisa"-alternativet minimeras. Vanliga tekniker inkluderar:

  • En stor, klarfärgad "Acceptera alla"-knapp bredvid ett litet, grått eller transparent "Avvisa"-alternativ.
  • "Acceptera" som en solid knapp med hög kontrast medan "Avvisa" är en textlänk eller en ghost-knapp.
  • "Acceptera" i användarens visuella fokusbana (centrerad, högerjusterad eller i primär position) medan "Avvisa" placeras på en mindre framträdande plats.
  • Att använda grönt för "Acceptera" (signalerar trygghet/kör) och rött eller grått för "Avvisa" (signalerar fara/stopp/inaktiverat).

Principen är enkel: om en rimlig användare uppfattar acceptalternativet som det "förvalda" eller "rekommenderade" handlingsvalet enbart baserat på den visuella designen, använder bannern ett manipulativt mönster.

Förvirrande språk och "berättigat intresse"

Vissa samtyckesgränssnitt presenterar vissa spårningsändamål som baserade på "berättigat intresse" i stället för samtycke, där dessa ändamål är föraktiverade och kräver ett aktivt frånval snarare än ett aktivt tillval. Detta är tekniskt sett tillåtet enligt GDPR för genuina berättigade intressen, men det missbrukas i stor utsträckning.

När en cookiebanner listar dussintals annonsleverantörer under "berättigat intresse" med små reglage blir den praktiska effekten att de flesta användare inte förstår vad de ser och inte vidtar någon åtgärd — vilket leder till spårning som standard. Flera dataskyddsmyndigheter, däribland belgiska APD, har ifrågasatt detta förfarande och hävdat att berättigat intresse inte kan utgöra rättslig grund för annonsspårning.

För många klick för att avvisa

Asymmetrin i ansträngning är kanske det mest utbredda manipulativa mönstret:

Åtgärd Antal klick som krävs
Acceptera alla cookies 1 klick
Avvisa alla cookies (manipulativt mönster) 3–7 klick (öppna inställningar, avmarkera varje kategori, spara, eventuellt bekräfta)
Avvisa alla cookies (regelefterlevande) 1 klick ("Avvisa alla"-knapp i det första lagret)

EDPB:s riktlinjer om samtycke är tydliga: "Att återkalla samtycke ska vara lika enkelt som att ge det." Följaktligen ska det inte kräva mer ansträngning att avvisa samtycke än att ge det.

Cookieväggar

En cookievägg blockerar åtkomsten till webbplatsen helt om användaren inte accepterar cookies. Sidans innehåll döljs bakom ett överlägg, och det enda sättet att fortsätta är att klicka på "Acceptera".

EDPB har i sina Riktlinjer 05/2020 angett att cookieväggar generellt sett inte ger ett frivilligt samtycke, eftersom användaren inte ges ett verkligt val — det är "samtyck eller lämna". Vissa jurisdiktioner tillåter en mer nyanserad variant (den nederländska dataskyddsmyndigheten har till exempel antytt att cookieväggar kan vara acceptabla om användaren har ett verkligt likvärdigt alternativ), men den säkrare hållningen är att undvika dem helt.

Överbelastning med information

Vissa banners presenterar sidor av tät juridisk text, dussintals leverantörsreglage och komplexa kategorihierarkier — inte för att informera, utan för att överväldiga. Ställd inför en vägg av text och 150 enskilda leverantörsreglage klickar de flesta användare helt enkelt på "Acceptera alla" av ren utmattning. Detta är det manipulativa mönstret "överbelastning" som EDPB har identifierat: att använda uttömmande information för att förhindra meningsfullt engagemang.

Lösningen är en lagerbaserad metod: kortfattad, tydlig information i det första lagret, med detaljerad information tillgänglig men inte obligatorisk att navigera i.

Känslomässig manipulation

Att använda skuldbeläggande eller känsloladdat språk för att styra samtyckesval:

  • "Nej tack, jag bryr mig inte om en personanpassad upplevelse"
  • "Jag föredrar att se irrelevanta annonser"
  • "Fortsätt med en försämrad upplevelse"
  • Att använda ledsna emojis eller ogillande bilder när användaren rör sig mot att avvisa

Dessa "confirmshaming"-tekniker får användaren att känna att det är ett dåligt eller asocialt val att avvisa cookies. Språket bör vara neutralt och informativt, inte känslomässigt.

