Xandr und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber Xandr (Microsoft Advertising) ein, verarbeitet er Besucher- und Interaktionsdaten zum Zweck der programmatischen Werbung und des Audience-Building auf Basis von Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG. Diese Information beruht auf Angaben des Anbieters und öffentlich zugänglichen Quellen.

A. Zweck und Funktionsweise von Xandr

Xandr (ursprünglich AppNexus, seit 2023 als Microsoft Advertising bekannt) ist eine Supply-Side Platform (SSP) und Ad-Exchange-Plattform, die es Website-Betreibern, App-Publishern und Werbenetzwerken ermöglicht, digitale Werbeplätze und Zielgruppendaten zu verwalten und zu monetarisieren. Im Gegensatz zu The Trade Desk (DSP, Käuferseite) konzentriert sich Xandr auf die Anbieterseite – Publishern wird damit ein Marktplatz geboten, auf dem Werbetreibende Plätze buchen können.

Webseitenbetreiber (Publisher) integrieren einen Xandr-Tag oder Code-Schnipsel in ihre Website. Wenn ein Besucher die Website lädt, erfasst Xandr Daten über diesen Besucher, speichert diese und macht sie für Werbetreibende bei der Auktion von Werbeplätzen verfügbar. Der Publisher erhält dadurch bessere Einnahmen aus seinen Werbeplatzierungen, da Werbetreibende gezielter und effizienter buchen können.

Technisch: Der Xandr-Tag ist ein asynchrones JavaScript-Code-Snippet, das beim Laden der Seite ausgeführt wird. Es setzt einen Cookie auf dem Gerät des Besuchers (meist unter der Domain „adnxs.com" oder ähnlich) und sendet eine Anfrage an Xandrs Server. In dieser Anfrage werden Kontext-Daten (z. B. aus anderen Cookies, Geo-IP) übermittelt. Xandr nutzt diese Daten zur Bidding-Vorbereitung.

B. Pflichtangaben in der Datenschutzerklärung zu Xandr

Die DSGVO verlangt von Webseitenbetreibern, folgende Punkte transparent zu erläutern:

• Verarbeitungszwecke (Art. 13 Abs. 1 lit. c): Warum werden Daten verarbeitet?
• Rechtsgrundlagen (Art. 13 Abs. 1 lit. c): Auf welcher rechtlichen Basis erfolgt die Verarbeitung?
• Berechtigte Interessen (Art. 13 Abs. 1 lit. d, falls relevant): Falls über berechtigte Interessen legitimiert, diese darlegungen
• Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e): An wen werden Daten weitergegeben?
• Drittlandtransfers (Art. 13 Abs. 1 lit. f): Werden Daten in Länder außerhalb der EU/des EWR übermittelt? Über welche Mechanismen?
• Speicherdauer (Art. 13 Abs. 2 lit. a): Wie lange werden Daten gespeichert?

Häufiger Fehler: Toolspezifische Textbausteine aus den Datenschutzerklärungen von Anbietern widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Ein themenorientierter Ansatz ist besser: Die Datenschutzerklärung sollte nach Verarbeitungszwecken strukturiert sein, nicht nach einzelnen Tools. In einer Empfängerliste können die eingesetzten Tools aufgeführt werden.

C. Anbieter von Xandr: Microsoft (Xandr Inc.)

Hinweis: Xandr wurde 2023 von Microsoft unter der Marke Microsoft Advertising konsolidiert. Für datenschutzrechtliche Fragen sollte die aktuelle Rechtsentität verifiziert werden.

D. Datenverarbeitung durch Xandr – Ablauf

E. Erhobene Daten beim Einsatz von Xandr

Xandr erfasst ein breites Spektrum an Besucherdaten:

• Eindeutige Cookie-ID oder Xandr-Identifier
• IP-Adresse
• Zeitstempel und Dauer des Seitenbesuchs
• URL der besuchten Seite und Referrer
• Gerätetyp und Betriebssystem
• Browsername, -version und Spracheneinstellung
• Bildschirmauflösung und Viewport-Größe
• Grobe Standortdaten (auf Basis IP)
• User-Agent und weitere technische Identifikatoren
• Externe Daten (z. B. aus Google Analytics, wenn weitergeleitet)

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit/Zeitzone, URL, Referrer, Browser/OS/Gerät, technische Metadaten
• Klickpfade: Besuchte Seiten inkl. Referrer, angeklickte Links/Schaltflächen mit Datum/Uhrzeit
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung/-größe, Ausrichtung, Touch-Unterstützung
• Browserinformationen: Browsername, Browserversion, installierte Erweiterungen
• Grobe Standortdaten: IP-basierter grober Standort auf Stadt-/Gemeindeebene
• Technische Telemetriedaten: Fehlerquoten, Ladezeiten, Datenverfügbarkeit
• Nutzerprofile: Interessenskategorisierungen, Segmentzuordnungen, Nutzungshistorien

