Data Governance: Was es ist, wie es funktioniert und warum jedes Unternehmen es braucht

Was ist Data Governance? Definition

Data Governance bezeichnet die Gesamtheit der Grundsätze, Prozesse, Rollen und Technologien, die ein Unternehmen einsetzt, um sicherzustellen, dass seine Daten korrekt, zugänglich, geschützt und im Einklang mit den Unternehmenszielen genutzt werden. Konkret ist es das System, das festlegt, wer was mit den Daten tun darf, wer für sie verantwortlich ist, wie sie klassifiziert und aufbewahrt werden müssen und nach welchen Qualitätsstandards sie gepflegt werden.

Es handelt sich weder um eine Software noch um ein einmaliges Projekt. Data Governance ist ein strukturiertes, kontinuierliches Programm, das Menschen, Regeln und Werkzeuge einbindet und quer durch die gesamte Organisation wirkt – von der IT über das Management bis hin zu Rechtsabteilung und Operations.

Eine kompakte Definition: Data Governance beantwortet die Fragen „Wem gehört dieses Datum?“, „Wer darf darauf zugreifen?“, „Ist es zuverlässig?“ und „Wie müssen wir damit umgehen?“. Diese Fragen systematisch zu beantworten ist der Unterschied zwischen einem Unternehmen, das Daten zur Entscheidungsfindung nutzt, und einem, das von seinen eigenen Daten überrollt wird, ohne es zu merken.

Warum Data Governance heute dringend notwendig ist

Noch vor einigen Jahren galt Data Governance als Thema großer Konzerne – vor allem Banken und Versicherungen mit strengen Regulierungsanforderungen. Heute hat sich die Lage grundlegend gewandelt. Drei parallele Entwicklungen haben das Thema für jedes strukturierte Unternehmen relevant gemacht, unabhängig von der Größe.

Die erste ist die Datenvermehrung: Jeder Geschäftsprozess erzeugt Daten – vom CRM über das ERP, von IoT-Sensoren bis hin zu Sicherheits-Logs –, und das Informationsvolumen ist deutlich schneller gewachsen als die Fähigkeit der Unternehmen, es zu steuern.

Die zweite ist der Regulierungsdruck, der bestimmte Formen der Datenverwaltung gesetzlich vorschreibt. Die dritte ist der Einsatz von Künstlicher Intelligenz: Jedes KI-System (man denke nur an die zunehmende Verbreitung von ChatGPT oder Copilot im Unternehmen) oder Machine-Learning-Modell liefert nur dann zuverlässige Ergebnisse, wenn die zugrunde liegenden Daten korrekt, gut klassifiziert und nachvollziehbar sind – und das erfordert Governance.

Das Problem ungeregelter Daten

Ein Unternehmen ohne Data Governance erkennt man an typischen Anzeichen: Abteilungen, die dieselben Begriffe unterschiedlich definieren (der „Umsatz“ des Vertriebs stimmt nicht mit dem der Buchhaltung überein), widersprüchliche Berichte, die mehr Diskussionen als Entscheidungen auslösen, doppelte oder unvollständige CRM-Einträge, Schwierigkeiten bei Audits oder bei der Beantwortung von Auskunftsersuchen.

Die Kosten dieser Unordnung sind real und messbar: verlangsamte Entscheidungen, operative Fehler, Compliance-Risiken und – im schlimmsten Fall – Datenpannen, die das Unternehmen Sanktionen und Reputationsschäden aussetzen. Branchenschätzungen zufolge verbringen Wissensarbeiter einen erheblichen Teil ihrer Zeit damit, Daten zu suchen, zu prüfen und zu korrigieren, anstatt sie zu nutzen – versteckte Kosten, die nur sehr wenige Unternehmen jemals beziffern.

Der regulatorische Rahmen: DSGVO, NIS2 und Data Governance Act

Auf regulatorischer Seite sind drei europäische Vorgaben heute zentral für jedes Unternehmen, das auf dem italienischen und europäischen Markt tätig ist.

