Back to blog
-- 13 min read

Kan du lave analyse uden et samtykkebanner? Hvad EU's databeskyttelsesmyndigheder siger

En gennemgang af, hvordan europæiske databeskyttelsesmyndigheder (CNIL, BayLDA, Datatilsynet, AP) behandler analyseværktøjer og samtykkekravet. Hvilke værktøjer kvalificerer sig til måleundtagelsen?

Spørgsmålet, og hvorfor det betyder noget

Ingen nyder cookie-bannere. Site-operatører kan ikke lide dem, fordi de skader konvertering og forstyrrer designet. Besøgende kan ikke lide dem, fordi de er en afbrydelse af hver eneste browsersession. Databeskyttelsesprofessionelle kan ikke lide dem, fordi de har forvandlet sig til et ritual af falsk samtykke, der ikke beskytter nogen.

Så spørgsmålet bliver stillet konstant: kan man bare lade være? Mere specifikt, kan man køre analyse — måle sidevisninger, bounce rates, trafikkilder, kampagnepræstation — uden at bede om samtykke?

Svaret er "nogle gange, og det afhænger af, hvilken databeskyttelsesmyndighed du sandsynligvis vil høre fra." Under den tilsyneladende uenighed er den juridiske ramme den samme i hele EU: ePrivacy-direktivets Artikel 5, stk. 3 kontrollerer lagring og adgang på brugerens enhed, og GDPR kontrollerer behandling af personoplysninger. Forskellene mellem myndigheder handler alle om fortolkning, håndhævelsesprioritet og snævertheden af "strengt nødvendigt"-undtagelsen.

Dette indlæg gennemgår positionerne hos de myndigheder, der sandsynligvis vil se på dit site, hvis du opererer i EU. Det er beskrivende, ikke foreskrivende — vi giver ikke juridisk rådgivning, og du bør gå dit specifikke setup igennem med din egen advokat, før du foretager ændringer.

CNIL (Frankrig): den mest detaljerede og mest tilladende

CNIL, den franske Commission Nationale de l'Informatique et des Libertés, har produceret mere detaljeret vejledning om analyse og samtykke end nogen anden EU-databeskyttelsesmyndighed. Dens position er samtidig den strengeste på nogle punkter og den mest tilladende på andre.

Den strenge del: CNIL har aktivt håndhævet mod Google Analytics i dens standardkonfiguration og fundet, at overførslen af data til USA og indstillingen af identificerende cookies var uforenelige med EU-retten. Flere franske websites blev beordret til at bringe deres GA-udrulninger i overensstemmelse eller stoppe brugen af værktøjet. Den håndhævelse sendte et klart signal om, at det ikke er acceptabelt at køre GA4-scriptet, som det leveres af Google, på et fransk publikum.

Den tilladende del: CNIL anerkender udtrykkeligt, at nogle analyseværktøjer helt er undtaget fra samtykkekravet. Den kalder det "undtagelsen for publikumsmåling". Et værktøj kvalificerer sig, hvis det opfylder alle følgende:

  • Dets formål er strengt begrænset til at producere anonyme statistikker for udgiveren
  • Det anvendes udelukkende af udgiveren eller dennes databehandler
  • Data sammenkøres ikke med anden behandling eller deles med tredjeparter
  • Tracking er begrænset til et enkelt website
  • IP-adresser anonymiseres (typisk ved trunkering) før opbevaring
  • Opbevaring er begrænset til en rimelig periode

Værktøjer, der opfylder kravene, kan implementeres uden et samtykkebanner i Frankrig. CNIL vedligeholder en offentliggjort liste over løsninger, den har gennemgået, og har anerkendt flere cookiefri analyseprodukter (herunder Matomo i cookiefri tilstand med visse indstillinger, Piwik Pro, Abla Analytics, AT Internet og andre) som compliant.

Et værktøj, der aldrig lagrer noget på enheden — som Web-Tracking.eu, Plausible, Fathom og Pirsch gør — befinder sig over undtagelsen. Det har ikke brug for undtagelsen, fordi det slet ikke aktiverer Artikel 5, stk. 3 i første omgang. CNIL's vejledning gør dette klart i forbifarten, men er primært skrevet til den hårdere sag med analyseværktøjer, der berører enheden.

