Skip to content

Erste Erfahrungen im Wissensmanagement mit Obsidian und Logseq

Graph meines kleinen ersten Projekts
Graph meines kleinen ersten Projekts

Im Podcast TILpod war Wissensmanagement mit Obsidian und Logseq kürzlich das zentrale Thema. Dirk Deimeke und Sujeevan Vijayakumaran berichteten über deren Erfahrungen mit den Tools Logseq und Obsidian. Im Rahmen meines Jobs betreue ich derzeit eine ERP-Software und dort gibt es viele Knöpfe, Einstellungen, Möglichkeiten etc. Daher wollte ich beide Werkzeuge mal testen und prüfen, ob die sich irgendwie in meine Arbeit integrieren lassen. Der Blogbeitrag ist das Ergebnis meiner ersten Schritte. Ich will hier mal die frischen Erkenntnisse niederschreiben.

Zettelkasten

Die Idee beider Software lehnt sich an das Zettelkastenprinzip von Niklas Luhmann an. Das bedeutet, man schreibt seine Ideen, Gedanken oder anderes auf einen Zettel. Diese Zettel sind, ähnlich wie in einem Wiki oder auf einer Webseite, miteinander verlinkt. Dadurch entsteht ein Wissensnetz und durch eine Graphansicht lassen sich neue Erkenntnisse und Einsichten gewinnen. Die Beschreibung ist sehr verkürzt. Wenn ihr euch mehr dafür interessiert, schaut euch mal das Video “Zettelkasten deutsch - Smarte Notizen schreiben” von Joshua Meyer an. Ich fand das eine gute Einführung in das Thema.

Obsidian und Logseq

Obsidian, Logseq wie auch andere Software setzen die Zettelkästen um. Es wird ein “Zettel” in Markdown geschrieben. Dadurch lassen sich die Notizen formatieren und der Text bleibt lesbar. Das heißt, die Notizen bleiben unter Umständen für die Ewigkeit erhalten. Mittels der Verlinkung in Markdown entsteht auch untereinander eine Verlinkung und ein Graph wird aufgebaut.

Obsidian ist eine proprietäre Software und wird über Github zum Download angeboten. Diese kann dann kostenlos oder derzeit einmalig für 25 bzw. 50 US-Dollar genutzt werden. Bei der kostenlosen Variante bleiben die Daten lokal auf der Festplatte liegen. Für 8 US-Dollar pro Monat lässt sich eine Synchronisation dazu buchen. Allerdings geht das durchaus auch über NextCloud, Dropbox oder ähnliche Dienste. Mir ist derzeit unklar, warum ich die Software kaufen sollte. Die Features, die beworben werden (Zugang zu “Insider Builds”, schöne Badges etc.), erscheinen mir wenig reizvoll für den Kauf.

Logseq ist Freie Software unter der AGPL-3.0-Lizenz. Sie wird ebenso über Github zum Download angeboten. Die Entwicklung der Software finanziert sich u.a. über Spenden. Wie auch bei Obsidian lassen sich die Dateien mit Cloud-Diensten synchronisieren. Zusätzlich ist auch ein Commit via git im Standardumfang enthalten.

Wann immer es geht, versuche ich, Freie Software einzusetzen. Daher würde ich gern Logseq einsetzen, sofern ich den Ansatz für das Wissensmanagement überhaupt weiter verfolge.

Mein Einstieg

Zu Anfang habe ich mir die Videoanleitungen “Zettelkasten in Obsidian” und “How to get started in Logseq” sowie ein paar andere angeschaut.

Wenn man sich die beiden Kurse anschaut, stellt man schon interessante Unterschiede fest. Der Kurs zu Obsidian nimmt die Menschen in den Fokus, die die Software erstmalig einsetzen wollen. Es gibt es Erklärung zu dem Prinzip des Zettelkastens und dann wird mit einem konsistenten Beispiel über den Kurs hinweg gearbeitet. Nach dem Video hatte ich einen guten Eindruck, wie die Software funktioniert und wie ich die nutzen kann. Der Kurs zu Logseq erzählt auf einem sehr hohen Level Konzepte und Ideen. Ich hatte hier zunächst das Gefühl, dass dies für mich wenig hilfreich ist. Beim TILpod ist noch “Logseq beginner's course” verlinkt. Damit gibt es einen besseren Einstieg in das Thema. Den Kurs empfand ich wie ein Handbuch, was vorerzählt wird.

Nachdem ich das Gefühl hatte, in etwa die Software zu verstehen, habe ich mit einem künstlichen Beispiel in Obsidian erste Schritte unternommen und mit einem realen Beispiel Logseq bespielt. Unten habe ich dann das Beispiel aus Logseq auch in Obsidian genutzt.

Mein angedachter Arbeitsablauf

Meine erste Vorstellung des Arbeitsablaufs war, dass ich zunächst ein paar grundlegende Informationen in der Software hinterlege und später diese dann um aktuelles Wissen ergänze. So gibt es beispielsweise immer mal wieder das Problem, dass beim Login in der ERP-Software die Meldung kommt, dass der Nutzer schon angemeldet sei. Hier würde ich dann in Logseq oder Obsidian eine entsprechende Seite anlegen und die Lösung beschreiben. Dies würde ich dann entsprechend verlinken und hoffentlich später wieder finden.

Soweit ich das einschätzen kann, würde Obsidian diesen Ansatz recht gut unterstützen. Jedenfalls kann ich die Ideen mit der Standardinstallation einfach so umsetzen.

Logseq arbeitet standardmäßig mit einem Journal. Das heißt, zunächst wird dort eine Seite mit dem aktuellen Datum geöffnet. Dort lassen sich tägliche Notizen machen und dann verlinken. Dieser Ansatz fühlt sich anders an, als bei Obsidian. Allerdings lässt sich hier mein obiger, geplanter Arbeitsablauf durchführen.

Vom Start weg scheint Obsidian hier besser benutzbar zu sein und das zu unterstützen, was ich machen will. Bei Logseq fiel mir das erst auf den zweiten Blick auf.

Unabhängig von meinem angedachten Arbeitsablauf erscheint mir der Ansatz von Logseq recht gut zu sein. Hier kann man seinen kompletten Tag aufschreiben und verlinken. Dadurch bildet sich eine viel größere Wissensbasis als in meinen auf einen Zweck beschränkten Beispiel.

Erste Schritte mit Obsidian

Startansicht von Obsidian
Startansicht von Obsidian

Beim ersten Öffnen von Obsidian fragt die Software nach einem so genannten Vault. Das ist so eine Art Projektansicht. Nachdem entweder eine existierende geöffnet oder eine neue angelegt wurde, kann es losgehen. Datei um Datei entsteht dann ein Wissensspeicher.

Wenn das linke Vorschaufenster ausgeklappt ist, sind die Dateien sichtbar. Die Ansicht finde ich im Moment recht nützlich, weil sie mir einfach einen Überblick über existierende Dateien verschafft. Vermutlich wird das aber im Laufe der Zeit eine immer kleinere Rolle spielen.

In den Videoanleitungen zu Obsidian gab es noch einen Hinweis zu Aliasen. Dieses Feature fand ich recht nützlich. Denn im Rahmen meines Anwendungsfalles gibt es einen Baustein namens “Auftrag”. Wenn ich im Text hierauf verweise, kann es sein, dass ich manchmal Aufträge, Aufträgen etc. schreiben muss. Mittels Aliases kann das alles auf eine Seite umgebogen werden.

Ansicht eines Eintrages mit Graph
Ansicht eines Eintrages mit Graph

Erste Schritte mit Logseq

Initiale Ansicht von Logseq
Initiale Ansicht von Logseq

Beim ersten Öffnen von Logseq erscheint eine Art Info-Bildschirm. Dieser informiert über die ersten Schritte bei der Bedienung der Software. Allerdings fehlte mir die Information, wie ich über den Start hinaus komme. Innerhalb des Tutorials kann man arbeiten, neue Seiten anlegen etc. Aber wie arbeitet man nun produktiv? Erst später fiel mir auf, dass es rechts oben den Eintrag “Öffnen” gibt. Darüber kann man ein Verzeichnis angeben. Die Daten werden dann in diesem Verzeichnis abgelegt.

Interessanterweise fand ich keine Möglichkeit, wieder zu dem Startbildschirm zurück zu wechseln. Man kann neue Seiten anlegen und zwischen diesen wechseln. Aber der Startbildschirm scheint verschwunden zu sein.

Der Arbeitsablauf bei Logseq basiert nun auf dem Journal. Es wird eine Datei mit dem aktuellen Datum angelegt. Dort lassen sich dann Informationen, TODO-Einträge und vieles mehr ablegen. Über Verlinkungen werden dann auch einzelne Seiten angelegt. Es fühlt sich für mich so an, als ob das Journal der Kern der Software wäre.

