For eksempel er der en stor, gul 'OK'-knap, mens 'nej til cookies' blot er skjult i et hyperlink i samme farve som boksen.

Erhvervsstyrelsens svar DR Viden har forelagt kritikken for Erhversstyrelsen. Styrelsen har svaret skriftligt: "Vi mener, at vores cookiebanner lever fuldt op til reguleringen. Der er ikke krav om, at selve cookie-banneret skal indeholde en specifik liste over de cookies, som installeres i brugerens browser. I cookievejledningen har vi beskrevet, hvordan informationen fx kan gives til brugeren gennem et cookie-banner, hvor brugeren præsenteres for de væsentligste informationer i selve banneret, og hvor der er indsat et link til mere detaljerede informationer. På Erhvervsstyrelsens hjemmeside skal brugeren trykke på ”OK” før der gemmes en statistik-cookie på brugerens pc eller telefon. Det er klart og tydeligt angivet i banneret, hvordan man kan afslå cookies. Samtidig er der i den uddybende tekst oplysninger om at cookies anvendes til statistikformål, herunder brugerundersøgelser. I øvrigt kan Erhvervsstyrelsen oplyse, at styrelsen er i gang med at skifte statistiksystem og vi vil i denne forbindelse fremover også oplyse om varigheden for vores statistik-cookies."

Og det er på kanten.

Midas Nouwens fra Aarhus Universitet er enig. Han henviser til de officielle vejledninger i andre europæiske lande.

- I vejledningerne fra britiske, franske, og nederlandske datatilsyn fastslås det, at mekanismer, der favoriserer 'ja' til cookies over 'nej' er ulovlige, fordi hjemmesiden på den måde påvirker brugerne til at give samtykke. Også hvis det gøres med opsætning og skriftstørrelse, forklarer han.

Fejl på alt for mange hjemmesider

Eksperterne understreger, at eksemplerne, som vi har kigget på i denne artikel, langt fra er enestående.

I en nylig undersøgelse af de 10.000 mest populære sider i Storbritannien konkluderede Midas Nouwens sammen med kollegaer fra Massachusetts Institute of Technology og University College London, at kun 11,8 procent af siderne overholdt centrale punkter i GDPR.

Planet49 Den tyske virksomhed Planet49 havde indhentet samtykke via et forhåndsafkrydset felt, som brugerne aktivt skulle klikke på for at undgå cookies. EU-Domstolen fastslog i afgørelsen i oktober 2019, at samtykke ikke er gyldigt, hvis det alene følger af et forudafkrydset felt. Det begrundede domstolen blandt andet med, at et samtykke alene er udtryk for en egentlig viljetilkendegivelse, når det afgives ved en aktiv handling. Samtykkekravet gælder, uanset om brug af de pågældende cookies indebærer behandling af personoplysninger. Kilde: Kammeradvokaterne

Den undersøgelse kan du læse mere om her. Og selv om undersøgelsen handler om hjemmesider i Storbritannien, er Midas Nouwens overbevist om, at noget lignende gør sig gældende for danske sider.

For dels er der et stort overlap mellem hvilke sider, danskere og briterne bruger (tænk bare på Google, Netflix, Facebook og Youtube).

Derudover oplever han ikke, at sider med dansk domænenavn umiddelbart har styr på GDPR-lovgivningen.

- Hvis jeg tager de 10.000 mest populære hjemmesider i Danmark, og kun kigger på dem, der slutter med.dk, får jeg en liste med kun 21 sites. Af dem overholdt ingen GDPR, vurderer Midas Nouwens efter at have gennemgået dem.

Af de 21 hjemmesider er halvdelen helt eller delvist finansieret af offentlige midler.

Cookie-bannere er bare et irritationsmoment

Grunden til, at du i første omgang møder cookiebannere på hjemmesider, skyldes persondataforordningen. Det er en EU-lovgivning, som danske hjemmesider er forpligtet til at overholde.

- Loven er lavet for at give folk et reelt og informeret valg om, hvorvidt de vil have de her cookies, der jo blandt andet samler data om dem, siger Ayo Næsborg-Andersen.

Men spørgsmålet er, hvorvidt lovgivningen har gjort meget mere end at give mange brugere et irritationsmoment i hverdagen.

For en undersøgelse fra Aalborg Universitet viser, at der rumsterer omtrent lige så mange cookies fra tredjepartskilder rundt i vores browsere i dag, sammenlignet med umiddelbart inden persondataforordningen blev vedtaget i 2018.

Hvad er GDPR? Persondataforordningen, ofte kaldt GDPR, er en EU-lov, der har til hensigt at styrke beskyttelsen af personoplysningen i EU. Forordningen trådte i kraft i maj 2018, og som EU-land er Danmark forpligtet til at følge den. Reglerne for cookies er dog primært beskrevet i EU-datadirektivet, men Søren Sandfeld Jakobsen fra CBS vurderer, at der er et tæt samspil mellem de to regelsæt i forhold til cookie-lovgivning.

Med andre ord: Loven ser ikke ud til at virke efter hensigten. Derimod ser det ud til, at hjemmesiderne med deres opbygning af cookiebannere har fundet en måde, hvorpå vi stadig i langt overvejende grad siger 'ja' til cookies.

Loven skal håndhæves for at virke

Men selv om hjemmesiderne gerne vil have os til at sige ja til cookies, og derfor forsøger at skubbe os i den retning, så kan de vel ikke bryde loven helt uden konsekvenser?

- Jeg tror, at meget ville have set anderledes ud i dag, hvis cookie-loven i højere grad var blevet håndhævet fra starten, siger Ayo Næsborg-Andersen.

For Danmarks vedkommende falder den kritik især på Erhvervsstyrelsen, der skal håndhæve området.

I en mail til DR skriver styrelsen, at de både af egen drift og på baggrund af henvendelser tager sager op.

DR har spurgt Erhvervstyrelsen, hvor mange konkrete sager, de har taget op på området, og hvilke ressourcer, der er afsat. Erhversstyrelsen svarer pr mail:

- I 2019 har vi behandlet cirka 2.200 henvendelser om mulige brud på e-privacy. Der har været en stigning i antallet af henvendelser på området, og Erhvervsstyrelsen har derfor tilpasset ressourceanvendelsen tilsvarende. Styrelsen har ikke en opgørelse over antallet af henvendelser specifikt vedrørende cookies.

'Erhvervsstyrelsen er ansvarlige for lovbrud'

Men ifølge Midas Nouwens er det ikke kun Erhvervsstyrelsens manglende håndhævelse af området, der er problematisk.

Erhvervsstyrelsen er ansvarlige for, at virksomheder bryder persondataloven og dermed eroderer danskernes privatliv. Midas Nouwens, Aarhus Universitet

Forskeren mener også, at den guide, som styrelsen har lavet som hjælp til hjemmesider, når de skal følge de gældende cookie-regler, er mangelfuld og i visse tilfælde misledende.

- Sammenligner man med, hvilken information de engelske myndigheder giver, er det her yderst mangelfuldt. Og hvis det er sådan, de danske hjemmeside-ejere bliver rådgivet, er Erhvervsstyrelsen ansvarlige for, at virksomheder bryder persondataloven og dermed eroderer danskernes privatliv, siger han.

Styrelsen opdaterede, efter et mediepres, guiden i december 2019. Her kom blandt andet tilføjelser efter at en række domme i EU-retten, særligt Planet49, havde præciseret, hvordan GDPR skal fortolkes.

I et skriftligt svar til DR svarer således på kritikken: