Datadog RUM und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Datadog RUM ein, verarbeitet er regelmäßig Webserver-Protokolldaten, Klickpfade, Endgeräte- und Browserinformationen sowie Interaktions- und Telemetriedaten zum Zweck der Performance- und Fehleranalyse sowie der allgemeinen Produktverbesserung. Die Rechtsgrundlage hängt von der konkreten Konfiguration ab und kommt typischerweise als Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) oder – bei rein technischer Reichweitenmessung – als berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) in Betracht. Die folgende Übersicht hilft Webseitenbetreibern, die Datenverarbeitung durch Datadog RUM einzuordnen und die für die Datenschutzerklärung erforderlichen Pflichtangaben zu identifizieren.

A. Zweck und Funktionsweise von Datadog RUM

Datadog Real User Monitoring (RUM) ist ein Dienst des US-Anbieters Datadog, Inc., mit dem Webseitenbetreiber das tatsächliche Nutzungserlebnis ihrer Webseite und Webanwendungen messen können. Über ein in den Quellcode der Webseite eingebundenes JavaScript-Browser-SDK erfasst Datadog RUM nach Anbieterangaben Page Views, Sessions, User Actions (z. B. Klicks), Frontend-Fehler, Ladezeiten einzelner Ressourcen, Long Tasks und Web-Vitals-Metriken. Optional kann zusätzlich die Funktion Session Replay aktiviert werden, die Bildschirminhalte und Interaktionen einer Sitzung wiedergibt – funktional vergleichbar mit Hotjar oder ähnlichen Session-Recording-Werkzeugen.

Datadog RUM ist eines von mehreren Modulen der Datadog-Beobachtungsplattform. Andere Module wie Logs, APM (Application Performance Monitoring) oder Infrastructure Monitoring sind serverseitig und werden in dieser Darstellung nicht behandelt. Hier geht es ausschließlich um die Browser-Integration von Datadog RUM, die als JavaScript-Snippet in die Webseite eingebunden wird und Daten der Webseitenbesucher an Datadog übermittelt.

Typische Anwendungsfälle sind die Identifikation langsamer Seiten, die Erkennung von JavaScript-Fehlern in Produktion, die Analyse von Conversion-Trichtern sowie die Korrelation von Frontend-Verhalten mit Backend-Performance.

B. Pflichtangaben in der Datenschutzerklärung bei Einsatz von Datadog RUM

Die DSGVO schreibt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools wie Datadog RUM bestimmte tool-bezogene Pflichtangaben vor: die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO), Hinweise zu Drittlandübermittlungen (Art. 13 Abs. 1 lit. f DSGVO) sowie die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO).

Werden Daten nicht direkt beim Betroffenen erhoben, ergänzt Art. 14 Abs. 1 lit. d DSGVO die Pflicht, die Kategorien der verarbeiteten personenbezogenen Daten zu nennen. Diese Pflichtangaben werden in den nachfolgenden Abschnitten konkret für Datadog RUM aufgeschlüsselt.

In der Praxis ist es jedoch nicht erforderlich, jedes einzelne Tool – auch nicht Datadog RUM – mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen. Genau diese Praxis hat sich allerdings weithin eingebürgert und führt zu langen, in weiten Teilen redundanten Datenschutzerklärungen, die den Transparenzanforderungen des Art. 12 Abs. 1 DSGVO (präzise, transparent, verständlich, leicht zugänglich) zuwiderlaufen. Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden übergreifend nach Themenblöcken (Serverbetrieb, Tracking, Newsletter, Verkauf …) erläutert, und die konkret eingesetzten Dienstleister wie Datadog werden in einem Empfänger-Anhang aufgeführt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Datadog RUM

Vertragspartner für die Nutzung von Datadog RUM ist nach öffentlich zugänglichen Angaben des Anbieters die

• Datadog, Inc.
• 620 8th Avenue, Floor 45, New York, NY 10018
• Vereinigte Staaten von Amerika

Als EU-Vertreter im Sinne von Art. 27 DSGVO benennt der Anbieter Datadog Ireland Limited (Kontakt: privacy@datadoghq.com). Welche Konzerneinheit konkret als Vertragspartner des deutschen Webseitenbetreibers auftritt, ergibt sich aus dem jeweiligen Bestellformular bzw. dem unterzeichneten Datenverarbeitungs-Addendum und ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

Datadog gibt an, an den EU-U.S. Data Privacy Framework (DPF), die UK Extension sowie das Swiss-U.S. DPF zertifiziert zu sein. Der Status kann unter https://www.dataprivacyframework.gov/s/participant-search verifiziert werden. Ergänzend bietet Datadog ein Data Processing Addendum (DPA) inklusive der EU-Standardvertragsklauseln (SCC) an, das auf Anfrage über privacy@datadoghq.com bezogen werden kann.

Datenschutzhinweise des Anbieters: https://www.datadoghq.com/legal/privacy/. DPA-Übersicht: https://www.datadoghq.com/legal/data-processing-addendum/. Datadog stellt mehrere Hosting-Regionen zur Verfügung, darunter eine EU-Region (datadoghq.eu) mit Rechenzentrum in Deutschland; die Wahl der Region trifft der Webseitenbetreiber bei der Einrichtung seines Datadog-Kontos.

