购物车 Cookie 是否需要同意？

技术基础

当用户将产品放入网上商店的购物车时，会使用购物车 Cookie。这用于通过服务器或网上商店跨会话识别用户。

如果没有识别的可能性，如果用户在填写购物车后、完成购买之前关闭浏览器，或者会话因其他原因结束（例如，由于用户长时间不活动而超时），则网上商店将无法再将购物车分配给用户。

因此，服务器或网上商店会在用户的终端设备上存储一个 Cookie，用于识别用户。这样，当用户访问网上商店时，网上商店可以通过读取 Cookie 来确定用户是否已经有一个未兑换的购物车，并从数据库中再次调用购物车的内容。

通过在用户的终端设备上存储购物车 Cookie 以及服务器/网上商店稍后读取购物车 Cookie，网上商店可以跨会话识别用户，并将用户的购物车内容分配给用户。

技术必要性/同意

可以合理地假设用户期望一个功能正常的购物车解决方案，并且购物车的内容不会仅仅因为关闭浏览器或长时间不活动而丢失。谁愿意仅仅因为中间接了个电话或在其他商店进行了价格比较而再次收集所有产品？

相应地，根据指令 2002/58/EC 第 5 (3) 条（或奥地利 TKG 第 96 (3) 条），购物车 Cookie 应被归类为绝对必要用于提供用户明确要求的服务的 Cookie。

因此，存储和读取购物车 Cookie 不需要同意。

处理过程“购物车”

但是，设置购物车 Cookie 不是一个独立的处理过程，而只是“购物车”这一合同前处理过程的一部分。购物车是一个合同前处理过程，当用户将产品放入购物车时触发。因此，根据 GDPR 第 6 条第 1 款 b 项，处理过程“购物车”是执行应数据主体请求而采取的合同前措施所必需的。

因此，整个合同前处理过程“购物车”不需要同意。

符合法律的实施

到目前为止，一切都很好。但与往常一样，购物车也取决于正确的实施。

会话 Cookie

完全没有问题的是会话 Cookie，即在会话结束时关闭浏览器窗口时删除的 Cookie。购物车内容可能仍然存在于数据库中，但由于缺少相应的购物车 Cookie，无法再分配给任何用户。

但是，会话 Cookie 对于购物车解决方案来说不是最佳的。客户经常将产品放入购物车，但由于各种原因不会立即购买。但是，如果客户关闭浏览器窗口以便在购买前进行进一步的价格比较或考虑一下，那么如果使用会话 Cookie，则在重新调用页面时购物车内容将消失。

这对于商店运营商来说不是最佳的，因为这会显着降低购买完成率，对于客户来说也没有意义，因为他们必须再次收集他们的产品。

永久 Cookie

因此，购物车使用永久 Cookie，即持续超过会话结束的 Cookie。严格来说，永久这个名称是不准确的，因为永久购物车 Cookie 也会过期。Cookie 何时过期由 Cookie 的 Expiry 或 Max-Age 属性决定。

符合法律的到期日

理论上，您可以设计一个购物车 Cookie，使其在 10 年后过期。但是，这在技术上对于实现有意义的购物车解决方案的目的来说不是必需的，因为这太长了。没有客户会在 10 年后回来并说：“所以今天我买了它”。因此，由于缺乏技术必要性，只有在客户同意的情况下才允许如此长的到期日。既然如此长的到期日无论如何都没有意义，那么获得同意当然不是一个选择。

正确的做法是将购物车 Cookie 的到期日调整为实际的客户需求。如果您可以依靠经验或从 Web 统计信息中读取必要的信息，这很简单。完美的到期日设置是，大多数稍后返回并购买的客户仍然会找到一个完整的购物车。

7 到 14 天可能是没有问题的。任何更长的时间都应该根据统计数据充分证明。在确定到期日时，不应考虑诸如“我们曾经有一个人在几周后回来并购买”之类的异国情调的异常值。