Back to blog
-- 10 min read

ePrivacy Artikel 5, stk. 3 forklaret: hvornår kræver analyse samtykke?

En detaljeret gennemgang af ePrivacy-direktivets Artikel 5, stk. 3 — 'cookie-loven' der afgør, hvornår analyse kræver samtykke. Hvad den siger, hvad den betyder, og hvordan forskellige EU-myndigheder fortolker den.

Hvad er ePrivacy-direktivet?

De fleste i webanalyse-verdenen taler om GDPR, som om det var den eneste relevante lov for at spore besøgende. Det er det ikke. Den regel, der faktisk afgør, om du skal have et cookie-samtykkebanner, er ældre end GDPR og findes i en separat retsakt: ePrivacy-direktivet, formelt Direktiv 2002/58/EF som ændret ved Direktiv 2009/136/EF.

ePrivacy-direktivet regulerer privatliv inden for elektronisk kommunikation. Det dækker blandt andet kommunikationens fortrolighed, opbevaring af trafikdata, uanmodet kommerciel kommunikation (spam) og — mest berømt — placering af og adgang til oplysninger på slutbrugerens udstyr. Det sidste emne er dækket af Artikel 5, stk. 3, som er den juridiske kilde til det "cookie-banner", du ser på næsten alle hjemmesider i EU.

Fordi ePrivacy-direktivet er et direktiv og ikke en forordning, implementerer hver EU-medlemsstat det i national ret. I Frankrig findes det i Loi Informatique et Libertés via artikel 82. I Tyskland er det nu §25 TTDSG / TDDDG. I Danmark er det cookiebekendtgørelsen. I Storbritannien (efter Brexit) gælder det fortsat som PECR. Den underliggende tekst er harmoniseret, så analysen nedenfor gælder bredt i hele EU, selv om den præcise lovhenvisning er forskellig.

Den fulde tekst af Artikel 5, stk. 3

Her er bestemmelsen i sin helhed. Det er værd at læse den langsomt:

"Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at den pågældende abonnent eller bruger har givet sit samtykke efter at have modtaget klare og fyldestgørende oplysninger i overensstemmelse med direktiv 95/46/EF, bl.a. om formålene med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang alene med det formål at gennemføre transmissionen af kommunikation via et elektronisk kommunikationsnet, eller hvor det er strengt nødvendigt for, at udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkeligt har anmodet om, kan levere denne tjeneste."

Tre formuleringer udfører næsten alt arbejdet i dette afsnit: "lagring af oplysninger eller opnåelse af adgang", "abonnents eller brugers terminaludstyr" og "strengt nødvendigt". Alt andet er stilladser. Lad os tage dem én ad gangen.

"Lagring eller adgang til oplysninger" som udløser

Artikel 5, stk. 3 er teknologineutral. Den siger ikke "cookies". Den siger "lagring af oplysninger" eller "opnåelse af adgang til oplysninger, der allerede er lagret". Den formulering er bevidst bred og dækker enhver teknik, der skriver data til eller læser data fra brugerens enhed.

I praksis omfatter det:

  • HTTP-cookies, både førsteparts og tredjeparts
  • localStorage, sessionStorage og IndexedDB
  • Cache API og Service Workers
  • ETags, Last-Modified-headere og andre HTTP-cache-tricks
  • HTTP/2 Server Push-tilstand, HSTS-pinning
  • Canvas-, WebGL-, lyd- og font-fingerprinting (som teknisk set læser oplysninger fra enheden)
  • Læsning af brugerens installerede fonte, plugins eller hardware-egenskaber
  • Læsning af indholdet af udklipsholderen, batteristatus eller andre enheds-API'er

Bemærk, at udløseren gælder, uanset om de lagrede eller tilgåede oplysninger er persondata. Selv en uigennemsigtig, ikke-identificerende token tæller. Og den gælder, uanset om sitet aktivt læser oplysningerne tilbage — selve lagringen er nok.

Det betyder også, at argumentet "det er ikke en cookie, det er localStorage", som nogle analyseleverandører plejede at bruge, er en blindgyde. Loven har aldrig handlet specifikt om cookies; den har altid handlet om enhver form for lagring eller adgang på brugerens enhed.

"Terminaludstyr"-elementet

"Terminaludstyr" betyder den enhed, brugeren bruger til at få adgang til internettet: telefon, laptop, tablet, smart-tv, konsol — hvad som helst. Direktivet trækker en klar linje mellem netværket (servere, routere, kablet) og endepunktet (brugerens enhed).

Denne skelnen er det enkelt vigtigste koncept for cookiefri analyse. Alt, der sker helt på serversiden af den linje, er uden for Artikel 5, stk. 3. Alt, der rører brugerens enhed, er omfattet. Der er ingen mellemvej.

Serverlogs, hashede identifikatorer beregnet på serveren, request-headers læst og kasseret, geografiske opslag baseret på IP-adresse — ingen af disse er "lagring af oplysninger på terminaludstyr" eller "opnåelse af adgang til oplysninger, der allerede er lagret" på enheden. Det er ting, serveren allerede har i kraft af at modtage HTTP-forespørgslen.