Die Darstellung beruht auf öffentlich zugänglichen Angaben des Anbieters und ersetzt keine Einzelfallprüfung.

D. Datenverarbeitung bei Datadog RUM – Ablauf in Schritten

E. Von Datadog RUM erhobene Daten

Datadog RUM erfasst nach den öffentlich zugänglichen Angaben des Anbieters technische Daten zum Aufruf und zur Nutzung der Webseite, darunter URL der aufgerufenen Seite, Referrer, IP-Adresse (für Geolokalisierung serverseitig), Geräte- und Browserinformationen, Bildschirmgröße, Klicks, Scrollverhalten, Ladezeiten, JavaScript-Fehlermeldungen, Web-Vitals-Werte sowie eine vom SDK vergebene Session-ID. Bei aktiviertem Session Replay werden zusätzlich DOM-Inhalte und Interaktionen aufgezeichnet, was im Einzelfall auch Eingaben in nicht maskierten Formularfeldern umfassen kann. Datadog stellt dazu Maskierungs- und beforeSend-Mechanismen bereit, mit denen sensible Inhalte vor Übertragung entfernt werden können.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die beim Aufruf des Datadog-Endpunkts anfallen, insbesondere IP-Adresse des Internetanschlusses, Datum, Uhrzeit und Zeitzone der Anfrage, URL des angefragten Inhalts, Referrer, Informationen zu Browser, Betriebssystem und Gerät sowie ergänzende technische Metadaten wie Statuscodes und Datenmengen.
• Klickpfade: Besuchte Seiten der Webseite einschließlich Referrer sowie angeklickte Links und Schaltflächen mit Datum und Uhrzeit, etwa aufgerufene Links, Klicks auf Schaltflächen oder aufgerufene Formulare und Funktionen.
• Endgeräte-Daten: Angaben zum Endgerät des Nutzers wie Gerätetyp, Betriebssystem, Bildschirmauflösung und -größe, Ausrichtung des Geräts und Touch-Unterstützung.
• Browserinformationen: Browsername und -version sowie weitere vom Browser bereitgestellte Merkmale.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelter grober Standort des Nutzers auf Stadt- oder Gemeindeebene; nach Anbieterangaben kann die Geolokalisierung serverseitig deaktiviert werden.
• Interaktionsdaten: Informationen darüber, wie sich der Nutzer innerhalb einer Seite verhält, mit Datum und Uhrzeit, z. B. Scrollbewegungen, Klicks, Touch-Bewegungen auf Mobilgeräten und – bei aktiviertem Session Replay – Mausbewegungen und Tastendrücke.
• Technische Telemetriedaten: Bestimmte technische Daten über die Nutzung der Webseite, z. B. technische Fehlermeldungen, Ladezeiten und übertragene Datenvolumen.
• Conversion-Ereignisse: Vom Webseitenbetreiber als relevant definierte Nutzerinteraktionen, z. B. Aufruf einer Danke-Seite, Abschluss eines Formulars oder Klick auf eine bestimmte Schaltfläche.

Sofern der Webseitenbetreiber die optionale Identifizierung von Nutzern aktiviert (setUser) oder Custom Attributes setzt, können zusätzlich Nutzungskonto-Daten (z. B. Benutzerkennung, E-Mail-Adresse) verarbeitet werden. Diese Konfiguration ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

F. Nutzungszwecke beim Einsatz von Datadog RUM

Webseitenbetreiber setzen Datadog RUM regelmäßig ein, um die technische Funktionsfähigkeit der Webseite sicherzustellen, Frontend-Fehler zu erkennen und zu beheben, die Performance zu messen und die Webseite anhand realer Nutzungsdaten zu optimieren. Bei aktiviertem Session Replay tritt die qualitative Analyse einzelner Nutzungsverläufe hinzu, etwa zur Identifikation von Usability-Problemen.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Erbringung der Funktionalität der jeweiligen Webseitenfunktion, insbesondere Fehlererkennung, Fehlerbehebung und Fehlervermeidung.
• Sicherheit und Missbrauchsschutz: Erkennen und Eindämmen von technischen Anomalien, Bot-Aktivitäten und ungewöhnlichem Nutzungsverhalten.
• Allgemeine Produktverbesserung: Anpassung der Webseite auf Basis aggregierter Nutzungsdaten, z. B. Optimierung häufig aufgerufener Seiten, Verbesserung der Nutzerfreundlichkeit von Eingabemasken und Abläufen sowie allgemeine Geschäftsplanung.
• Allgemeines Marketing: Erfolgsmessung von Kampagnen und Reichweitenanalyse auf nicht nutzerindividueller Ebene.
• Nutzerprofil-Erstellung: Sofern Custom Attributes oder setUser genutzt werden, kann eine Zuordnung zu Segmenten erfolgen.
• Nutzerindividuelle Produktverbesserung: Bei verknüpfter Nutzeridentifikation Anzeige interessenbezogener Inhalte und Vorauswahl von Einstellungen.

