Data-Governance-Richtlinie: Ein praktischer Leitfaden

Ein Daten-Asset kann verfügbar sein und perfekt geeignet erscheinen, aber dennoch ein erhebliches Risiko bergen. Ohne Kontext bleiben entscheidende Fragen unbeantwortet: ob die Daten regulierte Attribute enthalten, ob sie über Regionen hinweg geteilt werden dürfen, ob sie für die Modelleingabe freigegeben wurden und ob Aufbewahrungsregeln oder domänenspezifische Kontrollen weiterhin in Kraft sind.

Das Problem verschärft sich, wenn Daten durch mehr Systeme fließen, durch Self-Service-Zugriff mehr Nutzer:innen erreichen und mehr Arbeitsarten unterstützen – jeweils mit unterschiedlichen Anforderungen an die Handhabung. Eine Governance-Richtlinie legt klare Regeln für die Datennutzung, Eigentümerschaft und Verantwortlichkeit fest, die vorgeben, wie Daten bei ihrer Bewegung durch die Umgebung behandelt werden.

Eine Data-Governance-Richtlinie ist das formelle Regelwerk, das definiert, wie ein Unternehmen seine Daten klassifiziert, speichert, teilt, nutzt und wie es auf sie zugreift. Sie bietet Teams einen dokumentierten Standard für den Umgang mit Daten über Geschäftsbereiche, Systeme, Gerichtsbarkeiten und Workflows hinweg und erklärt gleichzeitig, wie diese Regeln innerhalb der Plattformen durchgesetzt werden, in denen Daten erstellt, kontrolliert und analysiert werden.

Eine Data-Governance-Richtlinie ist nicht dasselbe wie ein Data-Governance-Framework, das das breitere Betriebsmodell, die Rollen und Prozesse rund um die Governance definiert. Eine Richtlinie ist eines der spezifischen Regelwerke innerhalb eines Frameworks, das sich auf die Regeln selbst konzentriert: was erlaubt ist, was eingeschränkt ist, wer Ausnahmen genehmigt und wie die Compliance im Laufe der Zeit aufrechterhalten wird.

In modernen Umgebungen muss eine Richtlinie End-to-End nachvollziehbar sein – von Risikoentscheidungen über Kontrollen und Eigentümerschaft bis hin zu Nachweisen –, insbesondere wenn kontrollierte Daten in Analytics, maschinellem Lernen, generativer KI und funktionsübergreifenden Abläufen wiederverwendet werden.

Weitere Informationen zu den Kernprinzipien und Best Practices hinter der Governance finden Sie unter Was ist Data Governance?

Die meisten Unternehmen haben bereits Regeln für Daten. Das Problem ist, dass diese Regeln oft über Datenschutzhinweise, Sicherheitskontrollen, Aufbewahrungspläne, Zugriffs-Workflows, rechtliche Prüfprozesse und teamspezifische Konventionen verteilt sind. Wenn Daten über Plattformen, Geschäftsdomänen und KI-gestützte Workflows hinweg verschoben werden, wird es schwieriger zu erkennen, welche Regeln gelten, wer die Entscheidung trifft und ob derselbe Standard konsistent durchgesetzt wird.

Eine Data-Governance-Richtlinie hilft Unternehmen, agil zu bleiben, indem sie es den Mitarbeitenden ermöglicht, Daten unter klar verständlichen Regeln zu finden, anzufordern und zu nutzen. Sie kann dazu beitragen, die Compliance-Bereitschaft zu verbessern, indem sie definiert, wie das Unternehmen mit Klassifizierung, Datenschutz, Aufbewahrung und Nachweisen umgeht. Und da eine Governance-Richtlinie dabei hilft, Genehmigungen, Einschränkungen und Ausnahmen von einem Team, einer Plattform oder einem Anwendungsfall zum anderen zu definieren, unterstützt sie die Zugriffskontrolle und Auditierbarkeit.

Darüber hinaus verlangen Datenschutzvorschriften wie die DSGVO und das Bundesdatenschutzgesetz (BDSG) Unternehmen dazu, festzulegen, wie personenbezogene Daten erfasst, aufbewahrt und geteilt werden und wie auf sie zugegriffen wird. Die KI-Governance führt eine weitere Ebene von Richtlinienanforderungen ein, da Teams nun explizite Regeln dafür benötigen, ob kontrollierte Daten für das Modelltraining, Retrieval-Augmented Generation (RAG), automatisierte Entscheidungsunterstützung oder andere LLM-gesteuerte Workflows verwendet werden dürfen.

