Forskning
Which EU Countries Take Cookie Compliance Most Seriously?
GDPR Privacy Monitor Research · 2026-04-12 · 5 min läsning
GDPR ar en enda forordning. En text. Direkt tillämplig i varje EU-medlemsstat utan behov av nationell implementering (till skillnad fran ePrivacy-direktivet, som kraver det, vilket lagger till ytterligare ett lager av variation). I teorin star en webbplats i Ungern infor samma rattsliga skyldigheter som en webbplats i Tyskland. I praktiken ar gapet mellan teori och verklighet enormt.
Nar vi skannade 97 304 webbplatser i 25 av de 27 EU-medlemsstaterna fann vi att andelen hogriskwebbplatser varierar fran 20,9 % i Osterrike till 58,8 % i Ungern -- ett forhallande pa nastan tre till ett. Samma forordning, samma skanningsmetodik, samma klassificeringskriterier, tydligt skilda resultat. Datan tyder på att efterlevnad korrelerar mindre med vad lagen säger än med hur aktivt den tillämpas.
Den fullstandiga rankningen
Tabellen nedan visar varje land i var studie, rangordnat efter andelen skannade webbplatser klassificerade som hogrisk. Hogrisk innebar att webbplatsen uppvisade betydande samtyckesoverträdelser: sparning fore samtycke, avvisningsflodesmisslyckanden, saknade samtyckesmekanismer tillsammans med aktiv sparning, eller kombinationer darav. Vi visar aven den genomsnittliga riskpoangen (ett kontinuerligt 0-100-matt) och banderolldetekteringsgraden -- andelen skannade webbplatser dar vart system identifierade en samtyckesbanderoll.
| Rang | Land | Hogrisk % | Gns. riskpoang | Banderolldetekteringsgrad |
|---|---|---|---|---|
| 1 | Osterrike | 20,9 % | 31,2 | -- |
| 2 | Tyskland | 23,7 % | 33,9 | 46,1 % |
| 3 | Sverige | 33,4 % | 49,0 | -- |
| 4 | Finland | 40,3 % | 46,4 | 54,6 % |
| 5 | Belgien | 42,1 % | 47,4 | -- |
| 6 | Danmark | 42,1 % | 48,3 | 57,0 % |
| 7 | Nederlanderna | 43,5 % | 53,1 | 40,3 % |
| 8 | Frankrike | 44,1 % | 49,7 | -- |
| 9 | Spanien | 44,1 % | 50,2 | -- |
| 10 | Italien | 44,6 % | 51,8 | -- |
| 11 | Grekland | 52,5 % | 54,9 | -- |
| 12 | Polen | 53,3 % | 56,1 | -- |
| 13 | Rumanien | 53,9 % | 56,2 | -- |
| 14 | Tjeckien | 55,1 % | 59,0 | -- |
| 15 | Ungern | 58,8 % | 60,1 | -- |
Den genomsnittliga riskpoangen ger en mer nyanserad bild an den binara hogriskklassificeringen. Notera att Nederlanderna har en relativt mattlig hogriskniva (43,5 %) men en jamforelsevis hog genomsnittlig riskpoang (53,1), vilket tyder pa att farre nederländska webbplatser korsar hogrisktroskeln, men de som gor det tenderar att vara mer allvarligt icke-kompatibla. Sverige visar ett liknande monster i omvand riktning: en lagre hogriskniva (33,4 %) men en relativt hog genomsnittspoang (49,0), vilket tyder pa bred spridning av mattliga overtradelser.
Niva 1: Ledarna -- Tyskland och Osterrike
Tyskland (23,7 % hogrisk) och Osterrike (20,9 % hogrisk) ar tydliga undantag. Deras webbplatser ar ungefar halften sa sannolika att klassificeras som hogrisk jamfort med EU-genomsnittet pa 41 %. Att forsta varfor kraver en granskning av tilsynsekosystemet i bada landerna.
