LogRocket und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber LogRocket ein, verarbeitet er typischerweise Webserver-Protokolldaten, Klickpfade, Interaktionsdaten, Endgeräte-Daten, Browserinformationen, grobe Standortdaten und technische Telemetriedaten zum Zweck der nutzerindividuellen Produktverbesserung, Fehlerdiagnose und Reichweitenanalyse – regelmäßig auf Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Diese Seite fasst zusammen, welche Datenverarbeitung LogRocket nach den öffentlich zugänglichen Angaben des Anbieters auslöst und welche Pflichtangaben in die Datenschutzerklärung der Webseite gehören.

A. Zweck und Funktionsweise von LogRocket

LogRocket ist eine US-amerikanische Software-as-a-Service-Lösung für Session Replay, Frontend-Performance- und Error-Monitoring, Heatmaps sowie Funnel- und Conversion-Analytics. Der Webseitenbetreiber bindet hierfür ein JavaScript-Snippet (SDK) in seine Webseite oder Web-Anwendung ein. Das Snippet zeichnet auf, wie Besucher mit der Seite interagieren, und überträgt die erfassten Daten an die Server des Anbieters, wo sie aggregiert, durchsuchbar gemacht und als Replay (eine pixelgenaue Wiedergabe der Sitzung) bereitgestellt werden.

Der Funktionsumfang umfasst nach den Angaben in der Anbieterdokumentation insbesondere die Aufzeichnung von DOM-Veränderungen über die MutationObserver-API, Mausbewegungen, Scrollvorgänge, Klicks und Tastatureingaben (außer bei aktivierter Maskierung), die Instrumentierung von XMLHttpRequest- und fetch-Aufrufen zur Erfassung von Netzwerk-Anfragen einschließlich Headern und – sofern nicht ausgeschlossen – Request- und Response-Bodies, das Abgreifen von Console-Logs, Redux- bzw. State-Snapshots sowie die Erhebung technischer Performance-Metriken (Core Web Vitals, Long Tasks, Crashes).

Diese Seite behandelt die typische Web-Integration über das LogRocket-JavaScript-Snippet auf öffentlich zugänglichen Webseiten. Der parallel bestehende Einsatz in nativen Mobile-Apps oder die On-Premise-/Private-Cloud-Variante des Anbieters ist nicht Gegenstand dieser Darstellung.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von LogRocket

Die DSGVO verlangt – neben allgemeinen Angaben zum Webseitenbetreiber, zu den Betroffenenrechten und zur Aufsichtsbehörde – in Bezug auf den Einsatz von Tools wie LogRocket bestimmte spezifische Pflichtangaben in der Datenschutzerklärung. Hierzu zählen die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei Stützung auf eine Interessenabwägung die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO) sowie Angaben zu Drittlandtransfers und den hierfür greifenden Garantien (Art. 13 Abs. 1 lit. f DSGVO). Hinzu kommen die Speicherdauer bzw. die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO) und – soweit Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien personenbezogener Daten (Art. 14 Abs. 1 lit. d DSGVO).

Die nachfolgenden Abschnitte schlüsseln diese Pflichtangaben für LogRocket auf.

In der Praxis wird häufig versucht, jedem einzelnen Tool – also auch LogRocket – einen eigenen Textbaustein in der Datenschutzerklärung zu widmen. Dieser „Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert: Die Datenschutzerklärung wird lang, redundant und schwer pflegbar, was dem Transparenzgebot des Art. 12 Abs. 1 DSGVO (präzise, transparent, verständlich, leicht zugänglich) zuwiderläuft. Sachgerechter ist ein themenorientierter Ansatz: Die Verarbeitungen werden übergreifend nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf …) beschrieben; die konkret eingesetzten Dienstleister – darunter LogRocket – werden lediglich in einem Anhang Empfänger aufgeführt.

C. Anbieter von LogRocket

Vertragspartner für einen deutschen Webseitenbetreiber ist nach den Angaben des Anbieters die LogRocket, Inc., eine nach dem Recht des US-Bundesstaats Delaware errichtete Gesellschaft mit Hauptsitz in 87 Summer St, Boston, MA 02110, USA. Eine eigenständige EU-Niederlassung als Vertragspartner ist nach den öffentlich zugänglichen Quellen nicht ausgewiesen. Eine Benennung eines EU-Vertreters nach Art. 27 DSGVO ist vom Webseitenbetreiber im Einzelfall zu prüfen.

LogRocket, Inc. erklärt in ihrer Datenschutzerklärung, dass sie sich gegenüber dem U.S. Department of Commerce zur Einhaltung der Grundsätze des EU-U.S. Data Privacy Framework (DPF), der UK-Erweiterung sowie des Swiss-U.S. DPF verpflichtet hat. Den aktuellen Zertifizierungsstatus sollte der Webseitenbetreiber vor dem Einsatz im Verzeichnis unter https://www.dataprivacyframework.gov/list verifizieren. Datentransfers in die USA finden nach Angaben des Anbieters statt; ergänzend werden Standardvertragsklauseln (SCC) eingesetzt.

