Derfor har Web-Tracking.eu ikke brug for et cookie-banner
En teknisk og juridisk gennemgang for site-operatører, advokater og beslutningstagere
Sidst opdateret:
1. Retsgrundlaget: ePrivacy-direktivets Artikel 5, stk. 3
EU's retlige ramme for lagring af eller adgang til oplysninger på en brugers enhed er ikke GDPR — det er ePrivacy-direktivet (2002/58/EF), som ændret ved direktiv 2009/136/EF. Dette direktiv er ældre end GDPR og implementeres separat af hver EU-medlemsstat (den såkaldte 'cookie-lov').
Den gældende bestemmelse er Artikel 5, stk. 3:
Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at den pågældende abonnent eller bruger har givet sit samtykke efter at have modtaget klare og fyldestgørende oplysninger i overensstemmelse med direktiv 95/46/EF, bl.a. om formålene med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang alene med det formål at gennemføre transmissionen af kommunikation via et elektronisk kommunikationsnet, eller hvor det er strengt nødvendigt for, at udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkeligt har anmodet om, kan levere denne tjeneste.
To ting er værd at bemærke. For det første er udløseren teknologineutral: den dækker cookies, localStorage, enhedsfingerprinting, ETags, cache-misbrug og enhver anden mekanisme, der enten lagrer oplysninger på eller læser oplysninger fra terminaludstyr. For det andet gælder reglen, uanset om oplysningerne er persondata. Selv en ikke-personlig identifikator tæller, hvis den lagres på enheden.
Den logiske konsekvens er lige så vigtig: hvis en tjeneste hverken lagrer noget på enheden eller tilgår noget lagret der, gælder Artikel 5, stk. 3 simpelthen ikke. Der kræves ikke samtykke under ePrivacy-direktivet, og intet samtykkebanner er juridisk nødvendigt for den specifikke behandlingsaktivitet.
2. Hvad vi lagrer på din besøgendes enhed
Intet. Vores tracker (t.js) udfører et enkelt fetch()- eller navigator.sendBeacon()-kald til vores server og vender tilbage. Den læser intet fra enheden før afsendelse, og skriver intet tilbage bagefter.
| Lagringsmekanisme | Anvendt? | Udløser Artikel 5, stk. 3? |
|---|---|---|
| HTTP-cookies (førsteparts) | Nej | Ville udløse |
| HTTP-cookies (tredjeparts) | Nej | Ville udløse |
| localStorage | Nej | Ville udløse |
| sessionStorage | Nej | Ville udløse |
| IndexedDB | Nej | Ville udløse |
| Cache API / Service Workers | Nej | Ville udløse |
| Canvas / WebGL / lyd-fingerprinting | Nej | Ville udløse (læser enhedsinfo) |
| Font-opregning / hardware-API'er | Nej | Ville udløse |
| ETag / cache-tricks | Nej | Ville udløse |
| Serverside daglig hash (på vores server) | Ja | Ikke udløst — ingen enhedsinteraktion |
Den eneste identifikator, vi nogensinde beregner, er en hash, der udelukkende lever på vores server. Browseren ser den aldrig, lagrer den aldrig og har ingen mulighed for at hente den. Fra browserens perspektiv er der intet at give samtykke til — intet er blevet skrevet til eller læst fra enheden ud over de HTTP-headere, der automatisk sendes med hver forespørgsel.
3. Sådan fungerer hash-baseret besøgsidentifikation
For at tælle unikke besøgende uden at spore dem, udleder vi en deterministisk hash på serversiden ved hver indkommende forespørgsel. Hashen bygges af request-attributter, der allerede er tilgængelige for enhver webserver, kombineret med den aktuelle UTC-dato og en daglig hemmelig salt.
// Pseudo-kode — kører på Web-Tracking.eu-edge'en, aldrig i browseren
function visitorId(req, siteId) {
const ip = req.remoteAddr; // kasseres efter hashing
const ua = req.headers['user-agent']; // kasseres efter hashing
const date = today('UTC'); // roterer ved midnat UTC
const salt = dailySalt(); // tilfældig, roterer dagligt
return sha256(`${ip}|${ua}|${siteId}|${date}|${salt}`);
}Fire designvalg er vigtige her:
- Daglig rotation. Datokomponenten sikrer, at morgendagens hash for den samme besøgende er anderledes. Vi kan ikke følge en besøgende på tværs af dage.
- Daglig hemmelig salt. Forhindrer rainbow-table-angreb og sikrer, at selv hvis hashes lækkede, kunne de ikke vendes om for at gendanne input-IP'en.
- Site-afgrænsning. Hashes fra Site A kan ikke korreleres med Site B. En besøgende, der dukker op på to sites sporet af Web-Tracking.eu, producerer to urelaterede hashes. Ingen cross-site tracking er mulig.
- Rå input kasseres. IP-adressen og User-Agent anvendes til at beregne hashen og kastes derefter væk. De skrives aldrig til logs, databaser eller backups.
