Unternehmensdaten: Wer hat am Ende wirklich die Kontrolle?

In einer zunehmend digitalisierten Welt sind die Daten zum Fundament vieler Unternehmen geworden – und ihre Kontrolle zur strategischen Führungsaufgabe. Datensouveränität bedeutet, nicht nur zu wissen, wo die eigenen Daten liegen, sondern aktiv über deren Nutzung, Schutz und Zugriff zu entscheiden. Gerade für KMU ist das essenziell, um rechtliche Sicherheit, Vertrauen und Wettbewerbsfähigkeit zu gewährleisten. Wer Verantwortung übernimmt, behält am Ende wirklich die Kontrolle.

Datensouveränität – Kontrolle über Unternehmensdaten als Führungsaufgabe

Unternehmer*innen und Geschäftsführer*innen sind verantwortlich für ihre Mitarbeitenden und dafür, dass genügend Aufträge in den Büchern stehen. Daneben entwickeln sie das Unternehmen und das Angebot weiter, rekrutieren neues Personal und sind gefragt, wann und wo immer Probleme auftauchen. Bei so vielen Aufgaben liegt es nahe, Fachthemen wie Unternehmens-IT und Datenspeicherung an einen spezialisierten Partner auszulagern. Nicht auslagern lässt sich allerdings die Verantwortung darüber, gerade in Zeiten fortschreitender Digitalisierung und vermehrter Cyberangriffe auch auf KMU.

Die Digitalisierung kann für Unternehmen erhebliche Vorteile bringen: Prozesse lassen sich automatisieren, Abläufe optimieren und Entscheidungen datenbasiert treffen. Daten werden damit zu einem zentralen Wertschöpfungsfaktor. Sie ermöglichen präzisere Prognosen, erhöhen die Effizienz und schaffen die Basis für neue Angebote oder für Innovationen.

Mit der zunehmenden Nutzung von Daten wächst jedoch auch die Komplexität im Umgang mit ihnen. Es gilt, den Überblick und die Kontrolle zu behalten, um rechtliche, regulatorische und vertragliche Vorgaben einzuhalten und Datenschutz sowie Cybersicherheit aufrechtzuerhalten.

Datensouveränität bedeutet, die Kontrolle über Unternehmensdaten bewusst zu steuern. Datensouveränität und Datenkontrolle sind deshalb nicht allein eine IT-Aufgabe, sondern gleichzeitig auch Business-, Sicherheits- und Kultur-Thema. Datenkontrolle ist wichtig, oft sogar existenziell. Darum sollten sich Unternehmer*innen und Geschäftsführer*innen diesem Thema unbedingt persönlich annehmen und es als Führungsaufgabe betrachten.

Rechtlicher Rahmen

Datenschutz und Datensicherheit sind in der Schweiz heute klar geregelt. Das revidierte Datenschutzgesetz (nDSG) verlangt, dass Organisationen wissen, welche Personendaten sie bearbeiten, zu welchem Zweck und wo diese liegen. Für international tätige Unternehmen kommen zudem Gesetze wie die Datenschutz-Grundverordnung (DSGVO) der EU oder branchenspezifische Regulierungen hinzu – etwa DORA für den Finanzsektor oder NIS2 für Betreiberinnen kritischer Infrastrukturen.

Auch beim Einsatz von Cloud-Diensten gelten rechtliche Vorgaben. Wer Daten ausserhalb der Schweiz oder Europas speichert oder bearbeitet, muss prüfen, welche Bedingungen für Datentransfers gelten und ob diese Länder ein angemessenes Schutzniveau gewährleisten. Besondere Aufmerksamkeit erfordert der US Cloud Act, der Behörden unter bestimmten Umständen Zugriff auf Daten bei US-Anbietern erlaubt. Diese Risiken sind zu kennen und durch technische sowie vertragliche Massnahmen zu mindern – etwa durch klare Datenlokalisierung, definierte Gerichtsstände und Geheimnisschutzklauseln.

Unkenntnis oder falsche Annahmen führen zu unbekannten Risiken. Umso wichtiger ist Rechtssicherheit für Unternehmen, die mit Daten in der Cloud arbeiten. Diese zu erlangen kann sehr aufwändig sein, insbesondere wenn man mit IT und Digitalisierung nicht so vertraut ist. Darum liegt es nahe, dass man einen Experten beizieht, der die rechtlichen Risiken kennt und dort für Rechtssicherheit sorgen kann, wo die Technik nicht ausreicht.

Datentransparenz als Grundlage

Transparenz ist der Kern jeder Datensouveränität. Unternehmen müssen wissen, welche Daten sie besitzen, wo sie gespeichert sind, wer darauf zugreift und wie sie bearbeitet werden. Nur wenn der Lebenszyklus der Daten bekannt ist, lassen sich Risiken richtig einschätzen und angemessene Schutzmassnahmen umsetzen.

