Datadog DSGVO-Compliance: Leitfaden für deutsche Engineering-Teams

Datadog ist DSGVO-konform für deutsche Unternehmen — das Unternehmen stellt einen Auftragsverarbeitungsvertrag (AVV/ADV) gemäß Art. 28 DSGVO zur Verfügung, unterstützt EU-Datenspeicherung über die europäische Plattform (app.datadoghq.eu) und hat Standardvertragsklauseln (SCCs) für internationale Datentransfers im Einsatz. Datadog ist nach ISO 27001 und SOC 2 Typ II zertifiziert. Die praktischen Compliance-Fragen für deutsche Engineering-Teams drehen sich darum, welche personenbezogenen Daten in Ihre Datadog-Instanz fließen — und wie KI-Funktionen wie Bits AI und Watchdog auf diese Daten zugreifen.

Ist Datadog DSGVO-konform?

Ja. Datadog stellt folgende DSGVO-Compliance-Infrastruktur bereit:

• Auftragsverarbeitungsvertrag (AVV/ADV): Über das Datadog Trust Center verfügbar, abdeckend die Pflichten des Art. 28 DSGVO für Auftragsverarbeiter.
• EU-Datenspeicherung: Kunden auf app.datadoghq.eu haben ihre Daten ausschließlich innerhalb der EU gespeichert und verarbeitet.
• Standardvertragsklauseln (SCCs): Vorhanden für Transfers in Drittländer.
• Unterauftragsverarbeiter-Liste: Veröffentlicht und aktuell im Trust Center.
• Zertifizierungen: ISO 27001 und SOC 2 Typ II.

Die Compliance-Frage ist nicht, ob Datadog DSGVO-konform ist — das ist es. Die Frage ist, ob Ihre Konfiguration die DSGVO-Anforderungen erfüllt: insbesondere, welche personenbezogenen Daten Sie an Datadog übermitteln und ob Sie diese Verarbeitung ordnungsgemäß dokumentiert haben.

Datadog Auftragsverarbeitungsvertrag (AVV/ADV)

Abschluss des AVV

Datadogs AVV ist über Ihre Kontoeinstellungen unter Organization Settings → Legal Documents oder über das Datadog Trust Center verfügbar. Für Standardimplementierungen ist kein individuell ausgehandelter Vertrag erforderlich — Datadogs Standard-AVV deckt die Anforderungen des Art. 28 DSGVO ab.

Hinweis zur Terminologie: Im deutschen Sprachraum werden sowohl „AVV” (Auftragsverarbeitungsvertrag) als auch „ADV” (Auftragsverarbeitungs-/Auftragsdatenverarbeitungs-Vertrag, älterer Begriff) verwendet. Rechtlich sind beide gleichbedeutend; Art. 28 DSGVO regelt den Inhalt.

Art. 28 DSGVO Prüfliste für Datadog

Anforderung	Datadog-Abdeckung
Verarbeitung nur auf dokumentierte Weisung	Im Standard-AVV geregelt
Vertraulichkeitspflichten der autorisierten Personen	Enthalten
Technische und organisatorische Maßnahmen	ISO 27001, SOC 2 Typ II
Unterauftragsverarbeiter-Management mit Vorabinformation	Liste veröffentlicht; Änderungsbenachrichtigung enthalten
Unterstützung bei Betroffenenrechten	Löschung und Auskunft unterstützt
Löschung oder Rückgabe nach Auftragsende	Enthalten
Audit-Kooperation und Unterstützung	Für Enterprise-Konten verfügbar

Unterauftragsverarbeiter

Datadog setzt Cloud-Infrastruktur-Unterauftragsverarbeiter ein. Bei EU-Deployments auf app.datadoghq.eu erfolgt die Datenverarbeitung überwiegend innerhalb der EU. Die aktuelle Unterauftragsverarbeiter-Liste ist im Trust Center verfügbar und sollte im Rahmen des Vendor-Onboardings geprüft werden.

Datadog KI-Funktionen und personenbezogene Daten

Das DSGVO-Risiko bei Datadog KI liegt nicht in den KI-Funktionen selbst — es liegt in den personenbezogenen Daten, die bereits in Ihrer Datadog-Instanz vorhanden sind und die diese Funktionen dann abfragen und verarbeiten.

Log Management: Personenbezogene Daten in Logs

Anwendungslogs enthalten häufig Daten, die nach DSGVO als personenbezogen gelten:

• IP-Adressen — ausdrücklich personenbezogene Daten nach DSGVO Erwägungsgrund 30; dies ist einer der häufigsten Compliance-Fallstricke bei Logging-Plattformen
• Nutzer-IDs und E-Mail-Adressen in Anwendungs- oder Zugriffs-Logs
• Session-Token und Authentifizierungs-IDs in Access-Logs
• Query-Parameter mit nutzereingegebenen Inhalten

Bevor Sie Datadog KI-Funktionen aktivieren, die Logs abfragen, sollten Sie Ihre Log-Pipeline auditieren und Masking- oder Scrubbing-Regeln einrichten. Datadogs Sensitive Data Scanner kann Muster wie E-Mail-Adressen, Kartennummern und benutzerdefinierte Regex-Muster identifizieren und vor der Indexierung maskieren.

APM-Traces mit personenbezogenen Daten

Distributed Tracing kann URL-Pfade, Query-Parameter oder HTTP-Header erfassen, die personenbezogene Identifikatoren enthalten. Konfigurieren Sie Span-Tag-Allowlists und Obfuskationsregeln in Ihren APM-Einstellungen, um den Umfang der gespeicherten Daten zu begrenzen.

KI/ML-Funktionen und Datensparsamkeit

Datadogs Watchdog-Anomalieerkennung und Bits AI Natural Language Queries arbeiten auf Ihrer bestehenden Telemetrie. Relevante Compliance-Fragen:

• Modelltraining: Prüfen Sie, ob Datadog Ihre Telemetriedaten zur Verbesserung eigener KI-Modelle nutzt. Enterprise-Verträge enthalten in der Regel entsprechende Schutzklauseln; fordern Sie im Zweifelsfall eine schriftliche Bestätigung an.
• Datensparsamkeit nach Art. 5(1)(c) DSGVO: Instrumentieren Sie nur, was betrieblich notwendig ist. Vermeiden Sie das vollständige Logging von Request-Bodies und setzen Sie Aufbewahrungsfristen passend zu Ihren DSGVO-Pflichten.

BSI-Kontext für sicherheitssensible Branchen

Unternehmen in regulierten Sektoren (Finanzdienstleistungen, kritische Infrastruktur) sollten beachten, dass das BSI (Bundesamt für Sicherheit in der Informationstechnik) bei der Auswahl von Monitoring-Plattformen zusätzliche Anforderungen an Protokollierung und Auditierbarkeit stellt. Prüfen Sie, ob Datadog die BSI-Grundschutz-Anforderungen an Ihre Systemkategorie erfüllt.

Datenspeicherung: Kann Datadog Daten in Deutschland oder der EU speichern?

Ja. Datadog betreibt eine dedizierte EU-Plattform unter app.datadoghq.eu, bei der Daten innerhalb der Europäischen Union verarbeitet und gespeichert werden.

Wichtige Punkte für deutsche Unternehmen:

• EU-Plattform erforderlich für EU-Datenspeicherung: Wenn Ihre Organisation app.datadoghq.com (US-Plattform) nutzt, werden Daten in den USA verarbeitet. SCCs müssen vorhanden sein — bestätigen Sie dies schriftlich mit Ihrem Account-Team.
• AWS EU-West (Frankfurt): Datadogs EU-Region nutzt AWS-Infrastruktur in der EU; Frankfurt ist verfügbar. Bestätigen Sie die spezifische AWS-Region mit Ihrem Account-Team, wenn ausschließlich Frankfurt-Speicherung vertraglich erforderlich ist.
• Datensouveränität in regulierten Branchen: Für Unternehmen mit branchenspezifischen Anforderungen (Finanzdienstleistungen, Gesundheitswesen, KRITIS) holen Sie schriftliche Bestätigung ein, welche AWS-Regionen Ihre Daten berühren.

Prüfliste: Datadog DSGVO-konform in Deutschland einsetzen

1. EU-Plattform nutzen — stellen Sie sicher, dass Ihre Organisation app.datadoghq.eu verwendet, nicht app.datadoghq.com.
2. AVV abschließen — unterzeichnen Sie Datadogs Standard-AVV über die Kontoeinstellungen und bewahren Sie eine Kopie auf.
3. Datenpipeline auditieren — identifizieren Sie personenbezogene Daten in Logs, APM-Traces und Metriken, bevor Sie KI-Abfragefunktionen aktivieren.
4. Datenmaskierung konfigurieren — setzen Sie den Sensitive Data Scanner und APM-Obfuskationsregeln ein, um die Exponierung personenbezogener Daten zu reduzieren.
5. Verzeichnis der Verarbeitungstätigkeiten aktualisieren — fügen Sie Datadog als Auftragsverarbeiter in Ihr VVT nach Art. 30 DSGVO ein, inklusive Zweck, Datenkategorien und Aufbewahrungsfristen.

So hilft Compound Law

Deutsche Engineering-Teams, die Datadog einsetzen, benötigen häufig Unterstützung bei:

• AVV-Prüfung — Abgleich von Datadogs Bedingungen mit Ihrem konkreten Verarbeitungskontext und Ihren Datenflüssen
• VVT und Dokumentation — Aufnahme von Datadog in Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO
• Datenschutz-Folgenabschätzung (DSFA) — wenn Datadog erhebliche Mengen personenbezogener Daten oder mitarbeiterbezogener Daten verarbeitet
• Betriebsratskoordination — wenn Datadog mitarbeiterbezogene Aktivitäten überwacht (§ 87(1)(6) BetrVG greift, wenn Zugriffsprotokolle oder Leistungsdaten einsehbar sind)
• AI-Act-Klassifizierung — für Bits AI-Anwendungsfälle mit signifikanten operativen Entscheidungen

Weitere Compliance-Leitfäden finden Sie in unserem Compliance-Hub sowie auf den Seiten zu AWS Bedrock DSGVO und Cursor für Entwicklungsteams.

Häufig gestellte Fragen

Protokolliert Datadog standardmäßig personenbezogene Daten?

Datadog erhebt nicht selbstständig personenbezogene Daten — es verarbeitet das, was Ihre Anwendungen an die Plattform senden. Anwendungslogs, APM-Traces und Metriken enthalten häufig personenbezogene Daten wie IP-Adressen, Nutzer-IDs und Session-Identifier. IP-Adressen gelten nach DSGVO Erwägungsgrund 30 ausdrücklich als personenbezogene Daten. Auditieren Sie Ihre Instrumentierung und wenden Sie Datenmaskierung an, bevor Daten Datadog erreichen.

Ist eine Datenschutz-Folgenabschätzung (DSFA) für Datadog in Deutschland erforderlich?

Eine DSFA nach Art. 35 DSGVO ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für natürliche Personen zur Folge hat. Für Standard-DevOps-Monitoring-Anwendungsfälle ist eine DSFA in der Regel nicht erforderlich. Wenn Sie Datadog zur systematischen Überwachung von Mitarbeiterverhalten, zur Verarbeitung besonderer Kategorien personenbezogener Daten oder für KI-gestützte Entscheidungen mit erheblichen Auswirkungen auf Einzelpersonen einsetzen, sollte vor der Implementierung eine DSFA durchgeführt werden.

Was ist Datadogs AVV und wo kann ich ihn unterzeichnen?

Datadogs Auftragsverarbeitungsvertrag ist über Ihr Datadog-Konto unter Organization Settings → Legal Documents oder über das Datadog Trust Center verfügbar. Bei Enterprise-Konten kann der AVV in den Master-Servicevertrag integriert sein. Unterzeichnen Sie den AVV und bewahren Sie eine Kopie auf — überprüfen Sie ihn außerdem, sobald Datadog Sie über Änderungen bei Unterauftragsverarbeitern informiert.