Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

AppNexus

Was macht AppNexus?

AppNexus ist eine programmatische Werbeplattform mit Ad Exchange, SSP fuer Publisher und DSP fuer Werbetreibende. 2018 von AT&T uebernommen, mit Xandr fusioniert und 2022 an Microsoft verkauft, ist sie heute das technische Rueckgrat von Microsoft Advertising (Xandr). Sie nimmt am OpenRTB-Bid-Stream teil, setzt Werbe-IDs (anj, uuid2) und gleicht IDs mit Hunderten von Partnern ab. Der Einsatz auf EU-Traffic erfordert eine ausdrueckliche Einwilligung nach DSGVO, ePrivacy und TCF v2.2.

Was ist AppNexus

AppNexus ist ein 2007 gegruendeter Programmatic-Advertising-Technologiestack. 2018 von AT&T uebernommen, 2019 zu Xandr umbenannt und 2022 an Microsoft verkauft, bildet es heute das technische Rueckgrat von Microsoft Advertising: einen Ad Exchange (Xandr Monetize SSP), eine DSP (Xandr Invest) sowie Identitaets- und Audience-Services.

Auf Publisher-Websites wird AppNexus per Prebid-Wrapper oder direkt ueber ein JavaScript-Pixel von secure.adnxs.com geladen. Bid-Requests werden ueber OpenRTB in Echtzeit-Auktionen an Kaeufer geleitet.

Welche Daten verarbeitet AppNexus

Jeder Bid-Request enthaelt Nutzer-IP, User-Agent, Seiten-URL, Seiten-Metadaten, Werbeplatz-Informationen, grobe Geolokalisierung, die Werbe-ID (anj-Cookie, uuid2-Cookie oder Geraete-ID) und den TCF-v2.2-TC-String. Audience-Segment-IDs, Custom Data und authentifizierte Nutzer-IDs (UID 2.0) koennen je nach Konfiguration enthalten sein.

Cookies werden auf der Drittanbieter-Domain adnxs.com gesetzt: anj (Werbe-ID, ~3 Monate), uuid2 (Cross-Site-ID, ~3 Monate), uids (Cookie-Sync-State). Diese Cookies werden im AppNexus-Partnernetzwerk gemeinsam genutzt und ermoeglichen siteuebergreifendes Profiling.

DSGVO, ePrivacy und TCF v2.2

AppNexus ist in der IAB Europe TCF v2.2 Global Vendor List registriert. Publisher muessen einen gueltigen TC-String mit Zwecken 1 bis 4 und 7 bis 10 sowie den deklarierten Special Features uebertragen. Ohne Einwilligung darf AppNexus nicht geladen oder mit Bid-Requests beliefert werden.

Die belgische Datenschutzbehoerde entschied 2022, dass der TCF-Mechanismus selbst eine Verarbeitung personenbezogener Daten ist; IAB Europe veroeffentlichte daraufhin 2023 die Version v2.2. Compliance verlangt weiterhin sorgfaeltige Vendor-Auswahl und eine klare, granulare Consent-UX.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Datentransfers und Schrems II

AppNexus und Xandr sind Teil von Microsoft, einem US-Verantwortlichen. Bid-Request-Daten werden unter SCC und dem EU US Data Privacy Framework an Microsoft-Server in den USA uebertragen. Microsoft ist zertifizierter DPF-Teilnehmer, dies bietet eine teilweise Garantie, eine TIA bleibt fuer den Publisher dennoch erforderlich.

Weiterleitungen an Bid-Partner in der OpenRTB-Kette umfassen oft viele US-, UK- und EU-Empfaenger. Der Publisher bleibt verantwortlich, diese Kette in Datenschutzerklaerung und Verzeichnis von Verarbeitungstaetigkeiten zu dokumentieren.

DSFA und besondere Datenkategorien

Eine DSFA ist angesichts systematischer Ueberwachung, Massstab und Hochrisiko-Profiling erforderlich. Sie muss Segmentkategorisierung (Art. 9-Inhalte nur mit ausdruecklicher Einwilligung), den OpenRTB-Fan-Out, das Vendor-Listenmanagement und die Transferkette abdecken.

