Die geplante EU- Datenschutzverordnung

Transkript

1 Die geplante EU- Datenschutzverordnung Welche Anforderungen bringt sie mit sich und wie lässt sich die Einhaltung der Bestimmungen sicherstellen? Autor: Erstellt von Sophos in Zusammenarbeit mit Rechtsanwältin Dr. Bettina Kähler Es hat sich viel verändert seit 1995, als das letzte Mal eine wichtige europäische Rechtsvorschrift zum Datenschutz verabschiedet wurde; die Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Richtlinie 95/46/EG). Anders als noch vor 20 Jahren passen heute riesige Speicherkapazitäten in jede Westentasche und mobile Geräte sind aus unserem Alltag nicht mehr wegzudenken. In Anbetracht der neuen Möglichkeiten von Cloud Computing und allgegenwärtiger, schneller Verfügbarkeit von Informationen und Daten erscheint mitunter als ein fast schon antiquiertes Medium. Die Grenzen von Netzwerken und Geräten lösen sich auf: Sensible Geschäftsdaten verlassen immer öfter die traditionell sicheren vier Wände des Unternehmens, Mitarbeiter greifen mit dienstlichen oder auch privaten Smartphones und Tablets auf geschäftskritische Informationen zu und speichern Daten auf fremden Servern. Aber nicht nur der Gebrauch, auch der Missbrauch personenbezogener Daten ist heute ein Leichtes. Fast täglich werden Unternehmen sowie deren Kunden Opfer von Datenpannen, bei denen persönliche und höchst vertrauliche Daten in die Hände von Kriminellen fallen. Den betroffenen Unternehmen drohen in solchen Fällen erhebliche wirtschaftliche Einbußen sowie der Vertrauensverlust ihrer Kunden und Investoren. Den Kunden entstehen zudem Schäden durch Identitätsdiebstahl.

2 Zeit für Reformen Das Recht hat mit dieser Entwicklung nicht Schritt halten können. In den letzten Jahren wurde immer deutlicher, dass die alten Regeln für Datenschutz und Datensicherheit nicht mehr ausreichen, um international für einen angemessenen Schutz von personenbezogenen Daten und Rechtssicherheit für die Unternehmen zu sorgen. In den Jahren nach 1995 haben die EU-Mitgliedstaaten auf der Grundlage der Richtlinie 95/46/EG ihre eigenen, nationalen Datenschutzgesetze erlassen. In Deutschland wurde das schon bestehende Bundesdatenschutzgesetz um Regelungen ergänzt, die wegen der Vorgaben der Richtlinie neu aufgenommen werden mussten. Österreich setzte die Verordnung im Jahr 2000 mit dem Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz DSG 2000) um, und die Schweiz passte das Bundesgesetz über den Datenschutz an, das schon aus dem Jahr 1992 datiert. Damals ein großer Fortschritt, führten die unterschiedlichen nationalen Gesetze jedoch vor dem Hintergrund der digitalen Globalisierung mehr und mehr zu Regelungslücken und Rechtsunsicherheit. Gleichzeitig wurde eine rechtliche Neureglung des Datenschutzes immer dringlicher, um nicht ausschließlich das Recht der stärkeren Technologie zum Maßstab unternehmerischen Handelns werden zu lassen. Seit 2011 hat die EU in einem intensiven und teilweise hochkontroversen Diskussionsprozess Vorschläge zur EU-Datenschutzreform erarbeitet, mit der anstelle des bisherigen Flickenteppichs aus nationalen Gesetzen ein EU-weiter Rahmen für Datenschutz und Datensicherheit geschaffen werden soll. Das Novum dabei: Die Richtlinie soll zugunsten einer Verordnung abgelöst werden. Das bedeutet, dass die EU-Verordnung das jeweilige nationale Recht ersetzt und in jedem Mitgliedsstaat direkt und unmittelbar geltendes Recht wird. Das Bundesdatenschutzgesetz und alle anderen Vorschriften zum Datenschutz wären dann von wenigen Ausnahmen abgesehen Geschichte; die datenschutzrechtlichen Vorgaben würden ausschließlich durch die EU-Verordnung geregelt. Das Ziel Ziel der Datenschutzverordnung ist es, die