• Privacy Policy: logrocket.com/privacy
• Sicherheits- und Datenschutz-Dokumentation: docs.logrocket.com/docs/security, docs.logrocket.com/docs/privacy
• GDPR/CCPA-Hinweise: docs.logrocket.com/docs/gdpr

D. Datenverarbeitung durch LogRocket – Ablauf in Schritten

E. Von LogRocket erhobene Daten

LogRocket erfasst nach der Anbieterdokumentation typischerweise: die IP-Adresse und HTTP-Request-Daten beim Aufruf, eine Geräte- und Sitzungs-ID, Browser- und Betriebssysteminformationen, Bildschirmauflösung, einen aus der IP-Adresse abgeleiteten groben Standort, die aufgerufenen URLs und Klickpfade, Mausbewegungen, Scrollverhalten, Klicks und Tastatureingaben (soweit nicht maskiert), DOM-Inhalte (einschließlich Texte und Bilder, soweit nicht über data-private ausgenommen), Netzwerk-Requests inklusive Header und – falls nicht ausgeschlossen – Request-/Response-Bodies, Console-Logs, Redux-State-Snapshots sowie technische Telemetrie- und Performance-Daten (Core Web Vitals, Long Tasks, Crashes).

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit, URL des angefragten Inhalts, Referrer, übermittelte Browser-/Betriebssystem-Informationen, Statuscode der Server-Antwort.
• Klickpfade: Aufgerufene Seiten der Webseite einschließlich Referrer, angeklickte Links und Schaltflächen jeweils mit Datum und Uhrzeit, aufgerufene Formulare und Funktionen.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung und -größe, Ausrichtung des Geräts, Touch-Unterstützung.
• Browserinformationen: Browsername, Browserversion, ggf. installierte Erweiterungen.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelter grober Standort des Nutzers auf Stadt- oder Gemeindeebene.
• Interaktionsdaten: Scrollbewegungen, Mausbewegungen, Bewegungen des Mauszeigers, Touch-Bewegungen auf Mobilgeräten, gedrückte Tasten (gegebenenfalls bereits vor dem Absenden einer Eingabe), Klicks – jeweils mit Datum und Uhrzeit.
• Technische Telemetriedaten: Technische Fehlermeldungen, Ladezeiten, Datenvolumen, Performance-Metriken (Core Web Vitals, Long Tasks, Crashes).
• Conversion-Ereignisse: Vom Webseitenbetreiber als relevant festgelegte Interaktionen, z. B. Registrierung, Warenkorberstellung, Produktkauf, Kontaktanfrage, Aufruf einer Danke-Seite nach einem Download.
• Nutzer-Inhalte: Soweit nicht über data-private oder Input-Sanitisierung ausgeschlossen, Eingaben in Formularfelder, Texte und ggf. hochgeladene Inhalte – mit erhöhtem Risiko, dass auch besondere Kategorien personenbezogener Daten oder Pflichtinhalte (Passwortfelder werden vom Anbieter ausgenommen) miterfasst werden.

F. Nutzungszwecke beim Einsatz von LogRocket

Der Webseitenbetreiber nutzt LogRocket typischerweise zur Diagnose von Frontend-Fehlern (Reproduktion durch Replay), zur Verbesserung der Usability auf Basis tatsächlicher Nutzungssitzungen, zur Identifikation von Reibungspunkten in Funnels, zur Auswertung von Conversion-Pfaden und Heatmaps sowie zur Performance-Optimierung. Daneben fließen die Daten in die allgemeine Reichweiten- und Geschäftssteuerung ein.

Die Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Fehlererkennung, Fehlerbehebung, Fehlervermeidung, Aufrechterhaltung und Stabilisierung der Webseitenfunktion.
• Sicherheit und Missbrauchsschutz: Erkennen, Verhindern und Beenden missbräuchlicher Nutzungen, Bot-Erkennung, Sitzungsmanagement.
• Allgemeine Produktverbesserung: Bedarfsgerechte Optimierung der Webseite auf Basis häufig aufgerufener Inhalte, Verbesserung der Nutzerfreundlichkeit der Oberfläche (Eingabemasken und Abläufe), allgemeine Geschäftsplanung.
• Nutzerprofil-Erstellung: Zuordnung zu Segmenten oder Zielgruppen anhand von Verhaltensmustern, sofern aktiviert.
• Nutzerindividuelle Produktverbesserung: Anpassung der Online-Dienste an Interessen und Verhalten des jeweiligen Nutzers, Vorauswahl von Einstellungen.

G. Rechtsgrundlagen für den Einsatz von LogRocket

LogRocket fällt nach seiner Funktionsweise primär in die Tool-Kategorie Session Replay / Tracking (Statistik) und ist mit Lösungen wie Hotjar oder FullStory vergleichbar.

Da das LogRocket-SDK regelmäßig Informationen im Endgerät des Nutzers speichert bzw. ausliest (Session-IDs, ggf. Cookies oder Local-Storage-Werte) und über die reine Bereitstellung der vom Nutzer ausdrücklich gewünschten Funktion hinausgeht, kommt für den Einsatz typischerweise eine Einwilligung nach § 25 Abs. 1 TDDDG in Betracht. Materiell-datenschutzrechtlich greift dann Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einholung erfolgt regelmäßig über ein Consent-Management-System, das LogRocket erst nach Erteilung der Einwilligung lädt.

