Slik oppfyller du cookie-bannerplikten riktig

Den som driver en nettside i Tyskland kommer ikke utenom et gyldig cookie-samtykke. § 25 TDDDG og artikkel 6 i GDPR krever aktivt samtykke før det settes ikke-nødvendige cookies eller lastes inn eksterne tjenester. Hvor alvorlig tilsynsmyndighetene tar dette, viser CNIL-boten på 150 mill. EUR mot Google fra 31. desember 2021. I denne veiledningen viser jeg deg hvilke krav som gjelder i dag, hvor de vanligste feilene ligger og hvordan du integrerer et samtykkelag i en moderne nettside med lite vedlikehold.

Hva krever cookie-bannerplikten i dag?

Svaret er kort: uten samtykke får du ikke sette noe som ikke er teknisk strengt nødvendig. Punktum. § 25 ledd 1 TDDDG formulerer det slik: lagring av eller tilgang til informasjon på enheten er kun tillatt når sluttbrukeren har samtykket på grunnlag av tydelig og fullstendig informasjon. Denne regelen gjelder uavhengig av om det dreier seg om cookies, LocalStorage, fingerprinting eller piksler.

For at et samtykke skal være gyldig, må det i henhold til artikkel 4 nr. 11 i GDPR være frivillig, spesifikt, informert og gis gjennom en utvetydig bekreftende handling. Taushet er ikke nok. Et grått banner er ikke nok. Det å klikke seg videre til en underside teller heller ikke som samtykke. EU-domstolen slo dette tydelig fast i saken Planet49 den 1. oktober 2019: forhåndsavkryssede bokser er ikke et samtykke. Den tyske føderale domstolen (BGH) bekreftet dette resultatet i mai 2020 under saksnummer I ZR 7/16 for Tyskland.

I revisjoner hos små og mellomstore bedrifter ser jeg igjen og igjen den samme oppstillingen. Et vennlig banner med en stor «Godta alt»-knapp. Ved siden av, liten og grå, en lenke «Innstillinger». En ekte «Avvis»-knapp finnes ikke. At en slik asymmetri blir dyr, viser Google-saken: CNIL ila 150 mill. EUR fordi det å avvise cookiene ikke var like enkelt som å akseptere dem. Den som vil oppfylle GDPR-kravene til nettsider korrekt, må tilby avvisning på like vilkår.

Det er dessuten viktig å vite: plikten gjelder ikke bare store nettbutikker med markedsføringsoppsett, men enhver tysk nettside som binder inn tredjepartsskript. En advokatside med Google Maps under veibeskrivelsen, en håndverkerside med YouTube-referansevideoer eller en B2B-side med Google Fonts faller inn under den samme regelen som en nettbutikk med sporingspiksler. Størrelsen på nettsiden endrer ikke plikten, den endrer bare rekkevidden av et brudd.

Når trenger en nettside i det hele tatt et samtykke?

Her hjelper en tommelfingerregel: så snart en tjeneste går utover det teknisk nødvendige, trenger du samtykke.

Hva som er tillatt uten samtykke

Nødvendig er for eksempel handlekurvens session-cookies, innloggingsstatus, et CSRF-token eller språkvalget. Disse cookiene oppfyller en tjeneste som brukeren uttrykkelig har bedt om, og faller inn under unntaket i § 25 ledd 2 TDDDG. Så snart sporing, markedsføring eller personalisering kommer til, snur vurderingen.

Hvilke tjenester som krever samtykke

Konkret krever følgende samtykke i praksis:

• Google Analytics, Matomo (i cookie-modus), Hotjar, Plausible med cookies
• Google Ads, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel
• Innebygginger fra YouTube, Vimeo og Spotify
• Google Maps og eksterne skrifttyper fra Google Fonts
• Chat-widgeter som Intercom, HubSpot, Zendesk
• A/B-testverktøy som VWO eller Optimizely

Det mange undervurderer: allerede selve innlastingen av eksterne ressurser overfører IP-adressen til tredjeparter. DSK-orienteringshjelpen for telemedier 2021 fra de tyske tilsynsmyndighetene gjør det klart at også innebygd innhold krever samtykke etter § 25 TDDDG. Selv en enkel Google Maps-modul med veibeskrivelsen til avdelingen faller inn under dette. Den som vil være på den sikre siden, laster eksterne ressurser først etter et aktivt opt-in. Mer om dette finner du i vår veiledning til en juridisk trygg nettside.

