Skip to main content

Cookie- og databeskyttelsesregler: Et globalt overblik

Cookie-compliance er ikke reguleret af én enkelt lov. Den formes af et kludetæppe af nationale og regionale regler, der varierer betydeligt i deres omfang, krav og håndhævelse. For enhver hjemmeside med et internationalt publikum — hvilket på det åbne internet er stort set alle hjemmesider — er det afgørende at forstå, hvilke love der gælder, og hvordan de adskiller sig.

Denne guide kortlægger det globale reguleringslandskab for cookies og online sporing, fra EU's samtykke-først-model til USA's oplysnings- og valgtilgang og nye rammer andre steder.

Det globale kludetæppe

Der findes ikke én enkelt "cookielov". I stedet ligger cookie-compliance i skæringspunktet mellem databeskyttelsesregler, direktiver om elektronisk kommunikation og forbrugerbeskyttelseslove. Resultatet er et komplekst, til tider modstridende landskab, hvor den samme hjemmeside kan være underlagt forskellige regler afhængigt af, hvor dens besøgende befinder sig.

To brede modeller har vist sig:

  • EU-modellen (samtykke-først): Ikke-nødvendige cookies må først sættes, efter at brugeren har givet et informeret, specifikt og frivilligt samtykke. Standarden er ingen sporing. Brugeren skal aktivt vælge til.
  • USA-modellen (oplysning og valg): Virksomheder skal oplyse om deres dataindsamlingspraksis og give brugerne mulighed for at fravælge visse anvendelser (særligt salg eller deling af personoplysninger). Standarden er sporing, hvor brugeren kan vælge fra.

De fleste nye databeskyttelsesregler verden over konvergerer mod EU-modellen, dog med lokale variationer. Det er nødvendigt at forstå begge modeller — og de specifikke love inden for dem — for enhver hjemmeside, der opererer på tværs af grænser.

EU-rammen: ePrivacy-direktivet + GDPR

EU's tilgang til cookieregulering bygger på to juridiske instrumenter, der arbejder sammen:

ePrivacy-direktivet (2002/58/EF)

ePrivacy-direktivet — ofte kaldet "cookiedirektivet" — er den primære EU-lov, der regulerer brugen af cookies og lignende sporingsteknologier. Dets centrale bestemmelse, artikel 5, stk. 3, fastslår:

Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at den pågældende abonnent eller bruger har givet sit samtykke hertil efter at have modtaget klare og fyldestgørende oplysninger.

Den eneste undtagelse gælder cookies, der er "strengt nødvendige" for at levere en tjeneste, som brugeren udtrykkeligt har anmodet om — for eksempel session-cookies til en indkøbskurv eller loginstatus.

Vigtigt: ePrivacy-direktivet er et direktiv, ikke en forordning. Det betyder, at hver EU-medlemsstat har omsat det til national lovgivning med lokale variationer. Grundprincippet (samtykke kræves for ikke-nødvendige cookies) er ensartet, men implementeringsdetaljerne varierer. For eksempel:

  • Frankrig (CNIL): Har udstedt detaljerede cookieretningslinjer, herunder en begrænset undtagelse for visse publikumsmålingsværktøjer, der opfylder strenge betingelser (anonymisering, ingen sporing på tværs af sites, begrænset opbevaring).
  • Tyskland: Implementeret gennem TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), som trådte i kraft i december 2021 og udtrykkeligt kodificerede samtykkekravet.
  • Italien (Garante): Offentliggjorde detaljerede cookieretningslinjer i 2021, der kræver en afvis-knap på det første lag og forbyder cookievægge.
  • Holland (AP): Har indtaget en noget mere lempelig holdning til cookievægge og antyder, at de kan være acceptable, hvis brugeren har en reel alternativ måde at få adgang til indholdet.

