Datenschutz ist ein geschäftliches, technologisches und regulatorisches Thema, das jeden Tag mehr an Bedeutung gewinnt. Hier erfahren Sie, wie ein Datenschutz-Framework Ihrem Unternehmen helfen kann, damit umzugehen.

Wesentliche Punkte:

  • Neue Vorschriften, Technologien und Geschäftsvereinbarungen legen die Messlatte für den Datenschutz immer höher.
  • Ein Datenschutz-Framework kann Ihrem Unternehmen helfen, die Anforderungen von heute zu erfüllen und sich auf die Anforderungen von morgen einzustellen.
  • Unternehmen können auf das Datenschutz-Framework des NIST, Anbieter von Datenschutztechnologien, Cloud-Service-Provider und andere Quellen zurückgreifen, um ihre eigenen Frameworks zu implementieren.

Datenschutz ist ein bewegliches Ziel, und Ihre Aufsichtsbehörden, Kunden, Mitarbeiter und Partner erwarten von Ihrem Unternehmen, dass es Schritt hält. Ein Datenschutz-Rahmenwerk ist ein Werkzeug, das dabei helfen kann, dieser Herausforderung mit einer Kombination aus Disziplin und Agilität zu begegnen, indem es die Datenschutzrichtlinien und -verfahren festlegt, die Ihr Unternehmen befolgt.

Warum sind Datenschutz-Frameworks wichtig?

Politische, geschäftliche und technologische Entwicklungen üben weiterhin Druck auf den Umgang von Unternehmen mit dem Datenschutz aus und treiben sie dazu an, Datenschutz-Rahmenwerke zu schaffen, die unmittelbare Bedenken ausräumen und ihnen helfen, sich an Veränderungen anzupassen. Hier ist, was passiert:

  1. U.S.-Politik: Die Aussichten auf eine umfassende nationale Datenschutzpolitik werden immer besser, [1] auch wenn einzelne Bundesstaaten weiterhin ihre eigenen Regeln einführen und Regierungsbehörden einen Flickenteppich älterer Regeln durchsetzen, die in den Büchern stehen.
  2. Internationale Politik: Die europäische Datenschutzgrundverordnung (GDPR) hat einen globalen Standard gesetzt, der von vielen anderen Ländern und Lokalitäten übernommen wurde. Die Durchsetzung hat zu Geldstrafen für hunderte von Unternehmen geführt. Doch nun, da die GDPR fünf Jahre alt ist, fordern einige politische Entscheidungsträger ein Umdenken. [2]
  3. Business: Die aktuellen Remote-Arbeitsarrangements von Unternehmen stellen die Datenschutzbestimmungen und deren Einhaltung durch Mitarbeiter und Cloud-Service-Anbieter auf eine harte Probe.
  4. Verbraucher: Der Druck der Verbraucher wächst. Eine aktuelle Umfrage zeigt, dass sich fast 80 % der Menschen Sorgen um den Schutz ihrer Daten machen. [3]
  5. Technologie: Innovationen wie künstliche Intelligenz und Gesichtserkennung werfen erhebliche neue Datenschutzbedenken auf.
  6. Sicherheit: Datenschutzverletzungen stellen eine der größten Bedrohungen für den Datenschutz dar, da bei 80 % dieser Vorfälle persönlich identifizierbare Informationen (PII) gestohlen werden. [4] Die Bedrohung wächst, da im Jahr 2020 weit mehr Datensätze als je zuvor durch Datenschutzverletzungen offengelegt werden. [5]

Gründe, warum Ihr Unternehmen ein Datenschutz-Framework braucht

Ein Datenschutz-Framework ist ein lebendiges Dokument mit Richtlinien, die je nach Entwicklung der Ereignisse angepasst werden können, sodass Ihr Unternehmen in diesem turbulenten Umfeld erfolgreich sein kann. Das National Institute of Standards and Technology (NIST), die US-amerikanische Normungsorganisation, nennt drei taktische Gründe, warum Ihr Unternehmen ein Datenschutz-Framework braucht:

  1. Entscheidungsfindung: Ein Rahmenwerk kann die ethische Entscheidungsfindung in der Produktentwicklung und im Betrieb unterstützen - die Optimierung der Datennutzung bei gleichzeitiger Minimierung negativer Folgen für die Privatsphäre des Einzelnen.
  2. Compliance: Es kann helfen, die aktuellen Vorschriften einzuhalten und gleichzeitig zukunftssicher gegen sich ändernde Regeln und Technologien zu sein.
  3. Kommunikation und Zusammenarbeit: Die schriftlichen Richtlinien Ihres Unternehmens helfen Ihnen, Ihre Datenschutzpraktiken innerhalb Ihres Unternehmens und darüber hinaus gegenüber Kunden, Partnern und Aufsichtsbehörden zu kommunizieren.

