Introducing G2.ai, the future of software buying.Try now
Datenschutzverwaltung Kategorie

Der G2 über Datenschutz: Was man über das NIST-Datenschutzrahmenwerk wissen sollte

20. September 2019
Merry Marwig, CIPP/US
MMC
von Merry Marwig, CIPP/US

In diesem Beitrag

In diesem Beitrag

Die wertvollsten börsennotierten Unternehmen der Welt werden heute alle von Daten angetrieben.

Einige der bedeutendsten Unternehmen der Welt, darunter Facebook, Apple, Amazon, Netflix und Google (an der Börse zusammen als FAANG bekannt), haben ihre Geschäftsmodelle auf Daten in Bereichen wie Werbung, E-Commerce, Technologieprodukte und Abonnementmodelle aufgebaut. Daten bleiben eine treibende Kraft auf dem Weg zur Vierten Industriellen Revolution, in der künstliche Intelligenz, das Internet der Dinge (IoT), maschinelles Lernen und Biotechnologie, unter anderem, die Zukunft unserer Arbeit und Gesellschaft definieren.

Und obwohl es unbestritten ist, dass Daten im Zeitalter der digitalen Transformation enormen wirtschaftlichen Wert geschaffen haben, ist es auch wahr, dass hinter den meisten Datenpunkten Menschen stehen. Menschen kümmern sich darum, wie ihre persönlichen Daten verwendet werden. Sie wollen ihren Ruf schützen, ihre Autonomie bewahren und ihre eigene Würde ehren. Sie kümmern sich um Privatsphäre; Menschen müssen wissen, welchen Unternehmen sie vertrauen können.

Privacy Risk and Organization Risk Relationship are important to understanding the NIST Privacy FrameworkQuelle: NIST

Vertrauen ist jetzt eine entscheidende Komponente für den Erfolg eines Unternehmens. Vertrauen schafft langfristige Markentreue und Fürsprache unter den Kunden. Ein Verlust des Vertrauens, möglicherweise durch missbrauchte oder gehackte persönliche Daten, ermutigt Kunden, ihr Geschäft woanders hin zu verlagern, was sich negativ auf die Unternehmensbewertungen auswirkt. (Schauen Sie sich nur Yahoo als ein Beispiel an: Nach einem umfangreichen Datenleck flohen die Kunden in Scharen, was zu Millionen an verlorenem Wert führte.) Unternehmen können Vertrauen aufbauen, während sie die Privatsphäre der Verbraucher respektieren und ihren Kunden einen Mehrwert bieten. Dies muss jedoch methodisch geschehen; Unternehmen können das Vertrauen der Kunden durch ethische Entscheidungsfindung gewinnen, die in ihre Geschäftsmodelle integriert ist.

Unternehmen verstehen, dass Vertrauen und Privatsphäre entscheidend sind, aber wie sieht das in der Praxis aus? Wie schützen Unternehmen und Organisationen die Privatsphäre der Menschen, während sie dennoch deren Daten nutzen? Wie gehen Unternehmen mit Datenschutzrisiken um, die Reputationsrisiken darstellen können, und mit Compliance-Risiken, die rechtliche Probleme für ein Unternehmen verursachen können? Sind Datenschutzrisiken neben anderen Punkten im Unternehmensrisikoprofil Ihres Unternehmens enthalten? Hat Ihr Unternehmen ein Budget mit den richtigen Ressourcen, um Datenschutzrisiken angemessen zu bewältigen?

Mit so vielen beweglichen Teilen in der Datenschutzlandschaft kann es schwierig sein zu wissen, wo man anfangen soll. Was in dieser Gleichung fehlt, ist eine gemeinsame Sprache und praktische Werkzeuge, um Datenschutzbedürfnisse anzugehen. Genau das will das NIST Privacy Framework lösen.

Was ist das NIST Privacy Framework?

