Kostenlos beraten
Datadog DSGVO Compliance AVV Auftragsverarbeitungsvertrag Deutschland
tools

Datadog DSGVO & AVV: Compliance-Leitfaden für deutsche Unternehmen

Ja, Datadog ist DSGVO-konform. Datadog schließt einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ab, bietet EU-Datenspeicherung mit Frankfurt als primärem Standort (AWS eu-central-1) und hat Standardvertragsklauseln (SCC) für internationale Datentransfers verankert. Datadog ist nach ISO 27001, SOC 2 Typ II und CSA STAR zertifiziert. Für deutsche Unternehmen sind die zentralen Compliance-Aufgaben: die EU-Plattform (app.datadoghq.eu) nutzen, den AVV unterzeichnen und prüfen, welche personenbezogenen Daten Ihre Anwendungen an Datadog übermitteln — insbesondere bevor KI-Funktionen wie Bits AI und Watchdog aktiviert werden.

Ist Datadog DSGVO-konform?

Ja. Datadog stellt folgende DSGVO-Compliance-Infrastruktur bereit:

  • Auftragsverarbeitungsvertrag (AVV/ADV): Über die Kontoeinstellungen unter Organization Settings → Legal Documents abrufbar; deckt alle Pflichten des Art. 28 DSGVO für Auftragsverarbeiter ab.
  • EU-Datenspeicherung: Kunden auf app.datadoghq.eu haben Daten ausschließlich innerhalb der EU gespeichert und verarbeitet.
  • Standardvertragsklauseln (SCC): Vorhanden für Transfers in Drittstaaten außerhalb der EU/des EWR.
  • Unterauftragsverarbeiter-Liste: Veröffentlicht und regelmäßig aktualisiert im Datadog Trust Center; Änderungsbenachrichtigungen inklusive.
  • Zertifizierungen: ISO 27001, SOC 2 Typ II, CSA STAR Level 1.

Die Compliance-Frage ist nicht, ob Datadog DSGVO-konform ist — das ist es. Die entscheidende Frage ist, ob Ihre Konfiguration die DSGVO-Anforderungen erfüllt: welche personenbezogenen Daten Ihre Anwendungen an Datadog übermitteln und ob diese Verarbeitung ordnungsgemäß im Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO dokumentiert ist.

Welche Daten verarbeitet Datadog?

Datadog ist eine Observability-Plattform. Die verarbeiteten Daten hängen davon ab, wie Sie Ihre Systeme instrumentieren. Eine genaue Kenntnis der Datenkategorien ist vor dem DSGVO-konformen Einsatz unerlässlich.

Agent-Daten, Logs, Metriken und APM-Traces

  • Anwendungslogs: Enthalten häufig IP-Adressen, Nutzer-IDs, E-Mail-Adressen, Session-Token und Query-Parameter — alles personenbezogene Daten nach DSGVO.
  • APM-Traces: Distributed Tracing erfasst URL-Pfade, HTTP-Header und Query-Strings, die personenbezogene Identifikatoren enthalten können.
  • Metriken: In der Regel aggregiert und selten direkt personenbezogen — jedoch können benutzerdefinierte Metriken mit Nutzerattributen getaggt sein.
  • Real User Monitoring (RUM): Erfasst Browser-Session-Daten einschließlich IP-Adressen und Nutzungsverhalten.

Infrastrukturdaten

  • Hostnamen und IP-Adressen: Server- und Container-Metadaten, die vom Datadog Agent übermittelt werden.
  • Benutzerdefinierte Tags: Infrastruktur wird häufig mit Team-, Umgebungs- oder Projektmetadaten getaggt. Personenbezogene Tags sind zu vermeiden.
  • Container- und Orchestrierungsmetadaten: Kubernetes-Pod-Namen, Docker-Labels — in der Regel keine personenbezogenen Daten, aber in regulierten Umgebungen zu prüfen.

