Leitfaden für eine souveränitätszentrierte Data Governance
Hintergrund
In unserer Arbeit zu digitaler Souveränität in Schweizer Unternehmen (Presberger und Di Tommaso 2026) haben wir anhand von Interviews analysiert, was Unternehmen bzgl. digitaler Souveränität denken und welchen Herausforderungen sie gegenüberstehen. In dieser Abhandlung wird der von uns erarbeitete Framework noch etwas genauer dargestellt.
Unseren Handlungsrahmen nennen wir aufgrund seines starken Fokus auf digitale Souveränität den souveränitätszentrierten Data Governance Framework. Dieser Framework nimmt generelle Konzepte aus der Data Governance und generelle Aspekte der digitalen Souveränität und entwickelt Leitlinien mit denen Unternehmen ihre Geschäftsprozesse selbstbestimmter führen können.
Wir möchten betonen, dass es sich hierbei um eine generelle Ideensammlung und nicht um einen getesteten Ansatz handelt und dieser somit als Denkanstoss und weniger als konkreter Handlungsrahmen verstanden werden soll. Dieser Framework soll vor allem dazu dienen, die Diskussion zur Entwicklung von Handlungsempfehlungen für Unternehmen in Bezug auf digitale Souveränität zu eröffnen.
Bedarfsanalyse und Souveränitätsbewertung
Der erste Schritt, um die Handlungsoptionen hinsichtlich digitaler Souveränität für ein Unternehmen festzustellen, ist das Unternehmen in Bezug auf den Bedarf für mehr Souveränität und die damit verbundenen Aufwände einzuordnen. Hierfür haben wir auf Basis der Erkenntnisse unserer Interviews ein Bedarfsraster entworfen, welches die Relevanz von sensiblen Daten für die Geschäftstätigkeit sowie den digitalen Reifegrad eines Unternehmens in Betracht zieht, um die Notwendigkeit für Massnahmen zur Steigerung der digitalen Souveränität und den damit verbunden Aufwand einzuschätzen.
Ein zentrales Ergebnis unserer Interviews war, dass DiS überwiegend für Unternehmen eine Rolle spielt, die in Bereichen tätig sind, in denen vertrauliche Daten den Kernaspekt der Geschäftstätigkeit bestimmen (z.B. Finanzdienstleister, Sicherheitstechnik, Gesundheitssystem). Daher ist die Bestimmung der Relevanz sensibler Daten für die Geschäftstätigkeit zentral. Zudem muss eingeschätzt werden, wie reif das Unternehmen in Bezug auf seine digitale und Dateninfrastruktur ist. Hierfür können Ansätze das Data Management Maturity Model (CMMI Institute 2014) oder andere verwandte Frameworks verwendet werden. Eine Frage die sich ein Unternehmen hierbei beispielsweise stellen kann ist, ob es bereits über eine Datenstrategie verfügt.
Das erarbeitete Bedarsraster ist in Abbildung 1 visualisert. Im Bedarfsanalyse gibt es vier Übergruppen, welche mit Aufwänden verknüpft sind, die auf Unternehmen zukämen wenn diese ihre Prozesse souveräner gestalten würden. Für die Newcomer sind die Kosten einer Umstellung am geringsten, da diese Unternehmen noch kaum bestehende Infrastruktur haben. Sie können gewissermassen auf dem weissen Blatt starten, um eine souveränen Infrastruktur zu planen. Für sie ist die Umstellung auf souveränitätsfokussierte Data Governance mit dem grössten Nutzen und den geringsten Kosten verbunden. Die Digital Natives hingegen haben den geringsten Nutzen von digitaler Souveränität und vergleichsweise hohe Kosten, die sich erst lohnen würden, wenn sensible Daten für das Geschäftsmodell relevanter würden. Die Professionals tragen die höchsten Kosten, haben aber auch den grössten Mehrwert durch eine Umstellung auf mehr Souveränität, um ihr Kerngeschäft abzusichern. Die Down-to-Earths hingegen, welche den meisten Klein- und Kleinstunternehmen entsprechen (z.B. Bäckerei, Handwerksbetrieb), müssen sich aufgrund ihrer mangelnden digitalen Maturität und nicht-datengetriebenen Geschäftstätigkeiten nicht so viele Gedanken zum DiS machen.