Tyskland: djup och bredd i tillsyn
Tysklands dataskyddslandskap ar unikt i Europa. Utover den federala BfDI (Bundesbeauftragter fur den Datenschutz und die Informationsfreiheit) har var och en av Tysklands sexton delstater sin egen oberoende dataskyddsmyndighet. Detta innebar att Tyskland har sjutton dataskyddsmyndigheter totalt, varav flera har varit bland Europas mest aktiva nar det galler samtycktillsyn.
Bayerns dataskyddsmyndighet (BayLDA) genomforde en sektoromfattande granskning av cookie-samtycke pa webbplatser 2020-2021, skickade formella enkater till hundratals foretag och foljde upp med tilsynsatgarder. Hamburgs dataskyddsmyndighet utfardade detaljerad vagledning om Google Analytics och samtyckekrav. Flera delstatliga dataskyddsmyndigheter har genomfort samordnade tillsynskampanjer riktade mot specifika overtradelser -- sparning fore samtycke, saknade avvisningsalternativ och icke-kompatibla cookie-banderoller.
Denna tillsynstathet skapar en annan riskkalkyl for tyska webbplatsoperatorer. Nar dina branschkollegor har fatt formella forfragar fran dataskyddsmyndigheten, och nar tillsynsvagledningen ar specifik nog att beratta exakt vad som ar och inte ar acceptabelt, blir kostnaden for icke-efterlevnad konkret snarare an teoretisk.
Det finns aven en kulturell dimension. Tysklands dataskyddsmedvetande gar djupare an GDPR. 1983 ars Volkszahlung-dom (folkrakning) av den federala forfattningsdomstolen fastställde informationellt sjalvbestaemmande som en konstitutionell rattighet artionden fore GDPR:s tillkomst. Detta skapade en samhallelig forvantning kring dataskydd som paverkar bade foretagsbeteende och konsumentforväntningar pa satt som ar svarare att kvantifiera men tydligt aterges i datan.
Osterrike: tidig tillsyn efter Schrems II
Osterrikes DSB (Datenschutzbehorde) fick internationell uppmarksamhet genom att utfarda ett av de forsta tilsynsbesluten i efterdyningarna av Schrems II, dar man fann att en webbplats anvandning av Google Analytics overtradde GDPR eftersom dataoverfoeringarna till USA saknade adekvata skyddsatgarder. Detta beslut -- som senare ekoades av franska CNIL och italienska Garante -- sande en tydlig signal till osterrikiska webbplatsoperatorer att samtycke och sparning var aktiva tillsynsprioriteringar.
Osterrikes 20,9 % hogriskniva, den lagsta i var studie, tyder pa att denna signal mottogs. Nar en dataskyddsmyndighet demonstrerar genom specifika, publicerade beslut att samtyckesoverträdelser kommer att forföljas, reagerar efterlevnadsgraden. Österrike är ett av de tydligaste exemplen i vår data på korrelation mellan tillsyn och mätbar beteendeförändring, även om andra faktorer -- marknadsstruktur, kulturella attityder -- sannolikt också bidrar.
Niva 2: Nordisk mittfalt -- Sverige, Finland, Danmark
Sverige (33,4 %), Finland (40,3 %) och Danmark (42,1 %) upptar ett mellanband som ar battre an EU-genomsnittet men avsevart efter de tysk-osterrikiska ledarna.
De nordiska landerna delar starka kulturella varden kring integritet och institutionellt fortroende, men deras dataskyddsmyndigheter har generellt intagit en mindre aggressiv tillsynshallning specifikt kring samtycke. Svenska IMY (Integritetsskyddsmyndigheten) har utfardat anmarkningsvarda beslut -- inklusive betydande boter mot Google for rattigheten att bli glomd -- men dess samtyckespecifika tillsyn har varit mer begransad. Finlands tietosuojavaltuutettu och Danmarks Datatilsynet har liknande fokuserat pa dataintrångsanmalan och sektoriell vagledning snarare an storskaliga cookie-samtyckekampanjer.