Denne tilgang er blevet godkendt som en acceptabel anonymiseringsteknik af Artikel 29-gruppen (nu EDPB) i Opinion 05/2014 om anonymiseringsteknikker, forudsat at hashen ikke kan knyttes tilbage til en enkeltperson og ikke kan bruges til at udpege dem på tværs af sessioner eller kontekster. Daglig rotation kombineret med en roterende salt opfylder den standard.
4. Positioner fra EU's databeskyttelsesmyndigheder om analyse og samtykke
Fortolkningen af Artikel 5, stk. 3 er harmoniseret gennem ePrivacy-direktivet, men håndhævelse og nuancer adskiller sig mellem medlemsstater. Her er en kort gennemgang af de mest relevante positioner. Ingen af dem modsiger konklusionen ovenfor: hvis intet lagres på enheden, behøves intet samtykkebanner.
CNIL (Frankrig)
Den franske tilsynsmyndighed offentliggør den mest detaljerede vejledning om analyse og samtykke. I sine retningslinjer og anbefalinger om trackere og cookies (senest konsolideret i 2020 og stadig i kraft) anerkender CNIL en 'måleundtagelse' for analyseværktøjer, der opfylder specifikke betingelser: strengt begrænset til at måle publikum på vegne af udgiveren, ingen cross-site tracking, ingen deling af data med tredjeparter, anonymiserede IP-adresser, begrænset opbevaring. CNIL har udtrykkeligt listet visse cookiefri eller cookie-begrænsede analysekonfigurationer som undtaget fra samtykke. Da Web-Tracking.eu slet ikke lagrer noget på enheden, er vi klart uden for rammerne af Artikel 5, stk. 3 under fransk fortolkning.
BayLDA / DSK (Tyskland)
Tyske databeskyttelsesmyndigheder, koordineret gennem Datenschutzkonferenz (DSK), anlægger en streng læsning af den tyske implementering af Artikel 5, stk. 3 i §25 TTDSG (nu TDDDG). Den bayerske databeskyttelsesmyndighed (BayLDA) har historisk været en af de mest aktive håndhævere mod Google Analytics og lignende cookie-baserede værktøjer. §25 TTDSG afspejler direktivet: samtykke kræves for enhver lagring af eller adgang til oplysninger på terminaludstyret, undtagen hvor det er strengt nødvendigt. En tracker, der aldrig berører enheden, falder slet ikke ind under §25. Strengheden af den tyske position arbejder faktisk til fordel for cookiefri designs.
Datatilsynet (Danmark)
Det danske Datatilsyn følger den danske cookiebekendtgørelse, der implementerer Artikel 5, stk. 3. Det har offentliggjort specifik vejledning, der fastslår, at teknologier, som ikke sætter eller læser oplysninger på brugerens enhed, ikke er omfattet af cookiereglerne. Det eneste tilbageværende spørgsmål i det tilfælde er, om nogen behandling, der alligevel sker (for eksempel af en IP-adresse, der bruges kortvarigt til at beregne en hash), har et gyldigt GDPR-retsgrundlag — hvilket for analyse rutinemæssigt er legitim interesse under Artikel 6, stk. 1, litra f.
AP (Holland)
Den hollandske Autoriteit Persoonsgegevens har udstedt vejledning om analyse under den hollandske telekommunikationslov. Dens position er, at analyseværktøjer, som ikke placerer eller læser cookies (eller tilsvarende), falder uden for samtykkekravet i Artikel 11.7a i loven. AP har tidligere certificeret specifikke analysekonfigurationer som samtykke-undtagne, hvor ingen identifikatorer består på brugerens enhed.
ICO (Storbritannien, efter Brexit)
Storbritanniens Privacy and Electronic Communications Regulations (PECR) gennemfører Artikel 5, stk. 3 og forbliver i kraft efter Brexit. ICO's cookie-vejledning indtager samme position: loven gælder for alt, der lagrer eller læser oplysninger fra brugerens enhed. En rent serversidebaseret tællemekanisme, der ikke berører enheden, er ikke omfattet.
Kort sagt: der er ingen EU-databeskyttelsesmyndighed, der indtager positionen 'cookiefri analyse kræver stadig samtykke'. Kontroversen handler udelukkende om værktøjer, der faktisk sætter identifikatorer på enheden (GA4's førsteparts cookies, Plausibles tidligere hashede localStorage, Meta Pixel osv.). Vores design træder over hele debatten.
5. Hvornår du stadig har brug for et samtykkebanner
At skifte til Web-Tracking.eu fjerner den analyse-relaterede grund til et banner, men det gør ikke automatisk hele dit site samtykke-frit. Du har stadig brug for et cookie-samtykkebanner, hvis dit site bruger noget af følgende:
- Google Analytics (GA4) på klientsiden via
gtag.js. GA4 sætter_gaog relaterede cookies uanset consent mode. Consent mode v2 styrer kun, om disse cookies bærer identifikatorer — det får dem ikke til at forsvinde. - Google Tag Manager når det indlæses uden betingelser. GTM sætter selv en cookie og indlæser vilkårlig tredjeparts-kode.
- Meta Pixel, TikTok Pixel, LinkedIn Insight Tag — alle sætter annoncecookies og kræver eksplicit samtykke.