Cookies, localStorage, fingerprinting, læsning af enheds-API'er — alle disse krydser linjen ind på enheden. De er alle omfattet.

"Strengt nødvendigt"-undtagelsen

Artikel 5, stk. 3 indeholder en undtagelse for lagring eller adgang, der er "strengt nødvendigt" til ét af to formål:

  1. At transmittere en kommunikation via et elektronisk kommunikationsnet — dette dækker ting som routing, load balancing og TCP-tilstand.
  2. At levere en "informationssamfundstjeneste, som abonnenten eller brugeren udtrykkeligt har anmodet om".

Det andet punkt er det, der betyder noget for weboperatører. Eksempler, der almindeligvis accepteres som "strengt nødvendige", inkluderer:

  • Session-cookien der holder dig logget ind, efter du aktivt har logget ind
  • Cookien der gemmer varerne i din indkøbskurv under checkout
  • Cookien der husker dit cookie-samtykkevalg (en cirkulær men pragmatisk undtagelse)
  • CSRF-tokens, der beskytter mod cross-site request forgery
  • Load balancer stickiness-cookies

Eksempler der ikke er "strengt nødvendige":

  • Analyse-cookies, fordi brugeren ikke har bedt om at blive målt
  • Annonce-cookies, fordi brugeren ikke har bedt om at se målrettede annoncer
  • Præference-cookies for ting, sitet kan levere uden dem

Testen er ikke "er dette nyttigt for site-operatøren?" men "er dette nødvendigt for en tjeneste, brugeren udtrykkeligt har bedt om?" Analyse består ikke den test ved nogen ærlig læsning, fordi besøgende næsten aldrig beder om at blive målt.

Hvordan databeskyttelsesmyndigheder fortolker "strengt nødvendigt"

Det Europæiske Databeskyttelsesråd (EDPB) og de enkelte nationale myndigheder har konsekvent anlagt en snæver fortolkning af "strengt nødvendigt". De myndighedsfortolkninger, der betyder mest i praksis:

  • CNIL (Frankrig) har offentliggjort detaljeret vejledning, der anerkender en begrænset "undtagelse for publikumsmåling" for analyse, der opfylder specifikke betingelser: strengt førsteparts, ingen tracking på tværs af sites, begrænsede formål, begrænset opbevaring og ingen deling med tredjeparter. Værktøjer, der opfylder alle betingelser, kan implementeres uden samtykkebanner. Værktøjer der ikke gør, kan ikke.
  • DSK (Tyskland) anlægger en strengere linje: enhver analyse, der lagrer noget på enheden, kræver samtykke. Cookiefri analyse, der intet lagrer på enheden, er simpelthen uden for rammerne af §25 TTDSG og dermed uden for samtykkekravet.
  • Datatilsynet (Danmark) følger direktivet trofast: cookiereglerne gælder for alt, der lagrer eller læser oplysninger på enheden. Hvis intet lagres eller læses, er reglerne slet ikke aktiveret.
  • ICO (Storbritannien) bekræfter udtrykkeligt i sin PECR-vejledning, at førsteparts analyse under begrænsede omstændigheder kan kvalificere til undtagelse, men den sikreste vej er at basere sig på samtykke eller på en arkitektur, der slet ikke involverer lagring.

På trods af visse tonale forskelle er alle databeskyttelsesmyndigheder i EU enige om den samme juridiske mekanisme: hvis du intet lagrer på enheden, udløses Artikel 5, stk. 3 ikke, og samtykkekravet gælder ikke for selve analysen.

CNIL's undtagelse for publikumsmåling

CNIL's position fortjener en nærmere gennemgang, fordi den er den mest tilladende og mest eksplicitte i Europa. Ifølge dens retningslinjer kan analyse-cookies og trackere være undtaget fra samtykke, hvis alle følgende betingelser er opfyldt:

  • Behandlingen er strengt begrænset til at producere anonyme statistiske data
  • Dataene anvendes udelukkende af udgiveren eller dennes databehandler
  • Dataene sammenkøres ikke med anden behandling eller deles med tredjeparter
  • Trackeren er begrænset til at producere aggregerede statistikker
  • IP-adresser opbevares ikke længere end strengt nødvendigt (typisk anonymiseret ved trunkering før opbevaring)
  • Tracking er strengt begrænset til et enkelt website
  • Opbevaring af data overstiger ikke en rimelig periode (CNIL har tidligere angivet 13 måneder for cookies og 25 måneder for de underliggende statistiske data)

CNIL vedligeholder en liste over analyseløsninger, den har gennemgået og betragter som undtaget i deres standardkonfiguration. Listen er ikke bindende for andre myndigheder, men den henvises bredt til i hele Europa som en praktisk guide.

Et analyseværktøj, der aldrig lagrer noget på enheden, befinder sig over denne undtagelse. Det behøver ikke at kvalificere sig til undtagelsen, fordi det slet ikke aktiverer samtykkeudløseren i første omgang.