GDPR (forordning (EU) 2016/679)

Databeskyttelsesforordningen nævner ikke specifikt cookies, men den regulerer behandlingen af personoplysninger — og cookies involverer ofte personoplysninger. GDPR er relevant for cookie-compliance på flere måder:

  • Samtykkestandard (artikel 4, nr. 11, artikel 7): GDPR definerer, hvad der udgør gyldigt samtykke: frivilligt, specifikt, informeret, utvetydigt og givet ved en klar bekræftende handling. Denne standard gælder for cookiesamtykke indhentet i henhold til ePrivacy-direktivet.
  • Gennemsigtighed (artikel 12-14): Når cookies behandler personoplysninger, gælder GDPR's gennemsigtighedskrav. Det betyder, at din cookiepolitik skal give specifikke oplysninger om den involverede databehandling.
  • Retligt grundlag (artikel 6): Behandling af personoplysninger gennem cookies kræver et retligt grundlag. For ikke-nødvendige cookies er dette grundlag samtykke. Nogle dataansvarlige forsøger at støtte sig på legitim interesse (artikel 6, stk. 1, litra f), men databeskyttelsesmyndigheder har i stigende grad afvist legitim interesse som grundlag for reklame- og analysesporing.
  • Registreredes rettigheder (artikel 15-22): Brugere har ret til indsigt, berigtigelse, sletning og dataportabilitet af deres data — herunder data indsamlet gennem cookies.
  • Ekstraterritorial rækkevidde (artikel 3): GDPR gælder for enhver organisation, der behandler personoplysninger om personer i EU, uanset hvor organisationen er etableret. En amerikansk virksomhed, der henvender sig til EU-kunder, skal overholde reglerne.

Den kommende ePrivacy-forordning

Europa-Kommissionen foreslog en ePrivacy-forordning i 2017 til at erstatte ePrivacy-direktivet, harmonisere reglerne på tværs af medlemsstaterne og opdatere dem til moderne teknologier. Fra begyndelsen af 2026 er forordningen endnu ikke færdiggjort. Forhandlingerne har været langvarige med uenigheder om undtagelser for legitim interesse, bestemmelser om cookievægge og samtykkemekanismer på browserniveau.

Når den til sidst vedtages, vil ePrivacy-forordningen gælde direkte i alle medlemsstater (i modsætning til det nuværende direktiv, der kræver national omsætning). Indtil da forbliver det eksisterende ePrivacy-direktiv og dets nationale implementeringer den gældende lov.

USA-rammen: Databeskyttelseslove på delstatsniveau

USA har ingen føderal cookielov og ingen føderal omfattende databeskyttelseslov (fra begyndelsen af 2026). I stedet er databeskyttelsesregulering opstået på delstatsniveau, hvilket skaber et kludetæppe af krav.

Californien: CCPA og CPRA

California Consumer Privacy Act (CCPA), som ændret ved California Privacy Rights Act (CPRA), er den mest omfattende amerikanske delstatsdatabeskyttelseslov. Centrale bestemmelser relevante for cookies:

  • Ret til at fravælge salg/deling. Forbrugere har ret til at fravælge "salg" eller "deling" af deres personoplysninger. Under CPRA omfatter "deling" deling af data med tredjeparter til adfærdsbaseret reklame på tværs af kontekster — hvilket er præcis, hvad de fleste reklamecookies gør.
  • Intet forudgående samtykke påkrævet. I modsætning til EU-modellen kræver CCPA/CPRA ikke forudgående samtykke til cookies. Standarden er, at sporing er tilladt, og brugere skal aktivt fravælge.
  • "Do Not Sell or Share"-link. Virksomheder skal have et iøjnefaldende "Do Not Sell or Share My Personal Information"-link på deres hjemmeside.
  • Global Privacy Control (GPC). Virksomheder skal respektere GPC-browsersignalet som en gyldig fravalgsanmodning. Hvis en brugers browser sender et GPC-signal, skal virksomheden behandle det, som om brugeren klikkede på "Do Not Sell or Share".
  • Oplysning ved indsamling. Virksomheder skal ved eller før indsamlingstidspunktet oplyse om kategorierne af indsamlede personoplysninger og formålene med, at de vil blive brugt.

Andre amerikanske delstatslove

I kølvandet på Californien har talrige amerikanske delstater vedtaget omfattende databeskyttelseslove. Fra begyndelsen af 2026 omfatter delstater med gældende databeskyttelseslove:

Delstat Lov Ikrafttrædelsesdato Cookierelevante funktioner
Virginia VCDPA Januar 2023 Fravalg af målrettet reklame, salg af data
Colorado CPA Juli 2023 Fravalg af målrettet reklame, salg af data; skal respektere universelle fravalgssignaler
Connecticut CTDPA Juli 2023 Fravalg af målrettet reklame, salg af data; skal respektere universelle fravalgssignaler
Utah UCPA December 2023 Fravalg af målrettet reklame, salg af data
Texas TDPSA Juli 2024 Fravalg af målrettet reklame, salg af data; skal respektere universelle fravalgssignaler
Oregon OCPA Juli 2024 Fravalg af målrettet reklame, salg af data; skal respektere universelle fravalgssignaler
Montana MCDPA Oktober 2024 Fravalg af målrettet reklame, salg af data; skal respektere universelle fravalgssignaler

Yderligere delstater har vedtaget love med ikrafttrædelsesdatoer i 2025 og 2026. Tendensen er tydelig: databeskyttelsesregulering på delstatsniveau er i vækst, og de fleste nye love indeholder fravalgsrettigheder for målrettet reklame, der direkte påvirker cookiepraksis.

