Microsoft Advertising (Bing Ads) und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber Microsoft Advertising (ehemals Bing Ads) zur Conversion-Messung und Audience-Tracking ein, verarbeitet er Nutzer- und Interaktionsdaten zum Zweck der Werbekampagnen-Messung und des Zielgruppen-Targetings auf Basis von Einwilligung und/oder berechtigten Interessen. Im Gegensatz zu Meta Pixel oder LinkedIn Insight Tag fungiert Microsoft Advertising als Auftragsverarbeiter im Sinne von DSGVO Art. 28, nicht als Joint Controller. Der Webseitenbetreiber ist alleiniger Verantwortlicher. Dies vereinfacht die rechtliche Struktur, legt aber neue Anforderungen an die Datenschutzerklärung und den Auftragsverarbeitungsvertrag (AVV) fest. Die vorliegende Anleitung erklärt Microsofts Rolle, die Datenverarbeitung und die Anforderungen an Transparenz und Compliance. Stand: 2026-04-22.

A. Zweck und Funktionsweise von Microsoft Advertising

Microsoft Advertising ist die Werbe- und Tracking-Plattform von Microsoft, die auf dem Bing-Suchmaschinen-Ökosystem und Microsoft-Partnerseiten basiert. Webseitenbetreiber können Microsoft Advertising nutzen, um:

1. Conversion-Tracking: Der UET-Tag (Universal Event Tracking) wird in die Website eingebettet und erfasst Conversion-Ereignisse (z.B. Produktkauf, Lead-Form-Ausfüllung, Download). Dies ermöglicht dem Webseitenbetreiber, die Performance von Microsoft-Ads-Kampagnen zu messen.

2. Audience-Erstellung und Remarketing: Microsoft erstellt aus den erfassten Website-Besucherdaten digitale Zielgruppen (Audiences), die für Remarketing-Kampagnen in Bing, Microsoft-Partner-Seiten (z.B. Yahoo), oder dem Microsoft Audience Network genutzt werden.

3. Demographic und Interest Targeting: Auf Basis der erfassten Daten und Microsofts User-Profiling erstellt Microsoft Zielgruppen nach demografischen Merkmalen (Alter, Geschlecht, Einkommen) und Interessen, um Anzeigen präzise auszusteuern.

Integrationen: Microsoft Advertising kann mit Google Tag Manager und anderen Tag-Management-Systemen integriert werden (UET-Tag im GTM-Code, Event-Tracking via API).

Unterschied zu Facebook/LinkedIn: Im Gegensatz zu Meta Pixel und LinkedIn Insight Tag ist Microsoft Advertising eine reine Auftragsverarbeiter-Lösung. Microsoft verarbeitet Daten im Auftrag des Webseitenbetreibers, nicht als eigenständiger Verantwortlicher. Dies ist rechtlich klarer geregelt und erfordert einen formalen Auftragsverarbeitungsvertrag (AVV).

B. Pflichtangaben in der Datenschutzerklärung zu Microsoft Advertising

Nach DSGVO Art. 13 Abs. 1 und Art. 14 müssen Webseitenbetreiber bei Einsatz von Microsoft Advertising folgende Angaben machen:

• Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c)
• Rechtsgrundlagen (Art. 13 Abs. 1 lit. d)
• Berechtigte Interessen, sofern diese Grundlage ist (Art. 13 Abs. 1 lit. d)
• Kategorien von Empfängern (Art. 13 Abs. 1 lit. e) – hier: Microsoft Ireland Operations Limited als Auftragsverarbeiter
• Drittlandtransfers und Schutzgarantien (Art. 13 Abs. 1 lit. f)
• Speicherdauer oder Kriterien zur Bestimmung (Art. 13 Abs. 2 lit. a)

Ein zentrales Element ist die klare Benennung Microsofts als Auftragsverarbeiter. Dies unterscheidet sich grundlegend von Joint-Controller-Szenarien: Der Webseitenbetreiber trägt die volle datenschutzrechtliche Verantwortung.

Besserer Ansatz: Ein zentral erklärtes Kapitel zu Zwecken und Rechtsgrundlagen, eine Empfängertabelle, die Microsoft als Auftragsverarbeiter ausweist, und ein Hinweis auf die Verfügbarkeit des AVV.

