Data Governance – wie gelingt der richtige Umgang mit Daten?

Data Governance – wie gelingt der richtige Umgang mit Daten?

(Dieser Beitrag wurde im Mai 2022 veröffentlicht und im Juli 2022 aktualisiert.)

In Zeiten von Homeoffice und hybriden Arbeitsplätzen ist Data Governance unverzichtbar. Sie regelt, wer wann und wie lange Zugriff auf welche Daten haben darf, wie Informationen im Unternehmen zu verwalten sind und wie sich deren Sicherheit und Qualität gewährleisten lässt.

Denn ohne klare Definition drohen nicht nur Datenchaos, sondern auch negative Folgen für das Unternehmen. Allein bei Verstößen gegen Datenschutzgesetze gibt es empfindliche Strafen, die sich teilweise im mehrstelligen Millionenbereich bewegen – man denke nur an die versehentliche Offenlegung sensibler Informationen wie Projekt-, Kunden- oder gar Gesundheits- und Finanzdaten. Hier wird einmal mehr klar, dass es ein immenses Risiko darstellt, auf Data Governance im Unternehmen und insbesondere in Verbindung mit Cloud-Services zu verzichten. Einen klaren Vorteil bieten hier Cloud-Services, bei denen nicht einmal der Anbieter Zugriff auf die Daten erhält.

Was ist Data Governance? Definition und Abgrenzung.

Zwar gibt es augenblicklich noch keine eindeutige Definition von Data Governance, dennoch lässt sich der Begriff grob herunterbrechen auf „Richtlinien für den Umgang mit bestimmten Daten“. Insbesondere regelt sie die Zugriffsrechte auf Daten und stellt entsprechende Tools bereit, die dem Unternehmen das Datenmanagement erleichtern und zu jeder Zeit den gesicherten Zugang zu den Informationen gestatten.

Ebenso gewährleistet eine gut umgesetzte Data Governance, dass alle rechtlichen Bestimmungen – etwa solche, die den Datenschutz betreffen – eingehaltenwerden. Dabei sind je nach Unternehmensgröße entweder bestimmte Personen oder sogar ganze Abteilungen dafür verantwortlich, Data Governance und die dazugehörigen Prozesse einzuführen, zu überwachen und stetig zu verbessern.

Was ist Data Governance NICHT?

Data Governance ≠ Datenmanagement
„Datenmanagement“ ist gleichzusetzen mit der Verwaltung des kompletten Lebenszyklus von Daten innerhalb eines Unternehmens. Mit dem Datenmanagement verbunden sind weitere Konzepte rund um Qualität und Sicherheit der Daten.

Data Governance ≠ Stammdatenmanagement
Stammdatenmanagement oder Master Data Management (MDM) dient der Qualitätssicherung der Daten. Dieses Konzept gewährleistet, dass das Unternehmen stets über vollständige und exakte Informationen verfügt und geht weit über die Definition von Data Governance hinaus.

Data Governance ≠ Data Stewardship
Während Data Governance dafür sorgt, dass die jeweiligen Personen die richtigen Berechtigungen erhalten, gewährleistet Data Stewardship, dass sich die Informationen kontrolliert und einfach finden und verarbeiten lassen

Warum braucht es Data Governance?

Das Augenmerk der Data Governance liegt insbesondere darauf, Methoden, Verantwortlichkeiten und Prozesse zu etablieren, in denen festgelegt wird, wie Unternehmensdaten zu standardisieren, zu integrieren, zu schützen und zu speichern sind. Es geht in erster Linie um die Einhaltung wichtiger Standards bezüglich der Qualität, Sicherheit und Verarbeitung von Daten.

Dabei definiert Data Governance jedoch nicht nur die Regeln für den Umgang mit Daten, sondern bietet dem Unternehmen zudem einen Mehrwert. Denn dieses strukturierte Konzept dafür sorgt zum einen dafür, dass die Angestellten des Unternehmens exakt und ausschließlich auf die Daten zugreifen können, die sie benötigen (Need-to-know-Prinzip), zum anderen für eine Optimierung der Kosten für das Managen und das Speichern der Informationen.

Dadurch, dass mit einer gut umgesetzten Data Governance auch in der Cloud gesetzliche Richtlinien eingehalten werden, lässt sich zudem das Risiko rechtlicher Verstöße für den Betrieb reduzieren – die Gefahr von empfindlichen Strafen wird so auf ein Minimum gesenkt. Wichtig ist dabei allerdings, dass hier sowohl die strategische als auch die taktische und operative Ebene des Unternehmens involviert sind und sie nicht als einmaliger, sondern als kontinuierlicher und iterativer Prozess betrachtet wird.