Datenschutzrechte von EU-Bürgern zu stärken, das Vertrauen in die digitale Wirtschaft wiederherzustellen und Kundendaten durch Einführung neuer Datenschutzprozesse und -kontrollen in Unternehmen besser zu schützen. Das Verfahren 2012 legte die EU-Kommission ihren Vorschlag für die EU-Datenschutzverordnung vor. Das Parlament diskutierte und verabschiedete 2013 mehrere tausend Änderungsanträge, die in die vorläufig letzte Fassung des Entwurfs mit 139 Erwägungsgründen und 91 Artikeln einflossen. Am 15. Juni 2015 hat sich der Rat der Europäischen Union in Person der Innen- und Justizminister auf eine gemeinsame Position zur Datenschutz-Grundverordnung verständigt. Damit können nun die Trilog -Verhandlungen zwischen Vertretern von Kommission, Rat und europäischem Parlament beginnen, die die Einigung auf eine Endfassung der Verordnung zum Ziel haben. Wenn dies gelingt, wird die EU-Datenschutzverordnung im Laufe des Jahres 2018 geltendes Recht werden. Obwohl auch in diesem Prozess noch weitere Änderungen zu erwarten sind, lässt sich aber schon anhand der jetzt Wortlaut 9 BDSG und Anhang zu 9 S. 1 BDSG Bundesdatenschutzgesetz (BDSG) 9 Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Bundesdatenschutzgesetz (BDSG) Anlage (zu 9 Satz 1) Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und

3 vorliegenden Entwurfsfassungen aus den verschiedenen Stadien der Verhandlungen gut erkennen, wie das Datenschutzrecht auf europäischer Ebene zukünftig aussehen wird. Strittig sind nur noch Details, nicht mehr das große Ganze. Ein so grundlegend neues Gesetzeswerk wirft viele Fragen auf, zumal es bezüglich der Etablierung technischer und organisatorischer Sicherheitsmaßnahmen neue und detailliertere Anforderungen festschreibt, die Unternehmen künftig zu beachten haben. Mit diesem Whitepaper möchten wir Ihnen die zentralen Änderungen vorstellen, die mit hoher Wahrscheinlichkeit in wenigen Jahren geltendes Recht sein werden, und der Frage nachgehen, was diese für die Unternehmen bedeuten. Kernelemente der Reform Für wen gilt die Verordnung? Die EU-Datenschutz-Verordnung erfasst alle Unternehmen und Behörden, die in irgendeiner Form, sei es off- oder online, automatisiert oder teilautomatisiert, mit personenbezogenen Daten umgehen. Grundsätzlich gilt sie also für jedes Unternehmen aus jeder erdenklichen Branche, das selber oder im Auftrag von anderen personenbezogene Daten verarbeitet. Die Definition des Begriffs der personenbezogenen Daten umfasst nunmehr nicht nur die Merkmale, die eine Person direkt identifizieren (z.b. Name und Anschrift), sondern auch die Angaben, die sie mittelbar identifizierbar machen, wie z.b. IP-Adressen, Cookies, RFID-Tags oder Standortdaten. Ausschlaggebend für die Anwendung der EU-Datenschutz-Verordnung ist ferner, dass ein datenverarbeitendes Unternehmen eine Niederlassung in der EU hat. Neu ist insoweit, dass zusätzlich auch Unternehmen mit Sitz außerhalb der EU die Vorgaben der Verordnung beachten müssen, wenn sie sich mit ihrem kommerziellen oder nicht-kommerziellen Angebot an EU-Bürger richten oder, z.b. im Rahmen des Webtracking, deren Verhalten überwachen. Dieser Aspekt ist insbesondere für die Schweiz von Bedeutung. Das Nicht- EU-Mitglied erwirtschaftet einen großen Teil seines Bruttosozialprodukts durch Handel mit EU-Staaten und wird aufgrund dieser Neuerung mit Sicherheit an vielen Stellen ebenfalls die neuen Regeln der EU-Verordnung einhalten müssen. Welche Anforderungen wird es geben? Verglichen mit dem in Deutschland, Österreich und der Schweiz noch geltenden Datenschutzrecht beinhaltet der Entwurf der EU-Datenschutz-Grundverordnung erheblich gesteigerte Anforderungen an Unternehmen, die personenbezogene Daten verarbeiten, diese Daten technisch und organisatorisch gegen Verlust, Veränderung und Manipulation zu schützen. Waren bisher offene und eher allgemeine Formulierungen im Gesetz die Grundlage für die Verpflichtung der Unternehmen, personenbezogene Daten technisch und organisatorisch gegen Missbrauch zu abzusichern, bestehen dann detaillierte Vorgaben, wie diese Absicherung zu geschehen hat. Unternehmen werden daher zukünftig deutlich mehr Überlegung und Aufwand in die dann vorgeschriebenen Risikoanalysen, Verfahrensdokumentationen, Folgeabschätzungen und datenschutzfreundliche Techniken investieren müssen. Hinzu kommen Nachweispflichten und Informationspflichten an die Aufsichtsbehörden im Fall von Datenpannen, die ausgeweitet wurden. Die in dem Verordnungsentwurf formulierten gesteigerten Anforderungen lesen sich in Teilen wie eine Antwort auf die Missstände und Regelungslücken der vergangenen Jahre: dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

4 Einwilligung: Als Rechtsgrundlage für die Erlaubnis zur Verarbeitung personenbezogener Daten wird die vorherige Einwilligung der betroffenen Personen eine zentrale Rechtsgrundlage für Datenverarbeitungen. Verlangt wird eine ausdrücklich erteilte Einwilligung der Betroffenen. Die Einwilligung ist zweckgebunden und darf nur zu vorher eindeutig festgelegten Zwecken eingeholt werden. Das datenverarbeitende Unternehmen trägt zudem die Beweislast dafür, dass eine wirksam erteilte Einwilligung vorliegt. Transparenz und Information: Neu sind umfangreiche datenschutzrechtliche Transparenz- und Informationspflichten. Datenverarbeitende Unternehmen müssen zukünftig beispielsweise genau vorgeschriebene standardisierte Datenschutzerklärungen nach einer Art Ampelprinzip mit standardisierten Symbolen erstellen sowie leicht erkennbar und gut lesbar bereithalten. Bei der ersten Erhebung von Daten sind den betroffenen Personen zahlreiche weitere Mindestinformationen mitzuteilen, wie z.b. die Zwecke der Datenverarbeitung, die getroffenen Datensicherheitsmaßnahmen und mögliche Datenübermittlungen an Dritte. Anders als unter der jetzt gültigen Rechtslage müssen die Unternehmen die Betroffenen im Fall von Datenpannen nicht nur benachrichtigen, wenn besonders sensible Daten betroffen sind, sondern in jedem Fall. Compliance: Auf der technischen Seite sind die datenverarbeitenden Unternehmen weitreichender als bisher verpflichtet, technische und organisatorische Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten zu ergreifen und vor allem auch deren Einhaltung nachzuweisen. Die Compliance-Maßnahmen müssen mindestens alle zwei Jahre überprüft, ggf. aktualisiert und regelmäßig dokumentiert werden. Technische Sicherheitsmaßnahmen: Die zu implementierenden technischen und organisatorischen Sicherheitsmaßnahmen orientieren sich an den Schutzzielen der Vertraulichkeit, der Integrität und Authentizität der personenbezogenen Daten. Die Unternehmen müssen eine Sicherheitspolitik etablieren, die auf der Grundlage einer Risikoanalyse die nachfolgend genannten Punkte umfasst: Die Fähigkeit zu gewährleisten, dass die Vollständigkeit der personenbezogenen Daten bestätigt wird die Fähigkeit, die Vertraulichkeit, Vollständigkeit, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen die Fähigkeit, die Verfügbarkeit und den Zugang zu Daten im Falle eines physischen oder technischen Vorfalls, der sich auf die Verfügbarkeit, Vollständigkeit und Vertraulichkeit der Informationssysteme und -dienste auswirkt, rasch wiederherzustellen zusätzliche Sicherheitsmaßnahmen im Falle der Verarbeitung sensibler, personenbezogener Daten, um ein situationsbezogenes Risikobewusstsein sicherzustellen, sowie die Fähigkeit, Präventiv- und Abhilfemaßnahmen sowie abmildernde Maßnahmen zeitnah gegen festgestellte Schwachstellen oder Vorfälle zu ergreifen, die ein Risiko für die Daten darstellen könnten ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen, -verfahren und -pläne, die aufgestellt werden, um die Wirksamkeit auf Dauer sicherzustellen

