Digital Services Act (DSA)

Kunden, deren Hauptgeschäftssitz in Europa, dem Nahen Osten oder Afrika (zusammen EMEA) liegt, erhalten Dienstleistungen über Verträge mit F5 Networks, Ltd. F5 Networks, mit Hauptsitz im Vereinigten Königreich und eingetragen im Vereinigten Königreich, ist das Zentrum der EMEA-Aktivitäten von F5. Die Behörden der EU und der Schweiz haben anerkannt, dass die britischen Gesetze einen Schutz für personenbezogene Daten bieten und die Anforderungen von Kapitel V der DSGVO sowie des entsprechenden Schweizer Rechts vollständig erfüllen. 

Kunden mit Hauptsitz in der Region Asien-Pazifik (APAC) schließen Verträge mit F5 Networks Singapore Pte Ltd. in Singapur ab. Alle anderen Kunden (einschließlich derjenigen mit Hauptsitz in Nordamerika) schließen Verträge mit F5, Inc. in den USA ab. Für alle Dienste von F5 enthält der Datenschutzzusatz (Data Protection Addendum, DPA) , ergänzt durch die Dienstspezifischen Bedingungen , die Standardvertragsklauseln und Bestimmungen, die für alle rechtlich anwendbaren Übertragungen an F5 gelten. Diesen Standardvertragsklauseln liegt der von der britischen Regierung veröffentlichte Nachtrag zum internationalen Datentransfer für Transfers innerhalb des Vereinigten Königreichs bei, sowie eine zusätzliche Veröffentlichung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten für Transfers in die Schweiz. Für entsprechende Dienste verfügt F5 zudem über eine Zertifizierung nach dem EU-US Datenschutzrahmen, die britische Erweiterung des EU-US-Datenschutzabkommens Datenschutzrahmen und das schweizerisch-amerikanische Datenschutzrahmen.

Ja. Für entsprechende Dienste verfügt F5 über eine Zertifizierung nach dem EU-US-Datenschutzschild. Datenschutzrahmen, die britische Erweiterung des EU-US-Datenschutzabkommens Datenschutzrahmen und das schweizerisch-amerikanische Datenschutzrahmen.

NEIN. Diese beiden US-amerikanischen Rechtsvorschriften, die im Mittelpunkt der Schrems-II -Entscheidung standen, betreffen F5 nicht. Aufgrund von Verbesserungen im US-Recht nach der Schrems-II -Entscheidung stellte die Europäische Kommission in ihrem Durchführungsbeschluss vom 10.7.2023 gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates über das angemessene Schutzniveau für personenbezogene Daten im Rahmen des EU-US-Datenschutzabkommens fest: Datenschutzrahmenwerk : Die früheren Bedenken hinsichtlich dieser Bestimmungen wurden ausgeräumt. Der Europäische Datenschutzausschuss (EDSA) analysierte die Entscheidung der Europäischen Kommission und stellte (in seinem Informationsvermerk zu Datenübermittlungen im Rahmen der DSGVO in die Vereinigten Staaten nach der Annahme des Angemessenheitsbeschlusses am 10. Juli 2023 ) fest, dass „alle Garantien, die von der US-Regierung im Bereich der nationalen Sicherheit getroffen wurden (einschließlich des Rechtsbehelfs), für alle in die USA übermittelten Daten gelten, unabhängig vom verwendeten Übermittlungsinstrument“ (d. h. unabhängig davon, ob die Daten über den Datenschutzrahmen, Standardvertragsklauseln oder ein anderes Übermittlungsinstrument in die Vereinigten Staaten übermittelt werden).

F5 hat nie eine Anfrage auf Datenzugriff oder irgendeine andere Art von Anweisung gemäß FISA 702 erhalten. Viele F5-Dienste gehören nicht zu der Art von Diensten, die von der FISA-702-Richtlinie betroffen wären. Darüber hinaus verarbeitet F5 für fast alle Kunden von F5-Diensten nicht die Art von Daten, die gezielt angegriffen werden könnten. mit der FISA-702-Richtlinie, die sich auf Daten über die Verbreitung von Massenvernichtungswaffen, Angriffspläne ausländischer Mächte auf die Vereinigten Staaten, Geheimdienstinformationen über die geheimen Aktivitäten ausländischer Spione oder andere „ausländische Geheimdienstinformationen“ im Sinne des FISA bezieht.

F5 kann außerdem keinen Auftrag zur Herausgabe von Kundendaten gemäß EO 12333 erhalten, da es so etwas wie einen EO 12333-Auftrag nicht gibt. EO 12333 weist den Geheimdiensten der Vereinigten Staaten bestimmte Verantwortung zu, erlegt dem privaten Sektor jedoch keine Verpflichtungen auf. F5 verschlüsselt Daten während der Übertragung und verwendet zusätzliche Sicherheitsmaßnahmen zum Schutz vor den theoretischen Abhöraktivitäten, die dem Schrems-II -Gericht vor der oben diskutierten Angemessenheitsfeststellung der Europäischen Kommission im Jahr 2023 Sorgen bereiteten.

