80% of Cookie Reject Buttons Don't Actually Work — Here's the Proof

Varje cookie-banderoll gor samma implicita lofte: klicka "Avvisa" och sparningen upphir. Banderollen forsvinner och du surfar i fred. Det ar overenskommelsen som samtyckesmodellen bygger pa -- iden att anvandare har ett meningsfullt, verkstallbart val.

Vi testade det loftet pa 28 891 EU-webbplatser. Pa 80,4 % av dem ar loftet brutet. Sparning fortsatter efter att anvandaren uttryckligen klickar avvisa. Cookies kvarstar. Annonspixlar fortsatter att avfyras. Och pa 1 642 webbplatser atervandar cookies som avvisningen initialt rensade vid nasta sidladdning -- ett monster vi kallar samtyckes-respawn.

Detta ar inte ett marginellt resultat om nagra felkonfigurerade webbplatser. Det pekar pa ett systemiskt problem i den mekanism som hundratals miljoner EU-invånare forlitar sig pa for sina integritetsrattigheter.

Vad "Avvisa" ska gora -- juridiskt

Det rattsliga ramverket ar tydligt. Enligt artikel 5.3 i ePrivacy-direktivet kraver lagring eller atkomst av information pa en anvandares terminalutrustning forhandssamtycke, med ett snävt undantag for cookies som ar strikt nodvandiga for en tjanst anvandaren uttryckligen har begart. GDPR artikel 7.3 tillaggar att atertagande av samtycke maste vara lika enkelt som att ge det, och att den registeransvarige maste agera pa atertagandet.

EDPB:s riktlinjer 05/2020 om samtycke enligt GDPR specificerar vad detta innebar for avvisningsknappar: om en webbplats erbjuder alternativet "Acceptera alla" maste den aven erbjuda ett lika framtraedande och lika tillgangligt alternativ att vagra. Och den vagran maste vara effektiv -- den maste faktiskt forhindra den behandling som samtycket skulle ha godkant.

EU-domstolen forstärkte detta i Planet49 (C-673/17): samtycke kraver en tydlig bekraftande handling, och forbockade kryssrutor utgor inte giltigt samtycke. Den logiska foljdsatsen ar att en vagran -- en uttrycklig negativ handling -- maste respekteras lika definitivt som ett godkannande. Om att klicka "Acceptera" aktiverar sparning maste att klicka "Avvisa" stanga av den. Inte delvis. Inte tillfalligt. Fullstandigt och bestående.

Det ar vad lagen sager. Vara data visar vad som faktiskt hander.

Hur vi testar avvisningsflödet

Vart avvisningsflodestest ar utformat for att ligga sa nara som mojligt den upplevelse en verklig manniska har nar de klickar avvisa, med tillagg av omfattande instrumentering. Har ar processen steg for steg:

Steg 1: Ren webblasarsession. Scannern startar en ren Chromium-instans -- inga cookies, inget lokalt lagringsutrymme, inga cachade resurser, ingen surfhistorik. Detta ar en genuin forstagongsbesokare utan nagot tidigare samtyckestillstand. Steg 2: Navigera och registrera tillstandet fore samtycke. Scannern laddar mal-URL:en och vantar pa att sidan stabiliseras. Fore all interaktion registrerar den varje cookie i webblasaren, varje natverksforfragan som gjorts och varje tredjepartsdomän som kontaktats. Detta ar baslinjen fore samtycke -- vad webbplatsen gor innan anvandaren har nagon mojlighet att gora ett val. Steg 3: Detektera samtyckesbannern. Med hjalp av vart detekteringsbibliotek som tacker 45 kanda CMP:er och generiska heuristiker identifierar scannern samtyckesmekanismen och lokaliserar avvisningsknappen. Detta steg anvander ett skiktat tillvagagangssatt: forst kontrolleras kanda CMP-skriptsignaturer och deras associerade DOM-strukturer, darefter fallback till generisk detektering av fasta eller klibbiga element med samtyckrelaterad text och knappetiketter som "Avvisa alla", "Neka", "Vagra" eller motsvarande oversattningar. Steg 4: Klicka avvisa. Scannern klickar pa avvisningsknappen och vantar pa att sidan stabiliseras. "Stabiliseras" innebar att vanta pa att pagaende natverksforfragar slutfors, DOM-mutationer upphir och eventuella animationer eller overgangar avslutas. Vi anvander generösa tidsgranser for att undvika falskt positiva fran langsamma CMP-implementeringar. Steg 5: Ogonblicksbild efter avvisning. Scannern registrerar det fullstandiga tillstandet igen: alla cookies, all natverksaktivitet, alla tredjepartsdomaner. Denna ogonblicksbild jamfors med baslinjen fore samtycke for att avgora vad som andrades. Steg 6: Ladda om och kontrollera for respawn. Scannern laddar om sidan och vantar pa att den stabiliseras igen. Den tar sedan en sista ogonblicksbild. Detta steg ar kritiskt: det avslojar om avvisningen ar bestaende (respekteras over sidladdningar) eller om cookies och sparning ateraktiveras nar sidan laddas pa nytt. Om cookies som togs bort i steg 5 ateruppstar i steg 6 ar det samtyckes-respawn.

Varje steg producerar tidsstamplad arkivbevisning: fullstandiga cookie-inventarier med namn, varden, domaner, utgangsdata och flaggor; kompletta natverksforfrageloggar med URL:er, metoder, svarskoder och tidsdata; samt helsidesskarmdumpar. Denna beviskedja gor det mojligt att verifiera och ifrågasätta varje enskilt resultat.

