New Relic Browser Agent und Datenschutz – Was in die Datenschutzerklärung gehört

Der New Relic Browser Agent ermöglicht Real User Monitoring (RUM) und misst die Performance von Webseiten aus dem Browser des Endnutzers. Die JavaScript-Integration erhebt dabei technische Daten zu Ladezeiten, Fehlern und Nutzerinteraktionen. Dieser Leitfaden dokumentiert, welche Datenschutzinformationen in eine Datenschutzerklärung gehören, wenn New Relic Browser Monitoring eingesetzt wird.

A. Zweck und Funktionsweise des New Relic Browser Agent

Der New Relic Browser Agent ist ein JavaScript-Code-Schnipsel, das in die Webseite eingebunden wird (entweder direkt in den <head>-Bereich oder via APM-Agent) und kontinuierlich Performance-Daten erfasst. Das Tool konzentriert sich auf Frontend-Performance-Monitoring und misst:

• Seitenladezeiten und Ressourcen-Ladezeiten
• Core Web Vitals: Largest Contentful Paint (LCP), First Input Delay (FID) und Cumulative Layout Shift (CLS)
• JavaScript-Fehler im Browser des Nutzers
• AJAX- und HTTP-Requests sowie deren Antwortzeiten
• Seiten-Navigation (Klickpfade) und Nutzerinteraktionen
• Technische Telemetriedaten wie Gerätetyp, Betriebssystem, Browser-Version

Abgrenzung: New Relic ist eine umfassende Observability-Plattform mit vielen Produkten (APM, Infrastructure, Logs, Synthetics). Dieser Leitfaden behandelt ausschließlich den Browser Agent zur Webseiten-Integration. Andere New Relic-Funktionen erfordern separate Datenschutz-Dokumentation.

B. Pflichtangaben in der Datenschutzerklärung

Nach der Datenschutz-Grundverordnung (DSGVO) und dem Telemediengesetz (TMG) müssen Website-Betreiber Nutzern transparent über Datenverarbeitung berichten. Eine Datenschutzerklärung muss gemäß Art. 13, 14 DSGVO folgende Informationen enthalten:

1. Verantwortlicher (Website-Betreiber) und Auftragsverarbeiter (New Relic)
2. Zwecke der Datenverarbeitung
3. Kategorien personenbezogener Daten, die erhoben werden
4. Rechtsgrundlagen für die Verarbeitung
5. Speicherdauer und Löschungspolitik
6. Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenportabilität)
7. Bei Drittlandtransfers: Garantien (Data Privacy Framework, Standardvertragsklauseln)

Die Angaben müssen präzise, verständlich und nicht zu allgemein formuliert sein. Pauschale Aussagen wie „wir nutzen Analyse-Tools" genügen nicht—konkrete Angaben zu New Relic sind erforderlich.

C. Anbieter

Verantwortlicher (Website-Betreiber):
Sie selbst (oder Ihre Organisation)

Auftragsverarbeiter:
New Relic, Inc.
188 Spear Street, Suite 1200
San Francisco, CA 94105, USA

Datenschutzbeauftragter:
New Relic hat einen Datenschutzbeauftragten (DPO) mit Sitz in Deutschland, erreichbar unter: Privacy@newrelic.com

Rechtsform:
New Relic ist ein US-amerikanisches Unternehmen (Delaware Corporation), unterliegt aber als Auftragsverarbeiter der DSGVO und hat einen Datenschutz-Auskunftspflicht-Mechanismus eingerichtet.

Zertifizierungen:

• EU-U.S. Data Privacy Framework (DPF): New Relic ist unter der DPF-Initiative zertifiziert (ersetzt das ehemals ungültige Privacy Shield)
• Standardvertragsklauseln (SCCs 2021): Als Fallback-Mechanismus in der Data Processing Addendum (DPA) enthalten
• GDPR-Compliance: New Relic ist ein EU-GDPR und UK-GDPR konformer Auftragsverarbeiter

Rechenzentren und Datenspeicherung:
New Relic bietet Kunden die Wahl zwischen US-Rechenzentren und EU-Rechenzentren (Irland). Kundenendaten werden in der vom Account-Inhaber gewählten Region gespeichert. Systemoperationsdaten (Billing, Lizenzen, interne Monitoring) werden in den USA gehostet und in die EU repliziert.