Ohne die Struktur einer formellen Richtlinie könnte ein Team regulierte Daten auf eine Weise wiederverwenden, die der:die ursprüngliche Eigentümer:in nie genehmigt hat. Oder verschiedene Geschäftsbereiche wenden unterschiedliche Regeln auf dieselben Daten an, was Entscheidungen verlangsamt, das Compliance-Risiko erhöht und die Durchsetzung der Governance in großem Maßstab erschwert. Im Laufe der Zeit können Unternehmen einem erhöhten Risiko von regulatorischen Verstößen, Datenmissbrauch, fehlgeschlagenen Audits und isolierter Entscheidungsfindung ausgesetzt sein.

Eine Data-Governance-Richtlinie muss verschiedene Kategorien von Richtlinienentscheidungen abdecken, von Eigentümerschaft und Klassifizierung bis hin zu Zugriff, Aufbewahrung und Audit.

Zu den Kernkomponenten gehören in der Regel:

• Geltungsbereich und Anwendbarkeit: Legen Sie fest, welche Daten, Systeme, Geschäftsbereiche, Gerichtsbarkeiten und Anwendungsfälle die Richtlinie abdeckt.
• Rollen und Verantwortlichkeiten: Bestimmen Sie, wer für die Richtlinie verantwortlich ist, wer Ausnahmen genehmigt, wer Kontrollen durchsetzt und wer die Richtlinie pflegt, wenn sich Vorschriften, Systeme und geschäftliche Nutzungen ändern. Dazu gehören in der Regel Data Owner, Data Stewards, Custodians, rechtliche und Compliance-Verantwortliche, Sicherheitsteams und ein Governance-Rat.
• Data-Classification-Standards: Legen Sie fest, wie das Unternehmen zwischen öffentlichen, internen, vertraulichen, regulierten und anderweitig sensiblen Daten unterscheidet. Diese Definitionen bilden die Grundlage für Kennzeichnungen, Handhabungsregeln, Zugriffsentscheidungen und nachgelagerte Kontrollen.
• Zugriffs- und Nutzungsregeln: Legen Sie fest, wer Daten zu welchem Zweck, unter welchen Bedingungen und mit welchen Genehmigungen nutzen darf. Dies umfasst den routinemäßigen Analytics-Zugriff, funktionsübergreifendes Sharing, den Zugriff durch Dritte und KI-Anwendungsfälle wie Model Grounding, Prompt Enrichment oder automatisierte Entscheidungsunterstützung.
• Compliance und regulatorische Ausrichtung: Erklären Sie, wie die Richtlinie Verpflichtungen wie die DSGVO, das BDSG, NIS2, DORA (im Finanzsektor) sowie GoBD-Aufbewahrungspflichten abbildet. Eine Richtlinie muss nicht ganze Vorschriften wiederholen, sollte aber aufzeigen, welche Verpflichtungen gelten, welche Kontrollen diese unterstützen und wer für die Nachweise verantwortlich ist.
• Regeln für Datenaufbewahrung und -lebenszyklus: Legen Sie fest, wie lange Daten aufbewahrt werden müssen, wann sie archiviert und wann sie gelöscht werden sollen und wie Konflikte gehandhabt werden, wenn Datensätze überschneidenden geschäftlichen, rechtlichen oder regulatorischen Anforderungen unterliegen.
• Durchsetzungs- und Audit-Anforderungen: Legen Sie fest, wie das Unternehmen die Einhaltung der Richtlinie überprüft, einschließlich technischer Kontrollen, Protokollierung, Ausnahmebehandlung, Bescheinigungen, Überprüfungszyklen und Audit-Nachweisen.

In der Governance-Richtlinie werden externe Verpflichtungen zu operativen Regeln. Die Richtlinie übersetzt Gesetze, Vorschriften und unternehmerische Verpflichtungen in klare Entscheidungen darüber, wer auf Daten zugreifen darf, wie sie genutzt werden dürfen, wie lange sie aufbewahrt werden müssen und wie Compliance nachgewiesen wird.

Mehrere Kategorien von Anforderungen prägen diese Richtlinien, darunter die folgenden:

Datenschutz UND DATENSICHERHEIT

Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) legen strenge Anforderungen dafür fest, wie personenbezogene Daten erfasst, genutzt und geschützt werden. Sie definieren Konzepte wie die rechtmäßige Grundlage für die Verarbeitung, die Rechte der betroffenen Personen (wie Zugriff, Löschung und Berichtigung), Rechenschaftspflicht und Privacy by Design.

Weitere Informationen dazu, wie sich die DSGVO auf Governance-Richtlinien auswirkt, finden Sie unter DSGVO-Data-Governance.

Eine Governance-Richtlinie hilft Unternehmen, Prozesse und Praktiken auf diese rechtlichen Anforderungen abzustimmen, einschließlich Data Classification, Zugriffskontrollen, Datenminimierung und Auditierbarkeit.

