Datenschutz bei Akamai
Kunden vertrauen darauf, dass Akamai digitale Erlebnisse schnell, intelligent und sicher macht. Wir wissen, dass die Art und Weise, wie wir personenbezogene Daten verarbeiten, einen entscheidenden Einfluss auf dieses Vertrauen hat. Daher sind wir verpflichtet, die Privatsphäre unserer Kunden, der Endnutzer der Kunden, unserer Mitarbeiter und Onlinenutzer zu schützen. Akamai hält die Gesetze aller Länder, in denen wir tätig sind, ein, einschließlich der Datenschutzgesetze in Amerika, Europa und Asien.
Das Datenschutzprogramm von Akamai ist auf den Schutz personenbezogener Daten, die wir verarbeiten, gemäß der weltweiten Datenschutzgrundsätze ausgelegt. Das Global Data Protection Office von Akamai unter der Leitung unseres Chief Data Protection Officer ist für dieses wichtige Unterfangen zuständig.
Datenschutzprogramm von Akamai. Hier erfahren Sie Näheres.
Schutz personenbezogener und vertraulicher Daten bei Akamai. Hier erfahren Sie Näheres.
Datenschutzvorgaben für Akamai-Anbieter. Hier erfahren Sie Näheres.
Identity Cloud und DSGVO
Die Identity Cloud erfasst und verwaltet sicher Identitäts- und Profildaten von Kunden und steuert den Kundenzugriff auf Anwendungen und Dienste.
Akamai ermöglicht nicht nur eine präzise Datenzugriffskontrolle, sondern trägt mit der Verwaltung der Zustimmung von Kunden außerdem dazu bei, dass globale Marken die Erwartungen von Kunden an den Datenschutz übertreffen und die gesetzlichen Datenschutzbestimmungen erfüllen.
Lesen Sie auch das Whitepaper:Leitfaden zur Erfüllung von Datenschutzanforderungen mit Akamai Identity Cloud."
Auf der Seite zur Identity Cloud finden Sie weitere Informationen darüber, wie Ihre DSGVO-Anforderungen mit CIAM erfüllt werden können.
Ressourcen
Vereinbarung zur Datenverarbeitung von Akamai – für Kunden
Diese Vereinbarung ergänzt und ändert die AGB von Akamai für seine Kunden.
Vereinbarung zur Datenverarbeitung von Akamai – für Partner
Diese Vereinbarung ergänzt und ändert die Vertriebsvereinbarung zwischen Akamai und seinen Partnern.
Vereinbarung zur Datenverarbeitung von Akamai – für Anbieter
Diese Vereinbarung ergänzt und ändert den Dienstleistungsrahmenvertrag und/oder die Einkaufsbedingungen zwischen Akamai und seinen Anbietern.
Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten
In dieser Übersicht werden die technischen und organisatorischen Maßnahmen beschrieben, die Akamai zum Schutz von personenbezogenen Daten implementiert hat, die bei der Bereitstellung seiner Services verarbeitetet werden.
Länder, in denen Akamai Server betreibt
Dieses Dokument führt die Länder auf, in denen Akamai Server betreibt, sowie die Akamai-Tochterunternehmen, die im Besitz von Akamai-Servern sind.
Unterauftragsverarbeiter von Akamai für die Servicebereitstellung
Entsprechenserklärung zum HIPAA und HITECH ACT
Überblick über die Verarbeitung personenbezogener Daten bei Akamai
Grenzüberschreitende Datenübertragung durch Akamai
Übersicht
Bestimmte Datenschutzgesetze auf der ganzen Welt bieten Mechanismen zum Schutz personenbezogener Daten in Fällen, in denen Daten von einer juristischen Person in einem Rechtssystem an eine andere juristische Person in einem anderen Rechtssystem übertragen werden. Diese grenzüberschreitenden Datenübertragungsmechanismen sind darauf ausgelegt, den angemessenen Schutz personenbezogener Daten sicherzustellen, wenn diese in letzterem Rechtssystem nicht in gleichem Maße geschützt werden wie im ersten.
Beispiele:
Nach argentinischem Recht handelt es sich bei diesem Mechanismus um die argentinischen Modellklauseln für die internationale Datenübertragung für jegliche Übertragung personenbezogener Daten von Argentinien in ein Rechtssystem ohne angemessenes Datenschutzniveau, z. B. die USA.
Gemäß EU‑Recht werden die folgenden Übertragungsmechanismen am häufigsten verwendet:
- Verbindliche unternehmensinterne Vorschriften und
- EU‑Standardvertragsklauseln.
Datenübertragungen durch Akamai
Akamai führt grenzüberschreitende Übertragungen in verschiedenen Kontexten zur Bereitstellung, Entwicklung und Verbesserung seiner Services durch. Dazu gehört die Übertragung personenbezogener Daten in IP-Transaktionsprotokolldateien (z. B. IP-Adressen von Endnutzern) zwischen dem örtlichen Akamai-Vertriebspartner und Akamai Technologies, Inc., der Muttergesellschaft in den USA, zur weiteren Verarbeitung für Sicherheits- und Bedrohungsanalysen, Abrechnungen und Dienstleistungen.
Darüber hinaus überträgt Akamai personenbezogene Daten in IP-Transaktionsprotokolldateien, wenn Support-Services für Kunden erbracht werden. Um den Support rund um die Uhr zu gewährleisten, hat Akamai ein „Follow the Sun“-Konzept an den wichtigsten Standorten des Support-Teams in den USA, der EU und Indien implementiert. Die vollständige Liste der Supportpartner von Akamai finden Sie in der Liste der Akamai-Unterauftragsverarbeiter im Privacy Trust Center.
Akamai kann ebenfalls personenbezogene Daten im Rahmen seiner Content Delivery Services übertragen, wenn die Websites und Anwendungen seiner Kunden personenbezogene Daten erfassen oder anderweitig verarbeiten, die von ihnen bereitgestellt oder an einzelne Nutzer ihrer Dienste gesendet werden. Abgesehen von der Verarbeitung von Sicherheitsregeln im Zusammenhang mit diesem Traffic dient Akamai im Grunde als Kanal für solche Daten, deren Art vollständig durch den Aufbau der Website oder Anwendung des Kunden und die Interaktion mit dem Endnutzer bestimmt wird.
Standortspezifischer Datenübertragungsmechanismus
Argentinien
Argentinische Modellklauseln zur internationalen Datenübertragung
Akamai hat die argentinischen Modellklauseln für die internationale Datenübertragung zwischen Akamai Technologies Argentina S.R.L. und Akamai Technologies Inc. eingeführt, um sicherzustellen, dass personenbezogene Daten, die bei der Bereitstellung von Akamai-Services für Kunden zum Vorteil argentinischer Endnutzer von Argentinien in die USA übertragen werden, angemessen geschützt sind. Für Kunden und Partner stehen außerdem die von Akamai unterzeichneten argentinischen Modellklauseln für die internationale Datenübertragung zum Download und zur Gegenzeichnung zur Verfügung.
Brasilien
Standardvertragsklauseln
Für die Übertragung personenbezogener Daten aus Brasilien in Drittländer: Bis die brasilianische Datenschutzbehörde weitere Leitlinien für die internationale Datenübertragung veröffentlicht, wird Akamai aufgrund der Ähnlichkeit zwischen LGPD und DSGVO auf den in Europa zugelassenen Datenübertragungsmechanismus setzen. Akamai hat vertragliche Verpflichtungen zwischen Akamai Tecnologias e Serviços do Brasil Ltda. und Akamai Technologies Inc. auf Grundlage der EU‑Standardvertragsklauseln für die internationale Datenübertragung festgelegt. Außerdem stehen brasilianischen Kunden und Partnern ähnliche Vertragsbedingungen, die auf den EU‑Standardvertragsklauseln über die internationale Datenübertragung beruhen, zum Download und zur Gegenzeichnung zur Verfügung.
EU
EU‑Standardvertragsklauseln
Akamai stützt sich auf die EU‑Standardvertragsklauseln (EU Standard Contractual Clauses, „EU SCCs“) als grenzüberschreitenden Übertragungsmechanismus für die EU.1
Akamai hat die EU SCCs Modul 3: Datenverarbeiter an Datenverarbeiter eingeführt, die von den zuständigen Akamai-Vertriebspartnern in der EU in ihrer Rolle als Datenexporteur und von Akamai Technologies, Inc. als Datenimporteur unterzeichnet wurden.
Akamai gewährt Kunden und Partnern die Möglichkeit, diesen SCCs einfach durch Unterzeichnung von Anhang I Azuzustimmen, in Übereinstimmung mit Klausel 7 der SCCs.
Falls Sie als Kunde oder Partner die EU SCCs lieber direkt zwischen sich und Akamai abschließen möchten, bieten wir Ihnen außerdem folgende Optionen:
- Modul 3: Datenverarbeiter an Datenverarbeiter (Partner fungiert als Datenexporteur und Akamai Technologies, Inc. als Datenimporteur)
oder
- Modul 2: Datenverantwortlicher an Datenverarbeiter (Kunde fungiert als Datenexporteur und Akamai Technologies, Inc. als Datenimporteur)
Auf Grundlage des Schrems II-Fallshat Akamai die vertraglichen, technischen und organisatorischen Sicherheitsmaßnahmen überprüft, die das Unternehmen zum Schutz der in die USA übermittelten Daten eingerichtet hat, sowie die Anwendbarkeit der spezifischen staatlichen Überwachungsgesetze, die im Rahmen des Falls vom EuGH für Datenübertragungen in die USA geprüft wurden. Die Ergebnisse lauten wie folgt:
- Akamai ist kein „Anbieter für elektronische Kommunikationsdienste“ gemäß den geltenden Gesetzen der USA und unterliegt daher keinen Zugriffsanfragen gemäß FISA 702.
