Wenn Sie CEO, COO oder Unternehmer*in sind, brauchen Sie keine 50-seitige Definition von Data Governance. Sie brauchen Klarheit.
Können Sie jederzeit, mit gutem Gewissen, beantworten, was Ihr Unternehmen mit Daten sicher, konsistent und ohne Risiko für Vertrauen, Reputation oder Compliance tun kann?
Genau dafür gibt es Data Governance.
Data Governance wird oft als „Policies und Prozesse“ beschrieben. Das ist technisch korrekt und gleichzeitig völlig unhelpful. Ein besserer Blick darauf ist:
Data Governance ist das Operating Model, das Business-Intent in sichere, konsistente und belegbare Datennutzung übersetzt.
Wenn Governance funktioniert, bewegen sich Teams schneller, weil sie nicht mehr raten müssen. Wenn sie fehlt, verlassen sich Organisationen auf „tribal knowledge“ und Glück. Alles wirkt stabil, bis ein Incident die versteckte Fragilität sichtbar macht.
Ein einfacher Weg, Data Governance handhabbar zu machen, ist, sie als vier Säulen zu betrachten. Fehlt auch nur eine Säule, wird die gesamte Struktur wackelig.
Säule 1: Legitimität
Legitimität beantwortet eine Grundfrage: Welche Daten sollten wir erheben und warum?
Das ist mehr als reine Rechtskonformität. Es ist Disziplin. Wenn Sie Daten sammeln, die Sie nicht brauchen, schaffen Sie Risiko, Kosten und Verwirrung. Und Sie schaffen die Versuchung, sie zu nutzen „weil sie halt da sind“.
Legitimität umfasst typischerweise:
Zweck: wofür die Daten da sind
Scope: was dazugehört und was nicht
Datenminimierung: nur sammeln, was nötig ist, nicht was möglich ist
Source of Truth: wo der maßgebliche Datensatz lebt
Identifier-Strategie: wie Entitäten systemübergreifend eindeutig verfolgt werden
Diese Säule ist der Punkt, an dem viele Organisationen sich unbemerkt selbst sabotieren. Ein klassisches Beispiel sind Identifier.
Fallbeispiel: „Active customer“ bedeutete drei verschiedene Dinge
Ein mittelgroßes B2B-Unternehmen hatte im Board-Dashboard „Active customers“ als zentrale KPI. Alles sah stabil aus, bis Sales und Finance plötzlich nicht mehr dieselben Forecasts stützten.
Beim Nachsehen zeigte sich: Die Definition war an drei Stellen unterschiedlich:
Sales meinte „Kunde mit einer offenen Opportunity in den letzten 90 Tagen“
Finance meinte „Kunde mit bezahlten Rechnungen in den letzten 12 Monaten“
Operations meinte „Kunde, der in den letzten 6 Monaten bestellt hat“
Niemand lag falsch. Man beantwortete nur unterschiedliche Fragen mit demselben Label.
Die Lösung war kein neues BI-Tool. Es war Governance:
entscheiden, was „Active customer“ je Business-Frage bedeutet
Begriffe klar benennen (z.B. Active Customer, Revenue Active Customer, Pipeline Active Customer)
Logik und Owner dokumentieren
Definitionen in der Reporting-Schicht verankern, damit die Debatte nicht ständig wiederkommt
Lektion: Legitimität beginnt mit Bedeutung. Wenn das Business sich nicht auf Definitionen einigen kann, schafft kein Dashboard Klarheit.
Säule 2: Kontrollierte Nutzung
Kontrollierte Nutzung beantwortet: Wie dürfen wir Daten verarbeiten, teilen, speichern und darauf zugreifen?
Hier leben Security, Privacy, Retention und Access Controls. Aber Governance ist nicht dasselbe wie diese Disziplinen.
Security und Privacy sind das, was Sie tun. Governance ist, wie Sie es entscheiden, durchsetzen und konsistent beweisen, über Teams hinweg.