| Lösung | Self-hosted | Schweiz | EU | International |
|---|---|---|---|---|
| Infrastruktur | ||||
| Cloud / Server | 20% | 80% | ||
| Daten | ||||
| Kundendaten | 100% | |||
| Transaktionsdaten | 100% | |||
| Software | ||||
| Datenkatalog | 100% | |||
| CRM | 100% | |||
| ERP | 100% | |||
| Personal | ||||
| Data Engineers | 80% | 20% | ||
| Data Owners | 100% | |||
| Data Annotators | 100% |
Um einschätzen zu können, was ein Unternehmen in Bezug auf seine digitale Souveränität tun sollte, lässt sich empfehlen, im nächstem Schritt eine Einordnung der eigenen Geschäftstätigkeit in einer Souveränitätstabelle vorzunehmen. Hier sollte entlang unterschiedlicher Dimensionen bewertet werden, wie souverän die zurzeit genutzte Dateninfrastruktur ist. In dieser kann in Prozentsätzen angegeben werden, wo beispielsweise Daten gespeichert werden. Beispielhaft haben wir dies für eine fiktive Firma in Tabelle 1 illustriert. Wir haben hierbei vier Kategorien, “Self-hosted”, “Schweiz”, “EU” und “International”, verwendet, es können aber noch weitere Kategorien, wie beispielsweise “Kanton” oder “Befreundete Staaten” genutzt werden. Zudem ist wichtig, dass diese Tabelle einmal in Bezug auf geographische Verortung sowie einmal in Bezug auf Jurisdiktion ausgefüllt wird. So kann beispielsweise ein Cloud-Speicher von der geographischen Position in der Schweiz liegen, von der Jurisdiktion aber in den USA (siehe Cloud Act).
Zusätzlich hierzu lässt sich farblich eine Dimension anzeigen, die die Kritikalität der unterschiedlichen Bereiche für die eigene Geschäftstätigkeit bewertet. In Tabelle 2 wurde die Kritikalität der unterschiedlichen Bereiche in drei Stufen eingeteilt: keine (weiss), niedrig (gelb), hoch (rot). Die Hervorhebung der Kritikalität soll helfen, bestimmte Bereiche zu identifizieren, in denen sich Anpassungen in Bezug auf digitale Souveränität am meisten lohnen. Diese lässt sich auch für mehrere Bereiche wie beispielsweise die Verfügbarkeit oder die Vertraulichkeit von Daten anwenden, denn für bestimmte Unternehmen ist unter Umständen Verfügbarkeit wichtiger als Vertraulichkeit und umgekehrt.
| Lösung | Self-hosted | Schweiz | EU | International |
|---|---|---|---|---|
| Infrastruktur | ||||
| Cloud / Server | 20% | 80% | ||
| Daten | ||||
| Kundendaten | 100% | |||
| Transaktionsdaten | 100% | |||
| Software | ||||
| Datenkatalog | 100% | |||
| CRM | 100% | |||
| ERP | 100% | |||
| Personal | ||||
| Data Engineers | 80% | 20% | ||
| Data Owners | 100% | |||
| Data Annotators | 100% |
Auf Basis der Souveränitätstabelle lässt sich bewerten, wie digital souverän ein Unternehmen bisher aufgestellt ist. Umso weiter rechts der Grossteil der Ressourcen eingetragen wird, desto weniger theoretische Kontrolle hat ein Unternehmen über seine Ressourcen.
In Kombination mit dem Bedarfsraster kann man entscheiden, welche Massnahmen ergriffen werden sollten, um das Unternehmen souveräner zu machen. Es sollte jedoch berücksichtigt werden, dass der Teufel oft im Detail sitzt und dass es oftmals auf spezielle Software oder IT-Infrastruktur ankommt, die ein potentielles Risiko darstellen kann. Hiermit liessen sich dann Souveränitätsscores berechnen, ähnlich denen im Cloud Sovereign Framework der EU (European Commission 2025).
Ausgehend von einer solchen Souveränitätstabelle kann man dann Zielzustände definieren und etwaige Handlungsoptionen evaluieren. Man kann diese Tabelle mit einer Ebene zu den Kosten ergänzen, wie in Tabelle 3 für die Infrastruktur. Hier trägt jedes Feld in der Tabelle bestimmte Kosten und die Linien zwischen den Feldern spiegeln Migrationskosten wieder. Wenn man diese aufaddiert bekommt man ein erstes Bild davon, welche Aufwände mit einer anvisierten Zielvorstellung einhergehen könnten.
Anknüpfend an dieses generelle Schema zur Einschätzung des Bedürfnisses, der eigenen Verortung, der Zielsetzung und der Aufwandsabschätzung, möchten wir nun noch einige generelle Handlungsempfehlungen präsentieren.
Softwarebeschaffung
Eine generelle Platform-First oder Best-of-Suite-Strategie (Manoj Varma Lakhamraju, 2025), bei welcher zuerst Applikationen beschafft werden, die bereits als Modul einer genutzten Plattform existieren (z.B. wenn Microsoft als primärer Softwarevendor genutzt wird und bei einer Beschaffung einer Datenkatalogsoftware Microsoft Purview gegenüber Konkurrenzprodukten den Vorzug erhält), führt in der Regel zu weniger Selbstständigkeit für ein Unternehmen. Denn mit einer Best-of-Suite-Strategie wird dem Vendor eine Monopolstellung gewährt. Dies ist aus einer Souveränitätsperspektive besonders fraglich, wenn es sich hierbei um einen ausländischen Vendor handelt. Daher ist eine Best-of-Breed Strategie in der Beschaffung aus Souveränitätsgesichtspunkten meist sinnvoller.
Zudem empfiehlt sich für Unternehmen, die noch kein grösseres IT-Ökosystem unterhalten oder deren Software-Lösungen ihr Lebensende erreicht haben, eine Evaluation von Open-Source-Anwendungen. Insbesondere dann, wenn der Anspruch an den Feature-Umfang eher gering ausfällt. Im Schweizer Open Source Directory lassen sich hierfür entsprechende IT-Lösungen und Anbieter finden.
Auch in Bezug auf KI, stellt sich für viele Unternehmen die Frage, wie sie KI-Tools verwenden können, ohne die Souveränität über Daten zu verlieren. Der EU AI Act kann hier für Unternehmen eine Orientierungshilfe bieten (EU Artificial Intelligence Act 2026), er unterscheidet in vier Risikokategorien. So sollte besonders die Anwendung von KI-Tools im Bereich hohes und inakzeptables Risiko (bspw. Kreditwürdigkeitsprüfung, social scoring, Bewertung von Lebensläufen) kritisch geprüft werden. Es empfiehlt sich auch über den Einsatz von Compliance-konformen KI-Modellen, wie das Schweizer Apertus (Swiss AI 2026), nachzudenken.
Change Management
Wir schlagen vor, eine Rolle einzuführen, die für die Prüfung und Bewertung von Aspekten der digitalen Souveränität und damit verbundenen Risiken zuständig ist, ähnlich jener Rolle des Sovereignty Managers, den wir im Theorieteil erwähnt haben. Diese Rolle kann “(Digital) Sovereignty Officer” oder “(Digital) Sovereignty Manager” genannt werden. Die Aufgabe dieser Rolle ist es, entlang der digitalen Wertschöpfungskette Risiken zu bewerten (beispielsweise aus welchen Ländern und Regionen wichtige Daten für die eigenen Datenprodukte akquiriert werden) und Zielvorgaben für die Ausgestaltung digitaler Souveränität im Unternehmens zu erarbeiten. Wir haben in Abbildung 2 die Rolle und ihre Beziehungen zu anderen Rollen im Unternehmen dargestellt.
