Rechtsanwalt Peter Harlander ist seit über 20 Jahren auf IT-, Internet- und Marketingrecht spezialisiert

Sind Warenkorb-Cookies einwilligungspflichtig?

Technische Grundlagen

Warenkorb-Cookies kommen zum Einsatz, wenn der Nutzer Produkte in den Warenkorb des Webshops legt. Dies dient der Session-übergreifenden Identifikation des Nutzers durch den Server bzw. den Webshop.

Ohne Identifikationsmöglichkeit könnte der Webshop den Warenkorb dem Nutzer nicht mehr zuordnen, wenn der Nutzer nach dem Befüllen des Warenkorbs vor dem Kaufabschluss seinen Browser schließt oder wenn die Session aus anderen Gründen endet (z.B. Timeout aufgrund längerer Inaktivität des Nutzers).

Daher speichert der Server bzw. der Webshop am Endgerät des Nutzers ein Cookie, das den Nutzer identifiziert. So kann der Webshop, wenn ein Nutzer den Webshop aufruft, durch Auslesen des Cookies feststellen, ob der Nutzer bereits über einen nicht eingelösten Warenkorb verfügt und den Inhalt des Warenkorbs wieder aus der Datenbank aufrufen.

Durch das Speichern eines Warenkorb-Cookies am Endgerät des Nutzers und das spätere Auslesen des Warenkorb-Cookies durch den Server / den Webshop kann der Webshop den Nutzer also über das Ende einer Session hinweg identifizieren und dem Nutzer seinen Warenkorb-Inhalt zuordnen.

Technische Notwendigkeit / Einwilligung

Vernünftiger Weise ist davon auszugehen, dass sich der Nutzer eine funktionierende Warenkorb-Lösung erwartet, dass der Inhalt des Warenkorbs nicht bloß durch das Schließen des Browsers oder durch längere Inaktivität verloren geht. Wer hat schon Lust, nochmals alle Produkte zusammenzusuchen, nur weil zwischendurch ein Telefonat geführt oder ein Preisvergleich bei anderen Shops vorgenommen wurde?

Dementsprechend wären Warenkorb-Cookies gemäß Art. 5 (3) der Richtlinie 2002/58/EG (bzw. in Österreich § 96 (3) TKG) als Cookies einzustufen, die zur Bereitstellung eines vom Nutzer ausdrücklich gewünschten Dienstes unbedingt erforderlich sind.

Damit wäre für das Speichern und Auslesen von Warenkorb-Cookies keine Einwilligung erforderlich.

Verarbeitungsvorgang „Warenkorb“

Das Setzen des Warenkorb-Cookies ist jedoch kein eigenständiger Verarbeitungsvorgang, sondern nur ein Teil des vorvertraglichen Verarbeitungsvorgangs „Warenkorb“. Der Warenkorb ist ein vorvertraglicher Verarbeitungsvorgang, der ausgelöst wird, wenn ein Nutzer Produkte in den Warenkorb legt. Der Verarbeitungsvorgang „Warenkorb“ ist sohin gemäß Art. 6 Abs. 1 lit. b DSGVO erforderlich zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen.

Damit wäre für den gesamten vorvertraglichen Verarbeitungsvorgang „Warenkorb“ keine Einwilligung erforderlich.

Rechtskonforme Umsetzung

So weit, so gut. Wie so oft kommt es aber auch beim Warenkorb auf die richtige Implementierung an.

Session Cookies

Vollkommen unproblematisch wären Session-Cookies, also Cookies, die am Ende der Session beim Schließen des Browser-Fensters gelöscht werden. Der Warenkorbinhalt wäre dann zwar unter Umständen noch in der Datenbank vorhanden, könnte jedoch mangels korrespondierenden Warenkorb-Cookie keinem Nutzer mehr zugeordnet werden.

Session-Cookies sind aber für Warenkorblösungen nicht optimal. Kunden legen oft Produkte in den Warenkorb, kaufen aber aus unterschiedlichen Gründen nicht sofort. Schließt der Kunde aber das Browserfenster, um vor dem Kauf weitere Preisvergleiche anzustellen oder um noch etwas zu überlegen, dann wäre bei einem Session-Cookie der Warenkorbinhalt beim Wideraufruf der Seite weg.

Das ist weder für den Shopbetreiber optimal, weil das die Kaufabschlussrate deutlich senken würde, noch für die Kunden sinnvoll, weil diese ihre Produkte nochmals zusammenzusuchen müssten.

Permanente Cookies

Daher werden beim Warenkorb permanente Cookies verwendet, also Cookies, die das Ende der Session überdauern. Streng genommen ist die Bezeichnung permanent ungenau, weil auch permanente Warenkorb-Cookies ablaufen. Wann genau das Cookie abläuft, wird über das Expiry oder das Max-Age Attribut des Cookies festgelegt.

Rechtskonformes Ablaufdatum

Theoretisch könnte man also ein Warenkorb-Cookie so gestalten, dass dieses erst in 10 Jahren abläuft. Das wäre jedoch zur Erreichung des Zwecks einer sinnvollen Warenkorblösung technisch nicht notwendig, weil das viel zu lange ist. Kein Kunde kommt nach 10 Jahren zurück und sagt: „so heute kauf ich das“. Daher wäre so ein langes Ablaufdatum mangels technischer Notwendigkeit nur mit Einwilligung des Kunden zulässig. Nachdem so ein langes Ablaufdatum aber ohnehin sinnlos ist, ist die Einholung der Einwilligung natürlich keine Option.

Richtigerweise ist das Ablaufdatum des Warenkorb-Cookies an die tatsächlichen Kundenbedürfnisse anzupassen. Das ist einfach, wenn man auf Erfahrungen zurückgreifen bzw. die notwendigen Informationen aus der Webstatistik herauslesen kann. Das perfekte Ablaufdatum ist so gesetzt, dass der Großteil der Kunden, die später zurückkehren und kaufen, noch einen vollen Warenkorb vorfinden.

Unproblematisch sind wohl 7 bis 14 Tage. Alles was länger ist, sollte man anhand einer Statistik gut begründen können. Exotische Ausreißer a la „wir hatten da mal einen, der kam Wochen später wieder und kaufte“ sind bei der Festlegung des Ablaufdatums nicht zu berücksichtigen.

Keine Einwilligung notwendig

Ist das Ablaufdatum sinnvoll konfiguriert, gilt es als technisch notwendig, um die vom Kunden gewünschte Funktion eines Warenkorbs zur Verfügung zu stellen. Daher wird in diesem Fall keine Einwilligung des Kunden zur Speicherung und zum Auslesen des Cookies benötigt.

Informationspflicht

Davon unabhängig ist die Informationspflicht, die immer besteht. Die Warenkorb-Funktion ist daher trotzdem in die Datenschutzerklärung aufzunehmen.

Ihr Ansprechpartner

Rechtsanwalt Peter HarlanderRechtsanwalt
Peter Harlander

Salzburg +43 662 623323
Linz +43 732 210325
Wien +43 1 2535923

Kostenloses Erstgespräch