Data Sharing und Wiederverwendung

Der EU Data Governance Act (DGA) ergänzt die DSGVO. Er konzentriert sich auf die Ermöglichung von vertrauenswürdigem Data Sharing und führt Frameworks für die Wiederverwendung bestimmter geschützter Daten des öffentlichen Sektors ein. Er enthält zudem Vorschriften für Datenvermittler und Data-Sharing-Dienste innerhalb der EU.

In Deutschland trat das Daten-Governance-Gesetz (DGG) im April 2026 in Kraft und setzt den DGA in nationales Recht um. Es regelt die Wiederverwendung öffentlicher Daten und den Betrieb von Datenvermittlungsdiensten – mit der Bundesnetzagentur als zuständiger nationaler Aufsichtsbehörde.

Diese Anforderungen prägen die Governance-Richtlinie, indem sie Unternehmen dazu verpflichten, klare Regeln dafür zu definieren, wann und wie Daten geteilt werden dürfen, unter welchen Bedingungen sie wiederverwendet werden können und wie das Vertrauen über organisatorische oder regionale Grenzen hinweg aufrechterhalten wird.

Datenhoheit und Datenresidenz

Datenhoheit bedeutet, dass Daten den Gesetzen der Gerichtsbarkeit unterliegen, in der sie erfasst werden, während sich Datenresidenz darauf bezieht, wo sie physisch gespeichert sind. Beide Konzepte wirken sich direkt darauf aus, wie Unternehmen ihre Datenumgebungen gestalten.

Die Governance-Richtlinie muss diese Einschränkungen berücksichtigen, insbesondere bei regionsübergreifenden Analytics, Partnerschaften und KI-Anwendungsfällen – und definieren, wohin Daten verschoben werden dürfen, wer darauf zugreifen kann und welche Gesetze in jeder Phase gelten.

Initiativen wie Gaia-X schaffen in Deutschland und Europa zusätzliche Rahmenbedingungen für souveräne Cloud-Infrastrukturen und transparente Datenökosysteme, die diese Anforderungen technisch unterstützen.

Datenethik und verantwortungsvolle KI-Nutzung

Datenethik definiert, wie Daten genutzt werden sollten, wenn rechtliche Vorgaben unvollständig sind oder sich noch entwickeln. Dies umfasst Überlegungen wie Fairness, Bias-Minderung, Transparenz und verantwortungsvolle KI-Nutzung. Governance-Richtlinien formalisieren diese Erwartungen oft, insbesondere dort, wo datengestützte Ergebnisse Entscheidungen, Kund:innen oder nachgelagerte Aktionen beeinflussen.

Weitere Informationen dazu, wie Governance-Richtlinien die Compliance unterstützen, finden Sie unter Data Governance und Compliance.

Nicht alle Governance-Entscheidungen sind durch Vorschriften getrieben. Viele sind operativer Natur: Sie definieren, wie auf Daten zugegriffen wird und wie sie verwaltet und gepflegt werden, während sie alltägliche Workflows durchlaufen. Diese Richtlinien sollen Einheitlichkeit, Skalierbarkeit und Kontrolle über Teams und Systeme hinweg fördern.

Datenzugriff und Zugriffskontrolle

Zugriffsrichtlinien definieren, wer auf welche Daten zugreifen kann, unter welchen Bedingungen und zu welchem Zweck. Dies umfasst Entscheidungen über das Rollendesign, Genehmigungs-Workflows und die angemessene Nutzung.

Die Zugriffskontrolle ist die technische Durchsetzung dieser Richtlinien durch Mechanismen wie rollenbasierte Zugriffskontrolle (RBAC), attributbasierte Zugriffskontrolle (ABAC) und das Prinzip der geringsten Rechte (Least Privilege). Zusammen sollen sie dazu beitragen, dass Daten nur den entsprechenden Nutzer:innen zur richtigen Zeit zur Verfügung stehen.

Datenaufbewahrung

Aufbewahrungsrichtlinien legen fest, wie lange Daten gespeichert werden sollen, wann sie archiviert werden sollen und wann sie gelöscht werden müssen. Diese Entscheidungen beinhalten oft Kompromisse zwischen Kosten, Performance, Compliance und analytischem Wert. Da dieselben Daten für Reporting, den operativen Betrieb, Audit-Nachweise und KI-Anwendungsfälle genutzt werden können, müssen Aufbewahrungsregeln explizit sein, konsistent angewendet und regelmäßig überprüft werden.

Governance-Standards

Governance-Standards bieten die Struktur, die Governance-Richtlinien wiederholbar und skalierbar macht. Sie definieren Erwartungen an Namenskonventionen, Metadaten, Data Classification, Stewardship-Rollen, Qualitätsschwellenwerte und Kontrollmuster.

