Übersicht

Bestimmte Datenschutzgesetze auf der ganzen Welt bieten Mechanismen zum Schutz personenbezogener Daten in Fällen, in denen Daten von einer juristischen Person in einem Rechtssystem an eine andere juristische Person in einem anderen Rechtssystem übertragen werden. Diese grenzüberschreitenden Datenübertragungsmechanismen sind darauf ausgelegt, den angemessenen Schutz personenbezogener Daten sicherzustellen, wenn diese in letzterem Rechtssystem nicht in gleichem Maße geschützt werden wie im ersten.

Beispiele:
Nach argentinischem Recht handelt es sich bei diesem Mechanismus um die argentinischen Modellklauseln für die internationale Datenübertragung für jegliche Übertragung personenbezogener Daten von Argentinien in ein Rechtssystem ohne angemessenes Datenschutzniveau, z. B. die USA.

Gemäß EU‑Recht werden die folgenden Übertragungsmechanismen am häufigsten verwendet:

• Verbindliche unternehmensinterne Vorschriften und
• EU‑Standardvertragsklauseln.

Datenübertragungen durch Akamai

Akamai führt grenzüberschreitende Übertragungen in verschiedenen Kontexten zur Bereitstellung, Entwicklung und Verbesserung seiner Services durch. Dazu gehört die Übertragung personenbezogener Daten in IP-Transaktionsprotokolldateien (z. B. IP-Adressen von Endnutzern) zwischen dem örtlichen Akamai-Vertriebspartner und Akamai Technologies, Inc., der Muttergesellschaft in den USA, zur weiteren Verarbeitung für Sicherheits- und Bedrohungsanalysen, Abrechnungen und Dienstleistungen.

Darüber hinaus überträgt Akamai personenbezogene Daten in IP-Transaktionsprotokolldateien, wenn Support-Services für Kunden erbracht werden. Um den Support rund um die Uhr zu gewährleisten, hat Akamai ein „Follow the Sun“-Konzept an den wichtigsten Standorten des Support-Teams in den USA, der EU und Indien implementiert. Die vollständige Liste der Supportpartner von Akamai finden Sie in derListe der Akamai-Unterauftragsverarbeiterim Privacy Trust Center.

Akamai kann ebenfalls personenbezogene Daten im Rahmen seiner Content Delivery Services übertragen, wenn die Websites und Anwendungen seiner Kunden personenbezogene Daten erfassen oder anderweitig verarbeiten, die von ihnen bereitgestellt oder an einzelne Nutzer ihrer Dienste gesendet werden. Abgesehen von der Verarbeitung von Sicherheitsregeln im Zusammenhang mit diesem Traffic dient Akamai im Grunde als Kanal für solche Daten, deren Art vollständig durch den Aufbau der Website oder Anwendung des Kunden und die Interaktion mit dem Endnutzer bestimmt wird.

Standortspezifischer Datenübertragungsmechanismus

Argentinien
Argentinische Modellklauseln zur internationalen Datenübertragung

Akamai hat die argentinischen Modellklauseln für die internationale Datenübertragung zwischen Akamai Technologies Argentina S.R.L. und Akamai Technologies Inc. eingeführt, um sicherzustellen, dass personenbezogene Daten, die bei der Bereitstellung von Akamai-Services für Kunden zum Vorteil argentinischer Endnutzer von Argentinien in die USA übertragen werden, angemessen geschützt sind. Für Kunden und Partner stehen außerdem die von Akamai unterzeichneten argentinischen Modellklauseln für die internationale Datenübertragung zum Download und zur Gegenzeichnung zur Verfügung.

