Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Agora ist eine US Real Time Engagement Plattform, die Voice, Video, Chat und Signaling SDKs auf WebRTC Basis bereitstellt. In Websites oder Apps eingebunden, öffnet sie verschlüsselte Verbindungen zum Agora Software Defined Real time Network (SD RTN), speichert Sitzungs IDs im First Party Speicher und leitet Audio und Video über globale Edge Knoten, einschließlich EU Edges. Audio und Video sind sensible personenbezogene Daten: Eine Agora Integration benötigt eine klare Rechtsgrundlage, Einwilligung für nicht notwendige Telemetrie und einen dokumentierten Mechanismus für internationale Übermittlungen.
Agora ist eine Real Time Engagement Plattform mit Hauptsitz in Santa Clara, Kalifornien, und einem verbundenen chinesischen Unternehmen, Shanghai Agora Lab, das die China Region betreibt. Entwickler integrieren die Agora Web , Voice , Video und Real Time Messaging SDKs in Websites oder Mobile Apps für Live Audio, Live Video, interaktives Streaming, Voice Chat und Signaling. Das SDK öffnet verschlüsselte WebRTC Verbindungen zum Software Defined Real time Network (SD RTN), einem globalen Edge Netzwerk mit Knoten in der EU, im Vereinigten Königreich, in Amerika, im Asien Pazifik Raum und im Nahen Osten.
Für europäische Anbieter ist Agora wegen der latenzarmen, weltweiten Infrastruktur attraktiv, jedoch läuft die Steuerungsebene über die USA, und Sitzungs IDs, Geräte Fingerprints sowie Quality of Experience Telemetrie werden in den First Party Speicher der einbindenden Website geschrieben. Audio und Video sind sensible personenbezogene Daten, was das DSGVO Risikoprofil jedes Agora Deployments erhöht.
Bei einer typischen Integration schreibt das Agora SDK eine Sitzungs ID, eine Peer Connection ID, Geräte Fähigkeiten (Kamera, Mikrofon, Codecs, Netzwerk) und einen kleinen Geräte Fingerprint in localStorage und IndexedDB der einbindenden Seite. Es öffnet WebSocket und DTLS/SRTP Verbindungen zu *.agora.io Edge Gateways, überträgt Audio und Video und sendet laufend Quality of Experience Statistiken (Bitrate, Jitter, Paketverlust, IP, ungefähre Geolokation) an statscollector Domains.
Auf agora.io Properties (Konsole, Dashboard, Marketingseiten) setzt Agora außerdem funktionale Cookies (csrf, session) und nutzt Drittanalyse Tools wie Google Analytics, Hotjar und HubSpot. Cloud Recording und Cloud Transcription speichern bei Aktivierung die Audio , Video und Textdateien in Agora kontrollierten Buckets (Standard: Amazon S3) für die vom Entwickler gewählte Dauer.
Audio und Video sind Inhaltsdaten und fallen vollständig unter Art. 4 und 5 DSGVO. Agora handelt als Auftragsverarbeiter (Art. 28 DSGVO) für den Anbieter, der Verantwortlicher ist. Der Anbieter muss das Agora Data Processing Addendum unterzeichnen, die Rechtsgrundlage dokumentieren, die Nutzer in der Datenschutzerklärung informieren und geeignete technische und organisatorische Maßnahmen umsetzen, einschließlich Transportverschlüsselung (DTLS/SRTP) und Zugriffskontrollen auf Cloud Recording.
Nach ePrivacy (Art. 5(3) der Richtlinie 2002/58/EG und der nationalen Umsetzungen in Deutschland (TTDSG), Frankreich, Spanien usw.) sind die vom SDK gespeicherten Sitzungs und Geräte IDs Cookies gleichgestellt. Strikt notwendige IDs für den vom Nutzer ausdrücklich gestarteten Anruf können einwilligungsfrei sein, aber Fingerprinting, QoE Telemetrie, Drittanalysen auf agora.io und jegliche Aufzeichnung erfordern eine vorherige Einwilligung.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Best Practice ist, das Agora SDK erst nach einem klaren Klick auf Anruf starten, Raum beitreten oder Kamera aktivieren zu laden. Dieser Klick kann als Rechtsgrundlage nach Art. 6(1)(b) DSGVO (Vertragserfüllung) für die strikt notwendigen Sitzungs IDs dienen. Für optionale Aufzeichnung, Transkription, KI gestützte Sprachanalyse und Marketing Telemetrie an Drittanbieter auf der Anbieterdomain ist ein gesondertes Opt in erforderlich.
In der EU gilt die Verarbeitung von Sprach und Videodaten als hochriskant. Die Einwilligung muss daher granular sein (Anruf vs. Aufzeichnung vs. Transkription vs. Analyse), informiert (die Datenschutzerklärung muss US Übermittlungen und das SD RTN erwähnen) und so leicht widerrufbar wie erteilt.
Agora Inc. sitzt in den USA. Obwohl das SD RTN Edges in Frankfurt, Amsterdam, London, Singapur und Sao Paulo betreibt, liegen die Steuerungsebene, die Kontoverwaltung und die meisten Logs in den USA. Die China Region wird von Shanghai Agora Lab betrieben und gilt als gesonderte Übermittlung in ein Drittland ohne Angemessenheitsbeschluss.
Das Agora DPA enthält die EU Standardvertragsklauseln (Module 2 und 3) und das UK International Data Transfer Addendum. EU Kunden können die Media Server auf die EU Region beschränken lassen. Eine Transfer Impact Assessment sollte US Überwachungsgesetze (FISA 702, EO 12333) sowie das zusätzliche Risiko der China Region berücksichtigen.
DPA über die Agora Konsole unterzeichnen. Regionseinschränkung möglichst auf die EU setzen. SDK Laden verzögern, bis der Nutzer aktiv beitritt. Aufzeichnung, Transkription und KI Analysen über eine separate optionale Einwilligung im CMP steuern. Agora in das Verzeichnis nach Art. 30 DSGVO aufnehmen, *.agora.io und statscollector Domains in der Datenschutzerklärung und im CSP listen. Internationale Übermittlungen dokumentieren, TIA durchführen und eine DSFA für Audio und Video abschließen.
Websites using Agora must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist in der Regel empfohlen, weil Agora Audio und Videokommunikation (hochsensible Daten) verarbeitet und über US und China nahe Infrastruktur leitet. Sie sollte Sprecheridentifikation, Recording , Transkriptions und KI Funktionen sowie internationale Übermittlungen abdecken.
Sample consent text
Wir nutzen Agora (Agora Inc., USA) für Sprach und Videoanrufe und Chat Funktionen auf dieser Website. Das Beitreten zu einem Anruf verbindet Sie mit Agora Edge Servern, überträgt Audio, Video und Verbindungsqualitätsdaten und kann funktionale Cookies setzen. Internationale Übermittlungen in die USA sind durch Standardvertragsklauseln abgedeckt. Details in unserer Datenschutzerklärung.
Third-party domains contacted
agora.ioweb-cdn.agora.iowebrtc2-ap-web-1.agora.iowebrtc2-ap-web-2.agora.iostatscollector-1.agora.iostatscollector-2.agora.iovocs.agora.iosd-rtn.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| session | first_party | Session | Functional session cookie used by Agora to keep an authenticated session on agora.io and to maintain WebRTC signaling state during a call. |
| csrf | first_party | Session | CSRF protection token used to validate API and signaling requests against the Agora gateway during a call. |
| AID | first_party | 2 years | Internal anonymous identifier used by Agora to correlate Quality of Experience telemetry (bitrate, jitter, packet loss) across sessions of the same browser. |
| _ga | third_party | 2 years | Google Analytics identifier used on agora.io marketing properties to distinguish unique visitors. Loaded only on agora.io properties, not on integrator sites. |
| _hjSessionUser_* | third_party | 1 year | Hotjar session user cookie used on agora.io properties for product analytics and session replay. Not loaded on integrator sites. |
| hubspotutk | third_party | 6 months | HubSpot visitor identifier used on agora.io properties to attribute marketing campaigns and form submissions. Not loaded on integrator sites. |
Agora verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Das Agora Web SDK nutzt auf der Anbieterdomain kaum klassische HTTP Cookies. Es schreibt eine Sitzungs ID, eine Peer Connection ID, Geräteinformationen und einen kurzen Geräte Fingerprint in localStorage und IndexedDB. Es öffnet WebSocket und DTLS/SRTP Verbindungen zu *.agora.io und sendet QoE Telemetrie an statscollector Domains. Auf agora.io selbst (Konsole, Marketingseiten) setzt Agora funktionale Cookies und nutzt Google Analytics, Hotjar und HubSpot.
