Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

MongoDB

Was macht MongoDB?

MongoDB ist eine dokumentenorientierte NoSQL Datenbank, die personenbezogene Daten von Webanwendungen, Mobile Apps und SaaS Plattformen speichert.

Was ist MongoDB?

MongoDB ist eine dokumentenorientierte NoSQL Datenbank, die Daten in flexiblen JSON ähnlichen BSON Dokumenten speichert. Sie wird in Webanwendungen, Mobile Apps, IoT Plattformen und Echtzeit Systemen eingesetzt, um Inhalte, Nutzerprofile und Transaktionsdaten zu verwalten. MongoDB kann selbst gehostet (Community Edition, Enterprise) oder als Managed Service über MongoDB Atlas betrieben werden, der Cloud Plattform des Herstellers MongoDB Inc. mit Sitz in den USA.

Welche Daten verarbeitet MongoDB?

MongoDB selbst legt nur die Daten ab, die von der jeweiligen Anwendung geschrieben werden. In typischen Webanwendungen sind das Nutzerkonten, Profile, Bestellhistorien, Sitzungs Token und Aktivitätsprotokolle. MongoDB Atlas erzeugt darüber hinaus operative Logs (Cluster Metriken, Audit Logs, IP Adressen administrativer Verbindungen), die auf Servern von MongoDB Inc. gespeichert werden. Diese operativen Daten fallen ebenfalls in den Anwendungsbereich der DSGVO, sofern sie personenbezogene Bezüge enthalten.

DSGVO Pflichten beim Einsatz von MongoDB

Da MongoDB keine clientseitigen Cookies setzt, ist keine Einwilligung nach Paragraf 25 TDDDG erforderlich. Die Verarbeitung der gespeicherten Daten benötigt eine Rechtsgrundlage gemäß Artikel 6 DSGVO. Verantwortliche müssen technische und organisatorische Maßnahmen nach Artikel 32 DSGVO treffen: Authentifizierung mittels SCRAM oder x.509, rollenbasierte Zugriffskontrolle, TLS, Field Level Encryption, regelmäßige Backups und Audit Logging in der Enterprise Edition oder bei Atlas.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

MongoDB Atlas und Drittlandtransfers

MongoDB Inc. ist ein US Unternehmen. Auch bei Wahl einer EU Region (Frankfurt, Irland, Stockholm) für den Cluster können operative Logs und Support Daten in die USA übertragen werden. MongoDB ist gemäß EU US Data Privacy Framework zertifiziert und stellt Standardvertragsklauseln im DPA zur Verfügung. Verantwortliche sollten dennoch eine Transfer Folgenabschätzung (TIA) durchführen und die Hosting Region sorgfältig auswählen, um Risiken nach Schrems II zu minimieren.

Praktische Compliance Schritte

Schließen Sie ein Data Processing Addendum (DPA) mit MongoDB Inc. ab, aktivieren Sie Encryption at Rest und Client Side Field Level Encryption für sensible Felder, beschränken Sie Verbindungen per IP Allowlist und VPC Peering. Nutzen Sie Atlas Audit Logs, um Zugriffe nachvollziehbar zu machen, und definieren Sie Aufbewahrungsfristen mit TTL Indizes. Dokumentieren Sie das Verfahren im Verzeichnis von Verarbeitungstätigkeiten und ergänzen Sie die Datenschutzerklärung um Hosting Standort, Empfänger und Drittlandgarantien.

GDPR consent category

Sonstige

Websites using MongoDB must obtain user consent under GDPR regulations.

Legal basisContract performance for database service provision (Art. 6(1)(b)), legitimate interest for security, monitoring, and infrastructure operations (Art. 6(1)(f)), consent required for Atlas web console analytics cookies (Art. 6(1)(a))

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, UK GDPR, CCPA/CPRA, HIPAA (Atlas with BAA), PCI DSS, SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018

DPIA considerations

MongoDB ist Backend Infrastruktur und kein Tracking Dienst. Eine DSFA wird notwendig, sobald die in MongoDB abgelegten Daten ein hohes Risiko bergen, etwa Gesundheitsdaten, Standortdaten oder umfangreiches Profiling. Berücksichtigen Sie bei MongoDB Atlas zusätzlich den Hosting Standort, die Standardvertragsklauseln und die Verschlüsselung im Ruhezustand.