Prefix

Hauptziele der Data Governance

Laut dem Business Application Research Center BARC sollte die Data Governance in einem Unternehmen vor allem diese Hauptziele verfolgen:
✔️ Risikominimierung
✔️ Etablieren unternehmensinterner Regeln für die Nutzung von Daten
✔️ Umsetzung von Compliance-Anforderungen
✔️ Verbesserung der internen und externen Kommunikation
✔️ Steigerung des Werts der Informationen
✔️ Vereinfachte Verwaltung
✔️ Kostensenkung
✔️ Sicherung des Fortbestands des Unternehmens[1]

[1]https://www.computerwoche.de/a/was-ist-data-governance,3551050

Was sind die Kernaufgaben der Data Governance?

  • Sicherung der Datenqualität (Data Quality
    Hierbei gilt es, Informationen vollständig zu erfassen, aktuell zu halten und sie so aufzubereiten, dass sie sich weiterverarbeiten lassen. Auch der Zugang zu den Daten wird gewährleistet und vor allem geregelt.
  • Datenpflege (Data Maintenance)
    Zu den Aufgaben, die der Data Governance hierbei zukommen, gehören die Anreicherung und Korrektur von Informationen sowie die Pflege der Stammdaten.
  • Datenschutz (Data Privacy)
    Data Governance regelt hier die Einhaltung aller relevanten von der DSGVO oder anderen Rechtsvorschriften geforderten Standards und Maßnahmen hinsichtlich Sicherheit und Vertraulichkeit.
  • Datenkonformität (Data Compliance)
    Hier sorgt Data Governance dafür, dass gesetzliche Standards ebenso eingehalten werden wie ethische und moralische Richtlinien und unternehmenseigene Vorschriften und Normen.
  • Datensicherheit (Data Security)
    Data Governance reguliert und überwacht den virtuellen Zugang zu sensiblen Daten und verhindert somit unbefugte Zugriffe und unbefugtes Lesen von Informationen. Auch kann sie somit die Verletzung der Datensicherheit und andere Bedrohungen der Cyber-Sicherheit vermeiden.
  • Data-Governance-Tools
    Eine weitere nicht zu vernachlässigende Aufgabe von Data Governance ist es, wie bereits erwähnt, die richtigen Tools für den sicheren Zugriff auf die Daten bereitzustellen.
Kurz und knackig: Das sind die 5 (+1) Kernaufgaben der Data Governance in der Cloud

Die Vorteile von Data-Governance-Tools

Während die Informationen die unterschiedlichen Datenbanken und Prozesse im Unternehmen durchlaufen, sind sie ständigen Änderungen unterzogen. In manchen Fällen werden sie dupliziert, in manchen wiederum zerstückelt, so dass fundierte Entscheidungen nur unter erschwerten Bedingungen möglich sind. Die richtige Data-Governance-Strategie sorgt hierbei für eine optimierte Stammdatenverwaltung und somit saubere Datensätze. Data-Governance-Tools sorgen hier unter anderem für:

  • Erleichterte Entscheidungsfindung
    Durch den einfacheren Zugriff auf die zudem gut organisierten Daten ist es möglich, bessere Schlüsse aus den Informationen zu ziehen – fundierte Entscheidungen sind somit leichter zu treffen.
  • Effizientere Betriebsabläufe
    Unternehmen sind auf Daten angewiesen, um Prozesse optimieren zu können. Data-Governance-Tools vereinfachen den Zugriff auf und die Analyse von Daten, wodurch ein Unternehmen wertvolle Einsichten erhält und entsprechend reagieren kann.
  • Bessere Nachvollziehbarkeit
    Data-Governance-Tools gestatten es, nachzuvollziehen, woher die Daten kommen, wo sie liegen und wie sie genutzt werden. Ebenso erlauben sie es zu bestimmen, wie und wann die Informationen verwendet werden.
  • Deutliche Umsatzsteigerung
    Ob effizientere Betriebsabläufe, bequeme Handhabung und Analyse der Daten und damit auch höhere Kundenzufriedenheit – Data-Governance-Tools fördern das Umsatzwachstum im Unternehmen auf vielerlei Weise.

Welche Tools gibt es?

Data Governance Tools
Auch bei Data Governance gilt: Das richtige Werkzeug macht den Unterschied!

Tools für Data Governance mit herkömmlichen Verwaltungsfunktionen gibt es zuhauf. Einige sind jedoch auf bestimmte Aufgaben wie Qualitätssicherung der Daten und Compliance spezialisiert. Welche Lösung sich für das jeweilige Unternehmen am besten eignet, hängt letztlich davon ab, welchen Zweck sie erfüllen sollen.

