Which EU Countries Take Cookie Compliance Most Seriously?

GDPR er en forordning. En tekst. Direkte gaeldende i alle EU-medlemsstater uden behov for national gennemforelse (i modsaetning til ePrivacy-direktivet, der kraever det, hvilket tilfojer endnu et lag af variation). I teorien star en hjemmeside i Ungarn over for de samme juridiske forpligtelser som en hjemmeside i Tyskland. I praksis er kloften mellem teori og virkelighed enorm.

Da vi scannede 97.304 hjemmesider pa tvaers af 25 af de 27 EU-medlemsstater, fandt vi, at andelen af hojrisikohjemmesider spaender fra 20,9 % i Ostrig til 58,8 % i Ungarn -- naesten et tre-til-en-forhold. Samme forordning, samme scanningsmetodologi, samme klassifikationskriterier, mærkbart forskellige resultater. Dataene tyder pa, at compliance korrelerer mindre med, hvad loven siger, end med hvor aktivt den haandhaeves.

Den fulde rangering

Tabellen nedenfor viser hvert land i vores undersogelse, rangeret efter procentdelen af scannede hjemmesider klassificeret som hoj risiko. Hoj risiko betyder, at siden udviste vaesentlige samtykkeovertraedelser: sporing for samtykke, fejl i afvisningsflowet, manglende samtykkemekanismer sammen med aktiv sporing eller kombinationer heraf. Vi viser ogsa den gennemsnitlige risikoscore (en kontinuerlig 0-100-metrik) og bannerdetektionsraten -- procentdelen af scannede sider, hvor vores system identificerede et samtykkebanner.

(Bannerdetektionsrater er vist, hvor de er tilgaengelige i vores datasaet. "--" angiver, at dataene ikke var opgjort separat for det pagaeldende land.)

Den gennemsnitlige risikoscore giver et mere nuanceret billede end den binaere hojrisikoklassifikation. Bemaerk, at Nederlandene har en relativt moderat hojrisikoandel (43,5 %), men en forholdsvis hoj gennemsnitlig risikoscore (53,1), hvilket tyder pa, at selvom faerre hollandske sider krydser hojrisikotaersklen, har de, der gor det, tendens til at vaere mere alvorligt ikke-compliant. Sverige viser et lignende monster omvendt: en lavere hojrisikoandel (33,4 %), men en relativt hoj gennemsnitlig score (49,0), hvilket indikerer en bred spredning af moderate overtraedelser.

Niveau 1: Frontloberne -- Tyskland og Ostrig

Tyskland (23,7 % hoj risiko) og Ostrig (20,9 % hoj risiko) er klare outliers. Deres hjemmesider er omtrent halvt sa tilbojelige til at blive klassificeret som hoj risiko sammenlignet med EU-gennemsnittet pa 41 %. At forsta hvorfor kraever et blik pa handhaevelsesokosystemet i begge lande.

Tyskland: dybde og bredde i handhaevelsen

Tysklands databeskyttelseslandskab er unikt i Europa. Ud over den foderale BfDI (Bundesbeauftragter fur den Datenschutz und die Informationsfreiheit) har hver af Tysklands seksten delstater sin egen uafhaengige databeskyttelsesmyndighed. Det betyder, at Tyskland har sytten DPA'er i alt, hvoraf flere har vaeret blandt Europas mest aktive inden for samtykkehandhaevelse.

Den bayerske DPA (BayLDA) gennemforte en sektoromspandende audit af cookiesamtykke pa hjemmesider i 2020-2021, sendte formelle sporgeskemaer til hundredvis af virksomheder og fulgte op med handhaevelsesforanstaltninger. Hamburgs DPA udsendte detaljerede retningslinjer om Google Analytics og samtykkekrav. Flere delstats-DPA'er har gennemfort koordinerede handhaevelseskampagner rettet mod specifikke overtraedelser -- sporing for samtykke, manglende afvisningsmuligheder og ikke-compliant cookiebannere.

Denne handhaevelsestaethed skaber en anderledes risikovurdering for tyske hjemmesideoperatorer. Nar dine branchefaeller har modtaget formelle henvendelser fra DPA'en, og nar handhaevelsesvejledningen er specifik nok til at fortaelle dig praecis, hvad der er og ikke er acceptabelt, bliver omkostningerne ved manglende compliance konkrete frem for teoretiske.

