Daten-Governance

Regeln und Verantwortlichkeiten für Datenqualität, Datenschutz, Zugriffsrechte und verantwortungsvolle Datennutzung im Unternehmen.

Hinweis: Daten-Governance ist ein in der Beratungs- und Vermittlungs-Praxis von vrmandat.com etablierter Begriff. Eine breit zitierte wissenschaftliche Quelle existiert (noch) nicht.

Definition

Daten-Governance ist das Regelwerk und die Verantwortungsstruktur einer Gesellschaft für ihre Daten: Erhebung, Qualität, Klassifikation, Speicherung, Zugriff, Nutzung, Weitergabe, Aufbewahrung und Löschung. Sie verbindet Datenschutz, Datenqualität und Datenwert zu einem ganzheitlichen Steuerungsansatz.

In einer datengetriebenen Wirtschaft sind Daten zentrale Wertschöpfungsquelle und gleichzeitig zentrales Risiko. Daten-Governance macht Daten von einem oft impliziten und fragmentierten Asset zu einem bewirtschafteten Asset mit klaren Verantwortlichkeiten.

Bausteine der Daten-Governance

Eine reife Daten-Governance umfasst typischerweise:

Datenklassifikation

Öffentlich, intern, vertraulich, geheim mit zugeordneten Schutzmassnahmen.
Personendaten und besonders schützenswerte Personendaten gemäss DSG.
Geschäftsgeheimnisse und Schutzobjekte des Persönlichkeitsrechts.

Rollen und Verantwortlichkeiten

Data Owner: fachliche Verantwortung pro Datendomäne (z.B. Kundendaten, Finanzdaten).
Data Steward: operative Pflege, Qualität, Definitionen.
Data Protection Officer: Datenschutz-Compliance.
Chief Data Officer: in grösseren Organisationen, übergreifende Steuerung.
Data Consumer: definierte Zugriffsrechte nach Need-to-Know.

Prozesse

Datenerhebung mit Rechtsgrundlage.
Datenqualitätsmanagement mit Metriken und Korrekturwegen.
Zugriffsmanagement mit Least Privilege und Reviews.
Aufbewahrungs- und Löschfristen je Datenkategorie.
Datenweitergabe an Dritte mit Verträgen (Auftragsbearbeitung).
Incident Management bei Datenschutzverletzungen.

Rechtsgrundlage

Wichtigste Quellen:

DSG (Datenschutzgesetz): Schweizer Recht, revidiert per 2023.
DSGVO: bei EU-Bezug (Kunden, Mitarbeitende, Geschäftspartner).
Branchenspezifische Pflichten: FINMA-Rundschreiben, HMG, Gesundheitsrecht.
OR Art. 716a: Pflicht zur angemessenen Organisation.

VR-Verantwortung

Der VR muss:

Daten-Governance-Framework verabschieden.
Verantwortlichkeiten klar definieren (Data Owner, DPO).
Reporting zu Datenrisiken einfordern.
Datenschutzvorfälle behandeln und Lehren ziehen.
Daten als Asset in der Strategie verankern.

Häufige Schwächen

Schatten-Datensilos in einzelnen Abteilungen.
Unklare Datenherkunft für KI-Modelle.
Veraltete Zugriffsrechte ehemaliger Mitarbeitender oder Funktionen.
Mangelnde Datenklassifikation.
Fehlende oder formale Aufbewahrungsfristen.
Datenqualität als IT-Problem statt Geschäfts-Verantwortung.

Praxis im KMU

Auch ohne CDO können KMU eine schlanke Daten-Governance etablieren: Daten-Inventar, Verantwortliche pro Datendomäne, Datenschutz-Verzeichnis nach DSG, Zugriffsregeln, Backup und Aufbewahrungsregeln, jährliche Überprüfung. Wichtiger als Perfektion ist konsequente Anwendung und periodische Anpassung.

Abgrenzung

Datenschutz: rechtlicher Schutz von Personendaten — Teilaspekt der Daten-Governance.
Cyber-Governance: Schutz vor Angriffen — Daten-Governance regelt die Datennutzung im Normalbetrieb.
KI-Governance: Regeln für KI-Nutzung — bauen auf Daten-Governance auf.
Digital Governance: Oberbegriff für IT-, Daten-, Cyber- und KI-Governance.

Häufige Fragen

Was ist Daten-Governance?

Daten-Governance ist das Regelwerk und die Verantwortungsstruktur einer Gesellschaft für ihre Daten: Erhebung, Qualität, Klassifikation, Speicherung, Zugriff, Nutzung, Weitergabe, Aufbewahrung und Löschung. Sie verbindet Datenschutz, Datenqualität und Datenwert zu einem Steuerungsansatz, mit dem Daten als Asset bewirtschaftet werden können.

Warum ist Daten-Governance VR-Thema?

Weil Daten heute zentrale Wertschöpfungs- und Risikoquelle sind. Datenschutzverletzungen ziehen DSG-Bussen, Reputationsschaden und Verlust von Vertrauen nach sich. Schlechte Datenqualität führt zu falschen Geschäftsentscheidungen und unzuverlässigem KI-Einsatz. Ohne klare Verantwortlichkeiten entstehen Schatten-Datensilos. Der VR muss ein angemessenes Rahmenwerk einfordern.

Welche Rollen gehören zu einer Daten-Governance?

Typischerweise: Data Owner (fachliche Verantwortung pro Datendomäne), Data Steward (operative Pflege und Qualität), Chief Data Officer oder Data Protection Officer (gesamtheitliche Steuerung und Compliance) sowie Data Consumer mit definierten Zugriffsrechten. In kleineren Unternehmen werden Rollen kombiniert, die Verantwortungslogik bleibt aber gleich.

Was gehört in eine Daten-Governance-Policy?

Eine Daten-Governance-Policy regelt Datenklassifikation (öffentlich, intern, vertraulich, geheim), Zugriffsprinzipien (Least Privilege, Need-to-Know), Aufbewahrungs- und Löschfristen, Datenqualitätsstandards, Nutzungsregeln für interne und KI-Anwendungen, Weitergaberegeln an Dritte sowie Meldewege bei Verstössen. Sie wird vom VR oder Audit Committee genehmigt.

Wie hängt Daten-Governance mit KI-Governance zusammen?

KI-Modelle sind nur so gut wie ihre Trainingsdaten. Ohne saubere Daten-Governance entstehen Bias, Datenschutzverletzungen, intransparente Datenherkunft und Reputationsrisiken. Daten-Governance ist deshalb die Voraussetzung für verantwortungsvolle KI-Nutzung. VR und GL sollten beide Themen integriert betrachten, nicht in Silos.