Raygun Real User Monitoring und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Raygun Real User Monitoring ein, verarbeitet er Webserver-Protokolldaten, Klickpfade, Endgeräte- und Browserinformationen sowie technische Telemetriedaten (Performance-Metriken, JavaScript-Fehler) zum Zweck der Produktverbesserung und Fehlerbehebung – regelmäßig auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Diese Seite zeigt, welche Daten Raygun Real User Monitoring (RUM) typischerweise erhebt, wofür ein Webseitenbetreiber sie nutzt und welche Pflichtangaben in die Datenschutzerklärung der eigenen Webseite gehören.

A. Zweck und Funktionsweise von Raygun Real User Monitoring

Raygun Real User Monitoring ist ein Dienst zur Beobachtung der tatsächlichen Endnutzererfahrung auf Webseiten und in Web-Anwendungen. Der Webseitenbetreiber bindet hierzu ein JavaScript-Snippet (raygun4js) in den <head>-Bereich der eigenen Seiten ein. Das Skript erfasst dann im Browser des Nutzers Performance-Daten (z. B. Page-Load-Zeiten, Core Web Vitals), JavaScript-Fehler und sog. Custom Events und übermittelt diese an die Server von Raygun.

Der Anbieter Raygun bietet daneben weitere Produkte an, etwa Crash Reporting für native Apps, Application Performance Monitoring (APM, serverseitig) sowie Error Monitoring. Diese Seite behandelt ausschließlich die Integrations-Funktion Real User Monitoring für Web über das raygun4js-Snippet, weil hierbei Daten von Webseitenbesuchern im Browser erfasst werden und damit primär datenschutzrechtliche Pflichten des Webseitenbetreibers ausgelöst werden.

Typische Einsatzszenarien sind die Identifikation langsamer Seiten und Geräte, das Aufdecken von Fehlern in Produktion sowie die Auswertung der tatsächlichen Nutzerführung über Sitzungen und Klickpfade.

B. Pflichtangaben in der Datenschutzerklärung bei Einsatz von Raygun Real User Monitoring

Die DSGVO verlangt von Webseitenbetreibern – neben allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde – in Bezug auf den Einsatz konkreter Tools wie Raygun Real User Monitoring spezifische Pflichtangaben.

Hierzu gehören insbesondere die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), bei einer Stützung auf Art. 6 Abs. 1 lit. f DSGVO zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO), Angaben zu Drittlandtransfers und deren Garantien (Art. 13 Abs. 1 lit. f DSGVO), die Speicherdauer bzw. die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO) sowie – soweit Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien personenbezogener Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden nachfolgend für Raygun Real User Monitoring aufgeschlüsselt.

In der Praxis hat sich eingebürgert, jedes einzelne Tool – also auch Raygun RUM – mit einem eigenen, anwaltlich vorformulierten Textbaustein in der Datenschutzerklärung zu erwähnen. Diese „Textbaustein-pro-Tool"-Praxis hat sich als schlechte Manier etabliert: Sie führt zu langen, sich wiederholenden Datenschutzerklärungen, die schwer pflegbar und für Nutzer kaum lesbar sind und damit dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher zuwiderlaufen. Sachgerechter ist ein themenorientierter Aufbau, der Verarbeitungen übergreifend (Serverbetrieb, Newsletter, Tracking, Verkauf …) beschreibt und konkrete Dienstleister wie Raygun nur in einem Anhang: Empfänger auflistet. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Raygun Real User Monitoring

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben des Anbieters:

• Raygun Limited (auch als „Mindscape Limited" gegründet; Markenname „Raygun")
• Level 2, 14 Allen Street, Te Aro, Wellington 6011, Neuseeland
• Sitzland: Neuseeland (NZBN 9429033667485)
• Privacy Policy: raygun.com/privacy
• GDPR-Hinweise des Anbieters: raygun.com/gdpr
• Dokumentation: raygun.com/documentation/product-guides/real-user-monitoring

Die Daten werden nach Angaben des Anbieters in der AWS-Region US-EAST-1 (USA) gespeichert. Subprozessor ist insoweit Amazon Web Services. Es findet damit ein Drittlandtransfer in die USA statt, der einer eigenen Garantie nach Art. 46 DSGVO bedarf (siehe Abschnitt H).

Für Neuseeland selbst hat die Europäische Kommission einen Angemessenheitsbeschluss erlassen (Durchführungsbeschluss 2013/65/EU vom 19. Dezember 2012); ein Datentransfer nach Neuseeland gilt damit DSGVO-rechtlich grundsätzlich als gleichwertig zu einem Transfer innerhalb des EWR. Maßgeblich für den Drittlandbezug ist hier dennoch der tatsächliche Speicherort in den USA, nicht das Sitzland des Anbieters.

