Akamai CDN und Datenschutz – Was Webseitenbetreiber wissen müssen

Nutzt ein Webseitenbetreiber Akamai als Content Delivery Network (CDN), verarbeitet Akamai Daten zum Zweck der Speicherung und Auslieferung von Inhalten sowie zur Sicherheit und Leistungsoptimierung auf Basis von berechtigten Interessen. Akamai ist einer der weltweit größten CDN-Anbieter und speichert Kopien von Website-Inhalten auf Servern in aller Welt, um schnellere Ladezeiten zu erreichen. Diese Datenschutzerklärung richtet sich an Webseitenbetreiber und erläutert, welche Angaben zu Akamai als CDN rechtlich in die eigene Datenschutzerklärung gehören.

A. Zweck und Funktionsweise von Akamai CDN

Ein Content Delivery Network (CDN) ist ein verteiltes Netzwerk von Servern, die Website-Inhalte geografisch näher an den Benutzer positionieren, um Ladezeiten zu verkürzen und die Verfügbarkeit zu verbessern. Akamai betreibt ein solches CDN mit Tausenden von Edge-Servern weltweit.

Wenn ein Besucher eine Website aufruft, deren Inhalte über Akamai ausgespielt werden, wird die Anfrage nicht direkt zum Origin-Server des Webseitenbetreibers geroutet, sondern zu einem geografisch nahen Akamai-Server. Dieser Server speichert eine Kopie des angeforderten Inhalts und übermittelt ihn an den Besucher. Bei der Auslieferung erfasst Akamai automatisch Server-Protokolldaten wie IP-Adressen, URLs, Referrer und technische Metadaten.

Die Integration erfolgt typischerweise über eine DNS-Umleitung (CNAME) oder über einen Proxy-Service. Der Webseitenbetreiber ändert die DNS-Einstellung seiner Domain, damit Anfragen über Akamai-Server geleitet werden, oder nutzt Akamai als Proxy vor seinem Origin-Server.

B. Pflichtangaben in der Datenschutzerklärung zu Akamai CDN

Nach DSGVO Art. 13 Abs. 1 lit. c muss ein Webseitenbetreiber die Zwecke der Verarbeitung offenlegen. Art. 13 Abs. 1 lit. d verlangt die Rechtsgrundlagen, Art. 13 Abs. 1 lit. e die Empfänger oder Kategorien von Empfängern. Art. 13 Abs. 1 lit. f fordert, dass Drittlandtransfers (z. B. in die USA) offengelegt und begründet werden.

Hinweis: CDN-Verarbeitungen sind nicht toolspezifisch. Ein themenorientierter Ansatz ist hier besser: Unter „Hosting und Infrastruktur" oder „Website-Bereitstellung" sollte erläutert werden, dass die Website auf verteilten Servern gehostet wird, um Leistung und Sicherheit zu verbessern. Ein Empfänger-Anhang zur Datenschutzerklärung, der alle Hosting- und Infrastruktur-Partner aufzählt, schafft Klarheit.

C. Anbieter von Akamai CDN

Juristischer Name (Deutschland/EU): Akamai Technologies GmbH (für europäische Kunden)
Anschrift (Deutschland): Parkring 20-22, 85748 Garching bei München, Deutschland
Juristischer Name (weltweit): Akamai Technologies Inc.
Sitzland: USA (Massachusetts)
Sitzland der EU-Tochter: Deutschland
Rolle: Auftragsverarbeiter (Processor) oder gemeinsamer Verantwortlicher, je nach Konfiguration

DPF-Status: Akamai Technologies Inc. (USA) ist Data Privacy Framework (DPF) zertifiziert. Dies bedeutet, dass Akamai sich verpflichtet hat, Daten von EU-Bürgern gemäß den DPF-Prinzipien zu verarbeiten. Weitere Informationen unter https://www.akamai.com/legal/data-privacy-framework-policy-statement

Datenschutzerklärung: https://www.akamai.com/legal/privacy-statement

Data Processing Addendum (DPA/AVV): Akamai stellt ein DPA bereit, das Webseitenbetreiber abschließen müssen. Das DPA regelt die Verarbeitung personenbezogener Daten als Auftragsverarbeiter, Subprozessoren, Drittlandtransfers und Sicherheitsmaßnahmen.