Praktisk pointe for franske sites: hvis du bruger et cookiefri analyseværktøj uden enhedslagring, ingen cross-site tracking, EU-hosting og passende opbevaring, behøver du ikke et samtykkebanner til analyselaget. Du kan stadig have brug for et til andre trackere.

DSK og BayLDA (Tyskland): streng læsning af lovens bogstav

Tyskland implementerer ePrivacy-direktivet gennem §25 i TTDSG, for nylig omdøbt til TDDDG. Håndhævelsen er fordelt på seksten delstatsmyndigheder (LDI NRW, BayLDA i Bayern, LfD Niedersachsen osv.), som koordinerer gennem Datenschutzkonferenz (DSK).

DSK's position vedrørende analyse er streng. Enhver lagring af oplysninger på terminaludstyret eller aflæsning af oplysninger fra det kræver samtykke efter §25 TTDSG, medmindre det er strengt nødvendigt for en tjeneste, som brugeren udtrykkeligt har anmodet om. Analyse kvalificerer ikke som strengt nødvendigt. Så ethvert analyseværktøj, der berører enheden, har brug for et samtykkebanner i Tyskland.

BayLDA, den bayerske databeskyttelsesmyndighed, har været den mest aktive håndhæver. Den har udstedt vejledning, der klargør, at:

  • At sætte analyse-cookies uden samtykke er ulovligt efter §25 TTDSG
  • Overførsel af data til tredjelandsservere (især amerikansk-hostede tjenester) kræver desuden et retligt grundlag under GDPR kapitel V
  • "Consent mode"-funktioner tilbudt af Google og andre løser ikke det underliggende samtykkeproblem — cookies sættes stadig, selv om de bærer mindre data

Denne strenge læsning arbejder faktisk til fordel for cookiefri arkitekturer. Hvis enhver enhedslagring kræver samtykke, så kræver ingen enhedslagring intet samtykke. Tyske databeskyttelsesmyndigheder accepterer denne logik. Et værktøj, der intet lagrer på enheden, falder simpelthen uden for rammerne af §25 TTDSG, og samtykkekravet gælder ikke for det. Du har stadig brug for et GDPR-retsgrundlag for enhver behandling af personoplysninger, men det er et andet spørgsmål, der håndteres under Artikel 6, typisk via legitim interesse.

Praktisk pointe for tyske sites: den cookiefri tilgang er den sikreste vej i Tyskland. Der er ingen "måleundtagelse" svarende til Frankrigs — du har enten brug for samtykke eller en arkitektur, der slet ikke aktiverer §25.

Datatilsynet (Danmark): trofast mod direktivet

Den danske databeskyttelsesmyndighed, Datatilsynet, anvender den danske cookiebekendtgørelse, som er en direkte gennemførelse af Artikel 5, stk. 3. Dens offentliggjorte vejledning fremhæver to punkter:

  • Cookiereglerne gælder for enhver lagring af eller adgang til oplysninger på brugerens enhed, ikke kun for cookies snævert defineret
  • Hvis en tjeneste ikke lagrer eller tilgår noget på enheden, gælder cookiereglerne simpelthen ikke for den

Dette er den reneste formulering af positionen blandt EU's databeskyttelsesmyndigheder. Datatilsynet vedligeholder ikke en detaljeret "godkendt liste" som CNIL, men dens vejledning er klar på, at et cookiefri analyseværktøj med serverside-tælling ikke har brug for et samtykkebanner for sin egen drift. Datatilsynet har været aktivt i at håndhæve cookiereglerne over for danske websites, der kører ikke-compliant trackere, med flere bøder udstedt siden 2022.

Praktisk pointe for danske sites: logikken er identisk med Tyskland. Hvis du bruger et værktøj, der ikke berører enheden, er de danske cookieregler ikke aktiveret, og du behøver ikke et samtykkebanner for det værktøj.