Juengste Massnahmen (CNIL-Entscheidung Criteo, ICO-Untersuchungen zu AdTech) zeigen, dass die Aufsichtsbehoerden die Programmatic-Kette aktiv pruefen und von Publishern Verantwortung fuer die nachgelagerten Praktiken erwarten.

Praktische Compliance-Checkliste

AppNexus (Xandr) in TCF-v2.2-CMP registrieren. Microsoft Online Services DPA unterzeichnen. adnxs.com-Aufrufe erst nach ausdruecklicher Einwilligung. Prebid-Konfiguration auf strikt notwendige Bidder reduzieren. AppNexus mit Zwecken, Laufzeiten und US-Transfer in der Datenschutzerklaerung darstellen.

Global-Privacy-Control-Signal handhaben, ad slot-spezifische Einwilligung in Prebid konfigurieren und DSFA jaehrlich pruefen. Auf sensiblen Inhalten AppNexus vollstaendig deaktivieren.

GDPR consent category

Marketing

Websites using AppNexus must obtain user consent under GDPR regulations.

Legal basisConsent (Art. 6(1)(a) GDPR) is required for advertising cookies, audience targeting and bid stream participation; legitimate interest is no longer defensible after CJEU C 252/21 for behavioural advertising

Risk levelhigh

Applicable regulationsGDPR, ePrivacy Directive, TTDSG (Germany), IAB Europe TCF v2.2, Digital Services Act, CCPA/CPRA

DPIA considerations

AppNexus, heute Teil von Microsoft Advertising, ist ein Hochrisikoverarbeiter in der programmatischen Werbekette. Wesentliche DSFA-Aspekte: (1) der OpenRTB-Bid-Request enthaelt Besucher-IP, User-Agent, Seiten-URL, Viewport, Geolokalisierung und vom Publisher geteilte Audience-Segmente; diese Daten werden in Echtzeit an Dutzende oder Hunderte Bieter broadcastet (Fan-Out-Problem aus den TCF-Beschwerden); (2) der anj-Cookie ist ein Drittanbieter-Werbe-Cookie, das siteuebergreifendes Tracking ermoeglicht; (3) Audience-Aktivierung kann besondere Inhalte (Art. 9 DSGVO) betreffen, was ohne ausdrueckliche Einwilligung untersagt ist; (4) US-Speicherung loest Schrems II aus; (5) die belgische DPA-Entscheidung gegen IAB Europe und CNIL-Verfahren zu Bid-Stream-Praktiken sind zu beachten; (6) automatisierte Bid-Entscheidungen koennen unter Art. 22 DSGVO fallen.

Sample consent text

Wir nutzen AppNexus (Xandr, Teil von Microsoft Advertising), um Werbung auf dieser Seite auszuspielen und zu messen. Mit Ihrer Einwilligung setzt AppNexus Werbe-Cookies auf Ihrem Geraet (anj, uuid2) und teilt Bid-Request-Daten ueber Echtzeit-Auktionen mit unseren Werbepartnern. Ein Teil dieser Daten wird unter SCC an Microsoft-Server in den USA uebertragen. Sie koennen Werbung in unserem Consent-Banner ablehnen.

Technical details

Tracking methodJavaScript pixel and OpenRTB server-to-server bid stream

Server locationUnited States (Microsoft Azure / AWS) and European Union edge nodes for bidding latency

Data transferred outside the EUAppNexus, now part of Microsoft Advertising (Xandr Inc.), processes bid stream data on global infrastructure with primary backends in the United States. EU bid traffic is partially terminated on European edge nodes for latency, but bid request payloads and audience data are typically transferred to US servers for storage and modelling. Transfers rely on EU US Standard Contractual Clauses and the EU US Data Privacy Framework certification of Microsoft Corporation.