• Die DSGVO (Datenschutz-Grundverordnung) legt genaue Pflichten für die Erhebung, Verarbeitung, Aufbewahrung und Löschung personenbezogener Daten fest. Ohne strukturierte Data Governance ist die DSGVO-Konformität theoretisch möglich, in der Praxis jedoch äußerst schwierig: Wer nicht weiß, wo personenbezogene Daten gespeichert sind, wer sie verarbeitet und auf welcher Rechtsgrundlage, bleibt von der Kooperation einzelner Mitarbeiter abhängig.
• Die NIS2-Richtlinie, in Italien seit 2024 in Kraft, erweitert die Anforderungen an die Cybersicherheit auf eine deutlich breitere Gruppe von Unternehmen als ihre Vorgängerin NIS1. Zu den Anforderungen zählt die Pflicht, kritische Informationsassets zu erfassen und zu schützen – was faktisch eine Datenmapping- und Klassifizierungsaktivität voraussetzt.
• Der europäische Data Governance Act, der seit September 2023 gilt, regelt den Datenaustausch zwischen Organisationen und mit dem öffentlichen Sektor mit dem Ziel, europaweit gemeinsame Datenräume zu schaffen. Auch dieser Rechtsrahmen setzt voraus, dass Unternehmen wissen, was sie besitzen, wie es klassifiziert ist und unter welchen Bedingungen es weitergegeben werden darf.

Die Grundpfeiler eines Data-Governance-Frameworks

Ein Data-Governance-Framework ist die operative Struktur, die Grundsätze in konkrete Praktiken übersetzt. Es gibt keinen einzigen universellen Standard; die gängigsten Modelle (DAMA DMBOK, Gartner-Framework, DGI) unterscheiden sich in Details, stimmen aber in drei grundlegenden Pfeilern überein.

Personen und Rollen

Data Governance kann ohne klare Verantwortlichkeiten nicht funktionieren. Wer entscheidet über die Nutzungsrichtlinien eines bestimmten Datensatzes? Wer gewährleistet dessen Qualität im Zeitverlauf? Wer löst Konflikte, wenn zwei Abteilungen dieselben Daten unterschiedlich interpretieren?

Diese Fragen zu beantworten bedeutet, eine Rollenstruktur zu definieren – Data Owner, Data Steward, Data Governance Manager – und ihr echte Autorität zu verleihen, nicht nur eine nominale. Ein häufiger Fehler ist, diese Rollen auf dem Papier einzurichten, ohne den betreffenden Personen Zeit, Mandat und konkrete Mittel zuzuweisen.

Richtlinien und Prozesse

Data-Governance-Richtlinien sind die Regeln, die bestimmen, wie Daten erhoben, klassifiziert, aufbewahrt, aktualisiert, geteilt und gelöscht werden müssen. Sie umfassen ein Business Glossary (gemeinsames Wörterbuch der Unternehmensbegriffe), Datenqualitätsregeln, Zugriffsrichtlinien und Data-Retention-Verfahren.

Prozesse übersetzen diese Regeln in den Arbeitsalltag: Wie wird der Zugriff auf einen sensiblen Datensatz genehmigt? Wie wird eine Qualitätsanomalie gemeldet und behoben? Wie wird die Rückverfolgbarkeit des Datums im Zeitverlauf sichergestellt (Data Lineage)?

Technologien und Werkzeuge

Technologische Werkzeuge unterstützen die Umsetzung der Richtlinien und skalieren, was sonst manuell bleiben würde. Die wichtigsten Kategorien sind Data Catalogs zur Inventarisierung und Dokumentation von Datensätzen, Data-Quality-Plattformen zur Überwachung und automatischen Fehlerkorrektur sowie Identity & Access Management (IAM)-Systeme zur Zugriffskontrolle.

Technologie allein löst das Problem jedoch nicht. Ein Data Catalog ohne zuvor definierte Rollen und Richtlinien produziert einen leeren oder unstrukturierten Katalog. Die richtige Reihenfolge ist: erst Menschen und Regeln, dann Werkzeuge.

Die wichtigsten Rollen in der Data Governance

Data Owner

Der Data Owner ist für eine Datendomäne verantwortlich – etwa Kundendaten, Produktdaten oder Finanzdaten. Es handelt sich typischerweise um eine Führungskraft aus dem Fachbereich (nicht aus der IT), die Entscheidungsbefugnis darüber hat, wie das Datum definiert wird, wer darauf zugreifen darf und unter welchen Bedingungen. Der Data Owner verantwortet die Qualität und den sachgerechten Einsatz der Daten in seinem Bereich.