F. Nutzungszwecke beim Einsatz von Xandr

Xandr verarbeitet Daten mit folgenden Zwecken:

• Funktionsbereitstellung: Ermöglichung des Werbeplatz-Auktionsmechanismus
• Allgemeines Marketing: Ausrichtung von Werbekampagnen, Erfolgsmessung und Optimierung
• Nutzerprofil-Erstellung: Segmentierung und Kategorisierung von Website-Besuchern
• Sicherheit und Missbrauchsschutz: Betrugserkennung, Validierung von Impressionen
• Allgemeine Produktverbesserung: Optimierung der Plattform auf Basis anonymisierter Auswertungen
• Nutzerindividuelles Marketing: Zielgruppengerichtete Werbeansprache über die Plattform

G. Rechtsgrundlagen für Xandr

Kategorie: Xandr ist ein Tracking-Tool für programmatische Werbung und Werbeplatz-Verwaltung (SSP/Ad Exchange).

Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG.

Der Webseitenbetreiber (Publisher) muss vor dem Laden des Xandr-Tags eine Einwilligung des Besuchers einholen. Diese Einwilligung muss:

• Spezifisch und informiert sein: Der Besucher sollte verstehen, dass Xandr seine Daten erfasst und zu Werbezwecken nutzt
• Vor der Verarbeitung eingeholt werden
• Dokumentiert werden (Nachweispflicht beim Betreiber)
• Granular strukturiert sein – idealerweise sollte Xandr oder zumindest die Kategorie „Werbung / Ad Tech" einzeln genehmigbar sein

Einwilligungsmechanismus: Ein Cookie-Banner oder Consent-Management-System (CMP) muss vor dem Laden von Xandr fragen, ob der Besucher dieser Datenverarbeitung zustimmt.

Hinweis: Im Einzelfall sollte die Rechtsgrundlage mit einem Juristen geprüft werden. Sonderregeln können für B2B-Websites gelten.

H. Besonderheiten und Hinweise zu Xandr

• Opt-Out-Möglichkeit: Besucher können sich von Xandr-Tracking unter https://www.xandr.com/privacy/ abmelden (Opt-Out-Link). Dies sollte in der Datenschutzerklärung erwähnt werden.
• Microsoft-Eigentum: Xandr wurde 2021 von AT&T an Microsoft verkauft und 2023 unter der Marke Microsoft Advertising konsolidiert. Dies kann Auswirkungen auf die Verarbeitung und Weitergabe von Daten haben.
• Rolle des Webseitenbetreibers: Der Webseitenbetreiber ist Verantwortlicher für die Erhebung der Einwilligung. Xandr handelt als eigenständiger Verantwortlicher, nicht als Auftragsverarbeiter.
• Keine Auftragsverarbeitung: Eine klassische AVV-Beziehung liegt nicht vor. Xandr ist Datenempfänger im Sinne von Art. 13 Abs. 1 lit. e DSGVO.
• Europäische Standorte: Xandr hat lokale Büros in Hamburg, Berlin, Amsterdam und Paris. Vom Betreiber zu verifizieren, ob Daten auch in der EU verarbeitet werden.
• Datenschutz-Bedenken: Xandr war Gegenstand von Datenschutz-Untersuchungen durch europäische Behörden. Der aktuelle Status sollte überprüft werden.

I. FAQ zu Xandr

J. Fazit und Empfehlung zu Xandr

Zusammenfassung: Xandr ist ein Tracking-Tool für programmatische Werbung auf der Anbieterseite. Es erfordert eine ausdrückliche, spezifische Einwilligung des Besuchers.

Warum Textbausteine problematisch sind: Die Datenschutzerklärung sollte nicht einfach die Privacy Policy von Xandr kopieren. Dies widerspricht Art. 12 Abs. 1 DSGVO. Besucher sollen verstehen, dass ihr Verhalten erfasst wird – nicht durch technische Fachjargon verwirrt werden.

Empfohlener Ansatz: Eine themenorientierte Datenschutzerklärung mit transparenter Erläuterung der Werbemonnetarisierung ist klarer und rechtssicherer. Die Erklärung sollte etwa unter „Werbeplatz-Verwaltung" erläutern, dass Besucherdaten erfasst und an Werbetreibende weitergegeben werden.