Hva gjør en Cookie Consent Manager i bakgrunnen?

De fire kjerneoppgavene til en CMP

En profesjonell samtykkehåndtering tar seg av fire oppgaver samtidig. For det første skanner den nettsiden regelmessig og plasserer hvert funnet skript i en kategori, for eksempel statistikk, markedsføring eller komfort. For det andre blokkerer den alle ikke-nødvendige tagger helt til et samtykke foreligger. For det tredje lagrer den hver besøkendes beslutning revisjonssikkert med tidsstempel, valgte kategorier og banner-versjon. For det fjerde stiller den til rådighet en gjenåpningslenke som gjør at valget kan endres når som helst.

Kjente leverandører og deres grenser

Kjente leverandører er Cookiebot, Usercentrics, Borlabs Cookie, Iubenda og OneTrust. De skiller seg fra hverandre i pris, tag-database og compliance-dybde. Mekanismen bak er overalt lik: tag manager-integrasjon, en sentral konfigurasjon i dashbordet, et generert banner med tilpasset design. Den som utvikler det selv, overtar det fulle ansvaret for vedlikeholdet. Det fungerer for svært enkle sider. Men så snart eksterne skript lastes inn via markedsføringsverktøy, blir den manuelle løsningen raskt en evig byggeplass.

Skill visning og virkning tydelig

Det er viktig å skille tydelig mellom visning og virkning. Et banner som inneholder alle knapper, men som i bakgrunnen fortsatt starter sporere, er likevel ikke i samsvar med reglene. Det motsatte tilfellet finnes også: et lag som blokkerer teknisk korrekt, men hvis «Avvis» ligger gjemt i en undermeny. Begge deler er klassiske revisjonstreff. Den som parallelt jobber med sine sikkerhetsinnstillinger, bør tenke samtykke og Content Security Policy sammen.

En god CMP tar dessuten fra markedsavdelingen bekymringen for at nye verktøy blir aktive ubemerket. Så snart en ekstra tag dukker opp i tag manager, plasserer den ukentlige skanningen den i en kategori og sperrer den foreløpig. Den som har en vedlikeholdsavtale med byrået, får dette steget levert med på kjøpet. Uten denne koblingen blir samtykkeløsningen raskt en øy som riktignok ble satt opp ryddig én gang, men som tre måneder senere ikke lenger gjenspeiler hva som faktisk skjer på siden.

Hvilke bøter risikerer du ved et mangelfullt cookie-banner?

Google-saken: 150 mill. EUR

Den dyreste lærdommen de siste årene kom fra den franske tilsynsmyndigheten. Den 31. desember 2021 ila CNIL Google en bot på 150 mill. EUR og Meta ytterligere 60 mill. EUR. Grunnen høres enkel ut: på google.fr og youtube.com holdt det med ett klikk for å akseptere, mens avvisningen krevde flere steg. Denne asymmetrien vurderte CNIL som en avvisningsmekanisme som ikke var i samsvar med reglene, og dermed som et brudd på det frivillige samtykket.

Risiko i Tyskland: myndigheter og advarselsbrev

I Tyskland er straffene sjeldnere offentlige, men risikoen er likevel høy. Tilsynsmyndigheter som BayLDA, LfDI Baden-Württemberg eller LDI NRW kontrollerer cookie-bannere aktivt og fatter formelle pålegg. I tillegg kommer det konkurranserettslige sporet. EU-domstolen bekreftet den 4. oktober 2024 i saken Lindenapotheke (C-21/23) at medlemsstatene kan tillate at konkurrenter forfølger GDPR-brudd rettslig som urettferdig forretningspraksis. Et enkelt brudd koster sjelden 150 mill. EUR, men seks gjentatte saker à 5 000 EUR i advokatutgifter gir en merkbar sum.

