We Scanned 97,000 EU Websites for GDPR Compliance. Here's What We Found.

Atta ar efter att GDPR tradde i kraft beslutade vi att sluta spekulera om samtyckesefterlevnad och istallet mata den. Vi riktade var scanner mot 97 304 webbplatser i 25 av de 27 EU-medlemsstaterna och registrerade exakt vad som hander i en riktig webblasare fore, under och efter samtycke. Inte vad integritetspolicyn lovar. Inte vad CMP-instrumentpanelen rapporterar. Vad som faktiskt utloses i webblasaren nar en forstagongsbesokare landar pa en sida.

I vårt dataset var pre-consent-spårning vanligt: två tredjedelar av EU:s webbplatser borjar spara besokare innan nagon samtyckesinteraktion sker. Mer an halften visar ingen samtyckesbanderoll alls. Och nar webbplatser erbjuder en avvisningsknapp misslyckas den med att stoppa sparning i 80 % av fallen. Detta ar inte marginella fall eller teknikaliteter. Detta ar grundtillstandet for samtyckesefterlevnad i Europeiska unionen 2026.

Metod: Hur vi matte detta

Innan vi gar in pa resultaten ar det viktigt hur vi samlade in dessa data, eftersom metodiken avgor om siffror som dessa ar meningsfulla eller missvisande.

Webbplatslistan

Vi hamtade vart urval fran Tranco Top 1M-listan, en forskningsklassad domanrankning framtagen genom att kombinera data fran flera oberoende rankningskällor. Tranco utformades specifikt for att motsta manipulation och ge stabila rankningar for webbmatningsstudier, vilket gor den till standardkallan for storskalig webbforskning. Vi filtrerade efter domaner associerade med 25 av de 27 EU-medlemsstaterna baserat pa landkodsdomaner och registreringsdata, vilket gav 114 748 kandidat-URL:er. Av dessa slutfordes 97 304 framgangsrikt -- resten misslyckades pa grund av DNS-fel, anslutningsproblem eller webbplatser som var helt oatkomliga.

Vad scannern gor

Varje scanning anvander var produktionsscanner: en Go-applikation som styr en fullstandig huvudlos Chromium-webblasare via Chrome DevTools Protocol. Det ar inte en statisk HTML-skrapa eller en sokning i cookie-databas. For varje webbplats:

1. Startar scannern en ren Chromium-instans utan lagrade cookies, inget lokalt lagringsutrymme och ingen surfhistorik -- och simulerar en genuin forstagongsbesokare.

2. Navigerar till mal-URL:en och vantar pa att sidan laddas.

3. Tar en ogonblicksbild fore samtycke: varje cookie som satts, varje natverksforfragan som gjorts, varje tredjepartsdomin som kontaktats -- allt innan nagon samtyckesinteraktion.

4. Forsoker detektera samtyckesbannern med hjalp av ett bibliotek som tacker 45 kanda CMP:er samt generiska heuristiker.

5. Interagerar med bannern (acceptera eller avvisa) och registrerar tillstandet efter interaktionen.

6. For avvisningsflodestestning: laddar om sidan och kontrollerar om avvisningen respekterades eller om cookies ateruppstar.

Varje steg producerar tidsstamplad bevisning: fullstandiga cookie-inventarier, natverksforfrageloggar och skarmdumpar. Nar vi sager att en webbplats "aktiverar sparning fore samtycke" menar vi att vi observerade faktiska HTTP-forfragar till kanda sparningsdomaner och faktiska cookies som sattes i webblasaren -- inte att vi drog slutsatser fran en skripttagg i HTML:en.

Vad "fore samtycke" innebar tekniskt

Detta ar det centrala konceptet. Beteende fore samtycke ar allt som hander mellan det ogonblick sidan borjar laddas och det ogonblick anvandaren forst interagerar med en samtyckesmekanism. I praktiken ar detta fonster vanligtvis 2-5 sekunder, men pa manga webbplatser stracker det sig langre nar sidan laddar ytterligare resurser. Under detta fonster har besokaren inte haft nagon mojlighet att acceptera eller avvisa nagot. Enligt artikel 5.3 i ePrivacy-direktivet (tolkat av EU-domstolen i Planet49, C-673/17) kraver lagring av information pa en anvandares enhet eller atkomst av redan lagrad information forhandssamtycke -- undantaget cookies som ar strikt nodvandiga for den tjanst anvandaren begarde. Allt icke-nodvandigt som utloses under detta fonster opererar per definition utan giltigt samtycke.

