NIST Privacy Framework (Datenschutz-Rahmenwerk)
Das NIST Privacy Framework ist ein freiwilliges US-Rahmenwerk zur Steuerung von Datenschutzrisiken, das Organisationen hilft, Datenschutzziele systematisch umzusetzen.
Zusammenfassung
Das NIST Privacy Framework (offiziell: A Tool for Improving Privacy Through Enterprise Risk Management) wurde am 16. Januar 2020 vom National Institute of Standards and Technology veröffentlicht. Es ist ein freiwilliges, technologieneutrales Instrument, das Organisationen dabei unterstützt, Datenschutzrisiken im Rahmen ihres Enterprise-Risk-Managements zu identifizieren, zu bewerten und zu behandeln.
- Drei Teile: Core, Profiles und Implementation Tiers strukturieren das Framework.
- Fünf Funktionen im Core: Identify-P, Govern-P, Control-P, Communicate-P, Protect-P.
- Komplementär zu NIST CSF: Ergänzt das Cybersecurity Framework um datenschutzspezifische Aspekte.
- Freiwillig und flexibel: Anpassbar an jede Organisationsgröße, Branche und Rechtsordnung.
Geschichte
Das NIST Privacy Framework entstand aus dem Bewusstsein, dass das NIST Cybersecurity Framework (CSF, 2014) zwar Sicherheitsrisiken adressiert, aber Datenschutzrisiken – die nicht notwendigerweise aus Sicherheitsverletzungen resultieren – unbehandelt lässt. NIST startete im September 2018 einen öffentlichen Konsultationsprozess mit Workshops, Requests for Information und öffentlichen Kommentierungsrunden. Zahlreiche Kommentare von Regierung, Industrie, Forschung und Zivilgesellschaft flossen ein. Version 1.0 wurde am 16. Januar 2020 veröffentlicht. Das Framework orientiert sich am Aufbau des CSF, verwendet jedoch eine datenschutzspezifische Terminologie und berücksichtigt den Grundsatz, dass Datenschutzrisiken aus legitimen Datenverarbeitungsaktivitäten entstehen können – nicht nur aus Sicherheitsvorfällen. Am 14. April 2025 veröffentlichte NIST den Initial Public Draft (IPD) des Privacy Framework 1.1, das sich am CSF 2.0 ausrichtet und die Nutzbarkeit verbessert.
Geltungsbereich
Das NIST Privacy Framework ist für alle Organisationstypen konzipiert – öffentlich und privat, klein und groß, aus allen Branchen. Es ist jurisdiktionsunabhängig, wurde jedoch primär für den US-amerikanischen Kontext entwickelt. Es eignet sich für:
- Unternehmen, die personenbezogene Daten verarbeiten und Datenschutzrisiken managen wollen.
- Behörden, die Datenschutzprogramme aufbauen oder verbessern.
- Organisationen, die Compliance mit US-Datenschutzgesetzen (CCPA, COPPA, HIPAA etc.) nachweisen wollen.
- Internationale Organisationen, die ein anerkanntes Rahmenwerk für ihr globales Datenschutzprogramm suchen.
Kernanforderungen
- Identify-P: Datenverarbeitungsaktivitäten und deren Datenschutzrisiken identifizieren (Inventarisierung von Datenflüssen, Risikoeinschätzung).
- Govern-P: Governance-Strukturen etablieren – Richtlinien, Prozesse, Verantwortlichkeiten, Risikoappetit für Datenschutz.
- Control-P: Maßnahmen zur Kontrolle der Datenverarbeitung aus Betroffenenperspektive – Einwilligung, Widerruf, Zugang zu eigenen Daten.
- Communicate-P: Transparenz gegenüber Betroffenen und anderen Stakeholdern über Datenverarbeitungspraktiken.
- Protect-P: Datenschutz durch technische und organisatorische Maßnahmen – Privacy by Design, Datensicherheit.
- Profile: Aktuellen und angestrebten Datenschutzstatus definieren und Lücken identifizieren.
- Implementation Tiers: Reifegrad des Datenschutzrisikomanagements einschätzen (Tier 1–4).
Verwandte Frameworks
Korrekturen & Errata
1 Korrektur:
- Falsches Datum fuer Start der oeffentlichen Konsultation
1 Aktualisierung:
- Fehlende Entwicklung: NIST Privacy Framework 1.1 IPD (April 2025)
2 Praezisierungen.