Cookies sind dafür nicht die beste Idee. Ein Cookie ist eine Textwurst, lässt sich also nur mit String-Operationen behandeln,

Web Storage speichert auch nur Text, der einzige Unterschied ist der einfachere Zugriff auf diesen Text. Hat er aber erstmal die Daten, die Artikelliste, egal ob aus einem Cookie oder aus einem Web-Storage-Schachtelchen, ist die weitere Verarbeitung gleich: Er würde seine Artikelliste mit Javascript so oder so als Zeichenkette à la "123,727,341,6767" speichern, mit String.split() zur Nutzung aufteilen und mit Array.join() zur Speicherung vorbereiten.

sie wird zwischen Client und Server ausgetauscht, verbraucht somit Bandbreite

Grundsätzlich richtig, aber du darfst die Kirche auch gerne im Dorf lassen, selbst wenn das Dorf nur mit 512-KBit-Spar-DSL versorgt ist. Am Ende präsentiert er seine Ware mit mehreren 150 KByte großen Bildern und Videos, meinst du nicht, dass ein 150 Byte großes Cookie da nur noch homöopathisch ins Gewicht fällt, selbst, wenn's mehrfach übertragen werden muss?

und ist in Länge und Lebensdauer beschränkt.

Beim Speichern von einem Dutzend Artikelnummern wird er kaum an die Längenbegrenzung von Cookies stoßen.

Dass die Lebensdauer von Cookies beschränkt werden kann, ist ein Vorteil. Web Storage bleibt dem Besucher bis in alle Ewigkeit an der Backe kleben, so er nicht manuell eingreift oder der Browser gnädigerweise von sich aus seit 20 Jahren unbenutzen Kram löscht.

Seinem Cookie könnte er eine sinnvolle Altersgrenze geben. Wenn ich einen Laden ein Jahr lang nicht mehr besuche, dann habe ich ziemlich sicher auch kein Interesse mehr an den Artikeln in der Merkliste.

Zudem ist auch die Anzahl der Cookies limitiert.

Für eine Merkliste braucht er auch nur einen Cookie - und so limitiert ist die Anzahl nun nicht.

und du musst für die Nutzung von Cookies um Erlaubnis bitten.

Das ist, so pauschal, falsch.

local-storage hat diese Nachteile nicht. Allerdings weiß ich nicht, ob man für die Verwendung von local-storage auch eine Erlaubnis brauchst

Das (vermeintliche) Problem bei Cookies ist, dass man darin eine eindeutige Kennung (Neudeutsch: ID) ablegen kann, mit der sich jeder Besucher auf Jahrzehnte hin wiedererkennen lässt.

Daraus folgt:
1. Wenn man keine eindeutige Kennung im Cookie ablegt, ist gegen die Cookieverwendung auch nichts einzuwenden. Der ursprüngliche Ansatz, die Artikelnummern im Cookie zu speichern, ist also vollkommen ok.

2. Jede andere Form der Speicherung von Daten auf dem Nutzerrechner ist genauso unzulässig, wenn sie zur Speicherung besagter Kennung benutzt wird.
Es ist doch offenkundig Jacke wie Hose, ob der Stempel, der jedem Besucher ungefragt auf die Stirn geballert wird, in einem Cookie landet, per Web Storage gespeichert wird oder, ganz perfide, als Cache-Objekt daherkommt.

Nochmal, kurz: Das Problem ist die Kennung, nicht der Keks.