Hvad DSA dækker, og hvem den gælder for

DSA er en forordning, ikke et direktiv — den har direkte virkning i alle EU-medlemsstater uden behov for national implementering. Den trådte fuldt i kraft for meget store onlineplatforme og søgemaskiner i august 2023 og for alle andre i februar 2024, hvilket betyder, at udgivere nu har to års operationel erfaring med regimet. Loven skaber et lagdelt sæt forpligtelser baseret på størrelse og platformtype: mikro- og små virksomheder er i vid udstrækning undtaget, formidlingstjenester har grundlæggende forpligtelser, hostingudbydere står over for indholdsmoderationspligter, onlineplatforme står over for yderligere transparensregler, og meget store onlineplatforme (over femogfyrre millioner aktive EU-brugere månedligt) står over for de strengeste forpligtelser herunder systemrisikovurderinger og eksterne revisioner.

Hvor de fleste udgivere befinder sig

Den store majoritet af udgivere falder ind under kategorien onlineplatforme — de hoster brugergenereret indhold (kommentarer, forumindlæg, læserbidrag), viser annoncer og anbefaler indhold via algoritmiske feeds eller relaterede-artikler-moduler. Onlineplatformsniveauet er der, hvor DSA bliver operationelt relevant: begrænsninger for målrettet annoncering til mindreårige, transparensforpligtelser om annonceleverance og targetingparametre, forklaringer om anbefalingssystemer og fravalg og et anmeldelses-og-foranstaltningsregime for ulovligt indhold. Udgivere over tærsklen for meget store onlineplatforme tilføjer systemrisikovurdering, forpligtelser som ekstern revisor og kravet om at give Kommissionens godkendte forskere adgang til platformsdata.

Den geografiske test

DSA gælder ekstraterritorialt. En amerikansk udgiver med europæiske besøgende er inden for rammerne, så snart EU-brugere kan interagere med tjenesten — hvilket i praksis gælder ethvert offentligt tilgængeligt websted. Kriteriet er ikke, hvor udgiveren er baseret, men om tjenesten tilbydes EU-modtagere. I lighed med GDPR opfanger dette som standard størstedelen af den globale forlagsindustri.

Begrænsningerne for målrettet annoncering

Det DSA-lag, der betyder mest for cookiesamtykke og annonceoperationer, er artikel 26, som begrænser målrettet annoncering på to specifikke måder, som udgivere skal konstruere løsninger omkring.

Forbuddet mod targeting af mindreårige

DSA forbyder målrettet annoncering til mindreårige baseret på profilering ved brug af personoplysninger. Forbuddet gælder, når udgiveren ved eller med rimelighed bør vide, at modtageren er mindreårig — hvilket i praksis betyder, at det træder i kraft for ethvert signal, en udgiver med rimelighed kan handle på (en selvangivet alder, et signal fra forældrekontrol, en indholdskategori der stærkt indikerer et ungt publikum, en kontoflag fra udgiverens eget brugersystem). CMP'en skal kode denne begrænsning: selv hvis en mindreårig bruger accepterer marketingcookies, skal stien til målrettet annoncering som standard være slået fra. Alternativet er kontekstuel annoncering — annonceudvælgelse baseret på sideindhold frem for brugerprofiler — som de fleste større SSP'er og annonceservere nu tilbyder som en primær leveringstilstand.

Forbuddet mod følsomme data

DSA forbyder også målrettet annoncering baseret på profilering, der bruger særlige kategorier af personoplysninger som defineret i GDPR artikel 9 — race, religion, politiske synspunkter, fagforeningsmedlemskab, helbred, seksualliv, seksuel orientering, biometriske data, genetiske data. Forbuddet er absolut: samtykke ophæver det ikke. Udgivere der driver indholdskategorier, der berører nogen af disse områder — sundhedsudgivere, religiøse medier, politiske nyhedssider, LGBTQ+-publikationer — skal sikre, at deres reklameteknikstack ikke videresender profil-signaler afledt af disse data til annoncører, selv når brugeren har samtykket til alle kategorier af markedsføring.

Operationelle konsekvenser for CMP'en

CMP'en skal kode DSA-begrænsningerne som hårde låse, ikke som samtykkestatus-kontakter. En samtykkekwittance der siger, at alle kategorier er accepteret, giver ikke tilladelse til målrettet annoncering til en mindreårig eller baseret på artikel 9-data. De reneste implementeringsruter dirigerer samtykkestatus, signalet for mindreårige og sidens følsomme indholds-klassificering gennem en enkelt beslutningsfunktion, der sidder mellem CMP'en og reklameteknik-leverandørerne, og funktionen falder som standard tilbage til kontekstuel levering, når nogen af DSA-lågene aktiveres.

Fravalget af anbefalingssystemet

Artikel 38 i DSA kræver, at onlineplatforme der bruger anbefalingssystemer — algoritmisk rangering af indhold i feeds, relaterede-artikler-moduler, video-op-næste-køer — forklarer de vigtigste parametre for disse systemer og tilbyder brugerne mindst én mulighed, der ikke er baseret på profilering. Udgivere der driver personaliseret indholdsopdagelse kan ikke gøre profilering til den eneste tilgængelige tilstand.

Hvad den ikke-profileringsbaserede tilstand ser ud som

Den ikke-profileringsbaserede tilstand er typisk et kronologisk feed, et popularitetssorteret feed eller et redaktionelt kurateret feed, der ikke personaliserer baseret på den individuelle brugers adfærd. Brugeren skal have mulighed for at skifte til det via en tydeligt synlig kontrol — ikke begravet i kontoindstillinger — og valget skal huskes til fremtidige sessioner. Udgivere bør behandle anbefalingssystemkontrollen som en primær del af samtykke-UX, ofte fremvist via den samme CMP-grænseflade, der håndterer cookiepræferencer.

