Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

DataDome

Was macht DataDome?

DataDome ist eine französische Edge Bot Schutzplattform. Erkennt und blockiert bösartige Bots, Credential Stuffing, Scraping und Betrug über einen JavaScript Challenge und ein unbedingt erforderliches First Party Cookie. Basiert auf berechtigtem Interesse, ohne Einwilligung für den Sicherheitskerneinsatz.

Was DataDome leistet

DataDome ist eine Echtzeit Bot Detection und Online Fraud Schutz Plattform. Das Produkt wird als CDN oder Webserver Modul bereitgestellt (Cloudflare Workers, Fastly Compute@Edge, AWS Lambda@Edge, Akamai EdgeWorkers, Nginx, Apache, native Cloud Connectoren) und als clientseitiges JavaScript Tag. Jeder Request wird in 2 Millisekunden auf Basis von mehr als 5 Billionen Signalen pro Tag bewertet; Bots werden herausgefordert, zugelassen, blockiert oder zu einem CAPTCHA gesendet. Die Plattform bietet zusätzlich Account Protection (kontinuierliche Authentifizierung), API Protection und Online Fraud detection.

Cookies und Fingerprint

DataDome schreibt ein einziges First Party Cookie namens datadome (1 Jahr, HTTPOnly, Secure) auf der Publisher Domain. Das Cookie speichert ein verschlüsseltes Session Token, mit dem der DataDome Edge den Besucher zwischen Requests erkennt. Das JavaScript Tag erfasst einen Geräte Fingerprint (Canvas, User Agent, Bildschirm, Audio Context, WebGL) und sendet ihn an die DataDome Detection Server für die Bot Entscheidung. Fingerprint und IP werden nur so lange aufbewahrt wie für die Sicherheitsentscheidung und die Threat Intelligence Analytics nötig.

Berechtigtes Interesse und ePrivacy Ausnahme

Das datadome Cookie und der Fingerprint qualifizieren sich für die unbedingt erforderliche Ausnahme nach Art. 5(3) ePrivacy gemäß CNIL Leitlinien (2020) und EDSA Leitlinien 2/2023. Die Verarbeitung stützt sich auf berechtigtes Interesse nach Art. 6(1)(f) DSGVO: der Schutz vor Bots, Credential Stuffing, Scraping und Betrug ist ein legitimes Ziel des Publishers, und der Besucher kann eine solche Maßnahme vernünftigerweise erwarten. Einwilligung ist nur erforderlich, wenn DataDome über die reine Sicherheit hinaus genutzt wird, etwa zur Speisung eines Analytics oder Ad Fraud Dashboards.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

EU Residenz und US Übermittlung

DataDome bietet eine EU only Bereitstellung, bei der Detection Cluster, Logs und Threat Intelligence Aggregation in der EU bleiben (Paris, Frankfurt, Irland). Customer Success und Threat Research Teams in New York und Singapur können auf anonymisierte Bot Signaturen zugreifen. Die SCCs 2021 decken Inzidenztransfers ab und DataDome ist im EU US Data Privacy Framework gelistet. Als französisches Unternehmen unterliegt DataDome direkt der DSGVO mit der CNIL als federführender Aufsichtsbehörde.

Wie DataDome konform eingesetzt wird

DataDome AVV unterzeichnen, EU only Bereitstellung anfordern, datadome Cookie in der Datenschutzerklärung unter unbedingt erforderlich listen, die Interessenabwägung dokumentieren, die DataDome Challenge Seite mit dem eigenen Branding versehen für Transparenz, Log Retention auf das Minimum konfigurieren und die Bot Detection Verarbeitung im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentieren.

GDPR consent category

Essenziell

Websites using DataDome must obtain user consent under GDPR regulations.

Legal basisLegitimate interest of the publisher in protecting the site against bots, credential stuffing, scraping and fraud (GDPR art. 6(1)(f)). The DataDome cookie (datadome) and the JavaScript fingerprint qualify as strictly necessary security measures and are exempt under ePrivacy art. 5(3) per the CNIL guidance on cookies (2020) and the EDPB guidelines 2/2023. Consent is required only if DataDome is used for non security purposes such as audience analytics or ad fraud reporting beyond the strict bot detection use case.

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive, CNIL guidance on security cookies (2020), EDPB guidelines 2/2023, French Loi Informatique et Libertés, NIS 2 Directive, EU US Data Privacy Framework, German TTDSG

DPIA considerations

Eine DSFA ist für den Standard Bot Detection Anwendungsfall in der Regel nicht erforderlich, da der Datenfluss begrenzt ist und das Cookie unbedingt erforderlich ist. Empfohlen wird sie bei Einsatz mit dem Account Protection Modul, das kontinuierliche Authentifizierung durchführt, mit dem Online Fraud Modul oder wenn Bot Signaturen ein externes SIEM speisen. Die DSFA muss den Umfang des Geräte Fingerprints, die Log Aufbewahrung, die EU only Bereitstellungs Zusage und jede Exportierung von Bot Scores an Werbesysteme abdecken.

