Gutes Datenmanagement für einen sinnvollen Umgang mit Daten

In modernen Unternehmen fallen tagtäglich Unmengen von Datensätzen an. Dank elektronischer Datenverarbeitung (EDV) ist das Erfassen und Organisieren der Informationen eigentlich kein Problem mehr. Kundendaten können in Datenbanken erfasst werden, die Mitarbeiterverwaltung lässt sich automatisieren. Dazu muss der Rechner nur mit ausreichend Daten gefüttert werden, ausgeklügelte Algorithmen übernehmen den Rest.

Doch mit der zunehmenden Vernetzung und der steigenden Datenflut entstehen neue Probleme. Mehrere Mitarbeiter müssen auf denselben Datenbestand zugreifen, und zwar möglichst gleichzeitig. Daten sollen nicht mehrfach erfasst werden und jederzeit auffindbar sein. Doch vor allem müssen sie sicher sein vor Verlust durch Hardware-Defekte oder fehlerhafte Bedienung und abgeschirmt vor Hackern und sonstigen Datendieben im Internet. Dabei sind nicht zuletzt rechtliche Aspekte zu beachten, d. h. Aufbewahrungsfristen, Einverständniserklärungen zur Speicherung personenbezogener Daten und das Ernennen von Datenschutzbeauftragten.

Die Komplexität dieses Themenbereichs hat zur Entwicklung einer neuen Disziplin in der Informationstechnik geführt, dem Datenmanagement. Auch die Forschung beschäftigt sich mit dem Thema. Data Science heißt der noch recht neue Zweig der Wissenschaft, der sich u. a. der vernünftigen Ablage und Verknüpfung von Daten sowie der effektiven Suche in großen Datenbeständen widmet.

Datenmanagement – Definition und Begriffserklärung

Datenmanagement (oder Data Management) stellt bestimmte Anforderungen an den Umgang mit digitalen Daten. Der Begriff beschreibt eher einen Prozess als einzelne Maßnahmen. Bereits beim Erheben und Eingeben von Daten müssen diese organisiert werden. Datensparsamkeit und -qualität sind zwei Faktoren, die hier zu berücksichtigen sind. Neben dem Schutz der Inhalte sollen die Daten nicht zuletzt effektiv für den eigentlichen Erfassungszweck verwendbar sein, d. h. die Praxistauglichkeit darf bei allen Bemühungen nicht zu kurz kommen. Schließlich sollte man sich im Rahmen des Datenmanagements auch fragen, welche Daten für welchen Zeitraum archiviert werden müssen. Nicht benötigte Daten muss man schnell auffinden und sicher löschen können.

Definition: Datenmanagement

Der Begriff Datenmanagement beschreibt ein ganzheitliches Konzept zum Umgang mit digitalen Daten. Das Datenmanagement umfasst alle Schritte vom Erheben, über das Speichern und die Verarbeitung bis hin zur Archivierung und Löschung. Dabei sollen Erfordernisse des Unternehmens genauso berücksichtigt werden wie Aspekte der Datensicherheit und des Datenschutzes.

Arten von Daten

Um den Umgang mit Daten zu planen, sollten Sie sich zunächst die Frage stellen, welche Arten von Daten bei Ihnen anfallen. Hier kann das Einteilen in Kategorien helfen, um systematisch vorzugehen und keinen Bereich zu übersehen:

  • Personenbezogene Daten: Informationen, die sich unmittelbar auf bestimmte Personen beziehen; klassische Beispiele sind Namen, Rufnummern und Adressen. Doch auch Messdaten und das Einkaufsverhalten zählen dazu. Es kann sich um Kundendaten, Daten eigener Mitarbeiter oder von Drittpersonen handeln. Diese Daten genießen besonderen Schutz.
  • Schützenswerte Firmendaten: Firmeninterna wie Buchhaltungsdaten, Steuerunterlagen und Firmengeheimnisse; hier wird jede Firma ohnehin ein besonderes Interesse am sorgsamen Umgang mit den Daten haben. Es ist aber durchaus sinnvoll, im Rahmen des Datenmanagements festzulegen, welche Informationen zu diesem Bereich gehören.
  • Sekundärdaten: Daten, die im Rahmen einer Maßnahme für einen anderen Zweck entstehen; ein Beispiel wäre die Videoüberwachung, die üblicherweise zum Schutz vor Einbruch und Diebstahl installiert wird. Diese zeichnet möglicherweise auch Kennzeichen von Kundenfahrzeugen auf. Ein anderes Beispiel sind Logprotokolle im Firmennetzwerk, die möglicherweise IP-Adressen von Besuchern speichern.
  • Öffentliche Daten: Absichtlich veröffentlichte und verbreitete Daten; dazu zählen Informationen auf der Internetpräsenz und in Firmenbroschüren. Wichtig ist hierbei die Einhaltung von Urheberrechtsvorschriften und der Schutz eigener Daten, etwa veröffentlichter Bilder, Werbeslogans und Firmenlogos. Letztere können nach dem Designgesetz (ehemals Geschmacksmustergesetz) geschützt werden.

