Du har et cookiebanner på hjemmesiden. Det har du haft i årevis. Men er det faktisk lovligt - eller er det bare en grøn "Acceptér alle"-knap pakket ind i en falsk tryghed?
Datatilsynet har i januar 2026 officielt udpeget sporing på danske hjemmesider som et særligt fokusområde for hele året. Det betyder ikke flere vejledninger og løftede pegefingre. Det betyder tilsyn, påbud og potentielle politianmeldelser. Og det rammer ikke kun de store medier og platforme - det rammer alle virksomheder der bruger Meta Pixel, Google Analytics eller andre tracking-løsninger uden at have styr på samtykket.
Derfor er 2026 et vendepunkt for cookie-compliance i Danmark
Datatilsynet har hidtil primært reageret på klager og enkeltafgørelser. Det ændrer sig nu. Med 2026-fokusplanen er cookie-compliance løftet til et aktivt og planlagt tilsynsområde, hvor tilsynet selv opsøger overtrædelser frem for at vente på at blive gjort opmærksom på dem.
Hertil kommer, at Digitaliseringsstyrelsen fører parallelt tilsyn på samme område. Virksomheder risikerer altså at blive udtaget til kontrol af to myndigheder samtidig. En situation der er ny for de fleste danske marketingafdelinger og bureauer.
Danmark agerer heller ikke i et vakuum. Via EDPB's Coordinated Enforcement Framework koordineres håndhævelse på tværs af EU. Norge stramede cookiereglerne i januar 2025, Sverige har afgjort sager mod Google Analytics, og i september 2025 bødede den franske tilsynsmyndighed CNIL tøjgiganten SHEIN 150 millioner euro for cookieovertrædelser, herunder cookies sat før samtykke og en ikke-fungerende "Afvis alle"-knap. Signalværdien for resten af Europa er tydelig.
Fra advarsel til bøde: De tre afgørelser der ændrede spillereglerne
Tre danske og europæiske sager markerer det reelle skift fra retorik til håndhævelse:
Boligportal (april 2023): Datatilsynet udtalte alvorlig kritik og udstedte påbud til Boligportal for brug af Meta Pixel og Meta Login. Afgørelsen fastslog fælles dataansvar med Meta og manglende dokumentation for GDPR-overholdelse. Det afgørende er, hvad Datatilsynets chefkonsulent Makar Juhl Holst efterfølgende præciserede: "Afgørelsen har principiel karakter forstået på den måde, at den er relevant for virksomheder, der bruger tilsvarende Facebook Business Tools, som er en række forskellige værktøjer, under de samme vilkår." Det gælder med andre ord langt de fleste danske webshops.
JP/Politikens Hus / eb.dk (oktober 2022): Datatilsynet udtalte alvorlig kritik af samtykkeløsningen på Ekstra Bladet, hvor "Acceptér alle" var markeret med grøn og "Kun nødvendige" med rød. Tilsynet konkluderede: "Brugen af det trafiklys-lignende system var nudging, og ulovligt. Fordi 'Acceptér alle'-knappen var grøn medførte det, at brugernes informerede valg - og dermed rettigheder - blev omgået."
Dansk virksomhed (oktober 2023): For første gang politianmeldte Datatilsynet en dansk virksomhed for cookie-overtrædelser og indstillede den til en bøde på mindst 200.000 kr. for at videresende cookies og pixels til Meta og Google uden gyldigt samtykke. Det er ikke en advarsel. Det er en reel retlig konsekvens.
Til sammenligning er GDPR-bøder i EU samlet set nået op på 5,65 milliarder euro fordelt på 2.245 bøder registreret frem til 1. marts 2025. Den gennemsnitlige bøde er 2,36 millioner euro.
Virkeligheden bag de danske cookiebannere: Tallene lyver ikke
Her er det paradoksale: 94 procent af analyserede danske hjemmesider har et cookiebanner i 2024, op fra 91 procent i 2023. Men overtrædelsesraten er stigende, ikke faldende. Det viser Cookie Informations rapport "Cookie Compliance in Denmark: Trends & Insights" fra 2024. Banneret er der, men det er sat forkert op.
Den hyppigste overtrædelse er cookies der affyres, før brugeren overhovedet har truffet et valg. Det er ikke en grænsetilfælde-fortolkning. Det er en klar overtrædelse af GDPR, og det er præcis den type overtrædelse Datatilsynet har annonceret at ville kigge efter i 2026.
Ser man på europæisk niveau, er billedet endnu mere dystert. En analyse af 254.148 hjemmesider fra de 10.000 mest besøgte sider i 31 EU-lande og UK, udført af Usercentrics og Sapio Research og publiceret i marts 2025, viser at kun 15 procent af europæiske hjemmesider opfylder minimumskravene til GDPR-compliance. Og 38 procent af de bannere der betragtes som "compliant", bruger stadig dark patterns ifølge et studie fra Ignite.video baseret på 26 undersøgelser af cookiebannere.