Personen in dieser Rolle sollen weiterhin Kosten und Nutzen von Änderungen abschätzen, um die digitale Souveränität des Unternehmens zu erhöhen. So könnten beispielsweise die Kosten für die Migration von einem ausländischen zu einem Schweizer Cloud-Anbieter den potentiellen Risiken von Datenverlust, Datenkompromittierung, Vendor-Lock-in, Brand Damage und anderen Risiken mit entsprechender Eintrittswahrscheinlichkeit gegenübergestellt werden. Eine weitere Aufgabe sollte die Evaluation von Exit-Szenarien & -Strategien sein, also beispielsweise die Abschätzung über die Wahrscheinlichkeiten und Auswirkung dass ein grosser Hyperscaler aufgrund von politischen Entwicklungen nicht mehr genutzt werden kann. Wir sehen die Rolle des Data Souvereignty Manager als Berater und Mitentscheider. Auf diese Weise soll das Bewusstsein zu souveräner Nutzung und die künftige Handlungsfreiheit in Bezug auf digitale Souveränität gesichert werden.
Für kleinere Unternehmen und KMU kann die Rolle des Sovereignty Managers vom Inhaber oder Mitgliedern der Geschäftsleitung übernommen werden. Vermutlich genügt es bereits ein allgemeines Strategiepapier zum Thema digitale Souveränität aufzusetzen, um für das Thema zu sensibilisieren und einen generellen Ansatz zu finden. Zur Bewertung des eigenen Souveränitätsbedarfs kann eine wie zuvor vorgeschlagene Souveränitätstabelle verwendet werden.
Data Lineage
In Bezug auf die Data Lineage, benötigt es für souveräne Prozesse mehr Transparenz hinsichtlich der Entstehung und Speicherung von Daten und hinsichtlich souveränitätsrelevanter Informationen zu den Anbietern von Infrastruktur und Software, die zur Verarbeitung der Daten genutzt wird. Es müssen beispielsweise Metadaten in einem Datenkatalog zum Entstehungsort der Daten erfasst werden, welcher Jurisdiktion diese Daten unterliegen und welcher Jurisdiktion die Anbieter etwaiger Software zur Datenverarbeitung unterliegen. Anhand der Datenlandkarte kann man dann identifizieren, wo Daten und Prozesse souveränitätsrelevant sind.
Kooperationen
In unseren Interviews wurde häufiger über die Notwendigkeit der Sensibilisierung für das Thema Souveränität gesprochen, welche über Unternehmen und Branchen hinweg stattfinden müsse. Daher sind wir der Meinung dass die Vernetzung und Kooperation zwischen Unternehmen entscheidend für eine erfolgreiche Transformation zu einem souveränen digitalen Ökosystem ist.
Unterschiedliche Vorschläge beinhalten etwa die Informationsvermittlung zu der Problematik, Risikoeinschätzungen, und Präsentationen von konkreten Transformationsbeispielen in Unternehmensverbänden und -vereinen. Weiter sind Branchenlösungen wie eine geteilte Cloud-Infrastruktur von Schweizer Anbietern ein vielversprechender Weg um nicht nur mehr Souveränität in den Geschäftsprozessen zu erhalten, sondern auch Kosten und Service zu optimieren. Zudem können gemeinsame Datenräume Unternehmen helfen, souveräner zu werden und positive Kooperationen mit anderen Unternehmen zu verfolgen, indem sie Daten die von einem gemeinsamen Nutzen sein könnten, miteinander teilen.
Quick Wins
Ein gängiger Weg mehr Souveränität zu erreichen, ist, das Thema in kleinen Schritten anzugehen. Man muss nicht von jetzt auf gleich alle Abhängigkeiten zu grossen ausländischen Anbietern kappen. So könnten bereits kleine Änderungen in den Abläufen, wie die Nutzung von offenen Dokumentformaten ein kleiner Schritt in Richtung mehr unternehmerischer Selbstbestimmung sein. So würde es beispielsweise schon helfen offene Dokumentstandards (z.B. “.svg”, “.odt”) zu verwenden.
Souveränitäts-Tool
DataWinterthur arbeitet derzeit an einer Software-Lösung zur Berechnung digitaler Souveränität von Unternehmen. Hierfür haben wir einen Fragebogen für die Unternehmensbewertung sowie ein Berechnungstool zur Erstellung eines Souveränitätsscores entwickelt. Das Tool erlaubt die einfache Erstellung einer kompletten Souveränitätsstrategie für Unternehmen.
Haben Sie Interesse, die digitale Souveränität Ihres Unternehmens zu bewerten? Schreiben Sie gerne unverbindlich an info@data-winterthur.ch