Datenmanagement – Aufgaben und Umsetzung

Datenmanagement hat die Aufgabe, alle Prozesse vom Erheben bis zur Ablage oder Löschung von Daten zu integrieren und dabei die Effizienz zu berücksichtigen. Es wird die gesamte „Lebensdauer“ betrachtet. Hieraus leitet sich der Begriff des Data Life Managements (DLM) ab.

Datenerhebung

Die Datenverarbeitung beginnt mit der Datenerhebung. Wichtig ist hierbei die Datensparsamkeit: Es sollten nur die nötigsten Informationen gesammelt werden. Diese Pflicht wurde inzwischen auch in der Datenschutzgrundverordnung (DSGVO) festgeschrieben. Daten dürfen demnach nur dann verarbeitet werden, wenn Betroffene ihre Einwilligung gegeben haben oder dies aus rechtlichen Gründen notwendig ist, etwa bei einer Vertragsgestaltung.

Die Datenqualität lässt sich am effektivsten bei der Eingabe gewährleisten. Das sorgfältige Erfassen erspart unnötige Nachfragen und Nachbearbeitungen. Die Informationen sollten auch gleich in dem Format gespeichert werden, in dem sie später benötigt werden. Jede Übertragung oder Konvertierung kann zu Fehlern im Datenbestand führen.

Datenspeicherung

Wichtig ist die Auswahl des Speicherorts und des -formats. Als Speicherort ist neben der lokalen Ablage eine Sicherung im Cloudspeicher denkbar. Beide Lösungen haben Vor- und Nachteile. Lokale Speicher lassen sich leichter vor fremdem Zugriff abschirmen. Cloud-Speicher hingegen sind besser skalierbar und ausfallsicher. Für sehr wichtige Daten bieten sich kombinierte Lösungen an.

Bei großen Datenmengen sind Datenbanken erste Wahl für die Ablage. Wird spezielle Software verwendet, etwa für die Buchhaltung oder die Lagerhaltung, stellt sich die Frage nach dem Speicherort ohnehin nicht. Bei letzterer sollte allerdings auf die Kompatibilität zu externen Systemen und Exportmöglichkeiten, etwa der GOBD-Schnittstelle für Prüfungen durch das Finanzamt, geachtet werden.

Datensicherheit

Datensicherheit ist ein wichtiges und komplexes Thema beim Datenmanagement. Die Daten sollen vor Verlust, ungewollter Veränderung und unberechtigten Zugriffen geschützt werden. Hilfreiche und sehr ausführliche Informationen bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI). In seinem laufend aktualisierten IT-Grundschutz-Kompendium werden mögliche Gefahren systematisch aufgezeigt. Neben den Risiken werden Prozessbausteine zur Absicherung aufgezeigt. Das Kompendium ist kostenlos verfügbar. Ein weiterer Vorteil ist, dass Zertifizierungen gemäß ISO 27001 (wie die Zertifizierung zur Informationssicherheit) darauf aufbauen.

Mögliche Gefahren sind:

  • Hardware-Schäden durch Brand, Wasser oder Überspannung
  • Datenverlust durch Fehlbedienung
  • Datenverlust oder Funktionsuntüchtigkeit der Systeme durch Schadsoftware (Verschlüsselungstrojaner, Datendiebstahl)
  • Datenverlust durch Software-Fehler
  • Verlust durch Diebstahl

Um den verschiedenen Risiken zu begegnen, umfassen Lösungen nicht nur softwaregestützte Schutzmechanismen, sondern auch organisatorische Maßnahmen wie Brand- und Einbruchmeldeanlagen.