D. Datenverarbeitung durch Akamai CDN – Ablauf

E. Erhobene Daten beim Einsatz von Akamai CDN

Akamai erfasst automatisch Standard-Web-Server-Daten bei der Auslieferung von Inhalten.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit/Zeitzone, URL, HTTP-Methode, HTTP-Status-Code, Referrer, Größe der übertragenen Daten, Browser/OS/Gerät, technische Metadaten
• Klickpfade: Besuchte Seiten, Sequenz der angeforderten Ressourcen, Verweildauer pro Seite (wenn im Page-Load-Zeit-Header enthalten)
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung (teilweise aus User-Agent abgeleitet)
• Browserinformationen: Browsername, Browserversion, installierte Plugins
• Grobe Standortdaten: IP-basierter Standort auf Land-/Regions-Ebene
• Technische Telemetriedaten: Fehlermeldungen, Ladezeiten, Datenvolumen, Request-Raten, HTTP-Header

Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (Akamai dokumentiert seine Datenerfassung in technischen Dokumentationen und dem DPA).

F. Nutzungszwecke beim Einsatz von Akamai CDN

Akamai wird in der Regel zu folgenden Zwecken eingesetzt:

• Funktionsbereitstellung: Auslieferung von Website-Inhalten mit optimierten Ladezeiten, Verfügbarkeit und globale Skalierbarkeit
• Sicherheit und Missbrauchsschutz: DDoS-Schutz, Angriffserkennung/-prävention, Bot-Abwehr, Spam-Filterung, Betrugsprävention
• Allgemeine Produktverbesserung: Optimierung basierend auf Nutzungsmustern, Fehlererkennung und Behebung
• Compliance: Sicherung und Nachweis von Sicherheitsmaßnahmen

G. Rechtsgrundlagen für Akamai CDN

Akamai CDN ist ein Infrastruktur- und Sicherheitstool. Für die Datenverarbeitung sind folgende Rechtsgrundlagen relevant:

1. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Die Nutzung eines CDN zur Gewährleistung von Website-Verfügbarkeit, Sicherheit (DDoS-Schutz) und Leistung stellt in der Regel ein berechtigtes Interesse des Webseitenbetreibers dar. Eine Interessenabwägung ist erforderlich, zeigt aber typischerweise, dass die Interessen des Betreibers überwiegen.

2. Erforderlichkeit zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Wenn die Website-Funktionalität von Akamai abhängig ist (z. B. SSL-Termination, Caching), kann auch Art. 6 Abs. 1 lit. b herangezogen werden.

Hinweis: Eine Einzelfallprüfung ist notwendig. CDN-Nutzung erfordert in der Regel keine explizite Einwilligung, sondern wird über berechtigte Interessen begründet.

H. Besonderheiten und Hinweise zu Akamai CDN

• DPF-Zertifizierung: Akamai Inc. (USA) ist DPF-zertifiziert, was die Zulässigkeit von Drittlandtransfers in die USA vereinfacht. Der Webseitenbetreiber sollte auf die DPF-Zertifizierung hinweisen.
• Standard Contractual Clauses (SCC): Zusätzlich zur DPF stützt sich Akamai auf SCC für Drittlandtransfers. Die DPA sollte dies dokumentieren.
• Subprozessoren: Akamai arbeitet mit Subprozessoren zusammen. Eine aktuelle Liste sollte im DPA oder durch Akamai bereitgestellt werden.
• Protokolldaten-Aufbewahrung: Die Aufbewahrungsdauer von Logdaten sollte vertraglich geklärt werden, um Compliance zu sichern.
• Datensicherheit: Akamai implementiert umfangreiche Sicherheitsmaßnahmen (ISO 27001, Penetrationstests, etc.) und dokumentiert diese in Sicherheitsberichten.
• Opt-Out-Optionen: Besucher haben kaum technische Möglichkeiten, CDN-Nutzung zu umgehen, außer durch allgemeine Browser-Einstellungen (Tracking-Prevention, etc.).

I. FAQ zu Akamai CDN

J. Fazit und Empfehlungen zu Akamai CDN

Akamai CDN ist ein unverzichtbarer Infrastruktur-Service für moderne Websites. Datenschutzrechtlich ist es weniger kritisch als Tracking- oder Marketing-Tools, da keine Profilbildung oder Zweck-Neudefinition stattfindet. Die Datenverarbeitung wird typischerweise über berechtigte Interessen begründet, eine explizite Einwilligung ist nicht erforderlich.

Die DPF-Zertifizierung von Akamai Inc. (USA) vereinfacht die Begründung von Drittlandtransfers und reduziert das Datenschutzrisiko. Dennoch sollte ein vollständiges Data Processing Addendum (DPA) zwischen dem Webseitenbetreiber und Akamai vorliegen.

Ein themenorientierter Ansatz in der Datenschutzerklärung, der unter „Hosting und Infrastruktur" alle CDN- und Hosting-Partner aufzählt, schafft Transparenz. Ein Empfänger-Anhang zur Datenschutzerklärung erhöht die Klarheit zusätzlich.