Der er ogsa en kulturel dimension. Tysklands databeskyttelsesbevidsthed raekker dybere end GDPR. Forbundsdomstolens Volkszahlung-afgorelse (folketaellingsdommen) fra 1983 fastslog informationsmaessig selvbestemmelse som en forfatningsmaessig rettighed artier for GDPR eksisterede. Dette skabte en samfundsmaessig forventning om databeskyttelse, der pavirker bade virksomhedsadfaerd og forbrugerforventninger pa mader, der er svaerere at kvantificere, men tydeligt afspejlet i dataene.

Ostrig: tidlig handhaevelse efter Schrems II

Ostrigs DSB (Datenschutzbehorde) fik international opmaerksomhed ved at udsende en af de forste handhaevelsesafgorelser i kolvandet pa Schrems II, hvor den fastslog, at en hjemmesides brug af Google Analytics kraenkede GDPR, fordi dataoverforslerne til USA manglede tilstraekkelige sikkerhedsforanstaltninger. Denne afgorelse -- senere gentaget af den franske CNIL og den italienske Garante -- sendte et klart signal til ostrigske hjemmesideoperatorer om, at samtykke og sporing var aktive handhaevelsesprioriteter.

Ostrigs hojrisikoandel pa 20,9 %, den laveste i vores undersogelse, tyder pa, at signalet blev modtaget. Nar en DPA gennem specifikke, publicerede afgorelser demonstrerer, at samtykkeovertraedelser vil blive forfulgt, reagerer complianceraten. Ostrig er det klareste eksempel i vores data pa, at handhaevelse korrelerer med malbar adfaerdsaendring, selv om andre faktorer -- markedsstruktur, kulturelle holdninger -- sandsynligvis ogsa bidrager.

Niveau 2: Det nordiske mellemfelt -- Sverige, Finland, Danmark

Sverige (33,4 %), Finland (40,3 %) og Danmark (42,1 %) befinder sig i et mellemband, der er bedre end EU-gennemsnittet, men markant bagud i forhold til de tysk-ostrigske frontlobere.

De nordiske lande deler staerke kulturelle vaerdier omkring privatlivets fred og institutionel tillid, men deres DPA'er har generelt indtaget en mindre aggressiv handhaevelsesholdning specifikt vedrorende samtykke. Den svenske IMY (Integritetsskyddsmyndigheten) har truffet bemaerkelsesvaerdige afgorelser -- herunder en vaesentlig bode mod Google for mangler i retten til at blive glemt -- men den samtykkespecifikke handhaevelse har vaeret mere begraenset. Finlands tietosuojavaltuutettu og Danmarks Datatilsynet har pa lignende vis fokuseret pa meddelelse om databrud og sektorvejledning frem for brede cookiesamtykkekampagner.

Sveriges hojrisikoandel pa 33,4 % er ikke desto mindre bemaerkelsesvaerdigt bedre end det vesteuropaeiske gennemsnit, hvilket tyder pa, at kulturelle holdninger til privatlivets fred delvist kan kompensere for sjaeldnere handhaevelse. Nordiske internetbrugere er bredt set mere privatlivsbevidste, hvilket kan skabe markedspres for bedre samtykkeimplementeringer selv i fravaer af regulativt pres.

Bannerdetektionsraterne er instruktive her. Danmark viser en bannerdetektionsrate pa 57,0 % -- den hojeste for noget land, hvor vi har dette datapunkt -- og Finland viser 54,6 %. Det betyder, at nordiske sider er mere tilbojelige til at installere et samtykkebanner, selvom implementeringen bag banneret ikke altid er fuldt ud compliant. Det tyder pa bevidsthed om forpligtelsen, selv hvor udforelsen halter.

Niveau 3: Vesteuropa -- Frankrig, Nederlandene, Belgien, Spanien, Italien

Fem vesteuropaeiske lande klynger sig taet sammen mellem 42,1 % og 44,6 % hoj risiko: Belgien (42,1 %), Nederlandene (43,5 %), Frankrig (44,1 %), Spanien (44,1 %) og Italien (44,6 %). Denne klynge ligger taet pa EU-gennemsnittet pa 41 % og repraesenterer muligvis en compliancebaseline -- det niveau man opnar, nar handhaevelse eksisterer, men ikke er hyppig eller malrettet nok til at flytte nalen vaesentligt.

Frankrig: paradokset med hojprofileret handhaevelse

Frankrig er bemaerkelsesvaerdigt, fordi CNIL er nok den mest internationalt synlige DPA i Europa. Den har udstedt rekordboder mod Google (150 millioner euro for samtykkeovertraedelser i 2022), Amazon (35 millioner euro) og Microsoft (60 millioner euro). Den offentliggjorde detaljerede retningslinjer om cookies og samtykke i 2020 og gav franske hjemmesider en seks-maneders frist til at overholde dem. Den gennemforte koordinerede handhaevelsesbolver rettet mod sider, der ikke implementerede afvisningsmuligheder.