Verkliga exempel på tillsyn

Dataskyddsmyndigheterna har gått från vägledning till tillsyn. Här är några uppmärksammade fall där manipulativa mönster i cookie-samtycke ledde till betydande böter:

CNIL mot Google (150 miljoner euro) — januari 2022

CNIL fann att google.fr inte erbjöd en mekanism för att avvisa cookies lika enkelt som att acceptera dem. Att acceptera cookies krävde ett klick; att avvisa krävde navigering genom flera skärmar. Böterna åtföljdes av ett föreläggande om att tillhandahålla en "Avvisa alla"-knapp i det första lagret inom tre månader.

CNIL mot Facebook (60 miljoner euro) — januari 2022

Samma tillsynsåtgärd. Facebooks cookiebanner på facebook.com saknade ett avvisningsalternativ i det första lagret. Användarna var tvungna att navigera genom inställningarna för att avvisa cookies. CNIL utfärdade böter och beordrade åtgärder.

CNIL mot Microsoft (60 miljoner euro) — december 2022

CNIL fann att bing.com placerade annonscookies utan giltigt samtycke och att cookiebannern inte erbjöd ett lika enkelt sätt att avvisa cookies.

CNIL mot TikTok (5 miljoner euro) — december 2022

TikToks cookiebanner krävde flera åtgärder för att avvisa cookies. CNIL fann att detta bröt mot kravet på lika lättillgängliga mekanismer för samtycke och avvisning.

Italienska Garante mot diverse företag — 2023

Den italienska dataskyddsmyndigheten genomförde granskningar inriktade på manipulativa mönster i cookiebanners, och utfärdade varningar och böter till flera företag för användningen av manipulativ design på accept-/avvisningsknappar.

Hur man utformar etiska samtyckesgränssnitt

Att utforma ett etiskt gränssnitt för cookie-samtycke handlar inte bara om att undvika böter — det handlar om att respektera dina användare och bygga förtroende. Här är principerna:

  1. Lika framträdande. Accept- och avvisningsalternativen måste vara visuellt identiska i storlek, färgvikt och placering. Om "Acceptera" är en solid blå knapp måste "Avvisa" också vara en solid knapp av samma storlek.
  2. Lika ansträngning. Att avvisa cookies måste kräva samma antal klick som att acceptera dem. Ett klick för att acceptera betyder ett klick för att avvisa.
  3. Tydligt språk. Använd enkelt och neutralt språk. "Acceptera alla" och "Avvisa alla" — inte "Acceptera" och "Läs mer".
  4. Inga förval. Alla icke-nödvändiga cookie-kategorier måste vara avstängda som standard. Inga förkryssade rutor, inga föraktiverade berättigade intressen.
  5. Ärlig information. Beskriv vad cookies gör i faktiska termer. Inga eufemismer, inga skrämseltaktiker, ingen känslomässig manipulation.
  6. Tillgängliga inställningar. Inställningspanelen ska vara enkel att navigera i, med tydliga kategorier och kortfattade beskrivningar.
  7. Enkel återkallelse. En permanent inställningsikon eller länk måste finnas tillgänglig på varje sida så att användare kan ändra sina inställningar när som helst.

Checklista: Är min banner fri från manipulativa mönster?

Använd denna checklista för att granska din nuvarande cookiebanner:

  1. Finns det en "Avvisa alla"-knapp i bannerns första lager?
  2. Är avvisningsknappen lika stor som acceptknappen?
  3. Har avvisningsknappen samma visuella stil som acceptknappen (båda solida, båda med kontur osv.)?
  4. Kräver det att avvisa cookies samma antal klick som att acceptera dem?
  5. Är alla icke-nödvändiga cookie-kategorier avstängda som standard i inställningspanelen?
  6. Är språket neutralt och faktabaserat (ingen skuldbeläggning, ingen känslomässig manipulation)?
  7. Kan användaren komma åt webbplatsens innehåll utan att acceptera cookies (ingen cookievägg)?
  8. Kan användaren ändra sina inställningar när som helst via en synlig länk eller ikon?
  9. Är ändamålsbeskrivningen specifik (inte bara "förbättra din upplevelse")?
  10. Placeras inga cookies innan användaren gör ett val?

Om du svarade "nej" på någon av dessa frågor kan din banner innehålla manipulativa mönster som utsätter dig för regulatorisk risk.

Passiros samtyckesbanner är utformad från grunden för att vara fri från manipulativa mönster och uppfyller varje kriterium på denna checklista som standard. Läs hur Passiro kan hjälpa dig att implementera etiskt och regelefterlevande cookie-samtycke.

Följer din webbplats cookiereglerna?

Skanna din webbplats gratis och hitta alla cookies på några minuter.

Skanna dina cookies gratis