Durch die Standardisierung dieser Elemente vermeiden Unternehmen, Governance-Ansätze für jeden Bereich neu erfinden zu müssen, und stellen eine konsistente Implementierung über Plattformen und Teams hinweg sicher.

Unter Data Governance in Snowflake erfahren Sie, wie Snowflake Governance-Kontrollen implementiert.

Da sich Datennutzung, Risiken und Anforderungen ändern, müssen sich auch Data-Governance-Richtlinien entsprechend weiterentwickeln. Ein vierstufiger Lebenszyklus – Bewerten, Entwerfen, Bereitstellen und Prüfen – bietet eine praktische Möglichkeit, diesen fortlaufenden Prozess zu steuern.

Bewerten

In der Bewertungsphase identifizieren Teams anwendbare Datenbereiche, regulatorische Verpflichtungen, Risikomuster und aktuelle Kontrolllücken. Dies umfasst den Input von Rechts-, Compliance- und Sicherheitsteams sowie von Data Ownern und Stewards, die verstehen, wie Daten in der Praxis genutzt werden. Das Ziel ist es, den Umfang zu definieren und zu verstehen, wo Richtlinien benötigt werden, wo Risiken bestehen und welche Anforderungen erfüllt werden müssen.

Entwerfen

Die Entwurfsphase umfasst die Definition von Regeln, Rollen und Verantwortlichkeiten, Zugriffserwartungen, Aufbewahrungsanforderungen, Ausnahmen und Überprüfungsprozessen. Governance-Gremien oder ähnliche Institutionen überprüfen und genehmigen diese Richtlinien oft, während Vorlagen dazu beitragen, die Einheitlichkeit der Struktur von Richtlinien über verschiedene Bereiche hinweg sicherzustellen.

Viele Teams finden Data-Governance-Vorlagen hilfreich für die ersten Schritte und um die Richtlinienentwicklung bereichsübergreifend konsistent zu halten. Sie bieten eine gemeinsame Struktur, die die Überprüfung vereinfacht und dabei hilft, Richtlinien bei ihrer Weiterentwicklung aufeinander abzustimmen.

Bereitstellen

In der Bereitstellungsphase werden Richtlinien durch Workflows und technische Kontrollen implementiert. Dies umfasst die Konfiguration von Zugriffskontrollen, die Anwendung von Data Classification, die Definition von Maskierungs- oder Row-Level-Richtlinien sowie die Einbettung von Governance in Datenpipelines und Workflows von Nutzer:innen.

Moderne Plattformen machen Richtlinien durchsetzbar. Snowflake ermöglicht beispielsweise Maskierungsrichtlinien, Row Access Policies, Objekt-Tags, Data Classification für sensible Daten und Access History als Mechanismen zum Schutz und zur Prüfung kontrollierter Daten. Horizon Catalog erweitert diese Kontrollen über einen breiteren Datenbestand mit gemeinsamen Metadaten und Richtlinienverhalten.

Audit

In der Prüfungsphase testen Unternehmen, ob Richtlinien befolgt werden und ob Kontrollen wie vorgesehen funktionieren. Ein Audit-Programm umfasst das Monitoring von Zugriffsmustern, die Überprüfung von Ausnahmen und die Validierung der Einhaltung definierter Regeln. Audit-Ergebnisse treiben Behebungsmaßnahmen und Aktualisierungen voran und schaffen so einen kontinuierlichen Verbesserungszyklus, der die Governance an sich ändernde Datennutzung, Risiken und regulatorische Anforderungen anpasst.

Kehren wir zu dem Szenario vom Anfang dieses Leitfadens zurück: Ein Daten-Asset ist verfügbar, es sieht passend aus, und jemand muss entscheiden, ob er es sicher nutzen kann.

Ohne eine klare Governance-Richtlinie bleibt es der Einzelperson überlassen, die richtigen Stakeholder ausfindig zu machen und wichtige Entscheidungen zu rekonstruieren – die ursprüngliche Klassifizierung zu finden, zu bestätigen, ob sich Aufbewahrungsregeln geändert haben, festzustellen, ob eine regionenübergreifende Übertragung zulässig ist, und zu beurteilen, ob die beabsichtigte Nutzung jemals genehmigt wurde. Antworten sind oft langsam oder unvollständig, und Entscheidungen werden letztendlich aufgrund von Annahmen getroffen.

Mit einer funktionierenden Governance-Richtlinie hat die Einzelperson eher einen unkomplizierten Prozess, den sie befolgen kann. Die Klassifizierung ist dokumentiert, die Eigentümerschaft ist definiert und genehmigte Anwendungsfälle sind explizit, sodass sie die benötigten Informationen hat – oder genau weiß, wo sie diese finden kann.