Forholdet til GDPR

Folk forveksler ofte ePrivacy og GDPR, men de besvarer forskellige spørgsmål:

  • ePrivacy Artikel 5, stk. 3: "Må jeg lægge data på brugerens enhed eller læse data fra den?" Hvis ingen lagring eller adgang, ikke aktiveret.
  • GDPR Artikel 6: "Har jeg et lovligt grundlag for at behandle persondata?" Gælder, når personoplysninger behandles, herunder af analyseværktøjer, der intet lagrer på enheden, men stadig behandler IP-adresser.

Begge skal være opfyldt. Et analyseværktøj, der intet lagrer på enheden, kommer gratis forbi ePrivacy, men det har stadig brug for et GDPR-behandlingsgrundlag for de personoplysninger, det behandler på serversiden. For analyse er det retlige grundlag typisk legitim interesse efter Artikel 6, stk. 1, litra f, understøttet af en dokumenteret interesseafvejning, der viser, at behandlingen er proportional og respekterer den besøgendes rettigheder.

Du kan ikke springe GDPR-analysen over ved at være cookiefri. Du kan springe samtykkebanneret over under ePrivacy, men du skal stadig dokumentere din GDPR-overholdelse og respektere de registreredes rettigheder.

Hvad betyder dette for analyseleverandører

Der er tre realistiske arkitektoniske veje for et analyseprodukt, der ønsker at operere lovligt i EU:

  1. Brug cookies og vis et banner. Dette er den vej, Google Analytics, Matomo (standardtilstand) og de fleste ældre værktøjer tager. Brugeren ser en samtykkeprompt. Hvis de accepterer, får du data. Hvis de afviser (eller lukker banneret), får du intet.
  2. Brug cookies, men kvalificer dig til CNIL-stilens måleundtagelse. Matomo i sin cookiefri-men-stadig-fingerprinted-tilstand forsøger dette. Det er brugbart, men afhænger af præcis konfiguration og myndighedsfortolkning.
  3. Rør slet ikke enheden. Dette er den vej, Web-Tracking.eu, Plausible, Fathom, Simple Analytics og Pirsch har taget, hver med deres egne implementeringsdetaljer. Artikel 5, stk. 3 er simpelthen ikke udløst, og samtykkespørgsmålet fordamper for analyselaget.

Den tredje vej er den juridisk reneste og den operationelt enkleste. Det kræver at genoverveje, hvordan man tæller unikke besøgende — man kan ikke basere sig på en identifikator lagret på enheden, så man må beregne én på serveren — men det omgår hele cookie-banner-debatten.

Eksempler: hvad udløser og udløser ikke samtykke

For at gøre dette konkret er her nogle deployment-mønstre og hvordan de interagerer med Artikel 5, stk. 3:

  • Et trackingscript der sætter en førsteparts _ga-cookie — udløser Artikel 5, stk. 3, kræver samtykke.
  • Et trackingscript der skriver et besøgende-ID til localStorage — udløser Artikel 5, stk. 3, kræver samtykke.
  • Et trackingscript der kun læser User-Agent-headeren og sender en ping til serveren — udløser ikke Artikel 5, stk. 3. User-Agent er i HTTP-forespørgslen, ikke på enheden. Ingen lagring, ingen adgang ud over normal netværkstransmission.
  • En server der hasher IP + User-Agent + dato ved modtagelse og kun gemmer hashen — udløser ikke Artikel 5, stk. 3. Intet lagres på enheden.
  • Et trackingscript der bruger Canvas-fingerprinting til at generere et besøgende-ID — udløser Artikel 5, stk. 3, fordi det læser oplysninger fra enheden (renderings-karakteristika).
  • Et trackingscript der bruger navigator.sendBeacon() til at sende request-data til serveren — udløser ikke i sig selv Artikel 5, stk. 3. sendBeacon er en transportmekanisme, ikke enhedslagring.
  • Et trackingscript der sætter en ETag og læser den tilbage for at identificere tilbagevendende besøgende — udløser Artikel 5, stk. 3. ETags er en form for lagring på enheden.
  • Et CDN der logger request-headers på indkommende trafik — udløser ikke Artikel 5, stk. 3. Logs er på serveren.

Hvis din arkitektur passer rent ind i kategorien "kun serverside", behøver du ikke et cookie-banner til analysedelen af dit site. Dine andre tredjepartsværktøjer kan stadig kræve et.

Bundlinjen

Artikel 5, stk. 3 er en ren, teknologineutral regel: hvis du lagrer oplysninger på en brugers enhed eller læser oplysninger fra den, har du brug for samtykke (medmindre det er strengt nødvendigt for en tjeneste, brugeren udtrykkeligt har anmodet om). Hvis du ikke gør, har du ikke.

Den regel blev skrevet i 2002 og ændret i 2009. Den har overlevet GDPR, tredjepartscookies' død, fingerprintingens fremmarch og den igangværende debat om cookie-banner-træthed, fordi dens underliggende logik er solid. Den reneste måde at overholde Artikel 5, stk. 3 i 2026 er slet ikke at overholde den — ved at bygge et produkt, der aldrig udløser den i første omgang.

Web-Tracking.eu er en cookiefri analyseplatform. Læs mere om vores tilgang i den juridiske gennemgang intet cookie-banner.