Dark Patterns i cookiebanners: vad är olagligt, vad är riskabelt och hur håller man sig compliant
Tillsynsmyndigheter i hela Europa kontrollerar inte längre bara om du har en cookiebanner — de kontrollerar hur den beter sig. Dark patterns — vilseledande designval som manipulerar användare att ge ett samtycke de inte avsåg — har blivit det viktigaste verkställighetsmålet för dataskyddsmyndigheter 2025–2026. Böter är verkliga, de ökar och drabbar företag av alla storlekar.
Vad är dark patterns i cookie-samtycke?
Ett dark pattern är varje designval som driver användare mot att samtycka, när en neutral design skulle leda dem att avböja eller göra ett genuint fritt val. European Data Protection Board (EDPB) utfärdade bindande riktlinjer 2023 som definierar specifika dark pattern-kategorier. Dessa är inte förslag — de har lagkraft i alla EU:s medlemsstater.
De 7 vanligaste dark patterns (och varför de är olagliga)
1. Dold avslagsknapp
Att göra "Acceptera alla" till en framträdande grön knapp medan "Avvisa" är en liten grå textlänk begravd i ett andra lager. Flera dataskyddsmyndigheter har förklarat detta ogiltigt. CNIL bötfällde ett stort teknikföretag med 60 miljoner euro delvis för denna praxis.
2. Förkryssade rutor
Att ladda samtyckesbanners med alla cookie-kategorier redan ikryssade. CJEU fastslog i Planet49-målet (2019) att förkryssade rutor inte utgör giltigt samtycke. Detta är fastlagd lag.
3. Cookie-väggar
Att helt blockera åtkomst till webbplatsen tills användaren samtycker. EDPB:s riktlinjer anger att samtycke inte ges fritt om åtkomst till tjänsten är villkorad av det. De flesta EU-dataskyddsmyndigheter har bekräftat denna ståndpunkt.
4. Förvirrande språk
Att använda juridisk jargong, dubbla negationer eller avsiktligt komplexa formuleringar för att förvirra användare. "Genom att inte välja bort icke-nödvändiga cookies godkänner du..." är ett dark pattern. Tydligt, enkelt språk krävs.
5. Känslomässig manipulation
Att skapa skuldkänslor hos användare med fraser som "Jag bryr mig inte om min upplevelse" för avslagsalternativet, eller använda ledsna ikoner och varningsfärger på avvisningsknappen. Tillsynsmyndigheter har specifikt påpekat detta.
6. Asymmetrisk ansträngning
Ett klick för att acceptera, fem klick för att avvisa. Om att neka samtycke kräver navigering genom flera skärmar, reglage och bekräftelsedialoger medan att acceptera är en enda knapp, är detta ett dark pattern.
7. Upprepad uppmaningar
Att visa samtyckesbanners igen för användare som redan har nekat, i hopp om att de så småningom klickar acceptera av utmattning. När en användare gör ett val måste det valet respekteras tills de aktivt ändrar det.
Verkliga böter för dark patterns
- CNIL (Frankrike): Böter på 60 M€ och 40 M€ mot stora teknikföretag för samtyckesbanners där avvisning var svårare än att acceptera
- Italiensk dataskyddsmyndighet: 20 M€ böter för förkryssade samtyckesrutor och cookie-väggar
- Spansk AEPD: 2,5 M€ böter för manipulativ cookiebanner-design
- Belgisk dataskyddsmyndighet: Fastslaget att IAB Europes ursprungliga TCF-implementering involverade dark patterns
- Österrikisk DSB: Flera avgöranden mot asymmetriska samtyckesdesigner
Hur du granskar din banner för dark patterns
Kör denna checklista mot din nuvarande samtyckesbanners:
- Knapparna Acceptera och Avvisa är samma storlek, färgprominens och antal klick
- Inga rutor är förkryssade — alla cookie-kategorier börjar som avmarkerade
- Webbplatsen är tillgänglig utan att samtycka (ingen cookie-vägg)
- Språket är enkelt, tydligt och på besökarens språk
- Ingen skuldbeläggande text eller känslomässig manipulation på avslagsalternativet
- Tidigare val kommer ihåg — banners visas inte igen för användare som har nekat
- Ett alternativ för "Hantera inställningar" finns bredvid Acceptera och Avvisa
- Att återkalla samtycke är lika enkelt som att ge det
FlexyConsent: Designad utan dark patterns
FlexyConsent är byggt med regelefterlevnad som standard. Likvärdiga knappar, inga förkryssade rutor, inga cookie-väggar, enkelt språk på 43+ språk och automatisk respekt för tidigare val. Som Google Certified CMP registrerad hos IAB Europe följer FlexyConsent den strängaste tolkningen av EDPB:s riktlinjer — så du aldrig behöver oroa dig för verkställighet av dark pattern-regler.