Diese Grundsätze sollten Sie beachten:

  • Regelmäßige Updates: Dabei gilt es zwischen automatisierten und manuellen Updates abzuwägen. Vorteil automatisierter Updates ist, dass man sie nicht vergisst. Für das manuelle Einspielen spricht, dass man fehlerhafte Updates vermeidet.
     
  • Sichere Passwörter: Auch hier gibt es unterschiedliche Strategien. Sinnvoll ist es, die Mitarbeiter durch Vorgaben zu zwingen, komplexe Passwörter zu verwenden. Auch das regelmäßige Ändern von Kennwörtern ist sinnvoll. Übertreibt man es allerdings mit der Komplexität und der Änderungshäufigkeit, verleitet dies dazu, die Passwörter aufzuschreiben und am Arbeitsplatz zu hinterlegen.
     
  • Backupstrategie: Einer der wichtigsten Punkte ist zweifellos die richtige Backupstrategie. Relevante Daten sollten möglichst umfassend und regelmäßig auf räumlich getrennten Medien gesichert werden. Eine besondere Schwierigkeit stellt die Sicherung von Datenbanken dar. Hier ist es u. U. nicht möglich, geöffnete Dateien im laufenden Betrieb zu kopieren. Vielmehr muss die Sicherung aus der verwendeten Anwendung heraus oder mittels spezieller Software wie MySQLDump erfolgen.
     
  • Virenschutz/Firewall: Ein aktueller Virenschutz gehört zu jedem IT-System. Außerdem sollte, je nach Komplexität des Netzwerks, eine Firewall und ggf. ein Intrusion Detection System betrieben werden.
Hinweis

Unter einem Intrusion Detection System (IDS) versteht man ein System zur Einbruchserkennung in ein Netzwerk. Dieses wird in das Netzwerk integriert und sammelt mittels Sensoren Informationen aus Logdateien. Anhand hinterlegter Muster erkennt es einen Angriff, wenn sich bestimmte Logdaten ändern. Dies wird dann per E-Mail dem Administrator mitgeteilt.

Backups sollte man automatisiert erstellen. Ansonsten ist die Gefahr groß, dass aus Zeitdruck, Bequemlichkeit oder Vergesslichkeit darauf verzichtet wird. Wichtige Daten sind inkrementell, also mit mehreren Versionsständen, abzulegen. Das heißt zunächst, dass nur geänderte Datensätze gesichert werden. Die älteren Versionen sollten aber möglichst noch für einen gewissen Zeitraum aufbewahrt werden, um Daten nach einem versehentlichen Löschen zu rekonstruieren.

Ein aktuelles Thema ist die Sicherung abgelegter Backups. Verschlüsselungstrojaner versuchen, jeglichen Speicher, auf den zugegriffen werden kann, zu kompromittieren. Befinden sich die Backups auf einem dauerhaft angebundenen Netzwerkspeicher oder auf externen Speichermedien, werden sie im schlimmsten Fall ebenfalls verschlüsselt. Hiervor schützt ein System, das normalen Nutzern den Zugriff verbietet, sowie das temporäre Einbinden der Speichermedien während der Sicherung.

Datenschutz

Datenschutz ist von der Datensicherheit abzugrenzen, auch wenn es Überschneidungen gibt. Ziel ist hier lediglich, dass Unberechtigte keinen Zugriff auf vertrauliche Daten haben. Damit soll zum einen der Zugriff von außen verhindert werden, was Maßnahmen der Datensicherheit erfordert. Zum anderen soll ein interner Zugriff auf persönliche Daten unterbunden werden. Dafür ist eine Rechteverwaltung in der verwendeten Software nötig. So wird einzelnen Mitarbeitern der Zugriff verwehrt oder Datensätze werden nur teilweise angezeigt. Zusätzlichen Schutz bietet die verschlüsselte Übertragung und Ablage von Daten. So werden sensible Daten vor Zugriffen auf Hardware, etwa bei einem Einbruch oder durch unberechtigte Mitarbeiter geschützt.

