Leitfaden zur Cookie-Einwilligung für Pinterest Tag: GDPR und CCPA für den E-Commerce
Für E-Commerce-Marken ist Pinterest heimlich ein riesiger Traffic- und Conversion-Motor. Die visuelle Suche ist gereift, die Plattform treibt jetzt Kaufverhalten mit hoher Kaufabsicht an, und der Pinterest Tag — das kleine JavaScript-Snippet, das Seitenaufrufe, In-den-Warenkorb-Aktionen, Checkouts und Käufe zurück an Pinterest Ads meldet — ist eines der am häufigsten installierten Marketing-Tags in Online-Shops. Es ist auch eines der häufigsten aus Datenschutzsicht fehlerhaft konfigurierten. Pinterest Tag setzt First-Party-Cookies und leitet Verhaltensdaten in dem Moment an Pinterest weiter, in dem es geladen wird. Das bedeutet: In jeder Rechtsordnung mit Anforderungen an eine vorherige Einwilligung — EU, UK, EEA-Mitgliedstaaten, Brasilien unter der LGPD und zunehmend Kalifornien unter der CPRA — ist der Betrieb ohne echtes Einwilligungssignal ein Compliance-Verstoß, kein Konfigurationsfehler. Dieser Leitfaden erklärt, was der Pinterest Tag tatsächlich tut, wie er mit einem Drittanbieter-CMP integriert wird und was zur serverseitigen Conversions API als Teilalternative zu wissen ist.
Was Pinterest Tag verfolgt
Pinterest Tag wird von s.pinimg.com/ct/core.js geladen und identifiziert Nutzer über ein Pinterest-spezifisches Cookie namens _pinterest_ct_ua sowie das plattformeigene Cookie _pin_unauth für nicht authentifizierte Besucher. Einmal vorhanden, meldet es automatisch ein Basis-PageVisit-Ereignis und akzeptiert anschließend einen Strom weiterer Ereignisaufrufe für AddToCart, Checkout, Purchase, Lead, Signup, WatchVideo und benutzerdefinierte Ereignisse. Jedes Ereignis trägt eine JSON-Payload, die Produkt-IDs, Bestellwerte, Währung und Inhaltskategorien enthalten kann — genau jene Art von Payload, die in Kombination mit dem Cookie-Bezeichner es Pinterest ermöglicht, Conversions bestimmten Pin-Impressionen und Anzeigenklicks zuzuschreiben.
Aus regulatorischer Sicht sind drei Dinge wichtig. Erstens sind die Cookies nicht wesentlich — sie existieren für die Anzeigenzuordnung, nicht für die Website-Funktion. Zweitens sind die die Seite verlassenden Daten personenbezogene Daten nach der DSGVO, da sie mit einem Bezeichner verknüpft werden können. Drittens ist Pinterest in den USA niedergelassen, was bedeutet, dass der Transfer dem EU-US Data Privacy Framework und den darunter liegenden Standardvertragsklauseln unterliegt. Alle drei Bedingungen verorten Pinterest Tag fest im Bereich erfordert vorherige, frei erteilte Einwilligung in der EU und im UK.
Pinterests native Datenschutzkontrollen versus ein Drittanbieter-CMP
Pinterest bietet einige native Datenschutzkontrollen. Das Advertiser-Dashboard hat einen Limited Data Processing-Schalter für kalifornischen Traffic, das Tag akzeptiert eine consent-Eigenschaft bei einzelnen Ereignisaufrufen, und Pinterest dokumentiert einen Server-Side Tagging-Pfad über die Conversions API. Keines davon entspricht einem funktionierenden Einwilligungsbanner. Die nativen Kontrollen setzen voraus, dass eine Einwilligung irgendwo vorgelagert gesammelt wurde und als Signal weitergegeben wird — sie sammeln selbst keine Einwilligung und blockieren das Tag nicht, wenn keine Einwilligung vorliegt. Für jeden Herausgeber, der in mehreren Rechtsordnungen tätig ist, ist die realistische Architektur ein Drittanbieter-CMP, das entscheidet, ob das Tag überhaupt geladen werden darf.
