5 Minuten Lesezeit 1 Juni 2020
Snow covered Alpine peak with avalanche controls

How the NIST Privacy Framework can help you better manage risk

Von EY Global

Multidisciplinary professional services organization

Lokaler Ansprechpartner

EY EMEIA Innovation Leader; Partner, Forensic & Integrity Services, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Rechts- und ehemalige Prozessanwältin. Hat jahrelange Erfahrung in den Bereichen eDiscovery, Dokumentenprüfung, Einhaltung des Datenschutzes, Rechtsstreitigkeiten und Vertragsmanagement.

5 Minuten Lesezeit 1 Juni 2020

Dieser Leitfaden unterstützt Unternehmen dabei, das Datenschutzmanagement in jeden Aspekt ihrer Abläufe einzubetten, einschließlich Cybersecurity.

Datenschutz ist für Unternehmen heute von entscheidender Bedeutung. Sie verarbeiten riesige Mengen personenbezogener Daten, während sie ein komplexes Geflecht von Vorschriften einhalten. Gleichzeitig müssen sie sich einer sich stetig verändernden Datenschutzhaltung ihrer Kunden anpassen. Das Ausmaß der datenschutzrechtlichen Herausforderung, mit denen Unternehmen konfrontiert sind, wurde durch die COVID-19-Pandemie, die Unternehmen auf der ganzen Welt noch anfälliger für Cyberattacken gemacht hat, noch schärfer in den Fokus gerückt.

Der beste Weg für Unternehmen, sich in diesem anspruchsvollen Umfeld zurechtzufinden, ist ein robuster, ganzheitlicher und risikobasierter Ansatz für das Management von Datenschutzrisiken. Dabei werden konkrete Schritte zur effektiven Umsetzung des Datenschutzmanagements innerhalb des Unternehmens ergriffen – was leichter gesagt ist als getan.

Selbstverständlich haben einige führende Standardsetter den Framework-Bedarf bereits berücksichtigt, um Unternehmen dabei zu unterstützen, Datenschutzrisiken in das gesamte Risk Management zu integrieren. Die Internationale Organisation für Normung (ISO) hat dazu die ISO 27701 entwickelt –einen Leitfaden für die Einrichtung, Implementierung, Verwaltung und kontinuierliche Verbesserung eines Datenschutz-Informationsmanagementsystems. Ein weiteres Framework wurde vom US-amerikanischen National Institute of Standards and Technology (NIST) entwickelt. Es ist bekannt als das NIST Privacy Framework.

Einführung in das NIST Privacy Framework

Das NIST Privacy Framework bietet Unternehmen durch Regeln und Standards einen Rahmen für Cybersicherheit und Risikomanagement, um Maßnahmen zu identifizieren und zu priorisieren und gleichzeitig regulatorische, technologische und geschäftliche Aspekte im Management von Datenschutzrisiken über den gesamten Datenlebenszyklus hinweg aufeinander abzustimmen. 

Nachdem Daten und technische Datensysteme eine zentrale Rolle im Unternehmen spielen, sollte man das Datenschutzrisiko nicht isoliert betrachten. Es muss im Kontext der breiteren Risk-Management- und Cybersecurity-Strategien des Unternehmens betrachtet werden. In Anerkennung dessen ist das NIST Privacy Framework auf das NIST Cybersecurity Framework abgestimmt und kann im Tandem mit diesem verwendet werden. Eine wirksame Risikominderung erfordert, dass ein Unternehmen das Datenschutzmanagement in jeden Aspekt seiner Prozesse einbettet, einschließlich der technischen Prozesse. Neue Apps, Systeme, Produkte und Dienstleistungen müssen von Anfang an so konzipiert werden, dass sie Vertrauen erwecken und den integrierten Datenschutz deutlich berücksichtigen.

Maßgeschneiderter Ansatz

Jedes Unternehmen befindet sich an einem anderen Punkt auf dem Weg zum Datenschutzmanagement und jedes Unternehmen verfolgt andere Ambitionen und Ziele. Das NIST Privacy Framework bietet also gerade vor dem Hintergrund, dass es keine Einheitslösung für das Datenschutzmanagement gibt, eine effektive Vorgehensweise. Darüber hinaus kann der risiko- und ergebnisbasierte Ansatz des NIST Privacy Framework auf den spezifischen Kontext der einzelnen Organisationen zugeschnitten werden.