Erfordernisse des Unternehmens

Das Datenmanagement muss möglichst praktikabel und intuitiv in die Unternehmensabläufe eingebunden werden. Dies sorgt für die beste Akzeptanz bei den Mitarbeitern und die größtmögliche Effektivität. Einige der vorgestellten Ziele sind auch im Hinblick auf die Effizienzsteigerung sinnvoll. Das Erheben unnötiger Daten kostet Zeit und verärgert womöglich die Kunden. Die geordnete und sichere Ablage von Daten verbessert die Produktivität.

Es kann daher für ein Unternehmen sinnvoll sein, eine Data-Governance-Richtlinie einzuführen, in der festgelegt wird, wie im Unternehmen mit Daten umzugehen ist. Dies betrifft insbesondere die Datenqualität und mögliche Verbesserungen durch Hilfen wie Autokorrekturen. Außerdem werden einheitliche Formulierungen und Begriffe definiert.

Archivieren

Das Archivieren aktuell nicht mehr benötigter Daten gehört ebenfalls zu den Aufgaben von Unternehmen. Dies betrifft diejenigen, für die es eine gesetzliche Pflicht zur Aufbewahrung gibt, etwa bei Rechnungen und Steuerunterlagen. Daher sollte dieser Aspekt Bestandteil eines Datenmanagement-Konzepts sein.

Separates Speichern kann vorteilhaft sein. So vermindert man das Volumen aktueller Datensicherungen und der Datenschutz lässt sich gewährleisten. Zu beachten ist, dass nicht alle Speichermedien für eine Archivierung geeignet sind. Festplatten sollten beispielsweise regelmäßig eingeschaltet werden, um die Funktionstüchtigkeit zu garantieren. Optische Datenträger wie CDs sind empfindlich gegenüber äußeren Einflüssen und haben ohnehin nur eine begrenzte Lebensdauer. Optimal sind Bandlaufwerke mit Magnetbändern. Nachteilig hierbei sind jedoch die hohen Anschaffungskosten für Laufwerke und die umständliche Handhabung. Vorteilhaft wiederum sind die günstigen Preise für Sicherungsbänder und die lange Haltbarkeit.

Löschen

Nicht mehr benötigte Daten sollten gelöscht werden. So ist man auch gleich die Verantwortung für deren Sicherheit los. Daher sollte ein Datenmanagement-Konzept vorsehen, dass solche Daten selektierbar und separat löschbar sind. Vor allem personenbezogene Daten sollten sicher gelöscht werden.

Ein Löschen mit Betriebssystemfunktionen führt üblicherweise nur dazu, dass die Daten zum Überschreiben freigegeben werden. Tatsächlich existieren sie noch auf der Festplatte, bis der Speicherplatz zufällig benötigt wird und sie überschrieben werden.

Tipp

Sicheres Löschen ist heutzutage nicht mehr so einfach. Normale (magnetische) Festplatten können mittels entsprechender Software komplett überschrieben werden („Wipen“). Dabei wird der gesamte Speicher einmal oder mehrmals mit Nullen oder Zufallswerten beschrieben. Viele Festplatten verwenden inzwischen jedoch Flashspeicher. Da diese weniger langlebig sind, beinhalten sie Reservebereiche, auf die der Nutzer nicht zugreifen kann. Dementsprechend können sie auch nicht überschrieben werden. Hier hilft oft nur die Zerstörung des Speichers. Deshalb ist es sinnvoll, den Speicher vollständig zu verschlüsseln. Dann werden zu keinem Zeitpunkt Daten im Klartext auf der Festplatte abgelegt und die Entsorgung ist unproblematisch.

Sonstige rechtliche Vorgaben

Neben den Bestimmungen aus der DSGVO gibt es weitere Regeln, die Unternehmen zum Datenschutz verpflichten. Werden Versäumnisse festgestellt, die zu einem Missbrauch personenbezogener Daten führen, können Inhaber oder Beauftragte haftbar gemacht werden. Grundlage sind folgende Gesetze:

  • GmbHG: Gesetz betreffend die Gesellschaften mit beschränkter Haftung
  • KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
  • AktG: Aktiengesetz

Die Bestellung eines Datenschutzbeauftragten für Privatunternehmen ist erst ab einer Betriebsgröße von 20 Mitarbeitern notwendig.

