Digitalstrategie der EU – Data Governance Act

Dieses Kapitel gibt einen Überblick über den Data Governance Act. [...]

Tagebuch eines Datenschutz-Beauftragten (c) ITW

Die EU hat eine Reihe von Verordnungen zu verschiedenen Themen verabschiedet – oder ist dabei, dies zu tun. Teilweise stehen sie sogar im Widerspruch zueinander: Während die DSGVO auf einen strengen Schutz personenbezogener Daten abzielt, ist das Ziel anderer „Acts“ unter anderem, dass Unternehmen die Nutzungsdaten von Kund:innen teilen.

Es bleibt abzuwarten, wie sich diese Regelungen auf den technologischen Fortschritt auswirken werden. Die EU hat verschiedene Strategien entwickelt, um die Ziele der Digitalen Dekade zu erreichen. Neben der EU-Digitalstrategie wurde auch eine EU-Datenstrategie entwickelt.

1. Komponenten der EU-Digitalstrategie

Die folgende Abbildung zeigt das Zusammenspiel der Komponenten der EU-Digitalstrategie:

Abb.  1: EU-Digitalstrategie und ihre Komponenten. (Quelle: DSGVO-ZT GmbH)

Zur Digitalstrategie der EU sind bisher folgende Artikel in der IT-Welt erschienen:
EU-Digitalstrategie: Vorteile oder nur Aufwand 
Die Digitalstrategie der EU – Künstliche Intelligenz 

2. Überblick

Daten sind der Schlüssel zum Geschäftserfolg für Unternehmen, die datengesteuerte Organisationen aufbauen und fördern wollen. Um dies zu erreichen, ist Data Governance erforderlich, um sicherzustellen, dass Daten zugänglich, verständlich und vertrauenswürdig sind. Unternehmen benötigen Führungskräfte mit Data Governance-Wissen, die diese Initiativen vorantreiben. Diese Führungskräfte müssen

  • verstehen, warum Data Governance für jeden wichtig ist und
  • was Ihre Daten mit Hilfe der Data Governance vertrauenswürdig macht.

Die EU schreibt dazu Folgendes:

„Das wirtschaftliche und gesellschaftliche Potenzial von Daten ist enorm: Sie können neue Produkte und Dienstleistungen auf der Grundlage innovativer Technologien ermöglichen, die Produktion effizienter gestalten und Instrumente zur Bewältigung gesellschaftlicher Herausforderungen bereitstellen. Im Gesundheitsbereich können Daten beispielsweise dazu beitragen, die Gesundheitsversorgung zu verbessern, personalisierte Behandlungen zu ermöglichen und seltene oder chronische Krankheiten zu heilen. Daten sind auch ein starker Motor für Innovation und neue Arbeitsplätze und eine wichtige Ressource für Start-ups und KMU.

Dieses Potenzial wird jedoch nicht voll ausgeschöpft. Der Datenaustausch in der EU ist nach wie vor durch eine Reihe von Hindernissen eingeschränkt (u. a. mangelndes Vertrauen in die gemeinsame Nutzung von Daten, Probleme bei der Weiterverwendung von Daten des öffentlichen Sektors und bei der Erhebung von Daten im öffentlichen Interesse sowie technische Hindernisse).

Um dieses enorme Potenzial auszuschöpfen, muss es einfacher werden, Daten auf vertrauenswürdige und sichere Weise auszutauschen.

Der Data Governance Act (DGA) ist ein sektorübergreifendes Instrument, das darauf abzielt, die Weiterverwendung von öffentlichen/geschützten Daten zu regulieren, indem der Datenaustausch durch die Regulierung neuartiger Datenintermediäre gefördert und der Austausch von Daten zu altruistischen Zwecken gefördert wird. Sowohl personenbezogene als auch nicht personenbezogene Daten fallen in den Anwendungsbereich des DGA, und wenn es um personenbezogene Daten geht, gilt die Datenschutz-Grundverordnung (DSGVO). Zusätzlich zur DSGVO werden eingebaute Sicherheitsvorkehrungen das Vertrauen in die gemeinsame Nutzung und Wiederverwendung von Daten erhöhen, eine Voraussetzung, um mehr Daten auf dem Markt verfügbar zu machen.“

2.1 Grundlagen

Die grundlegende Herausforderung der Data Governance ist einfach zu definieren:

  • Daten müssen sicher gespeichert und geschützt werden, damit sie den Unternehmens- und Regulierungsstandards entsprechen,
  • sie müssen katalogisiert und kategorisiert werden, damit sie konsistent und aussagekräftig sind, und
  • es muss ein umfassender und sicherer Zugriff auf sie möglich sein. Ziel ist ein umfassendes Datenmanagement und Prozesse, die die Zusammenarbeit, die Konsistenz und den regelkonformen Zugriff erleichtern.

Eine reaktionsfähige, skalierbare und anpassungsfähige Data-Governance-Strategie steigert den Geschäftswert eines Unternehmens. Während Data Governance in der Vergangenheit als defensive Strategie zum Schutz von Daten angesehen wurde, gehen Marktführer heute zu offensiven Optionen über, die sich an die sich verändernde Datenlandschaft anpassen und durch die dynamische Integration von Datenanalysen herausragende Geschäftsentscheidungen ermöglichen. Die geschäftlichen Vorteile für Unternehmen, die adaptives Data Governance beherrschen, sind beträchtlich.

3. Ziele des Data Governance Act

3.1 Open Data Richtlinie

Die Open-Data-Richtlinie regelt die Weiterverwendung von öffentlich zugänglichen Informationen, die sich im Besitz des öffentlichen Sektors befinden. Der öffentliche Sektor verfügt jedoch auch über große Mengen geschützter Daten (z. B. personenbezogene Daten und vertrauliche Geschäftsdaten), die nicht als Open Data weiterverwendet werden können, jedoch unter bestimmten EU- oder nationalen Rechtsvorschriften weiterverwendet werden dürfen.

Aus solchen Daten kann eine Fülle von Wissen extrahiert werden, ohne ihren geschützten Charakter zu gefährden, und das OGP sieht Regeln und Garantien vor, um eine solche Weiterverwendung zu erleichtern, wo immer dies nach anderen Rechtsvorschriften möglich ist.

3.2 Wie funktioniert das in der Praxis?

Technische Anforderungen an den öffentlichen Sektor

Die Mitgliedstaaten müssen über die technischen Mittel verfügen, um sicherzustellen, dass der Schutz der Privatsphäre und die Vertraulichkeit der Daten bei der Weiterverwendung in vollem Umfang gewahrt bleiben.

Dies kann eine Reihe von Instrumenten umfassen, von technischen Lösungen wie Anonymisierung, Pseudonymisierung oder Zugang zu Daten in sicheren Verarbeitungsumgebungen (z. B. Datenräumen), die von der öffentlichen Stelle überwacht werden, bis hin zu vertraglichen Mitteln wie Vertraulichkeitsvereinbarungen zwischen der öffentlichen Stelle und dem der die Daten weiterverwendet (Weiterverwender).

Unterstützung durch die Behörde:

Wenn eine öffentliche Stelle nicht in der Lage ist, Zugang zu bestimmten Daten zwecks Weiterverwendung zu gewähren, sollte sie den potenziellen Weiterverwender dabei unterstützen, die Zustimmung der betroffenen Person zur Weiterverwendung ihrer personenbezogenen Daten oder die Zustimmung des Dateninhabers, dessen Rechte oder Interessen durch die Weiterverwendung beeinträchtigt werden könnten, einzuholen. Darüber hinaus sollten vertrauliche Informationen (z. B. Geschäftsgeheimnisse) nur mit einer solchen Zustimmung oder Genehmigung zur Weiterverwendung weitergegeben werden.

