Daten-Governance: Was es ist, warum es wichtig ist und wie man ein Programm aufbaut

Die meisten Unternehmen stellen erst im ungünstigsten Moment fest, dass sie ein Data-Governance-Programm benötigen. Es steht eine behördliche Prüfung an, eine Untersuchung zu einer Datenschutzverletzung wird eingeleitet oder es stellt sich heraus, dass eine geschäftliche Entscheidung auf Daten beruht, deren Richtigkeit niemand bestätigen kann. Das Programm wird unter Zeitdruck und mit hohen Kosten auf die Schnelle entwickelt, wobei Eile anstelle einer Strategie im Vordergrund steht.

Proaktive Datenverwaltung ist deutlich kostengünstiger als reaktive Datenverwaltung. Es ist besser, Richtlinien, Verantwortlichkeitsstrukturen und technische Kontrollmechanismen zu etablieren, die sicherstellen, dass Daten korrekt, zugänglich, sicher und konform sind, bevor etwas schiefgeht, als diese jedes Mal erst unter dem Druck behördlicher Kontrollen einzurichten.

Laut dem „Kaseya State of the MSP Report 2026“ zählen 71 % der MSPs Cybersicherheitsprobleme zu ihren größten geschäftlichen Herausforderungen, wobei Mängel bei der Datenverwaltung sowie Lücken bei der Klassifizierung, der Zugriffskontrolle und den Aufbewahrungsrichtlinien eine der Hauptursachen für die damit verbundenen Compliance-Risiken und die Anfälligkeit für Sicherheitsverletzungen sind . Laden Sie den vollständigen Bericht herunter.

Dieser Leitfaden erläutert, was Daten-Governance ist, warum sie in den wichtigsten Rahmenwerken zu einer Compliance-Anforderung geworden ist und wie man ein Programm aufbaut, das einen echten Mehrwert für den Betrieb und die Revision bietet.

Was ist Data Governance?

Daten-Governance ist das Rahmenwerk aus Richtlinien, Standards, Verantwortlichkeiten und Prozessen, das festlegt, wie eine Organisation ihre Datenbestände verwaltet. Es gibt Antworten auf grundlegende Fragen, die viele Organisationen noch immer nicht zufriedenstellend beantworten können: Über welche Daten verfügen wir? Wo befinden sie sich? Wer ist dafür verantwortlich? Wie genau sind sie? Wer hat Zugriff darauf? Wie lange sollten wir sie aufbewahren? Was sind unsere gesetzlichen Verpflichtungen in Bezug auf diese Daten?

Governance steht über dem Datenmanagement. Das Datenmanagement ist operativer Natur und umfasst die Werkzeuge und Verfahren zur Speicherung, zum Schutz und zur Wiederherstellung von Daten. Die Daten-Governance ist organisatorischer Natur und umfasst die Regeln, Rollen und Verantwortungsstrukturen, die festlegen, wie diese operativen Aktivitäten durchgeführt werden und wer dafür zuständig ist.

Ein formelles Rahmenwerk für die Datenverwaltung umfasst in der Regel eine Richtlinie zur Datenverwaltung (welche Regeln gelten), einen Datenverwaltungsrat oder ein Stewardship-Modell (wer trifft Entscheidungen), ein Datenwörterbuch oder einen Datenkatalog (welche Daten vorhanden sind und was sie bedeuten), Datenqualitätsstandards (wie genau und vollständig Daten sein müssen) sowie Kontrollmechanismen für den Datenzugriff, die Aufbewahrung und die Löschung von Daten.

Daten-Governance vs. Datenmanagement

Diese Begriffe sind zwar miteinander verwandt, aber nicht identisch, und ihre Vermischung führt zu unvollständigen Programmen.

Die Daten-Governance legt die Regeln fest: welche Standards gelten, wer verantwortlich ist, welche Entscheidungen getroffen werden müssen und wie die Einhaltung der Vorschriften sichergestellt wird. Im Grunde handelt es sich dabei um eine Funktion, die sich mit Richtlinien und Verantwortlichkeiten befasst.

