Dark patterns i cookiebannere: hvad er ulovligt, hvad er risikabelt, og hvordan forbliver man compliant
Europæiske regulatorer kontrollerer ikke længere kun, om du har et cookiebanner — de kontrollerer, hvordan det opfører sig. Dark patterns — vildledende designvalg, der manipulerer brugere til at give samtykke, de ikke havde til hensigt at give — er blevet det primære håndhævningsmål for databeskyttelsesmyndigheder i 2025-2026. Bøder er reelle, de vokser, og de rammer virksomheder af alle størrelser.
Hvad er dark patterns i cookiesamtykke?
Et dark pattern er ethvert designvalg, der skubber brugere mod at samtykke, når et neutralt design ville føre dem til at afvise eller træffe et genuint frit valg. Det Europæiske Databeskyttelsesråd (EDPB) udstedte bindende retningslinjer i 2023, der definerer specifikke dark pattern-kategorier. Disse er ikke forslag — de har lovkraft i alle EU-medlemsstater.
De 7 mest almindelige dark patterns (og hvorfor de er ulovlige)
1. Skjult afvisningsknap
"Accepter alt" er en fremtrædende grøn knap, mens "Afvis" er et lille grå tekstlink begravet i et andet lag. Flere DPA'er har erklæret dette ugyldigt. CNIL bødestraf et stort teknologiselskab med €60 millioner delvist på grund af denne praksis.
2. Forudhakede bokse
Samtykkebanners indlæses med alle cookiekategorier allerede markerede. CJEU afgjorde i Planet49-sagen (2019), at forudhakede bokse ikke udgør gyldigt samtykke. Dette er gældende ret.
3. Cookie walls
At blokere adgangen til hjemmesiden fuldstændigt, indtil brugeren samtykker. EDPB's retningslinjer fastslår, at samtykke ikke er frit givet, hvis adgangen til tjenesten er betinget heraf. De fleste EU-DPA'er har bekræftet dette standpunkt.
4. Forvirrende sprog
Brug af juridisk jargon, dobbelte negativer eller bevidst komplekse formuleringer for at forvirre brugerne. "Ved ikke at fravælge ikke-essentielle cookies accepterer du..." er et dark pattern. Klart og enkelt sprog er påkrævet.
5. Følelsesmæssig manipulation
At give brugere skyldfølelse med fraser som "Jeg er ligeglad med min oplevelse" for afvisningsvalget, eller brug af triste ikoner og advarselsfarver på afvisningsknappen. Regulatorer har specifikt påpeget dette.
6. Asymmetrisk indsats
Et klik for at acceptere, fem klik for at afvise. Hvis afvisning af samtykke kræver navigation gennem flere skærme, skifte og bekræftelsesdialogbokse, mens accept er en enkelt knap, er dette et dark pattern.
7. Gentagen anmodning
At vise samtykkebannet igen til brugere, der allerede har afvist, i håb om at de til sidst klikker accepter af træthed. Når en bruger har truffet et valg, skal det valg respekteres, indtil de aktivt ændrer det.
Reelle bøder for dark patterns
- CNIL (Frankrig): bøder på €60M og €40M mod store teknologivirksomheder for samtykkebanners, hvor afvisning var sværere end accept
- Italiensk DPA: bøde på €20M for forudhakede samtykkebokse og cookie walls
- Spansk AEPD: bøde på €2,5M for manipulativt cookiebanner-design
- Belgisk DPA: afgjorde, at IAB Europes originale TCF-implementering involverede dark patterns
- Østrigsk DSB: flere afgørelser mod asymmetriske samtykkedesigns
Sådan auditerer du dit banner for dark patterns
Kør denne tjekliste mod dit nuværende samtykkebannet:
- Accept- og afvisningsknapper er samme størrelse, farveprominens og antal klik
- Ingen bokse er forudmarkerede — alle samtykkekategorier starter som fravalgte
- Hjemmesiden er tilgængelig uden at samtykke (ingen cookie wall)
- Sproget er enkelt, klart og på besøgendes sprog
- Ingen skyldfremkaldende tekst eller følelsesmæssig manipulation på afvisningsvalget
- Tidligere valg huskes — banner vises ikke igen til brugere, der har afvist
- En "Administrer præferencer"-mulighed findes ved siden af Accept og Afvis
- Tilbagetrækning af samtykke er lige så nemt som at give det
FlexyConsent: dark pattern-fri af design
FlexyConsent er bygget med regulatorisk compliance som standard. Lige knapper, ingen forudhakede bokse, ingen cookie walls, klart sprog på 43+ sprog og automatisk respekt for tidligere valg. Som Google Certified CMP registreret hos IAB Europe følger FlexyConsent den strengeste fortolkning af EDPB's retningslinjer — så du aldrig behøver bekymre dig om dark pattern-håndhævelse.