C. Anbieter von Microsoft Advertising: Microsoft Ireland Operations Limited

Juridische Basis:

• Vollständiger Name: Microsoft Ireland Operations Limited
• Anschrift: One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland
• Sitzland: Irland (Europäischer Wirtschaftsraum)
• Mutterkonzern: Microsoft Corporation (USA)
• Rolle: Auftragsverarbeiter (Data Processor) im Sinne von DSGVO Art. 28, nicht Verantwortlicher

Data Privacy Framework (DPF): Microsoft Corporation ist DPF-zertifiziert. Dies bedeutet, dass Datenübermittlungen von der EU in die USA auf Basis eines Angemessenheitsbeschlusses (Art. 45 DSGVO) zulässig sind, sofern der Datenempfänger tatsächlich DPF-zertifiziert ist. Dies ist vom Webseitenbetreiber zu überprüfen.

Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement

Auftragsverarbeitungsvertrag (AVV/DPA): Microsoft stellt einen Standard-Auftragsverarbeitungsvertrag zur Verfügung. Dieser ist in der Regel in den Microsoft-Ads-Kontoeinstellungen oder über ein Anfrage-Formular abrufbar. Der AVV regelt die technischen und organisatorischen Maßnahmen Microsofts als Auftragsverarbeiter und ist eine Pflicht-Voraussetzung für die DSGVO-konforme Nutzung.

URL zum AVV: Der genaue Link ist vom Webseitenbetreiber zu überprüfen (typischerweise unter https://about.ads.microsoft.com/resources/ oder direkt im Account Dashboard).

D. Datenverarbeitung durch Microsoft Advertising – Ablauf

E. Erhobene Daten beim Einsatz von Microsoft Advertising

Microsoft Advertising erfasst Website- und Besucher-Daten:

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, HTTP-Header, Request-Timestamp, User-Agent (Browser, Betriebssystem, Gerätetyp), geografische Lokalisierung (auf IP-Basis)
• Klickpfade: Besuchte Website-Seiten, Referrer-URLs, angeklickte Links und Buttons, Scroll-Verhalten, Verweilzeiten auf einzelnen Seiten
• Endgeräte-Daten: Gerätetyp (Desktop, Tablet, Mobile), Bildschirmauflösung, Betriebssystem-Version, Netzwerk-Typ (WiFi, Mobilfunk), Hardware-Merkmale
• Browserinformationen: Browsername, Browserversion, Cookies (UET-Cookie, Third-Party-Cookies), LocalStorage, Tracking-IDs (z.B. MSIDA für Microsoft Identity)
• Conversion-Ereignisse: Produktkauf, Lead-Form-Ausfüllung, Anmeldung, Download, Videoansicht, Warenkorb-Addition mit zugehörigen Metadaten (Produktname, Preis, Kategorie, Order-Wert)
• Profil-Daten: (Bei datengestütztem Targeting) Gehashte oder anonymisierte Kundendaten aus CRM-Systemen (E-Mail, Telefon, Name, Kundensegment), wenn vom Webseitenbetreiber hochgeladen
• Tracking-Identifizierer: Microsoft UET-Cookie, Nutzer-IDs, Werbe-IDs (z.B. GAID für Android, IDFA für iOS), gehashte E-Mail-Adressen

F. Nutzungszwecke beim Einsatz von Microsoft Advertising

Microsoft gibt an, dass Advertising-Daten zu folgenden Zwecken verarbeitet werden:

• Conversion-Tracking: Messung und Attribution von Conversions zu bestimmten Ads oder Keywords
• Campaign-Performance-Reporting: Bereitstellung von detaillierten Kampagnen-Auswertungen für den Webseitenbetreiber
• Audience-Erstellung und Verwaltung: Segmentierung von Website-Besuchern für Remarketing und Zielgruppen-Targeting
• Algorithmen-Optimierung: Verbesserung der Machine-Learning-Modelle für besseres Bid-Management und Zielgruppen-Matching
• Attribution-Modellierung: Mehrkanal-Attribution, um zu verstehen, welche Touchpoints zu Conversions führen
• Sicherheit und Missbrauchserkennung: Identifikation verdächtiger Aktivitäten und Betrugsprävention
• Ggf. Microsoft-interne Geschäftszwecke: Abhängig von der AVV-Konfiguration; normalerweise nur mit expliziter Zustimmung

G. Rechtsgrundlagen für Microsoft Advertising

Rechtsgrundlage hängt vom Nutzungszweck ab:

1. Conversion-Tracking und Remarketing (Marketing-Tags): Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG ist typischerweise erforderlich. Der Nutzer muss explizit einwilligen, dass Tracking-Tags sein Verhalten erfassen und Daten an Microsoft übermittelt werden.