5 Datenschutz durch Technik: Darüber hinaus müssen Unternehmen sicherstellen, dass die von ihnen zur Verarbeitung personenbezogener Daten eingesetzten Systeme und Prozesse von Beginn an datenschutzfreundlich ausgestaltet sind ( privacy by design ). Dabei sind insbesondere dem gesamten Lebenszyklusmanagement personenbezogener Daten von der Erhebung über die Verarbeitung bis zur Löschung besondere Aufmerksamkeit zu schenken und der Schwerpunkt ist systematisch auf umfassende Verfahrensgarantien hinsichtlich der Richtigkeit, Vertraulichkeit, Vollständigkeit, physischen Sicherheit und Löschung personenbezogener Daten zu legen. Die Folgen abschätzen: In bestimmten Fällen sind nach der EU-Datenschutzverordnung Risikoanalysen und datenschutzrechtliche Folgenabschätzungen durchzuführen. Werden dabei besondere Risiken festgestellt, sind diese unter bestimmten Voraussetzungen der zuständigen Datenschutzaufsichtsbehörde zu melden. Für die Folgenabschätzungen muss das gesamte Lebenszyklusmanagement der personenbezogenen Daten einbezogen werden vom ersten Schritt der Erhebung bis zur Löschung sind alle Schritte zu regeln. Die Verordnung gibt auch noch vor, welche Maßnahmen dabei mindestens zu berücksichtigen sind, wie z.b. eine Erklärung, welche Maßnahmen in Bezug auf den Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen umgesetzt wurden. Die Folgenabschätzung muss dokumentiert werden, und darüber hinaus ist die Erstellung eines Plans für die regelmäßige Überprüfung der Einhaltung der Datenschutzbestimmungen festzulegen. Auch muss die Folgenabschätzung ohne unangemessene Verzögerung aktualisiert werden, wenn die Ergebnisse der Überprüfung Unstimmigkeiten bei der Einhaltung aufzeigen. Haftung: Für Unternehmen, die als Auftragsdatenverarbeiter für andere Unternehmen tätig sind, wird die Haftung verschärft. Neben generell strengen Anforderungen an den Einsatz von Auftragsdatenverarbeitern haftet mit der EU-Datenschutz-Verordnung neben der verantwortlichen Stelle (dem Auftraggeber der Datenverarbeitung) nunmehr grundsätzlich auch der Auftragnehmer gegenüber den Betroffenen auf Schadensersatz, sollte es zu Datenverlusten und der damit einhergehenden Verletzung von Rechten kommen. Womit ist bei Datenschutzverstößen zu rechnen? Die Sanktionen für Datenschutzverstöße sind noch Gegenstand der weiteren Verhandlungen. Sah der Entwurf des Parlaments noch eine deutliche Anhebung der finanziellen Sanktionen bei Datenschutzverstößen vor, schlug der Rat niedrigere Strafen vor. Im Fall eines erstmaligen, nichtvorsätzlichen Verstoßes sind lediglich eine Verwarnung und nachfolgend regelmäßige Datenschutz-Audits vorgesehen. In anderen Fällen sollen die Datenschutzaufsichtsbehörden für Verstöße gegen die Einhaltung der Vorgaben der Verordnung Bußgelder verhängen können. Nach der Entschließung des Parlaments ist eine Höhe der Geldbuße bis zu 100 Millionen Euro oder 5 % des weltweiten Jahresumsatzes des betroffenen Unternehmens vorgesehen (je nachdem, welcher Betrag höher ist), während der Rat es Presseberichten zufolge bei EUR Höchststrafe und 0,5% des Jahresumsatzes belassen möchte. In beiden Vorschlägen ist enthalten, dass u.a. der Einsatz von datenschutzfreundlichen Techniken und generell die datenschutzkonforme Organisation der Prozesse und Verfahren im Unternehmen bei der Bestimmung der Strafe strafmildernd berücksichtigt werden kann.