Liegt das Hauptaugenmerk etwa auf dem Schutz der Unternehmensdaten, sollten nicht nur Lösungen zur Zugriffsberechtigung evaluiert werden, sondern auch solche für das Compliance-, Datenbank- und Risikomanagement. Auch gilt es zu überlegen, welches System die höchste Sicherheit für den datenschutzkonformen Austausch von Daten zwischen den Mitarbeitern eines Unternehmens oder sogar über Betriebsgrenzen hinweg bietet. Ein Tool, das hier immer mehr Beachtung findet, ist der virtuelle Datenraum.

Data-Governance-Tool: Der virtuelle Datenraum

Bei einem virtuellen Datenraum handelt es sich sozusagen um die digitale Nachbildung eines physischen Datenraums. Eine solche internetbasierte Plattform ermöglicht einen sicheren Onlinezugriff auf Dokumente und Unterlagen. Denn genau wie bei seinem analogen Pendant wird hierbei genauestens dokumentiert, wer zu welcher Zeit im Datenraum anwesend war. Unbefugte erhalten keinen Zugang, auch das unautorisierte Entwenden und Kopieren von Dokumenten ist nicht möglich.

Mehr noch: Bei virtuellen Datenräumen mit höchster Sicherheit erfolgt eine lückenlose und revisionssichere Dokumentation aller darin stattfindenden Tätigkeiten. Das ist besonders hinsichtlich Compliance relevant. Noch besser, wenn der nicht autorisierte Zugriff auch noch dank Security und Privacy by Design technisch absolut ausgeschlossen ist, wie es etwa bei idgard der Fall ist.

Das heißt: Solch sichere virtuelle Datenräume eignen sich ideal für Due-Diligence-Prüfungen, in der Verfahrensdokumentation, in der Vorstandskommunikation oder für Berufsgeheimnisträger.

Data Governance für die Cloud – made in Germany

Während Datenräume den sicheren Austausch zwischen Parteien ermöglichen, darf man jedoch auch die Speicherung der Daten nicht außer Acht lassen. Denn auch der Standort des Cloud-Providers und des Rechenzentrums sind ausschlaggebend für die Sicherheit der Unternehmensdaten. Hier sollte darauf geachtet werden, dass die Datenspeicherung und -verarbeitung DSGVO-konform erfolgt und nicht in Drittländer ausgelagert wird, die diesbezüglich kein ausreichendes Schutzniveau bieten.

Data Governance dank Sealed Cloud – wie funktioniert das?

In der Sealed Cloud haben Unbefugte keinen Zugang zu sensiblen Daten

Versiegelte Clouds bieten dem Nutzer ein Höchstmaß an Sicherheit für die Daten, denn eine Reihe innovativer und ineinandergreifender technischer Maßnahmen sorgt dafür, dass nicht einmal der Cloud-Anbieter selbst Zugang zu den darin gespeicherten Daten erhält.

Im Gegenteil: Die Sealed Cloud schützt sowohl die Anwendungs- als auch Metadaten über die gesamte Verarbeitungskette hinweg – sei es während ihrer Übertragung, bei der Verarbeitung oder der Speicherung. Durch diese hermetische Versiegelung der Infrastruktur kommen Unberechtigte – egal, ob Mitarbeiter oder Externe – nicht an unverschlüsselte Daten. Die Sicherheitslücke „Mensch“ wird also schon allein technisch ausgeschaltet.

Und so funktioniert’s

  • Während Public-Cloud-Systeme eine Infrastruktur für viele bereitstellen, sichert eine versiegelte Lösung jeden einzelnen Anwendungsserver, auf dem sich die Software sowie die Daten befinden.
  • Diese liegen so lange verschlüsselt vor, bis der Anwender darauf zugreift; dann wandern sie in den flüchtigen Speicher (RAM), wo sie entschlüsselt und vom Anwender bearbeitet werden.
  • Die Verschlüsselung erfolgt auf Daten-Ebene; der Schlüssel wird über die Zugangsdaten (Name & Passwort) des Anwenders und für jeden Datensatz separat erzeugt. Die Zugangsdaten sind nur dem Anwender bekannt, außerdem verfügt jeder Datensatz über einen eigenen Schlüssel.
  • Der Server selbst wiederum liegt in einem Schrank (Rack), der sowohl technisch als auch organisatorisch versiegelt ist.
  • Bei Manipulationsversuchen (Tamper-Versuchen) oder Wartungsarbeiten wird der flüchtige Speicher gelöscht und der Server vom Strom getrennt. So wird jeder unbefugte Zugriffsversuch auf die unverschlüsselten Daten während der Verarbeitung erfolgreich vereitelt.