Danske brugere er desuden mere bevidste om tracking end mange tror. Eurostat-data fra 2024 viser, at 46 procent af danske internetbrugere aktivt har ændret browserindstillinger for at begrænse cookies - det er det fjerde højeste i EU, kun overgået af Finland, Holland og Luxembourg.
Hvilke brancher klarer sig værst?
Ifølge Cookie Informations 2024-rapport er overtrædelsesraten for cookies affyret før samtykke særligt høj inden for sport (89 procent), e-handel (83 procent) og kunst og kultur (82 procent).
E-handel er den mest eksponerede branche. Kombinationen af Meta Pixel, Google Analytics og remarketing-tags er udbredt - og ca. 90 procent af danske webshops bruger Meta Pixel ifølge en vurdering fra Obsidian Digital. De fleste er ikke compliant.
Konsekvensen for performance-marketing er direkte målbar: når en reel "Afvis alle"-knap er tilgængelig, afviser halvdelen til to tredjedele af brugerne cookies. Det medfører 40-70 procent færre tracking-datapunkter og rammer KPI'er som rækkevidde, målgruppeprofilering og konverteringsdata direkte.
Hvad den nye fællesvejledning fra maj 2025 faktisk betyder
I maj 2025 udsendte Datatilsynet og Digitaliseringsstyrelsen en fælles vejledning om brug af cookies og lignende teknologier. Den skærper kravene markant og lukker de gråzoner mange bureauer og virksomheder har opereret i.
Som advokat Torsten Hylleberg fra LES (Lett Advokatfirma) formulerede det: "Med vejledningen fra maj 2025 er det tydeliggjort, at der ikke længere er plads til halve løsninger eller standardimplementeringer."
Vejledningen dækker nu ikke kun traditionelle cookies. Den omfatter pixels, fingerprinting, SDK'er og unikke identifikatorer i apps. Bureauer med mobile projekter eller app-kampagner skal sikre compliance på tværs af alle platforme, ikke kun hjemmesiden.
Bureauets ansvar: Hvornår er I medansvarlige for kundens overtrædelse?
Det er her mange bureauer undervurderer deres egen eksponering. Vejledningen fra maj 2025 præciserer - og Poul Schmith/Kammeradvokaten har bekræftet i sin analyse - at integration af tredjepartsplug-ins fra sociale medier og analytics-platforme ofte medfører fælles dataansvar, ikke blot et databehandlerforhold.
Fælles dataansvar opstår, når bureauet er med til at bestemme formål og midler for databehandlingen. Hvis bureauet implementerer Meta Pixel eller Google Analytics for en kunde og konfigurerer, hvad der trackes og hvornår, kan bureauet have medansvar for eventuelle overtrædelser.
Det kræver to ting af bureauet: en gennemgang af alle kundekontrakter og en vurdering af, om de eksisterende databehandleraftaler faktisk afspejler den reelle ansvarsfordeling. Mange gør det ikke.
Google Consent Mode v2: Den tekniske fejl 67 procent af bureauer laver
Google Consent Mode v2 er obligatorisk for alle europæiske annoncører der bruger Google Ads eller GA4, siden marts 2024. Manglende eller fejlagtig implementering betyder, at Google ikke indsamler data om EØS-brugere - med direkte konsekvenser for remarketing-lister, målgruppedata og rapportering.
Problemet er, at implementeringen er teknisk krævende - og at den er gal hos de fleste. Ifølge Secure Privacys "Global Cookie Consent Trends 2026" har 67 procent af alle implementeringer af Google Consent Mode v2 tekniske fejl. Den mest udbredte fejl er, at standardindstillingen sættes til "granted" - altså at samtykke antages givet - før brugeren overhovedet har set banneret eller truffet et valg. Det er i direkte strid med GDPR og annullerer hele formålet med consent mode.
En korrekt implementering kræver at default-tilstanden er "denied" for alle relevante signaler, at der er korrekt signal-mapping fra CMP til Google-tags, og at opsætningen testes og verificeres løbende. Det er ikke en engangsopgave.
Dark patterns: De ulovlige designvalg der stadig er udbredte
Datatilsynets afgørelse om eb.dk er klar præcedens: farvevalg i cookiebannere er ikke et designspørgsmål, det er et juridisk spørgsmål. Et trafiklys-lignende system, hvor accept er grøn og afvisning er rød, udgør ulovlig manipulation af brugerens valg.