Sveriges 33,4 % hogriskniva ar anda anmarkningsvart battre an det vasteuropeiska genomsnittet, vilket tyder pa att kulturella attityder till integritet delvis kan kompensera for mindre frekvent tillsyn. Nordiska internetanvandare ar i bred bemarkelse mer integritetsmedvetna, vilket kan skapa marknadstryck for battre samtyckeimplementeringar aven i franvaro av regulatoriskt tryck.
Banderolldetekteringsgraderna ar larorika har. Danmark visar en banderolldetekteringsgrad pa 57,0 % -- den hogsta for nagot land dar vi har denna datapunkt -- och Finland visar 54,6 %. Detta innebar att nordiska webbplatser ar mer bemagda att distribuera en samtyckesbanderoll, aven om implementeringen bakom den banderollen inte alltid ar helt kompatibel. Det tyder pa medvetenhet om skyldigheten aven dar utforandet brister.
Niva 3: Vasteuropa -- Frankrike, Nederlanderna, Belgien, Spanien, Italien
Fem vasteuropeiska lander klustrar tatt mellan 42,1 % och 44,6 % hogrisk: Belgien (42,1 %), Nederlanderna (43,5 %), Frankrike (44,1 %), Spanien (44,1 %) och Italien (44,6 %). Detta kluster ligger nara EU-genomsnittet pa 41 % och kan representera en efterlevnadsbaslinje -- den niva du far nar tillsyn finns men inte ar tillrackligt frekvent eller riktad for att avsevart flytta siffran.
Frankrike: paradoxen med profilhog tillsyn
Frankrike är anmärkningsvärt eftersom CNIL utan tvekan ar den mest internationellt synliga dataskyddsmyndigheten i Europa. Den har utfardat rekordboter mot Google (150 miljoner euro for samtyckesoverträdelser 2022), Amazon (35 miljoner euro) och Microsoft (60 miljoner euro). Den publicerade detaljerade riktlinjer om cookies och samtycke 2020 och gav franska webbplatser en sex manaders respitperiod for att komma i efterlevnad. Den genomforde samordnade tilsynsvagor riktade mot webbplatser som misslyckades med att implementera avvisningsalternativ.
Anda ligger Frankrike pa 44,1 % hogrisk -- mitt i snittet for Vasteuropa. Hur kan den mest aktiva tillsynsmyndigheten bara producera genomsnittlig efterlevnad?
Svaret ligger sannolikt i den franska webbens struktur. Frankrike har en stor, diversifierad digital ekonomi med hundratusentals webbplatser som drivs av sma och medelstora foretag, lokala myndigheter och organisationer som kanske inte noggrant foljer CNIL:s tilsynsnyheter. CNIL:s profilhoga atgarder mot teknikjattar genererar internationella rubriker men forandrar kanske inte beteendet hos tusentals smaforetagswebbplatser med okonfigurerade WordPress-installationer med standardsamtyckesinsticksprogram. Tillsyn som riktar sig mot huvudet av distributionen flyttar inte nodvandigtvis svansen.
Detta ar en viktig insikt for alla dataskyddsmyndigheter: rekordboter avskracker stora foretag men kanske inte andrar den aggregerade efterlevnadsgraden, som domineras av den langa svansen av sma och medelstora webbplatser. Bred beteendeforandring kraver antingen masstillsyn (opraktiskt med nuvarande resurser) eller verktyg som gor efterlevnad till standard snarare an undantag.
Nederlanderna: lag banderollfrekvens, mattlig risk
Nederlanderna visar ett intressant monster: en hogriskniva pa 43,5 % (mattlig) men bara 40,3 % banderolldetekteringsgrad -- den lagsta bland lander dar vi har dessa data. Detta innebar att nederländska webbplatser ar mindre bemagda att distribuera en samtyckesbanderoll men, bland dem som gor det, kan implementeringskvaliteten vara nagot battre. Det kan aven aterspeigla ett nederländskt webbeckosystem som inkluderar manga webbplatser med minimal sparning (ingen banderoll behovs) tillsammans med webbplatser som sparar kraftigt utan att besvara sig med en banderoll.
