Is voor winkelwagen-cookies toestemming vereist?

Technische grondslagen

Winkelwagen-cookies worden gebruikt wanneer de gebruiker producten in de winkelwagen van de webshop plaatst. Dit dient voor de sessie-overkoepelende identificatie van de gebruiker door de server resp. de webshop.

Zonder identificatiemogelijkheid zou de webshop de winkelwagen niet meer aan de gebruiker kunnen toewijzen als de gebruiker na het vullen van de winkelwagen vóór de afronding van de aankoop zijn browser sluit of als de sessie om andere redenen eindigt (bijv. time-out vanwege langere inactiviteit van de gebruiker).

Daarom slaat de server resp. de webshop een cookie op het eindapparaat van de gebruiker op, dat de gebruiker identificeert. Zo kan de webshop, wanneer een gebruiker de webshop oproept, door het uitlezen van de cookie vaststellen of de gebruiker al over een niet-ingewisselde winkelwagen beschikt en de inhoud van de winkelwagen weer uit de database oproepen.

Door het opslaan van een winkelwagen-cookie op het eindapparaat van de gebruiker en het latere uitlezen van de winkelwagen-cookie door de server / de webshop kan de webshop de gebruiker dus over het einde van een sessie heen identificeren en de gebruiker zijn winkelwagen-inhoud toewijzen.

Technische noodzaak / toestemming

Redelijkerwijs mag worden aangenomen dat de gebruiker een functionerende winkelwagen-oplossing verwacht, dat de inhoud van de winkelwagen niet zomaar verloren gaat door het sluiten van de browser of door langere inactiviteit. Wie heeft er zin om nogmaals alle producten bij elkaar te zoeken, alleen omdat er tussendoor een telefoongesprek is gevoerd of een prijsvergelijking bij andere shops is gemaakt?

Dienovereenkomstig zouden winkelwagen-cookies overeenkomstig art. 5 lid 3 van Richtlijn 2002/58/EG (resp. in Oostenrijk § 96 lid 3 TKG) moeten worden ingedeeld als cookies die strikt noodzakelijk zijn voor het verlenen van een door de gebruiker uitdrukkelijk gewenste dienst.

Daarmee zou voor het opslaan en uitlezen van winkelwagen-cookies geen toestemming vereist zijn.

Verwerkingsproces “Winkelwagen”

Het plaatsen van de winkelwagen-cookie is echter geen zelfstandig verwerkingsproces, maar slechts een deel van het precontractuele verwerkingsproces “Winkelwagen”. De winkelwagen is een precontractueel verwerkingsproces dat wordt geactiveerd wanneer een gebruiker producten in de winkelwagen plaatst. Het verwerkingsproces “Winkelwagen” is dus overeenkomstig art. 6 lid 1 sub b AVG vereist voor de uitvoering van precontractuele maatregelen die op verzoek van de betrokkene plaatsvinden.

Daarmee zou voor het gehele precontractuele verwerkingsproces “Winkelwagen” geen toestemming vereist zijn.

Rechtsconforme implementatie

Tot zover, zo goed. Zoals zo vaak komt het echter ook bij de winkelwagen op de juiste implementatie aan.

Sessiecookies

Volkomen probleemloos zouden sessiecookies zijn, dus cookies die aan het einde van de sessie bij het sluiten van het browservenster worden verwijderd. De winkelwageninhoud zou dan weliswaar onder omstandigheden nog in de database aanwezig zijn, maar zou bij gebrek aan een corresponderende winkelwagen-cookie niet meer aan een gebruiker kunnen worden toegewezen.

Sessiecookies zijn echter voor winkelwagenoplossingen niet optimaal. Klanten plaatsen vaak producten in de winkelwagen, maar kopen om verschillende redenen niet meteen. Sluit de klant echter het browservenster om vóór de aankoop verdere prijsvergelijkingen te maken of om nog even na te denken, dan zou bij een sessiecookie de winkelwageninhoud bij het opnieuw oproepen van de pagina verdwenen zijn.

Dat is noch voor de shopbeheerder optimaal, omdat dat het aankoopafsluitpercentage duidelijk zou verlagen, noch voor de klanten zinvol, omdat deze hun producten nogmaals bij elkaar zouden moeten zoeken.

Permanente cookies

Daarom worden bij de winkelwagen permanente cookies gebruikt, dus cookies die het einde van de sessie overleven. Strikt genomen is de benaming permanent onnauwkeurig, omdat ook permanente winkelwagen-cookies verlopen. Wanneer precies de cookie verloopt, wordt vastgelegd via het Expiry- of het Max-Age-attribuut van de cookie.

Rechtsconforme vervaldatum

Theoretisch zou men dus een winkelwagen-cookie zo kunnen vormgeven dat deze pas over 10 jaar verloopt. Dat zou echter voor het bereiken van het doel van een zinvolle winkelwagenoplossing technisch niet noodzakelijk zijn, omdat dat veel te lang is. Geen klant komt na 10 jaar terug en zegt: „zo vandaag koop ik dat“. Daarom zou zo’n lange vervaldatum bij gebrek aan technische noodzaak alleen met toestemming van de klant toelaatbaar zijn. Aangezien zo’n lange vervaldatum echter sowieso zinloos is, is het verkrijgen van de toestemming natuurlijk geen optie.

Correct is om de vervaldatum van de winkelwagen-cookie aan de daadwerkelijke klantbehoeften aan te passen. Dat is eenvoudig als men op ervaringen kan terugvallen resp. de noodzakelijke informatie uit de webstatistieken kan halen. De perfecte vervaldatum is zo ingesteld dat het grootste deel van de klanten die later terugkeren en kopen, nog een volle winkelwagen aantreffen.

Probleemloos zijn waarschijnlijk 7 tot 14 dagen. Alles wat langer is, zou men aan de hand van een statistiek goed moeten kunnen onderbouwen. Exotische uitschieters a la „we hadden daar eens iemand, die kwam weken later weer en kocht“ hoeven bij de vaststelling van de vervaldatum niet te worden meegenomen.

Geen toestemming noodzakelijk

Is de vervaldatum zinvol geconfigureerd, dan geldt deze als technisch noodzakelijk om de door de klant gewenste functie van een winkelwagen ter beschikking te stellen. Daarom is in dit geval geen toestemming van de klant voor de opslag en het uitlezen van de cookie vereist.