Akamai-Compliance hinsichtlich der Gesetze zu grenzüberschreitenden Übermittlungen
Akamai hält sich an die geltenden Datenschutzvorschriften in den Ländern, in denen wir und unsere Kunden geschäftlich tätig sind. Dies ist ein wesentlicher Grundsatz unserer Unternehmenswerte. Denn wenn Sie das Leben von Milliarden von Menschen täglich milliardenfach verbessern, sollte das Leben der Kunden genauso online geschützt werden. Und genau das tun wir.
Kürzlich haben mehrere Gerichtsentscheidungen, darunter auch eine Entscheidung eines deutschen Verwaltungsgerichts, bei einigen Kunden in der EU Bedenken hinsichtlich der Datenübermittlung von Akamai in Länder außerhalb der EU und der Frage geweckt, ob diese Übermittlungen mit der Datenschutz-Grundverordnung (DSGVO) vereinbar sind. Wir sind der Meinung, dass dies der Fall ist, und ich werde diese Bedenken direkt ansprechen, indem ich darlege, wie Akamai die Gesetze im Umgang mit Kunden- und Endnutzerdaten einhält.
Zunächst ist darauf hinzuweisen, dass die Entscheidung des deutschen Verwaltungsgerichts, einschließlich der einstweiligen Verfügung von Übermittlungen, seither im Berufungsverfahren abgewiesen wurde. Es gibt also derzeit keine Verfügung gegen die zur Diskussion stehenden Datenübermittlungen. Die Verhandlungen laufen zwar noch, aber wir sind fest davon überzeugt, dass unsere Verfahren für den Umgang mit Daten als konform angesehen werden.
Als Nächstes möchte ich Ihnen versichern, dass Akamai sich jetzt und schon immer zur vollständigen Compliance der DSGVO und anderer Datenschutzvorschriften in den Ländern verpflichtet hat, in denen wir tätig sind. Diese Verpflichtung ist grundlegend für die Vertrauensstellung, die wir gegenüber unseren Kunden einnehmen. Wir analysieren fortlaufend neue rechtliche Entwicklungen und passen uns bei Bedarf an, sodass wir Compliance garantieren können.
So hält Akamai die DSGVO ein
In diesen jüngsten Fällen geht es um die Übermittlung bestimmter Transaktions- und Protokolldaten, einschließlich der IP-Adressen der Endnutzer, an Systeme in den USA. Akamai übermittelt diese Daten zum Zweck der Servicebereitstellung, Traffic- und Sicherheitsanalysen sowie zum Support. Akamai verarbeitet diese Daten nicht in einer Weise, die eine Identifizierung von Personen ermöglicht. Akamai sammelt in diesen Protokollen keine Daten zur Identifizierung von Endnutzern – eine Identifizierung der Endnutzer ist für diese Zwecke nicht erforderlich. Daher ist das Datenschutzrisiko für Personen, die mit diesen Übermittlungen verbunden sind, gering. Andererseits tragen die Performance- und Sicherheitsservices, die dem Kunden infolge dieser Übermittlungen zur Verfügung stehen, dazu bei, Internetrisiken für den Endnutzer zu beseitigen und Kunden von Akamai bei der Einhaltung ihrer Verpflichtung zum Schutz personenbezogener Daten im Internet zu unterstützen, wie gemäß Art. 32 der DSGVO erforderlich.
Darüber hinaus hat Akamai die erforderlichen Schritte unternommen, um sicherzustellen, dass die Übermittlung von Protokolldaten außerhalb der EU den Verpflichtungen der DSGVO (z. B. der Einhaltung der Standardvertragsklauseln) entspricht. Zudem wurden relevante Schritte unternommen, um sicherzustellen, dass unsere Kunden gemäß den Ergebnissen des Falls Schrems II und den Empfehlungen des Europäischen Datenschutzrats (EDPB) 01/2020 sicher davon ausgehen können, dass die Übermittlung der Daten in die USA kein unangemessenes Risiko für die Rechte und Freiheiten einzelner Personen darstellt. Gemäß dieser EDPB-Empfehlungen hat Akamai die Schutzmaßnahmen, die wir zum Schutz der in die USA übermittelten Daten ergriffen haben, sowie die Anwendbarkeit bestimmter staatlicher Überwachungsgesetze auf Akamai überprüft.
Staatliche Überwachung personenbezogener Daten
Akamai unterliegt im Allgemeinen nicht den in Schrems II erörterten Gesetzen, insbesondere in Bezug auf personenbezogene Daten, die Teil einer Transaktion zwischen unseren Kunden und deren Kunden sind (Kundeninhaltsdaten), und wendet sich gegen Anfragen von Strafverfolgungsbehörden, wenn sie nicht zutreffen oder rechtlich nicht ausreichen. In den meisten Fällen verfügt Akamai nicht über die angeforderten Daten, selbst wenn eine Anfrage rechtlich angemessen ist. Die Strafverfolgungsbehörden versuchen in der Regel, Personen zu identifizieren, die mit dem Traffic auf einer bestimmten Website oder Anwendung in Verbindung stehen. Da wir keine Daten zur Identifizierung von Einzelpersonen verarbeiten und keine Daten sammeln, die Einzelpersonen identifizieren würden, teilen wir einfach mit, dass wir nicht über die gewünschten Daten verfügen. Dadurch erledigt sich die Anfrage normalerweise.
Neben Transaktions- und Protokolldaten verarbeitet Akamai Inhaltsdaten von Kunden, die wie oben beschrieben personenbezogene Daten enthalten können. Die Verarbeitung von Kundeninhalten dient jedoch nur der Optimierung und Sicherung des Traffics zwischen unseren Kunden und deren Endnutzern. Akamai sammelt keine Kundeninhalte, greift nicht auf diese zu und speichert diese nur in dem Maße, wie es für die Bereitstellung und Sicherung des Traffics erforderlich ist. Wenn ein Kunde wünscht, dass die Kundeninhalte auf die EU beschränkt werden müssen, kann Akamai entsprechende Lösungen anbieten. Insbesondere können die nutzerdefinierten Mapping-Lösungen von Akamai eingesetzt werden, um sicherzustellen, dass die Inhaltsdaten der Kunden nur auf Akamai-Servern in der EU übertragen werden.
Der angemessene Umgang mit Daten und der Schutz der Privatsphäre ist ein komplexer und kritischer Prozess, der über die hier beschriebenen Punkte hinausgeht. Weitere Informationen über das globale Datenschutzprogramm von Akamai und unseren Ansatz für Datenschutz und internationale Datenübermittlungen finden Sie in unserem Privacy Trust Center.
Das Vertrauen unserer Kunden aufrechtzuerhalten, hat für uns Priorität. Wenden Sie sich bei Fragen oder Anliegen an das Akamai Global Data Protection Office; privacy@akamai.com.