- Hotjar, Microsoft Clarity, Mouseflow, FullStory — session replay- og heatmap-værktøjer, der lagrer session-identifikatorer og optager brugerinteraktion.
- YouTube- eller Vimeo-embeds i standard (ikke-privatlivs-)tilstand. Brug
youtube-nocookie.comeller en click-to-load-placeholder for at undgå at sætte cookies, indtil brugeren interagerer. - Intercom, Drift, Crisp, HubSpot chat og lignende kundebesked-widgets, der bevarer en session-cookie eller localStorage-post.
- A/B-testværktøjer som Optimizely eller VWO, der lagrer variant-tildelinger i cookies eller localStorage.
- Cloudflare Bot Management, reCAPTCHA v3 i standardkonfigurationen — begge sætter vedvarende identifikatorer.
Gennemgå dit site ærligt. Åbn DevTools, kig på Application-fanen, og list alle cookies, localStorage-poster og IndexedDB-databaser, der er sat, før brugeren har interageret med nogen samtykke-UI. Alt ikke-essentielt der skal væk — eller kræver samtykke.
6. Sammenligning: hvad hvert analyseværktøj lagrer på den besøgendes enhed
| Værktøj | Cookies | localStorage | Enheds-fingerprinting | Samtykkebanner nødvendigt |
|---|---|---|---|---|
| Web-Tracking.eu | Nej | Nej | Nej | Nej (til analyse) |
| Google Analytics 4 (gtag.js) | Ja (_ga, _ga_*) | Nej | Nej (men bruger cookies) | Ja |
| Plausible | Nej | Nej (siden 2024) | Nej | Nej (til analyse) |
| Fathom Lite / Fathom | Nej | Nej | Nej | Nej (til analyse) |
| Matomo (standard) | Ja (_pk_id, _pk_ses) | Nej | Nej | Ja, medmindre cookiefri tilstand er aktiveret |
| Matomo (cookiefri tilstand) | Nej | Nej | Bruger config_id-fingeraftryk | Diskutabelt — konfigurationsafhængigt |
| Pirsch | Nej | Nej | Nej | Nej (til analyse) |
| Simple Analytics | Nej | Nej | Nej | Nej (til analyse) |
Cookiefri analyse er ikke længere eksotisk. Flere leverandører — herunder os — er konvergeret om samme arkitektur: beregn en kortvarig identifikator på serversiden ud fra request-metadata, kast de rå input væk med det samme, rør aldrig enheden. Det der adskiller sig er detaljerne i hash-skemaet, opbevaringsperioden, og om leverandøren derudover undgår at overføre data uden for EU.
7. GDPR-vinklen (adskilt fra ePrivacy)
Artikel 5, stk. 3 i ePrivacy-direktivet er kun den ene halvdel af analysen. Selv når der ikke kræves samtykke under ePrivacy, har enhver behandling af personoplysninger stadig brug for et retsgrundlag efter GDPR's Artikel 6. For analyse er dette grundlag typisk legitim interesse — Artikel 6, stk. 1, litra f — med en dokumenteret afvejningstest.
Web-Tracking.eu behandler den besøgendes IP-adresse og User-Agent-header kortvarigt for at beregne den daglige hash og kasserer dem derefter. Hash-outputtet indeholder ingen persondata i brugbar form: det kan ikke bruges til at re-identificere en specifik person, det roterer hver 24. time, og det er afgrænset til et enkelt site. Vores vurdering af legitim interesse (tilgængelig efter anmodning) konkluderer, at denne behandling er proportional og ikke tilsidesætter den registreredes rettigheder.
Vi hævder ikke, at der på intet tidspunkt behandles persondata — den rå IP-adresse eksisterer i hukommelsen i millisekunder. Vi hævder, at behandlingen er minimal, formålsbestemt og beskyttet af passende sikkerhedsforanstaltninger, og at de resulterende lagrede data ikke er persondata under nogen rimelig læsning af GDPR Artikel 4, stk. 1.
8. Kilder og yderligere læsning
- ePrivacy-direktivet 2002/58/EF (konsolideret tekst)
- CNIL-retningslinjer om cookies og andre trackere
- CNIL's liste over publikumsmålingsløsninger undtaget fra samtykkekravet
- Datenschutzkonferenz (DSK) Orientierungshilfen — Telemedien
- Datatilsynet
- Autoriteit Persoonsgegevens (hollandsk databeskyttelsesmyndighed)
- ICO-vejledning om PECR og cookies
- Artikel 29-gruppens Opinion 05/2014 om anonymiseringsteknikker
Juridisk ansvarsfraskrivelse
Denne side er en teknisk og juridisk forklaring af, hvordan Web-Tracking.eu fungerer, og hvordan den funktion interagerer med EU's databeskyttelseslovgivning. Det er ikke juridisk rådgivning. Hvis du er site-operatør, der implementerer analyse i en reguleret sektor eller en kompleks opsætning, bør du konsultere din egen advokat eller DPO. Vi leverer gerne vores vurdering af legitim interesse, databehandleraftale og teknisk dokumentation efter anmodning på privacy@web-tracking.eu.