6 Die Bedeutung des neuen EU-Rechts für die Schweiz Die Schweiz verfügt als Nicht-EU-Mitglied über ein Datenschutzgesetz, das in seinen wesentlichen Inhalten den noch geltenden deutschen und österreichischen Datenschutzgesetzen entspricht. Dies gilt insbesondere für die Vorgabe, personenbezogene Daten durch angemessene technische und organisatorische Maßnahmen gegen unbefugtes Verarbeiten, Vernichtung und Verlust zu schützen. Die Anforderungen unterscheiden sich also schon jetzt nicht wesentlich vom Rest Europas. Wichtiger ist allerdings die Tatsache, dass die Schweiz in den EU-Staaten ihre wichtigsten Handelspartner hat. Nach der EU-Datenschutzverordnung gelten deren Vorschriften auch für Unternehmen außerhalb der EU unter anderem dann, wenn die Datenverarbeitung in der EU ansässige Personen betrifft und dazu dient, diesen Personen in der Union Waren oder Dienstleistungen anzubieten oder die Personen zu überwachen. Der räumliche Kontext von Datenverarbeitung ist damit weitgehend aufgehoben und Schweizer Unternehmen müssen schon dann das neue EU- Recht berücksichtigen, wenn sie personenbezogene Daten von EU-Bürgern verarbeiten, um beispielsweise Dienstleistungen in der EU anzubieten. Wie sollten Unternehmen sich vorbereiten? Voraussichtlich werden noch mehr als zwei Jahre ins Land gehen, bevor die EU-Datenschutzverordnung in Kraft tritt. Zeit für die Unternehmen also, sich auf die neue Rechtslage einzustellen. Eine gute Vorbereitung bezieht alle datenschutzrechtlich relevanten Abläufe im Unternehmen ein und legt den Schwerpunkt auf die Etablierung technischer Sicherheitsmaßnahmen sowie deren Dokumentation und Nachweisbarkeit und den Einsatz datenschutzfreundlicher Technologien von Anfang an. Weder die zurzeit gültigen Datenschutzgesetze noch die geplante EU-Datenschutzverordnung schreiben konkret bezeichnete technische Kontrollmechanismen vor. Zentral ist aber in beiden Fällen die von den Datenschutzgesetzen geforderte Absicherung der personenbezogenen Daten gegen unbefugte Verarbeitung, Zerstörung und Verlust. Insofern sind Unternehmen gut beraten, moderne technische Kontrollmechanismen zu implementieren, die von Anfang an verhindern, dass Unbefugte personenbezogene Daten lesen, kopieren, verändern oder vernichten können. Vorbild kann das Vorgehen der Unternehmen sein, die aufgrund ähnlich strenger gesetzlicher Vorgaben schon heute hohe technische Sicherheitsstandards umsetzen müssen. Der Payment Card Industry Data Security Standard (PCI DSS) und das US-Bundesgesetz Health Insurance Portability and Accountability Act (HIPAA) für das Gesundheitswesen in den USA sind nur zwei Beispiele für Vorschriften, die Datenschutzkontrollen ähnlich wie diejenigen im Vorschlag zur Reform des EU-Datenschutzrechts vorsehen. An diesen Standards können sich Unternehmen bei der Auswahl konkreter Sicherheitsmaßnahmen orientieren.