Third-party domains contacted

adnxs.comsecure.adnxs.comib.adnxs.comxandr.comappnexus.com

Cookies placed

Name	Type	Duration	Purpose
anj	Marketing	3 months	Persistent advertising identifier set on the third party adnxs.com domain. Used to recognise visitors across the AppNexus network and to participate in real time advertising auctions.
uuid2	Marketing	3 months	Cross site visitor identifier used for audience matching, frequency capping, and bid stream participation.
uids	Marketing	3 months	Stores the state of cookie sync operations performed with other adtech vendors as part of cookie matching tables.
icu	Marketing	3 months	Used for impression and conversion tracking within the AppNexus / Xandr platform.
usersync	Marketing	3 months	Helper cookie used during the cookie matching handshake with partner SSPs and DSPs.

AppNexus setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt AppNexus?

AppNexus setzt Drittanbieter-Cookies auf adnxs.com, vor allem anj (Werbe-ID, ~3 Monate), uuid2 (siteuebergreifende ID, ~3 Monate) und uids (Cookie-Sync-Status mit anderen Adtech-Vendoren). Auf Mobile ist das Aequivalent die Geraete-Werbe-ID. Keiner ist unbedingt erforderlich, alle erfordern eine Einwilligung.

Ist eine Einwilligung erforderlich?

Ja in jedem EU-Deployment. AppNexus-Cookies und der OpenRTB-Bid-Request fallen unter Werbe-Profiling nach Art. 5(3) ePrivacy und §25 TTDSG. TCF v2.2 verlangt eine ausdrueckliche Einwilligung zu Zwecken 1 bis 4 und 7 bis 10. Das EuGH-Urteil C-252/21 bestaetigt, dass berechtigtes Interesse fuer Verhaltenswerbung nicht zur Verfuegung steht.

Welche Rechtsgrundlage gilt?

Einwilligung (Art. 6(1)(a) DSGVO) ist die einzig sichere Grundlage. Vertragsnotwendigkeit greift nicht, da Werbung nicht zur Erbringung des Dienstes noetig ist. Berechtigtes Interesse wurde von mehreren Aufsichtsbehoerden fuer Werbe-Targeting abgelehnt. Die CMP muss den TC-String vor jedem AppNexus-Aufruf uebertragen.

Uebertraegt AppNexus Daten ausserhalb der EU?

Ja. Als Teil von Microsoft verarbeitet AppNexus Daten in den USA unter SCC und dem EU US Data Privacy Framework. Microsoft Corporation ist zertifizierter DPF-Teilnehmer. Weiterleitungen in der OpenRTB-Kette umfassen oft US-, UK- und EU-Empfaenger, die der Publisher dokumentieren muss.

Brauche ich eine DSFA fuer AppNexus?

Ja in nahezu allen Faellen. Programmatische Werbung bedeutet systematische, grossangelegte Ueberwachung und Profiling. Die DSFA muss Segmentkategorien, OpenRTB-Fan-Out, Vendor-Listenmanagement, US-Transfers und Art. 22-Implikationen automatisierter Auktionen abdecken.

Wie binde ich AppNexus rechtskonform ein?

AppNexus (Xandr) als Vendor in TCF-v2.2-CMP registrieren. Microsoft Online Services DPA unterzeichnen. adnxs.com-Aufrufe erst nach Einwilligung. Prebid-Bidder-Liste auf das Noetigste reduzieren. Einwilligung auf Ad-Slot-Ebene konfigurieren und Global Privacy Control respektieren. Empfaengerkette vollstaendig dokumentieren.

Welche Alternativen zu AppNexus?

Grosse SSPs und Exchanges: Google Ad Manager, Magnite, PubMatic, Index Exchange, OpenX, Sovrn. DSPs: The Trade Desk, MediaMath, DV360, Adform. EU-Anbieter: Adform (Daenemark), Smartclip. Da AppNexus eng mit Microsoft Advertising verflochten ist, kommt Microsoft Advertising als direkter Ersatz in Betracht.

Wie aktualisiere ich meine Cookie-Erklaerung?

Listen Sie die AppNexus-Cookies (anj, uuid2, uids) mit Anbieter (Xandr Inc., Microsoft-Tochter, USA), Zweck (programmatische Werbung und Audience-Matching), Laufzeit (~3 Monate) und Kategorie (Marketing). Beschreiben Sie US-Transfer, TCF v2.2 und OpenRTB-Partner. Verlinken Sie die Xandr-Datenschutzerklaerung.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note