Resultat 1: Sparning fore samtycke ar normen, inte undantaget

Den enskilt viktigaste siffran i denna studie: 68 % av de skannade webbplatserna aktiverar tredjepartssparning innan anvandaren har gett samtycke. Nara relaterat: 66,6 % satter cookies fore samtycke.

Dessa ar inte samma matt. En webbplats kan kontakta en tredjepartssparningsdoman (avfyra en pixel, ladda ett skript) utan att den domanen framgangsrikt satter en cookie -- till exempel om webblasaren blockerar tredjepartscookies. Omvant kan en forstepartscookie for analys sattas utan att kontakta en extern doman. Bada beteendena ar problematiska, men de representerar olika tekniska mekanismer och olika juridisk exponering.

Skalan av aktivitet fore samtycke ar avsevard:

Medianen pa 6 ar formodligen mer informativ an medelvarden. Halften av alla skannade webbplatser kontaktar minst sex externa domaner innan anvandaren har nagon mojlighet att samtycka. Dessa ar inte innehallsleveransnatverk eller teckensnittsservrar (vilka vi undantar fran sparningsklassificering). Dessa ar annonsplattformar, analystjanster och datamaklare.

En uppdelning av aktiviteten fore samtycke efter cookie-kategori visar vad denna sparning faktiskt anvands till:

Nastan var tredje EU-webbplats satter analyticscookies fore samtycke. Nastan var femte satter marknadsforingscookies. Den juridiska positionen ar entydig: EDPB har upprepade ganger bekraftat att analytics- och marknadsforingscookies kraver samtycke enligt artikel 5.3 ePrivacy. EU-domstolens Planet49-dom klargjorde att samtycke maste vara en aktiv, bekraftande handling -- och det kan inte vara bekraftande om det inte har skett annu.

Den praktiska implikationen ar att nar en besokare ser en cookie-banderoll och overvaeger om de ska acceptera eller avvisa, har deras webblasare redan blivit fingeravtrycksregistrerad, deras besok har redan loggats av analysplattformar, och i manga fall har deras surfprofil redan uppdaterats av annonsnatverk. Samtyckevalet, nar det val kommer, ar delvis retroaktivt -- och retroaktivt samtycke ar inget samtycke alls.

Resultat 2: Samtyckesbanderollgapet

Mer an halften av de webbplatser vi skannade -- 53 508 av 97 304, eller 55 % -- visade ingen samtyckesbanderoll som vart detekteringssystem kunde identifiera.

Denna siffra kraver noggrann tolkning. Inte varje webbplats utan banderoll bryter nodvandigtvis mot lagen. En webbplats som inte satter nagra icke-nodvandiga cookies och inte kontaktar nagra tredjepartssparningsdomaner kan legitimt fungera utan en samtyckesmekanism. ePrivacy-undantaget for "strikt nodvandiga" cookies innebar att en webbplats som bara anvander sessionscookies for inloggning eller kundvagnsfunktionalitet inte har nagon samtyckesplikt for just dessa cookies.

Men det ar inte vad vi observerar. Av de 53 508 webbplatserna utan detekterbar banderoll satter 18 026 aktivt icke-nodvandiga cookies och kontaktar tredjepartssparningsdomaner. Dessa webbplatser har ingen samtyckesmekanism och sparar besokare fran forsta sidladdningen. Vi känner inte till någon giltig rättslig grund för detta under varken GDPR eller ePrivacy-direktivet.

De aterstaende webbplatserna utan banderoller faller i flera kategorier: webbplatser som genuint inte satter nagra icke-nodvandiga cookies (och darfor kanske inte behover en banderoll), webbplatser som anvander samtyckelosningar som vart detekteringssystem inte kunde identifiera, och webbplatser som helt enkelt ar icke-funktionella eller domaner med minimalt innehall. Vart detekteringsbibliotek med 45 CMP:er plus generiska heuristiker tacker den stora majoriteten av kanda samtyckelosningar, men anpassade implementeringar i ovanliga ramverk eller sprak kan missas.

Likval ar siffran 18 026 golvet, inte taket, for banderolllosa webbplatser med sparning. Dessa ar webbplatser dar vi har positivt bevis pa bade sparningsaktivitet och franvaro av banderoll.

Resultat 3: Avvisningsknappar misslyckas i 80 % av fallen

Vi agnade ett separat inlagg at detta resultat, men det fortjanar avsevard tackning har eftersom det traffar karnan i samtyckesmodellen.