Nederländska AP (Autoriteit Persoonsgegevens) har varit aktiv pa GDPR-tillsyn generellt men har utfardat farre samtyckespecifika beslut jamfort med de tyska dataskyddsmyndigheterna eller CNIL. AP:s tillsynsprioriteringar har centrerats kring statlig databehandling, halsodata och storskalig overvakning, medan samtyckesoverträdelser fatt relativt mindre uppmarksamhet.
Niva 4: Ost- och Sydeuropa -- Grekland, Polen, Rumanien, Tjeckien, Ungern
Botten av rankningen domineras av central- och osteuropeiska lander, med hogriskniva fran 52,5 % (Grekland) till 58,8 % (Ungern). I dessa lander presenterar mer an halften av skannade webbplatser en hogriskprofil.
| Land | Hogrisk % | Gns. riskpoang |
|---|---|---|
| Grekland | 52,5 % | 54,9 |
| Polen | 53,3 % | 56,1 |
| Rumanien | 53,9 % | 56,2 |
| Tjeckien | 55,1 % | 59,0 |
| Ungern | 58,8 % | 60,1 |
Den gemensamma traden ar inte brist pa rattslig skyldighet -- GDPR galler identiskt -- utan ett monster av underfinansierade dataskyddsmyndigheter med farre tilsynsatgarder specifikt riktade mot samtycke. Ungerns NAIH, Polens UODO, Rumaniens ANSPDCP och Tjeckiens UOOU har alla fokuserat sina begransade tilsynsbudgetar pa omraden som dataintrångsanmalan, begaran om registerutdrag och profilhoga klagomal snarare an proaktiva cookie-samtyckegranskningar.
Detta ar rationellt beteende for underfinansierade tillsynsmyndigheter. Nar du har ett litet team och en stor ekonomi att overvaka prioriterar du klagomal over proaktiv tillsyn, och klagomal om cookie-samtycke ar relativt sallsynta jamfort med klagomal om dataintrang eller vagrad registeratkomst. Resultatet ar att samtyckesoverträdelser i stort sett gar obeivrade, och webbplatsoperatorer moter ingen meningsfull tillsynsrisk.
Denna data återspeglar inte dessa myndigheters kompetens eller engagemang. Flera central- och osteuropeiska dataskyddsmyndigheter opererar med personal-till-befolknings-forhallanden som ar en brakdel av vad tyska delstatliga dataskyddsmyndigheter har. Ungerns NAIH overvakar till exempel ett land med 10 miljoner manniskor. Bayerns BayLDA, som overvakar en befolkning av liknande storlek inom en tysk delstat, har historiskt haft mer resurser och ett mer fokuserat mandat.
Slutsatsen ar strukturell: enhetlig reglering utan enhetlig tillsyn producerar oenhetlig efterlevnad. Det är ett viktigt resultat i landnivådatan.
Tillsynskorrelationen
Om man plottar tillsynsintensitet mot efterlevnadsgrader (i text, eftersom vi inte publicerar ett diagram har), är sambandet märkbart. Landerna med mest tilsynsatgarder specifikt riktade mot samtycke -- Tyskland, Osterrike -- har de lagsta hogriskniverna. Lander med rubrikgenererande men koncentrerad tillsyn (Frankrike) visar genomsnittlig efterlevnad. Lander med minimal samtyckespecifik tillsyn visar de hogsta overtradelsegraderna.
Denna korrelation bevisar inte kausalitet -- kulturella faktorer, marknadsstruktur och mognaden hos den lokala tekniksektorn spelar alla roller. Men styrkan i monstret over 25 lander ar svart att forklara utan tillsyn som en primär drivkraft.
