Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Akamai betreibt eines der ältesten und größten Content Delivery Netzwerke der Welt mit Funktionen für Inhaltsbeschleunigung, Web Application Firewall, Bot Abwehr und Real User Monitoring. Aus DSGVO Sicht handelt Akamai als Auftragsverarbeiter und verarbeitet IP Adressen, Request Metadaten, Sicherheits Signale und, sofern mPulse aktiv ist, Performance Telemetrie im Auftrag der Website Betreiber.
Akamai betreibt eines der größten Content Delivery und Edge Security Netzwerke der Welt mit hunderttausenden Servern in mehr als 130 Ländern. Die Akamai Intelligent Edge Plattform sitzt zwischen Besuchern und Ursprungssystemen und liefert statische und dynamische Inhalte über Ion, Adaptive Media Delivery und Download Delivery, Web Application und API Schutz über App and API Protector, fortgeschrittene Bot Abwehr über Bot Manager Premier und Account Protector sowie Real User Monitoring über mPulse. Zahlreiche Unternehmenswebsites, Bankportale und öffentliche Plattformen leiten jede Anfrage zunächst über Akamai, bevor sie den Ursprung erreicht.
Akamai verarbeitet die IP Adresse des Besuchers, die angefragte URL, die HTTP Methode, Header (User Agent, Referer und weitergeleitete Cookies), die TLS Handshake Parameter, die abgeleitete Geolokalisierung und den gewählten Edge Knoten. Sind Bot Manager oder App and API Protector aktiv, berechnet Akamai zusätzlich Verhaltens und Geräte Fingerprints, setzt Sicherheitscookies wie _abck und bm_sz, ermittelt Risikoscores und speichert Telemetrie zur späteren Wiedergabe und Feinjustierung. Bei aktiviertem mPulse erfasst Akamai detaillierte Real User Monitoring Beacons mit Navigations Timings, Core Web Vitals, JavaScript Fehlern und einer Sitzungs ID.
IP Adressen, Geräte Fingerprints und Verhaltens Risikoscores sind personenbezogene Daten im Sinne der DSGVO. Akamai handelt als Auftragsverarbeiter für den Website Betreiber und als Verantwortlicher für eng begrenzte Betriebs und Threat Intelligence Zwecke. Reine Inhalteauslieferung und unbedingt erforderliche Sicherheitscookies können auf berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO und die ePrivacy Ausnahme für unbedingt erforderliche Cookies gestützt werden. mPulse, Identity Cloud und optionale Analyse oder Fingerprinting Funktionen gehen darüber hinaus und erfordern eine informierte Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und Art. 5 Abs. 3 der ePrivacy Richtlinie.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Auch mit EU Edge Servern verwaltet Akamai Konfiguration, Threat Intelligence, Kundensupport und bestimmte Telemetrien zentral aus den USA und anderen Regionen. Übermittlungen stützen sich auf das Akamai Auftragsverarbeitungs Addendum, die EU Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO und das EU US Data Privacy Framework, ergänzt durch TLS 1.3, Verschlüsselung im Ruhezustand, ISO 27001, ISO 27017, ISO 27018, PCI DSS und SOC 2 Typ II Kontrollen. Für Workloads mit strikten Residenz Anforderungen bietet Akamai Datastream und Bot Manager Konfigurationen, die Protokolle in regionalen Speichern halten.
Schließen Sie das Akamai Auftragsverarbeitungs Addendum ab, führen Sie Akamai im Verzeichnis von Verarbeitungstätigkeiten und ergänzen Sie die Datenschutzerklärung um Hinweise auf das Edge Netzwerk, die Sicherheitscookies (_abck, bm_sz, ak_bmsc) und das US Ziel. Beschränken Sie mPulse und andere Analyse Funktionen über eine Consent Management Plattform auf einwilligende Besucher, definieren Sie kurze Aufbewahrungsfristen für Datastream Logs und prüfen Sie, dass Bot Manager Regeln keine rohen Anfrage Bodies protokollieren, die personenbezogene Daten enthalten könnten. Prüfen Sie regelmäßig das Akamai Trust Portal auf aktuelle Zertifizierungen und Auditberichte.
Websites using Akamai must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird empfohlen, wenn Akamai mit Bot Manager Premier, Account Protector, EdgeWorkers mit Personalisierungslogik, mPulse Real User Monitoring oder Identity Cloud betrieben wird oder wenn sensible Ressourcen (Finanzdienstleistungen, öffentlicher Sektor, Gesundheit) geschützt werden. Reine Auslieferung statischer Inhalte über Ion oder Adaptive Media Delivery erfordert in der Regel keine DSFA.
