Betal-eller-samtyk-modeller i 2026: EDPB-vejledning for udgivere
I to år har europæiske udgivere støttet sig til det samme svar, da GDPR-samtykkegraderne kollapsede: tilbyde brugerne et valg mellem at acceptere sporing eller betale et abonnement. Betal-eller-samtyk-modellen — nogle gange kaldet consent-or-pay eller cookie paywall — lovede en måde at holde reklamefinansierede forretningsmodeller i live og samtidig opfylde GDPR's krav om, at samtykke skal gives frit. I 2026 er dette kompromis under alvorligt juridisk pres. Det Europæiske Databeskyttelsesråd EDPB, den italienske Garante, det tyske DSK og det norske Datatilsynet har alle udtalt sig, og EU-Domstolen har nu spørgsmålet på sin sagskalender. Denne vejledning forklarer, hvor loven står i dag, og hvad udgivere kan gøre for at holde et lovmedholdeligt betal-eller-samtyk-flow i live.
Hvad betal-eller-samtyk betyder i praksis
Et betal-eller-samtyk-banner præsenterer brugeren for to valg ved første besøg. Det første er at acceptere sporing og behandling til adfærdsbaseret annoncering til gengæld for gratis adgang til indholdet. Det andet er at betale et løbende gebyr — normalt månedligt — til gengæld for en reklamefri eller sporingsfri version af det samme indhold. At afvise begge muligheder blokerer adgangen fuldstændigt. Meta, Le Monde, Der Spiegel, Bild og snesevis af mellemstore europæiske udgivere har sendt varianter af dette design siden 2023.
Den juridiske teori er, at samtykke forbliver frit givet, fordi brugeren har et reelt alternativ: de kan betale frem for at samtykke. Modteorien, som regulatorer i stigende grad har tilsluttet sig, er, at dette kun virker, hvis det betalte alternativ er et reelt og proportionalt ækvivalent — og mange implementeringer bestå ikke denne test.
EDPB's udtalelse fra april 2024 og hvad der fulgte
Udgangspunktet for enhver 2026-analyse er EDPB's Opinion 08/2024, vedtaget i april 2024 som svar på en anmodning fra de nederlandske, norske og hamburske tilsynsmyndigheder. Udtalelsen omhandler specifikt meget store onlineplatforme, men dens ræsonnement anvendes nu bredt på udgivere.
EDPB konkluderede, at store platforme i de fleste tilfælde ikke kan støtte sig på et binært betal-eller-samtyk-design for at opnå GDPR-gyldigt samtykke. Tre EDPB-konklusioner betyder mest for udgivere:
- Et binært valg er sjældent tilstrækkeligt. Hvor alternativet til samtykke er et betalt abonnement som den eneste anden mulighed, vil samtykke normalt ikke være frit givet. Dataansvarlige bør overveje at tilbyde en tredje mulighed, der ikke involverer nogen betaling og ikke involverer adfærdsbaseret sporing — såsom et kontekstbaseret reklameniveau.
- Gebyret må ikke virke afskrækkende. Hvis prisen er sat så højt, at brugerne føler sig funktionelt tvunget til at samtykke, er valget illusorisk. Regulatorer kan sammenligne gebyret med udgiverens eget ARPU for samtykkende brugere.
- Behandlingsomfanget skal begrænses. Selv når samtykke gives, kan det lovmæssigt ikke dække ikke-relateret behandling såsom datadeling med hundredvis af tredjepartsleverandører. Hvert behandlingsformål kræver stadig sit eget gyldige retsgrundlag.
Nationale DPA'ers holdning i 2026
Italien — Garante
Den italienske databeskyttelsesmyndighed har været den mest aktive håndhæver. I sine retningslinjer fra 2024 og en serie afgørelser fra 2025 krævede Garante, at udgivere tilbyder en tredje mulighed uden sporing og uden betaling, med de præcise regler afhængigt af udgiverens størrelse og markedsposition. Rent binære bannere på italiensksprogede websteder behandles nu som formodentlig ikke-lovmedholdte.