Vorteile der Sealed Cloud

Der Zugriff auf die Daten ist strikt geregelt, selbst der Cloud-Betreiber und IT-Administratoren sind im wahrsten Sinne ausgeschlossen. Hinzu kommt, dass die Sealed-Cloud-Technologie nicht nur die Daten selbst schützt, sondern auch die Metadaten der Kommunikation – Informationen darüber, wer mit wem und wann kommuniziert. Und: Der Zugang zu den Daten ist sowohl während ihrer Speicherung als auch zum Zeitraum ihrer Verarbeitung technisch ausgeschlossen.

Ebenso gestaltet sich die Zuordnung der Daten zu einer bestimmten Person in der Sealed Cloud nahezu unmöglich. Das wiederum heißt, dass selbst eine Entschlüsselung der Informationen auf dem Server unkritisch ist. Da es so auf dem gesamten Datenweg nahezu unmöglich ist, die Inhalte der Kommunikation zu erfahren, ist die Sealed Cloud auch für Berufsgeheimnisträger wie Anwälte, Ärzte oder im Bankwesen bestens geeignet.

Prefix

Die vier technischen Grundpfeiler der Sealed Cloud

Perimeter-Sicherheit
Eine SSL-Verschlüsselung regelt den sicheren Übergang zwischen Intra- und Internet.

Verschlüsselung und Schlüsselverteilung
Jeder einzelne Datensatz in der Datenbank ist AES-verschlüsselt (Advanced Encryption Standard). Die Schlüssellänge beträgt 256 Bit, der Zugriff auf den Schlüssel ist kryptografisch gegen den Zugriff durch unberechtigte Personen geschützt.

Data-Clean-Up (Datenbereinigung)
Versucht jemand, auf den Anwendungsserver zuzugreifen – ob beabsichtigt oder nicht – werden die unverschlüsselten Daten darauf zuallererst gelöscht. Erst dann kann der Zugang erfolgen.

Machtverteilung
Eine Reihe technischer Maßnahmen regelt die Rechteverteilung zwischen beteiligten Parteien.

Fazit: Data Governance ist keine „Kür“

Unternehmen verfügen heutzutage über enorme Mengen an Daten über ihre Kunden oder Patienten, ihr Personal, über Zulieferer oder Auftraggeber – und das aufgrund von Homeoffice und virtueller Zusammenarbeit zunehmend in Cloud-Umgebungen. Eine gut durchdachte Data Governance erlaubt eine lückenlose Dokumentation darüber, was mit den Informationen geschieht. Insbesondere aber sorgt sie dafür, dass die Informationen leicht auffindbar und zugänglich, aber dennoch geschützt sind.

Spätestens hier wird deutlich, dass Data Governance icht etwa „Kür“, sondern absolute Pflicht ist, wenn sensible Daten wirklich zu jeder Zeit sicher sein sollen. Setzt das Unternehmen hierbei ein auf seine Bedürfnisse perfekt zugeschnittenes Data-Governance-Tool ein, gelingt auch die reibungslose Umsetzung.

Weitere Informationen über die Sealed Cloud Technologie und ihre Vorteile im Rahmen der Data Governance bietet das kostenlose Whitepaper „Sealed Cloud für Berufsgeheimnisse“.

Fanden Sie diesen Beitrag interessant? Sind Sie an weiteren Artikeln rund um die Themen Datenschutz und Datensicherheit interessiert?

Dann melden Sie sich jetzt kostenlos und unverbindlich zu unserem privacyblog-Newsletter an! Wir informieren Sie per Mail über neue Blogbeiträge. Hier geht es zur Anmeldung.

So funktioniert Secure Content Collaboration

Secure Content Collaboration: So geht digitale Zusammenarbeit heute!
Secure Content Collaboration ist eine der zentralen Herausforderungen digitaler Zusammenarbeit. Wann und warum ist die Sicherheit beim Austauschen und gemeinsamen Bearbeiten von Dateien besonders wichtig? [...] Weiterlesen
Sicherer Datentransfer: So sichern Sie Mails und Anhänge

Secure Mail: So schützen Sie E-Mails und Anhänge
In diesem Beitrag zeigen wir Ihnen, wie Sie ihren Mailverkehr verschlüsseln, wie Sie sensible Daten sicher mit idgard® versenden und wie Sie sich und Ihre Mitarbeiter gegen Phishing-Angriffe schützen. Außerdem haben wir noch ein paar weitere Tipps für Sie. Weiterlesen
Darum spielt der Server-Standort eine Rolle

5 Gründe, warum der Server-Standort Deutschland eine Rolle spielt
Spielt es eine Rolle, wo ein Cloud-Anbieter seine Server betreibt? Allerdings! Erfahren Sie, welche Vorteile der Server-Standort Deutschland bringt. Weiterlesen