Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Sentry ist eine Anwendungsüberwachungsplattform für Fehlerverfolgung, Performance-Monitoring und Debugging. Sie erfasst Ausnahmen, Stack Traces, Breadcrumbs und optional Nutzerkontext (E-Mail, Benutzername). Die Kernfunktion der Fehlerverfolgung kann auf berechtigtem Interesse basieren. Sentry erfasst häufig versehentlich personenbezogene Daten in Fehlerereignissen; eine sorgfältige Bereinigungskonfiguration ist für die DSGVO-Compliance unerlässlich. EU-Datenspeicherung ist bei kostenpflichtigen Tarifen verfügbar.
Sentry, betrieben von Functional Software Inc., ist die Open Core Plattform für Anwendungsmonitoring, die von mehr als 100.000 Organisationen genutzt wird, um Exceptions, Performance Traces, Profiling Daten und Session Replay in Web, Mobile und Backend Stacks zu erfassen. Das Produkt ist als Sentry SaaS in zwei Regionen verfügbar (USA und EU mit dem Endpoint de.sentry.io) sowie als Sentry Self Hosted unter der BSL Lizenz.
Backend Sentry SDKs (Python, Node, Java, PHP, Go) setzen keine Cookies, da sie auf dem Server laufen. Das Browser SDK (@sentry/browser, @sentry/react, @sentry/vue) schreibt die Einträge sentryReplaySession und sentryReplayLastActivity in den sessionStorage, um die Session ID zu speichern, plus das Cookie sentry_session auf der Sentry Domain (de.sentry.io oder us.sentry.io), wenn Session Replay Daten überträgt. Das bei jedem Crash gesendete Payload enthält den Stack Trace, die URL, das Viewport, den User Agent und die Besucher IP (standardmäßig auf /24 IPv4 bzw. /48 IPv6 gekürzt).
Backend Sentry kann sich auf das berechtigte Interesse (Art. 6(1)(f) DSGVO) stützen, da standardmäßig keine Besucherdaten verarbeitet werden und der Verantwortliche ein klares Interesse am Betrieb seiner Software hat. Das Browser SDK und Session Replay verarbeiten die Besucher IP und detailliertes Verhalten; vor dem Laden ist eine Einwilligung nach Art. 6(1)(a) DSGVO und §25 TTDSG erforderlich. Die CNIL erkennt Observability Tools als analyseähnlichen Zweck an, die Ausnahme greift jedoch nur, wenn keine personenbezogenen Daten an Dritte gehen und die Speicherdauer begrenzt ist; das erfüllt Sentry standardmäßig nicht.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Sentry startete die EU Region (de.sentry.io) 2023 auf AWS Frankfurt. Fehler Payloads, Performance Traces und Session Replay Frames bleiben in Deutschland; nur operative Metadaten (Abrechnung, Support, Missbrauchserkennung) werden in den USA verarbeitet. Functional Software Inc. ist seit dem 19. September 2023 unter dem EU US Data Privacy Framework zertifiziert, und der Sentry AVV enthält die EU Standardvertragsklauseln (Modul 2). Kunden der US Region sollten eine Transfer Folgenabschätzung durchführen und Zusatzmaßnahmen dokumentieren.
Wählen Sie bei der Organisationserstellung die EU Region. Aktivieren Sie die IP Kürzung und deaktivieren Sie die Nutzeridentifikation (setUser), sofern keine Rechtsgrundlage besteht. Maskieren Sie sensible Felder im Session Replay über maskAllText, maskAllInputs und blockAllMedia. Begrenzen Sie die Speicherdauer auf 30 Tage für Replays und 90 Tage für Events in den Data Scrubbing und Retention Einstellungen. Dokumentieren Sie Sentry im Verarbeitungsverzeichnis (Art. 30 DSGVO) und lösen Sie eine DSFA aus, wenn Session Replay aktiv ist oder besondere Kategorien personenbezogener Daten (Gesundheit, Zahlungen) in Stack Traces landen können.
Open Source Alternativen sind GlitchTip (Fork des Sentry Servers, MIT Lizenz), Bugsink, Rollbar, Highlight.io und OpenTelemetry mit einem selbst gehosteten Backend. Kommerzielle Konkurrenten sind Datadog APM (USA), New Relic (USA), Honeybadger und Bugsnag (jetzt SmartBear, USA).
Websites using Sentry must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für reines Error Monitoring nicht erforderlich. Session Replay rechtfertigt eine DSFA bei großflächigem Einsatz; Maskierung und Speicherdauer dokumentieren.
Sample consent text
Wir setzen Sentry ein, eine Plattform für Anwendungsmonitoring, um Fehler und Performance Probleme zu erfassen und schnell zu beheben. Backend Sentry läuft auf unseren Servern ohne Cookies oder Besucher Daten. Das Browser Sentry SDK wird erst geladen, nachdem Sie die Kategorie Technisch in unseren Cookie Einstellungen akzeptieren; es speichert eine Session Id im localStorage und kann Ihre IP Adresse, Ihren Browser, die URL und eine kurze Breadcrumb Spur an Sentry in der europäischen Region (Frankfurt) melden. Bei aktiviertem Session Replay werden zusätzliche maskierte DOM Mutationen 10 Sekunden vor und nach jedem Fehler aufgezeichnet.