Tyskland — DSK
Den tyske konference af databeskyttelsesmyndigheder udsendte et holdningspapir i slutningen af 2024, der var på linje med EDPB, men stoppede inden et fladt forbud. DSK kræver, at alternativet er "passende" — dvs. at det betalte niveau skal tilbyde sammenlignelig indholdstilgang, prisen skal være objektivt begrundelig, og ethvert tilbudt gratis alternativ skal være genuint brugbart. Adskillige Landesdatenschutzbeauftragte har siden indledt undersøgelser mod specifikke udgivere.
Norge — Datatilsynet
Norge tog den skrappeste linje. I en erklæring fra 2025 sagde Datatilsynet, at for de fleste almene udgivere vil intet betal-eller-samtyk-design producere gyldigt samtykke under GDPR. Norske udgivere benytter i stigende grad kontekstbaseret annoncering eller hybride kontekst-plus-samtykke-flows som standard.
Frankrig — CNIL
CNIL's holdning er mere pragmatisk, men under udvikling. Frankrig tillader betal-eller-samtyk i princippet, men offentliggjorde i 2025 kriterier der dækker prisernes rimelighed, omfanget af sporing under samtykkemulighederne, og om afvisning faktisk resulterer i fortsat adgang via alternative kanaler.
Hvad en lovmedholdelg implementering ser ud i 2026
Betal-eller-samtyk er ikke død, men overlever kun når det er omhyggeligt designet. Udgivere, der ønsker at holde dette flow i live, bør evaluere fire designdimensioner.
Tilføj en tredje mulighed
Den enkelt vigtigste ændring siden EDPB-udtalelsen er tilføjelsen af et tredje valg: gratis adgang med kontekstbaseret annoncering og ingen adfærdsbaseret sporing. Denne tredje mulighed behøver ikke at være standard — den kan ligge ét klik dybere end "Accepter" og "Abonner" — men dens eksistens transformerer bannerets juridiske position. Adskillige store tyske og italienske udgivere har implementeret dette mønster i løbet af 2025.
Begrund prisen
Dokumentér, hvordan abonnementsprisen er fastsat. Sammenlign den med udgiverens eget ARPU for samtykkende brugere, med sammenlignelige abonnementsprodukter på markedet og med marginale omkostninger ved at betjene ikke-sporet trafik. En pris, der er adskillige multipla over ARPU for samtykkende brugere, er den hurtigste vej til en regulatorisk afgørelse imod dig.
Indsnævr samtykkeomfanget
Revidér hvad brugerne faktisk samtykker til under "Accepter"-stien. EDPB-udtalelsen er eksplicit om, at samtykke ikke kan sammenbinde ikke-relaterede formål. Hvis din TCF-streng angiver 300 leverandører og et dusin ikke-relaterede formål, er samtykket sårbart, endnu inden betal-eller-samtyk-spørgsmålet nås. Reducer leverandørlisten, adskil formål, hvor det er muligt, og præsenter granulære kontroller frem for en enkelt Accepter-alt-knap.
Respektér let tilbagetrækning
Gør tilbagetrækning af samtykke lige så let som den oprindelige tildeling. Både CNIL og Garante har bødelagt udgivere, hvis abonnementsannulleringsflows var materielt sværere end det originale tilmelding. Den samme logik gælder nu for samtykke: stien til tilbagekaldelse skal være let at finde, gnidningsfri og fuldstændig.
Hvad man skal følge med i i løbet af 2026
To verserende udviklinger vil omforme dette område inden årets udgang. Den første er EU-Domstolens ECJ verserende afgørelse i Metas betal-eller-samtyk-sag (henvist fra det østrigske DSB), som vil give den første bindende pan-EU-dom om mønsterets lovlighed. Den anden er Europa-Kommissionens gennemgang af GDPR's samspil med den digitale markedslov DMA og loven om digitale tjenester DSA, der undersøger, om meget store onlineplatforme bør stå over for strengere regler end mindre udgivere — en holdning, EDPB har antydet, men ikke formelt fastslået.
Indtil disse afgørelser falder, er den sikreste udgiverholdning den, regulatorer allerede har telegraferet: tilbyd en tredje mulighed uden sporing, hold priser objektivt begrundelige, indsnævr samtykkeomfanget til genuint relaterede formål og gør tilbagetrækning lige så let som den oprindelige tildeling. Udgivere, der klarer alle fire rigtigt, vil holde deres betal-eller-samtyk-flows i live; resten vil i stigende grad sandsynligvis stå over for håndhævelse.