Bevor Sie KI-Funktionen aktivieren, die diese Daten abfragen, sollten Sie Ihre Log-Pipeline auditieren und Masking- oder Scrubbing-Regeln einrichten. Datadogs Sensitive Data Scanner erkennt und maskiert Muster wie E-Mail-Adressen, Kartennummern und benutzerdefinierte Regex-Muster, bevor Daten indexiert werden.

Der Auftragsverarbeitungsvertrag (AVV) mit Datadog

AVV abschließen

Den AVV mit Datadog schließen Sie direkt in Ihrem Konto ab:

  1. Melden Sie sich bei Ihrem Datadog-Konto an.
  2. Navigieren Sie zu Organization Settings → Legal Documents.
  3. Bestätigen Sie das Data Processing Addendum — für Standardimplementierungen ist keine individuelle Verhandlung erforderlich.

Bei Enterprise-Konten kann der AVV im Master-Servicevertrag integriert sein. Prüfen Sie, ob Ihr Vertrag diesen bereits enthält, und bewahren Sie eine unterzeichnete Kopie als Teil Ihrer Vendor-Compliance-Dokumentation auf.

Terminologiehinweis: Im deutschen Sprachraum werden „AVV” (Auftragsverarbeitungsvertrag) und das ältere „ADV” (Auftragsdatenverarbeitungs-Vertrag) synonym verwendet. Rechtlich sind beide gleichbedeutend; Art. 28 DSGVO regelt den erforderlichen Inhalt.

Art. 28 DSGVO Prüfliste für Datadog

AnforderungDatadog-Abdeckung
Verarbeitung nur auf dokumentierte WeisungIm Standard-AVV geregelt
Vertraulichkeitspflichten der autorisierten PersonenEnthalten
Technische und organisatorische Maßnahmen (TOM)ISO 27001, SOC 2 Typ II
Unterauftragsverarbeiter-Management mit VorabinformationListe veröffentlicht; Änderungsbenachrichtigung enthalten
Unterstützung bei BetroffenenrechtenLöschung und Auskunft unterstützt
Löschung oder Rückgabe nach AuftragsendeEnthalten
Audit-Kooperation und UnterstützungFür Enterprise-Konten verfügbar

Standardvertragsklauseln (SCC)

Wenn Ihre Organisation die US-Plattform (app.datadoghq.com) nutzt oder Datadogs Unterauftragsverarbeiter Daten außerhalb der EU/des EWR übermitteln, müssen Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 vorliegen. Datadogs Standard-AVV integriert SCC. Klären Sie mit Ihrem Account-Team, welche AWS-Regionen und Unterauftragsverarbeiter für Ihr Konto aktiv sind, und dokumentieren Sie den Übermittlungsmechanismus in Ihrem VVT.

Datenspeicherung in Deutschland und der EU

EU-Region Frankfurt (AWS eu-central-1)

Datadog betreibt eine dedizierte europäische Plattform unter app.datadoghq.eu. Daten werden innerhalb der Europäischen Union verarbeitet und gespeichert. Die primäre EU-Infrastruktur läuft auf AWS eu-central-1 (Frankfurt).

Wichtige Punkte für deutsche Unternehmen:

  • EU-Plattform ist Voraussetzung für EU-Datenspeicherung. Wer app.datadoghq.com (US-Plattform) nutzt, lässt Daten in den USA verarbeiten — SCC müssen vorhanden und dokumentiert sein.
  • Frankfurt als primäre Region. Für Unternehmen mit strikten Datenlokalisierungsanforderungen — Finanzdienstleistungen, Gesundheitswesen, kritische Infrastruktur — bestätigen Sie mit Ihrem Account-Team, dass Ihre Daten ausschließlich in eu-central-1 verarbeitet werden.
  • BSI-Kontext: Das BSI (Bundesamt für Sicherheit in der Informationstechnik) stellt in regulierten Sektoren (KRITIS, Finanzdienstleistungen) erhöhte Anforderungen an Protokollierung und Auditierbarkeit. Prüfen Sie, ob Datadog die BSI-Grundschutz-Anforderungen Ihrer Systemkategorie erfüllt.