Sample consent text
Diese Website wird über Akamai, einen US Anbieter für CDN und Sicherheit (Akamai Technologies Inc.), ausgeliefert und geschützt. Akamai verarbeitet Ihre IP Adresse, Sicherheitssignale und Anfragen Metadaten. Wenn mPulse oder Fingerprinting Funktionen aktiv sind, werden zusätzliche Performance Daten erhoben. Mit Ihrer Einwilligung erlauben Sie diese Verarbeitung auf Akamai Servern, auch in den USA, abgesichert durch die EU Standardvertragsklauseln.
Third-party domains contacted
akamai.netakamai.netakamaihd.netakamaihd.netakamaiedge.netakamaiedge.netakamaized.netakamaized.netedgekey.netakamaitechnologies.comedgesuite.netedgekey.netedgesuite.netmpulse.netgo-mpulse.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _abck | First party (Akamai Bot Manager) | 1 year | Stores the bot detection state for the visitor, used by Bot Manager to remember whether the browser has passed the challenge |
| _abck | Strictly necessary (security) | 12 months | Akamai Bot Manager cookie. Stores a signed token used to evaluate whether the visitor is a legitimate user or an automated bot during subsequent requests. |
| bm_sz | First party (Akamai Bot Manager) | 4 hours | Session token used during the Bot Manager challenge to associate the proof of work with the right session |
| bm_sz | Strictly necessary (security) | 4 hours | Akamai Bot Manager session cookie. Stores short lived risk signals and ensures that repeated requests within a session can be correlated for bot scoring. |
| ak_bmsc | Strictly necessary (security) | 2 hours | Bot Manager session token used to track whether a session has passed Bot Manager checks. Helps avoid challenging the same legitimate session multiple times. |
| ak_bmsc | First party (Akamai Edge Server) | 12 hours | Edge session affinity cookie that keeps the visitor on the same Akamai edge cluster for the session |
| akacd_* | First party (Akamai Edge Server) | Configurable (seconds to days) | Cache directive marker used internally by the Akamai edge to coordinate cache invalidation and surrogate keys |
| ak_bmsc_ssn | Strictly necessary (security) | Session | Bot Manager session continuation cookie used together with ak_bmsc to maintain session integrity during navigation. |
| bm_mi | First party (Akamai Bot Manager Premier) | 2 hours | Mobile intelligence cookie used by Bot Manager Premier when device based bot detection is enabled |
| bm_lso | Strictly necessary (security) | 2 hours | Bot Manager local storage observer cookie. Used to detect tampering with browser storage that could indicate automated behaviour. |
| RT | Analytics (mPulse, after consent) | 7 days | Akamai mPulse Real User Monitoring cookie. Stores a session identifier used to correlate page navigations, Core Web Vitals and error reports. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Akamai Cookies werden primär von Bot Manager und Edge Server gesetzt: _abck (1 Jahr, Bot Detection Status), bm_sz (4 Stunden, Challenge Sitzungstoken), ak_bmsc (12 Stunden, Edge Sitzungsaffinität) und akacd_* (konfigurierbar, Cache Direktive). Keines ist Marketing. Sie werden automatisch geschrieben, wenn Bot Manager oder Edge Server für die Domain aktiv ist.
Akamai Bot Manager und App and API Protector setzen unbedingt erforderliche Sicherheitscookies wie _abck, bm_sz, ak_bmsc, ak_bmsc_ssn und bm_lso, die Bot Risiko Signale und Sessions Integritätstoken speichern. mPulse ergänzt Analyse Cookies (RT, mp_rid), die Real User Monitoring Kennungen speichern. Akamai selbst setzt keine Marketing oder Werbe Cookies.
Für den Standard CDN und Security Stack (Caching, WAF, DDoS, Bot Manager) nein. Diese Cookies sind unbedingt erforderlich nach Art. 5(3) ePrivacy und die CNIL nimmt sie aus. Einwilligung ist erforderlich für Akamai Produkte, die Besucher profilieren (Audience Insights, Predictive Personalization, Bot Manager Premier über die reine Sicherheit hinaus).
Für die Inhalteauslieferung und die unbedingt erforderlichen Sicherheitscookies (_abck, bm_sz, ak_bmsc) ist keine Einwilligung erforderlich. Sie fallen unter berechtigtes Interesse und die ePrivacy Ausnahme. Eine Einwilligung ist erforderlich für mPulse, Identity Cloud und alle optionalen erweiterten Fingerprinting Funktionen, die über das zum Betrieb des Dienstes Erforderliche hinausgehen.
Art. 6(1)(b) DSGVO (Vertragserfüllung, Besucher hat Seite angefordert) und Art. 6(1)(f) (berechtigtes Interesse an Sicherheit und Auslieferung) für CDN und Security Stack. Art. 6(1)(a) Einwilligung für Profilprodukte. Art. 28 DSGVO regelt das Auftragsverarbeitungsverhältnis zwischen Publisher und Akamai.