Resultaten: 80,4 % misslyckande

Av de 28 891 webbplatser dar vi framgangsrikt slutforde hela avvisningsflodestestet:

• 5 650 (19,6 %) godkanda. Efter att ha klickat avvisa togs icke-nodvandiga cookies bort, sparningsforfragar stoppades och avvisningen bestod over sidladdningar.
• 23 241 (80,4 %) underkanda. Sparning fortsatte i nagon form efter att anvandaren uttryckligen klickat avvisa.

Misslyckandena ar inte enhetliga. De faller i distinkta kategorier som overlappar -- en enskild webbplats kan uppvisa flera feltyper samtidigt.

Kvardrojande cookies: 10 848 webbplatser

Pa 10 848 webbplatser (37,5 % av de testade) kvarstod icke-nodvandiga cookies i webblasaren efter att avvisningsflödet slutförts. Dessa ar cookies klassificerade som analys-, marknadsforings- eller sparningsrelaterade som borde ha tagits bort eller forhindrats fran att sattas efter en avvisning.

De vanligaste kvardröjande cookies tillhor Google Analytics (`_ga`, `_gid`, `_gat`), Meta/Facebook (`_fbp`, `fr`) och olika annonsplattformar. I manga fall tar CMP:n framgangsrikt bort vissa cookies men missar andra -- vilket tyder pa ofullstandig integration mellan samtyckeshanteringsplattformen och webbplatsens fullstandiga uppsattning tredjepartsskript.

Narvaron av dessa cookies efter avvisning ar inte bara ett estetiskt problem. Var och en ar en bestaende identifierare som kopplar anvandarens nuvarande session till tidigare och framtida besok. `_ga`-cookien ar till exempel en unik klientidentifierare som Google Analytics anvander for att bygga en longitudinell profil av anvandarens beteende over sessioner. Om den kvarstar efter avvisning fortsatter anvandarens surfning att sparas och aggregeras oavsett deras uttryckliga vagran.

Kvardrojande sparningstjanster: 14 547 webbplatser

Pa 14 547 webbplatser (50,3 % av de testade) forblev sparningstjanster aktiva efter avvisning -- vilket innebar att webblasaren fortsatte att gora forfragar till kanda sparningsdomaner aven efter att anvandaren klickat avvisa.

Detta ar ett distinkt feltyp fran cookie-kvardrojande. En sparningstjanst kan vara aktiv utan att satta en cookie: pixelforfragar, beacon-anrop och skriptladdningar overfar alla information (minst anvandarens IP-adress, hanvisningssidan och tidsdata) till tredjepartsservrar oavsett om en cookie lagras. Detta kallas ibland "cookielos sparning" och blir allt vanligare nar webblasare skarper restriktionerna for tredjepartscookies.

Gapet mellan cookie-siffran (10 848) och sparningssiffran (14 547) ar signifikant. Det innebar att pa ungefar 3 700 webbplatser lyckades avvisningen rensa cookies men misslyckades med att forhindra sparningsforfragar fran att fortsatta. CMP:n hanterade cookie-rensning men blockerade inte skripten som genererar sparningstrafik. Detta pekar pa ett vanligt arkitekturproblem: CMP:n ar konfigurerad att hantera cookies (ta bort dem vid avvisning, forhindra dem vid laddning) men inte att hantera skriptkorning.

Samtyckes-respawn: 1 642 webbplatser, 4 932 cookies

Samtyckes-respawn ar det mest oroande monstret vi identifierade. Pa 1 642 webbplatser ateruppstod cookies som framgangsrikt togs bort av avvisningen efter att sidan laddades om. Over dessa webbplatser uppvisade 4 932 individuella cookies detta respawn-beteende.

Samtyckes-respawn ar inte en bugg i en enskild CMP eller en konfiguration. Det ar ett strukturellt problem i hur samtycke implementeras over webbstacken.

Hur en cookie atervandar efter borttagning. Nar en anvandare klickar avvisa gor en korrekt konfigurerad CMP tva saker: den tar bort befintliga icke-nodvandiga cookies (genom att satta deras utgang till ett tidigare datum) och uppdaterar en samtyckepost (vanligtvis en cookie i sig, eller en localStorage-post) som talar om for CMP:ns blockeringslogik att forhindra icke-nodvandiga skript fran att koras vid framtida sidladdningar. Om bada dessa fungerar ar anvandaren ren: inga sparningscookies, inga sparningsskript.

Samtyckes-respawn sker nar borttagningen lyckas men blockeringen misslyckas. Det vanligaste scenariot:

1. CMP:n tar bort `_ga`-cookien nar anvandaren klickar avvisa.

2. CMP:n satter en samtyckestatuscookie som registrerar att anvandaren har vagrat analys.

3. Vid nasta sidladdning laser CMP:n sitt samtyckestillstand och vet att anvandaren vagrade.

4. Men: Google Analytics-skripttaggen ar inbaddad direkt i sidmallen (utanfor tagghanteraren) eller laddas av en tagghanterarregel som inte kontrollerar samtyckestillstand.

5. GA-skriptet laddas, ser ingen `_ga`-cookie och skapar en ny.

6. Anvandarens avvisningsbeslut har asidosatts.

Variationer pa detta monster inkluderar: tredjepartsskript laddade via hardkodade `