Sporing før samtykke: hvad det er, og hvorfor tilsynsmyndigheder behandler det som en overtrædelse

Sporing før samtykke er en kategori af fund i vores scanner. Den udløses, når browseren mellem starten af en frisk sideindlæsning og det øjeblik, en bruger foretager en handling på samtykkebanneret, sender en eller flere netværksanmodninger, der bærer identifikatorer, indeholder ikke-essentielle analytics-payloads eller sætter ikke-essentielle cookies.

Dette er den hyppigste mangel, vi opdager. I vores scanning af 97.000 EU-websteder var størstedelen af klassifikationerne med høj risiko drevet af sporing før samtykke, ikke af manglende bannere eller defekte afvis-knapper.

Hvad scanneren leder efter

Detektoren overvåger netværket fra det øjeblik, browseren udsteder dokumentanmodningen, indtil en af tre hændelser indtræffer:

1. Brugeren klikker på en knap på samtykkebanneret (accepter, afvis, indstillinger).
2. En målbar cookie eller localStorage-indgang vedrørende samtykkestatus skrives.
3. En timeout udløber (som standard 8 sekunder), uden at noget samtykkesignal foreligger.

Enhver anmodning, der affyres i dette vindue, undersøges for tre signaler:

• Kendt sporerfingeraftryk. Måldomænet, anmodningsstien eller payload-mønsteret matcher en post i vores sporerdatabase. Dette omfatter Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, TikTok Pixel, X-konverteringspixel og mange andre.
• Identifikatorbærende payload. Anmodningen bærer en stabil klient-identifikator (cookie, fingeraftryks-hash eller forespørgselsparameter, der overlever på tværs af sider).
• Skrivning af ikke-essentiel cookie. Svaret sætter en cookie, der efter klassifikation ikke er strengt nødvendig for webstedets funktionalitet.

Et af disse signaler er nok til at udløse fundet. Alle tre sammen er det typiske mønster for en Google Tag Manager-container, der affyres før samtykkeporten.

Den juridiske ramme, kort fortalt

Vi er ikke din advokat. De rene fakta:

• GDPR Art. 6(1)(a) kræver et gyldigt retsgrundlag for behandling af personoplysninger. For ikke-essentielle sporere er dette samtykke.
• GDPR Art. 7 fastsætter standarden for, hvordan gyldigt samtykke skal se ud: frivilligt afgivet, specifikt, informeret, utvetydigt og tilbagekaldeligt.
• ePrivacy Directive Art. 5(3) kræver specifikt samtykke, inden der lagres oplysninger på eller hentes adgang til oplysninger på en brugers terminaludstyr — det vil sige, inden cookies og lignende identifikatorer læses eller skrives. Hvorvidt en bestemt netværksanmodning før samtykke krydser grænsen til en overtrædelse, afhænger af, om den læser eller skriver oplysninger på enheden, om den bærer identifikatorer, og om den kan retfærdiggøres som "strengt nødvendig" — det er de spørgsmål, tilsynsmyndighederne har vejet.

De nationale implementeringer adskiller sig i detaljen. Tysklands TTDSG (nu TDDDG) og Frankrigs gennemførelse via Loi Informatique et Libertés, håndhævet af CNIL, har frembragt den mest synlige håndhævelse. DPAs i hele EU har advaret om mønstre med sporing før samtykke; konkrete håndhævelsestærskler varierer mellem jurisdiktioner. Det underliggende princip er det samme overalt: først samtykke, så sporer.

Hvad tilsynsmyndighederne faktisk har gjort

En kort, ufuldstændig tidslinje over afgørelser, hvor sporing før samtykke var det centrale fund:

• CNIL mod Google (december 2020): 100 mio. EUR for at placere reklamecookies på google.fr uden forudgående samtykke.
• CNIL mod Amazon Europe Core (december 2020): 35 mio. EUR for det samme mønster på amazon.fr.

Det er ikke de eneste sager — men de bærende. Mønsteret på tværs af dem er konsistent: Tilsynsmyndigheden målte netværksadfærden og behandlede den tekniske virkelighed som afgørende, uanset hvad politikteksten sagde.

De scripts, der oftest forårsager det

Groft sorteret efter, hvor ofte vi ser dem som den primære årsag på en højrisiko-scanning:

• Google Tag Manager-containere konfigureret uden consent-mode-gating, eller med consent-mode fejlkonfigureret, så standardtilstanden er "granted".
• Meta Pixel indlæst direkte via <script src> i stedet for at være portstyret bag et samtykke-callback.
• Hotjar-sessionsoptagelse startet, før banneret er afvist.
• LinkedIn Insight til B2B-retargeting, særligt på bureau- og SaaS-sider.
• TikTok Pixel på forbruger-e-handel.
• First-party-analytics-implementeringer, der læser navigator-egenskaber eller sætter fingeraftryks-cookies, før nogen brugerhandling finder sted.

Den fælles faktor er næsten aldrig scriptet selv — det er implementeringen. Hver af disse leverandører udgiver en dokumenteret måde at portstyre affyring på et samtykkesignal; standardinstallationsvejledningerne nævner det dog ofte ikke.

Hvordan en ren scanning ser ud

Et websted, der består vores præ-samtykke-tjek, gør en af følgende ting:

1. Indlæser slet ingen tredjeparts-sporing før samtykke er givet. Funktionelle cookies (session, sprogpræference, CSRF) er fine.
2. Indlæser tag manager i tilstanden "denied" med alle ikke-essentielle tags portstyret bag eksplicitte samtykkesignaler og opdaterer tilstanden via Google Consent Mode v2 eller en tilsvarende mekanisme, efter brugeren handler.
3. Indlæser sporer-stubs, der ikke transmitterer identifikatorer, før samtykke-flaget er sat.

I vores 2026 Q1-korpus af 97.000 EU-websteder havde 68 % en sporingstjeneste aktiv, før nogen samtykkebeslutning var truffet. Det mindretal af websteder, der består præ-samtykke-tjekket, har en fælles profil: Netværket i præ-samtykke-vinduet domineres af selve dokumentet, CSS- og skrifttypefiler og et favicon — intet, der bærer en identifikator væk fra enheden.

Sådan retter du det

Den ærlige version: Der er ingen genvej. Hver tag skal revideres for, om den affyres, før samtykkesignalet er sat. Skridt, der virker i praksis:

1. Åbn webstedet i en ren browserprofil med dev tools åbne.
2. Filtrér netværket til "tredjepart" og genindlæs.
3. Alt, der affyres, før du klikker på en bannerknap, er en kandidat.
4. Find for hver kandidat indlæseren (typisk et script-tag, en tag manager-trigger eller et inline-uddrag), og portstyr den på samtykkesignalet.
5. Test igen. Gentag, indtil præ-samtykke-vinduet er tomt for sporere.

Hvis du bruger en samtykkestyringsplatform, er platformens "blokér indtil samtykke"-tilstand nødvendig, men ikke tilstrækkelig — mange CMP'er blokerer kun cookie-skrivningen, ikke anmodningen. Article 5(3) i ePrivacy Directive kræver samtykke, inden der lagres eller hentes adgang til oplysninger på en brugers enhed (cookies, local storage, lignende identifikatorer). Hvorvidt en specifik netværksanmodning før samtykke udløser den forpligtelse, afhænger af, hvad anmodningen læser fra eller skriver til enheden — et faktaspecifikt spørgsmål.

For et bearbejdet eksempel på dit eget domæne, kør en scanning og se på "præ-samtykke-netværk"-panelet i rapporten. Hver pågældende anmodning er angivet med dens initiator-stak, så du kan spore den til kildefilen i din kodebase.