D. Datenverarbeitung durch Raygun Real User Monitoring – Ablauf in Schritten

E. Erhobene Daten bei Raygun Real User Monitoring

Nach den öffentlich zugänglichen Angaben des Anbieters und der Dokumentation zu raygun4js werden bei Raygun Real User Monitoring typischerweise folgende Daten verarbeitet: IP-Adresse (sofern nicht in den Einstellungen deaktiviert), grober Standort auf Basis der IP (sofern Geolocation-Lookup aktiv), URL der aufgerufenen Seite, Referrer, Zeitstempel, Browsername und -version, Betriebssystem, Gerätetyp, Bildschirmauflösung, Performance-Messwerte (Ladezeiten, Web Vitals, Ressourcen-Timings), Stacktraces und Fehlermeldungen bei JavaScript-Fehlern, sowie eine pseudonyme Sitzungs- bzw. Nutzer-ID, die im LocalStorage abgelegt wird. Optional kann der Webseitenbetreiber identifizierende Angaben (z. B. eine User-ID aus seinem System) anreichern.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die bei jeder Anfrage an die Raygun-Endpunkte anfallen, insbesondere IP-Adresse, Datum und Uhrzeit der Anfrage, URL des angefragten Inhalts, Referrer sowie ergänzende technische Metadaten.
• Klickpfade: aufgerufene Seiten, Reihenfolge der Aufrufe und Übergänge innerhalb einer Sitzung, jeweils mit Datum und Uhrzeit; abhängig von der Konfiguration auch Klicks auf Schaltflächen oder Links.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung und ggf. Touch-Unterstützung.
• Browserinformationen: Browsername und Browserversion.
• Grobe Standortdaten: anhand der IP-Adresse ermittelter Standort auf Stadt- oder Landesebene (sofern die Geolocation-Lookups in den Raygun-Einstellungen aktiv sind).
• Conversion-Ereignisse: vom Webseitenbetreiber als Custom Events definierte Nutzerinteraktionen (z. B. Aufruf einer Danke-Seite, Absenden eines Formulars).
• Technische Telemetriedaten: Ladezeiten, Web Vitals, Ressourcen-Timings, JavaScript-Fehlermeldungen und Stacktraces, Datenvolumen.
• Nutzungskonto-Daten: nur soweit der Webseitenbetreiber bewusst eine User-ID oder weitere Profilangaben an Raygun anreichert.

F. Nutzungszwecke beim Einsatz von Raygun Real User Monitoring

Der Webseitenbetreiber nutzt die durch Raygun Real User Monitoring erhobenen Daten typischerweise, um Fehler in seinen Online-Diensten zu identifizieren und zu beheben, die Performance einzelner Seiten und Funktionen zu messen und zu optimieren, die tatsächliche Nutzerführung nachzuvollziehen sowie technische und geschäftliche Entscheidungen (z. B. Investitionen in bestimmte Bereiche der Webseite) auf Datenbasis zu treffen.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Erbringung der Funktionalität der Webseite, insbesondere Fehlererkennung, Fehlerbehebung und Fehlervermeidung auf Basis der von raygun4js gemeldeten JavaScript-Fehler.
• Sicherheit und Missbrauchsschutz: Erkennung auffälliger technischer Muster, die auf Angriffe oder fehlerhafte automatisierte Zugriffe hindeuten.
• Allgemeine Produktverbesserung: Optimierung der Webseite auf Basis häufig aufgerufener Inhalte, genutzter Geräte und gemessener Ladezeiten; Verbesserung der Nutzerfreundlichkeit der Oberfläche.
• Nutzerprofil-Erstellung: Bildung pseudonymer Sitzungs- und Nutzer-Profile zur Auswertung wiederkehrender Besuche und Klickpfade.
• Nutzerindividuelle Produktverbesserung: Anpassung der Online-Dienste an wiederkehrende Nutzungs- und Fehlermuster einzelner Sitzungen oder identifizierter Nutzer.

Zwecke des Marketings verfolgt Raygun Real User Monitoring nach Anbieterdarstellung nicht; der Dienst ist als Performance- und Fehler-Monitoring positioniert und nicht als Werbenetzwerk.

G. Rechtsgrundlagen für Raygun Real User Monitoring

Raygun Real User Monitoring fällt nach den verarbeiteten Daten und den verfolgten Zwecken in die Tool-Kategorie Real User Monitoring / Tracking (Statistik).