AP (Holland): cookie-specifikke regler, bred fortolkning

Den hollandske Autoriteit Persoonsgegevens håndhæver Artikel 11.7a i telekommunikationsloven (Telecommunicatiewet), som er den hollandske gennemførelse af Artikel 5, stk. 3. AP's position stemmer overens med den gængse europæiske læsning: enhver lagring eller adgang på enheden kræver samtykke, medmindre det er strengt nødvendigt.

AP har udstedt udtalelser og håndhævelsesforanstaltninger mod websites, der bruger tredjeparts reklamecookies uden samtykke, og har især fokuseret på praksisserne hos store medieudgivere. Analyse har ikke været et primært håndhævelsesmål, men AP har været eksplicit om, at den betragter enhedslagrende analyse som krævende samtykke.

AP har ikke offentliggjort en CNIL-stil "godkendt liste", men den har i flere offentlige udtalelser bekræftet, at cookiefri analyseløsninger er uden for rammerne af Artikel 11.7a. Den hollandske regerings egne digitale tjenester bruger et cookiefri analyseværktøj (tidligere Piwik/Matomo i en afklædt konfiguration, på det seneste andre muligheder) for at undgå samtykkekravet på offentlige sektors websites.

Praktisk pointe for hollandske sites: samme som Tyskland og Danmark. Et cookiefri værktøj udløser ikke Artikel 11.7a, så intet samtykkebanner er nødvendigt for det.

ICO (Storbritannien, efter Brexit): pragmatisk vejledning

Storbritannien er fortsat underlagt PECR, som gennemfører Artikel 5, stk. 3 i ePrivacy-direktivet, selv efter at have forladt EU. ICO's vejledning om PECR og cookies er en af de mest praktisk skrevne stykker regulatorisk tekst på området og er værd at læse i sin helhed.

ICO bekræfter at:

  • PECR gælder for enhver lagring eller adgang på enheden, ikke kun cookies
  • Førsteparts analyse kan under begrænsede omstændigheder kvalificere sig til "strengt nødvendigt"-undtagelsen, selv om ICO advarer om, at dette er en snæver vej, og at samtykke er den sikrere standard for enhedslagrende analyse
  • Et værktøj, der ikke involverer lagring eller adgang på enheden, er slet ikke omfattet af PECR

ICO har været mere eftergivende i sin håndhævelse end nogle kontinentale databeskyttelsesmyndigheder. Den har prioriteret store overtrædelser og grove trackere over analyse-tunge websites. Alligevel er dens skriftlige vejledning klar, og overholdelsesforventningerne er de samme i teorien.

Praktisk pointe for britiske sites: den cookiefri arkitektur har samme effekt under PECR som under ePrivacy-direktivet. Ingen enhedslagring, ingen PECR-aktivering, intet samtykkebanner for analyselaget.

Fælles krav på tværs af databeskyttelsesmyndigheder

Gennemlæsning af vejledningen fra myndighederne ovenfor afslører et konsekvent sæt krav, som cookiefri analyse bør opfylde. Tænk på disse som den fælles baseline, ikke helt nedskrevet i noget enkelt dokument, men til stede i dem alle:

  • Ingen cross-site tracking. Enhver identifikator skal være afgrænset til et enkelt site. Du bør ikke kunne følge en besøgende fra Site A til Site B ved hjælp af det samme analyseværktøj.
  • Begrænset opbevaring. Rå input (IP, User-Agent) skal kasseres øjeblikkeligt. Aggregerede data bør ikke opbevares længere end nødvendigt — CNIL har foreslået 13 måneder for cookies og 25 måneder for aggregerede statistikker som grove øvre grænser.
  • Anonymiserede eller kasserede IP'er. Hvis IP'er overhovedet lagres, bør de trunkeres. Bedre: kasser dem helt efter at have udtrukket det, du har brug for.
  • Ingen tredjeparts datadeling. Analysedataene bør forblive hos udgiveren (og dens databehandler), ikke flyde til annoncenetværk, datamæglere eller andre tredjeparter.
  • Førsteparts implementering. Trackeren bør serveres fra udgiverens infrastruktur eller fra en databehandler underlagt en ordentlig databehandleraftale, ikke fra en tredjepart, der kan kombinere dataene med andre kilder.
  • Dokumenteret retsgrundlag under GDPR. Selv uden et samtykkebanner har behandlingen brug for et GDPR Artikel 6-grundlag — typisk legitim interesse med en dokumenteret vurdering.

