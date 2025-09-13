Ein einheitliches, zentrales Datenmanagement ist nicht nur der Schlüssel, wenn es darum geht, das Potenzial von KI zu nutzen, sondern auch bei der Erfüllung regulatorischer Anforderungen unverzichtbar. Diese sind zuletzt deutlich komplexer geworden, da mehr und mehr Vorschriften den Umgang mit Daten regeln.
Die Datenmengen in den meisten Unternehmen wachsen rasant – einerseits, weil digitale Prozesse kontinuierlich neue Daten erzeugen, und andererseits, weil Unternehmen gezielt Daten sammeln und beschaffen, um sie mit KI auszuwerten. Dadurch sind allerdings recht unübersichtliche Datenlandschaften entstanden, in denen häufig der Überblick fehlt, welche Informationen überhaupt angehäuft wurden, was mit ihnen geschieht und was man aufgrund gesetzlicher Vorschriften mit ihnen machen darf oder muss. Spätestens seit 2018, als die Frist zur Umsetzung der DSGVO auslief, sollten Unternehmen das zumindest bei personenbezogenen Daten wissen, doch inzwischen sind noch zahlreiche weitere Richtlinien und Gesetze hinzugekommen.
Neben dem EU AI Act, der unter anderem Vorgaben zur Auswahl und Validierung der Trainingsdaten für KI-Systeme mit hohem Risiko enthält, ist das vor allem der EU Data Act. Er verpflichtet Unternehmen beispielsweise, den Nutzern ihrer Geräte und Dienste einen Zugang zu den von ihnen generierten Daten zu gewähren und das Teilen dieser Daten sowie einen Umzug zu anderen Anbietern zu ermöglichen. Die Frist dafür läuft bereits am 12. September 2025 ab, doch laut einer Bitkom-Umfrage hatten bis zu diesem Frühjahr nur die wenigsten Unternehmen mit der Umsetzung begonnen oder diese bereits geschafft. Die große Mehrheit hatte sich noch nicht einmal mit dem Data Act befasst oder hielt sich schlicht für nicht betroffen.
Zusätzlich zu diesen industrieübergreifenden Verordnungen kommen branchenspezifische Regulierungen wie die geplante EU-Verordnung FiDA (Financial Data Access). Sie legt fest, dass sich Unternehmen aus der Finanzbranche gegenseitig Zugang zu ihren Kundendaten gewähren müssen, damit neue und stärker personalisierte Finanzprodukte entwickelt werden können. Doch auch unabhängig davon gibt es in einigen Branchen die Bestrebung, gemeinsame Datenräume zu schaffen, um etwa Prozesse effizienter zu gestalten oder den Aufbau datengetriebener Geschäftsmodelle zu erleichtern. Die bekanntesten Beispiele in Deutschland sind Catena-X in der Automobilbranche und Manufacturing-X in der Industrie. Zudem tauschen Universitäten und Krankenhäuser häufig Daten aus, um Krebs und andere Erkrankungen besser erforschen und neue Diagnose- und Behandlungsmöglichkeiten entwickeln zu können.
Ohne Transparenz geht es nicht
Um die rechtlichen Vorgaben erfüllen, sich an gemeinsamen Datenräumen beteiligen und Daten effektiv nutzen zu können, benötigen Unternehmen zunächst einen umfassenden Überblick über alle Daten und Datenflüsse. Sie müssen wissen, welche Informationen sie erzeugen, wo diese Informationen gespeichert sind und wie sie genutzt und ausgetauscht werden. Angesichts heterogener IT-Infrastrukturen mit üblicherweise mehreren Cloud-Diensten ist das eine komplexe Aufgabe, die sich nur schwer in einem Rutsch erledigen lässt. Ein typischer Ansatz ist etwa, dass Mitarbeiter beim erstmaligen Öffnen eines Office-Dokuments eine Klassifizierung vornehmen, ob es sich um personenbezogene oder andere sensible Daten handelt. Es existieren jedoch auch Lösungen, die die Datenbestände eines Unternehmens scannen und weitgehend automatisch klassifizieren.
Darüber hinaus ist eine umfassende System- und Prozessanalyse notwendig, um zu verstehen, welche Geräte, Sensoren und Anwendungen neue Daten generieren und über welche Schnittstellen und Services diese fließen. Erfahrungsgemäß gibt es in den meisten Unternehmen einige Dutzend undokumentierte Schnittstellen und Online-Dienste, die von Mitarbeitern und Automatisierungstools im Tagesgeschäft genutzt werden. Hierzu zählen auch die vielen neuen KI-Angebote, die Texte übersetzen, Dokumente zusammenfassen oder Datenmaterial aufbereiten.