Nagra anmarkningsvarda tilsynsatgarder som verkar ha flyttat siffran:
- Tyskland (2020-2022): Flera delstatliga dataskyddsmyndigheter genomforde samordnade cookie-samtyckegranskningar och skickade formella brev till hundratals webbplatser. BayLDA publicerade en FAQ om samtycke som blev en de facto efterlevnadsstandard.
- Osterrike (2022): DSB:s Google Analytics-beslut fick bred tackning i osterrikisk tech- och affärsmedia, vilket utloste en synlig vag av GA-till-Matomo-migreringar.
- Frankrike (2021-2022): CNIL:s cookie-tillsynsvag riktade sig mot 100+ webbplatser for icke-kompatibla samtyckeimplementeringar, aven om effekten verkar koncentrerad bland storre operatorer.
- Italien (2022): Garante utfardade uppdaterade cookie-riktlinjer som foranledde efterlevnadsaktivitet bland storre italienska webbplatser, aven om 44,6 % hogrisknivan tyder pa att effekten inte spreds brett.
Banderolldetekteringsgrader per land
Banderolldetekteringsgraden -- andelen webbplatser dar var scanner identifierade en samtyckesmekanism -- varierar avsevart mellan lander:
| Land | Banderolldetekteringsgrad |
|---|---|
| Danmark | 57,0 % |
| Finland | 54,6 % |
| Tyskland | 46,1 % |
| Nederlanderna | 40,3 % |
Danmark leder med 57,0 %, vilket tyder pa att danska webbplatser ar mest bemagda att distribuera nagon form av samtyckesmekanism aven om deras overgripande efterlevnadskvalitet (42,1 % hogrisk) ar medelmåttig. Tysklands 46,1 % ar lagre an man kan forvanta sig givet dess laga overtradelsgrad, men detta ar konsekvent: tyska webbplatser som sparar ar mer sannolika att gora det med korrekt samtycke, medan tyska webbplatser som inte sparar rimligen kan fungera utan en banderoll.
Nederlandernas 40,3 % ar den lagsta siffra vi har, vilket overensstammer med det nederländska monster som noterades ovan: farre banderoller totalt, men inte nodvandigtvis samre efterlevnad bland dem som distribuerar dem.
Dessa siffror aterger aven metodologisk verklighet. En webbplats som inte satter nagra icke-nodvandiga cookies och inte kontaktar nagra tredjepartssparningsdomaner behover genuint inte en samtyckesbanderoll under ePrivacy-undantaget for strikt nodvandiga cookies. Viss variation i banderollfrekvenser ar darfor forvantad och legitim.
Vad detta innebar for gransoverskridande foretag
Om du driver en webbplats eller digital tjanst som betjanar anvandare i flera EU-lander har dessa data direkta praktiska implikationer.
Din efterlevnadsrisk bestams av din marknad med hogst tillsyn. Om din webbplats betjanar tyska anvandare satts ribban effektivt av tyska dataskyddsmyndigheters förväntningar, oavsett var ditt foretag har sitt sate. Genom GDPR:s one-stop-shop-mekanism kan din ledande tillsynsmyndighet vara i ditt hemland, men vilken dataskyddsmyndighet som helst kan agera pa klagomal fran sina egna medborgare. En ungersk webbplats som betjanar tyska besokare kan granskas av tyska dataskyddsmyndigheter. Att benchmarka mot ditt eget lands genomsnitt ar otillrackligt. Om du ar en polsk webbplatsoperator och 53,3 % av dina kollegor ar hogrisk, innebar att vara "genomsnittlig" fortfarande att du ar icke-kompatibel enligt GDPR:s bokstav. Forordningen justerar inte sina krav per land. Bara sannolikheten for tillsyn varierar -- och tillsynstrender ror sig i en riktning. Dataskyddsmyndigheter som annu inte prioriterat samtycke kommer sannolikt att gora det nar samordningen pa EU-niva okar. EDPB driver mot konvergens. Europeiska dataskyddsstyrelsens cookie-specifika riktlinjer, arbetsgrupper och konsekvensuttalanden ar utformade for att minska tillsynsgapet mellan medlemsstater. EDPB:s arbetsgrupp for samtyckesbanderoller 2023 identifierade vanliga overtradelser och uppmanade till samordnad tillsyn, och flera tidigare mindre aktiva dataskyddsmyndigheter har signalerat okt uppmarksamhet mot samtycke som svar. Låg tillsyn på en given marknad kommer sannolikt inte förbli status quo på obestämd tid.GDPR:s harmoniseringsproblem
Landnivadatan i denna studie ar, i vissa avseenden, en utmaning för GDPR:s harmoniseringsmål. Forordningen var tankt att skapa en enda standard over hela EU och ersatta lapptacket av nationella dataskyddslagar. Nar det galler lagtexten lyckades den. När det gäller efterlevnadsverkligheten har det ännu inte lyckats.
