Mörka mönster i cookiesamtyckebanners har blivit en av de mest utbredda GDPR-överträdelserna på webben. Dessa designval — avsiktliga eller ej — manipulerar användare att acceptera spårning de annars hade avvisat. Europeiska dataskyddsmyndigheter har intagit en allt hårdare linje mot dessa metoder, och böter och tillsynsåtgärder har accelererat under hela 2025.
Det vanligaste mörka mönstret är den asymmetriska valsituationen: en stor, färgglad knapp för "Acceptera alla" parad med ett litet, grått eller dolt alternativ för att avvisa. EDPB:s riktlinjer om samtycke gör klart att detta inte uppfyller kravet på frivilligt samtycke. Franska CNIL bötfällde Google med 150 miljoner euro delvis för exakt detta mönster, och liknande tillsyn har följt runt om i EU.
Förkryssade samtyckesrutor förekommer fortfarande förvånansvärt ofta trots att de uttryckligen förbjudits av EU-domstolens Planet49-dom. Alla samtyckesmekanismer som som standard accepterar cookies — oavsett om det sker genom förkryssade rutor, förvald reglage eller underförstått samtycke genom fortsatt surfning — är juridiskt ogiltiga. Samtycke måste vara en aktiv handling.
Cookie-väggar som blockerar åtkomst till innehåll om inte cookies accepteras är ett annat problematiskt mönster. EDPB har visserligen inte utfärdat ett generellt förbud, men den rådande tolkningen hos de flesta dataskyddsmyndigheter är att samtycke som inhämtats via en cookie-vägg inte är frivilligt. Vissa myndigheter accepterar en "betala eller samtycka"-modell som alternativ, men det kräver ett genuint och rimligt betalalternativ — inte en skenlösning.
Manipulativt språk är ett subtilare men lika problematiskt mönster. Formuleringar som "Genom att fortsätta surfa accepterar du cookies" sammanblandar surfning med samtycke. Att formulera avvisning som "Jag bryr mig inte om min upplevelse" eller "Avvisa personanpassning" använder känslomässig manipulation för att avskräcka från att avvisa. Samtyckestexter måste vara tydliga, neutrala och informativa.
Upprepade samtyckesfrågor — att visa bannern igen efter att en användare har avvisat cookies, eller använda mellanliggande sidor som ber om samtycke på nytt — undergräver rätten att återkalla samtycke. När en användare har gjort sitt val måste det valet respekteras tills de aktivt ändrar det.
Vakteyes skanner upptäcker alla dessa mönster automatiskt. Vi analyserar utformningen och designen av samtyckesbanners, mäter hur framträdande varje knapp är, verifierar att avvisning faktiskt stoppar spårning och kontrollerar om cookies dyker upp igen efter avvisning. Våra resultat stöds av bevis — skärmdumpar, inspelningar av nätverkstrafik och jämförelser av cookies före och efter — som uppfyller en tillsynsmyndighets beviskrav.