Kontrollierte Nutzung umfasst:
Zugriffskontrolle entlang echter Rollen, nicht „alle im Department“
Auditierbarkeit: wer hat was getan, wann und warum
Retention-Regeln: behalten, was nötig ist, löschen, was nicht nötig ist
Datenklassifizierung: Sensitivität und Handling-Regeln
Automatisierung, damit Controls nicht davon abhängen, dass Menschen sich erinnern
Fallbeispiel: Geteilte Accounts zerstörten Auditabiltät
Ein Unternehmen nutzte mehrere geteilte Admin-Accounts, „um Zeit zu sparen“. Das funktionierte, bis etwas schiefging und niemand mehr beweisen konnte, wer was getan hat.
Das Ergebnis war nicht nur ein Security-Problem. Es war ein Zusammenbruch von Verantwortlichkeit:
kein verlässlicher Audit-Trail
Incidents konnten nicht sauber untersucht werden
erhöhtes Risiko bei ISO- und Compliance-Audits
unangenehme Leadership-Gespräche mit dem Ende: „Wir können es auch nicht beweisen“
Die Lösung war simpel, aber nicht verhandelbar:
individuelle Accounts
Rollenbasierter Zugriff
Audit-Logs für sensible Aktionen
ein Prozess für Bevorzugten Zugang, der schnell genug ist, damit er nicht umgangen wird
Lektion: Wenn Sie Aktionen nicht einzelnen Personen zuordnen können, haben Sie keine Kontrolle. Sie haben Vibes.
Säule 3: Verantwortlichkeit
Verantwortlichkeit beantwortet: Wer ist verantwortlich und wie können wir belegen, was wir tun?
Verantwortlichkeit ist nicht „Dokumentation um der Dokumentation willen“. Sie ist das, was Governance real macht. Sie übersetzt Intent in Evidenz.
Hier bauen Sie:
Dateninventar: was Sie haben und wo es liegt
Data Dictionary: was es bedeutet, inklusive Edge Cases
Ownership-Modell: wer accountable ist für Definitionen und Risiken
Change Traceability: was sich geändert hat, wann und durch wen
Issue Handling: wie Datenprobleme triagiert und gelöst werden
Schneller Diagnosetest: Pull One Thread
Wählen Sie eine Kennzahl und verfolgen Sie sie end-to-end. Zum Beispiel: Verkaufte Artikel.
Fragen Sie:
Welches Zeitfenster nutzen wir, Tag, Woche, Monat?
Gilt das für ein Werk oder alle Werke? Eine Region oder global?
Zählen wir Artikel bei Vertragsunterzeichnung, Versand oder Bezahlung?
Wie gehen wir mit Retouren um und wann passt sich die Kennzahl an?
Was ist das Source-of-Truth-System?
Welche Transformationen passieren, bevor das im Dashboard landet?
Wer „owned“ die Definition und gibt Änderungen frei?
Wenn Ihr Team diese Fragen nicht beantworten kann, haben Sie kein Reporting-Problem. Sie haben eine Verantwortlickeitslücke.
Fallbeispiel: manuelle Änderungen ohne Timestamp
Ein Unternehmen machte „Quick Fixes“ manuell in Production, mal durch Developer, mal durch Ops, ohne konsistente Nachverfolgung. Wenn sich Zahlen änderten, konnte niemand erklären, warum.
Für Führungskräfte fühlte sich das an wie Misstrauen: „Können wir uns auf unsere Daten verlassen oder nicht?“
Die Lösung: Governance auf Changes anwenden:
keine manuellen Prod-Änderungen ohne Logging
Changes laufen über getrackte Requests, auch wenn schlank
jede Änderung hat Timestamp, Owner und Begründung
kritische Transformationen sind versioniert, damit Kennzahlen über Zeit vergleichbar bleiben
Lektion: Vertrauen in Daten ist kein Gefühl. Es ist Traceability.
Säule 4: Ethik
Ethik beantwortet die Frage, die viele Organisationen vermeiden:
Selbst wenn es legal ist, ist es richtig?
Diese Säule verhindert, dass Governance zu „Compliance-Theater“ wird. Ethik ist kein moralisches Predigen. Sie ist ein praktisches Versprechen:
Wir dienen den Menschen, deren Daten wir verarbeiten, und den Menschen, die von unseren Entscheidungen betroffen sind. Wir werden sie nicht ausnutzen oder schädigen, selbst wenn wir legal damit durchkämen.
