New Relic und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber New Relic für Application Performance Monitoring (APM) und Observability ein, verarbeitet er technische Telemetriedaten (Fehler, Ladezeiten, Datenvolumen, Datenbankabfragen) zum Zweck der Systemüberwachung, Fehleranalyse und Produktverbesserung auf Basis berechtigter Interessen. New Relic Inc. (USA), zertifiziert unter dem Data Privacy Framework (DPF), fungiert dabei als Auftragsverarbeiter und überträgt Daten in die USA mit entsprechenden Transfermechanismen.

Diese Anleitung richtet sich an Webseitenbetreiber, die New Relic für Website- und Application-Monitoring nutzen und daher eine DSGVO-konforme Datenschutzerklärung benötigen.

A. Zweck und Funktionsweise von New Relic

New Relic ist eine Observability-Plattform für Application Performance Monitoring (APM), mit Schwerpunkt auf:

• Application Performance Monitoring (APM): Echtzeit-Ãœberwachung der Website- oder App-Performance (Antwortzeiten, Fehlerquoten, Datenbankabfragen)
• Browser Monitoring: Erfassung von Client-seitigen Performance-Metriken (Seitenladezeit, Rendering, JavaScript-Fehler)
• Real User Monitoring (RUM): Verfolgung echten Nutzerverhaltens und deren Performance-Erleben
• Log Management: Erfassung und Analyse von Server-Logs
• Infrastructure Monitoring: Ãœberwachung von Servern, Container, Netzwerk
• Alerting & Incidents: Automatische Benachrichtigungen bei Problemen

Integrationsfunktion auf der Website:

1. JavaScript Agent (Browser Monitoring): Ein kleines JavaScript-Snippet wird auf jeder Seite implementiert
2. Agent Libraries: Für Backend-Monit­oring werden Agenten in der Programmiersprache der Website installiert (Node.js, Python, Java, Ruby, PHP, etc.)
3. API & Webhooks: Die Website-Anwendung sendet Performance-Daten direkt an New Relic
4. Echtzeit-Dashboard: Der Entwickler/DevOps-Engineer sieht in der New Relic-Konsole Echtzeit-Metriken und Fehler

Typischer Datenfluss:

• Nutzer besucht die Website (JavaScript Agent wird geladen)
• Agent erfasst Performance-Daten (Seitenladezeit, JavaScript-Fehler, Netzwerk-Latenzen)
• Agent sendet Daten an New Relic-Server in USA (anonymisiert, ohne personenbezogene Daten)
• Entwickler sieht Dashboard in New Relic mit allen Metrics
• Bei Fehler: Alert wird gesendet, Entwickler kann Problem analysieren

B. Pflichtangaben in der Datenschutzerklärung zu New Relic

Die DSGVO verlangt: Zwecke (Art. 13 Abs. 1 lit. c), Rechtsgrundlagen (Art. 13 Abs. 1 lit. a), Empfängerkategorien (Art. 13 Abs. 1 lit. e), Drittlandtransfers (Art. 13 Abs. 1 lit. f) und Speicherdauer (Art. 13 Abs. 2 lit. a).

Sichtweise auf New Relic-Integration: Viele Websitebetreiber schreiben zu New Relic gar nichts in ihre Datenschutzerklärung oder schreiben »New Relic monitort die Website« – dies ist zu vage. Stattdessen sollte transparent werden:

• Was sind New Relic (APM-Tool für Websitenbetreiber)?
• Welche technischen Daten werden erhoben (Ladezeiten, Fehler, Netzwerk-Performance)?
• Zu welchem Zweck (Webseitenoptimierung, Fehleranalyse)?
• Aufgrund welcher Rechtsgrundlage (berechtigte Interessen)?
• Wo werden die Daten verarbeitet (USA mit DPF)?
• Werden personenbezogene Daten verarbeitet (normalerweise nein – New Relic ist anonymisiert)?

Besonders wichtig: New Relic erhebt standardmäßig keine personenbezogenen Daten – nur technische Telemetrie. Daher ist die Compliance-Anforderung geringer als bei Tools wie Braze oder Zendesk.

C. Anbieter von New Relic: New Relic Inc.

Juristischer Name: New Relic, Inc.

Sitzland: USA

Datenschutzerklärung: https://newrelic.com/termsandconditions/privacy

DPA-Link: https://newrelic.com/termsandconditions/dataprotection

DPF-Status: Ja, DPF-zertifiziert. New Relic Inc. ist zertifiziert unter dem EU-U.S. Data Privacy Framework (DPF), dem Swiss-U.S. DPF und der UK Extension zum DPF (https://newrelic.com/blog/observability/eu-us-dpf-international-transfers). Das DPF sichert angemessenes Datenschutzniveau für Transfers von der EU in die USA zu.