Data Residency Add-On

Für Unternehmen mit erhöhten Anforderungen an die Datensouveränität bietet Datadog ein Data Residency Add-on, das die Verarbeitung vertraglich auf eine bestimmte Region beschränkt. Dies ist relevant für Unternehmen, die über Standard-DSGVO-Anforderungen hinausgehenden Pflichten unterliegen — etwa KRITIS-Regulierung oder branchenspezifische Anforderungen im Finanzsektor. Vereinbaren Sie diese Option mit Ihrem Account-Team vor Vertragsabschluss.

DSGVO-Rollen: Verantwortlicher und Auftragsverarbeiter

Die korrekte Rollenzuweisung ist Voraussetzung für Ihren VVT-Eintrag und den AVV.

Ihr Unternehmen ist der Verantwortliche (Controller). Sie bestimmen Zweck und Mittel der Verarbeitung — welche Daten an Datadog übermittelt werden, für welchen betrieblichen Zweck und auf welcher Rechtsgrundlage.

Datadog ist der Auftragsverarbeiter (Processor). Datadog verarbeitet personenbezogene Daten auf Ihre Weisung, wie im AVV festgelegt. Datadogs Unterauftragsverarbeiter (Cloud-Infrastrukturanbieter) sind weitere Auftragsverarbeiter, die auf Datadogs Weisung handeln.

Dies bedeutet: Die Rechtsgrundlage für die Verarbeitung von Monitoring-Daten — in der Regel berechtigte Interessen nach Art. 6(1)(f) DSGVO für den Betriebsablauf oder Vertragserfüllung nach Art. 6(1)(b) DSGVO — müssen Sie als Verantwortlicher festlegen und dokumentieren.

Besonderheit Mitarbeiterdaten: Wenn Datadog mitarbeiterbezogene Aktivitäten erfasst — Zugriffsprotokolle, Entwickleraktivität, leistungsbezogene Metriken — gilt ergänzend § 26 BDSG. Das Mitbestimmungsrecht des Betriebsrats nach § 87(1)(6) BetrVG greift, wenn Datadog zur Verhaltens- oder Leistungsüberwachung von Arbeitnehmern eingesetzt wird. Holen Sie Zustimmung des Betriebsrats ein oder schließen Sie eine Betriebsvereinbarung ab, bevor Sie Monitoring implementieren, das mitarbeiterbezogene Daten erfasst.

Zertifizierungen: SOC 2, ISO 27001, CSA STAR

Datadogs Sicherheitszertifizierungen belegen die technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO und unterstützen die Art.-28-Compliance:

  • ISO/IEC 27001: Internationaler Standard für Informationssicherheits-Managementsysteme — relevant für Vendor-Risk-Assessments.
  • SOC 2 Typ II: Unabhängige Prüfung von Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen über einen Prüfzeitraum. Stärker als Typ I. Den Bericht erhalten Sie unter NDA für Ihre Vendordokumentation.
  • CSA STAR Level 1: Selbstbewertung der Cloud Security Alliance gegen die Cloud Controls Matrix (CCM) — öffentlich im CSA STAR Registry abrufbar.

Diese Zertifizierungen erfüllen die Art.-28(3)(c)-Anforderung an TOM-Nachweise, ohne dass Sie für Standardimplementierungen eigene Audits durchführen müssen.

Prüfliste: Datadog DSGVO-konform einsetzen

  1. EU-Plattform nutzen — sicherstellen, dass Ihre Organisation app.datadoghq.eu verwendet.
  2. AVV abschließen — über Organization Settings → Legal Documents; Kopie aufbewahren.
  3. Datenpipeline auditieren — personenbezogene Daten in Logs, APM-Traces und RUM-Sessions identifizieren.
  4. Datenmaskierung konfigurieren — Sensitive Data Scanner und APM-Obfuskationsregeln einrichten.
  5. VVT aktualisieren — Datadog als Auftragsverarbeiter mit Zweck, Datenkategorien und Aufbewahrungsfristen eintragen.
  6. Betriebsrat prüfen — § 87(1)(6) BetrVG-Relevanz prüfen, wenn mitarbeiterbezogene Aktivitäten sichtbar sind.
  7. EU-Region bestätigen — AWS eu-central-1 bei vertraglicher Frankfurt-Pflicht schriftlich bestätigen lassen.