Av de 28 891 webbplatser dar vi detekterade och framgangsrikt interagerade med en avvisningsknapp fortsatte 80,4 % att spara efter att anvandaren klickade avvisa. Bara 5 650 webbplatser (19,6 %) klarade avvisningsflodestestet -- innebar att sparning faktiskt stoppades och forblev stoppad.

Misslyckandena faller i overlappande kategorier:

Samtyckes-respawn ar ett monster vi identifierade under denna forskning. Anvandaren klickar avvisa, CMP:n tar bort cookies, och sedan vid nasta sidladdning dyker dessa cookies upp igen. Pa 1 642 webbplatser observerade vi 4 932 individuella cookies med detta beteende. Mekanismen varierar -- tredjepartsskript som avfyras oavsett samtyckestillstand, tagghanterare som inte vidarebefordrar avvisning till alla integrerade tjanster, serverbaserade Set-Cookie-huvuden som ignorerar klientsidans samtyckebeslut -- men effekten ar densamma. Avvisningsknappen blir en tillfallig paus, inte ett permanent val.

Enligt GDPR artikel 7.3 maste atertagande av samtycke vara lika enkelt som att ge det, och den registeransvarige maste agera pa det atertagandet. En avvisningsknapp som inte faktiskt stoppar sparning uppfyller inte detta krav oavsett teknisk orsak.

Resultat 4: Jamforelse land for land

GDPR ar en enda forordning, men efterlevnaden ar inte enhetlig. Andelen hogriskwebbplatser varierar med nastan tre till en mellan EU:s medlemsstater.

Mönstret är i linje med skillnader i tillsynsaktivitet. Tyskland och Osterrike -- hemma for BfDI, sexton delstatliga dataskyddsmyndigheter respektive DSB -- har varit bland de mest aktiva europeiska myndigheterna med att specifikt rikta in sig pa samtyckes- och cookieovertradelses. DSB utfardade ett av de forsta efterlevnadsbesluten efter Schrems II. Tyska delstatliga dataskyddsmyndigheter har genomfort sektoromfattande cookie-granskningar och utfardat detaljerad vagledning om vad som utgor giltigt samtycke.

I andra anden har Ungern, Tjeckien, Rumanien och Polen dataskyddsmyndigheter som typiskt ar underfinansierade i forhallande till storleken pa deras digitala ekonomier och har historiskt fokuserat tilsyn pa dataincidenter och begaran om registerutdrag snarare an samtycke for cookies. Detta ar inte en kritik av dessa myndigheter -- de opererar med de budgetar de tilldelas -- men det ar en tydlig demonstration av att tilsyn driver efterlevnad. Samma lagtext, tillampad med olika tillsynsintensitet, producerar tydligt olika resultat.

Frankrike ar lararikt. CNIL har varit ett av Europas mest synliga tillsynsorgan och utfardat rekordboter mot stora teknikforetag. Anda ligger franska webbplatser pa 44,1 % hogrisk, nara EU-genomsnittet. Forklaringen ligger sannolikt i CNIL:s tillsynsstrategi: uppmarksammade atgarder mot stora plattformar genererar rubriker men forandrar inte direkt beteendet hos tusentals sma och medelstora foretag som utgor den langa svansen pa webben. Bred beteendeforandring kraver antingen sektoromfattande tillsynskampanjer (som Tyskland har genomfort) eller en generell okning av upplevd tillsynsrisk.

Vi tacker landdata mer inganende i vart landjamforelseinlagg.

Resultat 5: CMP-marknadsandelar och vad de sager oss

Bland de 43 796 webbplatserna (45 %) som presenterade en detekterbar samtyckesbanderoll identifierade vi 45 distinkta samtyckeshanteringsplattformar. Marknaden ar koncentrerad i toppen men fragmenterad i den langa svansen.

Den storsta enskilda kategorin ar "Generisk / oidentifierad" med 34,7 %. Dessa ar webbplatser som anvander samtyckelosningar som inte matchade nagon av de 45 CMP-signaturerna i vart detekteringsbibliotek. De inkluderar egenutvecklade cookie-falt, WordPress-tillagg som inte ar brett kanda, regionala CMP-leverantorer och implementeringar sa minimala att de bestar av en enda stangbar div med en "Uppfattat"-knapp. Efterlevnadskvaliteten i denna kategori ar i genomsnitt avsevart lagre an for etablerade CMP:er, aven om vi annu inte publicerat efterlevnadsgrad per CMP.

Data om banderollsinteraktion avslojar ytterligare en oro. Av de 43 796 banderollerna som detekterades:

Nastan var femte samtyckesbanderoll erbjuder inget synligt satt att avvisa icke-nodvandiga cookies utan att navigera till ett andra lager av installningar. EDPB:s riktlinjer 05/2020 om samtycke anger att avvisa samtycke inte ska krava mer anstrangning an att ge det. En design som kraver ytterligare klick for att avvisa men erbjuder ettklicksacceptans ar, enligt dessa riktlinjer, ett morkt monster som undergraver giltigheten av samtycke.

Vi detekterade aven specifika implementeringar av morka monster: 3 454 webbplatser (7,9 % av dem med banderoller) placerade avvisningsalternativet enbart i ett andra lager, 84 webbplatser anvande cookie-vaggar (blockerar innehall tills samtycke ges), och 137 webbplatser uppvisade bot-samtyckesfusk -- avsiktligt dolde banderollen for automatiserade skannrar medan den visades for manskliga besokare.

Resultat 6: Missbruk av cookies livstid

CNIL rekommenderar en maximal cookie-livstid på 13 månader — en standard som flera andra nationella dataskyddsmyndigheter har antagit eller hänvisat till. Detta är inte en hård juridisk gräns i GDPR:s text, men det återger en tolkning av principen om lagringsminimering (artikel 5.1 e) tillämpad på spårningsidentifierare.

Var skanning fann 26 250 webbplatser (27 %) med minst en cookie som overskred 13-manaderstroskeln, totalt 58 127 individuella cookies.

Den vanligaste overträdaren ar `_ga`-cookien som anvands av Google Analytics, vilken satts med en standardlivstid pa tva ar. Detta innebar att aven webbplatser med i ovrigt fungerande samtyckesmekanismer ofta ar i overtradelse helt enkelt darfor att de inte har andrat standard-GA-cookie-utgangen. Det ar ett konfigurationsproblem, inte en teknisk begransning -- Google Analytics tillater anpassade cookie-livstider -- men standardinstallningen ar inte forenlig med EDPB:s vagledning, och de flesta webbplatsoperatorer andrar den aldrig.

Langlivade cookies skapar en ackumulerande integritetsrisk. En tvaarig cookie ar inte bara "lite langre an 13 manader." Det innebar att en anvandare som besoker en webbplats en gang, samtycker och aldrig atervandar fortfarande kan identifieras och sparas av den webbplatsens analys i tva ar. Om anvandaren senare aterkallar samtycke eller den rattsliga grunden andras, kvarstar cookien som en spokidentifierare tills den gar ut.

Ytterligare resultat

Flera andra resultat fran studien fortjanar kort omnamnande:

Fingeravtryck. Vi detekterade signaler for webblasarfingeravtryck (canvas-fingeravtryck, WebGL-fingeravtryck, audio context-fingeravtryck) pa 4 114 webbplatser (4,2 %). Fingeravtryck ar sarskilt oroande eftersom det inte kan raderas genom att ta bort cookies -- det anvander inneboende webblasare- och enhetsegenskaper som identifierare. ePrivacy-direktivet behandlar fingeravtryck som likstellt med cookie-baserad sparning i samtyckehanseende. Google Consent Mode-avvikelser. Bland webbplatser som implementerar Google Consent Mode detekterades 28,4 % som anvandare av det, medan 13,7 % av webbplatserna som anvander Google-tjanster inte visade nagon Consent Mode-implementation. Mer oroande visade 11,9 % avvikelser -- samtyckestillstandet som rapporterades till Googles API overensstamde inte med det faktiska sparningsbeteendet som observerades i webblasaren. Detta innebar att CMP:n sager till Google att samtycke nekades, men sparningsforfragar fortsatter att avfyras. Tillganglighet. Samtyckesbanderoller ar juridiskt obligatoriska UI-element, och om de ar otillgangliga kan en grupp anvandare inte utova sina rattigheter. Bland detekterade banderoller: 25 % hade tryckmal under rekommenderade minimistorlekar, 15,2 % hade text med lag kontrast, och 3,4 % var inte tillgangliga via tangentbord. En banderoll som inte kan anvandas med tangentbord nekar i praktiken samtyckesval till anvandare som ar beroende av hjalpmedelsteknik -- en overtradelse som skar genom bade GDPR och tillganglighetsregelverk.