Sie können die Zertifizierung prüfen unter: https://www.dataprivacyframework.gov/s/participant-search

Datenschutzvereinbarung (DPA/AVV): New Relic bietet eine Data Protection Addendum (DPA) an. Diese ist verfügbar unter https://newrelic.com/termsandconditions/dataprotection. Die DPA regelt:

• New Relic-Rolle als Auftragsverarbeiter (Art. 28 DSGVO)
• Sicherheitsstandards (Verschlüsselung, Zugriffskontrolle)
• Data Privacy Framework und Standard Contractual Clauses (SCC) als Transfer-Mechanismen
• Subprozessoren-Verwaltung
• Unterstützung bei Betroffenenrechten

Die DPA muss unterzeichnet sein, um New Relic DSGVO-konform zu nutzen.

D. Datenverarbeitung durch New Relic – Ablauf

E. Erhobene Daten beim Einsatz von New Relic

Bei der Integration von New Relic erhebt der Websitenbetreiber folgende Datenarten – wichtig: New Relic erhebt standardmäßig KEINE personenbezogenen Daten:

Technische Telemetriedaten (Standard):

• Seitenladezeiten (in Millisekunden)
• JavaScript-Fehler und Stack-Traces
• Netzwerk-Latenzen
• Datenbankabfrage-Dauer
• CPU- und Speichernutzung
• Request-Raten (Requests pro Minute)
• Fehlerquoten
• User-Agent (aggregiert, nicht einzelnen Nutzern zugeordnet)
• IP-basierte Geolokation (aggregiert, nicht für einzelne Nutzer)
• Session-IDs (nicht personengebunden)
• HTTP-Status-Codes
• Verweildauer auf Seiten (aggregiert)

Custom Events (falls vom Websitenbetreiber konfiguriert):

• Falls der Websitenbetreiber zusätzliche Events tracking (z.B. »Benutzer hat Checkout gestartet«), können optional personenbezogene Daten enthalten sein
• Diese müssen aber vom Websitenbetreiber ausdrücklich parametrisiert und New Relic übermittelt werden – nicht Standard

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse (aggregiert), HTTP-Status, Response-Zeit, User-Agent
• Technische Telemetriedaten: Fehlerquoten, Ladezeiten, CPU/Memory, Datenbankabfragen-Dauer
• Endgeräte-Daten: Gerätetyp, Betriebssystem (aggregiert, nicht einzelnen Nutzern)
• Browserinformationen: Browsername, -version (aggregiert)
• Grobe Standortdaten: IP-basierter Standort auf Land-/Regions-Ebene (aggregiert)

Wichtig: Personenbezogene Daten sind nicht standard-mäßig enthalten. Falls der Websitenbetreiber Custom Events mit Namen, E-Mail oder ähnlichem definiert hat, sind diese Daten personenbezogen und müssen entsprechend behandelt werden.

F. Nutzungszwecke beim Einsatz von New Relic

Bei der Nutzung von New Relic werden technische Daten zu folgenden Zwecken verarbeitet:

Primäre Zwecke:

• Funktionsbereitstellung: Bereitstellung des Monitoring-Dashboards und APM-Features
• Sicherheit und Fehleranalyse: Identifikation von Bugs, Performance-Problemen, Sicherheitslücken
• Allgemeine Produktverbesserung: Analyse von Website-Performance, Identifikation von Bottlenecks, Optimierungsempfehlungen
• Alerting und Benachrichtigungen: Warnung bei Performance-Degradation oder Fehlern
• Trend-Analyse: Vergleich von Performance über Zeit, Kapazitätsplanung
• Compliance und Auditing: Dokumentation der Website-Performance für SLA-Nachweis

Sekundäre Zwecke (falls aktiviert):

• Produktverbesserung durch New Relic: New Relic nutzt anonymisierte Daten zur Verbesserung des eigenen Produkts
• Analytik: Branchenbenchmarks, Vergleiche mit anderen Kunden (anonymisiert)

G. Rechtsgrundlagen für New Relic

Schritt 1: Kategorisierung von New Relic New Relic ist ein Auftragsverarbeiter (Art. 28 DSGVO). Der Websitenbetreiber ist Verantwortlicher. Da New Relic standardmäßig keine personenbezogenen Daten erhebt, ist die DSGVO-Anforderung geringer als bei Tools wie Braze oder Zendesk.

Schritt 2: Anwendbare Rechtsgrundlagen

1. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Primär:

   • Der Websitenbetreiber hat ein starkes berechtigtes Interesse, seine Website zu monitoren und zu optimieren
   • Fehleranalyse und Performance-Ãœberwachung sind notwendig für Betriebssicherheit und Benutzerfreundlichkeit
   • Die Interessen des Websitebetreibers überwiegen die Interessen des Nutzers deutlich, da:
     • Daten sind anonymisiert/aggregiert (kein hoher Eingriff)
     • Nutzer erwartet, dass Websites optimiert werden
     • Fehlersuche ist notwendig für stabilen Betrieb

2. Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) – Sekundär:

   • Falls der Websitebetreiber eine Kundenbeziehung mit Nutzern hat (Verkauf, Abonnement), können Performance-Daten zur Verbesserung des Services notwendig sein
   • Nicht primär, da Nutzer keine explizite Leistung von »Performance-Monitoring« erhalten

Besonderheit – § 25 TDDDG und Cookies: Falls New Relic-Agent auch Cookies setzt (z.B. zur Session-Verfolgung), ist Opt-in-Einwilligung erforderlich (§ 25 Abs. 1 TDDDG). Dies ist unabhängig von der Datenschutzerklärung und erfordert:

• Cookie-Banner mit Auswahl »New Relic Monitoring« (nicht vorgeprüft)
• Explicit Opt-in vor Agent-Laden
• Dokumentation des Consent

Wichtig: Reine Performance-Daten ohne Cookies benötigen keine Einwilligung, nur Erwähnung in Datenschutzerklärung.

