Was sind Data Governance und DSGVO?

Aufgrund der digitalen Transformation und der stetig steigenden Bedeutung einer daraus resultierenden Zunahme von Geschäftsdaten entwickelt sich Data Governance mehr und mehr zur Schlüsselstrategie. Denn sollten die Daten von schlechter Qualität, inkonsistent, nicht verfügbar oder in irgendeiner Form kompromittiert sein, verliert ein Unternehmen auch die Fähigkeit, fundierte Geschäftsentscheidungen zu treffen. Denn ohne die aus Datenanalysen gewonnenen Erkenntnisse fällen die verschiedenen Geschäftsbereiche entweder völlig falsche oder zumindest nicht die richtigen Entscheidungen. Entscheidungen, die sich unter Umständen als extrem nachteilig für das Unternehmen erweisen und negative Geschäftsergebnisse nach sich ziehen können.

Nehmen wir zum Beispiel ein Unternehmen aus der Finanzbranche, in der Daten das absolute Lebenselixier sind. Bei zu- und abgehenden Investitionen und Geldbeträgen auf unterschiedlichen Konten muss das Unternehmen die entsprechenden Daten äußerst genau erfassen. Hierzu zählt auch die Erstellung eines Datenkatalogs, in dem Ort und Wert der Vermögenswerte verzeichnet sind. Wenn sich die Marktbedingungen ändern und das Unternehmen von einem höheren oder niedrigeren als dem tatsächlichen Wert seiner Investitionen ausgeht, könnte das Management falsche Entscheidungen treffen. Vor allem wenn es darum geht, ob Anlagen abgestoßen oder gehalten werden sollen. Darüber hinaus könnte eine mangelnde Data Governance zur Herausgabe fehlerhafter Finanzberichte führen. Auch das Fällen nachteiliger Geschäftsentscheidungen oder der Verstoß gegen gesetzliche Vorschriften wären möglich.

Letztendlich soll mit Hilfe von Data Governance sichergestellt werden, dass die Daten konsistent und korrekt sind (z. B. dass der Preis eines Produkts in Laden Nr. 1 dem in Laden Nr. 2 entspricht, dass die Anschrift eines Kunden in Datenbank Nr. 1 mit der in Datenbank Nr. 2 übereinstimmt). Und dass diese Informationen immer aktuell sind. Wenn ein Unternehmen wächst (insbesondere durch die Übernahme anderer Unternehmen, die auf unterschiedlichen Plattformen arbeiten), wird dieses Unterfangen immer komplexer. Gleichzeitig aber auch immer wichtiger. Darüber hinaus wird wirksame Data Governance aufgrund neuer Datenschutz- und Compliance-Gesetze wie die EU-Datenschutz-Grundverordnung (DSGVO) oder dem California Consumer Privacy Act (CCPA) zu einem ganz wesentlichen Geschäftsprozess. Vor alem im Hinblick auf Abläufe und Compliance

Während sich bei Data Governance alles um Richtlinien und Prozesse für Big Data und Metadaten dreht, geht es beim Datenmanagement und Metadatenmanagement um die Umsetzung dieser Richtlinien und Prozesse. Die beiden Disziplinen sind natürlich eng miteinander verwoben. Allerdings ist Data Governance nur einer von mehreren Bausteinen des Datenmanagements.

Konkret zählen zum Datenmanagement eine große Anzahl von Prozessen und Tools:

• Festlegung von Art und Ort der Datenspeicherung, einschließlich der Vorgehensweise zur Sicherung und Spiegelung der Daten. Darunter fällt auch die Durchsetzung von Standards für die Benutzerfreundlichkeit und Richtlinien über die Dauer der Datenaufbewahrung vor deren endgültiger Archivierung.
• Durchsetzung von Datensicherheits- und Datenschutzprotokollen wie Verschlüsselung, Anonymisierung und anderen Systemen zum Schutz der Daten vor Kompromittierung. Dies gilt insbesondere für sensible Kundendaten. Die Einhaltung der zahlreichen Beschränkungen, die in der DSGVO, dem CCPA und weiteren neuen Vorschriften festgelegt sind, ist heute ein wichtiger Bestandteil der Aktivitäten im Bereich des Datenmanagements.
• Bereinigung und Durchsetzung von Datenqualitätsrichtlinien. Damit die Informationen genau, aktuell und frei von Redundanzen sind. Im Rahmen der Data Governance können Richtlinien zur Festlegung von Datenverantwortlichen und Datenqualität erstellt werden - einschließlich Data Lineage (Datenherkunft) und quantitativer Metriken. Hauptfunktion eines guten Datenmanagements ist die dauerhafte Einhaltung dieser Metriken.
• Fähigkeit zu einem systemübergreifenden Datenmanagement. Dies ist besonders in Unternehmen wichtig, die durch Übernahmen eine Vielzahl inkompatibler Datenspeichersysteme angesammelt haben. Darunter fällt auch das Management von Daten-Pipelines, über die Daten unter Erhalt der Datenintegrität von einem System zum anderen transferiert und konvertiert werden.