Das Privacy Framework setzt sich aus drei Elementen zusammen:

  • Der Core bietet eine granulare Zusammenstellung von Aktivitäten und zugehörigen Zielen, die einen organisatorischen Dialog über das Management von Datenschutzrisiken ermöglichen. Diese Aktivitäten sind in fünf Funktionen unterteilt: identifizieren, steuern, kontrollieren, kommunizieren und schützen.
  • Profile sind eine Reihe spezifischer Funktionen, Kategorien und Unterkategorien aus den Elementen des Core, die das Unternehmen priorisieren kann, um Datenschutzrisiken zu managen. Sie können die aktuellen Datenschutzaktivitäten des Unternehmens oder die gewünschten Ergebnisse darstellen und dazu verwendet werden, die Datenschutzlage zu verbessern, Self-Assessments durchzuführen und zu kommunizieren, wie Risiken gemanagt werden.
  • Die Implementierungsebenen helfen Unternehmen zu entscheiden und zu kommunizieren, inwieweit ihre Prozesse und Ressourcen für das Management von Datenschutzrisiken ausreichend sind, um den gewünschten Zielzustand – bekannt als ihr Profil – zu erreichen. Als Zielzustand bezeichnet man den Punkt, an dem sich ein Unternehmen nach der Verbesserung des Datenschutzrisikos im Rahmen entsprechender Maßnahmen befindet.

Um das NIST Privacy Framework effektiv nutzen zu können, muss ein Unternehmen sowohl den aktuellen Zustand als auch das Profil, das es erreichen möchte, bewerten. Dann kann es festlegen, welche Maßnahmen – wie technologische Lösungen oder strengere Kontrollen – es ihm ermöglichen, den Datenschutz in Einklang mit der Risikobereitschaft besser zu verwalten. Zum Beispiel haben Finanzdienstleister, die viele sensible Kundendaten besitzen und in einem stark regulierten Umfeld arbeiten, wahrscheinlich eine viel geringere Risikobereitschaft für den Datenschutz als Unternehmen in weniger regulierten Branchen. Eine weitere wichtige Überlegung ist, ob das Unternehmen das Privacy Framework effektiv als Grundlage für die Stärkung seiner Wettbewerbsposition nutzen kann. So könnte ein Konsumgüterunternehmen den Fokus auf den Datenschutz als wichtiges Unterscheidungsmerkmal im Marketing nutzen.

Technological trends

The NIST Privacy Framework is not a rigid checklist of actions for organizations to tick off. It has been designed to evolve alongside organizations and to keep up with important technological trends, such as artificial intelligence and the Internet of Things. As such, it can help organizations to balance making optimal use of their data with safeguarding the privacy of their customers and partners. The framework recognizes and embraces technological change and considers the privacy implications of further advances. It is this in-built flexibility that makes the framework future-proof.

We live in an era of widespread uncertainty and sweeping technological advances, where it is already impossible to overstate the importance of privacy. We can also be sure that privacy will only become even more important in future. Organizations that are already using the NIST Cybersecurity Framework will find that the Privacy Framework provides them with a good opportunity to improve privacy as part of their cybersecurity practice. Nevertheless, all organizations should be thinking about how they can take advantage of the NIST Privacy Framework to improve their privacy management. The way the world is going, doing nothing is not an option. 

Fazit

The complex challenges we face today make privacy more important than ever. The NIST Privacy Framework is a set of flexible, practical guidelines for organizations looking to better manage privacy risk across operations and the data lifecycle. This article explains the key elements of the framework, how organizations can tailor it to their unique circumstances and the impact of future technological trends. It also highlights that privacy risk should not be addressed in isolation, but as part of an organization’s broader risk management and cybersecurity strategies.

Über diesen Artikel

Von EY Global

Multidisciplinary professional services organization

Lokaler Ansprechpartner

EY EMEIA Innovation Leader; Partner, Forensic & Integrity Services, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Rechts- und ehemalige Prozessanwältin. Hat jahrelange Erfahrung in den Bereichen eDiscovery, Dokumentenprüfung, Einhaltung des Datenschutzes, Rechtsstreitigkeiten und Vertragsmanagement.