Sample consent text

MongoDB setzt keine Cookies und benötigt keine Einwilligung des Endnutzers. Personenbezogene Daten werden auf Grundlage der Vertragserfüllung oder eines berechtigten Interesses gemäß Artikel 6 DSGVO verarbeitet. Beim Einsatz von MongoDB Atlas in den USA ist ein Auftragsverarbeitungsvertrag mit MongoDB Inc. erforderlich.

Technical details

Tracking methodserver side database engine (self hosted) or cloud managed service (Atlas) with cookies on web console, connection logging, audit trails

Server locationSelf hosted: customer controlled. Atlas: Global (AWS, Azure, GCP with configurable regions including EU)

Cookieless tracking availableYes

Data transferred outside the EUMongoDB Inc. is headquartered in New York, US. Self hosted MongoDB deployments keep data entirely on customer infrastructure. MongoDB Atlas (cloud service) offers configurable data regions including EU only deployments on AWS, Azure, or GCP. Atlas management plane metadata may be processed in the US. Transfers covered by SCCs via MongoDB's DPA.

Third-party domains contacted

cloud.mongodb.comaccount.mongodb.comwww.mongodb.comrealm.mongodb.comdata.mongodb-api.com

Cookies placed

Name	Type	Duration	Purpose
mdb_session	authentication	Session	Maintains the authenticated session for the MongoDB Atlas web management console.
mdb_csrf	security	Session	CSRF protection for Atlas console operations and account management actions.
_ga	analytics	2 years	Google Analytics cookie tracking visitor behaviour on the MongoDB website and Atlas console.
mdb_prefs	functionality	1 year	Stores user interface preferences for the Atlas console including cluster view mode and notification settings.

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Setzt MongoDB Cookies?

Nein. MongoDB ist eine Backend Datenbank ohne Browser Komponente. Cookies werden nur von der darüber liegenden Webanwendung gesetzt. MongoDB selbst speichert ausschließlich die Daten, die die Anwendung an die Datenbank sendet.

Ist eine Einwilligung erforderlich?

Eine Einwilligung nach Paragraf 25 TDDDG für Cookies ist nicht erforderlich. Die Verarbeitung der gespeicherten personenbezogenen Daten benötigt jedoch eine Rechtsgrundlage gemäß Artikel 6 DSGVO, in der Regel Vertragserfüllung oder berechtigtes Interesse.

Welche Rechtsgrundlage ist anwendbar?

Bei Kundenkonten und Bestellungen greift in der Regel Artikel 6 Absatz 1 Buchstabe b DSGVO (Vertragserfüllung). Für Logging, Sicherheit und Betrugsabwehr stützen sich Verantwortliche auf Artikel 6 Absatz 1 Buchstabe f (berechtigtes Interesse) und führen eine Interessenabwägung durch.

Werden Daten in die USA übertragen?

Bei MongoDB Atlas können operative Logs und Support Daten in die USA übertragen werden, auch wenn der Cluster in einer EU Region liegt. MongoDB Inc. ist nach EU US Data Privacy Framework zertifiziert und stellt Standardvertragsklauseln im DPA bereit.

Brauche ich eine Datenschutz Folgenabschätzung?

Eine DSFA ist erforderlich, wenn die in MongoDB gespeicherten Daten ein hohes Risiko bergen: Gesundheitsdaten, biometrische Daten, Standortdaten oder Profiling. Standard E Commerce oder CMS Anwendungen kommen meist mit einer ausführlichen Risikobewertung aus.

Wie wird MongoDB DSGVO konform betrieben?

Aktivieren Sie SCRAM Authentifizierung, TLS für alle Verbindungen, Encryption at Rest und Field Level Encryption für sensible Felder. Beschränken Sie den Zugriff über IP Allowlists und Privater Endpunkt, definieren Sie rollenbasierte Rechte und protokollieren Sie Zugriffe via Audit Log.

Welche Alternativen zu MongoDB gibt es?

Alternativen sind PostgreSQL mit JSONB für relationale plus Dokument Workloads, CouchDB als ähnliche dokumentenorientierte Datenbank oder DynamoDB von AWS. Selbst gehostete Lösungen vermeiden Drittlandtransfers, erfordern jedoch eigene Sicherheitsmaßnahmen.

Wie wird die Datenschutzerklärung aktualisiert?

Erwähnen Sie in der Datenschutzerklärung MongoDB als Auftragsverarbeiter (sofern Atlas verwendet wird), den Hosting Standort, die Datenkategorien, die Aufbewahrungsfristen sowie die Garantien bei Transfers in Drittländer (DPF, SCC, TIA).

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note