Unterstützung durch die öffentliche Stelle:

Um mehr öffentlich zugängliche Daten für die Weiterverwendung verfügbar zu machen, beschränkt die DGA den Rückgriff auf ausschließliche Datenweiterverwendungsvereinbarungen (bei denen eine öffentliche Stelle einem Unternehmen ein solches ausschließliches Recht einräumt) auf bestimmte Fälle von öffentlichem Interesse.

Angemessene Gebühren:

Öffentliche Stellen können für die Erlaubnis zur Weiterverwendung Gebühren erheben, sofern diese die notwendigen Kosten nicht übersteigen. Darüber hinaus sollten öffentliche Stellen Anreize für die Weiterverwendung zu wissenschaftlichen und anderen nichtkommerziellen Zwecken sowie durch KMU und Start-ups schaffen, indem sie die Erhebung von Gebühren verringern oder sogar aufheben.

Eine öffentliche Stelle hat bis zu 2 Monate Zeit, um über einen Antrag auf Weiterverwendung zu entscheiden.

Zuständigkeit:

Die Mitgliedstaaten können wählen, welche zuständigen Stellen die öffentlichen Stellen bei der Gewährung des Zugangs zur Weiterverwendung unterstützen, z. B. durch Bereitstellung einer sicheren Verarbeitungsumgebung und durch Beratung, wie die Daten am besten strukturiert und gespeichert werden können, um sie leicht zugänglich zu machen.

Zentrale Informationsstelle:

Um potenziellen Weiterverwendern dabei zu helfen, relevante Informationen darüber zu finden, welche Daten sich im Besitz welcher Behörden befinden, müssen die Mitgliedstaaten eine zentrale Informationsstelle einrichten. Um die Weiterverwendung von Daten im Binnenmarkt und darüber hinaus weiter zu erleichtern, hat die Kommission das Europäische Register für geschützte Daten des öffentlichen Sektors (ERPD) eingerichtet.

3.3 Beispiele

Findata, die finnische Behörde für die Genehmigung von Sozial- und Gesundheitsdaten, bearbeitet Anfragen und gewährt Zugang zu Daten für die Weiterverwendung. Beispiele für Datenquellen von Findata sind die Sozialversicherungsanstalt, das Rentenregister und das Einwohnermelderegister.

Das französische Unternehmen DAMAE Medical verbessert seine LC-OCT-Technologie (Line-field Confocal Optical Coherence Tomography), die eine sofortige und nicht-invasive zelluläre Bildgebung von den inneren Mikrostrukturen der Haut bis hin zur Dermis ermöglicht, mit neuen Trainingsdaten, die über den French Health Data Hub zur Verfügung gestellt werden. Ziel des Projekts ist es, die Fähigkeit dieser Technologie zu verbessern, mögliche Anzeichen von Hautkrebs besser zu erkennen und das chirurgische Eingriffsgebiet besser abzugrenzen.

3.4 Data Intelligence Hub

Mit dem Data Intelligence Hub bietet die Deutsche Telekom einen Datenmarktplatz, auf dem Unternehmen hochwertige Informationen wie Produktionsdaten sicher verwalten, bereitstellen und monetarisieren können, um Prozesse oder ganze Wertschöpfungsketten zu optimieren.

Die Telekom übernimmt dabei die Rolle eines neutralen Treuhänders und gewährleistet die Datenhoheit durch dezentrale Datenhaltung. Derzeit sind mehr als 1.000 Nutzer aus über 100 Unternehmen auf der Plattform aktiv.

4. Organisatorisches

Die folgenden Kapitel behandeln die organisatorischen Voraussetzungen für eine gute Data Gouvernance.