7 Verschlüsselung Verschlüsselung stellt immer noch die beste Methode dar, personenbezogene Daten für unbefugte Personen unbrauchbar zu machen. Bei Verlust oder Diebstahl sind Daten, die im Vorfeld vor der Übertragung und/oder Speicherung verschlüsselt wurden, für jeden wertlos, der nicht über den Schlüssel verfügt. Mit dem Einsatz einer starken Verschlüsselung hat ein Unternehmen dann gleichzeitig auch einige der Anforderungen des neuen EU-Datenschutzrechts abgedeckt: Die Verletzung des Schutzes personenbezogener Daten wird vom Entwurf der EU-Datenschutzverordnung als die Vernichtung, der Verlust, die Veränderung, ob unbeabsichtigt oder widerrechtlich, oder die unbefugte Weitergabe von beziehungsweise der unbefugte Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden definiert. An dem Wortlaut ist unschwer erkennbar, dass Verschlüsselung vor den meisten Varianten der Verletzung des Schutzes personenbezogener Daten und damit auch vor unangenehmen Folgen schützen kann. Ebenso ist Verschlüsselung ein geeignetes Mittel, die Anforderungen in Bezug auf die von der EU-Datenschutzverordnung geforderte Folgenabschätzung und die Vorgaben zum Datenschutz durch Technik in großen Teilen zu erfüllen. Moderne Verschlüsselungstechnologien sind nicht mehr die Ressourcenfresser in der IT, als die sie oftmals noch gelten. Sie sind benutzerfreundlich und laufen unauffällig mehr oder weniger im Hintergrund, so dass Unternehmen durch ihren Einsatz erhebliche Verbesserungen erzielen können. Sophos SafeGuard Encryption SafeGuard ermöglicht eine Verschlüsselung ohne die Kompromisse der Vergangenheit. Moderne Versionen der Windows- und Mac-Betriebssysteme verfügen über integrierte Verschlüsselungsfunktionen. SafeGuard greift nach Möglichkeit auf die betriebssystemeigene Verschlüsselungsfunktionalität zurück und minimiert dadurch die Beeinträchtigung des Benutzers. Das Ergebnis: Schutz plus Leistung. Sophos möchte, dass Verschlüsselung so einfach wie möglich ist: Alle Geräte werden unabhängig von der Plattform geschützt, ohne dass die Benutzer bei ihrer Arbeit gestört werden oder ihre Arbeitsweise anpassen müssen. SafeGuard folgt den Daten und schützt sie dort, wo sie gerade sind. Egal ob in der Cloud, auf Wechselmedien, in Netzwerkdateien oder auf mobilen Geräten SafeGuard ist immer dort, wo Ihre Daten sind. Einfache Verschlüsselung bedeutet auch, dass diese von der IT schnell und einfach eingeführt und verwaltet werden kann. Audit- und Reportfunktionen unterstützen die Compliance-Bemühungen, damit die IT jederzeit nachweisen kann, dass eine Datei, ein Rechner oder ein USB-Stick zum Zeitpunkt des Verlusts, Diebstahls oder Verstoßes gegen den Datenschutz verschlüsselt war. Alle diese Funktionen geben Unternehmen Sicherheit. Nur Sophos bietet Verschlüsselungsverfahren für Computer, Netzlaufwerke, Wechselmedien und in der Cloud gespeicherte Daten für Windows und Mac an über einen einzigen Agenten und eine zentrale Verwaltungskonsole. Die zertifizierte Verschlüsselung verhindert Datenschutzverletzungen und erleichtert die Compliance, ohne die Arbeitsabläufe zu behindern. Darüber hinaus sparen Sie dank des benutzerfreundlichen Verwaltungskonzepts viel Zeit.

8 Fazit: Die frühzeitige Vorbereitung auf die Veränderungen im Datenschutzrecht, die mit sehr hoher Wahrscheinlichkeit in absehbarer Zeit geltendes Recht werden, hat viele Vorteile. Unternehmen verbessern schon jetzt ihre Compliance in puncto Datenschutz und Datensicherheit und müssen nicht später der neuen Rechtslage hinterherhinken. Schweizer Unternehmen sollten prüfen, ob und an welcher Stelle die neue EU-Datenschutzverordnung für sie gelten wird und sich entsprechend vorbereiten. Weitere Informationen Unter erfahren Sie, wie SafeGuard Encyption Ihr Unternehmen bei der Einhaltung der Datenschutzvorschriften unterstützen kann. Kostenlos testen Kostenlose Testversion unter Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, Server, s und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Weitere Infos unter Sales DACH (Deutschland, Österreich, Schweiz) Tel.: sales@sophos.de Oxford, GB Boston, USA Copyright Sophos Ltd. Alle Rechte vorbehalten. Eingetragen in England und Wales, Nr , The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, GB Sophos ist die eingetragene Marke von Sophos Ltd. Alle anderen genannten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken ihres jeweiligen Inhabers DD.wpde.simple