06.12.2023

Datenstrategie und Legal Data Governance: Eine wertschöpfende Beziehung

Als Rohstoff digitaler Prozesse sind Daten branchenübergreifend zu einem wertvollen Unternehmensgut avanciert. Doch um von den Datenschätzen zu profitieren und Wettbewerbsvorteile zu erzielen, ist eine an den Unternehmenszielen ausgerichtete, passgenaue Datenstrategie unabdingbar. Erst sie ermöglicht es, die gewünschten Mehrwerte aus der Datennutzung zu ziehen und ist damit eine entscheidende Bedingung für den langfristigen Erfolg!

Ihre ISiCO-Expertin für das Thema:
Jacqueline Neiazy
Director Datenschutz

Mit der immer weiter fortschreitenden Digitalisierung rücken Daten immer mehr in den Mittelpunkt unternehmerischer Interessen. Als Rohstoff digitaler Prozesse sind sie branchenübergreifend zu einem wertvollen Unternehmensgut avanciert. Manch einer handelt sie gar als „Gold des digitalen Zeitalters“. Doch um von den Datenschätzen zu profitieren und Wettbewerbsvorteile zu erzielen, ist eine an den Unternehmenszielen ausgerichtete, passgenaue Datenstrategie unabdingbar. Erst sie ermöglicht es, die gewünschten Mehrwerte aus der Datennutzung zu ziehen und ist damit eine entscheidende Bedingung für den langfristigen Erfolg der digitalen Transformation.

Was ist eine Datenstrategie?

Eine Datenstrategie ist ein Plan, der beschreibt, wie ein Unternehmen Daten sammelt, verwaltet, weitergibt und nutzt. Ziel ist es, die vorhandenen Daten so nutzbar zu machen, dass sie zu einem Datenschatz werden („data as an asset“), mit dessen Hilfe Arbeitsprozesse optimiert und datengetriebene Projekte in den operativen Betrieb überführt und skaliert werden können.

Um dies zu erreichen, ist es wichtig, den Compliance-Aufwand frühzeitig richtig einzuschätzen. Dazu muss die „Legal Data Governance“ feinjustiert werden. Dies gilt insbesondere vor dem Hintergrund, dass die rechtlichen Anforderungen an das datengetriebene Projekt mit dem potenziellen Ertrag des Datenschatzes wachsen. Deswegen ist es von essenzieller Bedeutung, frühzeitig Personen mit rechtlicher Expertise einzubinden. Aufwändige rechtlich geforderte Nachdokumentationen können Ihre Projekte lähmen und das ist nur die Spitze des Eisbergs: Eine Fehleinschätzung der Legal Data Governance in KI-Projekten kann sogar zu Zwangsabschaltungen führen. Wenn das datengetriebene Projekt schließlich den gewünschten Ertrag bringt, haben sich die Anfangsinvestitionen in die Datenstrategie gelohnt und Sie haben Ihre Daten monetarisiert, also metaphorisch gesprochen den Datenschatz gehoben.

Kontaktieren Sie uns für Ihre erfolgreiche Datenstrategie

Sie suchen nach einer erfolgreichen Datenstrategie für Ihr Unternehmen? Dann sind Sie bei uns genau richtig. Wir unterstützen Sie dabei, passgenaue Datenstrategien zu entwickeln und damit Ihre Geschäftsziele zu erreichen.

Kostenfreien Kennenlerntermin vereinbaren

Legal Data Governance und ihr rechtlicher Rahmen

Bei der rechtlichen Flankierung des Projekts steht das Datenrecht im Vordergrund, da es teilweise genuin auf Daten bezogene Regelungen enthält. Das Datenrecht umfasst verschiedene Regelungsbereiche, zum einen das Datenschutzrecht, zum anderen das Datenwirtschaftsrecht mit seinen Teilgebieten Datenregulierungsrecht und Datenprivatrecht. Während das Datenschutzrecht mit der Datenschutz-Grundverordnung (DSGVO) den Schutz personenbezogener Daten zum Gegenstand hat, zielt das Datenwirtschaftsrecht zuvörderst auf die Nutzbarkeit und Handelbarkeit von Daten, auch von nicht personenbezogen Daten, ab. Der Fokus der Legal Data Governance hat sich hierbei in letzter Zeit immer mehr auf das Datenregulierungsrecht verlagert, das auf europäischer Ebene mit zahlreichen Rechtsakten für verschiedene Sektoren bzw. Bereiche immer weiter spezifiziert wurde. Die DSGVO wird übrigens wegen ihrer Technologieneutralität als „law of everything“ bezeichnet und hat daher – sobald es um personenbezogene Daten geht – Vorrang vor anderen digitalen Rechtsakten und ist damit auch für KI-Anwendungen relevant.