I tillegg kommer omdømmeskaden, som ikke lar seg gjengi i et fakturabeløp. En sak i lokalavisen om en personvernklage eller en anmeldelse med merknaden «laster sporere før man rakk å samtykke» virker lenger i B2B-salget enn selve straffen. Nettopp mellomstore bedrifter, hvis forretningsmodell bygger på tillit, rammes hardere av slike merknader enn av en engangsbot. Den juridiske vurderingen og den økonomiske følgen er to sider av den samme plikten.

Bevisbyrden ligger hos den som driver siden

Bevisbyrden bæres av den som driver nettsiden. Artikkel 7 ledd 1 i GDPR formulerer det utvetydig: den som påberoper seg et samtykke, må kunne dokumentere det. Et samtykkesystem uten logging er derfor ingen løsning, men en risiko. I en tvist må du vise når hvilken besøkende samtykket til hvilken kategori, og hvilken banner-versjon som var aktiv den gangen. Uten slike protokoller er forsvaret praktisk talt umulig.

Mørke mønstre og typiske feil i samtykkehåndteringen

Hva noyb-studien avdekker

Den mest ærlige studien om cookie-bannere stammer fra noyb, initiativet til Max Schrems. En undersøkelse av 560 nettsider i 33 land ga i mai 2021 et tydelig bilde: 81 prosent tilbød ingen avvis-knapp på det første nivået i det hele tatt, 73 prosent brukte fargetriks for å presse mot samtykke, og 90 prosent gjorde det vanskelig å trekke tilbake i ettertid. Mønsteret gjentar seg også fem år senere.

Fem feilklasser fra revisjonspraksisen

Fra revisjonspraksisen min utkrystalliserer det seg fem feilklasser som jeg nesten alltid finner:

1. Sporing før samtykke. Skript starter når siden åpnes, banneret dukker opp først etterpå. Personvernrettslig er skaden allerede skjedd før den besøkende i det hele tatt fikk klikket.
2. Skjult avvis-knapp. «Godta» lyser fargerikt, «Innstillinger» ligger i grått nederst i banneret, «Avvis» finnes ikke i det hele tatt eller først to klikk dypere. Nettopp denne oppstillingen kostet Google 150 mill. EUR.
3. Kategorier uten virkning. Brukeren velger, men i kildekoden kjører alle skript uavhengig av statusen. Selv et pent banner beskytter ikke når den tekniske styringen mangler.
4. Manglende gjenåpningsfunksjon. Den besøkende kan ikke endre sitt valg fordi det ikke finnes noen «Tilpass personverninnstillinger»-lenke nederst på siden. Det bryter direkte med artikkel 7 ledd 3 i GDPR.
5. Utdatert konfigurasjon. Markedsføring bygger inn verktøy i løpet av året, samtykkekonfigurasjonen følger ikke med. Seks måneder senere leverer nettsiden data til tjenester som ikke er nevnt i banneret i det hele tatt.

Den som behandler banneret som en designoppgave, bommer på poenget. Det er et juridisk instrument med et teknisk fundament. Også impressumet hører til den juridiske grunnutrustningen til enhver side, men det lar seg ettermontere uten samtykkelogikk. Med cookie-banneret går ikke det.

Hvordan innfører du en CMP med lite vedlikehold på nettsiden?

En ryddig innføring går i fem steg. Rekkefølgen er viktig: den som starter med banner-designet i stedet for med kartleggingen, bygger pene overflater for en virkelighet han ikke kjenner i det hele tatt.

Steg 1: Kartlegging av alle skript

Hvilke skript kjører for øyeblikket? Hvilke innebygginger, hvilke markedsføringspiksler, hvilke verktøy i tag manager? En automatisk skanning hjelper, men erstatter ikke blikket i kildekoden og i markedsavdelingens krav. Først når du vet hva som overfører data, kan du kontrollere det.

Steg 2: Velg det riktige verktøyet

For klassiske nettsider hos små og mellomstore bedrifter med opptil 50 000 sidevisninger per måned holder som regel Cookiebot eller Borlabs Cookie. Større oppsett med flere domener og subdomener har nytte av Usercentrics eller OneTrust. Viktig er TCF-kompatibiliteten dersom annonsenettverk bindes inn, samt et API for egne skript som skal reagere på samtykkeendringer.

Steg 3: Teknisk integrasjon

Alle eksterne skript blir først blokkert og frigis via Cookie Manager. Den som bruker en tag manager, legger inn samtykke-utløsere per tag og kontrollerer deretter med forhåndsvisningsmodusen om det virkelig ikke fyrer av noe hos en fiktiv førstegangsbesøkende. Ved direkte innbindinger i malen hjelper en klassemarkering som CMP-en skriver om til den kjørbare MIME-typen etter samtykke. Eksterne skrifttyper laster du lokalt fra din egen server, det sparer en hel samtykkekategori. Innebygginger som YouTube, Vimeo eller Google Maps erstatter du med klikk-plassholdere med forhåndsvisningsbilde, som først laster inn originaltjenesten etter samtykke.

Steg 4: Dokumentasjon og gjenåpningslenke

Hver samtykkehandling vandrer inn i en loggbok i verktøyet, nederst på siden får man en synlig lenke «Cookie-innstillinger», og banneret får tydelig formulerte tekster. Slik forblir samtykket dokumenterbart og mulig å trekke tilbake når som helst.

Steg 5: Kvartalsvis rutine

Det ofte glemte steget. Én gang per kvartal: kjør skanningen, sorter inn nye skript, fjern gamle tagger. Den som holder seg disiplinert her, har varig ro. For bedrifter som tar fatt på dette innenfor rammen av en profesjonell webdesign-implementering, lar rutinen seg integrere i vedlikeholdsavtalen.

En ærlig sidekommentar om omsetningen: regelriktige bannere koster konvertering. Ifølge etracker-benchmarken går i snitt 60 % av besøksdataene tapt når banneret er ryddig utformet. Det tallet høres hardt ut. Men det er virkeligheten som seriøse aktører må regne med. Til gjengjeld bortfaller risikoen for bøter og advarselsbrev, og det er på lang sikt den bedre byttehandelen.

Cookie-banneret som tillitssignal

Et cookie-banner er ikke målet. Målet er en nettside hvis sporing først kjører etter et ekte samtykke, og som kan dokumentere dette samtykket når som helst. Den som tar dette på alvor, utformer å godta og å avvise på like vilkår, blokkerer alle ikke-nødvendige skript teknisk ryddig og protokollfører hver beslutning. Verktøy som Cookiebot, Usercentrics eller Borlabs gjør implementeringen lettere, men erstatter ikke aktørens ansvar for det løpende vedlikeholdet.

Jeg har fulgt digitale prosjekter i over 21 år og har i løpet av denne tiden satt opp, korrigert eller erstattet dusinvis av cookie-oppsett. De dyreste feilene var aldri teknisk kompliserte. De var alltid et banner som skjulte et problem i stedet for å løse det. Den som investerer innsatsen ryddig én gang, sparer seg for advarselsbrev, pålegg fra myndighetene og fremfor alt den ekle følelsen ved neste revisjon.

Relaterte Evelan-artikler

• Juridisk trygg nettside: den praktiske veiledningen
• Hva krever GDPR av nettsider? Plikter, risiko, praksis
• Slik tetter du de største sikkerhetshullene på nettsiden din
• Hvorfor et juridisk trygt impressum er uunnværlig for enhver nettside

Kilder

• EU-domstolen: Dom C-673/17 Planet49 (2019)
• EU-domstolen: Pressemelding 159/24 om dom C-21/23 Lindenapotheke, konkurrentsøksmål ved GDPR-brudd (2024, PDF)
• BGH: Pressemelding I ZR 7/16 Cookie-samtykke II (2020)
• Det tyske justisdepartementet: § 25 TDDDG (2024)
• EUR-Lex: GDPR artikkel 4 nr. 11 og artikkel 7 om vilkår for samtykke (2016)
• DSK: Orienteringshjelp telemedier 2021 versjon 1.1 (2022, PDF)
• CNIL: Sanctions issued by the CNIL, Google 150 mill. EUR og Meta 60 mill. EUR på grunn av cookie-avvisningsmekanismen (2021)
• noyb: noyb aims to end Cookie Banner Terror (2021)
• etracker: Cookie Consent Benchmarks (2025)