Ethik wird real, wenn sie Systemdesign verändert.
Fallbeispiel: „Ja, wir können Ihnen ein Excel schicken“
Ein Unternehmen musste Kunden neuen Zugriff auf ihre Daten ermöglichen. Die erste Reaktion war: „Klar, wir können eine Excel per E-Mail schicken, wenn jemand fragt.“
Das ist in einem engen Sinne „technisch compliant“. Es ist aber strategisch feindlich:
es skaliert nicht, wenn Requests steigen
es macht Zugriff absichtlich unbequem
es signalisiert: „Wir machen das Minimum und hoffen, Sie fragen nicht oft“
Ein ethischer Governance-Ansatz reframed dieselbe Anforderung als Trust-Building:
einen skalierbaren Prozess bauen, idealerweise Self-Serve
definieren, welche Daten geliefert werden, in welchem Format und in welchem Zeitrahmen
es nutzbar machen, nicht als „Data Dump“
Customer Access als Produktqualität behandeln, nicht als Legal-Nervfaktor
Lektion: Ethik ist kein Constraint, der Sie verlangsamt. Sie ist der Weg, langfristig Vertrauen aufzubauen, bevor ein Regulator Sie dazu zwingt.
Ein häufiger Ethik-Fail: Überwachung als Governance getarnt
Manche Unternehmen nutzen „Governance“-Sprache, um Mitarbeiterüberwachung, Productivity Scoring oder Drucktaktiken zu rechtfertigen, die mit Datensicherheit wenig zu tun haben. Das ist keine Governance. Das ist Kontrolle im Gewand von Risk Management.
Ethische Governance schützt Freiheit, wo es geht, und setzt Constraints nur dort, wo echtes Risiko besteht.
Minimum Viable Governance in 30 Tagen
Sie benötigen kein mehrjähriges Programm, um echten Mehrwert zu schaffen.
Ein sinnvoller 30-Tage-Start für die meisten KMU sieht so aus:
Dateninventar
Welche Datenassets existieren, wo sie liegen und welche Prozesse von ihnen abhängen.
Datenkatalog (Data Dictionary)
Klare Definitionen für zentrale Entitäten und Kennzahlen – einschließlich Sonderfällen
(z. B. Retouren bei der Kennzahl „verkaufte Einheiten“).
Datenklassifizierung
Ein praktikables Sensitivitätsmodell mit klaren Handhabungsregeln, die im Alltag umsetzbar sind.
RACI
Klare Verantwortlichkeiten: Wer ist Responsible, Accountable, Consulted und Informed – für Definitionen, Zugriffe, Datenqualität und Änderungen.
Wenn Sie einen Punkt zusätzlich aufnehmen, dann Auditierbarkeit:
Eindeutige Benutzerkonten und Protokollierung sensibler Aktionen. Es ist kaum zu überschätzen, wie oft genau das den Unterschied macht zwischen
„Wir glauben, dass wir sicher sind“ und „Wir können nachweisen, dass wir sicher sind“.
Warum das keine Bürokratie ist
Wenn man Bürokratie als sinnlose Papierarbeit definiert, dann sollte Governance keine Bürokratie sein.
Governance braucht Struktur. Das gilt auch für den Brückenbau.
Sie möchten keine Brücke, die auf Improvisation basiert.
Genauso wenig sollten Kundendaten, Finanzberichte oder operative Entscheidungen auf Improvisation beruhen.
Governance ist das Set an Leitplanken, das es Teams ermöglicht, schneller zu arbeiten – ohne abzustürzen.
Ein einfacher nächster Schritt
Wählen Sie eine Kennzahl, die für Ihr Geschäft entscheidend ist, und verfolgen Sie sie konsequent zurück.
Wenn Sie Definition, Quelle, Transformationen, Zuständigkeiten und Kontrollen nicht sauber nachvollziehen können, haben Sie Ihren Startpunkt gefunden.
Wenn Sie eine kurze Standortbestimmung möchten, buchen Sie ein kurzes Gespräch. Gemeinsam prüfen wir, ob Ihre Governance skalierbar und auditfest ist – und welcher kleinste sinnvolle nächste Schritt Klarheit schafft, ohne Ihre Teams auszubremsen.