Arten des Datenmanagements

Wie das Datenmanagement organisiert wird, hängt von der Größe des einzelnen Unternehmens ab. Auf dem Markt sind verschiedene Ansätze integrierter Lösungen erhältlich. Einige widmen sich besonders der Auswertung und optimalen Nutzung vorhandener Daten, z. B. zu Werbezwecken. Ein anderer Ansatz verfolgt die Steigerung der Produktivität durch Nutzung aller zur Verfügung stehenden Daten. Mögliche Formen sind:

  • Enterprise Resource Planning Systems (ERP): Diese Systeme bieten den umfassendsten Ansatz. Alle Ressourcen des Unternehmens werden erfasst und berücksichtigt. Dazu gehören Personal, Arbeitsmittel und Material. Bekannte kommerzielle Hersteller sind SAP, Sage, Oracle und Microsoft. Es gibt aber auch kostenlose Software-Lösungen wie Odoo und OpenZ.
  • Master Data Management (Zentrale Stammdatenverwaltung): Zentralisierung und Überarbeitung der Kerndaten eines Unternehmens. Dazu zählen Mitarbeiterdaten, Kundendaten und Informationen über Arbeitsmittel. Ziel ist eine einheitliche Datenqualität, die zu einer verbesserten Nutzbarkeit führt. Dieser Ansatz wird in ERP-Systemen meist berücksichtigt.
  • Content-Management-Systeme (CMS): Vorwiegend Informations-Managementsysteme, beispielsweise in Form eines zentralen Intranets für das Unternehmen. Aufgrund ihrer großen Flexibilität sind auch andere Aspekte wie ein Formularmanagement und die Integration von Datenbanken möglich.
  • Dokumentenmanagementsysteme (DMS): Teilbereich des Datenmanagements; sie stellen Formulare bereit und bieten Funktionen wie Ablage und Archivierung.

Herausforderungen des Datenmanagements

Datenmanagement ist ein dynamischer Prozess und muss immer wieder an aktuelle Erfordernisse angepasst werden. Dabei entstehen jeweils neue Herausforderungen.

Big Data

Datenmengen nehmen stetig zu. Folglich gibt es hohe Anforderungen an die Skalierbarkeit von Speichern und Backup-Kapazitäten sowie die Ordnung und Auffindbarkeit benötigter Daten. Je mehr Daten man erheben kann, umso wichtiger wird zudem der Punkt Datensparsamkeit. Das Herausfiltern von wichtigen Informationen sollte deshalb mehr und mehr im Fokus stehen.

Sicherheit

Verantwortliche von Netzwerkverbünden sehen sich immer neuen Gefahren ausgesetzt. Informationsdiebstahl durch Social Engineering und Sabotage durch Verschlüsselungstrojaner sind nur einige der Szenarien. Je mehr ein Unternehmen seinen Datenbestand digitalisiert, desto abhängiger wird es von der Funktionsfähigkeit des verwendeten Systems. Deshalb gilt es, sich permanent über neue Risiken zu informieren und Vorsorge für den Ausfall von Hardware oder einen fehlenden Zugriff auf die eigenen Systeme zu treffen.

Rechtliche Vorgaben

Die Einführung der DSGVO hat für viel Unsicherheit gesorgt und zu großem Aufwand in Unternehmen geführt. Dennoch ist es nicht unwahrscheinlich, dass weitere Vorgaben folgen oder Änderungen an bestehenden Gesetzen Anpassungen erfordern. Dies kann auch das Konzept des Datenmanagements betreffen.

Änderungen im Firmenumfeld

Veränderungen der Struktur oder Abläufe eines Unternehmens müssen beim Datenmanagement ebenfalls berücksichtigt werden. Vorsorge hierfür lässt sich treffen, wenn erweiterbare Systeme verwendet werden oder solche, die einfach zu migrieren sind. Regelmäßige Schulungen der Mitarbeiter zur firmeninternen Data Governance bedeuten zusätzlichen Aufwand.

Fazit: Vorteile des Datenmanagements überwiegen

Natürlich erfordert das Thema Datenmanagement Zeit und hält Sie von Ihrem Kerngeschäft ab. Wenn Sie sich aber mit den einzelnen Maßnahmen befassen, stellen Sie schnell fest, dass diese ohnehin notwendig und sinnvoll sind. Sie helfen gesetzliche Vorgaben einzuhalten, sorgen für eine größere Sicherheit Ihrer Daten oder steigern die Effektivität von Arbeitsabläufen. Die Zeit ist also gut investiert.