Data Steward

Der Data Steward arbeitet auf operativer Ebene: Er stellt die Datenqualität im Tagesgeschäft sicher, wendet die vom Data Owner festgelegten Regeln an, überwacht Anomalien und koordiniert Bereinigungsmaßnahmen. In mittelgroßen Unternehmen kann dieselbe Person beide Rollen für verschiedene Domänen übernehmen.

Data Governance Manager

Der Data Governance Manager (oder Chief Data Officer in größeren Organisationen) koordiniert das gesamte Data-Governance-Programm: Er definiert das Framework, fördert die Abstimmung zwischen den Data Ownern, überwacht die Programm-KPIs und berichtet an das Management. In KMU wird diese Funktion häufig vom IT-Manager übernommen – gegebenenfalls mit externer Beratungsunterstützung.

Data Governance und Data Management: Was ist der Unterschied?

Diese Frage wird häufig gestellt, und die Verwechslung beider Konzepte ist verständlich. Der Unterschied ist jedoch grundlegend.

• Data Management umfasst die technischen und operativen Praktiken zur Erhebung, Speicherung, Verarbeitung und Verteilung von Daten: Datenbanken, Integrations-Pipelines, Backup,Data-Warehouse-Architekturen. Es ist primär ein IT-Bereich.
• Data Governance ist das Kontroll- und Verantwortungssystem, das entscheidet, wie Data Management betrieben werden soll und warum: Welche Daten werden erhoben? Mit welcher Qualität? Wer ist verantwortlich? Welche Regeln gelten für deren Nutzung? Es ist ein Bereich, der Fachbereiche genauso einbindet wie die IT.

Kurz gesagt: Data Management beantwortet „Wie verwalten wir Daten technisch?“, Data Governance beantwortet „Wer entscheidet, was mit den Daten geschieht, und nach welchen Regeln?“. Beide Disziplinen sind komplementär: Governance ohne solides Data Management produziert Regeln, die sich nicht umsetzen lassen; Data Management ohne Governance produziert technisch effiziente Systeme, denen Kontrolle und Verantwortung fehlen.

Data Quality: der operative Kern der Data Governance

Data Quality ist häufig der konkreteste Einstiegspunkt in ein Data-Governance-Programm. Ein Datum ist qualitativ hochwertig, wenn es akkurat (die Realität abbildet), vollständig (keine kritischen Felder fehlen), konsistent (sich nicht mit anderen Daten widerspricht), aktuell (bei Bedarf auf dem neuesten Stand ist) und eindeutig (nicht dupliziert ist).

Die Messung der Datenqualität entlang dieser Dimensionen liefert fast immer überraschende Ergebnisse: Die meisten Unternehmen stellen fest, dass ein nicht unerheblicher Anteil ihrer kritischen Daten – Kundenstammdaten, Produktdaten, Buchhaltungsdaten – Anomalien aufweist, die noch nie systematisch erfasst wurden.

Ein Data-Quality-Programm ist daher ein ausgezeichneter Einstieg in die Data Governance: Es liefert greifbare und messbare Vorteile in relativ kurzer Zeit, schafft internen Rückhalt für das Programm und liefert die Ausgangsdaten, um Governance-Prioritäten zu setzen.

Wie man Data Governance im Unternehmen einführt

Es gibt keinen einzigen Weg, aber jede seriöse Implementierung durchläuft bestimmte Phasen. Die verlockende Idee, mit dem Kauf eines technologischen Werkzeugs – eines Data Catalogs oder einer Data-Quality-Plattform – zu beginnen, ist verständlich, aber fast immer kontraproduktiv.

• Bestandsaufnahme des Ist-Zustands - Ausgangspunkt ist ein Überblick über die aktuelle Lage: Welche Daten existieren? Wo befinden sie sich? Wer nutzt sie? Mit welcher Qualität und mit welchen – auch informellen – Regeln werden sie heute verwaltet? Diese Bestandsaufnahme muss keine vollständige Inventur sein, sollte aber die für das Geschäft kritischsten Datendomänen abdecken.
• Prioritäten und Perimeter festlegen - Data Governance lässt sich nicht auf einmal einführen. Es ist weit effektiver, eine Prioritätsdomäne zu wählen – zum Beispiel Kundendaten oder Produktdaten – und das Programm dort zu starten, um es anschließend schrittweise auszuweiten. Das Priorisierungskriterium sollte der Geschäftswert sein: Wo hat eine bessere Datenqualität und -steuerung den unmittelbarsten Effekt?
• Framework aufbauen und Rollen zuweisen - Sobald der Perimeter feststeht, wird das Framework für diese Domäne aufgebaut: Data Owner benennen, Stewards identifizieren, erste Richtlinien definieren (Klassifizierung, Zugriff, Qualität), Business Glossary für die wichtigsten Begriffe erstellen.
• Pilotprojekt starten - Das Pilotprojekt dient dazu, das Framework in der operativen Realität zu testen, Reibungspunkte zu identifizieren und das Feedback der beteiligten Personen einzuholen. Ein Pilot von 3–6 Monaten auf einem begrenzten Perimeter führt fast immer zu erheblichen Anpassungen gegenüber dem ursprünglichen Design.
• Messen, korrigieren, skalieren - Governance wird gemessen: KPIs für Datenqualität, Adoptionsrate des Business Glossary, Anzahl datenbedingter Vorfälle. Die gemessenen Ergebnisse legitimieren die Ausweitung des Programms auf weitere Domänen und liefern dem Management die Transparenz, die weitere Investitionen rechtfertigt.

Data Governance und Cybersicherheit: eine oft unterschätzte Verbindung

Data Governance und Cybersicherheit sind eigenständige Disziplinen, aber tief miteinander verflochten. Informationssicherheit schützt Daten vor unbefugtem Zugriff und externen Angriffen; Data Governance legt fest, welche Daten existieren, wie sie klassifiziert sind und wer darauf zugreifen darf. Ohne die zweite arbeitet die erste unvollständig und reaktiv.

Ein konkretes Beispiel: Ein Identity-Management-Programm, das kontrolliert, wer auf welche Systeme und Daten zugreifen darf, ist deutlich effektiver, wenn eine klare und aktuelle Datenklassifizierung vorhanden. Wer nicht weiß, dass ein bestimmtes Archiv sensible Daten enthält, kann keine angemessenen Zugriffskontrollen einrichten. Ebenso beschleunigt im Fall eines Sicherheitsvorfalls das genaue Wissen, wo die betroffenen Daten liegen und wer dafür verantwortlich ist, die Reaktion erheblich und begrenzt den Schaden.

Für Unternehmen, die einen Reifepfad in der Cybersicherheit einschlagen – etwa als Reaktion auf die NIS2-Anforderungen –, ist Data Governance häufig der erste grundlegende Schritt: Informationsassets zu erfassen und zu klassifizieren ist die Voraussetzung für ihren effektiven Schutz. In einer umfassenderen Perspektive wird die Daten-Governance zum integralen Bestandteil eines strukturierten Cybersecurity-Beratung von ACS, in dem Datenmanagement, Risikobewertung und regulatorische Compliance koordiniert – und nicht als separate Initiativen – angegangen werden.

Wann es sinnvoll ist, auf einen externen Partner zu setzen

Für viele KMU und mittelständische Unternehmen in Norditalien, insbesondere in Trentino-Südtirol und Venetien, ist es kurzfristig nicht realistisch, alle für ein strukturiertes Data-Governance-Programm erforderlichen Kompetenzen intern aufzubauen. Die benötigten Fähigkeiten sind querschnittlich – Data Management, Change-Management, regulatorische Expertise, Cybersicherheit – und die Zeit, sie intern zu entwickeln, kann mit dem operativen Tagesgeschäft unvereinbar sein.

In diesen Fällen ermöglicht ein spezialisierter IT-Partner eine deutliche Beschleunigung dank strukturierter Assessments, erprobter Frameworks und einer externen Referenz, die das interne Change-Management erleichtert und häufige Fehler vermeidet.

