Unglaublich, aber wahr: Auch Data Governance hat eine sehr attraktive Seite. So attraktiv, dass Compliance schnell zu eurem besten Freund wird (#friendzone)
Ihr braucht Data Governance mehr als sie euch
Was Data Governance so attraktiv macht
Wenn es euch schon beim Gedanken an Data Governance schaudert, macht ihr etwas falsch. Wahrscheinlich wird Data Governance in eurem Unternehmen stark unterschätzt. Dabei birgt sie ein riesiges Potenzial, euren Umgang mit Daten und euer ganzes Geschäft zu transformieren – wenn ihr das richtige Mindset mitbringt (und unser neues E-Book lest). Betrachtet Data Governance daher nicht als lästigen Compliance-Schritt, sondern als Katalysator für Veränderung. Warum das so ist und welche brandaktuellen Compliance-Trends es in der EU gibt, erfahrt ihr in diesem Blog. Lest einfach weiter und ich kann euch versprechen: Auch ihr werdet Data Governance lieben lernen!
Data Governance wartet schon lange auf ein Date
Warum jetzt die beste Zeit ist, Data Governance mit neuen Augen zu betrachten
Auch wenn ihr Data Governance bisher ignoriert habt – es ist nie zu spät, sie mit anderen Augen zu betrachten. Aktuell sprechen sogar 3 gute Gründe dafür:
- Das Datenmanagement wird immer umfangreicher und sorgt für immer komplexere Umgebungen.
- Andere Unternehmen haben bereits den konstant steigenden Wert ihrer Daten erkannt und nutzen ihn erfolgreich (so wie diese Splunk-Kunden) – wer nicht mitzieht, droht abgehängt zu werden.
- Neue gesetzliche Vorschriften setzen die Compliance-Messlatte noch höher als bisher.
Angesichts neuer Regelwerke erscheint Data Governance heute besonders dringlich. Aber eigentlich war sie das schon immer. Euer Ziel sollte also sein, Compliance von einer lästigen Nebensache zur Herzensangelegenheit zu machen. Denn damit legt ihr das Fundament für langfristigen Erfolg (ein Ratschlag, der übrigens auch beim echten Dating empfehlenswert ist).
Data Governance: Zeit für ein neues Profil
Was Data Governance wirklich bedeutet
Auf den ersten Blick wirkt das Profil von Data Governance etwas spröde. Aber bevor ihr nach links swipt, solltet ihr euch ansehen, was Data Governance alles auf dem Kasten hat – nämlich einiges. Sie kann z. B. …
- … die Datenqualität sicherstellen,
- … Datenstandorte optimieren,
- … eine effektive Verwaltung von Daten-Assets ermöglichen,
- … Datenkomplexität reduzieren und Silos beseitigen,
- … zur gemeinsamen (Wieder-)Verwendung von Daten anregen,
- … Mitarbeitern helfen, Daten besser zu verstehen und besser mit ihnen umzugehen,
- … zu einer starken Datenkultur beitragen
- … und noch einiges mehr.
Eine vollständige Liste findet ihr hier.
Ihr seht: Data Governance ist viel mehr als nur Datensicherheit, Datenschutz, rechtliche Verpflichtungen und Compliance-Rahmen. Sie ist keine lästige Compliance-Checkliste, die bloß Zeit und Geld kostet, im Gegenteil: Compliance kann euer Geschäft kräftig ankurbeln. Schließlich bestimmen Compliance-Anforderungen die Ressourcen-, Personal- und Zeitplanung von Unternehmen mit. Und: Wer Data Governance vernachlässigt, muss mit einer saftigen Geldstrafe durch die Aufsichtsbehörden rechnen.
Neue Vorschriften sind also eine Gelegenheit, eure Data Governance zu verbessern – nutzt sie!
Gesetze, Verpflichtungen, Regularien … und mehr!*
Wir bei Splunk sagen oft, dass Security ein Datenproblem ist. Um zu verstehen, was sich in der aufregenden Welt der Sicherheits- und Daten-Compliance gerade so tut, werfen wir doch einfach einen Blick auf die europäische und deutsche Gesetzeslage.
Und falls euch das noch nicht reicht, könnt ihr in unseren fremdsprachigen Blogs nachlesen, wie es in Frankreich 🇫🇷 und Großbritannien 🇬🇧 aussieht.
Europäische Union 🇪🇺
NIS2, der Daten-Governance-Rechtsakt und das neue EU-Datengesetz
Das Jahr 2023 hat sowohl für den Gesetzgeber als auch für Compliance-Profis einiges auf Lager. Neben alten Bekannten wie der Datenschutz-Grundverordnung (DSGVO) sind in diesem Jahr nämlich auch neue Verpflichtungen zu beachten: die NIS2-Richtlinie und der Daten-Governance-Rechtsakt der EU (Data Governance Act, DGA).
Seit ihrer Verabschiedung im letzten Jahr hat die NIS2-Richtlinie – das Herzstück der europäischen Gesetzgebung zur Cybersicherheit – viel Aufsehen erregt. Sie enthält Verpflichtungen zur Berichterstattung und zum Risikomanagement, die auf ein höheres Sicherheitsniveau und mehr Resilienz in kritischen Sektoren abzielen. Außerdem wurde der Anwendungsbereich der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen ausgeweitet. Mehr über NIS2 und die Position von Splunk dazu erfahrt ihr in diesem Blogbeitrag.
In vielen Sektoren gewinnt die gemeinsame Datennutzung immer mehr an Bedeutung, vor allem im Bereich der Cybersecurity. Der EU-Daten-Governance-Rechtsakt, der im September 2023 in Kraft treten wird, zielt darauf ab, die gemeinsame Datennutzung sektoren- und grenzüberschreitend zu erleichtern, um die Datennutzung stärker zum Vorteil europäischer Bürger und Unternehmen zu gestalten. Das Gesetz ist in die europäische Datenstrategie eingebettet und soll den Austausch von B2B-Daten ganz im Sinne des „Datenaltruismus“ fördern: Daten sollen für Zwecke von allgemeinem Interesse nutzbar gemacht werden und damit dem Wohle aller zugutekommen.
Datengesetz (Data Act)
Aber das ist noch nicht alles: Die EU wird wahrscheinlich noch 2023 die Verhandlungen über ein neues Datengesetz abschließen. Dieses soll regeln, wer Daten, die gemäß des DGA geteilt wurden, verwerten darf und zu welchen Bedingungen. Aller Voraussicht nach wird das neue Gesetz Unternehmen verpflichten, bestimmte Datensätze auch anderen Unternehmen sowie öffentlichen Stellen zugänglich zu machen, sofern ein „außergewöhnlicher Bedarf“ für die Nutzung dieser Daten besteht. Im Gegenzug dürfte der Dateninhaber Anspruch auf Entschädigung haben. Außerdem dürfte durch das Gesetz der Wechsel des Datenverarbeiters (Cloud-Service) einfacher werden, da die Interoperabilität verbessert wird und Wechselgebühren abgeschafft werden – ein wesentlicher Schritt!
Mit den neuen Regelungen hat die EU vor allem die Themen Daten und Sicherheit im Visier. Bewegung gibt es aber nicht nur auf europäischer, sondern auch auf nationaler Ebene.
Deutschland 🇩🇪
Die deutsche Datengesetzgebung gleicht einem Stückwerk, was bei Unternehmen für einige rechtliche Verunsicherung sorgt. Aus diesem Grund will die Bundesregierung den öffentlichen Sektor zum digitalen Pionier machen – so jedenfalls geht es aus der deutschen Datenstrategie hervor. Ziel ist letztlich eine datenfreundlichere Umgebung, in der die Privatwirtschaft leichter Nutzen aus ihren Daten schöpfen kann.
IT-Sicherheitsgesetz 2.0: Seid ihr „KRITIS“?
Organisationen mit zentraler Bedeutung für die öffentliche Versorgung gelten in Deutschland als sogenannte kritische Infrastrukturen, kurz „KRITIS“. Angesichts der Wichtigkeit und engen Verzahnung dieser Infrastrukturen sieht der Gesetzgeber hier erhöhten Regulierungsbedarf. So sind KRITIS-Betreiber ab Mai 2023 gesetzlich verpflichtet, SIEM- und SOC-Systeme anzuwenden.
Viele Unternehmen wissen allerdings gar nicht, dass sie dieser Regelung unterliegen. Grund dafür ist das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), das mit seinem Inkrafttreten 2021 erstmals eine große Zahl von Infrastrukturbetreibern betraf. Obwohl es KRITIS-Betreibern besonders strenge Sicherheitsmaßnahmen auferlegt, bietet es zugleich eine hervorragende Chance, das Thema Data Governance aus Datenschutzperspektive neu zu denken. Immerhin nahm das IT-SiG 2.0 schon einige Neuerungen aus der späteren NIS2-Richtlinie vorweg.