Inhalteauslieferung, DDoS Abwehr, Web Application Firewall, einfache Bot Verwaltung und Kontoschutz stützen sich auf berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. mPulse Real User Monitoring, Verhaltensanalyse, Identitätsverwaltung und optionale Personalisierung stützen sich auf Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, eingeholt über eine Consent Management Plattform.
Ja. EU Traffic wird normalerweise von europäischen PoPs bedient, aber Akamai SOC und Security Intelligence greifen zentral aus den USA, Indien und Costa Rica auf Logs zu. Akamai ist nach dem EU US Data Privacy Framework zertifiziert mit SCCs 2021 als Rückfall. Eine Transfer Folgenabschätzung (EDSA Empfehlung 01/2020) ist erforderlich.
Akamai schließt mit Kunden über das Auftragsverarbeitungs Addendum die EU Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO ab und bestätigt die Teilnahme am EU US Data Privacy Framework. Ergänzende Maßnahmen umfassen TLS 1.3, Verschlüsselung im Ruhezustand, ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1, SOC 2 Typ II und die Möglichkeit, Datastream Logs in regionalen Datenspeichern zu halten.
Nicht für das Standard CDN. Erforderlich für Akamai Bot Manager Premier mit Geräte Fingerprinting, Akamai Audience Insights, Predictive Personalization oder Edge Auth. Die DSFA muss Datenflüsse, den SOC Zugriff aus Drittländern und die WAF Log Aufbewahrung beschreiben.
Eine DSFA wird empfohlen, sobald Akamai mit Bot Manager Premier, Account Protector, mPulse Real User Monitoring, Identity Cloud oder EdgeWorkers mit Personalisierungslogik eingesetzt wird und sobald Ressourcen mit hohem Risiko wie Finanzdienstleistungen, Portale der öffentlichen Hand oder Anwendungen im Gesundheitswesen geschützt werden. Eine einfache Inhalteauslieferung über Ion erfordert in der Regel keine DSFA.
Den Akamai AVV mit EU Residenz Zusage unterzeichnen, unbedingt erforderliche Cookies in der Datenschutzerklärung ohne Gating listen, Audience Insights und ähnliche Profilprodukte hinter Consent gaten, WAF Log Retention so kurz wie möglich konfigurieren, Teams zum Akamai DSAR Portal schulen und die Kette im Verarbeitungsverzeichnis dokumentieren.
Schließen Sie das Akamai Auftragsverarbeitungs Addendum ab, führen Sie Akamai im Verzeichnis von Verarbeitungstätigkeiten, dokumentieren Sie Sicherheitscookies in der Cookie Richtlinie und nennen Sie ausdrücklich das US Ziel. Integrieren Sie mPulse und andere optionale Funktionen in eine Consent Management Plattform, damit Daten erst nach Einwilligung erhoben werden, begrenzen Sie die Datastream Aufbewahrung und stellen Sie sicher, dass Bot Manager Regeln keine sensiblen Anfrage Bodies (Passwörter, Zahlungsdaten) erfassen.
Europäische Alternativen umfassen OVHcloud Edge (Frankreich), Gcore (Luxemburg), Bunny.net (Slowenien) und StackPath (mit EU Rechenzentren) für den CDN Bedarf sowie Cloudflare mit dem EU Data Residency Add on. Speziell für Bot Management bieten Imperva und Radware europäische Deployments. Die richtige Wahl hängt von der Edge Abdeckung, den Sicherheitsfunktionen und vertraglichen Residenz Zusicherungen ab.
Cloudflare (US mit EU Regional Services), Fastly (US mit Compute@Edge EU), Bunny.net (Slowenien, EU first), Gcore (Luxemburg), Stackpath, Edgio (vormals Limelight), CloudFront (US mit EU Regionen) und Microsoft Azure Front Door. Keiner ist auf Konzernebene vollständig EU only; Bunny.net und Gcore sind am stärksten EU zentriert.
Unbedingt erforderliche Cookies (_abck, bm_sz, ak_bmsc, akacd_*) im Sicherheitsabschnitt der Datenschutzerklärung listen, Akamai als Unterauftragsverarbeiter mit EU Residenz deklarieren, die EU US Data Privacy Framework Zertifizierung erwähnen, auf das Akamai Trust Center verlinken und erklären, warum diese Cookies nicht abgelehnt werden können, ohne den Dienst zu brechen.
Führen Sie Akamai Technologies Inc. als Auftragsverarbeiter für die CDN und Sicherheitsdienste auf, beschreiben Sie die unbedingt erforderlichen Sicherheitscookies (_abck, bm_sz, ak_bmsc, ak_bmsc_ssn, bm_lso), erläutern Sie, dass mPulse Cookies (RT, mp_rid) erst nach Einwilligung geladen werden, nennen Sie das US Ziel unter SCC und EU US Data Privacy Framework und verlinken Sie die Datenschutzerklärung von Akamai.