ACS verfügt über ein dediziertes Team für Data Governance und Data Analytics, das Unternehmen in jeder Phase des Weges unterstützt: von der Datenmapping und -klassifizierung über die Definition des Governance-Frameworks bis hin zur Implementierung analytischer und KI-gestützter Modelle, die Daten in einen strategischen Entscheidungsasset verwandeln. Ein integrierter Ansatz, der technologische und beratende Kompetenz verbindet, um Unternehmen zu helfen, nicht mehr von ihren Daten überrollt zu werden – sondern sie gezielt einzusetzen.

FAQ

Was ist Data Governance einfach erklärt?

Data Governance ist das System, mit dem ein Unternehmen festlegt, wer für seine Daten verantwortlich ist, wie sie verwaltet werden sollen und welche Regeln dabei gelten. Es bestimmt, wem ein bestimmtes Datum „gehört“, wer darauf zugreifen darf, wie es aktuell gehalten und wie es geschützt werden muss. Ziel ist es, dass Unternehmensdaten verlässlich, konsistent und kontrolliert genutzt werden – eine unverzichtbare Grundlage für korrekte Entscheidungen und die Einhaltung gesetzlicher Vorgaben.

Was ist der Unterschied zwischen Data Governance und Data Management?

Data Management betrifft die technischen Aspekte der Datenverwaltung: Wie werden Daten erhoben, gespeichert, verarbeitet und verteilt? Data Governance betrifft die Kontrolle und Verantwortung: Wer legt die Regeln fest? Wer haftet für die Qualität? Nach welchen Kriterien werden Daten klassifiziert und geschützt? Beide Disziplinen sind komplementär: Data Management stellt die Werkzeuge bereit, Data Governance liefert die Regeln und Verantwortlichkeiten.

Welche sind die wichtigsten Rollen in einem Data-Governance-Programm?

Die drei grundlegenden Rollen sind der Data Owner (verantwortlich für eine Datendomäne, typischerweise eine Fachbereichsführungskraft), der Data Steward (operativ verantwortlich für die tägliche Datenqualität) und der Data Governance Manager oder Chief Data Officer (Koordinator des Gesamtprogramms). In kleineren Unternehmen können diese Rollen auf wenige Personen aufgeteilt werden – gegebenenfalls mit Unterstützung externer Berater.

Wie startet man ein Data-Governance-Programm in einem KMU?

Der effektivste Einstieg ist eine Bestandsaufnahme der kritischen Daten, um zu verstehen, welche Daten existieren, wo sie sich befinden und mit welcher Qualität sie heute verwaltet werden. Von dort wählt man eine Prioritätsdomäne – zum Beispiel Kundendaten – und startet ein begrenztes Pilotprojekt, das das Framework testet, ohne das Tagesgeschäft zu blockieren. Erst nach messbaren Ergebnissen in diesem Perimeter lohnt es sich, das Programm auszuweiten. Die Unterstützung eines spezialisierten Partners in den Anfangsphasen beschleunigt den Weg erheblich.

Welche Verbindung besteht zwischen Data Governance und DSGVO?

Die DSGVO legt genaue Pflichten für den Umgang mit personenbezogenen Daten fest – Erhebung, Verarbeitung, Speicherung, Löschung –, die voraussetzen, dass man weiß, wo diese Daten liegen, wer sie verarbeitet und auf welcher Rechtsgrundlage. Data Governance schafft genau diese Transparenz und Struktur. Ein Governance-Programm garantiert nicht automatisch DSGVO-Konformität, aber es schafft die organisatorischen Voraussetzungen, ohne die Compliance brüchig ist und sich im Falle eines Audits kaum belegen lässt.

Ist Data Governance nur etwas für große Unternehmen?

Nein. Auch wenn die strukturiertesten Programme typischerweise in Großunternehmen zu finden sind, zeigen sich die Probleme, die Data Governance löst – inkonsistente Daten zwischen Abteilungen, Schwierigkeiten bei der gesetzlichen Compliance, Sicherheitsrisiken durch unklassifizierte Daten – auch in KMU. Der Unterschied liegt im Umfang des Programms: Ein KMU braucht keinen hauptamtlichen Chief Data Officer und keinen Enterprise-Data-Catalog, wohl aber klare Regeln, definierte Verantwortlichkeiten und eine Datenqualitätsbasis, die es erlaubt, zu wachsen, ohne von der eigenen Informationsunordnung ausgebremst zu werden.