Cookiefri værktøjer som Web-Tracking.eu, Plausible, Fathom og Pirsch opfylder alle disse betingelser i deres standardkonfigurationer. Nogle værktøjer kan konfigureres til at opfylde dem (Matomo i cookiefri tilstand; Piwik Pro med passende indstillinger), men kræver bevidst opsætning.

Hvilke værktøjer kvalificerer sig (cookiefri by design)

Værktøjer, der aldrig lagrer noget på enheden, by design, er det enkleste tilfælde. De opfylder ePrivacy-udløsertesten automatisk og skal kun rydde GDPR-behandlingsbarren (hvilket de gør via legitim interesse og passende sikkerhedsforanstaltninger). Kortlisten:

  • Web-Tracking.eu — serverside daglig roterende hash, EU-hosting
  • Plausible — serverside daglig roterende hash, EU-hosting
  • Fathom — serverside hash, EU-datacentermulighed tilgængelig
  • Pirsch — serverside saltet fingeraftryk, EU-hosting
  • Simple Analytics — serverside hash, EU-hosting

I alle disse tilfælde kan analyselaget implementeres uden et cookie-samtykkebanner i hele EU. Den præcise formulering af privatlivspolitikken betyder stadig noget, og andre dele af sitet (embeds, chat-widgets, annoncer) kan kræve et banner af deres egen.

Hvilke værktøjer ikke kvalificerer sig (uden omhyggelig konfiguration)

Værktøjerne nedenfor berører enheden i deres standardkonfiguration og kræver derfor samtykke eller omhyggelig omkonfiguration for at kvalificere sig til en måleundtagelse.

  • Google Analytics 4 (gtag.js) — sætter førsteparts cookies (_ga, _ga_*). Consent mode v2 justerer adfærden, men fjerner ikke cookies. Kræver et banner i enhver EU-jurisdiktion.
  • Microsoft Clarity — session replay- og heatmap-værktøj, der lagrer identifikatorer og optager interaktioner. Kræver samtykke.
  • Hotjar — session replay, heatmaps, undersøgelser og mere. Sætter flere cookies og identifikatorer. Kræver samtykke.
  • Facebook Pixel / Meta Pixel — annoncetracker med cross-site-sammenkobling. Kræver samtykke og har yderligere overførselsproblemer under GDPR kapitel V.
  • LinkedIn Insight Tag — annoncecookies og cross-site-sammenkobling. Kræver samtykke.
  • Matomo (standard) — sætter førsteparts cookies (_pk_id, _pk_ses). Kræver samtykke, medmindre det omkonfigureres til cookiefri tilstand, og selv da kan det cookiefri fingeraftryk eller kan det ikke kvalificere sig til en måleundtagelse, afhængigt af myndigheden.
  • Adobe Analytics — sætter flere cookies, historisk betragtet som et enhedslagrende analyseværktøj. Kræver samtykke.

Ingen af disse er "ulovlige" som sådan — de kan alle implementeres lovligt med et passende samtykkeflow og i den rigtige konfiguration. Men de er ikke cookiefri, og de kan ikke implementeres uden et banner.

Spørgsmålet om serverside GA4

Et almindeligt spørgsmål er, om man kan gøre GA4 compliant ved at indlæse det serverside, enten via Google Tag Manager Server-Side, via Measurement Protocol eller via et CDN-hostet alternativ. Det korte svar er: måske, men de svære dele forsvinder ikke.

Serverside GA4 kan undgå klientside-cookies for sidevisninger, hvis du bygger integrationen omhyggeligt. I den konfiguration lagres intet på enheden (for GA4-delen), og Artikel 5, stk. 3 er ikke aktiveret for selve forespørgslen. Flere problemer består dog:

  • Googles serverside tagging-værktøj sætter typisk stadig en klientside-cookie, medmindre du aktivt deaktiverer det
  • Hvis du bruger nogen GA4-funktion, der er afhængig af en klientside-identifikator (enhanced measurement, cross-device tracking, annonceringsintegrationer), kommer cookien tilbage
  • Data overføres stadig til Google i USA, hvilket skaber GDPR kapitel V-forpligtelser uafhængigt af Artikel 5, stk. 3
  • Du påtager dig hele ingeniørbyrden ved en serverside-udrulning, hvilket er ikke-trivielt og dyrt

I praksis giver et korrekt bygget cookiefri analyseværktøj dig den samme ePrivacy-undtagelse med mindre kompleksitet og uden spørgsmålet om international overførsel. Dette er grunden til, at "serverside GA4"-vejen er populær hos store virksomheder, der allerede har GA-infrastruktur, men ikke har spredt sig til mindre sites.

