ショッピングカート Cookie は同意が必要ですか？

技術的な基本

ショッピングカートCookieは、ユーザーがウェブショップのショッピングカートに商品を入れる際に使用されます。これは、サーバーまたはウェブショップによるセッションを越えたユーザーの識別を目的としています。

識別手段がない場合、ユーザーがショッピングカートに商品を入れた後、購入を完了する前にブラウザを閉じた場合、またはセッションが他の理由で終了した場合（例：ユーザーの長期にわたる非アクティブによるタイムアウト）、ウェブショップはショッピングカートをユーザーに関連付けることができなくなります。

したがって、サーバーまたはウェブショップは、ユーザーを識別する Cookie をユーザーの端末に保存します。これにより、ウェブショップは、ユーザーがウェブショップにアクセスした際に、Cookie を読み取ることで、ユーザーがまだ未決済のショッピングカートを持っているかどうかを判断し、データベースからショッピングカートの内容を再度呼び出すことができます。

ユーザーの端末にショッピングカート Cookie を保存し、後でサーバー/ウェブショップがショッピングカート Cookie を読み取ることで、ウェブショップはセッションの終了後もユーザーを識別し、ユーザーのショッピングカートの内容をユーザーに関連付けることができます。

技術的な必要性/同意

当然のことながら、ユーザーは機能するショッピングカートソリューションを期待しており、ショッピングカートの内容がブラウザを閉じるだけ、または長期間の非アクティブによって失われることはないと想定されます。電話をかけたり、他のショップで価格を比較したりしただけで、すべての商品を再度探す必要があることを好む人はいません。

したがって、ショッピングカート Cookie は、指令 2002/58/EC の第 5 条 (3) (またはオーストリアでは § 96 (3) TKG) に基づき、ユーザーが明示的に要求したサービスを提供するために不可欠な Cookie として分類されます。

したがって、ショッピングカート Cookie の保存および読み取りには同意は必要ありません。

処理プロセス「ショッピングカート」

ただし、ショッピングカート Cookie の設定は、独立した処理プロセスではなく、契約前の処理プロセス「ショッピングカート」の一部にすぎません。ショッピングカートは、ユーザーがショッピングカートに商品を入れるとトリガーされる契約前の処理プロセスです。したがって、処理プロセス「ショッピングカート」は、データ保護規則第 6 条 (1) (b) に基づき、関係者の要求に応じて行われる契約前の措置の実施に必要です。

したがって、契約前の処理プロセス「ショッピングカート」全体に同意は必要ありません。

法に準拠した実装

ここまでは順調です。いつものように、ショッピングカートの場合も、適切な実装が重要になります。

セッション Cookie

セッション Cookie、つまりブラウザウィンドウを閉じる際にセッションの最後に削除される Cookie は、完全に問題ありません。ショッピングカートの内容は、状況によってはデータベースにまだ存在する可能性がありますが、対応するショッピングカート Cookie がないため、ユーザーに関連付けることができなくなります。

ただし、セッション Cookie はショッピングカートソリューションには最適ではありません。顧客は多くの場合、ショッピングカートに商品を入れた後、さまざまな理由ですぐに購入しません。顧客が購入前に価格をさらに比較したり、検討したりするためにブラウザウィンドウを閉じた場合、セッション Cookie では、ページを再度呼び出すときにショッピングカートの内容がなくなります。

これは、購入完了率が大幅に低下するため、ショップ運営者にとっても最適ではありませんし、顧客にとっても、商品を再度探す必要があるため、意味がありません。

永続的な Cookie

したがって、ショッピングカートでは、セッションの終了後も存続する永続的な Cookie が使用されます。厳密に言えば、永続的なショッピングカート Cookie も期限切れになるため、永続的という用語は不正確です。Cookie がいつ期限切れになるかは、Cookie の Expiry 属性または Max-Age 属性によって決定されます。

法に準拠した有効期限

理論的には、ショッピングカート Cookie を 10 年後に期限切れになるように設計することもできます。ただし、これは意味のあるショッピングカートソリューションの目的を達成するためには技術的に必要ありません。なぜなら、それは長すぎるからです。10 年後に戻ってきて、「今日こそ買うぞ」と言う顧客はいません。したがって、そのような長い有効期限は、技術的な必要性がないため、顧客の同意がある場合にのみ許可されます。しかし、そのような長い有効期限はそもそも無意味であるため、同意を得ることはもちろん選択肢ではありません。

正しくは、ショッピングカート Cookie の有効期限を実際の顧客のニーズに合わせて調整する必要があります。これは、経験を利用したり、ウェブ統計から必要な情報を読み取ったりできる場合は簡単です。完璧な有効期限は、後で戻ってきて購入する顧客の大部分が、まだ完全なショッピングカートを見つけられるように設定されています。

7〜14 日はおそらく問題ありません。それより長い場合は、統計に基づいて十分に正当化できる必要があります。「以前、数週間後に戻ってきて購入した人がいた」のようなエキゾチックな例外は、有効期限の設定では考慮されません。