2. Funktional erforderliche Nutzung (z.B. Conversion-Attribution für eigene Optimierung): Berechtigte Interessen des Webseitenbetreibers (Art. 6 Abs. 1 lit. f DSGVO) können unter Umständen eine Grundlage sein: Optimierung der eigenen Website-Performance, Kampagnen-Erfolgsanalyse. Dies erfordert eine Interessensabwägung und ist im Einzelfall zu prüfen.

3. Datenübermittlung in die USA: Bei DPF-Zertifizierung: Art. 45 DSGVO (Angemessenheitsbeschluss). Ohne DPF: Art. 46 DSGVO (Standard Contractual Clauses) oder andere geeignete Garantien.

Praktischer Ansatz: Der sicherste Weg ist die Einstufung als Marketing-Tag, das eine explizite Einwilligung erfordert. Dies vermeidet komplexe Interessensabwägungen und ist transparent für Nutzer.

H. Besonderheiten und Hinweise zu Microsoft Advertising

1. Auftragsverarbeiter-Status ist klar Anders als Meta Pixel oder LinkedIn Insight Tag ist Microsoft Advertising eine klare Auftragsverarbeiter-Konstellation. Microsoft verarbeitet Daten im Auftrag des Webseitenbetreibers. Dies vereinfacht die rechtliche Struktur und legt weniger komplexe Anforderungen an die Datenschutzerklärung fest.

2. Auftragsverarbeitungsvertrag (AVV) ist Pflicht Ein formal unterzeichneter oder akzeptierter AVV ist eine zwingende Voraussetzung für die DSGVO-konforme Nutzung. Der Webseitenbetreiber muss diesen abrufen und aufbewahren. Der AVV sollte in der Datenschutzerklärung erwähnt werden.

3. UET-Tag und Google Tag Manager Integration Das Microsoft-UET-Tag kann via Google Tag Manager geladen werden. Der Webseitenbetreiber sollte sicherstellen, dass das Tag erst NACH Einwilligung (z.B. via Cookie-Banner) geladen wird.

4. DPF-Zertifizierung Microsoft Corporation ist DPF-zertifiziert. Dies ermöglicht Datenübermittlungen in die USA auf Basis eines Angemessenheitsbeschlusses. Jedoch wird die regelmäßige Überprüfung des DPF-Status empfohlen, da dieser sich ändern kann.

5. Subprozessoren und deren Transparenz Der AVV sollte eine Liste genehmigter Subprozessoren enthalten. Der Webseitenbetreiber hat das Recht, von Subprozessoren-Änderungen informiert zu werden und dieser zu widersprechen (Opt-Out-Recht).

6. Datenübermittlung in die USA und DSFA Eine DSFA (Datenschutz-Folgenabschätzung) wird empfohlen, insbesondere bei großen Datenmengen oder sensitiven Daten. Die DSFA sollte die Transfermechanismen (DPF, SCCs) und Schutzmaßnahmen dokumentieren.

7. Opt-Out und Nutzer-Kontrolle Microsoft bietet Nutzern begrenzte Opt-Out-Möglichkeiten:

• Deaktivierung von Interest-Based Ads in den Kontoeinstellungen
• Nutzer können unter https://account.microsoft.com/privacy Werbe-Präferenzen verwalten
• Allerdings funktioniert eine vollständige Opt-Out nur durch Einwilligung (Einwilligung kann widerrufen werden)

I. FAQ zu Microsoft Advertising

J. Fazit und Empfehlung zu Microsoft Advertising

Microsoft Advertising ist eine spezialisierte Werbe-Plattform für Conversion-Tracking und Audience-Management, mit einer klaren Auftragsverarbeiter-Rolle. Dies ist datenschutzrechtlich transparenter als Joint-Controller-Szenarien wie Meta Pixel oder LinkedIn Insight Tag.

Der entscheidende Punkt ist die Verfügbarkeit und Verwendung eines formalen Auftragsverarbeitungsvertrags (AVV). Ohne AVV ist die Nutzung nicht DSGVO-konform. Der Webseitenbetreiber trägt die volle Verantwortung für die Einhaltung der Datenschutzanforderungen.

Eine Datenschutzerklärung für Microsoft Advertising muss nicht in einem separaten Absatz erfolgen, sondern kann integriert werden: mit klarer Nennung von Microsoft als Auftragsverarbeiter, Angabe der Zwecke, Rechtsgrundlagen und Speicherdauer, sowie einem Hinweis auf den vorhandenen AVV.