Andre bemærkelsesværdige regler

Storbritannien: UK GDPR og PECR

Efter Brexit bevarede Storbritannien GDPR som "UK GDPR" og håndhæver fortsat Privacy and Electronic Communications Regulations (PECR), der implementerer ePrivacy-direktivet. Kravene til cookies er stort set identiske med EU: forudgående samtykke kræves for ikke-nødvendige cookies med en snæver undtagelse for strengt nødvendige cookies. Information Commissioner's Office (ICO) håndhæver disse regler og har offentliggjort detaljeret cookievejledning.

Brasilien: LGPD

Brasiliens Lei Geral de Protecao de Dados (LGPD), gældende siden 2020, er stærkt inspireret af GDPR. Den kræver et retligt grundlag for behandling af personoplysninger, herunder data indsamlet gennem cookies. Selvom LGPD ikke har en direkte pendant til ePrivacy-direktivets cookiespecifikke bestemmelse, skal samtykke eller legitim interesse etableres for cookiebaseret databehandling. ANPD (den nationale databeskyttelsesmyndighed) udsteder gradvist vejledning om cookies og samtykke.

Canada: PIPEDA og Bill C-27

Canadas Personal Information Protection and Electronic Documents Act (PIPEDA) kræver "meningsfuldt samtykke" til indsamling, brug og videregivelse af personoplysninger. For cookies, der indsamler personoplysninger, skal organisationer indhente samtykke og give klare oplysninger om deres praksis. Bill C-27, den foreslåede Consumer Privacy Protection Act, vil modernisere Canadas rammer med stærkere samtykkekrav, men dens vedtagelse er blevet forsinket.

Japan: APPI

Japans Act on the Protection of Personal Information (APPI), ændret i 2022, indførte begrebet "personligt henførbare oplysninger", som kan omfatte cookie-identifikatorer i visse sammenhænge. Når cookiedata kombineres med andre oplysninger for at identificere en person, gælder samtykkekravene.

Sydkorea: PIPA

Sydkoreas Personal Information Protection Act (PIPA), ændret i 2023, kræver samtykke til indsamling og brug af personoplysninger, hvilket kan omfatte cookiedata, når de identificerer eller kan identificere en person.

Konvergenstendens

På trods af det nuværende kludetæppe tegner der sig en tydelig tendens: de fleste nye databeskyttelseslove følger EU-modellen med samtykke-først og brugerstyrkende regulering. Selv amerikanske delstatslove, som teknisk set bygger på fravalg frem for tilvalg, bevæger sig mod strengere krav med universelle fravalgssignaler (GPC), principper om dataminimering og udvidede definitioner af "personoplysninger", der omfatter cookie-identifikatorer.

I praksis betyder denne konvergens, at hjemmesider, der implementerer cookie-compliance på EU-niveau (forudgående samtykke, klart accepter/afvis, granulære kategorier, gennemsigtige politikker), er godt positioneret til at overholde de fleste andre jurisdiktioner. EU-standarden er den højeste fællesnævner.

Risikovurdering: Hvilke love gælder for din hjemmeside?

Det centrale spørgsmål for enhver hjemmesideoperatør er: hvilke love gælder for mig? Svaret afhænger af to faktorer:

  1. Hvor din organisation er etableret. Du er underlagt databeskyttelseslovene i de jurisdiktioner, hvor din organisation har en etablering (kontor, datterselskab, filial).
  2. Hvor dine brugere befinder sig. Under GDPR's ekstraterritoriale rækkevidde (artikel 3, stk. 2) er du underlagt EU's databeskyttelseslovgivning, hvis du tilbyder varer eller tjenester til personer i EU, eller hvis du overvåger adfærden hos personer i EU. Lignende ekstraterritoriale bestemmelser findes i UK GDPR, Brasiliens LGPD og andre love.

I praksis bør du, hvis din hjemmeside er tilgængelig for brugere i EU — og du har nogen EU-trafik, hvilket stort set alle hjemmesider har — overholde ePrivacy-direktivet og GDPR. Hvis du har amerikansk trafik, bør du håndtere CCPA/CPRA (Californien) og andre gældende delstatslove.

En pragmatisk tilgang:

  • Implementér samtykke på EU-standard for alle besøgende fra EU/EØS/Storbritannien (forudgående tilvalgssamtykke for ikke-nødvendige cookies).
  • Implementér fravalgsmekanismer for amerikanske besøgende (Do Not Sell/Share-link, GPC-understøttelse).
  • Vælg som standard den højeste standard, hvis geografisk detektion er upraktisk. Samtykke på EU-niveau opfylder stort set alle jurisdiktioner.

Ekstraterritorial rækkevidde

Et af de mest betydningsfulde aspekter ved moderne databeskyttelsesregulering er dens ekstraterritoriale rækkevidde. GDPR (artikel 3, stk. 2) gælder for organisationer uden for EU, der:

  • Tilbyder varer eller tjenester til personer i EU (selv gratis — en hjemmeside, der er tilgængelig i EU, og som henvender sig til EU-brugere, kvalificerer), eller
  • Overvåger adfærden hos personer i EU (analyse- og reklamesporing udgør overvågning).

Det betyder, at en amerikansk virksomhed, der kører Google Analytics på en hjemmeside, der modtager EU-trafik, teknisk set er underlagt GDPR og ePrivacy-direktivets cookiekrav. Håndhævelse over for ikke-EU-organisationer har historisk været begrænset, men er stigende, særligt for store virksomheder. Den praktiske risiko for mindre organisationer afhænger af synlighed og klageomfang, men den retlige forpligtelse eksisterer uanset størrelse.

Håndhævelseslandskabet

Håndhævelsen af cookie-compliance er intensiveret dramatisk siden 2020. Centrale tendenser:

Hvem håndhæver

I EU håndhæver de nationale databeskyttelsesmyndigheder (DPA'er) både ePrivacy-direktivet og GDPR. Bemærkelsesværdige aktive håndhævere omfatter CNIL (Frankrig), Garante (Italien), Datatilsynet (Danmark og Norge), BfDI (Tyskland på føderalt niveau) og APD (Belgien). EDPB koordinerer grænseoverskridende håndhævelse.

I USA håndhæver Californiens justitsminister og California Privacy Protection Agency CCPA/CPRA. Delstaternes justitsministre håndhæver andre delstatslove.

Hvordan de håndhæver

  • Klagedrevne undersøgelser. De fleste håndhævelser begynder med en brugerklage til en DPA. Klagen udløser en undersøgelse af hjemmesidens cookiepraksis.
  • Screeningsundersøgelser. DPA'er gennemfører periodisk sektordækkende screeninger, hvor de scanner hundredvis af hjemmesider for cookie-compliance. CNIL, det italienske Garante og det danske Datatilsyn har alle gennemført offentligt kendte screeninger.
  • NGO-klager. Databeskyttelsesorganisationer som noyb (ledet af Max Schrems) har indgivet masseklager mod hundredvis af hjemmesider og skabt betydeligt håndhævelsesomfang. Alene noybs klager over cookiebannere har ført til snesevis af håndhævelsestiltag på tværs af EU.

Sanktioner

GDPR-bøder for cookieovertrædelser kan nå op til 20 mio. EUR eller 4 % af den årlige globale omsætning, alt efter hvad der er højest. I praksis har bøder for cookieovertrædelser spændt fra advarsler (for små organisationer med mindre overtrædelser) til 150 mio. EUR (Google, CNIL, 2022). Tendensen går mod højere bøder og hyppigere håndhævelse.

Ud over bøder medfører manglende compliance omdømmerisiko, skade på forbrugertilliden og de operationelle omkostninger ved akut udbedring under en tilsynsmyndigheds påbud.

Passiro hjælper dig med at navigere i denne reguleringskompleksitet med automatiseret compliance, der tilpasser sig de love, der gælder for dine besøgende. Se, hvordan Passiro forenkler cookie-compliance på tværs af jurisdiktioner.

Overholder din website cookiereglerne?

Scan din website gratis og find alle cookies på få minutter.

Scan dine cookies gratis