Alligevel ligger Frankrig pa 44,1 % hoj risiko -- praecis gennemsnitligt for Vesteuropa. Hvordan kan den mest aktive handhaever kun producere gennemsnitlig compliance?

Svaret ligger sandsynligvis i den franske webs struktur. Frankrig har en stor, diversificeret digital okonomi med hundredtusindvis af hjemmesider drevet af sma og mellemstore virksomheder, lokale offentlige enheder og organisationer, der muligvis ikke noje folger CNIL's handhaevelsesnyheder. CNIL's hojprofilerede aktioner mod teknologigiganter genererer internationale overskrifter, men aendrer muligvis ikke adfaerd blandt de tusindvis af smavirksomhedssider, der bruger standard WordPress-installationer med ukonfigurerede samtykkeplugins. Handhaevelse rettet mod toppen af fordelingen flytter ikke nodvendigvis halen.

Dette er en vigtig indsigt for alle DPA'er: overskriftsboder afrskraekker store virksomheder, men flytter muligvis ikke den samlede compliancerate, som domineres af den lange hale af sma og mellemstore sider. Bred adfaerdsaendring kraever enten massehandhaevelse (upraktisk med nuvaerende DPA-ressourcer) eller vaerktoejer, der gor compliance til standarden frem for undtagelsen.

Nederlandene: lav bannerrate, moderat risiko

Nederlandene viser et interessant monster: en hojrisikoandel pa 43,5 % (moderat), men kun en bannerdetektionsrate pa 40,3 % -- den laveste blandt lande, hvor vi har disse data. Det betyder, at hollandske sider er mindre tilbojelige til at installere et samtykkebanner, men blandt dem der gor det, kan implementeringskvaliteten vaere noget bedre. Det kan ogsa afspejle et hollandsk webokosystem, der omfatter mange sider med minimal sporing (intet banner nodvendigt) sammen med sider, der sporer intensivt uden at gore sig umage med et banner.

Den hollandske AP (Autoriteit Persoonsgegevens) har vaeret aktiv pa GDPR-handhaevelse generelt, men har udstedt faerre samtykkespecifikke afgorelser sammenlignet med de tyske DPA'er eller CNIL. AP's handhaevelsesprioriteter har centreret sig om offentlig databehandling, sundhedsdata og storstilet overvaagning, hvor samtykkeovertraedelser har faet relativt mindre opmaerksomhed.

Niveau 4: Ost- og Sydeuropa -- Graekenland, Polen, Rumaenien, Tjekkiet, Ungarn

Bunden af rangeringen er domineret af central- og osteuropaeiske lande med hojrisikoandele fra 52,5 % (Graekenland) til 58,8 % (Ungarn). I disse lande praesenterer mere end halvdelen af de scannede hjemmesider en hoj risikoprofil.

Den rode trad er ikke manglende juridisk forpligtelse -- GDPR gaelder identisk -- men et monster af underfinansierede DPA'er med faerre handhaevelsesforanstaltninger rettet specifikt mod samtykke. Ungarns NAIH, Polens UODO, Rumaeniens ANSPDCP og Tjekkiets UOOU har alle fokuseret deres begraensede handhaevelsesbudgetter pa omrader som meddelelse om databrud, indsigtsanmodninger og hojprofilerede klager frem for proaktive cookiesamtykkeaudits.

Dette er rationel adfaerd for underfinansierede tilsynsmyndigheder. Nar man har et lille team og en stor okonomi at fore tilsyn med, prioriterer man klager over proaktiv handhaevelse, og klager over cookiesamtykke er relativt sjaeldne sammenlignet med klager over databrud eller afviste indsigtsanmodninger. Resultatet er, at samtykkeovertraedelser stort set forbliver uovervagede, og hjemmesideoperatorer star over for ingen meningsfuld risiko for handhaevelse.

Disse data afspejler ikke disse DPA'ers kompetence eller dedikation. Flere central- og osteuropaeiske DPA'er opererer med personale-til-befolkning-rater, der er en brokdel af, hvad tyske delstats-DPA'er har. Den ungarske NAIH forer for eksempel tilsyn med et land pa 10 millioner mennesker. Bayerns BayLDA, der forer tilsyn med en befolkning af lignende storrelse inden for en tysk delstat, har historisk haft flere ressourcer og et mere fokuseret mandat.

