Dieser Leitfaden unterstützt Unternehmen dabei, das Datenschutzmanagement in jeden Aspekt ihrer Abläufe einzubetten, einschließlich Cybersecurity.
Datenschutz ist für Unternehmen heute von entscheidender Bedeutung. Sie verarbeiten riesige Mengen personenbezogener Daten, während sie ein komplexes Geflecht von Vorschriften einhalten. Gleichzeitig müssen sie sich einer sich stetig verändernden Datenschutzhaltung ihrer Kunden anpassen. Das Ausmaß der datenschutzrechtlichen Herausforderung, mit denen Unternehmen konfrontiert sind, wurde durch die COVID-19-Pandemie, die Unternehmen auf der ganzen Welt noch anfälliger für Cyberattacken gemacht hat, noch schärfer in den Fokus gerückt.
Der beste Weg für Unternehmen, sich in diesem anspruchsvollen Umfeld zurechtzufinden, ist ein robuster, ganzheitlicher und risikobasierter Ansatz für das Management von Datenschutzrisiken. Dabei werden konkrete Schritte zur effektiven Umsetzung des Datenschutzmanagements innerhalb des Unternehmens ergriffen – was leichter gesagt ist als getan.
Selbstverständlich haben einige führende Standardsetter den Framework-Bedarf bereits berücksichtigt, um Unternehmen dabei zu unterstützen, Datenschutzrisiken in das gesamte Risk Management zu integrieren. Die Internationale Organisation für Normung (ISO) hat dazu die ISO 27701 entwickelt –einen Leitfaden für die Einrichtung, Implementierung, Verwaltung und kontinuierliche Verbesserung eines Datenschutz-Informationsmanagementsystems. Ein weiteres Framework wurde vom US-amerikanischen National Institute of Standards and Technology (NIST) entwickelt. Es ist bekannt als das NIST Privacy Framework.
Einführung in das NIST Privacy Framework
Das NIST Privacy Framework bietet Unternehmen durch Regeln und Standards einen Rahmen für Cybersicherheit und Risikomanagement, um Maßnahmen zu identifizieren und zu priorisieren und gleichzeitig regulatorische, technologische und geschäftliche Aspekte im Management von Datenschutzrisiken über den gesamten Datenlebenszyklus hinweg aufeinander abzustimmen.
Nachdem Daten und technische Datensysteme eine zentrale Rolle im Unternehmen spielen, sollte man das Datenschutzrisiko nicht isoliert betrachten. Es muss im Kontext der breiteren Risk-Management- und Cybersecurity-Strategien des Unternehmens betrachtet werden. In Anerkennung dessen ist das NIST Privacy Framework auf das NIST Cybersecurity Framework abgestimmt und kann im Tandem mit diesem verwendet werden. Eine wirksame Risikominderung erfordert, dass ein Unternehmen das Datenschutzmanagement in jeden Aspekt seiner Prozesse einbettet, einschließlich der technischen Prozesse. Neue Apps, Systeme, Produkte und Dienstleistungen müssen von Anfang an so konzipiert werden, dass sie Vertrauen erwecken und den integrierten Datenschutz deutlich berücksichtigen.
Maßgeschneiderter Ansatz
Jedes Unternehmen befindet sich an einem anderen Punkt auf dem Weg zum Datenschutzmanagement und jedes Unternehmen verfolgt andere Ambitionen und Ziele. Das NIST Privacy Framework bietet also gerade vor dem Hintergrund, dass es keine Einheitslösung für das Datenschutzmanagement gibt, eine effektive Vorgehensweise. Darüber hinaus kann der risiko- und ergebnisbasierte Ansatz des NIST Privacy Framework auf den spezifischen Kontext der einzelnen Organisationen zugeschnitten werden.
Das Privacy Framework setzt sich aus drei Elementen zusammen:
- Der Core bietet eine granulare Zusammenstellung von Aktivitäten und zugehörigen Zielen, die einen organisatorischen Dialog über das Management von Datenschutzrisiken ermöglichen. Diese Aktivitäten sind in fünf Funktionen unterteilt: identifizieren, steuern, kontrollieren, kommunizieren und schützen.
- Profile sind eine Reihe spezifischer Funktionen, Kategorien und Unterkategorien aus den Elementen des Core, die das Unternehmen priorisieren kann, um Datenschutzrisiken zu managen. Sie können die aktuellen Datenschutzaktivitäten des Unternehmens oder die gewünschten Ergebnisse darstellen und dazu verwendet werden, die Datenschutzlage zu verbessern, Self-Assessments durchzuführen und zu kommunizieren, wie Risiken gemanagt werden.
- Die Implementierungsebenen helfen Unternehmen zu entscheiden und zu kommunizieren, inwieweit ihre Prozesse und Ressourcen für das Management von Datenschutzrisiken ausreichend sind, um den gewünschten Zielzustand – bekannt als ihr Profil – zu erreichen. Als Zielzustand bezeichnet man den Punkt, an dem sich ein Unternehmen nach der Verbesserung des Datenschutzrisikos im Rahmen entsprechender Maßnahmen befindet.
Um das NIST Privacy Framework effektiv nutzen zu können, muss ein Unternehmen sowohl den aktuellen Zustand als auch das Profil, das es erreichen möchte, bewerten. Dann kann es festlegen, welche Maßnahmen – wie technologische Lösungen oder strengere Kontrollen – es ihm ermöglichen, den Datenschutz in Einklang mit der Risikobereitschaft besser zu verwalten. Zum Beispiel haben Finanzdienstleister, die viele sensible Kundendaten besitzen und in einem stark regulierten Umfeld arbeiten, wahrscheinlich eine viel geringere Risikobereitschaft für den Datenschutz als Unternehmen in weniger regulierten Branchen. Eine weitere wichtige Überlegung ist, ob das Unternehmen das Privacy Framework effektiv als Grundlage für die Stärkung seiner Wettbewerbsposition nutzen kann. So könnte ein Konsumgüterunternehmen den Fokus auf den Datenschutz als wichtiges Unterscheidungsmerkmal im Marketing nutzen.