So hilft Compound Law

Deutsche Unternehmen, die Datadog einsetzen, benötigen häufig rechtliche Unterstützung bei:

  • AVV-Prüfung — Abgleich von Datadogs Standard-AVV mit Ihrem konkreten Verarbeitungskontext
  • VVT-Eintrag — Dokumentation von Datadog als Auftragsverarbeiter nach Art. 30 DSGVO
  • Datenschutz-Folgenabschätzung (DSFA) — bei umfangreicher Verarbeitung personenbezogener Daten oder Mitarbeiterüberwachung
  • Betriebsratskoordination — § 87(1)(6) BetrVG-Analyse und Betriebsvereinbarung
  • Vendor-Risk-Assessment — Prüfung von Zertifizierungen und Unterauftragsverarbeiter-Liste

Weitere Compliance-Leitfäden finden Sie auf unseren Seiten zu AWS Bedrock DSGVO, Azure OpenAI DSGVO & AVV, Claude Enterprise AVV und im Compliance-Hub.

Häufig gestellte Fragen

Hat Datadog einen AVV nach DSGVO?

Ja. Datadog stellt ein standardisiertes Data Processing Addendum (AVV) nach Art. 28 DSGVO bereit. Es ist in Ihrem Datadog-Konto unter Organization Settings → Legal Documents abrufbar und kann ohne individuelle Verhandlung bestätigt werden. Bei Enterprise-Kunden kann der AVV im Master-Servicevertrag integriert sein.

Wo speichert Datadog Daten standardmäßig?

Standardmäßig speichert Datadog Daten auf der US-Plattform (app.datadoghq.com) auf AWS-Infrastruktur in den Vereinigten Staaten. Für EU-Datenspeicherung muss Ihre Organisation die EU-Plattform app.datadoghq.eu nutzen, die AWS eu-central-1 (Frankfurt) als primäre Region verwendet. Es handelt sich um separate Plattformen — ein Wechsel erfordert die Einrichtung einer neuen Datadog-Organisation.

Kann ich Daten auf Deutschland beschränken?

Ja. Die Nutzung von app.datadoghq.eu beschränkt die Verarbeitung auf EU-Infrastruktur. Datadogs Data Residency Add-on bietet vertragliche Garantien für eine regionsspezifische Speicherung. Lassen Sie sich die aktiven AWS-Regionen für Ihr Konto schriftlich von Ihrem Account-Team bestätigen — insbesondere wenn Ihre Compliance-Anforderungen eine ausschließliche Frankfurt-Speicherung vorschreiben.

Welche personenbezogenen Daten verarbeitet Datadog?

Datadog erhebt keine eigenständigen personenbezogenen Daten — es verarbeitet das, was Ihre Anwendungen an die Plattform übermitteln. Typische personenbezogene Datenkategorien in Datadog-Instanzen: IP-Adressen (DSGVO Erwägungsgrund 30), Nutzer-IDs und E-Mail-Adressen in Anwendungslogs, Session-Token in Access-Logs sowie URL-Pfade oder Query-Parameter aus APM-Traces. Setzen Sie Datadogs Sensitive Data Scanner und APM-Obfuskationsregeln ein, um die Exponierung personenbezogener Daten in Ihrer Instanz zu reduzieren.

Weitere Tool-Guides

Airtable DSGVO und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

Airtable DSGVO: Hat Airtable einen Auftragsverarbeitungsvertrag (AVV)?