Im Gegensatz dazu geht es bei der Data Governance um die Beantwortung von Fragen rund um die allgemeinen Richtlinien, in denen die Regeln für das Datenmanagement festgelegt werden. Im Rahmen der Data Governance werden auch die Richtlinien für den Datentransfer zu einem anderen Server oder Sicherungsgerät erstellt. Während deren Durchsetzung unter das Datenmanagement fällt.

Ein Data Governance Framework umfasst eine Reihe bestimmter Richt- und Leitlinien für Ihre Data-Governance-Strategie. Diese Rahmenbedingungen sorgen dafür, dass die Richtlinien konsistent und auf die Bedürfnisse Ihres Unternehmens abgestimmt sind. Zugleich ermöglichen sie das Festlegen von Rollen und Zuständigkeiten für den Umgang mit Daten.

Ein Data Governance Framework beinhaltet Richtlinien und Standards in folgenden Bereichen:

• Allgemeine Ziele der Data Governance im Unternehmen, einschließlich etwaiger besonderer Problemstellungen rund um Sicherheit und Datenschutz
• Art und Weise der Datenerzeugung im Unternehmen, einschließlich zugelassener Methoden und Technologien
• Genehmigte Technologien für das Datenmanagement und der dafür zulässigen Datenstrukturen
• Zulässige Methoden für das Verwalten, Übertragen und Entfernen von Daten aus dem Unternehmen
• Metriken für das Monitoring aller obenstehenden Aktivitäten wie erfolgreich deren Anwendung im Verlauf der Zeit waren

Das übergeordnete Ziel eines Data Governance Framework besteht darin, den Datenverantwortlichen (auch Data Stewards) eines Unternehmens entsprechende Business Intelligence Lösungen und weitere Tools zur Verfügung zu stellen. Diese sollen den nötigen Einblick in den Nutzen der Daten geben und zugleich die Regeln für deren Datenmanagement festlegen. Durch Einhaltung dieser Vorgaben kann Ihr Unternehmen die Gesamtqualität der erfassten Daten verbessern und im Verlauf der Zeit auch die Fähigkeit entwickeln, strategische Entscheidungen treffen zu können.

Jedes Unternehmen hat in Bezug auf Data Governance andere Anforderungen und Ziele. Nachfolgend werden einige der gängigsten Richtlinien für die Ausarbeitung und Einführung von Best Practices beschrieben.

• Data Governance als iterativen, langfristigen Prozess begreifen: Der Aufbau eines Data Governance Framework beginnt nicht unbedingt mit einem detaillierten Plan für die Datenarchitektur. Starten Sie stattdessen mit einem Teilbereich des Unternehmens wie dem Data Warehouse einer Abteilung oder sogar einer einzelnen Datenbank und bauen Sie darauf auf. In einem iterativen Prozess können Sie feststellen, welche Data Governance Tools, Taktiken und Mitarbeiter sich am besten dazu eignen, im Laufe der Zeit ein umfassendes Data Governance Framework zu entwickeln.
• Unterstützung von höchster Ebene sichern: Legen Sie überzeugend dar, warum Data Governance wichtig für Ihr Unternehmen ist. Am besten, indem Sie die Vorteile klar aufzeigen. Erste Metriken zum Datenfluss können nützlich sein, um die Erwartungen abzustecken und so stichhaltig wie möglich zu argumentieren.
• Metriken festlegen: Die Datenqualität ist wichtig, aber wie wird sie gemessen? Welche Metriken sind die wichtigsten? Diese Metriken sollten von Beginn an festgelegt und über eine entsprechende Zeitspanne hinweg aufgezeichnet werden. Nur so lassen sich die konsistenten Verbesserungen und der Wert Ihres Data Governance Programms tatsächlich messen.
• Gegenseitige Kontrollen und vollständige Transparenz einplanen: Data Governance wird nur dann von Erfolg gekrönt sein, wenn es eine weitreichende Verantwortlichkeit für die Plattform gibt. Gegenseitige Kontrollmechanismen zwischen jenen, die Daten erzeugen bzw. nutzen und jenen, die Daten verwalten, sind daher ausgesprochen wichtig.
• Alles dokumentieren: Data Governance führt oftmals zur Erzeugung weiterer Daten. Ein Effekt, welcher in der Regel auf die Framework-Dokumentation zurückzuführen ist. Achten Sie dennoch auf eine sorgfältige Dokumentation Ihrer Datendefinitionen und Frameworks, Datendomänen, Richtlinien und Prozesse. Dokumentieren Sie zudem, wer die Entscheidungsrechte und Verantwortung für die eben genannten Punkte hat. In einem grundsoliden Data Governance Programm ist kein Platz für Unklarheiten über Teilaspekte des Projekts.

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist ursprünglich im Jahr 2018 in Kraft getreten. Diese regelt den Umgang von Unternehmen mit personenbezogenen Daten von Kunden und Mitarbeitern. Vorschriften, deren Einhaltung vielen Unternehmen bis heute noch vielerorts Kopfzerbrechen bereitet.

Bei den DSGVO handelt es sich um äußerst strenge Richtlinien was die Verantwortung von Unternehmen hinsichtlich ihrer Daten betrifft. Insbesondere im Fall von Kompromittierungen durch Datenschutzverletzungen. Mit ein Grund, warum sich Unternehmen im Falle von Geschäftsbeziehungen jedweder Art mit EU-Bürgern mit den Vorschriften der DSGVO möglichst gut auskennen sollten. Idealerweise stellen sie für deren Einhaltung ein solides Data Governance Programm auf die Beine. In erster Linie, um die verschiedenen Arten der erfassten Kundendaten im Blick behalten zu können. Einschließlich des Speicherorts, der Datenverantwortlichen und der angemessenen Ebenen des Datenzugriffs, der Datensicherung sowie der Prozesse, die bei Bedarf zu ihrer Löschung bereitstehen.

Die in der DSGVO festgeschriebenen Regelungen zum „Recht auf Vergessenwerden“ verpflichten Unternehmen außerdem dazu, personenbezogene Daten von Endbenutzern auf ausdrückliches Verlangen hin zu löschen. Ohne ein striktes Data Governance Programm kann es allerdings äußerst schwer werden, solche gesetzlichen Vorschriften einzuhalten.

Jüngste Ereignisse wie die COVID-19-Pandemie oder den Erlass der DSGVO bzw. weiterer Datenschutzgesetze haben die Umsetzung eines soliden Data Governance Programms noch dringlicher werden lassen. Nachfolgend stellen wir ein paar neue Trends im Bereich Data Governance kurz vor.

• Unstrukturierte Daten sind auf dem Vormarsch: Die explosionsartig ansteigende Menge unstrukturierter Daten (Informationen, die in beliebigen Dokumenten, Bildern und Videos im gesamten Unternehmen verteilt sind) ist eine der größten Herausforderungen, mit denen Unternehmen heutzutage konfrontiert sind. Erwartungsgemäß wird der Wildwuchs von Inhalten noch zunehmen und damit auch das Risiko und die Kosten für deren Verarbeitung, Speicherung und Schutz.
• Remote-Arbeit schafft Inseln sensibler Daten: Heerscharen von Mitarbeitenden, die plötzlich im Home-Office arbeiten, sorgen für einen Anstieg der Sicherheitsprobleme. Vor allem, weil sie private Geräte in privaten Heimnetzwerken verwenden.
• Künstliche Intelligenz (KI) und Machine Learning (ML) fließen ins Datenmanagement mit ein: Neue KI-Lösungen und ML-Tools können zur Erkennung von Dokumenten eingesetzt werden, die sensible Daten enthalten – oftmals genau dort, wo sie nicht sein sollten. Diese Tools können eben jene Informationen mithilfe von Automatisierungstechnologien editieren oder verschlüsseln. So werden Unternehmensdaten ohne manuelle Kontrolle geschützt. Oftmals sogar in Echtzeit.
• Datenqualität wird zunehmend an der Quelle begutachtet: Warum sollten Sie Daten nach dem Erhalt bereinigen, wenn Sie sicher sein können, dass sie bereits in guter Qualität bei Ihnen ankommen? Mehrere neue Strategien zielen auf eine engere Zusammenarbeit von Unternehmen mit ihren Partnern ab. Damit Kundendaten über mehrere Kanäle hinweg stets korrekt bleiben und nahtlos synchronisiert werden können.

Cloud Computing wirkt sich auf die Data Governance ganz ähnlich aus wie auf die gesamte IT-Umgebung. Darüber hinaus ergeben sich folgende Auswirkungen:

• Die Cloud birgt die Gefahr von Datenduplizierung und Inkonsistenzen. Die Risiken steigen, wenn Daten sowohl in lokalen Systemen als auch in der Cloud gespeichert werden. Multi-Cloud-Systeme verstärken diesen Effekt noch zusätzlich.
• Die Cloud erfordert von Unternehmen ein Umdenken beim Thema Sicherheit und Datenrichtlinien. Auch wenn die aktuellen Cloud-Services gemeinhin als ebenso sicher oder sogar sicherer als lokale Speichersysteme gelten. Unternehmen sollten dennoch eine umfassende Risikoanalyse aller potenziellen Anbieter durchführen, bevor sie ihre Unternehmensdaten Dritten anvertrauen.
• Die Cloud erschwert die Einhaltung regionaler Datenanforderungen. In bestimmten gesetzlichen Vorschriften wie der DSGVO wird in Sicherheits- und anderen Richtlinien festgelegt, wo Daten gespeichert werden dürfen. Wenn Daten in die Cloud verlagert werden, wird die Steuerung des Speicherorts Ihrer Daten naturgemäß komplexer.

Natürlich bietet die Cloud viele Vorteile für Unternehmensdaten. Hierzu zählen ein besserer Datenzugriff, oftmals eine deutlich bessere Performance und die Möglichkeit, Cloud-basierte Tools wie RPA und KI-Services für die Verarbeitung dieser Daten zu nutzen. Nachdem die Herausforderungen der Migration in eine Cloud-Umgebung einmal überwunden sind, können Unternehmen leichter von diesen Vorteilen profitieren.

Viele Unternehmen, die ein Data Governance Programm auf die Beine stellen möchten, verfügen nicht selten bereits über eine ähnliche Lösung. Sollte Ihr Unternehmen also bereits Richtlinien zur Aufbewahrung von Datensätzen, eine Verpflichtung zur Verschlüsselung von Kundendaten oder Beschränkungen hinsichtlich der Speicherung von Unternehmensdaten auf privaten Computern und mobilen Geräten besitzen, sind Sie bereits auf dem besten Weg für den Aufbau eines Data Governance Framework.

Wenn Sie zur Einführung eines formellen Data Governance Programms bereit sind, sollten Sie zunächst erst einmal eruieren, wo ihre bisherigen Data Governance Richtlinien die Ziele verfehlt haben. Anschließend gilt es, die entdeckten Mängel zu beheben. Achten Sie darauf, dass Ihr Data Governance Team möglichst Projekte mit besonders hohem Nutzen auswählt (zum Beispiel eine Datenbank mit sensiblen Kundendaten, die geschützt werden müssen). Auch Projekte, die recht schnell abgeschlossen werden können, sollten im Fokus stehen. Denn wurden diese kleinen Projekte erfolgreich bewerkstelligt, können Sie anschließend weitgreifendere Aufgaben im Unternehmen in Angriff nehmen.

Jedes noch so kleine oder große Data Governance Projekt muss stets darauf ausgerichtet sein, die Korrektheit, Integrität und Sicherheit der Daten zu schützen. Wägen Sie also genau ab, welche Plattformen für die einzelnen Datenquellen geeignet sind. Und stellen Sie konkrete Regeln dazu auf, wie und warum darauf zugegriffen werden kann.

Außerdem gilt es, bei jedem Governance-Projekt das Risiko von Datenverlusten und Datenschutzverletzungen zu berücksichtigen. Dazu müssen oftmals unterschiedliche Interessengruppen zu den Governance-Gesprächen hinzugezogen werden. Beispielsweise sollte die IT erst Governance-Regeln für eine Finanzdatenbank festlegen, nachdem die entsprechende Abteilung eng in den Prozess mit eingebunden wurde.

Schließlich sollten Sie noch im Hinterkopf behalten, dass Data Governance keine einmalige Aktion ist. Jedes Data Governance Programm macht langfristige Aufmerksamkeit erforderlich und muss entsprechend getestet und weiterentwickelt werden.

Die Risiken einer unzureichenden Data Governance sind vielfältig: Sie reichen von peinlichen Fehltritten bei Kunden über finanzielle Verluste aufgrund von Datenschutzverletzungen bis hin zu Verstößen gegen Gesetzesvorgaben, die Sanktionen nach sich ziehen. Data Governance mag zwar nach einer übergroßen Herausforderung klingen. Doch so hoch fällt die Hürde gar nicht aus. Selbst wenn Sie bei Null anfangen, ist es relativ einfach, Rahmenbedingungen zu schaffen. Grundlgende Richtlinien, die für mehr Sicherheit, eine einfachere Compliance und eine bessere Gesamtqualität Ihrer Daten sorgen. Dazu sind nur einige simple Schritte erforderlich.

Die Daten Ihres Unternehmens zählen zu den wichtigsten Vermögenswerten. Data Governance liefert die erforderlichen Instrumente, um diese auch als solche zu behandeln.