Konklusionen er strukturel: ensartet regulering uden ensartet handhaevelse producerer uensartet compliance. Dette er et centralt fund i landedataene.

Handhaevelseskorrelationen

Hvis man plotter DPA-handhaevelsesintensitet mod compliancerater (narrativt, da vi ikke publicerer et diagram her), er sammenhaengen tydelig. Landene med flest handhaevelsesforanstaltninger specifikt rettet mod samtykke -- Tyskland, Ostrig -- har de laveste hojrisikoandele. Lande med overskriftsgribende, men koncentreret handhaevelse (Frankrig) viser gennemsnitlig compliance. Lande med minimal samtykkespecifik handhaevelse viser de hojeste overtraedelsesrater.

Denne korrelation beviser ikke kausalitet -- kulturelle faktorer, markedsstruktur og modenheden af den lokale teknologisektor spiller alle roller. Men styrken af monsteret pa tvaers af 25 lande er forenelig med handhaevelse som en vaesentlig faktor, selv om kulturelle og strukturelle forskelle ogsa spiller en rolle.

Nogle bemaerkelsesvaerdige handhaevelsesforanstaltninger, der synes at have flyttet nalen:

• Tyskland (2020-2022): Flere delstats-DPA'er gennemforte koordinerede cookiesamtykkeaudits og sendte formelle breve til hundredvis af hjemmesider. BayLDA udgav en FAQ om samtykke, der blev en de facto-compliancestandard.
• Ostrig (2022): DSB's Google Analytics-afgorelse blev bredt daekket i ostrigske tech- og erhvervsmedier, hvilket udloste en synlig bolge af migrationer fra GA til Matomo.
• Frankrig (2021-2022): CNIL's cookiehandhaevelsebolge rettede sig mod 100+ hjemmesider for ikke-compliant samtykkeimplementeringer, selvom effekten synes koncentreret blandt storre operatorer.
• Italien (2022): Garante udsendte opdaterede cookieretningslinjer, der udloste complianceaktivitet blandt storre italienske hjemmesider, selvom hojrisikoandelen pa 44,6 % tyder pa, at effekten ikke bredte sig vidt.

Bannerdetektionsrater pr. land

Bannerdetektionsraten -- procentdelen af sider, hvor vores scanner identificerede en samtykkemekanisme -- varierer betydeligt pa tvaers af lande:

Danmark forer med 57,0 %, hvilket tyder pa, at danske hjemmesider er mest tilbojelige til at installere en form for samtykkemekanisme, selvom deres samlede compliancekvalitet (42,1 % hoj risiko) er middelmadig. Tysklands 46,1 % er lavere, end man kunne forvente givet deres lave overtraedelsesrate, men det er konsistent: tyske sider, der sporer, er mere tilbojelige til at gore det med korrekt samtykke, mens tyske sider, der ikke sporer, med rimelighed kan fungere uden banner.

Nederlandenes 40,3 % er det laveste tal, vi har, hvilket stemmer overens med det hollandske monster naevnt ovenfor: faerre bannere samlet set, men ikke nodvendigvis darligere compliance blandt dem, der installerer dem.

Disse rater afspejler ogsa metodologisk virkelighed. En side, der ikke saetter ikke-essentielle cookies og ikke kontakter tredjepartssporingsdomaener, har oprigtigt ikke brug for et samtykkebanner under ePrivacy-undtagelsen for strengt nodvendige cookies. Nogen variation i bannerrater er derfor forventet og legitim.

Hvad dette betyder for graenseoverskridende virksomheder

Hvis du driver en hjemmeside eller digital tjeneste, der betjener brugere pa tvaers af flere EU-lande, har disse data direkte praktiske implikationer.