Eine Stützung auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO (etwa an Verbesserung, Geschäftssteuerung oder Effizienz) wird in Bezug auf Session Replay in der aufsichtsbehördlichen Praxis kontrovers diskutiert und kommt allenfalls bei strikt anonymisierten, cookielosen Konfigurationen in Betracht. Wegen der Tiefe der erfassten Daten – insbesondere DOM-Inhalte, Eingaben, Mausbewegungen – wird im Regelfall die Einwilligung empfohlen.

Die konkrete Rechtsgrundlage ist fallabhängig und vom Webseitenbetreiber im Einzelfall zu prüfen, insbesondere im Hinblick auf den jeweiligen Konfigurationsumfang von LogRocket (Maskierung, Netzwerk-Sanitisierung, Aufzeichnungstiefe).

H. Besonderheiten und Hinweise zu LogRocket

• PII-Maskierung-Konfiguration: LogRocket stellt mehrere Maskierungs-Mechanismen bereit, deren sorgfältige Konfiguration durch den Webseitenbetreiber praktisch erforderlich ist:
  • HTML-Attribut data-private zum Ausschluss einzelner DOM-Elemente und ihrer Kinder vom Recording.
  • Input-Redaction-Modi (Default redact; alternativ lipsum für Lorem-Ipsum-Ersatzdarstellung).
  • SDK-Optionen zur automatischen Sanitisierung sämtlicher Texte, Eingaben und Bilder.
  • Network-Sanitizer zum Ausschluss von Request-/Response-Bodies, Headern und URLs.
  • Redux-State-Sanitizer zur Filterung sensibler Schlüssel.
  • PII-Labeling-API zur clientseitigen Markierung und Blockade von PII bereits vor Verlassen des Endgeräts.
  • Passwortfelder werden nach Anbieterangaben standardmäßig nicht aufgezeichnet.
• Drittlandtransfer / DPF: Die LogRocket, Inc. gibt an, sich unter dem EU-U.S. Data Privacy Framework selbst zertifiziert zu haben; der aktuelle Status ist unter https://www.dataprivacyframework.gov/list zu verifizieren. Ergänzend werden nach Anbieterangaben Standardvertragsklauseln eingesetzt.
• EU-Datenresidenz: Eine standardisierte EU-Datenresidenz wird nach den öffentlich zugänglichen Angaben des Anbieters nicht angeboten. Wer EU-Residenz benötigt, ist auf die Private-Cloud-/Self-Hosted-Variante verwiesen, die individuell anzufragen ist.
• AVV/DPA: Der Anbieter stellt nach eigener Angabe einen Data Processing Addendum für Kunden bereit, die personenbezogene Daten von EU- oder Schweizer Bürgern verarbeiten. Der Abschluss eines AVV nach Art. 28 DSGVO ist beim Einsatz typischerweise zwingend.
• Subprozessoren: Eine namentliche Subprozessoren-Liste ist in der allgemeinen Privacy Policy nicht öffentlich; der Anbieter benennt insbesondere die Hosting-Plattform Google Cloud. Eine vollständige Liste ist über den Support des Anbieters anzufragen.
• Einstellungen für den Webseitenbetreiber: Vor produktivem Einsatz sollte der Webseitenbetreiber Aufzeichnungstiefe, Maskierungs-Regeln, Netzwerk-Sanitizer, Speicherdauer und das Laden des Snippets erst nach Consent-Erteilung sorgfältig konfigurieren.
• Opt-Out für Webseitenbesucher: Ein nutzerseitiges Opt-Out erfolgt regelmäßig über das Consent-Management des Webseitenbetreibers (Widerruf der Statistik-Einwilligung); eine zentrale Opt-Out-Seite des Anbieters ist nicht standardisiert vorgesehen.

I. Häufige Fragen (FAQ) zu LogRocket und Datenschutz

J. Fazit zu LogRocket – und der nächste Schritt

LogRocket ist ein leistungsfähiges Session-Replay- und Frontend-Monitoring-Werkzeug, das durch die Tiefe der erfassten Daten – DOM-Mutationen, Netzwerkverkehr, Eingaben, State-Snapshots – datenschutzrechtlich anspruchsvoll ist. Webseitenbetreiber sollten den Einsatz auf eine Einwilligung stützen, die Maskierungs- und Sanitisierungs-Optionen sorgfältig konfigurieren, einen AVV abschließen und die Drittlandtransfer-Garantien (DPF, SCC) dokumentieren.

Für die Datenschutzerklärung gilt: Es ist meist wenig sinnvoll, für jedes einzelne Tool – auch nicht für LogRocket – einen eigenen Textbaustein einzufügen. Das macht Datenschutzerklärungen lang, redundant und unleserlich und steht im Spannungsverhältnis zu Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der die Verarbeitung übergreifend nach Themen (Serverbetrieb, Newsletter, Tracking, Verkauf …) beschreibt und nur im Anhang Empfänger auf konkret eingesetzte Tools wie LogRocket verweist. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com