Third-party domains contacted
sentry.iosentry.ioingest.sentry.iobrowser.sentry-cdn.como0.ingest.sentry.ioingest.de.sentry.iobrowser.sentry-cdn.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| sentrysid | session | Session | Sentry session identifier for grouping browser errors and performance events within a single session |
| sentry-session-id | In memory (Sentry SDK) | Tab session | Volatile identifier used by the SDK to group events from the same browser tab. |
| sentryReplaySession | sessionStorage (Sentry Replay) | Tab session | Stores the active replay identifier when Session Replay is enabled. |
Sentry erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Sentry erfasst Ausnahmen, Stack Traces, Breadcrumbs (Nutzeraktionen vor dem Fehler) und optional Nutzerkontext wie E-Mail oder Benutzername. Ein erhebliches Risiko ist die versehentliche Erfassung personenbezogener Daten in Fehlerereignissen. Session Replay (optionale Funktion) zeichnet Bildschirmaufnahmen von Nutzersitzungen auf und setzt Cookies.
Für reine Fehlerverfolgung ohne PII-Erfassung ist keine Cookie-Einwilligung erforderlich (berechtigtes Interesse). Session Replay erfordert eine ausdrückliche Einwilligung, da es systematische Aufzeichnung des Nutzerverhaltens darstellt. Blockieren Sie das Session-Replay-Modul im Consent-Manager bis zur Einwilligung.
Fehlerverfolgung und Performance-Monitoring: berechtigtes Interesse (Aufrechterhaltung der Anwendungsqualität). Session Replay: Einwilligung. Erfassen Sie Nutzerkontext-Daten wie E-Mail-Adressen, dokumentieren Sie dies als Auftragsverarbeitung und unterzeichnen Sie den Sentry-AVV.
Ja bei Standardkonfiguration auf dem US-Cluster. Sentry bietet eine EU-Datenspeicher-Region auf bezahlten Tarifen, die alle Daten in der EU hält. Für EU-Deployments wird die EU-Region dringend empfohlen; Sentry stellt Standardvertragsklauseln (SCC) für US-Übermittlungen bereit.
Empfohlen bei Nutzung von Session Replay oder bei grossangelegtem Error-Monitoring, das Nutzerdaten systematisch erfasst. Dokumentieren Sie alle Data-Scrubbing-Regeln, die verhindern, dass personenbezogene Daten in Fehlerereignissen gespeichert werden.
Aktivieren Sie die EU-Daten-Region, unterzeichnen Sie den Sentry-AVV, konfigurieren Sie Data-Scrubbing-Regeln für E-Mail-Adressen und PII in Stack Traces, beschränken Sie den Nutzerkontext auf pseudonymisierte IDs, setzen Sie Aufbewahrungsfristen auf 30 bis 90 Tage und blockieren Sie Session Replay im Consent-Manager bis zur Einwilligung.
GlitchTip ist eine Open-Source-Alternative, die selbst gehostet werden kann und damit volle EU-Datensouveränität bietet. Rollbar und Bugsnag bieten ähnliche EU-Datenspeicheroptionen. Für einfachere Anwendungsfälle können eigene Logging-Lösungen ausreichend sein.
Fügen Sie Sentry als Auftragsverarbeiter für Fehlerverfolgung und Performance-Monitoring ein, benennen Sie den Datenspeicherort (EU oder US), erläutern Sie die Rechtsgrundlage (berechtigtes Interesse oder Einwilligung für Session Replay) und informieren Sie über Aufbewahrungsfristen und Data-Scrubbing-Massnahmen.
Keine Tracking Cookies. Das Browser SDK speichert eine volatile In Memory Session ID. Session Replay nutzt sessionStorage (sentryReplaySession) für das aktive Replay Token. Serverseitig setzt Sentry nur Cookies für das eigene Dashboard Login.
Nicht für Standard Error Monitoring mit aktivem PII Filter: Sentry gilt dann als zwingend erforderliche Sicherheitsmaßnahme (Erwägungsgrund 49 DSGVO). Für Session Replay ist eine Einwilligung erforderlich.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für Error Monitoring, Sicherheit und Zuverlässigkeit. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO + § 25 TDDDG) für Session Replay.
Wählen Sie die EU Region von sentry.io, um Event Daten in Frankfurt und Amsterdam zu speichern. Die Control Plane (Konto, Abrechnung) bleibt in beiden Regionen in den USA. Übermittlungen sind durch EU SCCs und das EU US Data Privacy Framework abgedeckt.
Für reines Error Monitoring nicht. Für großflächigen Session Replay Einsatz wird eine DSFA empfohlen, da die Nutzerinteraktionen detailliert erfasst werden.
EU Region wählen, DPA unterzeichnen, PII Filter aktivieren, beforeSend Scrubbing konfigurieren, Inputs in Session Replay maskieren, Speicherdauer begrenzen, Sentry als Auftragsverarbeiter im Verzeichnis nach Art. 30 DSGVO eintragen.
Self Hosted Sentry, GlitchTip (Open Source Fork, EU freundlich), Rollbar (USA), Bugsnag/SmartBear (USA), Raygun (NZ), Datadog APM (USA/EU), New Relic (USA) oder self hosted Alternativen wie Errsole und Highlight.io.
Erwähnen Sie Sentry im Technik/Sicherheits Teil: Error Monitoring, keine Tracking Cookies, EU oder US Region mit EU US Data Privacy Framework, Speicherdauer, Link zur Sentry Datenschutzerklärung. Session Replay ggf. separat listen.