Natürlich ist nicht jedes Teilen von Daten sicherheitskritisch oder fällt unter regulatorische Vorschriften. Doch erst, wenn Unternehmen tatsächlich Transparenz hergestellt haben, sind sie in der Lage, die Datenweitergaben granular zu regeln und Prozesse anzustoßen, etwa zur Anpassung von Verträgen, Lizenzvereinbarungen und Datenschutzerklärungen oder, im Falle von Datenpannen, zur Meldung bei den Behörden.
Einheitliche Zugriffe erleichtern die technische Umsetzung
Mit dem umfassenden Überblick über Daten und Datenflüsse können Unternehmen den Zugang zu Daten und die Datenweitergaben steuern. Hierfür benötigen sie ein Rollen- und Rechtemanagement, das alle Zugriffe verifiziert und überwacht. Das Erstellen der Richtlinien erfordert viel Sorgfalt, um wirklich alle Anforderungen zu erfüllen. Schließlich müssen nicht nur regulatorischen Vorschriften, sondern auch interne Sicherheits- und Compliance-Vorgaben – etwa zum Schutz von geistigem Eigentum – korrekt umgesetzt werden. Idealerweise verfolgen Unternehmen einen Zero-Trust-Ansatz und statten menschliche und maschinelle Benutzerkonten standardmäßig nur mit den unbedingt notwendigen Benutzerrechten aus.
Darüber hinaus sind weitere Sicherheitslösungen und Richtlinien notwendig, um beispielweise eine Multi-Faktor-Authentifizierung (MFA) bei Datenzugriffen oder eine Verschlüsselung beim Datenaustausch durchzusetzen. Ein Monitoring und Logging wiederum ist wichtig, um den verantwortungsvollen und gesetzeskonformen Umgang mit Daten nachweisen und bei Fehlern oder Sicherheitsverletzungen umgehend Gegenmaßnahmen einleiten zu können.
All diese Aufgaben werden – ebenso wie regelmäßige Backups – üblicherweise dadurch erschwert, dass die Daten über unterschiedliche Systeme, Umgebungen und Anwendungen verteilt und die Zugriffsmöglichkeiten eingeschränkt sind. Um aufwendige Daten-Pipelines und ETL-Prozesse (Extract, Transform, Load) zu vermeiden, wurde in der Vergangenheit oft versucht, die verschiedenen Datenquellen in monolithischen Architekturen zusammenzuführen. Nicht immer ist das jedoch sinnvoll – in der Regel wurde ein bestimmtes System oder eine bestimmte Plattform ja aus gutem Grund als Speicherort gewählt. Ein besserer, modernerer Ansatz ist daher, eine Managementplattform zu implementieren, die über den Bestandssystemen sitzt und eine einheitliche Sicht auf sie bietet. Sie sorgt dafür, dass alle Daten unabhängig von ihrem Speicherort auf die gleiche Art und Weise angesprochen werden und die vorhandenen Anwendungen ihre Daten wie gehabt speichern können.
Eine solche Plattform vereinfacht das Datenmanagement und den Zugriff auf heterogene Datenlandschaften und verhindert auch, dass Lücken in der Data Governance entstehen und regulatorische oder interne Vorgaben verletzt werden. Ergänzend dazu sollten Zuständigkeiten klar geregelt werden – neben einem Governance-Verantwortlichen ist auch die Benennung von Data Ownern zu empfehlen, die sich um die Sicherheit und Qualität der Daten in ihren jeweiligen Fachbereichen kümmern.
Datenmanagement als Innovationsmotor
Die technischen und organisatorischen Änderungen im Datenmanagement sollten Unternehmen auf keinen Fall als lästige Pflicht sehen, die nur der Erfüllung regulatorischer Vorgaben dient. Ein einheitliches, zentrales Datenmanagement erleichtert vielmehr die Nutzung von Daten in KI- und anderen Innovationsprojekten und ist damit ein Meilenstein auf dem Weg zum datengetriebenen Unternehmen. Nur so können Unternehmen bessere Entscheidungen fällen, Prozesse intelligent automatisieren und neue Geschäftsmodelle aufbauen.
Dennis Scheutzel ist Director & General Manager Unstructured Data Solutions and AI Germany bei Dell Technologies
