61 40 40 40
ac@arpecompany.dk
Kundeportal
Software
AI ✦
Videnscenter
Grønt ansvar
61 40 40 40 ac@arpecompany.dk
Cases Samarbejdsordninger ↳ Klippekort (Retainer) ↳ Fast samarbejde ↳ Projekt Services ↳ Komplette migreringer ↳ Integrationer ↳ Support ↳ Ad-hoc opgaver ↳ Interne værktøjer Om Referencer Kundeservice
Start en dialog →
Hjem/Indsigter/Nyhed
Nyhed 20. april 2026 · 8 min læsning

Cookie-banner krav i 2026: hvad siger loven, og hvad koster det at gøre det forkert?

Et cookie-banner er lovpligtigt — hvis du bruger ikke-essentielle cookies. Men langt de fleste bannere i Danmark overholder ikke kravene. Her er hvad loven siger, hvad der er forbudt, og hvad det kan koste.

De fleste danske hjemmesider har et cookie-banner. Langt de fleste overholder ikke kravene. Og en ny bølge af tilsyn fra Datatilsynet i 2026 gør det mere risikabelt end nogensinde at have det forkert — eller at mangle det helt.

Her er en faktabaseret gennemgang af hvad loven faktisk kræver, hvad der er forbudt, og hvad konsekvenserne kan være.

Ingen cookies = intet krav om banner

Bruger du udelukkende essentielle cookies (session, kurv, login, sikkerhed) eller ingen cookies overhovedet, er du ikke forpligtet til at vise et cookie-banner. Det er kun ved brugen af ikke-essentielle cookies — analytics, tracking, markedsføringspixels — at samtykke kræves.

En cookie er en lille tekstfil der gemmes på brugerens enhed, når de besøger en hjemmeside. Cookies bruges til alt fra at huske en indkøbskurv (essentielt) til at spore adfærd på tværs af hjemmesider (ikke-essentielt).

Loven skelner klart:

TypeEksemplerKræver samtykke
EssentielleSession, indkøbskurv, login, sikkerhedNej
FunktionelleSprogvalg, præferencerJa
Statistik/analyticsGoogle Analytics (_ga), HotjarJa
Marketing/trackingMeta Pixel, Google Ads, TikTok PixelJa

Cookies fra Google Analytics kræver forudgående samtykke. Det gælder selvom du bruger GA4 med IP-anonymisering — anonymisering fjerner ikke kravet om samtykke.

Hvornår kræves et banner?

Kravet om forudgående samtykke til cookies stammer fra ePrivacy-direktivet (cookiedirektivet), som er implementeret i dansk ret via telemarkedsføringsloven, og fra GDPR der stiller krav til kvaliteten af samtykket.

Grundreglen: Sættes der cookies der ikke er strengt nødvendige for sidens funktion, skal du indhente samtykke inden cookies placeres. Ikke efter. Ikke ved fortsat brug. Inden.

Krav til et lovligt banner

Et gyldigt samtykke ifølge GDPR (artikel 7) og Datatilsynets vejledning skal opfylde disse krav:

  • Frivilligt — brugeren skal kunne afvise cookies lige så let som at acceptere dem
  • Specifikt — samtykke til analytics er ikke samtykke til markedsføring; der skal være granulær kontrol
  • Informeret — brugeren skal forstå hvad de accepterer
  • Utvetydigt — kræver en aktiv handling; fortsat brug af siden er ikke samtykke
  • Trækbart — brugeren skal nemt kunne trække samtykket tilbage

Første lag af banneret skal altid indeholde en synlig mulighed for at afvise alle ikke-essentielle cookies — ikke blot en "Indstillinger"-knap der skjuler et afvisningsvalg.

Forbudte mønstre (dark patterns)

Datatilsynet og de europæiske databeskyttelsesmyndigheder (EDPB) har eksplicit forbudt det der kaldes "dark patterns" i cookie-bannere. Forbudte designs inkluderer:

  • En stor, farvet "Accepter alle"-knap kombineret med en grå eller lille "Afvis"-tekst
  • Forudvalgte kategorier (pre-ticked boxes) ved åbning af indstillinger
  • Kun "Accepter" og "Indstillinger" i første lag — afvisning skjult bag ekstra klik
  • Cookie walls (adgang til indhold betinget af accept) — generelt ikke tilladt
  • Villende forvirrende sprog ("Brug kun nødvendige" vs. "Tillad alle")
Tommelfingerregel

"Accepter" og "Afvis" skal have samme visuelle vægt — samme farve, samme størrelse, samme antal klik. Enhver designmæssig asymmetri der favoriserer accept over afvisning betragtes som et dark pattern.

Datatilsynet og bøder

I Danmark fører Datatilsynet tilsyn med GDPR og cookiedirektivet. En vigtig detalje i dansk ret: Datatilsynet kan ikke selv udstede administrative bøder. Sager sendes til politiet, og bøder fastsættes af domstolene.

Det betyder ikke at konsekvenserne er beskedne. GDPR-rammen er:

  • Op til 20 mio. EUR eller 4% af den globale årsomsætning — det højeste af de to
  • Datatilsynet kan udstede påbud og kræve dokumentation for lovlig behandling
  • Gentagne overtrædelser kan eskaleres til politianmeldelse

Reelle sager i Danmark: JP/Politiken/eb.dk fik i 2021 en irettesættelse for et banner-design der påvirkede brugervalget. GulogGratis blev i 2023 påbudt at dokumentere lovligt grundlag for statistisk behandling. Meta er i EU-regi blevet idømt 1,2 mia. EUR af den irske DPA.

Datatilsynet har i 2026 annonceret øget fokus på cookie-samtykke som et prioriteret tilsynsområde — og starter systematisk med de større websites.

Tjekliste — er dit banner lovligt?

  • Vises banneret inden nogen ikke-essentielle cookies placeres?
  • Er "Afvis alle" tilgængeligt i første lag — samme klik som "Accepter alle"?
  • Er accept- og afvisningsknapper visuelt ligeværdige (farve, størrelse)?
  • Kan brugeren give samtykke pr. kategori (analytics, marketing osv.)?
  • Er der ingen forudvalgte kategorier?
  • Kan brugeren nemt trække samtykket tilbage (fx via en "Cookieindstillinger"-knap i footer)?
  • Registreres og dokumenteres samtykket?

Kan du svare ja til alle punkter, er du godt på vej. Bruger du ingen ikke-essentielle cookies — og kan du dokumentere det — er du fritaget for kravet om et banner helt og aldeles.

Indholdet i dette indlæg formidles til orientering og udgør ikke juridisk rådgivning. Konsultér en juridisk rådgiver hvis du er i tvivl om din specifikke situation.

Nicolai Arpe
Nicolai Arpe
Founder & Shopify Partner — Arpe & Company ApS
Brug det i praksis

Klar til at omsætte det til handling?

Tag en uforpligtende snak om dit setup. Jeg gennemgår konkret hvad der giver mest mening for din forretning.

Start en dialog
Eller ring på 61 40 40 40