Für diese Kategorie kommen typischerweise folgende Rechtsgrundlagen in Betracht:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): Da raygun4js Informationen im Endgerät des Nutzers speichert (LocalStorage, hilfsweise Cookie) und nicht-anonyme Daten wie IP-Adresse, Klickpfade und Fehler-Stacktraces an Server in den USA überträgt, ist regelmäßig eine Einwilligung über ein Consent-Banner erforderlich.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Eine Stützung allein auf berechtigte Interessen kommt allenfalls in Betracht, wenn IP-Speicherung und Geolocation-Lookups in Raygun deaktiviert werden, keine identifizierenden Custom Daten ergänzt werden und auch sonst eine cookie- bzw. zugriffsfreie Konfiguration gelingt. Einschlägige Interessen sind dann Verbesserung, Geschäftssteuerung sowie Sicherheit und Missbrauchsschutz (Fehler- und Angriffserkennung). Diese Einordnung ist kontrovers; in der Praxis wird ohne Einwilligung regelmäßig ein erhöhtes Risiko bestehen.

Welche Rechtsgrundlage einschlägig ist, hängt von der konkreten Konfiguration (Cookies, IP-Anonymisierung, Custom Daten) und der Einbindung in das Consent-Management des Webseitenbetreibers ab und ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Raygun Real User Monitoring

• Drittlandtransfer USA: Nach Anbieterangaben werden Daten in der AWS-Region US-EAST-1 (USA) gespeichert. Damit findet eine Übermittlung in ein Drittland im Sinne von Art. 44 ff. DSGVO statt. Da Raygun Limited als neuseeländisches Unternehmen nicht selbst nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist und kein Sitz in den USA besteht, ist die Übermittlung im Regelfall auf Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO zu stützen, ergänzt um geeignete zusätzliche Maßnahmen. Der DPA des Anbieters enthält nach Anbieterangaben entsprechende Regelungen.
• Sitzland Neuseeland: Für Neuseeland besteht ein Angemessenheitsbeschluss der EU-Kommission (Durchführungsbeschluss 2013/65/EU). Soweit Raygun Limited als Datenempfänger eigene Operationen aus Neuseeland heraus durchführt, gilt dies DSGVO-rechtlich als gleichwertig zu einer Verarbeitung im EWR. Maßgeblich für die SCC-Pflicht ist dennoch der tatsächliche Speicherort USA.
• AVV/DPA: Raygun stellt einen Data Processing Addendum (DPA) bereit, der über die Kontoeinstellungen abgeschlossen werden kann. Der Webseitenbetreiber sollte den DPA vor Produktiveinsatz abschließen.
• Subprozessoren: Hauptsubprozessor ist nach Anbieterangaben Amazon Web Services (AWS). Eine vollständige Subprozessoren-Liste ist nach Anbieterangaben im Kundenkonto bzw. im DPA verfügbar.
• Einstellungen für den Webseitenbetreiber: In den Application Settings lassen sich die IP-Speicherung deaktivieren und Geolocation-Lookups abschalten. Sensible Felder können clientseitig vor Versand entfernt werden (Funktion „Removing sensitive data"). Diese Schalter reduzieren den Personenbezug der erhobenen Daten erheblich.
• Opt-Out für Nutzer: Eine vom Anbieter bereitgestellte Endnutzer-Opt-Out-URL ist nicht dokumentiert. Nutzer können die anonyme Nutzer-ID durch Löschen von LocalStorage bzw. Cookies entfernen; die Steuerung erfolgt im Übrigen über das Consent-Banner des Webseitenbetreibers.
• Rolle des Anbieters: Raygun tritt nach den öffentlich zugänglichen Angaben gegenüber Webseitenbetreibern als Auftragsverarbeiter im Sinne von Art. 28 DSGVO auf. Die Beurteilung im Einzelfall ist Sache des Webseitenbetreibers.

I. FAQ zu Raygun Real User Monitoring und Datenschutz

J. Fazit zu Raygun Real User Monitoring und Call-to-Action

Raygun Real User Monitoring ist ein Performance- und Fehler-Monitoring auf Basis eines im Browser ausgeführten JavaScripts. Erhoben werden unter anderem Webserver-Protokolldaten, Klickpfade, Endgeräte- und Browserinformationen, grobe Standortdaten und technische Telemetriedaten; gespeichert werden die Daten nach Anbieterangaben in der AWS-Region US-EAST-1. Für den Webseitenbetreiber ergeben sich daraus die typischen Pflichten eines Tracking-Tools: passende Rechtsgrundlage (regelmäßig Einwilligung), AVV/DPA-Abschluss, Drittlandsabsicherung über SCC und Information der Betroffenen in der Datenschutzerklärung.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, Raygun Real User Monitoring – wie auch jedes andere Einzeltool – mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen. Solche Tool-für-Tool-Bausteine machen die Datenschutzerklärung lang, unübersichtlich, schwer pflegbar und widersprechen tendenziell dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz: Verarbeitungen werden nach Themen (Serverbetrieb, Newsletter, Tracking, Verkauf …) übergreifend beschrieben, und die konkret eingesetzten Dienstleister – wie Raygun Limited – werden lediglich in einem Anhang: Empfänger aufgelistet. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com