Men det er ikke kun farver. Ifølge Usercentrics/Sapio Research fra marts 2025 tilbyder 45 procent af cookiebannere en "Afvis"-mulighed, men den er typisk langt mindre fremtrædende end "Acceptér". Og 38 procent af bannere der betragtes som compliant, bruger stadig dark patterns i en eller anden form.
Konkrete eksempler på ulovlige eller juridisk tvivlsomme designvalg inkluderer:
- Skjulte afvisningsknapper bag ekstra klik ("Administrer præferencer" frem for direkte "Afvis alle")
- Forudafkrydsede bokse for ikke-nødvendige kategorier
- Asymmetrisk knappestørrelse hvor "Acceptér" er markant større
- "Consent walls" der blokerer adgang til indhold uden accept
- Placering af afvisningsknap i grå eller svagt synlig farve
Datatilsynet har allerede slået ned på disse mønstre i konkrete sager, herunder mod Alstrom Din Isenkræmmer, og fokus vil kun øges i 2026.
7-punkts tjekliste: Hvad dit bureau skal gennemgå på kundens hjemmeside nu
Brug denne tjekliste som udgangspunkt for en compliance-gennemgang. Den dækker de mest kritiske fejlpunkter baseret på Datatilsynets og Digitaliseringsstyrelsens fællesvejledning fra maj 2025 og de seneste compliance-analyser.
1. Affyres der cookies før samtykke? Tjek med browser-developer tools eller et dedikeret compliance-scanningsværktøj. Det er den hyppigste overtrædelse og den Datatilsynet aktivt leder efter.
2. Er Google Consent Mode v2 korrekt implementeret? Verificer at default-tilstanden er "denied" for EØS-brugere, og at signal-mapping fra CMP til Google-tags fungerer korrekt. 67 procent af implementeringer har fejl her.
3. Bruger banneret dark patterns? Gennemgå farvevalg, knappestørrelser og placeringen af afvisningsknappen. "Afvis alle" skal være ligeværdigt fremhævet på første lag af banneret.
4. Er Meta Pixel og tredjepartsintegrationer dokumenteret i databehandleraftalen? Hver integration skal være specificeret, og ansvarsfordelingen mellem bureau og kunde skal fremgå klart.
5. Dækker cookie-politikken pixels, fingerprinting og app-tracking? Efter maj 2025-vejledningen er det ikke tilstrækkeligt kun at omtale traditionelle cookies. Alle sporingsmekanismer skal dokumenteres.
6. Er der en synlig og ligeværdig "Afvis alle"-knap på første lag? Brugeren må ikke skulle klikke sig igennem ekstra menuer for at afvise ikke-nødvendige cookies.
7. Er databehandleraftalen eller fælles dataansvarsaftale opdateret? Gennemgå alle kundekontrakter i lyset af vejledningens præcisering af fælles dataansvar ved tredjepartsintegrationer.
Fra compliance-byrde til konkurrencefordel: Sådan positionerer dit bureau sig
Det er forståeligt, at mange bureauer oplever cookie-compliance som en byrde frem for en mulighed. Rasmus Christensen, partner og senior tracking-konsulent hos Refyne, sætter ord på frustrationen: "Jeg savner vejledning og hjælp fra Datatilsynet, der er tydelige om, hvad man må og ikke må. Lige nu er det enkelte platforme, som bliver udpeget, men i praksis er problemet markant større."
Og Halfdan Timm fra Obsidian Digital illustrerer det kommercielle pres bureauer er under: "Vi har kunder, der vil gå konkurs, hvis de skulle fjerne Pixel. Og for de fleste, vil det skade dem kommercielt og være katastrofalt."
Den kommercielle virkelighed er reel. Men bureauer der proaktivt tilbyder compliance-gennemgang differentierer sig i et marked, hvor de fleste stadig er bagud. Det er en konkret service med dokumenterbar værdi - og en måde at styrke kundeforholdet på frem for blot at levere kampagner.
Den strategiske vej frem er first-party data. Organisationer med first-party data-strategier opnår ifølge internationale studier 2,9 gange bedre kundefastholdelse og 1,5 gange højere marketing-ROI sammenlignet med tredjepartsafhængige tilgange. Server-side tracking, CRM-integration og kontekstuel annoncering er ikke blot compliance-løsninger - de er mere fremtidssikrede alternativer til en trackingmodel der allerede er under pres fra både regulering og brugerpræferencer.
Den praktiske anbefaling er enkel: tilbyd en compliance-audit som fast del af onboarding og årsgennemgang. Det er ikke en juridisk ydelse - det er god rådgivning. Find bureauer med ekspertise i tracking og analytics der kan hjælpe med at kortlægge og rette op på eksisterende implementeringer.
Ofte stillede spørgsmål om cookie-compliance og Datatilsynet 2026
Hvad sker der konkret, hvis min virksomhed bliver udtaget til Datatilsynets cookietilsyn i 2026?