4.1 Data Governance-Leader

Um ein Data Governance-Leader zu werden, müssen Sie einige wichtige Schritte unternehmen:

  • Verstehen der Data-Governance-Ziele Ihres Unternehmens
  • Aufbau Ihres Data-Governance-Teams
  • Identifizieren der richtigen Tools und Prozesse, die Sie zur Unterstützung Ihres Data-Governance-Projekts benötigen
  • Austausch mit anderen Data-Governance-Verantwortlichen

4.2 Das Governance Team

Ein erstklassiges Team ist entscheidend für die Planung, den Aufbau und die Verwaltung Ihrer Data Governance-Richtlinien und -Prozesse.

  • Suchen Sie nach Fachexperten (KMU), die die Daten verstehen und besitzen. Sie können Ihnen helfen, die Daten so zu kategorisieren und zu katalogisieren, dass Sie hervorragende Ergebnisse erzielen.
  • Finden Sie Ihre Datenmanager, die sicherstellen können, dass die festgelegten Richtlinien und Standards in der Praxis eingehalten werden.
  • Identifizieren und verstehen Sie Ihre Datennutzer, damit Sie ihnen die Werkzeuge zur Verfügung stellen können, die sie wünschen und benötigen, um die ihnen zur Verfügung stehenden Daten optimal zu nutzen.

Die Herausforderung besteht darin, die besten Mitarbeiterinnen und Mitarbeiter aus allen Abteilungen und Geschäftsbereichen zusammenzubringen, um Ihre Data Governance-Bemühungen zum Erfolg zu führen.

4.3 Werkzeuge und Prozesse

Bestimmen Sie die Werkzeuge und Prozesse, die Sie zur Unterstützung Ihres Data Governance-Projekts benötigen. Sie benötigen ein Tool, mit dem Sie alle Ihre Metadaten an einem Ort anzeigen können. So erhalten Sie die Klarheit und Konsistenz, die Sie benötigen, um die Verknüpfungen und Abstammungen zu verstehen, die einen sinnvollen Kontext liefern und die Zugriffsrichtlinien bestimmen. Ein weit verbreitetes Open Source Werkzeug ist zB. OpenMetadata.

Suchen Sie nach einer Datenkatalog- und Governance-Lösung, die sich nahtlos in Ihre Infrastruktur integrieren lässt und mit der Sie die gewünschte Qualität Ihrer Daten während des gesamten Lebenszyklus verfolgen können.

Wählen Sie eine Lösung mit einem Data Policy Manager, mit dem Sie den Datenschutz und die Einhaltung von Unternehmensrichtlinien und gesetzlichen Vorschriften einfach verwalten können. Ein Data Governance-Verantwortlicher lernt ständig dazu. Bleiben Sie engagiert und informiert, indem Sie sich an relevanten Data-Governance-Organisationen und -Communities beteiligen. Nehmen Sie an Vorträgen und Konferenzen über Data Governance teil. Informieren Sie sich über Geschäftsfaktoren, Herausforderungen und Chancen.

5. Zusammenfassung

Während die Datenschutz-Grundverordnung alle notwendigen Garantien in Bezug auf personenbezogene Daten bietet, ist es dem Data-Governance-Act zu verdanken, dass ähnliche Garantien für Anfragen aus Drittländern in Bezug auf nicht personenbezogene Daten zur Verfügung stehen.

Diese Garantien gelten für alle Szenarien und Bestimmungen, die von der DGA festgelegt wurden, insbesondere für Daten des öffentlichen Sektors, Datenvermittlungsdienste und Konstellationen des Datenaltruismus. Der Weiterverwender im Drittland muss für die betreffenden Daten das gleiche Schutzniveau gewährleisten wie nach EU-Recht und die entsprechende EU-Gerichtsbarkeit akzeptieren. Autoren

6. Autoren

Das Tagebuch wird zur Verfügung gestellt von:                

DSGVO-ZT GmbH
www.dsgvo-zt.at

Gast-Autor:

DI Herbert Mühlburger
IT-Ziviltechniker

AI-Trust ZT GmbH
office@it-zt.at


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*