Das NIST Privacy Framework ist ein freiwilliges Rahmenwerk, das Unternehmen und Organisationen hilft, ihre Datenschutzrisiken zu verstehen, zu bewerten und zu mindern. NIST steht für das National Institute of Standards and Technology, eine Einheit des US-Handelsministeriums, die Innovation durch die Entwicklung wissenschaftlicher und technologischer Standards fördert. NIST veröffentlichte im September 2019 einen vorläufigen Entwurf des Rahmenwerks und hofft, bis Ende 2019 die Version 1.0 fertigzustellen. Das Rahmenwerk, in Laiensprache verfasst, strebt an, Stakeholder aus verschiedenen Branchen und Hierarchieebenen einzubeziehen, um Datenschutzziele zu definieren und gemeinsame Datenschutzrichtlinien umzusetzen.

Das NIST Privacy Framework bietet:

    • Eine gemeinsame Sprache, um Datenschutzrisiken mit internen und externen Stakeholdern zu kommunizieren
    • Eine Möglichkeit, politische, geschäftliche und technische Ansätze zur Reduzierung von Datenschutzrisiken in Einklang zu bringen
    • Eine Methode zur Identifizierung und Priorisierung von Maßnahmen – einschließlich allgemeiner Datenschutzaktivitäten und -ergebnisse – zur Reduzierung von Datenschutzrisiken

Innerhalb dieses Rahmenwerks können Unternehmen und Organisationen ihre aktuellen Datenschutz-Compliance-Ziele erreichen und zukünftige technologische Fortschritte und Datenschutzvorschriften für ihre zukünftigen Produkte und Dienstleistungen antizipieren. Das Privacy Framework ist technologieunabhängig, gilt unabhängig von spezifischen Gesetzen und Gerichtsbarkeiten und arbeitet in Zusammenarbeit mit dem bestehenden NIST Cybersecurity Framework, das 2018 veröffentlicht wurde.

Wie das NIST Privacy Framework funktioniert

Der vorläufige Entwurf des NIST Privacy Framework besteht aus drei Teilen: dem Kern, den Profilen und den Implementierungsstufen.

Der Kern hilft Organisationen, ihre übergeordneten Datenschutzziele zu identifizieren.

Profile helfen Organisationen, ihr aktuelles Datenschutzrisiko zu verstehen und die Lücken zu erkennen, um das gewünschte Datenschutzrisikomanagement zu erreichen. Die fünf Hauptfunktionsbereiche umfassen:

    1. Identifizieren
    2. Verwalten
    3. Kontrollieren
    4. Kommunizieren
    5. Schützen

Five NIST Privacy Framework Functions that help with data privacyQuelle: NIST

Implementierungsstufen unterstützen die organisatorische Entscheidungsfindung über Datenschutzrisiken. Dies berücksichtigt die spezifischen Systeme, Produkte, Dienstleistungen und verfügbaren Ressourcen einer Organisation, um Risiken zu managen.

Möchten Sie mehr über Datenschutzmanagement-Software erfahren? Erkunden Sie Datenschutzverwaltung Produkte.

Wie das Datenschutzrahmenwerk & das Cybersicherheitsrahmenwerk zusammenhängen

Wie hängt das NIST Privacy Framework mit dem NIST Cybersecurity Framework zusammen? Zwei Worte: Datenschutzverletzungen. Cybersicherheits- und Datenschutzrisiken gehen Hand in Hand.

Beide Rahmenwerke – das NIST Privacy Framework und das NIST Cybersecurity Framework – adressieren gemeinsam Risiken von Datenschutzverletzungen. Dies ist besonders wichtig angesichts aufkommender Technologien wie IoT und KI.

Das NIST Privacy Framework hat fünf Funktionen: Identifizieren, Verwalten, Kontrollieren, Kommunizieren und Schützen.

Das NIST Cybersecurity Framework hat fünf Funktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.

