Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

GitLab

Was macht GitLab?

GitLab ist eine durchgängige DevSecOps Plattform mit Source Control, Code Review, CI/CD, Container und Package Registries, Security Scans, Observability und Projektmanagement. Verfügbar als GitLab SaaS (gitlab.com), als kostenlose Open Source Community Edition zum Selfhost, als kostenpflichtige Enterprise Edition und als GitLab Dedicated Tier mit EU Datenresidenz. Die Datenschutzlage hängt stark vom Deployment Modell ab.

Was ist GitLab

GitLab ist eine Open Core DevSecOps Plattform der GitLab Inc., einer in San Francisco gegründeten Firma mit vollständig verteiltem Team. Es ist eine der größten Source Code und CI/CD Plattformen weltweit, neben GitHub und Bitbucket, und bündelt den gesamten Software Lifecycle in einer Anwendung. Drei Varianten: GitLab SaaS auf gitlab.com, GitLab Self Managed (Community Edition und Enterprise Edition zur Installation beim Kunden) und GitLab Dedicated, ein Single Tenant Cloud Angebot mit regionaler Datenresidenz inklusive EU.

Welche Daten und Cookies GitLab verarbeitet

Im angemeldeten Bereich setzt GitLab _gitlab_session, optional remember_user_token und _gitlab_ci_session für CI Kontexte. Diese Cookies sind zwingend für die Authentifizierung erforderlich. Auf den öffentlichen Marketing Seiten von gitlab.com lädt GitLab nach Banner Zustimmung Google Analytics, Drift, Marketo und Snowplow mit deren Cookies. Gespeichert werden Quellcode, Issues, Merge Requests, Container Images und Pakete, CI Logs und Audit Events.

DSGVO und ePrivacy Folgen

Die Session Cookies sind zwingend erforderlich und einwilligungsfrei. Quellcode, Issues und CI Artefakte können personenbezogene Daten enthalten, dann handelt GitLab Inc. als Auftragsverarbeiter nach Art. 28 DSGVO. Für GitLab SaaS wird der Transfer durch das GitLab DPA mit SCC und DPF abgedeckt; bei Dedicated bleibt die EU Region im EU Datenraum. Selfhost überträgt nichts an GitLab Inc., außer Service Ping ist explizit aktiviert.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Ist eine Einwilligung erforderlich

Für die authentifizierte DevOps Nutzung nein, Session Cookies sind zwingend erforderlich. Einwilligung wird für die gitlab.com Marketing Seiten benötigt (das Banner übernimmt das) und für optionale Produkt Analytics über den GitLab Snowplow Stack auf SaaS. Selfhost kann Service Ping vollständig deaktivieren.

Datenresidenz

GitLab SaaS speichert primär in Google Cloud Regionen in den USA, mit einer Customer Data Residency Zusage, die Routine Transfers begrenzt aber nicht ausschließt. GitLab Dedicated erlaubt das Pinnen der Daten an eine EU Region (Frankfurt) und ist für regulierte Branchen empfohlen. GitLab Inc. ist DPF zertifiziert und unterzeichnet SCC über sein DPA. Die vollständige Subprozessor Liste steht im GitLab Trust Center.

Praktische Schritte zur Compliance

EU Kunden sollten GitLab Dedicated mit EU Region für regulierte Daten prüfen, GitLab CE/EE in der EU selbst hosten, das GitLab DPA abschließen, Service Ping bei Bedarf deaktivieren, SSO und MFA für Administratoren konfigurieren, GitLab Inc. und Subprozessoren in der Datenschutzerklärung nennen und die öffentlichen gitlab.com Marketing Seiten beim Einbetten separat einwilligungsbasiert behandeln.

GDPR consent category

Sonstige

Websites using GitLab must obtain user consent under GDPR regulations.

Legal basisContract (Art. 6(1)(b) GDPR) for the developer collaboration service, legitimate interest (Art. 6(1)(f)) for security, abuse and fraud prevention, consent (Art. 6(1)(a) and Art. 5(3) ePrivacy) for product analytics (Snowplow), marketing cookies on gitlab.com marketing pages and any third party embeds (YouTube, social) on the public site

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive, TTDSG, LIL, NIS2 when GitLab pipelines deliver critical software, ISO 27001 for accredited customers

DPIA considerations

Eine DSFA wird für GitLab SaaS Deployments empfohlen, wenn Code mit personenbezogenen Daten verarbeitet wird, Security Scanner Schwachstellenberichte produzieren oder Pipelines regulierte Daten berühren. Selfhost ist risikoarm, da der Kunde den Stack kontrolliert. Dokumentieren Sie Modell, Datenresidenz, Service Ping Nutzung und Subprozessoren.

Sample consent text

Unser Developer Portal läuft auf GitLab. Angemeldete Nutzer erhalten Session Cookies von GitLab. Auf den öffentlichen Marketing Seiten von gitlab.com können optionale Analytics und Marketing Cookies gesetzt werden, wenn Sie sie im Banner akzeptieren.