Zu den wichtigsten Rechtsakten zählen der AIA (Artificial Intelligence Act), der DA (Data Act), der DSA (Digital Services Act), der DGA (Data Governance Act), der DMA (Digital Markets Act) und der EHDS (European Health Data Space).

 

Der Weg zur Datenwertschöpfung

Am Beginn einer jeden Datenstrategie steht die Vision des betreffenden Unternehmens. Sie entscheidet über das weitere Vorgehen, die Auswahl der Daten, die Wahl der Analysewerkzeuge und die Wahl der Mittel zur Planung und Steuerung des Projekts. Das Geschäftsmodell, die Marktsituation und die Vision für die Datennutzung sollten ausschlaggebend sein, um zu Beginn die richtigen Weichen zu stellen. Kurz: Was ist das Ziel Ihres Unternehmens und was versprechen Sie sich von einer Datenstrategie?

Sind diese Fragen beantwortet, geht es nun um die Daten selbst. Welche Daten kommen für Ihre Datenstrategie und ihre Datennutzungsziele in Frage? Sind diese intern verfügbar oder müssen externe Daten beschafft werden, um Lücken zu schließen (je nach Use Case können Daten über Drittanbieter wie z.B. datomize, hazy oder neurolabs.ai zugekauft werden)? Wenn ja, wie hoch sind die Kosten und wie oft werden die Daten aktualisiert? Allgemein ist es empfehlenswert, die Datenstrategie auf die Bewältigung von Echtzeitdaten auszurichten, mit denen heute alle Unternehmen zunehmend konfrontiert sind. Ihre Auswertung schafft einen direkten Vorteil gegenüber Wettbewerbskonkurrenten und kann bei Nichtberücksichtigung im schlimmsten Fall dazu führen, dass Konzerne den Anschluss verlieren. Wenn Sie die entsprechenden Daten identifiziert haben, ist in einem weiteren Schritt die Frage zu beantworten, wie die Daten operationalisiert werden sollen (Data Warehouse, Data Lake oder Data Lakehouse?). In jedem Fall sind automatisierte und vorkonfigurierte Data Pipelines zu empfehlen (automated data movement), denn so werden Data Engineers von manueller Pipelinepflege entlastet und können sich auf den Bereich der Datenanalyse konzentrieren. Dies beschleunigt den gesamten Prozess hin zur Datenwertschöpfung. Sodann gilt es, die entsprechenden Tools, passend zur Datenstrategie Ihres Unternehmens auszuwählen. Dazu gehört zum Beispiel das Data Maturity Assessment, das eine Grundlage dafür bietet, die Fähigkeiten und Reife einer Organisation in Bezug auf ihre Datennutzung und Datenstrategie zu bewerten. Eine analytische Reifegradbewertung ist insoweit bedeutsam, als sie Ihnen einen Einblick in den aktuellen Zustand Ihrer Daten und Analysefähigkeiten gibt und damit die Möglichkeit bietet, Lücken bzw. Schwachstellen in ihren aktuellen Systemen zu erkennen und diese zu beheben. Ein weiteres wichtiges Datenanalysetool ist daneben das sog. Data Flow Mapping. Hierbei werden alle Datenflüsse visuell kenntlich gemacht, um die Datenprovenienz nachzuvollziehen (Data Lineage). Damit gewinnen Sie nicht nur einen Überblick über die Fülle an Daten, sondern auch gemeinsam mit anderen Stakeholdern ein gemeinsames Verständnis in Hinblick auf datenrechtliche Fragen (z.B. anwendbares Recht, Verarbeitungsvorgänge, Rechtsgrundlagen, Problematik des Drittlandtransfers,..).

