Gute Governance: Wer ist wer und was ist was beim Thema Dateneigentum
„Ich quäle mich diesen sandigen gottverlassenen Hügel hoch und dann ist da ein Typ am Spielfeldrand, der ruft: ‚Also ich weiß nicht, was an Data Governance so schwierig sein soll. Es ist total einfach‘“, erklärt Jason Dye,Director of Enterprise Data Governance bei Ally. Laut ihm kann sein Job so undankbar sein, wie er riskant ist. Nichts hat dies deutlicher gemacht, als die Coronavirus-Pandemie, die laut Experians Studie zu Global Data Management aus dem Jahr 2021, dazu geführt hat, dass Unternehmen stärker als je zuvor auf ihre Datenbestände und somit auf die Vertrauenswürdigkeit und Sicherheit dieser Daten angewiesen sind.
Sage und schreibe 93% von Unternehmen berichteten von Problemen bei der Datenverwaltung als Resultat von COVID-19 und von deren negativen Auswirkungen auf das Verbraucherverhalten und die Lieferkettendynamik. „Starke Interaktionen mit unseren Kunden hängen von vertrauenswürdigen Daten und unserer Fähigkeit ab, diese Daten bei Bedarf bereitzustellen“, erklärt Andrew Abraham, Managing Director für Experian. „Von der Effizienz des Online-Kundenerlebnisses bis hin zu den Daten, die uns dabei helfen, die schwindelerregend schnellen Änderungen von Märkten und Einstellungen zu analysieren – die richtigen Daten sind für uns unerlässlich geworden.“
Da verwundert es kaum, dass neun von zehn Unternehmen entschlossen sind, die Widerstandsfähigkeit ihrer Datenverwaltung zu verbessern, sodass sie für den nächsten Notfall bestens gewappnet sind. Im Zuge von sich ändernden Gesetzen und zunehmender Datennutzung durch ein breiteres Spektrum von Nutzern ist die Verbesserung von Dateneigentum, ein wichtiger aber oftmals übersehener Aspekt von Data Governance, ein guter Ausgangspunkt. Lassen Sie uns gemeinsam darin eintauchen, warum und wie Rollen, Verantwortlichkeiten und Prozesse definiert werden sollten, um sicherzustellen, dass Datenbestände funktionsübergreifend und auf allen Ebenen erfasst und geschützt werden.
Dateneigentum: das schlagende Herz von Data Governance
Laut dem Data Governance Institute, handelt es sich bei Data Governance um „ein System von Entscheidungsrechten und Verantwortlichkeiten für informationsbezogene Prozesse, die gemäß vereinbarten Modellen ausgeführt werden, die genau angeben, wer welche Handlungen mit welchen Informationen wann und unter welchen Umständen mit welchen Methoden ausführen darf.“ Einfacher ausgedrückt: Data Governance ist eine Reihe von Prinzipien und Verfahren, die gewährleisten, dass Daten so erworben, verwaltet, verwendet und gespeichert werden, dass Unternehmen das Beste aus ihnen herausholen können.
Rahmenbedingungen für Data Governance werden festgelegt, um sicherzustellen, dass die Datenbestände gesichert und inhärente Risiken eingedämmt werden, die Regeln im Hinblick auf Datennutzung innerhalb des Unternehmens festgelegt und verstanden werden und die Qualität der Daten kontinuierlich geprüft und verbessert wird. Die Vorteile einer gut durchdachten Data- Governance-Strategie beinhalten eine bessere Entscheidungsfindung innerhalb des Unternehmens, verbesserte Geschäftsleistung, bessere Compliance sowie größere Effizienz und verbesserte Datenqualität.
Im Hinblick auf eine Data-Governance-Strategie sind Dateneigentümer Personen oder Teams, die das Recht haben, zu entscheiden, wer auf Daten innerhalb einer bestimmten Datendomain Zugriff nehmen und sie bearbeiten und verwenden kann. Dies bedeutet natürlich nicht, dass die von ihnen verwalteten Datenbestände tatsächlich Eigentum dieser Personen sind – sie gehören weiterhin dem Unternehmen. Im Endeffekt können und müssen Dateneigentümer entscheiden, wie Daten erstellt und verwaltet werden, damit ihre Vertraulichkeit, Integrität, Richtigkeit und Verfügbarkeit gesichert werden können.
Obgleich Dateneigentum eine Schlüsselkomponente des Erfolgs von Data Governance ist, hat das Thema es im Zuge gesetzlicher Vorschriften wie der DSGVO, HIPAA oder CCPA quasi an die Spitze der CIO-Tagesordnung geschafft. Wie dies am besten zu lösen ist, stellt weiterhin eine ernstzunehmende Herausforderung dar.Eine Umfrage unter 500 IT-Führungskräften in den USA und dem Vereinigten Königreich fand heraus, dass 95% sich Sorgen um Bedrohungen durch Insider machen und die meisten der Überzeugung sind, dass Mitarbeiter in den vergangenen 12 Monaten Daten entweder unabsichtlich (79%) oder vorsätzlich (61%) Risiken ausgesetzt haben.