Das Datenmanagement setzt folgende Regeln um: Datensicherung, Sicherheit, Zugriffskontrolle, Einhaltung von Aufbewahrungsfristen und Wiederherstellung. Es handelt sich dabei im Wesentlichen um eine operative und technische Funktion.

Eine gute Daten-Governance ohne gutes Datenmanagement führt zu Richtlinien, die nie umgesetzt werden. Ein gutes Datenmanagement ohne gute Daten-Governance führt zu technisch kompetenten Abläufen, bei denen jedoch unklar ist, welche Regeln umgesetzt werden oder wer die Verantwortung trägt, wenn etwas schiefgeht. Für ein umfassendes Programm sind beide Aspekte erforderlich.

Warum Data Governance zu einer Compliance-Anforderung geworden ist

Durch die rechtlichen Rahmenbedingungen in verschiedenen Rechtsordnungen ist die Datenverwaltung mittlerweile eher eine gesetzliche Verpflichtung als eine bewährte betriebliche Praxis.

DSGVO (EU/UK) verlangt von Organisationen, dass sie wissen, welche personenbezogenen Daten sie speichern, warum sie diese speichern, woher sie stammen, wie lange sie aufbewahrt werden und wer Zugriff darauf hat. Datenschutz-Folgenabschätzungen, Aufzeichnungen über Verarbeitungsvorgänge und die Bearbeitung von Anträgen betroffener Personen hängen alle von einer Governance-Grundlage ab, die diese Fragen schnell und präzise beantworten kann.

Die HIPAA (US-Gesundheitsgesetzgebung) schreibt dokumentierte administrative, physische und technische Sicherheitsvorkehrungen für geschützte Gesundheitsdaten vor. Die von der HIPAA geforderten Verantwortlichkeitsstrukturen und Zugriffskontrollen sind per Definition Governance-Anforderungen und keine rein technischen Anforderungen.

Der CCPA/CPRA (Kalifornien) erweitert die Rechte betroffener Personen in Bezug auf Auskunft, Löschung und Widerspruch – Anforderungen, deren Erfüllung davon abhängt, dass Sie wissen, welche personenbezogenen Daten Sie über Einwohner Kaliforniens gespeichert haben. Dies ist nur mit einer entsprechenden Governance-Infrastruktur möglich.

Die NIS2-Richtlinie (EU) schreibt vor, dass Organisationen Risikomanagementrichtlinien umsetzen müssen, die die Datensicherheit und die Rechenschaftspflicht für die Informationssicherheit auf Führungsebene abdecken.

Bei SOC-2- Prüfungen wird speziell überprüft, ob eine Organisation über die Richtlinien und Kontrollmechanismen sowie das Governance-Rahmenwerk verfügt, auf deren Grundlage ihre technischen Sicherheitskontrollen umgesetzt werden.

Der rote Faden: Die Aufsichtsbehörden wollen nicht nur wissen, dass Daten technisch geschützt sind. Sie verlangen Nachweise für eine strukturierte Rechenschaftspflicht und dokumentierte Richtlinien. Genau das bietet die Daten-Governance. Ohne sie reichen technische Kontrollmaßnahmen allein nicht aus, um die Einhaltung der Vorschriften nachzuweisen.

Die Kernkomponenten eines Data-Governance-Programms

Dateninventarisierung und -klassifizierung. Man kann nicht regeln, was man nicht kennt. Eine Dateninventarisierung erfasst, welche Daten das Unternehmen besitzt, wo sie sich befinden (vor Ort, in der Cloud, als SaaS, bei Dritten), was sie enthalten und wie sensibel sie sind. Bei der Klassifizierung werden Sensibilitätsstufen zugewiesen – öffentlich, intern, vertraulich, eingeschränkt –, die die für jede Datenkategorie geltenden Kontrollmaßnahmen bestimmen. Dies ist der grundlegende Schritt, auf dem alles andere aufbaut.