Die „Schützen“-Funktion des NIST Privacy Framework überschneidet sich mit dem NIST Cybersecurity Framework. Dies bezieht sich auf:

How Privacy Risks and Cybersecurity Risks Relate and how they relate to NIST

Quelle: NIST

Functions and Categories Related to Privacy Risk and Privacy Breach Risks related to NIST

Quelle: NIST

Wie man das Privacy Framework verwendet

Unternehmensleiter, Rechtsteams, Sicherheitsteams und verwandte Abteilungen verwenden das NIST Privacy Framework als informative Referenz für eine Vielzahl von Dingen. Sie könnten das Rahmenwerk nutzen, um die Verantwortlichkeit innerhalb ihrer Organisation zu stärken, ein Datenschutzprogramm zu etablieren oder zu verbessern, es auf den Systementwicklungslebenszyklus anzuwenden, es im Datenverarbeitungssystem eines Unternehmens zu verwenden und fundierte Kaufentscheidungen darüber zu treffen, mit welchen Anbietern sie zusammenarbeiten möchten.

Denken Sie daran, dass das NIST Privacy Framework genau das ist, ein Rahmenwerk. Es ist kein Standard. Es ist keine Zertifizierung. Es ist ein Ausgangspunkt für Organisationen, um ihre Datenschutzrisiken zu verstehen und einen Plan zu entwickeln, der diese Risiken am besten adressiert.

Ways to Use the NIST Privacy Framework to help with data privacyQuelle: NIST

Was ist der Wert?

Das Privacy Framework hilft Unternehmen, Vertrauen bei ihren Kunden aufzubauen, aktuelle und zukünftige Datenschutzvorschriften einzuhalten und einen Datenschutzdialog im Unternehmen zu fördern. Vertrauen wird im Laufe der Zeit mit den Kunden eines Unternehmens, Dritten und Regulierungsbehörden aufgebaut.

Value of the Using the NIST Privacy Framework to help with data privacyQuelle: NIST

Mit Hilfe des Privacy Frameworks können Unternehmen bessere Datenschutzpraktiken wie Datenschutz durch Design oder Datenschutz durch Voreinstellung entwickeln. Dies hilft Unternehmen, neue Datenschutzgesetze vorherzusehen und ermutigt sie, proaktiv zu sein.

Fundierte Kaufentscheidungen treffen

Obwohl der Entwurf des NIST Privacy Framework technologieunabhängig ist, ermutigt er die Menschen, die Datenschutzanforderungen von NIST zu nutzen, um fundierte Kaufentscheidungen beim Kauf von Produkten, Software und Dienstleistungen zu treffen und bei der Zusammenarbeit mit Dritten.

Was Sie jetzt tun können

NIST sucht öffentliche Kommentare zum vorläufigen Entwurf des NIST Privacy Framework bis 17 Uhr EDT am 24. Oktober 2019. Nach der Einarbeitung von Aktualisierungen auf Grundlage der öffentlichen Kommentierungsphase erwartet NIST, die Version 1.0 des NIST Privacy Framework bis Ende 2019 zu veröffentlichen.

Zukünftige Themen von NIST in Bezug auf Datenschutzrisiken

Nach der Veröffentlichung der Version 1.0 des NIST Privacy Framework Ende 2019 plant NIST, andere datenschutzbezogene Themen zu behandeln, darunter aufkommende Technologien, Datenschutzrisikobewertungen, Datenschutzpersonal, Re-Identifikationsrisiken und technische Standards.

*Haftungsausschluss: Ich bin kein Anwalt und gebe keine Rechtsberatung. Wenn Sie rechtliche Fragen haben, konsultieren Sie einen zugelassenen Anwalt.*

Merry Marwig, CIPP/US
MMC

Merry Marwig, CIPP/US

Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.

Weitere G2-Artikel erkunden

Beste CI-Plattformen zur Integration mit Git-Repositories
Top MDM-Dienste für Remote-Arbeitsteams
Wo finde ich die beste Employer of Record-Lösung für IT-Unternehmen?
Empfohlene Software zur Verwaltung von Contact-Center-Agenten