Technical details

Tracking methodWeb application accessed in browser (gitlab.com SaaS or self hosted), Git protocol over HTTPS/SSH, CI/CD runners, container registry, package registry, REST and GraphQL APIs; the application sets first party session cookies and uses optional client side telemetry (Snowplow) for product analytics

Server locationFor GitLab SaaS, primary region in the United States (Google Cloud Platform US) with EU customers' data subject to the GitLab Data Residency promise that excludes routine transfers outside the chosen region for the Dedicated tier. For self hosted Community Edition (CE) and Enterprise Edition (EE), the customer chooses the region freely.

Cookieless tracking availableYes

Data transferred outside the EUGitLab SaaS (gitlab.com) is operated by GitLab Inc., headquartered in San Francisco, with infrastructure primarily in the US on Google Cloud. The GitLab Dedicated offering allows EU only data residency (Frankfurt). GitLab Inc. is self certified under the EU US Data Privacy Framework and signs the GitLab Data Processing Addendum with EU SCCs. For self hosted GitLab CE/EE, no data leaves the customer infrastructure unless the user enables Service Ping or Premium SaaS features.

Third-party domains contacted

gitlab.comabout.gitlab.comdocs.gitlab.comassets.gitlab-static.netgitlab-runner-downloads.s3.amazonaws.comsnowplowanalytics.comregistry.gitlab.com

Cookies placed

Name	Type	Duration	Purpose
_gitlab_session	first party	Session	Main GitLab session cookie, set on the application domain to keep the user logged in. Strictly necessary.
remember_user_token	first party	2 weeks	Optional Remember me cookie that extends the GitLab session when the user opts in during login.
_gitlab_ci_session	first party	Session	Session cookie for CI/CD specific endpoints when accessed from a browser.
event_filter	first party	1 year	Stores the last selected filter in the GitLab dashboard event feed.
user_oauth_state	first party	Short lived	OAuth state token used during third party login flows on GitLab.
_ga / _ga_<ID>	third party	2 years	Google Analytics cookies set on the public marketing pages of gitlab.com after consent. Not set inside the authenticated application.

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt GitLab?

Die angemeldete GitLab Anwendung setzt _gitlab_session, remember_user_token (auf Wunsch), _gitlab_ci_session, _gitlab_pages_session und CSRF Tokens. Alle zwingend erforderlich. Die Marketing Seiten von gitlab.com laden zusätzlich Analytics und Marketing Cookies nach Einwilligung.

Brauche ich für GitLab eine Einwilligung?

Für die authentifizierte DevOps Nutzung nein. Ja für Marketing und Produkt Analytics auf den öffentlichen Seiten oder über optionale Integrationen. Selfhost kann die Telemetrie vollständig deaktivieren.

Welche Rechtsgrundlage gilt bei GitLab?

Vertragserfüllung für die DevOps Leistung, rechtliche Verpflichtung für die Aufbewahrung von Audit Logs, berechtigtes Interesse für Betrugs und Missbrauchsabwehr. Einwilligung ist Grundlage für nicht erforderliche Tracker auf öffentlichen Seiten.

Werden Daten in die USA übermittelt?

Bei GitLab SaaS ja, gedeckt durch EU US Data Privacy Framework und SCC im DPA. Bei GitLab Dedicated EU bleiben Kundendaten in der EU. Beim Selfhost verlässt nichts die Infrastruktur, außer Service Ping ist aktiviert.

Brauche ich eine DSFA für GitLab?

Beim Selfhost CE/EE in der Regel nein. Bei GitLab SaaS mit regulierten oder Produktionsdaten ist eine DSFA empfehlenswert. Bei GitLab Dedicated EU dokumentieren Sie die Residenz in einer schlankeren DSFA.

Wie deploye ich GitLab DSGVO konform?

Dedicated EU oder Selfhost in der EU für sensible Daten, GitLab DPA abschließen, SSO und 2FA konfigurieren, Service Ping deaktivieren, Subprozessoren im Trust Center prüfen und das Deployment im Verarbeitungsverzeichnis dokumentieren.

Welche Alternativen zu GitLab gibt es?

GitHub (Microsoft, DPF zertifiziert, EU Regionen in Preview), Bitbucket (Atlassian, EU Regionen), Gitea (Open Source selbst hostbar, Gitea Cloud EU), Forgejo (Open Source Fork von Gitea), Codeberg (Community Hosting in Deutschland). Verschiedene Datenflüsse und Lizenzen.

Wie beschreibe ich GitLab in der Cookie Richtlinie?

Für das angemeldete Portal _gitlab_session und zugehörige Cookies unter Zwingend erforderlich mit Anbieter GitLab Inc., USA listen. Für die öffentlichen Marketing Seiten die Analytics und Marketing Tracker (Google Analytics, Marketo, Drift) separat mit Einwilligung. Den Transfermechanismus (DPF und SCC) nennen.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note