Rollen und Verantwortlichkeiten. Daten-Governance erfordert klar definierte Zuständigkeiten. Ein Datenverantwortlicher (in der Regel ein Leiter einer Geschäftsfunktion) trägt die Verantwortung für die Qualität, die Zugriffsrichtlinien und die Compliance eines Datenbereichs. Ein Datenverwalter kümmert sich um die täglichen Governance-Aufgaben. Die IT-Abteilung setzt die technischen Kontrollmaßnahmen um, die die Governance-Richtlinien erfordern. Ohne klar benannte Verantwortlichkeiten werden keine Governance-Entscheidungen getroffen, und die Richtlinien weichen im Laufe der Zeit von der Praxis ab.

Datenqualitätsstandards. Zur Governance gehört es, für jeden Bereich festzulegen, wie „gute Daten“ aussehen: Genauigkeitsstandards, Anforderungen an die Vollständigkeit sowie die Prozesse zur Erkennung und Behebung von Problemen. Eine schlechte Datenqualität birgt Geschäftsrisiken (Entscheidungen auf der Grundlage ungenauer Daten) und Compliance-Risiken (ungenaue personenbezogene Datensätze führen zu Verstößen DSGVO HIPAA).

Zugriffsrichtlinien und -kontrollen. Wer darf unter welchen Bedingungen und nach welchem Genehmigungsverfahren auf welche Daten zugreifen? Die rollenbasierte Zugriffskontrolle (RBAC) setzt die Richtlinie der geringsten Berechtigungen technisch um. Die Unternehmensführung legt fest, wie diese Richtlinien aussehen sollen; die IT-Abteilung setzt sie um.

Richtlinie zur Aufbewahrung und Löschung. Wie lange verschiedene Datenkategorien aufbewahrt werden (abhängig von gesetzlichen Anforderungen und geschäftlichen Erfordernissen), welche Speicherebene während der Aufbewahrungsfrist gilt und wie Daten am Ende ihrer Lebensdauer sicher gelöscht werden. Die automatisierte Durchsetzung der Aufbewahrungsfristen gewährleistet, dass die Richtlinie konsequent eingehalten wird, anstatt sich auf manuelle Prozesse zu verlassen, die unter Betriebsdruck leicht übersehen werden.

Überwachung der Compliance und Berichterstattung. Regelmäßige Überprüfung der Einhaltung der Richtlinien zur Datenverwaltung: Zugriffskontrollen, Prüfungen der Datenqualität, Einhaltung der Aufbewahrungsfristen und Meldung von Vorfällen. Der Nachweis einer kontinuierlichen Datenverwaltung ist es, was Prüfer und Aufsichtsbehörden bei einer Überprüfung überzeugt.

Daten-Governance für MSPs

MSPs, die Kundendaten verarbeiten, haben neben ihren operativen Aufgaben auch erhebliche Verpflichtungen im Bereich der Unternehmensführung.

Vertragliche Datenverwaltung. In Dienstleistungsverträgen sollte festgelegt werden, auf welche Daten der MSP zugreift, wie diese Daten behandelt werden, welche Verpflichtungen der MSP hat, falls es zu einer Datenschutzverletzung kommt, die Kundendaten betrifft, und was mit den Kundendaten geschieht, wenn der Vertrag endet. Vage Vertragsbedingungen führen zu Unklarheiten hinsichtlich der Haftung, was keiner der Parteien nützt, wenn etwas schiefgeht.

Unterstützung bei der Klassifizierung von Kundendaten. MSPs, die ihren Kunden dabei helfen, ihre Daten zu verstehen und zu klassifizieren und die von Compliance-Rahmenwerken geforderten Bestands- und Klassifizierungsstrukturen aufzubauen, positionieren sich als strategische Berater und nicht als reine IT-Dienstleister. Dies ist besonders wertvoll für Kunden in regulierten Branchen (Gesundheitswesen, Finanzwesen, Rechtswesen), die Governance-Verpflichtungen haben, aber nicht über das interne Fachwissen verfügen, um diese zu erfüllen.

Compliance als Managed Service. Compliance-Rahmenwerke wie DSGVO, HIPAA und SOC 2 erfordern dokumentierte Kontrollmaßnahmen und den fortlaufenden Nachweis der Compliance. Genau diese Art von Lösung können MSPs mit den richtigen Tools als wiederkehrende Dienstleistung anbieten. Compliance Manager GRC einen strukturierten Workflow für das Compliance-Management, mit dem IT-Fachleute mehrere Compliance-Rahmenwerke gleichzeitig und für verschiedene Kunden von einer einzigen Plattform aus verwalten können. Entdecken Sie Compliance Manager GRC.

Kundenspezifische Governance-Dokumentation. Die Dokumentation zur Datenklassifizierung, zu den Aufbewahrungsrichtlinien und zur Zugriffskontrolle jedes Kunden sollte auf der Dokumentationsplattform des MSP (IT Glue) gepflegt werden – nicht nur im Interesse der betrieblichen Effizienz, sondern auch als Nachweis für die Sorgfaltspflicht bei der Daten-Governance. Wenn ein Kunde einer Prüfung oder einer Untersuchung eines Vorfalls ausgesetzt ist, befindet sich der MSP, der eine übersichtliche und aktuelle Dokumentation vorlegen kann, in einer wesentlich stärkeren Position als ein MSP, der dazu nicht in der Lage ist.

Aufbau eines praxisorientierten Data-Governance-Programms

Daten-Governance-Programme scheitern, wenn sie von Anfang an zu ehrgeizig sind. Ein schrittweiser Ansatz ist einer Big-Bang-Implementierung stets überlegen.

Phase 1: Bestandsaufnahme und Klassifizierung. Machen Sie sich zunächst ein Bild davon, was Sie haben, bevor Sie Richtlinien dafür erstellen. Führen Sie eine Datenerfassung durch (nach Möglichkeit mit Hilfe von Tools), um Datenbestände, Speicherorte und die Sensibilität der Daten zu erfassen. Allein diese Phase deckt die größten Compliance-Risiken auf und bildet die Grundlage für alle weiteren Schritte. Überspringen Sie sie nicht, nur um schneller mit der Erstellung von Richtlinien beginnen zu können.

Phase 2: Verantwortlichkeiten zuweisen. Bestimmen Sie Datenverantwortliche für die wichtigsten Datenbereiche. Weisen Sie diese in ihre Aufgaben ein. Richten Sie einen schlanken Governance-Rat ein, der vierteljährlich zusammentritt, um Entscheidungen zur Governance-Richtlinie zu treffen. Verantwortlichkeit ohne Bürokratie.

Phase 3: Festlegung und Umsetzung der Aufbewahrungsrichtlinie. Erstellung von Aufbewahrungsplänen auf der Grundlage gesetzlicher Vorschriften und geschäftlicher Anforderungen. Soweit möglich, Konfiguration technischer Maßnahmen zur Durchsetzung der Aufbewahrungsvorschriften: automatisierte Löschworkflows, Übergänge in Archiv-Ebenen. Dokumentation der Richtlinie und der Umsetzung.

Schritt 4: Zugriffskontrollen einführen. Die aktuellen Zugriffsrechte anhand des Prinzips der geringsten Berechtigungen überprüfen. Überflüssige Berechtigungen entfernen. RBAC einführen, sofern dies noch nicht geschehen ist. Die Zugriffsrichtlinien nach Datenkategorien dokumentieren.

Phase 5: Überwachung und Nachweisführung. Führen Sie regelmäßig Überprüfungen der Zugriffsrechte, Datenqualitätsaudits und Kontrollen der Einhaltung von Governance-Richtlinien durch. Dokumentieren Sie die Ergebnisse. Diese Dokumentation erfüllt die regulatorischen und prüfungstechnischen Anforderungen und unterscheidet Unternehmen, die Audits erfolgreich bestehen, von denen, die sich mühsam durch sie hindurchkämpfen.