Hvad du skal fortælle dit juridiske team

Hvis du foreslår at køre dit site uden et cookie-banner, fordi du bruger cookiefri analyse, vil dit juridiske team gerne se en konkret compliance-historie. Her er en tjekliste at give dem:

  1. Retsgrundlag under ePrivacy. Dokumentér, at analyseværktøjet ikke lagrer eller tilgår oplysninger på brugerens enhed. Citer den specifikke mekanisme (serverside hash, ingen cookies, ingen localStorage). Henvis til Artikel 5, stk. 3 og forklar, hvorfor den ikke udløses.
  2. Retsgrundlag under GDPR. Dokumentér en vurdering af legitim interesse, der dækker behandlingen af IP-adresse og User-Agent som forbigående hash-input og opbevaringen af den resulterende hash som ikke-personoplysninger. Adresser GDPR's tre nødvendighedstests: formål, nødvendighed, afvejning.
  3. Dataopbevaring. Angiv hvor længe hashede data opbevares, hvad der aggregeres, hvornår det slettes.
  4. Underdatabehandlere og lokationer. Angiv analyseleverandøren som en underdatabehandler og bekræft EU-hosting. Vedhæft leverandørens databehandleraftale.
  5. Andre trackere. Gennemgå resten af sitet. Bekræft enten, at der ikke er andre enhedslagrende værktøjer til stede, eller at disse værktøjer har deres eget samtykkeflow.
  6. DPA-specifikke overvejelser. Hvis dit primære publikum er i et specifikt land, nævn myndighedens offentliggjorte position om cookiefri analyse og inkluder et link til dens vejledning.
  7. Dokumentation af trackerens adfærd. Bed din analyseleverandør om en teknisk beskrivelse af præcis hvad der sker ved hver forespørgsel. En leverandør, der ikke kan levere en, bør ikke være på din kortliste.

Med denne pakke i hånden vil et fornuftigt juridisk team godkende at køre uden et samtykkebanner for analyselaget. Forvent opfølgende spørgsmål om resten af sitet — især embeds, annoncer, chat-widgets og alt indlæst fra et tredjeparts-CDN — fordi cookiefri analyse-argumentet ikke dækker disse.

Bundlinjen

Der er ingen EU-databeskyttelsesmyndighed, der indtager positionen "cookiefri analyse kræver stadig et samtykkebanner". Debatten i EU handler udelukkende om værktøjer, der lagrer noget på enheden, og det snævre spørgsmål om, hvornår "strengt nødvendigt"-undtagelsen eller en målespecifik undtagelse kan påberåbes. Et værktøj, der slet ikke aktiverer Artikel 5, stk. 3, træder over hele debatten.

Den praktiske vej for site-operatører, der vil pensionere deres cookie-banner, er derfor:

  1. Gå over til et cookiefri analyseværktøj, der beregner identifikatorer serverside
  2. Fjern eller omkonfigurer andre enhedslagrende trackere (annoncer, embeds, chat-widgets)
  3. Dokumentér retsgrundlaget under GDPR Artikel 6 for den resterende behandling
  4. Opdater privatlivspolitikken for at afspejle den nye arkitektur
  5. Fjern cookie-banneret

Hvert trin er opnåeligt. Den juridiske ramme understøtter det. Enhver databeskyttelsesmyndighed gennemgået ovenfor har direkte eller indirekte bekræftet, at dette er den korrekte læsning af loven.

Web-Tracking.eu er en cookiefri analyseplatform. Læs mere om vores tilgang i den juridiske gennemgang intet cookie-banner.