H. Besonderheiten und Hinweise zu New Relic

1. New Relic erhebt standardmäßig keine personenbezogenen Daten Dies ist ein großer Vorteil gegenüber Marketing-Tools:

• Der Standardfall: Nur technische Telemetrie (Fehler, Ladezeiten, etc.)
• Keine Namen, E-Mails, IP-Adressen von einzelnen Nutzern (nur aggregiert)
• Daher ist die Datenschutz-Anforderung deutlich geringer

Aber Vorsicht: Falls der Websitenbetreiber Custom Events mit personenbezogenen Daten definiert hat, müssen diese als personenbezogene Daten behandelt werden.

2. New Relic ist DPF-zertifiziert New Relic nutzt das Data Privacy Framework (DPF) für Drittlandtransfers. Das bedeutet:

• Daten werden in die USA übermittelt
• New Relic hat sich selbst zertifiziert, dass es die DPF-Anforderungen erfüllt
• Im Fall der Invalidierung des DPF hat New Relic Standard Contractual Clauses (SCC) als automatischer Fallback

Sie sollten in Ihrer Datenschutzerklärung erwähnen: »New Relic ist Data Privacy Framework zertifiziert und nutzt SCC als Fallback.«

3. DPA ist zwingend erforderlich Sie müssen eine Data Processing Agreement (DPA) mit New Relic haben. Verfügbar unter: https://newrelic.com/termsandconditions/dataprotection. Die DPA muss unterzeichnet sein.

4. Speicherdauer und Retention New Relic speichert Daten standardmäßig 30 Tage. Danach automatische Löschung. Sie können optional:

• Extended Retention kaufen (bis 13 Monate)
• Oder Daten exportieren und lokal speichern

Dies ist ein großer Unterschied zu anderen Tools und vereinfacht die DSGVO-Compliance.

5. Cookies und § 25 TDDDG Falls der New Relic-Agent Cookies setzt (was normalerweise der Fall ist):

• Sie benötigen Opt-in-Einwilligung (§ 25 Abs. 1 TDDDG)
• Ein Cookie-Banner muss »New Relic Monitoring« als separate Option anbieten
• Default sollte ausgeschaltet sein (nicht vorgeprüft)

Dies ist unabhängig von der Datenschutzerklärung und betrifft den Consent-Mechanismus.

6. Betroffenenrechte Da New Relic standardmäßig keine personenbezogenen Daten erhebt:

• Betroffene können nicht »ihre« Daten anfragen (es gibt keine)
• Ausnahme: Falls Custom Events personenbezogene Daten enthalten, müssen Betroffenenrechte unterstützt werden

7. Subprozessoren New Relic nutzt Subprozessoren für Hosting (AWS, Azure). Prüfen Sie die New Relic-Subprozessoren-Liste und dokumentieren Sie diese in Ihrer Datenschutzerklärung oder Datenschutzerklärung-Anhänge.

I. FAQ zu New Relic

J. Fazit und Empfehlung zu New Relic

New Relic ist ein technisches Monitoring-Tool mit geringer Datenschutz-Komplexität, da es standardmäßig keine personenbezogenen Daten erhebt:

• Berechtigte Interessen reichen als Rechtsgrundlage
• Keine explizite Einwilligung erforderlich (außer für Cookies)
• Kurze Aufbewahrungsdauer (30 Tage Standard)
• Keine Komplexität mit Subprozessoren-Consent wie bei Marketing-Tools

Toolspezifische Textbausteine (»New Relic monitort die Website«) sind zu kurz und erklären nicht, wozu und wie die Daten genutzt werden.

Empfehlung: Nutzen Sie einen themenorientierten Aufbau:

• Sektion »Website-Monitoring und Performance« mit Beschreibung des Tools
• Klare Information: »New Relic erhebt technische Daten, keine personenbezogenen Daten«
• Sektion »Drittlandtransfers« mit Verweis auf DPF/SCC
• Sektion »Ihre Rechte« (mit Hinweis: normale Betroffenenrechte gelten, da keine personenbezogenen Daten)
• Cookie-Banner mit separater Option für »New Relic Monitoring« (falls Cookies gesetzt)

Stellen Sie sicher, dass:

• Die DPA mit New Relic unterzeichnet ist
• Der New Relic-Agent korrekt konfiguriert ist (keine Custom Events mit personenbezogenen Daten)
• Die Cookie-Einstellung im Banner »New Relic Monitoring« anbietet
• Die Aufbewahrungsdauer in der Datenschutzerklärung dokumentiert ist