Snowplow Analytics — consent fix

Snowplow ist eine fortschrittliche (oftmals First-Party) Analytics-Plattform. Sobald das Skript geladen wird, setzt es Cookies wie sp (Sitzungs-ID) und _sp_id.* (Benutzer-ID, 2 Jahre gültig). Damit werden äußerst detaillierte Verhaltensdaten wie Seitenaufrufe, Klicks und Scrolltiefe erfasst. Da viele Unternehmen Snowplow auf einer eigenen Subdomain (z. B. sp.ihrewebsite.de) betreiben, wird dieser Tracker von Standard-Adblockern oft nicht erkannt. Es fällt jedoch uneingeschränkt unter analytische Cookies und erfordert daher vor der Aktivierung eine ausdrückliche Zustimmung.

Warum Snowplow zu früh geladen wird

Snowplow wird oft manuell im Quellcode installiert oder über den Google Tag Manager (GTM) als "Benutzerdefiniertes HTML" bereitgestellt. Da Snowplow oft als 'First-Party'-Datenquelle betrachtet wird, gehen Unternehmen fälschlicherweise davon aus, dass keine Einwilligung erforderlich ist. Dies ist falsch: Das Setzen von analytischen Cookies (sowie deren Auslesen) ist nach der DSGVO ohne Einwilligung nicht zulässig.

Die Lösung: Snowplow an die Einwilligung binden

Um zu verhindern, dass Snowplow Daten erfasst, bevor der Besucher geklickt hat, können Sie die Implementierung über den GTM anpassen, das native Plugin von Snowplow nutzen oder Ihre CMP strenger konfigurieren.

1. Einen Ausnahme-Trigger im GTM verwenden (Empfohlen)

Wenn Sie Snowplow über den GTM laden:

1. Öffnen Sie Ihr Snowplow Tag.
2. Scrollen Sie zum Abschnitt Trigger.
3. Klicken Sie auf Ausnahme hinzufügen.
4. Erstellen Sie einen neuen Trigger vom Typ Benutzerdefiniertes Ereignis.
5. Geben Sie als Ereignisname .* ein und aktivieren Sie Übereinstimmung mit regulärem Ausdruck verwenden.
6. Wählen Sie Einige benutzerdefinierte Ereignisse.
7. Legen Sie die Bedingung fest: Consent State — analytics_storage ist nicht gleich granted.
8. Speichern Sie den Trigger und veröffentlichen Sie.

2. Das Native Consent Plugin (Code)

Haben Sie Snowplow fest in Ihre Website codiert (hardcoded)? Nutzen Sie die offizielle Consent Tracking-Funktionalität von Snowplow. Stellen Sie sicher, dass Sie enableActivityTracking und die Initialisierung erst ausführen, nachdem Ihre spezifische Consent Management Platform (CMP) die Freigabe erteilt hat.

// Dies erst laden, NACHDEM Analytics-Cookies akzeptiert wurden
window.snowplow('enableActivityTracking');
window.snowplow('trackPageView');

3. Den Custom Collector in Ihrer CMP blockieren

Da Snowplow häufig Daten an eine eigene Subdomain (z. B. data.ihrunternehmen.com) sendet, erkennen CMPs wie Cookiebot oder CookieFirst diese Domain nicht automatisch als Tracker. Sie müssen diese Subdomain manuell zur Liste der zu blockierenden URLs (Kategorie: Statistiken) in den Einstellungen Ihrer CMP hinzufügen.

Überprüfung

Verwenden Sie den Network-Tab Ihres Browsers, um die Verbindung zu überprüfen.

1. Öffnen Sie Ihre Website in einem Inkognito-Fenster.
2. Ignorieren Sie den Cookie-Banner (klicken Sie nichts an).
3. Öffnen Sie die Entwicklertools (F12) und navigieren Sie zum Network-Tab.
4. Suchen Sie nach dem Namen Ihres Collector-Endpoints (oft etwas mit sp, collector oder dem Namen Ihrer Subdomain). Es darf kein Datenverkehr sichtbar sein.

Sind Sie unsicher, ob die Anpassung funktioniert hat, oder möchten Sie ausschließen, dass andere Skripte noch Daten leaken? Führen Sie einen kostenlosen Scan mit ConsentChecker.eu durch, um sofortige Gewissheit zu erhalten.

Quellen

• Tracking Consent (Snowplow Dokumentation)