Spårning före samtycke: vad det är och varför tillsynsmyndigheter behandlar det som en överträdelse

Spårning före samtycke är en kategori av iakttagelser i vår skanner. Den utlöses när webbläsaren mellan starten av en ny sidladdning och det ögonblick då användaren utför någon åtgärd på samtyckesbannern skickar en eller flera nätverksbegäran som bär identifierare, innehåller icke-väsentliga analytics-payloads eller sätter icke-väsentliga cookies.

Detta är den vanligaste bristen vi upptäcker. I vår skanning av 97 000 EU-webbplatser drevs majoriteten av högriskklassificeringarna av spårning före samtycke — inte av saknade banners eller trasiga avvisningsknappar.

Vad skannern letar efter

Detektorn observerar nätverket från det ögonblick webbläsaren utfärdar dokumentbegäran tills en av tre händelser inträffar:

1. Användaren klickar på en knapp på samtyckesbannern (acceptera, avvisa, inställningar).
2. En mätbar cookie eller localStorage-post för samtyckesstatus skrivs.
3. En timeout löper ut (som standard 8 sekunder) utan någon samtyckessignal.

Varje begäran som avfyras inom detta fönster undersöks för tre signaler:

• Känt spårarfingeravtryck. Måldomänen, begäranspasset eller payload-mönstret matchar en post i vår spårardatabas. Detta inkluderar Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, TikTok Pixel, X konverteringspixlar och många andra.
• Identifierarbärande payload. Begäran bär en stabil klientidentifierare (cookie, fingeravtryckshash eller frågeparameter som överlever mellan sidor).
• Skrivning av icke-väsentlig cookie. Svaret sätter en cookie som enligt klassificering inte är strikt nödvändig för webbplatsens funktionalitet.

Vilken som helst av dessa räcker för att utlösa iakttagelsen. Alla tre tillsammans är det typiska mönstret för en Google Tag Manager-container som avfyras före samtyckesgrinden.

Den rättsliga ramen, kort

Vi är inte er jurist. Sakförhållandena:

• GDPR Art. 6(1)(a) kräver en giltig rättslig grund för behandling av personuppgifter. För icke-väsentliga spårare är detta samtycke.
• GDPR Art. 7 sätter måttstocken för hur ett giltigt samtycke ser ut: frivilligt, specifikt, informerat, otvetydigt och återkalleligt.
• ePrivacy Directive Art. 5(3) kräver uttryckligen samtycke innan information lagras på eller hämtas från en användares terminalutrustning — det vill säga innan cookies och liknande identifierare läses eller skrivs. Huruvida en viss nätverksbegäran före samtycke övergår i en överträdelse beror på om den läser eller skriver information på enheten, om den bär identifierare och om den kan motiveras som "strikt nödvändig" — detta är de frågor som tillsynsmyndigheterna har vägt.

Nationella implementationer skiljer sig i detalj. Tysklands TTDSG (numera TDDDG) och Frankrikes införlivande genom Loi Informatique et Libertés, tillämpat av CNIL, har gett upphov till den synligaste tillsynspraxisen. DPAs i hela EU har varnat för mönster med spårning före samtycke; specifika tillsynströsklar varierar mellan jurisdiktioner. Den underliggande principen är densamma överallt: först samtycke, sedan spårare.

Vad tillsynsmyndigheterna faktiskt har gjort

En kort, partiell tidslinje över beslut där spårning före samtycke var den centrala iakttagelsen:

• CNIL v. Google (december 2020): 100 miljoner EUR för placering av annonseringscookies på google.fr utan föregående samtycke.
• CNIL v. Amazon Europe Core (december 2020): 35 miljoner EUR för samma mönster på amazon.fr.

Detta är inte de enda fallen — de är de bärande. Mönstret är genomgående: tillsynsmyndigheten mätte nätverksbeteendet och behandlade den tekniska verkligheten som avgörande, oavsett policytexten.

De skript som oftast orsakar det

Ungefär i den ordning vi ser dem som primär orsak vid en högriskskanning:

• Google Tag Manager-containrar konfigurerade utan Consent Mode-grindning, eller med Consent Mode felkonfigurerat så att standardstatusen är "granted".
• Meta Pixel laddat direkt via <script src> snarare än grindat bakom en samtyckes-callback.
• Hotjar sessionsinspelning startad innan bannern stängts.
• LinkedIn Insight för B2B-retargeting, särskilt på byrå- och SaaS-webbplatser.
• TikTok Pixel på konsument-e-handel.
• Förstaparts analytics-implementationer som läser navigator-egenskaper eller sätter fingeravtryckscookies före någon användaråtgärd.

Den gemensamma faktorn är nästan aldrig själva skriptet — det är installationen. Var och en av dessa leverantörer publicerar ett dokumenterat sätt att grinda avfyringen mot en samtyckessignal; standardinstallationsanvisningarna nämner det dock ofta inte.

Hur en ren skanning ser ut

En webbplats som klarar vår pre-consent-kontroll gör något av följande:

1. Laddar ingen tredjepartsspårning alls förrän samtycke har getts. Funktionella cookies (session, språkpreferens, CSRF) är okej.
2. Laddar tag manager i status "denied", med alla icke-väsentliga taggar grindade bakom uttryckliga samtyckessignaler, och uppdaterar statusen efter användaråtgärden via Google Consent Mode v2 eller en motsvarande mekanism.
3. Laddar spårarstubbar som inte överför identifierare förrän samtyckesflaggan är satt.

I vårt korpus från första kvartalet 2026 med 97 000 EU-webbplatser hade 68 % en spårningstjänst aktiv innan något samtyckesbeslut fattats. Den minoritet av webbplatser som klarar pre-consent-kontrollen tenderar att dela en profil: nätverket i pre-consent-fönstret domineras av själva dokumentet, CSS- och teckensnittsfiler samt en favicon — inget som bär en identifierare bort från enheten.

Hur man åtgärdar det

Den ärliga versionen: det finns ingen genväg. Varje tagg måste granskas avseende om den avfyras innan samtyckessignalen är satt. Steg som fungerar i praktiken:

1. Öppna webbplatsen i en ren webbläsarprofil med dev tools öppna.
2. Filtrera nätverket på "third-party" och ladda om.
3. Allt som avfyras innan du klickar på en bannerknapp är en kandidat.
4. För varje kandidat, hitta laddaren (vanligtvis en script-tagg, en tag manager-trigger eller ett inline-snippet) och grinda den mot samtyckessignalen.
5. Testa på nytt. Upprepa tills pre-consent-fönstret är fritt från spårare.

Om du använder en samtyckeshanteringsplattform är plattformens "blockera till samtycke"-läge nödvändigt men inte tillräckligt — många CMP:er blockerar bara cookieskrivningen, inte begäran. Article 5(3) i ePrivacy Directive kräver samtycke innan information lagras på eller hämtas från en användares enhet (cookies, local storage, liknande identifierare). Huruvida en specifik nätverksbegäran före samtycke utlöser denna skyldighet beror på vad begäran läser från eller skriver till enheten — en faktaberoende fråga.

För ett konkret exempel på din egen domän, kör en skanning och titta på panelen "pre-consent network" i rapporten. Varje anmärkningsvärd begäran listas med sin initiator-stack, så att du kan spåra den till källfilen i din kodbas.