Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Grafana ist die fuehrende Open-Source-Observability- und Dashboarding-Plattform, urspruenglich in Stockholm entwickelt und heute von Grafana Labs (HQ in New York) weiterentwickelt. Sie verbindet sich mit Time-Series-Datenbanken (Prometheus, InfluxDB, Loki, Tempo) und stellt Metriken, Logs und Traces dar. Die meisten Deployments sind interne Engineering-Werkzeuge ohne Endnutzer-Exposition, Grafana Faro ergaenzt jedoch ein JavaScript-SDK fuer Real User Monitoring auf oeffentlichen Sites und erfordert eine eigene DSGVO-Analyse.
Grafana ist die meistgenutzte Open-Source-Plattform fuer Observability und Dashboarding. Von Torkel Odegaard 2014 in Stockholm geschaffen, wird sie heute von Grafana Labs (HQ New York) weiterentwickelt. Sie verbindet sich mit Dutzenden Datenquellen (Prometheus, InfluxDB, Elasticsearch, Loki, Tempo, ClickHouse, Postgres) zur Darstellung von Metriken, Logs, Traces und Alerts.
Grafana ist mehrheitlich ein internes Tool fuer Engineering- und Ops-Teams. Die Endnutzer-Komponente ist Grafana Faro, ein JavaScript-SDK plus Backend fuer Real User Monitoring und Frontend-Fehlertracking auf oeffentlichen Sites.
Self-hosted Grafana laeuft auf Kundeninfrastruktur (Kubernetes, VMs, on-premises). Keine Daten verlassen die Umgebung fuer die Grafana-Anwendung selbst; DSGVO-Fragen reduzieren sich auf die unterliegenden Datenquellen und Proxies.
Grafana Cloud ist das von Grafana Labs betriebene SaaS-Angebot. EU-Kunden waehlen Frankfurt oder Schweden als Primaerregion. Datenresidenz in der EU ist fuer diese Regionen vertraglich zugesichert, Corporate-Funktionen (Support, Abrechnung, Sicherheit) koennen jedoch aus den USA erfolgen.
Auf oeffentlichen Websites erfasst Grafana Faro Besucher-IP, User-Agent, URL, JavaScript-Fehler, Performance-Metriken und optional Interaktionen sowie Replays. Es faellt damit in dieselbe Kategorie wie Sentry, Datadog RUM oder Raygun: berechtigtes Interesse fuer Basis-Fehlermonitoring vertretbar, Einwilligung sicherer fuer RUM mit Nutzer-IDs.
Faro so konfigurieren, dass IP anonymisiert wird, sensible Felder maskiert und die Aufbewahrung begrenzt sind. Keine besonderen Datenkategorien in Custom-Attribute pushen.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Grafana Labs Inc. ist US-Verantwortlicher. Fuer Grafana Cloud ist ein unterzeichneter DPA erforderlich, mit SCC fuer US-Zugriffe zu Support-Zwecken. Frankfurt/Schweden halten den Grossteil der Kundendaten in der EU, der Publisher sollte eine TIA durchfuehren, die die Zugriffsmuster des Grafana-Labs-Personals dokumentiert.
Bei Self-hosted Grafana haengen Transfers von der gewaehlten Infrastruktur ab. Keine zusaetzlichen Transfers durch die Grafana-Anwendung selbst.
Custom-Dashboards koennen personenbezogene Daten aus verschiedenen Quellen aggregieren (Logs mit Nutzer-IDs, Metriken mit E-Mails als Label, etc.). Im Gesundheits-, HR- oder Finanzbereich koennen Dashboards unbeabsichtigt besondere Daten offenlegen. Grafana-Enterprise-RBAC und Audit-Logs einsetzen, um Zugriffe zu beschraenken.
Keine identifizierenden Werte in Metric-Label-Namen aufnehmen (Hash- oder pseudonymisierte IDs).
Fuer Grafana Cloud: Grafana-Labs-DPA unterzeichnen, Frankfurt oder Schweden waehlen, Grafana Labs ins Verzeichnis aufnehmen. Fuer Grafana Faro auf oeffentlichen Sites: SDK erst nach Einwilligung laden (bei RUM mit IDs), IP anonymisieren, PII aus Fehlerreports scrubben. Fuer Self-hosted: Dashboards via RBAC und Audit-Logs sichern, Datenquellen separat schuetzen.
Dashboards mit potenziell personenbezogenen Daten und Zugriffsregeln in der Sicherheitsrichtlinie dokumentieren. Mindestens jaehrlich pruefen.
Websites using Grafana must obtain user consent under GDPR regulations.
DPIA considerations
Grafana ist insgesamt ein Observability-Tool mit geringem Risiko. Wesentliche DSFA-Aspekte: (1) Self-hosted laeuft vollstaendig auf Kundeninfrastruktur ohne externe Verarbeitung, DSGVO-Fragen beschraenken sich auf die zugrundeliegenden Datenquellen und Proxies; (2) Grafana Cloud verarbeitet Dashboards, Logs, Metriken und Traces auf Grafana-Labs-Infrastruktur; EU-Kunden sollten Frankfurt oder Schweden waehlen; (3) Grafana Faro ist das Frontend-Observability-SDK; auf oeffentlichen Seiten erfasst es Besucher-IP, User-Agent, Interaktionen und JS-Fehler und benoetigt eigene DSFA und Rechtsgrundlage; (4) Dashboards koennen personenbezogene oder besondere Daten enthalten; (5) Mitarbeiterzugriff von Grafana Labs auf Grafana Cloud ist durch DPA und SCC geregelt.
Sample consent text
Wir nutzen Grafana Faro, um Frontend-Performance und Fehler auf dieser Website zu monitoren. Mit Ihrer Einwilligung erfasst Grafana Faro technische Telemetrie (anonymisierte IP, Browser, Interaktionen, JS-Fehler) und sendet sie an unser Observability-Backend in der EU. Wir nutzen diese Daten nicht fuer Werbung oder Verhaltens-Profiling. Sie koennen jederzeit in unserer Praeferenzen-Seite ablehnen.
Third-party domains contacted
grafana.comgrafana.netgrafana-cloud.comhgrun.comfaro-collector-prod-eu-west-2.grafana.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| grafana_session | Functional | Session | Authenticated session cookie for the Grafana dashboard. Set on the Grafana hostname for logged in users (typically internal engineering staff). |
| grafana_remember_me | Functional | 30 days | Persistent login token for the Grafana dashboard when the user selects the Remember me option. |
| grafana_csrf | Functional | Session | CSRF protection token for the Grafana dashboard. |
| faro_session_id | Functional | Session | When Grafana Faro is deployed on public pages, a session identifier may be stored in localStorage (not strictly a cookie) to correlate frontend telemetry events. |
Grafana erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Grafana selbst nutzt funktionale Cookies im Dashboard (grafana_session fuer die Admin-/Engineering-Sitzung, grafana_remember_me fuer Persistent-Login, CSRF-Token). Diese Cookies werden serverseitig auf der Grafana-Hostname-Domain fuer authentifizierte Nutzer gesetzt. Endnutzer haben mit Grafana nichts zu tun, sofern nicht Grafana Faro auf der Website eingebunden ist. Faro ist weitgehend cookielos und nutzt die fetch-API.
Nicht fuer interne Grafana-Dashboards, die von Mitarbeitenden genutzt werden, sie sind fuer den Betrieb eines internen Werkzeugs erforderlich. Fuer Grafana Faro auf oeffentlichen Websites sind Cookies und Tracking nicht notwendig und fallen unter Art. 5(3) ePrivacy, wenn Identifier oder RUM enthalten sind. In diesem Fall das Faro-SDK erst nach Einwilligung laden.
Fuer interne Dashboards: berechtigtes Interesse (Art. 6(1)(f) DSGVO) zum betrieblichen Monitoring mit Arbeits- und Mitbestimmungsrechtkonformitaet bei sensiblen Metriken. Fuer Grafana Faro auf oeffentlichen Sites: berechtigtes Interesse fuer Basis-Fehlermonitoring, Einwilligung (Art. 6(1)(a)) fuer RUM mit Identifiern.
Bei Self-hosted Grafana: nein, sofern Ihre Infrastruktur dies nicht tut. Bei Grafana Cloud: regionsabhaengig. Frankfurt oder Schweden halten Kundendaten in der EU. Die US-Region transferiert unter SCC und EU US DPF. Grafana-Labs-Mitarbeitende koennen aus den USA fuer Support zugreifen.
Fuer internes Grafana mit anonymisierten oder pseudonymisierten Metriken: meist nicht. Fuer Grafana Cloud mit personenbezogenen Datenfluessen: Risikobewertung empfohlen, vollstaendige DSFA bei Mitarbeiterprofiling oder Kundendaten in Dashboards. Fuer Grafana Faro auf oeffentlichem Traffic: DSFA nach derselben Logik wie Sentry oder andere RUM-Tools.
Fuer Grafana Cloud: Grafana-Labs-DPA unterzeichnen, Frankfurt oder Schweden waehlen, Grafana Labs im Verzeichnis fuehren, RBAC, Audit-Logs und SSO aktivieren. Fuer Grafana Faro: SDK erst nach Einwilligung laden, IP anonymisieren, PII aus Fehlerreports scrubben, Rechtsgrundlage dokumentieren. Fuer Self-hosted: Dashboards und Datenquellen separat absichern.
Open-Source-Dashboards: Kibana (Elastic), Apache Superset, Metabase, Redash. Kommerzielle Observability: Datadog, New Relic, Dynatrace, Splunk, Honeycomb, Lightstep, Coralogix. Grafana unterscheidet sich durch Open Source, Prometheus-Integration und Self-hosted-Option, die Transferfragen vermeidet.
Fuer interne Grafana-Dashboards das Werkzeug in der internen Mitarbeiter-Datenschutzerklaerung und Betriebsvereinbarung dokumentieren. Fuer Grafana Cloud Grafana Labs Inc. als Auftragsverarbeiter in der Kunden-Datenschutzerklaerung auffuehren. Fuer Grafana Faro auf oeffentlichen Sites die Cookies / localStorage-Eintraege und die Rechtsgrundlage listen.