In der Praxis bedeutet dies strengere Cybersecurity-Vorschriften für deutlich mehr KRITIS-Betreiber und andere Unternehmen. Und in den kommenden 18 Monaten stehen – (auch) dank NIS2 – weitere Veränderungen an: Mit dem KRITIS-Dachgesetz, das die Vorgaben der EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER) umsetzen soll, und dem IT-Sicherheitsgesetz 3.0 plant die Bundesregierung zusätzliche Regelungen für noch mehr Betreiber.
TIPP: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hilfreiche Best-Practice-Empfehlungen für KRITIS-Betreiber herausgegeben. Betreiber können darin nachlesen, welche Sicherheitsanforderungen sie mit ihren Lieferanten, Herstellern und Dienstleistern vereinbaren sollten. Und umgekehrt erhalten Lieferanten, Hersteller und Dienstleister einen Überblick darüber, was sie Betreibern kritischer Infrastrukturen anbieten bzw. in ihren Angeboten berücksichtigen sollten, um deren Bedarfe zu erfüllen. Auf unserem Blog haben wir euch übrigens schon 3 wichtige BSI-Dokumente, die jeder SIEM- & SOC-Verantwortliche kennen muss zusammengefasst. Und wenn ihr wissen möchtet, für wen das IT-SiG 2.0 wirklich gilt und welche Regeln es umfasst, legen wir euch unser Whitepaper „IT-SiG 2.0: kritische Selbstverantwortung“ ans Herz.
Zersplitterte Datenschutzlandschaft
Das wichtigste Regelwerk zum Datenschutz in Deutschland ist das Bundesdatenschutzgesetz (BDSG), das die europäische DSGVO umsetzt und ergänzt. Es enthält beispielsweise Regelungen für die Datenverarbeitung im Beschäftigungskontext, die Benennung von Datenschutzbeauftragten, Scoring und Bonitätsprüfungen, Profiling und viele weitere Themen. Grundsätzlich gilt es nur in solchen Bereichen, in denen die DSGVO nicht anwendbar ist, und in Abgrenzung zur DSGVO unterscheidet es zwischen öffentlichen und nicht öffentlichen Stellen.
Von den Regelungen des BDSG betroffen sind deutsche Unternehmen und internationale Konzerne, die in Deutschland tätig sind. Frühere Fassungen des BDSG galten als wenig unternehmerfreundlich, doch die aktuelle Version stellt in dieser Hinsicht eine Verbesserung dar, ist sie doch bemüht, neue Entwicklungen im digitalen Bereich einzubeziehen und das wirtschaftliche Umfeld zu verbessern.
Mit Blick auf Data Governance lässt sich dieses Fazit ziehen: Die wichtigste Rechtsgrundlage für Unternehmen ist bislang die DSGVO (und das BDSG, wo es die europäischen Vorschriften ergänzt) und dies wird wohl auch so bleiben.
Noch eine letzte Randbemerkung: Neben den europäischen und nationalen Vorschriften sind natürlich auch die Datenschutzgesetze der einzelnen Bundesländer zu beachten. Jedes Land verfügt über eine eigene Aufsicht, die mit der Durchsetzung der Datenschutzvorschriften betraut ist und Datenverantwortliche vor Ort reguliert.
Ihr wisst nun also, welche Vorschriften aktuell gelten und welche demnächst dazukommen werden. All diese Entwicklungen machen klar: Jetzt ist die ideale Zeit, euren Ansatz zu Compliance und Data Governance neu anzugehen.
„Es liegt nicht an dir, Data Governance, sondern an mir“
Lest unser E-Book zur Data Governance, um zu erfahren, wo es in eurer Beziehung bisher gehakt hat: bei euch oder bei der Data Governance?
Im E-Book behandeln wir folgende Themen:
- Was Data Governance attraktiv (und gar nicht langweilig) macht
- Warum ihr Data Governance mehr braucht als sie euch
- Data Governance im neuen Look
- Die wichtigsten Überlegungen zum Thema Datensouveränität
- Häufigste Stolpersteine für gute Data Governance
- Wichtige Fragen zur Bewertung eures Reifegrades und zu Verbesserungspotenzialen
- Warum Splunk und Data Governance zusammen ein echtes Traumpaar sind
Also ladet euch das E-Book jetzt herunter – euch erwartet ein aufregendes Rendezvous mit Data Governance ❤️!
* Diese Aufzählung ist unvollständig und die Gesetzeslage kann sich jederzeit ändern. Schaut am besten regelmäßig auf den Websites der zuständigen Behörden vorbei oder holt euch bei Bedarf fachkundigen rechtlichen Rat.