Dateneigentümer vs. Datensteward vs. Datentreuhänder: wichtige Rollen im Bereich Data Governance erklärt
Wer sitzt im Lenkungsausschuss? Welche drei Arten von Dateneigentum gibt es? Was ist die Aufgabe eines Dateneigentümers? Und was ist überhaupt der Unterschied zwischen einem Dateneigentümer und einem Datensteward? Hier geben wir Ihnen einen Überblick über die Rollen, die für den Erfolg von Data Governance am entscheidendsten sind.
Der Lenkungsausschuss besteht hauptsächlich aus C-Level-Führungskräften und ist dafür verantwortlich, die Data-Governance-Prinzipien des Unternehmens zu definieren und sicherzustellen, dass sie in die Tat umgesetzt werden, indem andere Data-Governance-Beauftragte zur Verantwortung gezogen werden. Im Idealfall repräsentiert er alle wichtigen Stakeholder des Unternehmens, sowohl aus der IT-Abteilung als auch der geschäftlichen Domäne. Der Ausschuss ist allein dafür verantwortlich, jeglichen Verfahrens- oder Richtlinienänderungen von Datenhandhabungspraktiken grünes Licht zu geben.
Dateneigentümer sind gewöhnlich erfahrene Mitarbeiter des Unternehmens, die sicherstellen, dass Daten systemweit, funktionsübergreifend und über geschäftliche Aktivitäten hinweg auf angemessene Weise verwaltet werden. „Sie müssen weiterhin dazu befugt sein, Änderungen auszuführen, und außerdem über das Budget oder die Ressourcen verfügen, mit denen Datenbereinigungsaktivitäten ausgeführt werden können“, erklärt Data Governance Coach Nicola Askham. Jedoch handhaben sie die von ihnen verwalteten Daten nicht unbedingt tagtäglich. An dieser Stelle kommt der Datensteward ins Spiel.
Datenstewards sind diejenigen, die die tägliche Datenverwaltung betreuen und Dateneigentümer mit ihrem Fachwissen darüber unterstützen, was Daten sind und wie sie innerhalb ihrer Domains genutzt werden. Dun & Bradstreets Jonathan Cramer fasst dies wie folgt zusammen: „Sie geben der Datenverwaltung eines Unternehmens ein Gesicht. Dies sorgt bei Mitarbeitern für ein Gefühl von Sicherheit und Vertrauen in die Daten, da Datenstewards am Aufbau einer datenfokussierten Kultur beteiligt sind und sich für eine angemessene Nutzung und Sorgfalt im Umgang mit Daten einsetzen.“
Datentreuhänder sind üblicherweise als Datenbankadministratoren in Abteilungen tätig. Gemeinsam mit Datenstewards kümmern sie sich um praxisbezogene Aspekte von Data Governance, wie das Speichern, Archivieren, Transportieren, Back-up und Wiederherstellen von Daten. Zu den Verantwortlichkeiten von Datentreuhändern gehören der Schutz der Datenintegrität während der technischen Verarbeitung; die Gewährleistung, dass Dateninhalte und -kontrollen prüfbar sind; die Anwendung von Änderungsverwaltungsverfahren während der Datenbankwartung und die Implementierung von Prinzipien der Datenqualität.
Die Fangfrage: Wie gewährleisten Sie Dateneigentum und weisen mit ihm zusammenhängende Verantwortlichkeiten zu?
Beim Erstellen eines Dateneigentum-Modells gibt es keine Universalmethode. Lassen Sie uns aber einmal einen Blick darauf werfen, welche wichtigen Faktoren Sie erwägen sollten.
Laut der ISACA, sollte der Datentyp den Ausgangspunkt bilden. Beispielsweise gehören gemäß der DSGVO personenbezogene Informationen, insbesondere persönlich identifizierbare Informationen, dem Datensubjekt – unabhängig davon, wer sie sammelt und aus welchem Grund. Als Nächstes sollten Sie bedenken, wo die Daten erstellt oder gesammelt werden. Am anderen Ende des Spektrums werden Daten, die von Mitarbeitern im Zuge ihrer Tätigkeit für ein Unternehmen generiert werden, gewöhnlicherweise als Eigentum des Arbeitgebers angesehen.
Datenstandort und -verfügbarkeit sind weitere Nuancen von Dateneigentum. Kevin Alvero, SVP für interne Audits, Compliance und Governance bei Nielsen, erklärt: „Wenn zwei Unternehmen Aktienpreise separat verfolgen, gehören keinem der beiden die Zahlen (also die Rohdaten) oder der Aktienpreis an sich, der öffentlich zugänglich ist. Eine Datei, die die Berichterstattung oder Dokumentation des Unternehmens zu dem Aktienpreis enthält, wird jedoch im Allgemeinen als Eigentum dieses Unternehmens betrachtet.“
Auf jeden Fall muss das Identifizieren der besten Kandidaten für das Dateneigentum damit beginnen, ein Verständnis für die verschiedenen Datentypen zu entwickeln, die innerhalb des Unternehmens verwendet werden. „Die besten Kandidaten sind oft die Mitarbeiter, deren Downline innerhalb des Unternehmens für die Daten verantwortlich ist, da diese Personen nicht nur eine Autoritätsposition einnehmen, sondern auch diese Daten als ein strategisches Asset verteidigen können“, betonen Experian-Analysten. Das bedeutet, dass die Governance von Produktdaten am besten dem Produktleiter zugewiesen werden sollte, während eine Führungskraft der C-Riege das eigentliche Dateneigentum-Modell validieren sollte.
Die DSGVO und darüber hinaus: die wichtigsten Sicherheitsherausforderungen in Bezug auf Dateneigentum
Laut Alvero gibt es fünf entscheidende Risikofaktoren, die Unternehmen erwägen müssen, um dafür zu sorgen, dass Dateneigentum klar definiert und korrekt implementiert wird: Informationssicherheit, Datenhaltung, Datenbestand, Einverständnis und Verträge mit Drittanbietern.
Datenverlust und -diebstahl stellen eine direkte Bedrohung für die Bottom-Line, die Geschäftskontinuität und den guten Ruf eines Unternehmens dar. Dasselbe gilt für Datenhaltung, wenn ein Unternehmen über keine Richtlinie verfügt, um Nutzer daran zu hindern, Daten zu behalten, die sie nicht (länger) benötigen. An dieser Stelle kann eine Datenbestandsaufnahme sehr hilfreich sein, da sie Einblicke darin gewährt, welche Art von Informationen das Unternehmen sammelt, aus welchen Quellen diese Daten stammen sowie wo sie gespeichert und wofür sie verwendet werden. Seit der Einführung der DSGVO gilt Einverständnis als eines der Grundprinzipien für Datenschutz-Compliance, gemeinsam mit der Verantwortlichkeit von Unternehmen in Bezug auf Drittanbieter-Risikomanagement.
Totale Datenkontrolle, DSGVO-konforme Cloud und mehr: So kann Tresorit Ihnen beim Überwinden von Dateneigentums- und Sicherheitshürden helfen
Als Ende-zu-Ende-verschlüsselte Content Collaboration Platform bietet Tresorit die stärksten Datenschutzmaßnahmen in der Cloud, um einfach Compliance mit Data-Governance-Praktiken und -Richtlinien zu gewährleisten. Hier erfahren Sie, wie:
- Behalten Sie die Kontrolle darüber, was mit Ihren Daten geschieht
- Legen Sie Firmensicherheitsrichtlinien fest und machen Sie sie geltend – alles an einem Ort
- Nutzen Sie DSGVO-freundliche Cloudzusammenarbeit zu Ihrem Vorteil
- Verwenden Sie Ende-zu-Ende-Verschlüsselung für den Schutz personenbezogener Daten in der Cloud
Tresorit erlaubt es Ihnen, Datenschutzmaßnahmen zu implementieren, während Sie an Dateien zusammenarbeiten – einschließlich der Kontrolle darüber, wer auf personenbezogene Daten zugreifen kann, des Protokollierens von Dateiaktivitäten und des Erstellens interner Sicherheitsrichtlinien für die Datenverwaltung.
Mit Tresorit können Sie sicherstellen, dass alle Mitglieder Ihres Teams am selben Strang ziehen, was die Verwendung wichtiger Tools und Verfahren für Datensicherheit betrifft, wie z. B. 2-Faktor-Authentifizierung oder sicheres Teilen personenbezogener Daten.
Speichern Sie Ihre Daten in sicheren, zertifizierten Datenzentren; wählen Sie Ihre Datenresidenzoptionen, um regionalen gesetzlichen Anforderungen nachzukommen, und nutzen Sie Tresorits Vereinbarung zur Datenverarbeitung (DPA), um Compliance zu demonstrieren.
Tresorit hat keinen Zugriff auf Ihre Verschlüsselungscodes oder die von Ihnen in Ihren Dateien verwalteten personenbezogenen Daten. Falls unsere Server also jemals gehackt werden sollten, kann niemand die Inhalte Ihrer Dateien lesen.