Datatilsynet kan udtale alvorlig kritik, udstede påbud om at bringe behandlingen i overensstemmelse med reglerne og politianmelde virksomheden til politiet. Den første danske politianmeldelse på cookieområdet i 2023 endte med en indstilling til en bøde på mindst 200.000 kr. Et påbud kan betyde øjeblikkelig nedlukning af specifikke tracking-løsninger som Meta Pixel eller Google Analytics. Hertil kommer, at Digitaliseringsstyrelsen fører parallelt tilsyn - virksomheder risikerer kontrol fra to myndigheder samtidig. Sager kan desuden have principiel karakter og påvirke hele brancher, som Boligportal-afgørelsen demonstrerede.
Er mit bureau medansvarligt, hvis vi har implementeret Meta Pixel eller Google Analytics for en kunde?
Ja, potentielt. Den nye fællesvejledning fra maj 2025 præciserer, at integration af tredjepartsplug-ins kan medføre fælles dataansvar - ikke blot et databehandlerforhold. Fælles dataansvar opstår, når bureauet er med til at bestemme formål og midler for databehandlingen, fx ved at konfigurere hvilke events der trackes og hvornår. Bureauer bør gennemgå alle kundekontrakter og sikre, at ansvarsfordelingen er klart defineret i databehandleraftalen. Datatilsynets Boligportal-afgørelse er principiel og gælder alle virksomheder der bruger tilsvarende Facebook Business Tools under samme vilkår.
Hvad er de hyppigste cookie-overtrædelser på danske hjemmesider, og hvordan undgår vi dem?
Den hyppigste overtrædelse er cookies der affyres, før brugeren har givet samtykke - tjek dette med et compliance-scanningsværktøj eller browser-developer tools. Dark patterns som trafiklys-farvedesign, skjulte afvisningsknapper og asymmetriske knapper er ulovlige og under skærpet lup fra Datatilsynet. 67 procent af Google Consent Mode v2-implementeringer har tekniske fejl, typisk at default er sat til "granted" i stedet for "denied". Endelig er manglende dækning af pixels, fingerprinting og app-tracking i cookie-politikken en ny overtrædelseskategori efter maj 2025-vejledningen.
Hvad betyder høje cookie-afvisningsrater for vores marketingdata og performance-kampagner?
I 2024-2025 afviser halvdelen til to tredjedele af brugerne cookies, når der er en synlig "Afvis alle"-knap. Det medfører 40-70 procent færre tracking-datapunkter og påvirker direkte KPI'er som rækkevidde, målgruppeprofilering og konverteringsdata. Google Consent Mode v2 og server-side tracking kan delvist kompensere ved at modellere manglende data. First-party data-strategier og kontekstuel annoncering er de mest fremtidssikrede alternativer til tredjepartscookies for virksomheder der vil opretholde effektiv performance-marketing.
Hvad skal vi konkret kræve af vores bureau for at sikre cookie-compliance?
Kræv en dokumenteret compliance-gennemgang af alle tracking-implementeringer, herunder Meta Pixel, Google Analytics og eventuelle app-SDK'er. Kræv korrekt implementering af Google Consent Mode v2 med default "denied" for EØS-brugere. Kræv at cookiebanneret ikke bruger dark patterns, og at "Afvis alle" er ligeværdigt fremhævet på første lag. Kræv en opdateret databehandleraftale der klart definerer ansvarsfordelingen mellem jer og bureauet. Og kræv løbende overvågning - compliance er ikke en engangsopgave, men kræver regelmæssig scanning og opdatering i takt med ændringer i teknologi og vejledninger.
Hvad gør du nu?
Datatilsynets 2026-fokusplan er ikke en advarsel om fremtiden. Den beskriver den virkelighed bureauer og virksomheder opererer i lige nu. Banneret på hjemmesiden er sandsynligvis ikke nok - og det er sandsynligvis heller ikke korrekt implementeret.
Start med tjeklisten i denne artikel. Gennemgå Google Consent Mode v2-opsætningen. Tjek om cookies affyres før samtykke. Og sæt dig ned med din databehandleraftale og vurder, om ansvarsfordelingen faktisk afspejler, hvem der gør hvad.
Bureauer der kan levere dokumenteret compliance-rådgivning som en integreret del af deres tracking- og analytics-ydelser, vil stå stærkere i kundedialogen end dem der venter på at blive spurgt. Det er ikke kun et juridisk spørgsmål - det er et spørgsmål om, hvem kunderne kan stole på i et marked der er ved at ændre sig fundamentalt.
Find bureauer med dokumenteret ekspertise i tracking-compliance og datadrevet marketing i vores oversigt over danske digitale bureauer - og filtrer på speciale inden for analytics og GDPR-sikker implementering.