Was ist das NIST Privacy Framework?

Das Datenschutz-Framework des NIST ist etwas mehr als ein Jahr alt und wird immer noch weiterentwickelt, und viele Unternehmen haben es als Grundlage für ihre eigenen Frameworks übernommen. [6] Die freiwilligen Richtlinien des NIST werden weithin befolgt, da von staatlichen Auftragnehmern oft erwartet wird, dass sie bei der Beschaffung im öffentlichen Sektor eingehalten werden, was sich auch auf die Beschaffung im privaten Sektor in den USA und im Ausland auswirkt. Das Datenschutz-Framework des Instituts ist so konzipiert, dass es mit dem Cybersicherheits-Framework zusammenarbeitet.

Das Datenschutz-Framework von NIST ist um geschäftliche Treiber, organisatorische Rollen und Verantwortlichkeiten sowie Aktivitäten zum Schutz der Privatsphäre herum strukturiert. [7] Es gliedert sich wie folgt:

  • Funktionen: Welche Überlegungen zum Datenschutzrisikomanagement auf hoher Ebene fließen in die Identifizierung, Steuerung, Kontrolle, Kommunikation und den Schutz sensibler Daten ein? Zum Beispiel würden Governance-Entscheidungen gesetzliche Anforderungen erkennen und Unternehmensrichtlinien festlegen, um die Bemühungen zu priorisieren. Fragen der Kontrolle würden die Datenverwaltung und das Datenmanagement leiten. Entscheidungen über den Schutz würden cybersicherheitsbezogene Datenschutzereignisse, wie z. B. Datenverletzungen, abdecken.
  • Profile: Wie gut erfüllt Ihr Unternehmen derzeit jede dieser Funktionen? Welches ist Ihr gewünschtes Leistungsniveau?
  • Implementierung: Welche Prozesse und Ressourcen sind erforderlich, um Ihr Zielprofil zu erreichen? Hier wird die Liste des NIST ziemlich lang und detailliert, einschließlich Risikobewertungen, Inventare, Awareness-Programme, Überwachungsmechanismen und mehr.

Unternehmen können ihre Datenschutz-Frameworks nach dem Modell des NIST oder nach anderen Mustern gestalten. So hat beispielsweise die International Organization for Standardization (ISO) ein weiteres allgemeines Rahmenwerk veröffentlicht. [8] In der Gesundheitsbranche wurde von zwei Interessengruppen ein "Draft Consumer Privacy Framework for Health Data" veröffentlicht, das Lücken im Datenschutz des Health Insurance Portability and Accountability Act (HIPAA) schließen soll. [9]

Wie auch immer Sie sich entscheiden, Ihr Unternehmen kann seinen Datenschutzrahmen nicht als einmalige Übung behandeln, sondern muss ihn regelmäßig überprüfen, überarbeiten, kommunizieren und Mitarbeiter schulen, um mit neuen Entwicklungen Schritt zu halten.

Implementierung von Datenschutz-Frameworks

Auf technischer Ebene umfasst die Implementierung von Datenschutz-Rahmenwerken Prozesse, die Folgendes beinhalten können:

  • Identifizieren und priorisieren Sie vertrauliche Informationen, wie z. B. Kreditkartennummern von Kunden oder Sozialversicherungsnummern von Mitarbeitern.
  • Stellen Sie dar, wie vertrauliche Informationen in Ihrem Unternehmen fließen und wer daran beteiligt ist.
  • Setzen Sie Grenzen für das Sammeln, Aufbewahren, Zugreifen, Verwenden und Weitergeben von Informationen.
  • Holen Sie die Zustimmung der Personen ein.
  • Verschlüsseln, de-identifizieren und anonymisieren Sie persönliche Daten.
  • Probenahme, Überprüfung, Analyse und Weiterleitung von markierten Daten.
  • Finden und löschen Sie Kundeninformationen auf Anfrage, unter Einhaltung der gesetzlichen Fristen.
  • Überwachen und kontrollieren Sie die interne und externe Datenverwaltung.
  • Melden Sie Verstöße, die PII betreffen, nahezu in Echtzeit an Aufsichtsbehörden.

"CIOs spielen eine wichtige Rolle bei der Schaffung grundlegender Fähigkeiten für ein nachhaltiges Datenschutzprogramm", berichtet CIO Dive. "Sobald diese Schichten vorhanden sind, haben Unternehmen die Freiheit, sich nach Bedarf weiterzuentwickeln, ohne zusätzliche Änderungen im Rest der Organisation einzuführen." [10]

Einige Unternehmen stellen fest, dass sie die Verfahren zum Schutz der Privatsphäre in der aktuellen Remote-Arbeitsumgebung anpassen müssen. "Beim Umgang mit persönlichen Daten während der Arbeit von zu Hause aus werden die Nutzer mit zahlreichen rechtlichen Verpflichtungen allein gelassen, die schwer zu verstehen sind, und können sich unwissentlich in einem Gesetzesverstoß wiederfinden", sagt der Europaabgeordnete Alex Voss. [11]

Datenschutz-Frameworks automatisieren

Unternehmen können den Datenschutz selbst und mit Hilfe von Beratern auf ihren bestehenden Systemen automatisieren, oder sie können sich an eine wachsende "Privacy-Tech"-Industrie wenden, um speziellere Tools für die Implementierung ihrer Datenschutz-Rahmenbedingungen zu erhalten.

Viele Unternehmen, die über große Mengen an Daten verfügen, können ihre Compliance-Aufgaben nicht mehr ohne Unterstützung durch Datenschutztechnologien erfüllen, so der "2021 Privacy Tech Vendor Report" der International Association of Privacy Professionals (IAPP). [12] Zu den Produktkategorien des Berichts gehören Assessment-Management-Tools, die Compliance-Lücken aufspüren können; Tools für das Einwilligungsmanagement, die die Zustimmung der Nutzer für Tracking und andere Zwecke verwalten; Lösungen für die Reaktion auf Vorfälle, die Unternehmen dabei helfen, relevante Stakeholder darüber zu informieren, dass ihre Daten bei einem Verstoß kompromittiert wurden, und andere.

Cloud-Service-Provider verpflichten sich auch, die Einhaltung der Datenschutzbestimmungen ihrer Kunden zu unterstützen, wie Mimecast für seine E-Mail-, Speicher- und Archivierungslösungen tut. Dazu gehört oft die vertragliche Zusicherung der eigenen Einhaltung der Datenschutzregeln durch den Dienstanbieter. Darüber hinaus können Service-Provider die Systemadministratoren der Kunden mit Management-Konsolen für solche Compliance-Prozesse wie Archivsuche, E-Discovery und Überprüfung ausstatten.

Was lässt sich daraus schließen?

Unternehmen können den Datenschutz besser handhaben, wenn sie Datenschutz-Frameworks einrichten, die die Richtlinien und Verfahren zum Schutz der persönlichen Daten ihrer Kunden und Mitarbeiter dokumentieren. Rahmenwerke können ihnen dabei helfen, die heutigen Anforderungen zu erfüllen und sich an die zukünftigen Anforderungen in einem sich ständig verändernden geschäftlichen, technologischen und regulatorischen Umfeld anzupassen.

 

[1] "The Battle of the Bills Begins: Proposed Federal Data Privacy Legislation Aims to End Patchwork Problem But Increases Enforcement," National Law Review

[2] "How to Bring GDPR into the Digital Age," Politico

[3] "Data from Entrust Reveals Contradictions in Consumer Sentiment Toward Data Privacy and Security in 2021," Entrust

[4] "Global Cost of Data Breach Study 2020," Ponemon Institute

[5] "New Research: No. of Records Exposed Increased 141% in 2020," Risk Based Security

[6] "Benefits, Attributes and Habits of Mature Privacy and Data Protection Programs," International Association of Privacy Professionals

[7] "NIST Privacy Framework," National Institute of Standards and Technology

[8] "Extension to ISO/IEC 27001 and ISO/IEC 27002 for Privacy Information Management," International Organization for Standardization

[9] "Datenschutz und Cybersicherheit," eHealth Initiative & Stiftung und Center for Democracy and Technology

[10] "The CIO's True Role in Data Privacy," CIO Dive

[11] "How to Bring GDPR into the Digital Age," Politico

[12] "2021 Privacy Tech Vendor Report," International Association of Privacy Professionals

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Was ist Cloud-Netzwerksicherheit und wie erreicht man sie?

Cloud-Netzwerk- und Service-Provider bauen...

Anbieter von Cloud-Netzwerken und -Diensten bauen Cybersicherheit in... Mehr lesen >

Debra Donston-Miller

von Debra Donston-Miller

Mitwirkender Verfasser

Posted Apr 07, 2021

Alles über Advanced Persistent Threats und Schutz

Advanced Persistent Threats (APTs) sind k...

Fortgeschrittene hartnäckige Bedrohungen (Advanced Persistent Threats, APTs) sind kostspielig und... Lesen Sie mehr >

Stephanie Overby

von Stephanie Overby

Mitwirkender Verfasser

Posted Apr 06, 2021

Ein Leitfaden für Unternehmen zur Datensicherung und Wiederherstellung im Notfall

Datensicherung und Disaster Recovery können...

Datensicherung und Disaster Recovery können Ihr Unternehmen vor... Mehr lesen >

Mercedes Cardona

von Mercedes Cardona

Mitwirkender Verfasser

Geschrieben Apr 02, 2021