Der CLOUD Act gab der US-Regierung keine neuen Befugnisse, Daten von Unternehmen anzufordern, die in den Vereinigten Staaten geschäftlich tätig sind. Die US-Regierung erlässt keine „CLOUD Act-Anordnungen“ und F5 hat noch nie eine solche erhalten. Der CLOUD Act stellte klar, dass, wenn die US-Regierung einem Unternehmen auf Grundlage bestehender geeigneter Rechtsverfahren (wie etwa der Erlangung einer Anordnung eines Bundesbezirksrichters) die Herausgabe bestimmter in ihrem Besitz, Gewahrsam oder unter ihrer Kontrolle befindlicher Daten angeordnet hat, der Standort der Daten nicht als Grundlage für die Anfechtung dieser Anordnung durch das Unternehmen dienen kann (ein Konflikt mit den an diesem Standort geltenden Gesetzen kann jedoch immer noch eine Grundlage sein). Der CLOUD Act war bereits vor der Schrems-II- Entscheidung von 2020 in Kraft. Im Anschluss an die Schrems-II -Entscheidung haben die USA verschiedene Verbesserungen an ihren Vorschriften und Praktiken im Hinblick auf den staatlichen Datenzugriff vorgenommen. Die Europäische Kommission bewertete diese Verbesserungen und kam zu dem Schluss, dass das für Datenanfragen der US-Regierung geltende US-Recht nun ein angemessenes Schutzniveau im Sinne der DSGVO bietet. Siehe Durchführungsbeschluss vom 10.7.2023 gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates über das angemessene Schutzniveau für personenbezogene Daten im Rahmen des EU-US-Datenschutzschildes. Datenschutzrahmen . Der Europäische Datenschutzausschuss (EDSA) analysierte diese Entscheidung und stellte (in seinem Informationsvermerk zu Datenübermittlungen im Rahmen der DSGVO in die Vereinigten Staaten nach der Annahme des Angemessenheitsbeschlusses am 10. Juli 2023 ) fest, dass „alle von der US-Regierung im Bereich der nationalen Sicherheit getroffenen Schutzmaßnahmen (einschließlich des Rechtsbehelfs) für alle in die USA übermittelten Daten gelten, unabhängig vom verwendeten Übermittlungsinstrument“ (d. h. unabhängig davon, ob die Daten über den Datenschutzrahmen, Standardvertragsklauseln oder ein anderes Übermittlungsinstrument in die Vereinigten Staaten übermittelt werden).

Angesichts der Art der Kundenbeziehungen von F5 und der begrenzten (und normalerweise verschlüsselten) Daten, die F5 für seine Kunden verarbeitet, sind solche Forderungen äußerst selten. Die Richtlinie von F5 für alle Anfragen nach Kundendaten besteht darin, (i) den Kunden umgehend zu benachrichtigen, sofern dies gesetzlich zulässig ist, und dann bei der Lösung des Problems durch den Kunden mitzuwirken oder (ii) wenn die Benachrichtigung des Kunden rechtswidrig ist, zu versuchen, die anfragende Stelle an den Kunden weiterzuleiten. Wenn diese Bemühungen die Angelegenheit nicht lösen, prüft F5 die Rechtmäßigkeit der Forderung und erhebt alle angemessenen Einwände dagegen (z. B. durch einen Einspruch). Dabei geht es auch um die Frage, ob die Erfüllung der Forderung gegen die DSGVO oder andere relevante Gesetze verstoßen würde. Während dieses Verfahrens würde F5 die Aussetzung der Wirkungen der Forderung beantragen, bis die zuständige Justizbehörde über deren Begründetheit entschieden hat, auch im Rahmen eines etwaigen Berufungsverfahrens. In einer solchen Situation würde F5 keinerlei Daten preisgeben, es sei denn, die geltenden Verfahrensregeln verlangen dies. Sollte dieser Punkt erreicht werden, würde F5 nur die Daten preisgeben, die unbedingt erforderlich sind, um den Rest der ursprünglichen Forderung zu erfüllen.

Jeder Kundenvertrag für die Dienste von F5 (das Endbenutzer-Serviceabkommen (EUSA) ) enthält dienstspezifische Bedingungen , die den Datenschutzzusatz (Data Protection Addendum, DPA) von F5 einbeziehen und ergänzen. Dieser enthält die Standardvertragsklauseln mit den entsprechenden zusätzlichen Bestimmungen für Übertragungen, die britischem oder schweizerischem Recht unterliegen. In bestimmten Fällen verfügen der Kunde und F5 über einen anderen Vertrag, der dieselben Schutzbestimmungen enthält, beispielsweise der Vertrag für bestimmte Supportleistungen von F5. Kunden können sich auch auf https://www.dataprivacyframework.gov/list informieren , wo aufgeführt ist , dass F5 gemäß dem EU-US-Datenschutzschild zertifiziert ist. Datenschutzrahmen, die britische Erweiterung des EU-US-Datenschutzabkommens Datenschutzrahmen und das schweizerisch-amerikanische Datenschutzrahmen.

Bei Übertragungen an F5-Unternehmen in „Drittländern“, einschließlich Großbritannien, verlassen sich F5 und seine Kunden auf den Nachtrag zu internationalen Datenübertragungen zu den Standardvertragsklauseln der EU-Kommission, der auf der Website des britischen Information Commissioner verfügbar ist und durch Verweis in die DPA von F5 für relevante Übertragungen aufgenommen wird, die britischem Recht unterliegen. Darüber hinaus ist F5 für bestimmte Dienste im Rahmen der britischen Erweiterung des EU-US- Datenschutzrahmen.