Din compliancerisiko bestemmes af dit marked med hojest handhaevelse. Hvis din side betjener tyske brugere, er standarden reelt sat af tyske DPA-forventninger, uanset hvor din virksomhed er hjemmehorende. Under GDPR's one-stop-shop-mekanisme kan din ledende tilsynsmyndighed vaere i dit hjemland, men enhver DPA kan tage skridt vedrorende klager fra sine egne borgere. En ungarsk hjemmeside, der betjener tyske besoegende, kan blive genstand for granskning fra tyske DPA'er. Det er utilstraekkeligt at benchmarke mod dit eget lands gennemsnit. Hvis du er polsk hjemmesideoperator, og 53,3 % af dine kollegaer er hoj risiko, er det at vaere "gennemsnitlig" stadig ensbetydende med at vaere ikke-compliant efter GDPR's bogstav. Forordningen justerer ikke sine krav efter land. Kun handhaevelsessandsynligheden varierer -- og handhaevelsestendenser bevaeger sig i en retning. DPA'er, der endnu ikke har prioriteret samtykke, vil sandsynligvis gore det, efterhanden som koordineringen pa europaeisk plan oges. EDPB presser pa for konvergens. European Data Protection Boards cookiespecifikke retningslinjer, taskforce-aktiviteter og konsistensudtalelser er designet til at reducere handhaevelseskloften mellem medlemsstater. EDPB's taskforcerapport om samtykkebannere i 2023 identificerede almindelige overtraedelser og opfordrede til koordineret handhaevelse, og flere tidligere mindre aktive DPA'er har signaleret oget opmaerksomhed pa samtykke som reaktion. Lav handhaevelse pa et givet marked er usandsynligt at forblive status quo pa ubestemt tid.

GDPR-harmoniseringsproblemet

Landedataene i denne undersogelse er pa visse mader en udfordring for GDPR's harmoniseringsmal. Forordningen skulle skabe en faelles standard pa tvaers af EU og erstatte lappetaeppet af nationale databeskyttelseslove. Hvad angar lovteksten lykkedes det. Hvad angar compliancevirkeligheden er det endnu ikke lykkedes.

En hjemmeside i Ostrig er tre gange mindre tilbojelig til at vaere hoj risiko end en hjemmeside i Ungarn. En fransk bruger, der klikker "Afvis", star over for den samme fejlrate pa 80,4 % som en polsk bruger. Samtykkebanneret er mere sandsynligt at dukke op i Danmark end i Nederlandene. Ingen af disse forskelle har juridisk grundlag -- de er alle konsekvenser af differentieret handhaevelse.

Dette rejser et vanskeligt sporgsmal: kan en reguleringsramme, der afhaenger af nationale tilsynsmyndigheder med vidt forskellige ressourcer og prioriteter, levere ensartet beskyttelse? Dataene tyder pa, at svaret i ojeblikket er nej. Kloften mellem Tyskland/Ostrig og Ungarn/Tjekkiet er ikke ved at lukke -- og den vil ikke lukke uden enten en betydelig ombalancering af DPA-ressourcer eller et skift til handhaevelse pa EU-niveau for almindelige, teknisk malbare overtraedelser som sporing for samtykke.

Cookiesamtykke er, ironisk nok, en af de letteste GDPR-forpligtelser at verificere i stor skala. I modsaetning til at vurdere lovligheden af en databehandlingsaktivitet eller tilstraekkeligheden af en konsekvensanalyse for privatlivets fred er det at kontrollere, om en hjemmeside saetter sporingscookies for samtykke, en objektiv, automatiserbar maling. Hvis EU ikke kan opna handhaevelseskonvergens pa denne mest malbare af overtraedelser, er udsigterne for konvergens pa svaerere sporgsmal dystre.

Metodologisk note

Hjemmesideudvaelgelsen blev foretaget fra Tranco Top 1M-listen, filtreret efter landstilknytning. Landetilskrivning brugte landekodedomaener (ccTLD'er) som det primaere signal, suppleret af registrerings- og hostingdata, hvor domaener var tvetydige (f.eks. `.com`-domaener). Sider med uklar landetilknytning blev ekskluderet fra landeanalysen, men inkluderet i de EU-daekkende aggregerede tal.

Hver side blev scannet med identiske kriterier: adfaerd for samtykke, bannerdetektion, test af afvisningsflow (hvor en afvisningsknap blev identificeret), analyse af cookielevetid og tilgaengelighedsevaluering. Scanneren foretog ingen justeringer for oprindelsesland -- en ungarsk side blev evalueret med samme metodologi og taerskler som en tysk.

Stikprovestorrelser varierer efter land og afspejler fordelingen af EU-hjemmesider i Tranco-listen. Lande med storre digitale okonomier (Tyskland, Frankrig, Nederlandene) bidrager med flere sider. Alle procentsatser er beregnet i forhold til stikproven pr. land, ikke den EU-daekkende total.

---

Se, hvor din hjemmeside star. Kor en gratis scanning pa gdprprivacymonitor.eu for at fa den samme compliancevurdering, vi anvendte pa hver eneste side i denne undersogelse -- med fuld evidens, risikoscoring og handlingsrettede fund.