Schritt-für-Schritt-Integration mit einem Drittanbieter-CMP
Das zuverlässige Integrationsmuster ist identisch mit anderen großen Pixeln: Verhindern Sie, dass das Tag beim Seitenladen ausgelöst wird, übergeben Sie die Kontrolle an das CMP und lassen Sie das CMP das Tag laden und konfigurieren, wenn der Besucher die Marketing-Kategorie akzeptiert.
1. Entfernen Sie den eingebetteten Basiscode
Pinterest stellt ein Basiscode-Snippet bereit, das Installer typischerweise in den Dokumenten-Head einfügen. Entfernen Sie es. Ersetzen Sie es durch einen Platzhalter, den Ihr CMP später überschreiben kann — die meisten CMPs tun dies, indem sie das type-Attribut von text/plain auf text/javascript ändern und ein data-category="marketing"-Attribut hinzufügen.
2. Ordnen Sie das Tag der Marketing-Kategorie zu
Pinterests Tag berührt sowohl analyseähnliche Ereignisse (PageVisit) als auch reine Werbeereignisse (Purchase, AddToCart). Zur Audit-Absicherung sollte das gesamte Snippet unter der Marketing-Kategorie liegen, nicht der Analyse-Kategorie. Die konservative Auslegung der EDPB-Leitlinien behandelt jeden Pixel, der eine Werbeplattform speist, unabhängig vom Ereignistyp als Marketing.
3. Konfigurieren Sie den Load-Callback
Wenn der Besucher eine Marketing-Einwilligung erteilt, löst das CMP ein Ereignis aus. In diesem Handler schreiben Sie den Tag-Platzhalter zurück auf text/javascript, hängen es an das Dokument an und lassen es ausführen. Der Basiscode initialisiert eine globale pintrk-Warteschlange und lädt dann das Core-Skript. Nach dem Laden des Skripts werden alle in der Warteschlange befindlichen Ereignisse von der Seite automatisch geleert.
4. Leiten Sie die Einwilligung pro Ereignis für Limited Data Processing weiter
Wenn Sie kalifornischen Traffic haben und den Limited Data Processing-Pfad von Pinterest für Nutzer nutzen möchten, die nicht eingewilligt haben, senden Sie bei jedem Ereignisaufruf die entsprechenden data_processing_options. Pinterest akzeptiert einen Wert wie ["LDU"] mit Länder- und Regionscodes, um das Ereignis als eingeschränkte Nutzung zu kennzeichnen. Dies ist kein Ersatz für Einwilligung in der EU — es ist ein CCPA-spezifischer Mechanismus.
5. Bridge zu Consent Mode v2, wenn Sie Google-Tags parallel betreiben
Ihr CMP muss die v2-Signale — ad_storage, analytics_storage, ad_user_data, ad_personalization — in den dataLayer pushen, bevor ein Google-Tag ausgelöst wird. Pinterest konsumiert diese Signale nicht nativ, Google jedoch schon.
Conversions API als serverseitige Alternative
Pinterests Conversions API ermöglicht es Ihnen, Conversion-Ereignisse direkt von Ihrem Server an Pinterest zu senden und den Browser vollständig zu umgehen. Dies ist aus zwei Gründen zunehmend attraktiv: Es überlebt die Abkehr von Drittanbieter-Cookies und umgeht einen Teil der Einwilligungsfragilität des browserseitigen Tags.
Die Conversions API beseitigt die Einwilligungsanforderung nicht. Die von Ihnen gesendeten Ereignisse tragen weiterhin personenbezogene Daten, und die DSGVO gilt auf die gleiche Weise. Was sie tut, ist, den Entscheidungspunkt von hat sich das Tag vor der Einwilligung ausgelöst zu hat unser Server dieses Ereignis in die API-Payload aufgenommen zu verlagern. Für die meisten Shops ist das richtige Muster, beides zu betreiben: den Browser-Tag für Echtzeit-Attribution, die Conversions API für deduplizierte, serverseitige Ereignisse.
