Dark patterns i cookiebannere: hvad er ulovligt, hvad er risikabelt, og hvordan forbliver man compliant

Europæiske regulatorer kontrollerer ikke længere kun, om du har et cookiebanner — de kontrollerer, hvordan det opfører sig. Dark patterns — vildledende designvalg, der manipulerer brugere til at give samtykke, de ikke havde til hensigt at give — er blevet det primære håndhævningsmål for databeskyttelsesmyndigheder i 2025-2026. Bøder er reelle, de vokser, og de rammer virksomheder af alle størrelser.

Hvad er dark patterns i cookiesamtykke?

Et dark pattern er ethvert designvalg, der skubber brugere mod at samtykke, når et neutralt design ville føre dem til at afvise eller træffe et genuint frit valg. Det Europæiske Databeskyttelsesråd (EDPB) udstedte bindende retningslinjer i 2023, der definerer specifikke dark pattern-kategorier. Disse er ikke forslag — de har lovkraft i alle EU-medlemsstater.

De 7 mest almindelige dark patterns (og hvorfor de er ulovlige)

1. Skjult afvisningsknap

"Accepter alt" er en fremtrædende grøn knap, mens "Afvis" er et lille grå tekstlink begravet i et andet lag. Flere DPA'er har erklæret dette ugyldigt. CNIL bødestraf et stort teknologiselskab med €60 millioner delvist på grund af denne praksis.

2. Forudhakede bokse

Samtykkebanners indlæses med alle cookiekategorier allerede markerede. CJEU afgjorde i Planet49-sagen (2019), at forudhakede bokse ikke udgør gyldigt samtykke. Dette er gældende ret.

3. Cookie walls

At blokere adgangen til hjemmesiden fuldstændigt, indtil brugeren samtykker. EDPB's retningslinjer fastslår, at samtykke ikke er frit givet, hvis adgangen til tjenesten er betinget heraf. De fleste EU-DPA'er har bekræftet dette standpunkt.

4. Forvirrende sprog

Brug af juridisk jargon, dobbelte negativer eller bevidst komplekse formuleringer for at forvirre brugerne. "Ved ikke at fravælge ikke-essentielle cookies accepterer du..." er et dark pattern. Klart og enkelt sprog er påkrævet.

5. Følelsesmæssig manipulation

At give brugere skyldfølelse med fraser som "Jeg er ligeglad med min oplevelse" for afvisningsvalget, eller brug af triste ikoner og advarselsfarver på afvisningsknappen. Regulatorer har specifikt påpeget dette.

6. Asymmetrisk indsats

Et klik for at acceptere, fem klik for at afvise. Hvis afvisning af samtykke kræver navigation gennem flere skærme, skifte og bekræftelsesdialogbokse, mens accept er en enkelt knap, er dette et dark pattern.

7. Gentagen anmodning

At vise samtykkebannet igen til brugere, der allerede har afvist, i håb om at de til sidst klikker accepter af træthed. Når en bruger har truffet et valg, skal det valg respekteres, indtil de aktivt ændrer det.

Reelle bøder for dark patterns

  • CNIL (Frankrig): bøder på €60M og €40M mod store teknologivirksomheder for samtykkebanners, hvor afvisning var sværere end accept
  • Italiensk DPA: bøde på €20M for forudhakede samtykkebokse og cookie walls
  • Spansk AEPD: bøde på €2,5M for manipulativt cookiebanner-design
  • Belgisk DPA: afgjorde, at IAB Europes originale TCF-implementering involverede dark patterns
  • Østrigsk DSB: flere afgørelser mod asymmetriske samtykkedesigns

Sådan auditerer du dit banner for dark patterns

Kør denne tjekliste mod dit nuværende samtykkebannet:

  • Accept- og afvisningsknapper er samme størrelse, farveprominens og antal klik
  • Ingen bokse er forudmarkerede — alle samtykkekategorier starter som fravalgte
  • Hjemmesiden er tilgængelig uden at samtykke (ingen cookie wall)
  • Sproget er enkelt, klart og på besøgendes sprog
  • Ingen skyldfremkaldende tekst eller følelsesmæssig manipulation på afvisningsvalget
  • Tidligere valg huskes — banner vises ikke igen til brugere, der har afvist
  • En "Administrer præferencer"-mulighed findes ved siden af Accept og Afvis
  • Tilbagetrækning af samtykke er lige så nemt som at give det

FlexyConsent: dark pattern-fri af design

FlexyConsent er bygget med regulatorisk compliance som standard. Lige knapper, ingen forudhakede bokse, ingen cookie walls, klart sprog på 43+ sprog og automatisk respekt for tidligere valg. Som Google Certified CMP registreret hos IAB Europe følger FlexyConsent den strengeste fortolkning af EDPB's retningslinjer — så du aldrig behøver bekymre dig om dark pattern-håndhævelse.

← Blog Læs alt →