En webbplats i Osterrike ar tre ganger mindre sannolik att vara hogrisk an en webbplats i Ungern. En fransk anvandare som klickar "Avvisa" moter samma 80,4 % felfrekvens som en polsk anvandare. Samtyckesbanderollen ar mer sannolik att visas i Danmark an i Nederlanderna. Ingen av dessa skillnader har en rattslig grund -- de ar alla konsekvenser av differentierad tillsyn.
Detta reser en svar fraga: kan ett regelverk som ar beroende av nationella tillsynsmyndigheter, med vitt skilda resurser och prioriteringar, leverera enhetligt skydd? Datan tyder pa att svaret for narvarande ar nej. Gapet mellan Tyskland/Osterrike och Ungern/Tjeckien sluter sig inte -- och det kommer inte att slutas utan antingen en avsevard omfordelning av dataskyddsmyndigheters resurser eller en overgång till EU-niva-tillsyn for vanliga, tekniskt matbara overträdelser som sparning fore samtycke.
Cookie-samtycke ar, ironiskt nog, en av de enklaste GDPR-skyldigheterna att verifiera i stor skala. Till skillnad fran att bedoma lagligheten av en databehandlingsaktivitet eller adekvatheten av en konsekvensbedömning ar kontroll av om en webbplats satter sparningscookies fore samtycke en objektiv, automatiserbar matning. Om EU inte kan uppna tillsynskonvergens for denna mest matbara av overträdelser ar utsikterna for konvergens pa svarare fragor dystra.
Metodanmarkning
Webbplatsurvalet hamtades fran Tranco Top 1M-listan, filtrerat efter landsassociation. Landsattribution anvande landkodsdomaner som primär signal, kompletterat med registrerings- och varddata dar domaner var tvetydiga (t.ex. `.com`-domaner). Webbplatser med oklar landsanknytning uteslots fran landnivaanalysen men inkluderades i de EU-overgripande aggregerade siffrorna.
Varje webbplats skannades med identiska kriterier: beteende fore samtycke, banderolldetektering, avvisningsflodestestning (dar en avvisningsknapp identifierades), cookie-livstidsanalys och tillganglighetsutvardering. Scannern gjorde inga justeringar for ursprungsland -- en ungersk webbplats utvarderades med samma metodik och trosklar som en tysk.
Urvalsstorlekar varierar per land, vilket aterger fordelningen av EU-webbplatser i Tranco-listan. Lander med storre digitala ekonomier (Tyskland, Frankrike, Nederlanderna) bidrar med fler webbplatser. Alla procenttal beraknas mot det landsspecifika urvalet, inte EU-totalen.
Se var din webbplats star. Kor en gratis skanning pa gdprprivacymonitor.eu for att fa samma efterlevnadsbedomning som vi tillampade pa varje webbplats i denna studie -- med fullstandig bevisning, riskpoang och atgardbara resultat.
Kontrollera din webbplats
Kör en gratis GDPR-efterlevnadsskanning — ingen registrering krävs.
Skanna din webbplats gratis