Transparens om rankingparametre

Platformen skal offentliggøre, i klart sprog, de vigtigste parametre, som dens anbefalingssystem bruger — aktualitet, popularitet, lighed med tidligere adfærd, redaktionel vægt, reklamerelevans. Offentliggørelsen er typisk et afsnit i privatlivspolitikken eller en dedikeret transparensside, og den skal være specifik nok til, at en regulator ved læsning af den kan verificere beskrivelsen i forhold til faktisk platformadfærd. Et vagt sprog som, at platformen bruger NLP-baseret maskinlæring til at anbefale indhold, brugeren måske kan lide, lever ikke op til standarden.

Hvordan DSA lægger sig oven på GDPR og ePrivacy

DSA erstatter ikke GDPR eller ePrivacy — den tilføjer platformniveauregler oven på dem. Interaktionerne er for det meste additive, men på to specifikke steder begrænser de, hvad samtykke alene kan autorisere.

Samtykke kan ikke tilsidesætte DSA-forbud

Forbuddet mod targeting af mindreårige og artikel 9-forbuddet mod følsomme data er absolutte. En bruger kan ikke samtykke til at modtage målrettet annoncering i nogen af tilfældene. Dette er en meningsfuld designbegrænsning for CMP'er, der historisk har behandlet samtykke som den universelle lås — under DSA er samtykkestatussen nødvendig men ikke tilstrækkelig, og CMP-arkitekturen skal afspejle dette.

Transparensforpligtelserne er placeret oven på GDPR's

DSA's reklametransparensforpligtelser — tydelig identifikation af annoncer, navngivning af annoncøren, forklaring af de vigtigste targetingparametre brugt til den specifikke annonceleverance — er uafhængige af GDPR's transparenskrav og skal opfyldes i selve reklamekreativet. De fleste udgivere håndterer dette via annonceserverskabeloner, der automatisk injicerer DSA-annoncemærkeblokken i de viste kreative.

Praktiske CMP- og annoncestakændringer

Den DSA-bevidste CMP og annoncestack har et lille antal gentagelige elementer, der er stabiliseret på tværs af de store kommercielle platforme i 2026.

Mindreåriges signal-rørlægning

CMP'en skal acceptere et mindreårigt signal fra udgiverens brugeraccountsystem, sidens inholdsklassificering eller forældrekontrols-laget og udbrede signalet i samtykkebeslutningen. De fleste CMP'er tilbyder nu dette som en “minor”-attribut på samtykkekvittancen, som annoncestakken læser ved siden af samtykkestatussen. Signalet flyder nedstrøms via Google Consent Mode v2, IAB TCF v2.3-strengen og enhver leverandørspecifik integration, der understøtter det.

Klassificering af følsomt indhold

Udgivere bør køre et indholdsklassificeringspas på hver side, der kortlægger det til DSA's følsomme datakategorier. Klassificeringen kan være manuel for redaktionelle websteder med strukturerede taksonomierer eller automatiseret for websteder med høj volumen og NLP-baseret indholdstagging. Klassificeringen fodrer annoncestakets kontekstuelle reservebeslutning: en side tagget med en følsom kategori rutes kun til kontekstuelle annoncer uanset samtykkestatussen.

Anbefalingssystem-toggle

Fravalget af anbefalingssystemet bør leve det samme sted som samtykkebannerets præferencevisning — de fleste CMP'er tilbyder nu et generisk modul til platformskontroller til dette formål. Togglen ændrer brugerens sessionniveaupræference og, hvis brugeren er godkendt, deres kontoniveaupræference. Den nedstrøms anbefalingstjeneste læser præferencen ved hvert rankingkald.

Almindelige DSA-fejl der udløser fund

DSA-håndhævelsesafgørelserne i løbet af 2024 og 2025 har produceret en klar liste over mønstre, der fører til Kommissionens undersøgelser. CMP'en sætter som standard flaget for mindreåriges targeting til falsk for hver bruger uden nogensinde at kontrollere udgiverens egne aldersignaler. Fravalget af anbefalingssystemet er begravet tre klik dybt i kontoindstillingerne frem for at fremgå i nærheden af samtykkebaneret. Annoncereklame-annoncemærkeblokken tilføjes til displayannoncer men overses for videokreative. Klassificeringen af følsomt indhold dækker åbenlyse kategorier som sundhed og religion, men savner politiske nyhedssider, der ikke desto mindre kvalificerer sig under artikel 9's beskyttelse af politiske synspunkter. Niveauet for den meget store onlineplatform offentliggør sin systemrisikovurdering, men behandler det som en engangsøvelse frem for det årlige levende dokument, DSA kræver.

Bundlinjen

DSA er den første store EU-regulering siden GDPR, der materielt omformer, hvad udgivere kan gøre med den publikumsopnåelse, de allerede har indsamlet samtykke til. Forbuddene mod targeting af mindreårige og artikel 9 er absolutte designbegrænsninger, ikke samtykkemuligheder. Fravalget af anbefalingssystemet er en primær brugerkontrol, der sidder ved siden af cookiebaneret. Transparensforpligtelserne om annonceleverance kræver annonceserverskabeloner, der automatisk injicerer de rigtige markører i hvert vist kreativ. Intet af dette er valgfrit, og intet af dette kan eftermonteres i en fart, når et håndhævelsesbrev ankommer. Udgivere, der byggede DSA-låsene ind i deres CMP og annoncestack i løbet af indfasningsperioden 2023-2024, opererer nu rent; udgivere, der behandlede DSA som en dokumentationsøvelse, bruger 2026 i Kommissionens håndhævelseskø. Arbejdet er moderat, arkitekturen er etableret og konsekvenserne af at springe det over er ikke længere hypotetiske.