G. Rechtsgrundlagen für Datadog RUM

Datadog RUM fällt nach seiner Funktion primär in die Tool-Kategorie Tracking (Statistik) und – funktional – in den Bereich Real User Monitoring / Performance- und Fehler-Monitoring. Bei aktiviertem Session Replay tritt eine Komponente hinzu, die Sitzungswiedergaben ermöglicht und damit der Sache nach Ähnlichkeit zu Session-Recording-Tools wie Hotjar aufweist.

Als Rechtsgrundlagen kommen typischerweise in Betracht:

• Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG (Einwilligung): Da Datadog RUM nach Anbieterangaben Erstanbieter-Cookies setzt und Daten vom Endgerät des Nutzers erhebt, die nicht unbedingt erforderlich sind, ist regelmäßig eine vorherige Einwilligung des Webseitenbesuchers über ein Consent-Banner einzuholen. Dies gilt insbesondere bei aktiviertem Session Replay.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): In Betracht kommt eine Stützung auf berechtigte Interessen an Verbesserung, Sicherheit, Effizienz und Geschäftssteuerung, soweit der Einsatz auf eine rein technische, anonymisierte Reichweiten- und Fehleranalyse ohne Cookies beschränkt wird. Die Zulässigkeit dieser Variante ist umstritten; in der Praxis wird auch hier häufig eine Einwilligung empfohlen.

Werden über setUser identifizierende Angaben verknüpft, verschiebt sich die Bewertung deutlich zugunsten einer Einwilligungslösung. Die einschlägige Rechtsgrundlage ist fallabhängig und im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Datadog RUM

• Drittlandtransfer / DPF: Datadog gibt an, am EU-U.S. Data Privacy Framework zertifiziert zu sein (Stand der Recherche). Bei Wahl einer US-Region erfolgen Übermittlungen typischerweise auf Basis der DPF-Zertifizierung sowie ergänzend auf Basis der Standardvertragsklauseln, die im DPA enthalten sind. Der Status ist unter https://www.dataprivacyframework.gov/s/participant-search zu verifizieren.
• EU-Hosting-Option: Datadog bietet die Region datadoghq.eu mit Rechenzentrum in Deutschland an. Die Wahl liegt beim Webseitenbetreiber und beeinflusst, in welche Region Daten übertragen werden.
• AVV/DPA: Ein Data Processing Addendum mit Standardvertragsklauseln stellt Datadog auf Anfrage unter privacy@datadoghq.com bereit (siehe https://www.datadoghq.com/legal/data-processing-addendum/). Der Abschluss ist bei Verarbeitung personenbezogener Daten im Auftrag regelmäßig nach Art. 28 DSGVO erforderlich.
• Subprozessoren: Datadog setzt nach eigenen Angaben Subprozessoren (insbesondere Cloud-Hoster) ein. Die aktuelle Liste ist beim Anbieter abzurufen und im Einzelfall vom Webseitenbetreiber zu prüfen.
• Opt-Out und Konfiguration: Webseitenbetreiber können IP-Adresse und Geolokalisierung serverseitig deaktivieren, Maskierung in Session Replay aktivieren, sensible Felder per beforeSend entfernen, den Sensitive Data Scanner einsetzen und das Sampling reduzieren. Das SDK kann mit trackingConsent: 'not-granted' initialisiert werden, um das Tracking erst nach Einwilligung zu starten.
• Einstellungen für Session Replay: Vor Aktivierung empfiehlt es sich, Maskierungsregeln (defaultPrivacyLevel) zu konfigurieren und sensible Eingabefelder explizit zu kennzeichnen.
• Cookie-Konsens: Da Datadog RUM Cookies setzt und Endgeräteinformationen ausliest, fällt der Einsatz regelmäßig unter § 25 Abs. 1 TDDDG.

I. FAQ zu Datadog RUM und Datenschutz

J. Fazit zu Datadog RUM und Call-to-Action

Datadog RUM erfasst beim Webseitenbesuch eine Reihe technischer und verhaltensbezogener Daten – von Webserver-Protokolldaten über Klickpfade und Endgeräte-Informationen bis hin zu Interaktionsdaten und – bei aktivierter Session-Replay-Funktion – DOM-Aufzeichnungen. Anbieter ist die Datadog, Inc. mit Sitz in New York; eine EU-Region in Deutschland sowie ein DPA mit Standardvertragsklauseln stehen zur Verfügung. Die Rechtsgrundlage hängt von der konkreten Konfiguration ab und ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

Es ist meist wenig sinnvoll, für jedes einzelne Tool – auch nicht für Datadog RUM – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich, schwer pflegbar und steht im Spannungsverhältnis zum Transparenzgebot des Art. 12 Abs. 1 DSGVO. Empfohlen wird ein strukturierter, themenorientierter Ansatz, der Verarbeitungen nach Themenblöcken (Serverbetrieb, Tracking, Newsletter, Verkauf …) übergreifend beschreibt und eingesetzte Dienstleister wie Datadog im Anhang Empfänger nennt. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com