Airtable AI und DSGVO: AVV nur für Enterprise. Datentransfer, KI-Funktionen 2025, Unterauftragsverarbeiter und Betriebsratspflichten im Überblick.
Claude Team vs. Enterprise Tarifvergleich für deutsche Unternehmen
tools

Claude Team vs. Enterprise: Tarifvergleich für Unternehmen in Deutschland

Claude Team (~25 €/Nutzer/Monat) vs. Claude Enterprise: Funktionen, DSGVO-Unterschiede und welcher Tarif für Ihr Unternehmen geeignet ist.
Anthropic Standardvertragsklauseln SCC Modul 2 Modul 3 DSGVO Datenübermittlung
tools

Anthropic Standardvertragsklauseln (SCC): DSGVO-Leitfaden Modul 2 und 3

Anthropics EU-SCCs (Modul 2 und 3) sind automatisch im AVV enthalten. Welches Modul gilt für Ihr Unternehmen und was ist zusätzlich erforderlich?
Claude Zero Data Retention ZDR Leitfaden DSGVO-Datensparsamkeit für Unternehmen in Deutschland
tools

Claude Zero Data Retention (ZDR): Leitfaden für Unternehmen

Anthropics Zero Data Retention (ZDR): Eingaben und Ausgaben werden nach der API-Antwort nicht gespeichert. Berechtigte, Ausnahmen und DSGVO-Datensparsamkeit.
Claude Enterprise für Kanzleien und juristische Rechtsabteilungen
tools

Claude Enterprise für Kanzleien und Rechtsabteilungen

Claude Enterprise für Kanzleien: Vertragsanalyse, Due Diligence und Compliance-Dokumentation DSGVO-konform einsetzen — Leitfaden für Juristen.
Zapier DSGVO 2026 — AVV, Art. 28, SCCs und EU-Datentransfer fuer deutsche Unternehmen
tools

Zapier DSGVO 2026: AVV, Art. 28 & EU-Datentransfer aktuell

Ist Zapier DSGVO-konform? AVV nach Art. 28, SCCs, EU-Datenhaltung und Datentransfer 2026 — aktueller Compliance-Leitfaden fuer Deutschland.

Mehr KI-Tools durchsuchen

Häufige Fragen

Hat Datadog einen AVV nach DSGVO?

Ja. Datadog stellt ein standardisiertes Data Processing Addendum (AVV) nach Art. 28 DSGVO bereit. Es ist in Ihrem Datadog-Konto unter **Organization Settings → Legal Documents** abrufbar und kann ohne individuelle Verhandlung bestätigt werden. Bei Enterprise-Kunden kann der AVV im Master-Servicevertrag integriert sein.

Wo speichert Datadog Daten standardmäßig?

Standardmäßig speichert Datadog Daten auf der US-Plattform (app.datadoghq.com) auf AWS-Infrastruktur in den Vereinigten Staaten. Für EU-Datenspeicherung muss Ihre Organisation die EU-Plattform **app.datadoghq.eu** nutzen, die AWS eu-central-1 (Frankfurt) als primäre Region verwendet. Es handelt sich um separate Plattformen — ein Wechsel erfordert die Einrichtung einer neuen Datadog-Organisation.

Kann ich Daten auf Deutschland beschränken?

Ja. Die Nutzung von app.datadoghq.eu beschränkt die Verarbeitung auf EU-Infrastruktur. Datadogs Data Residency Add-on bietet vertragliche Garantien für eine regionsspezifische Speicherung. Lassen Sie sich die aktiven AWS-Regionen für Ihr Konto schriftlich von Ihrem Account-Team bestätigen — insbesondere wenn Ihre Compliance-Anforderungen eine ausschließliche Frankfurt-Speicherung vorschreiben.

Welche personenbezogenen Daten verarbeitet Datadog?

Datadog erhebt keine eigenständigen personenbezogenen Daten — es verarbeitet das, was Ihre Anwendungen an die Plattform übermitteln. Typische personenbezogene Datenkategorien in Datadog-Instanzen: IP-Adressen (DSGVO Erwägungsgrund 30), Nutzer-IDs und E-Mail-Adressen in Anwendungslogs, Session-Token in Access-Logs sowie URL-Pfade oder Query-Parameter aus APM-Traces. Setzen Sie Datadogs Sensitive Data Scanner und APM-Obfuskationsregeln ein, um die Exponierung personenbezogener Daten in Ihrer Instanz zu reduzieren.

Kostenlos beraten