Was macht Sentry?
Sentry ist ein Tool, mit dem Entwickler Abstürze im Programmiercode in Echtzeit überwachen und beheben können. Dazu bietet das Tool einen tiefgreifenden Kontext zu allen erkannten Fehlern und somit eine hohe Fehlertransparenz. Unternehmen können auf diese Weise schwerwiegende Unstimmigkeiten im Code effizient beheben – und so finanzielle Verluste vermeiden.
Sentry unterstützt über 30 Programmiersprachen. Das Unternehmen sitzt in San Francisco, Seattle, Wien und Toronto. Es verfügt über mehr als 90.000 Kunden in 146 Ländern. Dazu zählen unter anderem Microsoft, Disney und Cloudflare. Was müssen Kunden datenschutzrechtlich beachten, wenn sie Sentry verwenden?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Darum ist Sentry datenschutzrechtlich relevant
Um die technische Stabilität einer Webseite zu gewährleisten, erheben Unternehmen über Sentry Nutzerdaten wie
- IP-Adresse,
- Angaben zum Gerät,
- Angaben zum verwendeten Browser und
- eventuelle Schritte, die zu einem technischen Fehler im Code geführt haben (inkl. Stack-Trace).
Um diese Daten datenschutzkonform zu erheben und zu verarbeiten, müssen Unternehmen verschiedene Vorgaben aus der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) beachten.
Sentry datenschutzkonform verwenden
Um Sentry datenschutzkonform einzusetzen, müssen Unternehmen diese Pflichten aus dem Gesetz erfüllen:
Datenschutzerklärung anpassen
Unternehmen müssen in ihrer Datenschutzerklärung erwähnen,
- warum sie über Sentry personenbezogene Daten sammeln,
- wie lange sie die Daten speichern und
- welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. f DSGVO).
Um Usern einen Einblick zu geben, wie Sentry ihre Daten verarbeitet, sollten Unternehmen zusätzlich auf die Nutzungsbedingungen und Datenschutzbestimmungen des Anbieters verweisen.
Datensparsamkeit beachten
Unternehmen sollten bei der Nutzung von Sentry nur die Daten erheben, die sie unbedingt benötigen, um die technische Stabilität ihrer Webseite sicherzustellen. Jede Datenerhebung muss dabei
- einem erlaubten Zweck dienen,
- geeignet sein, diesen Zweck zu erfüllen und
- erforderlich sein, diesen Zweck zu erreichen.
Das schreibt der Grundsatz der Datensparsamkeit der DSGVO vor. Zudem dürfen Unternehmen die erhobenen Daten nur so lange speichern, wie sie diese für die technische Stabilität ihrer Webseite benötigen oder es ein Gesetz vorgibt.
Auf eigenem Server hosten
Um keine Daten an den Anbieter in den USA weiterzugeben, sollten Unternehmen Sentry auf ihrem eigenen Server betreiben. Ist das nicht möglich, müssen sie zusätzlich die folgenden Datenschutzpflichten erfüllen:
Vertrag zur Auftragsverarbeitung abschließen
Hosten Unternehmen Sentry nicht auf ihrem eigenen Server, geben sie Nutzerdaten an den Anbieter weiter, um diese weisungsgebunden verarbeiten zu lassen. Dafür müssen sie mit Sentry einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Der Vertrag sollte festhalten,
- welche Nutzerdaten Sentry erhält und speichert,
- wie lange Sentry die Daten speichert,
- wie Sentry die Daten verarbeitet und
- welche Rechte und Pflichten die Verantwortlichen haben.
Unternehmen müssen in ihrer Datenschutzerklärung darauf hinweisen, dass sie mit Sentry einen AV-Vertrag geschlossen haben.
Standardvertragsklauseln abschließen
Der Anbieter von Sentry hat seinen Hauptsitz in den USA. Er speichert Nutzerdaten daher in Rechenzentren außerhalb der EU. Dafür müssen Unternehmen mit Sentry Standardvertragsklauseln abschließen. In diesem Rahmen müssen sie auch eine Risikoabschätzung vornehmen. Diese legt offen, wie eine Datenübertragung von Europa in die USA abläuft. Sie dokumentiert,
- welche Art von Daten Unternehmen an Sentry weitergeben,
- welche Rechtsvorschriften in den USA gelten und
- ob Sentry Maßnahmen ergreift, um die über das Tool erhobenen Daten zu schützen.
Rechtsprechung zu Sentry
Für den Einsatz von Sentry ist diese Rechtsprechung relevant:
2021: Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Unternehmen, die Sentry nicht selbst hosten, benötigen einen AV-Vertrag mit dem Anbieter. Versäumen sie diese DSGVO-Pflicht, müssen sie mit einem Bußgeld rechnen. Das kann bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen. Die Datenschutzbehörde Baden-Württemberg sprach daher im März 2021 ein Bußgeld von 300.000 Euro gegen den Fußballverein VfB Stuttgart aus. Dieser hatte mehrere tausend Mitgliederdaten an Dienstleister weitergegeben, um die Daten weisungsgebunden verarbeiten zu lassen – ohne AV-Vertrag.
2020: Europäischer Gerichtshof zum Privacy Shield
Unternehmen können den Privacy Shield nicht mehr nutzen, um Nutzerdaten von der EU in die USA zu versenden. Das stellte der Europäische Gerichtshof (EuGH) im Juli 2020 fest. Der Grund: Die USA verwenden Überwachungsprogramme, die über das zwingend erforderliche Maß hinausgehen. Und: Nutzer in der EU können nicht gegen US-amerikanische Firmen vorgehen, sollten diese ihre Daten missbrauchen. Das bedeutet: Um personenbezogene Daten von Europa in die USA rechtssicher zu verschicken, benötigen Unternehmen eine andere rechtliche Grundlage. Diese bilden derzeit Standardvertragsklauseln.
2018: Datenschutzbehörde Hamburg zum AV-Vertrag
Ein deutsches Versandunternehmen hatte zwar personenbezogene Daten an einen Dienstleister in Spanien weitergegeben. Es hatte dafür mit diesem jedoch keinen AV-Vertrag geschlossen. Denn: Beide Seiten sahen sich nicht dafür verantwortlich, den AV-Vertrag aufzusetzen. Das stufte die Datenschutzbehörde Hamburg als Verstoß gegen die DSGVO ein. Sie sprach daher im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro gegen das deutsche Versandunternehmen aus.