- Akamai empfiehlt Kunden, Akamai-Services so zu konfigurieren, dass die personenbezogenen Daten in den Webressourcen des Kunden auf Kanalbasis über die Edge-Server von Akamai geleitet werden und nicht auf den Edge-Servern gespeichert werden (d. h., dass personenbezogene Daten nicht als auf der Akamai Edge „cachebar“ konfiguriert werden sollten).
- Die personenbezogenen Daten in den Webressourcen des Kunden werden während der Übertragung durch die vom Kunden gewählten und konfigurierten Verschlüsselungsverfahren geschützt. Eine Zusammenfassung des Informationssicherheitsprogramms von Akamai erläutert, wie Akamai unter anderem die Webressourcen seiner Kunden schützt. Ein Exemplar des vollständigen Programms steht Kunden und Partnern nach Abschluss einer Geheimhaltungsvereinbarung auf Anfrage zur Verfügung.
- Die aktualisierten technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten, die bei der Erbringung von Akamai-Services verarbeitet werden, stehen im Privacy Trust Center zur Verfügung. In der aktualisierten Version betont Akamai, dass wir von uns gespeicherte personenbezogene Daten anonymisieren, sofern die Anonymisierung den Verarbeitungszweck nicht beeinträchtigt, und dass Akamai keine Endnutzer identifiziert, wenn Akamai die IP-Adressen dieser Endnutzer verarbeitet (als Teil der aufgezeichneten personenbezogenen Daten, wie im DPA [Data Protection Act] von Akamai definiert).
- Bei den Daten, die Akamai in die USA überträgt, handelt es sich um IP-Adressen von Endnutzern und andere Metadaten in Protokolldateien (definiert als „aufgezeichnete personenbezogene Daten“ im DPA von Akamai), die erstellt werden, wenn ein Endnutzer auf die Webressourcen eines Kunden zugreift. Zum Schutz übertragener personenbezogener Daten vor unbefugtem Zugriff werden für die Netzwerke und Systeme von Akamai strenge Zugriffskontrollen angewendet.
- Die IP-Adresse eines Endnutzers besteht für Akamai aus pseudonymisierten Daten, da Akamai weder den Endnutzer identifiziert, noch Profile von Endnutzern erstellt.
- Akamai verarbeitet IP-Adressen von Endnutzern zum Zweck der Servicebereitstellung sowie der Analyse von Traffic und Sicherheit. Für diese Zwecke ist keine Identifizierung des Endnutzers erforderlich.
- In Leitlinien zu diesem Thema bestätigten US‑Regierungsbehörden, dass sie kein Interesse an Metadaten (aufgezeichneten personenbezogenen Daten) zu Überwachungszwecken haben.2
- Akamai gestattet US‑amerikanischen oder anderen Regierungsbehörden nicht ohne Weiteres den Zugriff auf seine Infrastruktur.
- Akamai ficht Anfragen von Strafverfolgungsbehörden an, wenn dies rechtlich möglich ist. Bei den Anfragen von Strafverfolgungsbehörden, die Akamai häufig erhält, handelt es sich um Anfragen zu Details in Bezug auf eine IP-Adresse. Da Akamai die Endnutzer seiner Kunden nicht identifiziert, ist Akamai nicht im Besitz der angeforderten Daten und Objekte.
Privacy-Shield-Programm
Akamai hält seine Verpflichtungen im Rahmen des Privacy-Shield-Programms weiterhin ein und sorgt für einen angemessenen Schutz der übertragenen Daten, ungeachtet der Ungültigerklärung des Programms durch das Urteil des Europäischen Gerichtshofs im Fall Schrems II.
Datenübertragungsmechanismus mit Unterauftragsverarbeitern
Die vollständige Liste der Unterauftragsverarbeiter von Akamai und der entsprechenden Übertragungsmechanismen finden Sie in der Liste der Akamai-Unterauftragsverarbeiter im Privacy Trust Center.
Ausfertigung von Klauseln
Wir bitten unsere Kunden und Partner, die von Akamai oben zur Verfügung stehenden gültigen Klauseln zur Kenntnisnahme und Archivierung vollständig unterzeichnet an privacy@akamai.com zu senden.
Fragen
Bei Fragen zu Datenübertragungen durch Akamai wenden Sie sich bitte an das Global Data Protection Office unter privacy@akamai.com
1Akamai prüft weiterhin die Umsetzbarkeit anderer verfügbarer Mechanismen, einschließlich verbindlicher unternehmensinterner Vorschriften, um sicherzustellen, dass die effektivsten verfügbaren Mechanismen verwendet werden.
2Z. B. „Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU‑U.S. Data Transfers after Schrems II“ (Informationen zu Datenschutzvorkehrungen in den USA bezüglich SCCs und anderen Rechtsgrundlagen der EU für EU‑US‑Datenübertragungen nach Schrems II), verfügbar unter https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLIANT.PDF, z. B. Zusammenfassung (1) auf Seite 1, aktualisierter Umfang der FISA-Anträge, wie auf Seite 12 beschrieben, und der jeweiligen Rechtsprechung in Fußnote 44.