Kræver cookie til indkøbskurv samtykke?

Tekniske grundlag

Cookie til indkøbskurv bruges, når brugeren lægger produkter i webshoppens indkøbskurv. Dette tjener til sessionsoverskridende identifikation af brugeren af serveren eller webshoppen.

Uden mulighed for identifikation kunne webshoppen ikke længere tildele indkøbskurven til brugeren, hvis brugeren lukker sin browser efter at have fyldt indkøbskurven, før købet er gennemført, eller hvis sessionen slutter af andre årsager (f.eks. timeout på grund af længere inaktivitet fra brugerens side).

Derfor gemmer serveren eller webshoppen en cookie på brugerens enhed, som identificerer brugeren. På denne måde kan webshoppen, når en bruger besøger webshoppen, ved at læse cookien afgøre, om brugeren allerede har en ikke-indløst indkøbskurv, og hente indholdet af indkøbskurven fra databasen igen.

Ved at gemme en cookie til indkøbskurv på brugerens enhed og den senere aflæsning af cookien til indkøbskurv af serveren/webshoppen kan webshoppen altså identificere brugeren på tværs af afslutningen af en session og tildele brugeren sit indkøbskurv-indhold.

Teknisk nødvendighed / Samtykke

Det er rimeligt at antage, at brugeren forventer en fungerende indkøbskurv-løsning, at indholdet af indkøbskurven ikke blot går tabt ved at lukke browseren eller ved længere inaktivitet. Hvem har lyst til at samle alle produkterne igen, bare fordi der var et telefonopkald eller en prissammenligning i andre butikker?

Følgelig ville cookie til indkøbskurv i henhold til artikel 5, stk. 3, i direktiv 2002/58/EF (henholdsvis i Østrig § 96, stk. 3, TKG) skulle klassificeres som cookies, der er strengt nødvendige for at levere en tjeneste, som brugeren udtrykkeligt har anmodet om.

Dermed ville der ikke være behov for samtykke til at gemme og læse cookie til indkøbskurv.

Behandlingsproces “Indkøbskurv”

Placeringen af cookien til indkøbskurv er dog ikke en selvstændig behandlingsproces, men kun en del af den førkontraktlige behandlingsproces “Indkøbskurv”. Indkøbskurven er en førkontraktlig behandlingsproces, der udløses, når en bruger lægger produkter i indkøbskurven. Behandlingsprocessen “Indkøbskurv” er således i henhold til artikel 6, stk. 1, litra b, i GDPR nødvendig for at gennemføre førkontraktlige foranstaltninger, der træffes på anmodning af den berørte person.

Dermed ville der ikke være behov for samtykke til hele den førkontraktlige behandlingsproces “Indkøbskurv”.

Retskonform implementering

Så langt, så godt. Som så ofte kommer det dog også ved indkøbskurven an på den rigtige implementering.

Session Cookies

Fuldstændig uproblematisk ville være session-cookies, altså cookies, der slettes ved afslutningen af sessionen, når browser-vinduet lukkes. Indkøbskurv-indholdet ville så under omstændighederne stadig være til stede i databasen, men kunne dog på grund af manglende korresponderende cookie til indkøbskurv ikke længere tildeles en bruger.

Session-cookies er dog ikke optimale til indkøbskurv-løsninger. Kunder lægger ofte produkter i indkøbskurven, men køber ikke straks af forskellige årsager. Hvis kunden lukker browser-vinduet for at foretage yderligere prissammenligninger før købet eller for at overveje noget, ville indkøbskurv-indholdet være væk ved genopkald af siden med en session-cookie.

Det er hverken optimalt for butiksoperatøren, fordi det ville sænke købsafslutningsraten betydeligt, eller fornuftigt for kunderne, fordi de skulle samle deres produkter igen.

Permanente cookies

Derfor bruges der permanente cookies ved indkøbskurven, altså cookies, der overlever afslutningen af sessionen. Strengt taget er betegnelsen permanent unøjagtig, fordi også permanente cookie til indkøbskurv udløber. Hvornår cookien udløber præcist, fastlægges via Expiry eller Max-Age attributten af cookien.

Retskonform udløbsdato

Teoretisk set kunne man altså udforme en cookie til indkøbskurv således, at denne først udløber om 10 år. Det ville dog ikke være teknisk nødvendigt for at opnå formålet med en fornuftig indkøbskurv-løsning, fordi det er alt for lang tid. Ingen kunde kommer tilbage efter 10 år og siger: „så i dag køber jeg det“. Derfor ville en så lang udløbsdato kun være tilladt med kundens samtykke på grund af manglende teknisk nødvendighed. Eftersom en så lang udløbsdato alligevel er meningsløs, er indhentning af samtykke naturligvis ikke en mulighed.

Korrekt er det at tilpasse udløbsdatoen for cookien til indkøbskurv til de faktiske kundebehov. Det er nemt, hvis man kan trække på erfaringer eller læse de nødvendige oplysninger ud af webstatistikken. Den perfekte udløbsdato er sat således, at størstedelen af de kunder, der vender tilbage senere og køber, stadig finder en fuld indkøbskurv.

Uproblematisk er nok 7 til 14 dage. Alt hvad der er længere, bør man kunne begrunde godt ud fra en statistik. Eksotiske afvigelser a la „vi havde engang en, der kom tilbage uger senere og købte“ skal ikke tages i betragtning ved fastlæggelsen af udløbsdatoen.

Intet samtykke nødvendigt

Er udløbsdatoen konfigureret fornuftigt, gælder den som teknisk nødvendig, for at stille den af kunden ønskede funktion af en indkøbskurv til rådighed. Derfor er der i dette tilfælde ikke behov for kundens samtykke til lagring og aflæsning af cookien.