In den meisten Fällen ja. Die strikt notwendigen Sitzungs IDs für den vom Nutzer ausdrücklich gestarteten Anruf können sich auf Art. 6(1)(b) DSGVO stützen, aber Fingerprinting, QoE Telemetrie, Aufzeichnung, Transkription, KI Sprachanalyse und Drittanalysen auf agora.io erfordern eine vorherige Einwilligung nach Art. 5(3) ePrivacy bzw. § 25 TTDSG und Art. 6(1)(a) DSGVO.
Vertragserfüllung (Art. 6(1)(b) DSGVO) für die angeforderten Sprach und Videodienste. Einwilligung (Art. 6(1)(a) DSGVO) für optionale Funktionen wie Aufzeichnung, Transkription, KI Analyse und Marketing Telemetrie. Rechtliche Pflicht (Art. 6(1)(c)) kann gelten, wenn Aufzeichnungen regulatorisch vorgeschrieben sind. Berechtigtes Interesse ist wegen der Sensibilität von Audio und Video selten ausreichend.
Ja. Agora Inc. sitzt in den USA und die verbundene Shanghai Agora Lab betreibt die China Region. Medien laufen über den nächsten SD RTN Edge, aber Steuerungsebene, Kontodaten und Logs werden in den USA verarbeitet. Übermittlungen werden im Agora DPA durch EU Standardvertragsklauseln und das UK IDTA abgedeckt. EU Kunden können Media Server auf die EU Region beschränken und sollten eine TIA durchführen.
Ja. Art. 35 DSGVO verlangt eine DSFA bei umfangreicher Verarbeitung von Kommunikationsinhalten, biometrischen Merkmalen in Sprache oder Video oder systematischer Überwachung. Agora erfüllt in der Regel mindestens eines dieser Kriterien. Die DSFA sollte Sprecheridentifikation, Aufzeichnung, Transkription, KI Analysen, Sicherheitsmaßnahmen sowie internationale Übermittlungen in die USA und nach China abdecken.
Agora DPA über die Konsole unterzeichnen, EU Regionsbeschränkung anfordern, SDK Ladung bis zum aktiven Beitritt verzögern, optionale Funktionen (Aufzeichnung, Transkription, KI) hinter eine separate Einwilligung im CMP legen, Agora und die US Übermittlungen in der Datenschutzerklärung erwähnen, *.agora.io und statscollector im CSP listen und Verzeichnis nach Art. 30 sowie DSFA aktualisieren.
Für EU basierte Echtzeit Kommunikation sind die Hauptalternativen Daily, LiveKit Cloud (EU Cluster), Vonage Video API (jetzt Teil von Daily), Twilio Programmable Video (USA, ähnliches Profil) sowie selbst gehostete Lösungen wie Jitsi Meet, LiveKit OSS, mediasoup oder Janus Gateway. EU only Deployments von LiveKit OSS oder Jitsi schneiden in der TIA häufig besser ab, erfordern aber Betriebsaufwand.
Ergänzen Sie einen Agora Abschnitt mit Beschreibung des SDKs, der WebRTC Medienflüsse, der QoE Telemetrie, der Nutzung von localStorage und IndexedDB sowie der Übermittlungen in die USA und nach China. In der Cookie Erklärung und im CMP listen Sie Agora als Drittanbieter mit eigenem Toggle, getrennt von optionalen Funktionen, und verlinken Sie die Agora Datenschutzerklärung und das DPA.