Sample consent text

Unsere Website ist durch DataDome geschützt, einen französischen Bot Detection Dienst. DataDome setzt ein unbedingt erforderliches Cookie (datadome) auf Ihrem Gerät, um legitime Besucher zu erkennen und verdächtigen Traffic herauszufordern. Dieses Cookie ist nach den CNIL Leitlinien zu Sicherheitscookies einwilligungsfrei. Ihre Daten werden in der Europäischen Union auf Basis berechtigten Interesses (Art. 6(1)(f) DSGVO) verarbeitet. DataDome nutzt diese Daten nicht für Werbung oder Profilbildung.

Technical details

Tracking methodedge_bot_detection_with_javascript_challenge_device_fingerprint_and_strictly_necessary_cookie

Server locationDataDome is operated by DataDome SAS, a French company headquartered in Paris with offices in New York and Singapore. The DataDome detection servers run on a multi cloud infrastructure with primary regions in the European Union (eu-west-3 Paris, eu-central-1 Frankfurt, eu-west-1 Ireland) and additional regions in the United States and Asia for low latency global coverage. EU customers can request EU only processing where requests for European traffic stay inside the EU.

Data transferred outside the EUDataDome SAS is a French company under GDPR jurisdiction. Although EU traffic stays on the EU detection clusters, DataDome support and customer success teams operate from Paris, New York and Singapore. The DataDome Threat Research team analyses anonymised bot signatures globally. DataDome offers an EU only deployment contractually. Limited transfers to the United States and Singapore may occur for support and threat intelligence under the 2021 Standard Contractual Clauses and the EU US Data Privacy Framework.

Third-party domains contacted

datadome.coapi.datadome.cojs.datadome.cocaptcha-delivery.comct.captcha-delivery.comgeo.captcha-delivery.com

Cookies placed

Name	Type	Duration	Purpose
datadome	First party (DataDome bot protection)	1 year	Strictly necessary security cookie containing an encrypted session token used by DataDome to recognise legitimate visitors across requests and to bypass the bot challenge for previously validated sessions

DataDome ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt DataDome?

Ein einziges First Party Cookie namens datadome (1 Jahr, HTTPOnly, Secure) auf der Publisher Domain. Das Cookie speichert ein verschlüsseltes Session Token, mit dem DataDome den Besucher zwischen Requests erkennt. Kein Marketing Cookie, kein Drittanbieter Identifier.

Ist eine Einwilligung für DataDome erforderlich?

Nein. Das datadome Cookie und der Fingerprint qualifizieren sich für die unbedingt erforderliche Ausnahme nach Art. 5(3) ePrivacy gemäß CNIL Leitlinien (2020) und EDSA Leitlinien 2/2023. Die Verarbeitung basiert auf berechtigtem Interesse nach Art. 6(1)(f) DSGVO. Einwilligung ist nur erforderlich, wenn DataDome über die reine Sicherheit hinaus genutzt wird.

Was ist die Rechtsgrundlage für DataDome?

Berechtigtes Interesse nach Art. 6(1)(f) DSGVO, da der Schutz vor Bots, Credential Stuffing, Scraping und Betrug ein legitimes Ziel des Publishers mit einer angemessenen Besuchererwartung ist. Art. 28 DSGVO regelt die Auftragsverarbeitung zwischen Publisher und DataDome SAS.

Werden Daten außerhalb der EU übermittelt?

Standardmäßig nein bei EU only Bereitstellung. Die DataDome Detection Cluster in Paris, Frankfurt und Irland verarbeiten den Traffic. Customer Success und Threat Research in New York und Singapur können auf anonymisierte Bot Signaturen zugreifen. SCCs 2021 und EU US Data Privacy Framework decken Inzidenztransfers ab.

Brauche ich eine DSFA für DataDome?

Üblicherweise nein für Standard Bot Detection. Empfohlen bei Account Protection (kontinuierliche Authentifizierung), Online Fraud detection oder wenn Bot Scores ein externes SIEM oder Werbesystem speisen. Die DSFA muss den Umfang des Geräte Fingerprints und die Log Aufbewahrung beschreiben.

Wie setze ich DataDome konform ein?

DPA unterzeichnen, EU only Bereitstellung anfordern, datadome Cookie in der Datenschutzerklärung unter unbedingt erforderlich listen, Interessenabwägung dokumentieren, DataDome Challenge Seite mit eigenem Branding personalisieren, minimale Log Aufbewahrung einstellen und Verarbeitung im Verarbeitungsverzeichnis dokumentieren.

Welche Alternativen zu DataDome?

Cloudflare Bot Management, Akamai Bot Manager Premier, Imperva Advanced Bot Protection, Human Security (vormals White Ops), PerimeterX (jetzt Human), Kasada, Castle und Arkose Labs. Für Self Hosting: CrowdSec (Frankreich, Open Source), Fail2Ban, ModSecurity. DataDome und CrowdSec sind die EU zentrischsten Akteure.

Wie aktualisiere ich meine Cookie Richtlinie nach DataDome?

Einen Abschnitt unbedingt erforderlich hinzufügen, der das datadome Cookie (1 Jahr, Sicherheit) beschreibt, die Rechtsgrundlage (berechtigtes Interesse) nennen, DataDome SAS Paris als Auftragsverarbeiter erwähnen, auf die DataDome Datenschutzrichtlinie verlinken und erklären, warum dieses Cookie nicht abgelehnt werden kann, ohne den Sicherheitsdienst zu brechen.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note