In der Praxis fehlt diese Übersicht häufig. Daten liegen verteilt über Anwendungssysteme, Clouds, File-Shares und Endgeräte. Unterschiedliche Verantwortlichkeiten, historisch gewachsene Strukturen und externe Dienstleister erschweren den Überblick. Die Folge: unklare Zuständigkeiten, unerkannte Risiken und Kontrollverluste.

Transparenz entsteht, wenn Unternehmen ihre Datenquellen systematisch erfassen, klassifizieren und Verantwortlichkeiten definieren. Daraus ergeben sich nicht nur Sicherheitsvorteile, sondern auch Effizienzgewinne – IT- und Compliance-Ressourcen lassen sich gezielt einsetzen.

Arten von Daten und ihr Schutzbedarf

Nicht alle Informationen sind gleich kritisch. Man kann unterscheiden zwischen sensiblen, kritischen und internen Daten:

• Sensible Daten betreffen Personen – etwa Kunden- oder Mitarbeiterinformationen, Gesundheitsdaten oder Lohnabrechnungen. Deren Schutz ist gesetzlich vorgeschrieben, ein Missbrauch kann Persönlichkeitsrechte gefährden.
• Kritische Daten sind geschäftsrelevant, etwa Vertragsunterlagen, Finanzdaten, geistiges Eigentum oder Konstruktionspläne. Ihr Verlust oder ihre Veröffentlichung kann den Betrieb erheblich beeinträchtigen.
• Interne Daten, zum Beispiel interne Richtlinien oder Projektdokumente, gelten als unternehmenseigen, erfordern aber dennoch strukturierten Zugriffsschutz.

Damit Unternehmen erkennen können, welche Daten wie zu schützen sind, müssen sie wissen, ob es sich um sensible, kritische oder interne Daten handelt. Daten müssen darum korrekt und umfassend klassifiziert werden, damit die Sicherheitsstrategie schliesslich greifen kann. Das macht die korrekte Klassifizierung zu einer wichtigen Grundlage für das Zusammenspiel von rechtlichen, technischen und organisatorischen Schutzmassnahmen.

Zugriff und Zugriffsschutz

Zur Datenkontrolle gehört auch die Kontrolle darüber, wer zugreifen darf: Zugriffsschutz ist ein zentraler Aspekt echter Datensouveränität. Dazu gehört einerseits der Schutz der Zugriffe, aber andererseits auch die aktive Verwaltung der Zugriffsrechte.

Lange und komplizierte Passwörter bringen nicht mehr den gewünschten Schutz. Sie führen insbesondere in Kombination mit häufigem Wechselzwang dazu, dass sie leicht zu merken – und damit leicht zu erraten – mehrfach verwendet oder nur geringfügig abgeändert werden. Im Darknet lassen sich Listen mit Login-Daten finden, die durch Sicherheitslücken auf gehackten Webseiten in Umlauf geraten sind. Mit solchen Listen probieren sich die Cyberkriminellen bei einem Dienst einzuloggen, bis eine E-Mail-Passwort-Kombination aus der Liste funktioniert und sie sich so Zugriff verschaffen können.

Auch Mehrfaktorauthentifizierung (MFA) kann heute mit geeigneten Methoden ausgehebelt werden. Moderne Phishing-Angriffe nutzen sogenannte Man-in-the-Middle-Attacks, um Anmeldeprozesse in Echtzeit zu spiegeln. Dadurch können Angreifer auch den zweiten Faktor abfangen, falls keine Phishing-resistente Authentifizierung (z. B. Passkeys) eingesetzt wird.

Ein Unternehmen sollte sich nicht nur die Frage stellen, wie Mitarbeitende Zugriff haben, sondern auch worauf. Ein Rollen- und Rechtekonzept sollte allen Mitarbeitenden vorschreiben, welche Information sie sehen und verändern dürfen. Das bildet das Fundament einer funktionierenden Sicherheitsarchitektur.

Ein moderner Zugriffsschutz geht davon aus, dass ein Benutzerkonto früher oder später kompromittiert wird. Die Frage ist daher nicht «ob», sondern «was passiert, wenn es passiert». Es braucht eine Kombination aus klar definierten Berechtigungsprozessen, sicheren Authentifizierungslösungen sowie einer kontinuierlichen Überprüfung von Rollen, Geräten und Kontextinformationen. So wird sichergestellt, dass Mitarbeitende wie auch externe Partner nur auf jene Daten zugreifen, die sie für ihre Arbeit benötigen.

Fazit: Kontrolle ist eine Frage der Haltung

Ob ein Unternehmen die Kontrolle über seine Daten behält, entscheidet sich nicht allein in der IT, sondern in der Führungsetage. Datensouveränität entsteht dort, wo Management, Recht und Technik zusammenspielen – mit klaren Verantwortlichkeiten, konsequentem Risikomanagement und einer gelebten Sicherheitskultur.

Wer also am Ende wirklich die Kontrolle hat, ist die Organisation, die Datensouveränität als Teil ihrer Governance versteht – und nicht als technische Option.