Privacy Policy:
https://newrelic.com/termsandconditions/privacy

D. Datenverarbeitung – Ablauf

E. Erhobene Daten

Der Browser Agent erhebt folgende Kategorien personenbezogener und technischer Daten:

Webserver-Protokolldaten:

• IP-Adresse des Nutzers (New Relic gibt an: wird zur Bestimmung der groben geografischen Lage verwendet, aber nicht zur Identifikation des Nutzers herangezogen; wird nicht langfristig protokolliert)
• Zeitstempel der Anfrage (Datum und Uhrzeit)

Klickpfade und Navigation:

• Besuchte Seiten und interne Navigationspfade
• Verweis-URLs (Referrer) — ohne Query-String (New Relic deaktiviert die Erfassung von URL-Parametern aus Datenschutzgründen)

Endgeräte- und Systeminformationen:

• Gerätetyp (Desktop, Tablet, Smartphone)
• Betriebssystem und Version
• Bildschirmauflösung
• Browser-Informationen (Typ, Version)

Grobe Standortdaten:

• Geografische Region (abgeleitet aus IP-Adresse auf groben Ebene)

Technische Telemetriedaten (Core Web Vitals):

• Largest Contentful Paint (LCP): Zeit bis zum Rendering des größten Inhalts-Elements
• First Input Delay (FID): Verzögerung zwischen Nutzerinteraktion und Browser-Reaktion
• Cumulative Layout Shift (CLS): Unerwartete visuelle Verschiebungen während des Seitenladeablaufs
• Allgemeine Ressourcen-Ladezeiten (CSS, Bilder, Scripts)

Fehlertelemetrie:

• JavaScript-Fehler: Fehlermeldungen, Stacktraces
• Netzwerkfehler: Fehlgeschlagene AJAX-/HTTP-Requests

AJAX- und HTTP-Request-Daten:

• Request-URLs, HTTP-Methoden, Antwort-Statuscodes
• Response-Zeiten

Session-Management:

• Session-ID: Ein eindeutiger Identifikator für eine Browser-Sitzung (in modernen Browser-Agent-Versionen ≥ 1220 über DOM Storage, nicht via Cookies)
• Session-Timeout: 30 Minuten Inaktivität beendet eine Session

Abhängig von Konfiguration:

• Cookie-Daten (bei aktivierter Cookie-Collection in älteren Agent-Versionen)
• Zusätzliche benutzerdefinierte Daten (falls Sie diese explizit an New Relic senden)

F. Nutzungszwecke

Funktionsbereitstellung und Fehlerdiagnose:

• Echtzeit-Erkennung und Behebung technischer Fehler und Performance-Probleme auf Ihrer Website
• Identifikation fehlerhafter Ressourcen oder langsamer API-Endpunkte

Allgemeine Produktverbesserung:

• Analyse und Optimierung der Website-Performance
• Monitoring von Nutzererfahrung (User Experience / Digital Experience)
• Bedarfsgerechte Weiterentwicklung und Verbesserung Ihrer Website-Architektur

Sicherheit und Anomalieerkennung:

• Erkennung von ungewöhnlichen Mustern, Bot-Aktivitäten oder Missbrauchsindikatoren
• Sicherung gegen Fehlfunktionen und Ausfallschutz

Interne Analytik und Reporting (begrenzt):

• Aggregierte Statistiken für interne Geschäfts- und Optimierungszwecke
• Keine Erstellung von Nutzerprofilen oder Verhaltensprofilierung für externe Zwecke

G. Rechtsgrundlagen

Primäre Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Die Nutzung von New Relic Browser Agent wird in den meisten Fällen durch berechtigtes Interesse gerechtfertigt, wenn folgende Bedingungen erfüllt sind:

1. Keine Profilbildung: Daten werden ausschließlich für technische Performance-Analyse verwendet, nicht zur Erstellung von Nutzerprofilen oder Verhaltensprofilierung
2. Minimale Datenerhebung: Nur technisch notwendige Daten werden erhoben (Query-Strings, IP-Adressen zur Nutzeridentifikation sind deaktiviert)
3. Outweighing Test: Das Interesse an Website-Sicherheit und -Optimierung überwiegt die Interessen der Nutzer (da die Datenverarbeitung eher unfreiwillig und Nutzer üblich über solche Tools informiert sind)

Sekundäre Rechtsgrundlagen (kontextabhängig):

• Vertragserfüllung (Art. 6 Abs. 1 lit. b): Falls Sie als SaaS-Provider oder E-Commerce-Betreiber vertraglich verpflichtet sind, die Website-Verfügbarkeit zu garantieren
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Falls branchenspezifische Compliance-Anforderungen Performance-Monitoring verpflichtend machen
• Einwilligung (Art. 6 Abs. 1 lit. a): Falls Sie sich bewusst für eine Einwilligungs-Strategie entscheiden (z.B. Cookie-Banner mit explizitem Opt-in für Analytics)

Besonderheit: Cookie-Nutzung und Elektronische Privatspähre (TDDDG / ePrivacy-Richtlinie)

Falls der New Relic Browser Agent Session-Tracking über Cookies durchführt (ältere Agent-Versionen < 1220), ist zusätzlich eine Rechtfertigung gemäß § 25 TDDDG (Telemediengesetz Deutschland) oder EU-ePrivacy-Richtlinie (2002/58/EG) erforderlich:

• Bei nicht-essentiellen Cookies: Einwilligung erforderlich (Cookie-Banner mit Opt-in)
• Bei essentiellen / funktionalen Cookies: Einwilligung nicht zwingend erforderlich

Fazit: Moderne New Relic Browser Agent-Versionen (≥ 1220) verwenden DOM Storage statt Cookies und erfordern somit keine separate ePrivacy-Einwilligung. Eine Dokumentation der Rechtsgrundlage (berechtigtes Interesse oder Einwilligung) in der Datenschutzerklärung ist jedoch mandatory.

H. Besonderheiten und Hinweise

Data Processing Addendum (DPA) und Auftragsverarbeitung:

New Relic und Ihre Website-Domain haben automatisch einen Data Processing Addendum (DPA) abgeschlossen, falls Sie personenbezogene Daten an New Relic übertragen. Der DPA ist nicht zu unterschreiben—er gilt automatisch für alle GDPR-relevanten Datenübertragungen. Der DPA regelt:

• Umfang und Vertraulichkeit der Datenverarbeitung
• Sicherheitsmaßnahmen (Verschlüsselung, Zugriffskontrolle, Datenschutzbeauftragter)
• Meldungspflicht bei Datenpannen (Notification Timeline)
• Unter-Auftragsverarbeiter (Sub-processors)
• Audit- und Überprüfungsrechte

Link zum DPA:
Aktueller DPA: https://newrelic.com/termsandconditions/dataprotection

Drittlandtransfer und internationale Datenströme:

Die USA gelten als Drittland bez. DSGVO. New Relic hat folgende Garantien implementiert:

1. EU-U.S. Data Privacy Framework (DPF): New Relic ist unter DPF zertifiziert (ersetzt das ungültige Privacy Shield). Diese Zertifizierung gewährleistet angemessenes Datenschutzniveau bei Transfer zu New Relic in den USA.
2. Standardvertragsklauseln (SCCs, 2021-Version): Im DPA integriert als Fallback-Garantie, falls DPF invalidiert wird
3. EU-Datenspeicherung möglich: Sie können bei New Relic EU-Datenspeicherung (Irland, one.eu.newrelic.com) wählen, um Drittlandtransfers zu vermeiden

Bei EU-Datenspeicherung: Kundenendaten bleiben in der EU; Systemoperationsdaten (Billing) werden dennoch in den USA gespeichert und in die EU repliziert.

Empfehlung: Falls Sie unter strikter DSGVO-Compliance-Anforderung arbeiten, sollten Sie die EU-Datenspeicherungs-Option wählen und dies in Ihrer Datenschutzerklärung dokumentieren.

Datenobfuscation und sensible Daten:

New Relic Browser Agent bietet Obfuscation-Regeln zur Maskierung sensibler Daten. Ab Browser Agent v1216+ können Sie Obfuscation-Selector und -Replacements konfigurieren:

init: {
  obfuscate: [
    {
      regex: /password.*?=/gi,
      replacement: "password=***"
    },
    {
      regex: /ssn/gi,
      replacement: "XXX-XX-XXXX"
    }
  ]
}

Maßnahmen:

• MASK: Ersetzt alle Zeichen mit Xes (z.B. Formularfeld-Werte)
• HASH: Ersetzt sensible Daten mit SHA-256-Hash-Wert
• Prüfung: Sie sollten konfigurieren, dass Passwörter, Kreditkartennummern, Sozialversicherungsnummern und andere PII nicht von New Relic erfasst werden

Session-Tracking und Cookie-Management (Browser Agent ≥ 1220):

• Moderne Versionen verwenden DOM Storage (localStorage) statt Cookies
• Session-ID: Wird lokal im Browser gespeichert und ermöglicht Session-Kontinuität über Tabs hinweg
• Session-Timeout: 30 Minuten Inaktivität beendet die Session
• Keine Third-Party-Cookies: Third-Party-Cookies sind deprecated und werden nicht mehr verwendet
• Kontrolle: Sie können Cookie-Collection in den Browser-App-Einstellungen (Privacy Settings) aktivieren/deaktivieren

Datenspeicherdauer und Aufbewahrung:

Die Aufbewahrungsdauer von Daten bei New Relic ist konfigurierbar in Ihrem New Relic-Account. Typischerweise:

• Raw-Event-Daten: 8–30 Tage (je nach Plan)
• Aggregierte Metriken: bis zu 13 Monate
• Sie können kürzere Aufbewahrungsfristen setzen oder Daten manuell löschen

Empfehlung für Datenschutzerklärung: Dokumentieren Sie, welche Aufbewahrungsfristen Sie konkret konfiguriert haben.

Besucherrechte und Datenportabilität:

New Relic unterstützt gemäß DSGVO-Anforderungen:

• Auskunftsanfragen (Art. 15): Nutzer können anfragen, welche Daten New Relic über sie speichert
• Löschungsanfragen (Art. 17): New Relic kann Daten zu einem Nutzer (z.B. via Session-ID) löschen
• Datenportabilität (Art. 20): Export von Daten in maschinenlesbarem Format

Link für persönliche Datenpflichten:
https://docs.newrelic.com/docs/security/security-privacy/data-privacy/new-relic-personal-data-requests/

I. Häufige Fragen zu New Relic Browser Agent und Datenschutz

J. Fazit

Der New Relic Browser Agent ist ein weit verbreitetes und datenschutzfreundliches Tool für Website-Performance-Monitoring, wenn die richtigen Vorkehrungen getroffen werden. Eine transparent formulierte Datenschutzerklärung mit konkreten Angaben zu Datentypen, Zwecken, Rechtsgrundlagen und Drittlandtransfers ist mandatory—allgemeine Formulierungen zu „Analyse-Tools" sind unzureichend.

Wichtigste Schritte:

1. Rechtsgrundlage wählen: Berechtigtes Interesse oder Einwilligung
2. Konfiguration überprüfen: Obfuscation für sensitive Daten aktivieren, EU-Datenspeicherung bei Bedarf
3. DPA beachten: New Relic DPA ist automatisch gültig—Sie müssen nicht aktiv unterschreiben
4. Aufbewahrung dokumentieren: Konkrete Fristen in Ihrem New Relic-Account setzen und dokumentieren
5. Datenschutzerklärung anpassen: Spezifische Angaben zu New Relic Browser Agent einfügen (nicht generisch)
6. Regelmäßige Überprüfung: Besonders bei Updates zu New Relic oder Änderungen an den Datenschutzbestimmungen

Nutzen Sie hierzu auch unseren Website Privacy Policy Generator, um eine prüffähige, DSGVO-konforme Datenschutzerklärung zu erstellen.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com