Overgripande riskfordelning

Sammantaget ser den aggregerade riskklassificeringen av de 97 304 skannade webbplatserna ut sa har:

De 14,9 % osakra aterger webbplatser dar scannern inte kunde na en tillforlitlig bedomning -- vanligtvis pa grund av botdetektering, komplexa ensidiga applikationsarkitekturer eller tidsberoende beteende. Vi rapporterar dessa arligt istallet for att tvinga dem till en godkand/underkand-klassificering, eftersom falsk tilltro till efterlevnadsdata ar varre an erkand osakerhet.

Vad detta innebar for webbplatsagare

Om du driver en webbplats som betjanar EU-besokare, tar fyra atgarder itu med de vanligaste och hogst riskfyllda resultaten:

1. Granska vad som laddas fore samtycke. Oppna din webbplats i ett privat webblasarfonster, oppna utvecklarverktyg och bevaka flikarna Natverk och Applikation innan du interagerar med nagon banderoll. Om du ser forfragar till analys- eller annonsdomaner, eller cookies fran dessa tjanster som dyker upp, ar ditt beteende fore samtycke inte forenligt med reglerna. Losningen ar vanligtvis konfiguration av tagghanteraren: sakerstall att icke-nodvandiga skript blockeras tills bekraftande samtycke har registrerats. 2. Testa ditt avvisningsflode fran borjan till slut. Klicka avvisa pa din egen banderoll, kontrollera sedan om icke-nodvandiga cookies ar borta. Ladda sedan om sidan och kontrollera igen. Om cookies atervandar har du ett samtyckes-respawn-problem som kraver undersokning av vilka skript som kringgaar din samtyckesmekanism. Vara data visar att detta paverkar ett forvanansvart stort antal webbplatser, aven de som anvander ansedda CMP:er. 3. Kontrollera dina cookies livstider. Om du anvander Google Analytics med standardinstallningar har din `_ga`-cookie en tvaarig livstid. Andra den till 13 manader eller mindre. Granska alla cookies din webbplats satter och sakerstall att inga overskrider den rekommenderade maxgränsen på 13 månader. Detta ar en snabb konfigurationsfix som eliminerar ett vanligt efterlevnadsresultat. 4. Sakerstall att din banderoll ar tillganglig och erbjuder avvisning i forsta lagret. Om ditt avvisningsalternativ kraver att man navigerar till en andra installningssida medan "Acceptera alla" ar ett klick, kanske din samtyckesmekanism inte uppfyller EDPB:s riktlinjer. Granska banderollen for tangentbordstillganglighet, tryckmalsstorlek och kontrastforhallanden.

Metodanmarkningar och arliga begransningar

Vi vill vara transparenta om vad denna studie kan och inte kan beratta for dig.

Vad den mater val: Beteende fore samtycke, cookie-inventarier, natverksforfragar till kanda sparningsdomaner, banderolls narvaro och struktur, avvisningsflodesresultat och cookies livstider. Dessa ar objektiva, evidensbaserade matningar registrerade fran verkligt webblasarbeteende. Vad den mater ofullstandigt: CMP-detektering ar inte 100 % heltackande. Webbplatser som anvander samtyckelosningar som inte finns i vart 45-CMP-bibliotek kan felkategoriseras som att de saknar banderoll. GeoIP-beroende banderoller kan visas annorlunda beroende pa scannerns natverksplats. Ensidiga applikationer som hanterar samtycke i klientsidans tillstand utan DOM-forandringar ar svarare att bedoma. Vissa webbplatser detekterar automatiserade webblasare och andrar sitt beteende darefter (vi fann 137 som gjorde detta avsiktligt). Vad den inte mater: Ansprak pa berättigat intresse (som kraver juridisk snarare an teknisk bedomning), kvaliteten pa integritetspolicyer, om samtycksregistreringar ar korrekt lagrade, eller om databehandlingsaktiviteter ar proportionella. Dessa ar viktiga efterlevnadsdimensioner som inte ar observerbara fran enbart webblasarbeteende.

De 14,9 % osakra ar var sakerhetsventil for webbplatser dar vi inte kunde na en tillforlitlig teknisk bedomning. Vi foredrar arlig osakerhet framfor falsk precision.

---

Kontrollera din egen webbplats. Kor en gratis skanning pa gdprprivacymonitor.eu och se exakt vad som hander fore, under och efter samtycke pa din webbplats. Scannern producerar samma bevis som visas i denna studie -- ogonblicksbilder fore samtycke, cookie-inventarier, avvisningsflodesresultat och riskklassificering -- for vilken URL du an skickar in.