Brasilien
Standardvertragsklauseln

Für die Übertragung personenbezogener Daten aus Brasilien in Drittländer: Bis die brasilianische Datenschutzbehörde weitere Leitlinien für die internationale Datenübertragung veröffentlicht, wird Akamai aufgrund der Ähnlichkeit zwischen LGPD und DSGVO auf den in Europa zugelassenen Datenübertragungsmechanismus setzen. Akamai hat vertragliche Verpflichtungen zwischen Akamai Tecnologias e Serviços do Brasil Ltda. und Akamai Technologies Inc. auf Grundlage der EU‑Standardvertragsklauseln für die internationale Datenübertragung festgelegt. Außerdem stehen brasilianischen Kunden und Partnern ähnliche Vertragsbedingungen, die auf den EU‑Standardvertragsklauseln über die internationale Datenübertragung beruhen, zum Download und zur Gegenzeichnung zur Verfügung.

EU
EU‑Standardvertragsklauseln 

Akamai stützt sich auf die EU‑Standardvertragsklauseln (EU Standard Contractual Clauses, „EU SCCs“) als grenzüberschreitenden Übertragungsmechanismus für die EU.¹

Akamai hat die EU SCCs Modul 3: Datenverarbeiter an Datenverarbeiter eingeführt, die von den zuständigen Akamai-Vertriebspartnern in der EU in ihrer Rolle als Datenexporteur und von Akamai Technologies, Inc. als Datenimporteur unterzeichnet wurden. 
Akamai gewährt Kunden und Partnern die Möglichkeit, diesen SCCs einfach durch Unterzeichnung von Anhang I Azuzustimmen, in Übereinstimmung mit Klausel 7 der SCCs.

Falls Sie als Kunde oder Partner die EU SCCs lieber direkt zwischen sich und Akamai abschließen möchten, bieten wir Ihnen außerdem folgende Optionen:

• Modul 3: Datenverarbeiter an Datenverarbeiter(Partner fungiert als Datenexporteur und Akamai Technologies, Inc. als Datenimporteur)

oder

• Modul 2: Datenverantwortlicher an Datenverarbeiter(Kunde fungiert als Datenexporteur und Akamai Technologies, Inc. als Datenimporteur)

Auf Grundlage des Schrems II-Fallshat Akamai die vertraglichen, technischen und organisatorischen Sicherheitsmaßnahmen überprüft, die das Unternehmen zum Schutz der in die USA übermittelten Daten eingerichtet hat, sowie die Anwendbarkeit der spezifischen staatlichen Überwachungsgesetze, die im Rahmen des Falls vom EuGH für Datenübertragungen in die USA geprüft wurden. Die Ergebnisse lauten wie folgt:

• Akamai ist kein „Anbieter für elektronische Kommunikationsdienste“ gemäß den geltenden Gesetzen der USA und unterliegt daher keinen Zugriffsanfragen gemäß FISA 702.
• Akamai empfiehlt Kunden, Akamai-Services so zu konfigurieren, dass die personenbezogenen Daten in den Webressourcen des Kunden auf Kanalbasis über die Edge-Server von Akamai geleitet werden und nicht auf den Edge-Servern gespeichert werden (d. h., dass personenbezogene Daten nicht als auf der Akamai Edge „cachebar“ konfiguriert werden sollten).
• Die personenbezogenen Daten in den Webressourcen des Kunden werden während der Übertragung durch die vom Kunden gewählten und konfigurierten Verschlüsselungsverfahren geschützt. Eine Zusammenfassung desInformationssicherheitsprogramms von Akamaierläutert, wie Akamai unter anderem die Webressourcen seiner Kunden schützt. Ein Exemplar des vollständigen Programms steht Kunden und Partnern nach Abschluss einer Geheimhaltungsvereinbarung auf Anfrage zur Verfügung.
• Dieaktualisierten technischen und organisatorischen Maßnahmenzum Schutz der personenbezogenen Daten, die bei der Erbringung von Akamai-Services verarbeitet werden, stehen im Privacy Trust Center zur Verfügung. In der aktualisierten Version betont Akamai, dass wir von uns gespeicherte personenbezogene Daten anonymisieren, sofern die Anonymisierung den Verarbeitungszweck nicht beeinträchtigt, und dass Akamai keine Endnutzer identifiziert, wenn Akamai die IP-Adressen dieser Endnutzer verarbeitet (als Teil der aufgezeichneten personenbezogenen Daten, wie im DPA [Data Protection Act] von Akamai definiert).
• Bei den Daten, die Akamai in die USA überträgt, handelt es sich um IP-Adressen von Endnutzern und andere Metadaten in Protokolldateien (definiert als „aufgezeichnete personenbezogene Daten“ im DPA von Akamai), die erstellt werden, wenn ein Endnutzer auf die Webressourcen eines Kunden zugreift. Zum Schutz übertragener personenbezogener Daten vor unbefugtem Zugriff werden für die Netzwerke und Systeme von Akamai strenge Zugriffskontrollen angewendet.
• Die IP-Adresse eines Endnutzers besteht für Akamai aus pseudonymisierten Daten, da Akamai weder den Endnutzer identifiziert, noch Profile von Endnutzern erstellt.
• Akamai verarbeitet IP-Adressen von Endnutzern zum Zweck der Servicebereitstellung sowie der Analyse von Traffic und Sicherheit. Für diese Zwecke ist keine Identifizierung des Endnutzers erforderlich.
• In Leitlinien zu diesem Thema bestätigten US‑Regierungsbehörden, dass sie kein Interesse an Metadaten (aufgezeichneten personenbezogenen Daten) zu Überwachungszwecken haben.²
• Akamai gestattet US‑amerikanischen oder anderen Regierungsbehörden nicht ohne Weiteres den Zugriff auf seine Infrastruktur.
• Akamai ficht Anfragen von Strafverfolgungsbehörden an, wenn dies rechtlich möglich ist. Bei den Anfragen von Strafverfolgungsbehörden, die Akamai häufig erhält, handelt es sich um Anfragen zu Details in Bezug auf eine IP-Adresse. Da Akamai die Endnutzer seiner Kunden nicht identifiziert, ist Akamai nicht im Besitz der angeforderten Daten und Objekte.

Privacy-Shield-Programm
Akamai hält seine Verpflichtungen im Rahmen des Privacy-Shield-Programms weiterhin ein und sorgt für einen angemessenen Schutz der übertragenen Daten, ungeachtet der Ungültigerklärung des Programms durch das Urteil des Europäischen Gerichtshofs im Fall Schrems II.

Datenübertragungsmechanismus mit Unterauftragsverarbeitern
Die vollständige Liste der Unterauftragsverarbeiter von Akamai und der entsprechenden Übertragungsmechanismen finden Sie in der Liste der Akamai-Unterauftragsverarbeiter im Privacy Trust Center.

Ausfertigung von Klauseln
Wir bitten unsere Kunden und Partner, die von Akamai oben zur Verfügung stehenden gültigen Klauseln zur Kenntnisnahme und Archivierung vollständig unterzeichnet anprivacy@akamai.comzu senden.

Fragen
Bei Fragen zu Datenübertragungen durch Akamai wenden Sie sich bitte an das Global Data Protection Office unterprivacy@akamai.com

^{1Akamai prüft weiterhin die Umsetzbarkeit anderer verfügbarer Mechanismen, einschließlich verbindlicher unternehmensinterner Vorschriften, um sicherzustellen, dass die effektivsten verfügbaren Mechanismen verwendet werden.}

^{2Z. B. „Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU‑U.S. Data Transfers after Schrems II“ (Informationen zu Datenschutzvorkehrungen in den USA bezüglich SCCs und anderen Rechtsgrundlagen der EU für EU‑US‑Datenübertragungen nach Schrems II), verfügbar unter https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLIANT.PDF, z. B. Zusammenfassung (1) auf Seite 1, aktualisierter Umfang der FISA-Anträge, wie auf Seite 12 beschrieben, und der jeweiligen Rechtsprechung in Fußnote 44.}