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 3 und 4?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

 

Im Rahmen von Datenschutz-Folgenabschätzungen (DSFA) wird das Data-Flow-Mapping übrigens schon lange als strategisch wichtiges Werkzeug genutzt. Die besondere Herausforderung besteht mit Blick auf eine gelungene Datenstrategie darin, die Data Flow Maps auch auf nicht personenbezogene Daten zu erweitern, um so auch den aktuellen Digital-Verordnungen, wie z. B. dem DA gerecht zu werden, die sich teilweise auch auf nicht personenbezogene Daten beziehen. Das Data Flow Mapping kann außerdem bei der Datenkuratierung (Datenpflege und -management) helfen und gilt mit Blick auf die Bereiche Datenmigration und -integration als Tool zur Qualitätssicherung. Es ist übrigens empfehlenswert, dass Data Flow Mapping mit einem weiteren Werkzeug zu verbinden, dem Data Catalog. Dabei handelt es sich um ein Glossar zur Kontextualisierung und Klassifizierung der Daten, in dem Informationen wie Zugangsdaten und Zugriffsmöglichkeiten auf die Datenquellen, Beschreibungen der Datenquellen, Tabellennamen, Attribute oder Datentypen gespeichert werden. Die Daten können auch mit entsprechenden rechtlichen Bedingungen versehen werden.

In einem letzten Schritt muss im Rahmen der Planung und Steuerung auch sichergestellt werden, dass die notwendige IT-Infrastruktur für die technische Umsetzung bereitsteht und ein agiles Projektmanagement gewährleistet ist. Darüber hinaus muss das Team auf die Datenstrategie vorbereitet werden. Zum Teambuilding gehört unter anderem die Besetzung der datenbezogenen Rollen. Klassischerweise werden vier Rollen besetzt: Der Data Stewart, der Data Owner, der Data User und der Data Manager. Diese Maßnahmen zeitigen dann Erfolg, wenn Sie in Ihrem Unternehmen insgesamt eine Data Culture, also eine datengetriebene Unternehmenskultur, etablieren und damit ein Umfeld schaffen, in dem die Ziele einer Datenstrategie auf fruchtbaren Boden fallen können. Im Rahmen einer erfolgreichen datengetriebenen Unternehmensstruktur muss etwa sichergestellt sein, dass Daten als Vermögenswert angesehen werden. Data Culture betrifft zudem nicht nur die IT-Abteilungen, sondern beginnt bei den Mitarbeitern und Mitarbeiterinnen an der Basis, denen die Daten ebenfalls zugänglich gemacht werden müssen. Organisatorische Zugriffsbeschränkungen und Datensilos müssen beseitigt werden. Auch dürfen Data Owner nicht das Gefühl haben, durch Preisgabe der Daten an Bedeutung zu verlieren. Um all dies zu erreichen, können sich alle Beteiligten bestimmten Regelungen wie beispielsweise einem Code of Conduct verpflichten.

Gemeinsam zu Ihrer wertschöpfenden Datenstrategie

Eine effektive Datenstrategie ermöglicht es, Erkenntnisse und Entscheidungen aus aussagekräftigen Daten abzuleiten, bestehende Prozesse gezielt zu optimieren und neue Geschäftsmodelle und -chancen zielgerichtet zu entwickeln. Gleichzeitig erfordert eine erfolgreiche Datenstrategie ein hohes Maß an Vorüberlegungen und Vorarbeit. Unsere langjährig erfahrenen Expertinnen und Experten fördern Ihr datengetriebenes Denken und schöpfen das Potenzial Ihrer Daten voll aus.

Unser Leistungsportfolio:

  • Entwicklung einer passgenauen Datenstrategie für Ihr Unternehmen
  • Verschlankung Ihrer internen Datenprozesse und Erhöhung Ihrer Konkurrenzfähigkeit
  • Begleitung bei der Implementierung der Datenstrategie in die Unternehmens-DNA

Der Beitrag gab einen Überblick über die wichtigsten Voraussetzungen und Rahmenbedingungen einer erfolgreichen Datenstrategie für datengetriebene Unternehmen und beruht auf unserem ISiCO-Frühstücks-Workshop vom 8. November 2023. Im digitalen Zeitalter, in dem Datenschutz und Datenstrategien über den Erfolg von Unternehmen entscheiden, setzen unsere regelmäßig stattfindenden Frühstücks-Workshops neue Maßstäbe. Mit unseren IT- und Datenschutzexperten sowie führenden Rechtsanwälten informieren wir Sie aktuell und praxisnah über die neuesten Trends, Gesetzesänderungen und technologischen Entwicklungen. Auch über den Frühstücks-Workshop hinaus stehen wir Ihnen gerne zur Verfügung, um Ihre Fragen aus der Veranstaltung zu vertiefen und Sie individuell zu spezifischen Herausforderungen zu beraten.

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …