80% of Cookie Reject Buttons Don't Actually Work — Here's the Proof

Hvert cookiebanner giver det samme implicitte lofte: klik "Afvis", og sporingen stopper. Banneret forsvinder, og du browser i fred. Det er den aftale, samtykkemodellen er bygget pa -- ideen om, at brugere har et meningsfuldt, handhaeveligt valg.

Vi testede det lofte pa 28.891 EU-hjemmesider. Pa 80,4 % af dem er loftet brudt. Sporingen fortsaetter, efter at brugeren eksplicit klikker afvis. Cookies forbliver. Annoncepixler bliver ved med at fyre. Og pa 1.642 sider dukker cookies, som afvisningshandlingen forst fjernede, op igen naeste gang siden indlaeses -- et monster vi kalder consent respawn.

Dette er ikke et marginalt fund om nogle fa fejlkonfigurerede sider. Det peger pa et systemisk problem i den mekanisme, som hundredvis af millioner af EU-borgere stoler pa for deres rettigheder til privatliv.

Hvad "Afvis" skal gore -- juridisk set

Den juridiske ramme er klar. I henhold til artikel 5, stk. 3, i ePrivacy-direktivet kraever lagring af eller adgang til information pa en brugers terminaludstyr forudgaende samtykke, med en snaever undtagelse for cookies, der er strengt nodvendige for en tjeneste, som brugeren eksplicit har anmodet om. GDPR artikel 7, stk. 3, tilfojer, at tilbagetraekning af samtykke skal vaere lige sa let som at give det, og den dataansvarlige skal handle pa tilbagetraekningen.

EDPB's retningslinjer 05/2020 om samtykke under GDPR praeciserer, hvad dette betyder for afvisningsknapper: hvis en hjemmeside tilbyder muligheden "Accepter alle", skal den ogsa tilbyde en lige sa synlig og lige sa tilgaengelig mulighed for at afvise. Og den afvisning skal vaere effektiv -- den skal faktisk forhindre den behandling, som samtykke ville have autoriseret.

EU-Domstolen forstaerkede dette i Planet49 (C-673/17): samtykke kraever en klar bekraeftende handling, og forudafkrydsede bokse udgor ikke gyldigt samtykke. Den logiske folge er, at en afvisning -- en eksplicit negativ handling -- skal respekteres lige sa definitivt som en accept. Hvis et klik pa "Accepter" taender for sporing, skal et klik pa "Afvis" slukke for den. Ikke delvist. Ikke midlertidigt. Fuldstaendigt og vedvarende.

Det er, hvad loven siger. Vores data viser, hvad der faktisk sker.

Sadan tester vi afvisningsflowet

Vores test af afvisningsflowet er designet til at vaere sa taet som muligt pa oplevelsen af en rigtig bruger, der klikker afvis, med tilfojelsen af omfattende instrumentering. Her er processen trin for trin:

Trin 1: Ren browsersession. Scanneren starter en ren Chromium-instans -- ingen cookies, ingen lokal lagring, ingen cachede ressourcer, ingen browserhistorik. Dette er en aegte forstegangsbesoegende uden tidligere samtykkestatus. Trin 2: Naviger og registrer tilstanden for samtykke. Scanneren indlaeser mal-URL'en og venter pa, at siden stabiliserer sig. For nogen interaktion registrerer den hver cookie i browseren, hver netvaerksanmodning og hvert tredjepartsdomaene kontaktet. Dette er baseline for samtykke -- hvad siden gor, for brugeren overhovedet har mulighed for at traeffe et valg. Trin 3: Detektering af samtykkebanneret. Ved hjaelp af vores detektionsbibliotek, der daekker 45 kendte CMP'er og generiske heuristikker, identificerer scanneren samtykkemekanismen og finder afvisningsknappen. Dette trin bruger en lagdelt tilgang: forst tjekker den for kendte CMP-scriptsignaturer og deres tilknyttede DOM-strukturer, derefter falder den tilbage til generisk detektion af fastpositionerede elementer med samtykkerelateret tekst og knaplabels som "Afvis alle", "Decline", "Refuse" eller tilsvarende oversaettelser. Trin 4: Klik afvis. Scanneren klikker pa afvisningsknappen og venter pa, at siden falder til ro. "Falder til ro" betyder, at ventende netvaerksanmodninger afsluttes, DOM-mutationer stopper, og animationer eller overgange afsluttes. Vi bruger generoese timeouts for at undga falske positiver fra langsomme CMP-implementeringer. Trin 5: Snapshot efter afvisning. Scanneren registrerer den komplette tilstand igen: alle cookies, al netvaerksaktivitet, alle tredjepartsdomaener. Dette snapshot sammenlignes med baseline for samtykke for at fastsla, hvad der har aendret sig. Trin 6: Genindlaes og kontroller for respawn. Scanneren genindlaeser siden og venter pa, at den stabiliserer sig igen. Derefter tager den et endeligt snapshot. Dette trin er kritisk: det afslorer, om afvisningshandlingen er vedvarende (respekteret pa tvaers af sideindlaesninger), eller om cookies og sporing genaktiveres, nar siden indlaeses pa ny. Hvis cookies, der blev fjernet i trin 5, dukker op igen i trin 6, er det consent respawn.

Hvert trin producerer tidsstemplede, arkiverbare beviser: komplette cookie-oversigter med navne, vaerdier, domaener, udlobsdatoer og flags; komplette logfiler over netvaerksanmodninger med URL'er, metoder, svarkoder og timing; og fuldskraermsscreenshots. Denne beviskaede gor det muligt at verificere og udfordre ethvert enkelt fund.

Resultaterne: 80,4 % fejl

Af de 28.891 hjemmesider, hvor vi med succes gennemforte den fulde test af afvisningsflowet:

• 5.650 (19,6 %) bestod. Efter klik pa afvis blev ikke-essentielle cookies fjernet, sporingsanmodninger stoppede, og afvisningen var vedvarende pa tvaers af sidegenindlaesninger.
• 23.241 (80,4 %) fejlede. Sporing fortsatte i en eller anden form, efter at brugeren eksplicit klikkede afvis.

Fejlene er ikke ensartede. De falder i distinkte kategorier, der overlapper -- en enkelt side kan udvise flere fejltilstande samtidigt.

Vedvarende cookies: 10.848 sider

Pa 10.848 sider (37,5 % af de testede) forblev ikke-essentielle cookies i browseren efter afvisningsflowet var gennemfort. Der er tale om cookies klassificeret som analyse-, marketing- eller sporingsrelaterede, som burde have vaeret fjernet eller forhindret i at blive sat efter en afvisningshandling.

De mest almindelige vedvarende cookies tilhorer Google Analytics (`_ga`, `_gid`, `_gat`), Meta/Facebook (`_fbp`, `fr`) og forskellige annonceringsplatforme. I mange tilfaelde lykkes det CMP'en at fjerne nogle cookies, men den fanger ikke dem alle -- hvilket tyder pa ufuldstaendig integration mellem samtykkeplatformen og sidens fulde katalog af tredjepartsscripts.

Tilstedevaerelsen af disse cookies efter afvisning er ikke blot et aestetisk problem. Hver enkelt er en vedvarende identifikator, der knytter brugerens nuvaerende session til tidligere og fremtidige besog. `_ga`-cookien er for eksempel en unik klientidentifikator, som Google Analytics bruger til at opbygge en longitudinel profil af brugerens adfaerd pa tvaers af sessioner. Hvis den forbliver efter afvisning, fortsaetter brugerens browsing med at blive sporet og aggregeret uanset deres udtrykte afvisning.

Vedvarende trackere: 14.547 sider

Pa 14.547 sider (50,3 % af de testede) forblev sporingstjenester aktive efter afvisning -- hvilket betyder, at browseren fortsatte med at sende anmodninger til kendte sporingsdomaener, selv efter at brugeren klikkede pa afvisningsknappen.

Dette er en anden fejltilstand end vedvarende cookies. En tracker kan vaere aktiv uden at saette en cookie: pixelanmodninger, beacon-kald og scriptindlaesninger overforer alle information (som minimum brugerens IP-adresse, den henvisende side og timingdata) til tredjepartsservere, uanset om en cookie lagres. Dette kaldes undertiden "cookieless tracking" og er i stigende grad almindeligt, efterhanden som browsere skaerper restriktionerne pa tredjepartscookies.

Kloften mellem cookietallet (10.848) og trackertallet (14.547) er signifikant. Den betyder, at pa ca. 3.700 sider lykkedes afvisningshandlingen med at rydde cookies, men formaede ikke at forhindre sporingsanmodninger i at fortsaette. CMP'en handterede cookieoprydning, men blokerede ikke de scripts, der genererer sporingstrafik i forste omgang. Dette peger pa et almindeligt arkitekturproblem: CMP'en er konfigureret til at handtere cookies (slette dem ved afvisning, forhindre dem ved indlaesning), men ikke til at styre scriptudforelse.

Consent respawn: 1.642 sider, 4.932 cookies

Consent respawn er det mest bekymrende monster, vi identificerede. Pa 1.642 hjemmesider dukkede cookies, der blev fjernet af afvisningshandlingen, op igen efter sidegenindlaesning. Pa tvaers af disse sider udviste 4.932 individuelle cookies denne respawn-adfaerd.

Consent respawn er ikke en fejl i en CMP eller en konfiguration. Det er et strukturelt problem i, hvordan samtykke implementeres pa tvaers af webstakken.

Hvordan en cookie kommer tilbage efter sletning. Nar en bruger klikker afvis, gor en korrekt konfigureret CMP to ting: den sletter eksisterende ikke-essentielle cookies (ved at saette deres udlobsdato til en dato i fortiden) og opdaterer en samtykkeregistrering (normalt en cookie selv eller en localStorage-post), der fortaeller CMP'ens blokeringslogik at forhindre ikke-essentielle scripts i at kore ved fremtidige sideindlaesninger. Hvis begge dele virker, er brugeren ren: ingen sporings-cookies, ingen sporingsscripts.

Consent respawn sker, nar sletningen lykkes, men blokeringen fejler. Det mest almindelige scenarie:

1. CMP'en sletter `_ga`-cookien, nar brugeren klikker afvis.

2. CMP'en saetter en samtykkestatuscookie, der registrerer, at brugeren har afvist analyse.

3. Ved naeste sideindlaesning tjekker CMP'en sin samtykkestatus og ved, at brugeren afviste.

4. Men: Google Analytics-scripttagget er indlejret direkte i sideskabelonen (uden for tag manageren) eller indlaeses af en tag manager-regel, der ikke tjekker samtykkestatus.

5. GA-scriptet indlaeses, ser ingen `_ga`-cookie og opretter en ny.

6. Brugerens afvisningsbeslutning er blevet tilsidesat.

Variationer af dette monster omfatter: tredjepartsscripts indlaest via hardkodede `