Häufige Fehler
Drei Integrationsfehler verursachen die meisten Probleme, die wir beim Auditing von Pinterest-Installationen sehen.
PageVisit als Analyse behandeln
Einige Teams platzieren Purchase und AddToCart hinter der Marketing-Einwilligung, erlauben PageVisit aber unter der Analyse-Kategorie mit der Begründung, ein Seitenaufruf sei nur Analyse. Pinterest sieht das anders — PageVisit speist den Retargeting-Audience-Builder, was eindeutig eine Marketing-Funktion ist. Sperren Sie das gesamte Tag.
Pinterests Basiscode hart im Tag-Manager ohne Einwilligungsschutz kodieren
Wenn Sie das Tag über Google Tag Manager installieren, muss die Pinterest-Tag-Vorlage das Feld Additional Consent gesetzt haben, um vor dem Auslösen eine Marketing-Einwilligung zu verlangen. Ohne dieses Flag löst GTM das Tag unabhängig vom CMP-Status des Besuchers aus.
Enhanced Match ohne vorherige Einwilligungsprüfung senden
Pinterest unterstützt Enhanced Match, das es Ihnen ermöglicht, identifizierbare Nutzerdaten (E-Mail, Telefon) zu hashen und zu übermitteln, um die Attribution zu verbessern. Enhanced Match für einen Nutzer zu senden, der keine Marketing-Einwilligung erteilt hat, ist das risikoreichste Muster in diesem Stack. Machen Sie Enhanced Match vom gleichen Einwilligungssignal abhängig wie den Rest des Tags.
Audit-Checkliste
Sechs konkrete Fragen für jedes Pinterest Tag-Deployment, das EU-, UK- oder kalifornischen Traffic berührt.
- Wartet das Tag auf Einwilligung? Öffnen Sie die Seite in einem privaten Fenster mit striktem Tracking-Schutz und bestätigen Sie, dass keine s.pinimg.com-Anfragen ausgelöst werden, bevor das Banner akzeptiert wird.
- Ist die Marketing-Kategorie korrekt zugeordnet? Überprüfen Sie, ob das CMP das Tag unter Marketing platziert, nicht unter Analyse oder Funktional.
- Respektiert GTM die Einwilligung? Wenn das Tag über Google Tag Manager installiert ist, bestätigen Sie, dass die Additional Consent-Einstellung konfiguriert ist.
- Wird Limited Data Processing für Kalifornien weitergeleitet? Bestätigen Sie für CCPA-Opt-outs, die noch Tracking unter LDP erlauben, dass data_processing_options bei jedem Ereignis vorhanden ist.
- Ist Enhanced Match bedingt? Bestätigen Sie, dass Enhanced Match-Payloads nur für Nutzer gesendet werden, die eine Marketing-Einwilligung erteilt haben.
- Spiegelt die Conversions API die Browser-Einwilligung wider? Bestätigen Sie, wenn beide Oberflächen betrieben werden, dass der serverseitige Pfad Ereignisse nach gespeichertem Einwilligungsstatus filtert, bevor sie weitergeleitet werden.
Wo Pinterest in einen einwilligungsorientierten Stack passt
Pinterest ist ein kleinerer Teil der Marketing-Pixel-Landschaft als Meta oder Google, aber die regulatorische Behandlung ist identisch. Halten Sie das Tag von der Seite fern, bis der Besucher Marketing akzeptiert, verwenden Sie das CMP als einzige Wahrheitsquelle für den Einwilligungsstatus und konfigurieren Sie die eigenen Datenschutz-Flags der Plattform (Limited Data Processing, Einwilligungsfelder der Conversions API) so, dass sie mit dem übereinstimmen, was das Banner aufgezeichnet hat. Marken, die das richtig machen, erhalten ihre Pinterest-Attribution aufrecht und reduzieren die Prüfungsexposition auf einen Bruchteil einer Standardinstallation.