Mir fehlt eine Ansicht der Dateien. Es gibt zwar Neueste und Favoriten. Aber ich würde mir für den Anfang eine Überischt aller Dateien wünschen. Diese lässt nur über den Menüeintrag “Alle Seiten” öffnen. In dem Fall öffnet sich dann ein neues Fenster.

Neben den obigen Punkten muss ich mich vermutlich noch in die Software einfinden. Rein optisch stören mich die Punkte am linken Rand. Das ist vermutlich eine Markierung für den Block. Aber gerade bei Überschriften sieht das merkwürdig aus.

Detailansicht eines Eintrags in Logseq
Detailansicht eines Eintrags in Logseq

Vorläufiges Fazit

Für meinen Anwendungsfall (Wissen bei einer spezifischen Software dokumentieren) scheint mir Obsidian die passendere Software zu sein. Die unterstützt das, was ich will, bestmöglich. Das geht natürlich auch mit Logseq. Aber hier habe ich den Eindruck, dass ich da immer mal einen Klick oder einen Befehl zusätzlich verwenden muss und die Software da mehr im Weg steht.

Ganz allgemein finde ich jedoch den Ansatz von Logseq, alles in ein Log zu schreiben und Dateien zu pflegen, sehr gut. Dadurch erhält man einen guten Überblick über die täglichen Aufgaben, TODOs und anderes. Ganz nebenbei wird eine Wissensdatenbank aufgebaut. Logseq bietet auch die Möglichkeit, die Dateien in ein git zu committen. Das will ich mal ausprobieren.

Wenn beide Anwendungen ähnliche Voraussetzungen hätten, würde ich vermutlich Obsidian nutzen. Die Software macht mir den Eindruck, als ob sie meinen Arbeitsfluss deutlich besser unterstützen würde. Allerdings bevorzuge ich eben Freie Software, so dass ich die nächsten Schritte erstmal mit Logseq machen werde. Eventuell werde ich später über die weitere Erfahrungen berichten.

Nutzt ihr auch Obsidian, Logseq, Roam oder etwas ähnliches? Wie sind eure Erfahrungen und wie setzt ihr die Software ein?

Liste von Android-Apps

Bei Jörg sah ich kürzlich eine Liste von Android-Apps, die er verwendet. Solch eine Liste kann eine gute Idee sein, um neue interessante Apps zu finden. Daher habe ich beschlossen, auch eine solche Liste aufzustellen.

Systemfunktionen

Büro

Kommunikation

Multimedia

  • Antennapod: Verwaltung von Podcasts
  • Newpipe: Zugriff auf Youtube, Soundcloud, media.ccc.de und anderes
  • SkyTube: Zugriff auf Youtube
  • VLC: Video- und Musikabspielprogramm
  • Zapp: Streams der öffentlich-rechtlichen Sender anschauen

Sonstiges

Der IFG-Hack des Tages

Die Informationsfreiheitsgesetze sind ein wundervolles Instrument, um öffentliches Handeln transparenter zu machen. Mit einer Anfrage lassen sich verschiedene Informationen beziehen und die Plattform Frag den Staat macht es einfach, solche Anfragen zu stellen. Ein Blick auf die letzten Anfragen ist immer recht interessant.

So stieß ich kürzlich auf eine Anfrage einer Person, die von der TU Dortmund die Kosten für den Einsatz von Zoom und Webex wissen wollte. Spätestens seit Beginn der Corona-Pandemie setzen viele Unternehmen und auch Universitäten auf Videokonferenzen. Zoom und Webex sind zwei solcher Lösungen. Eine Frage nach den Kosten des Einsatzes sollte einfach zu beantworten sein. Jedoch beobachte ich, dass sich viele Stellen schwer tun und versuchen, “Gegenargumente” zu finden.

So war es auch im Fall der TU Dortmund. Zunächst wurde die Anfrage nicht innerhalb der gesetzlichen Frist beantwortet. Die Person mahnte zweimal eine Antwort an. Schließlich antwortete die Uni, dass sie die Antwort gern als Brief versenden wollen und daher die Adresse benötigen.

Die Angabe einer Adresse ist bei solchen Anfragen in der Regel nicht nötig, da Anfragen von jeder Person gestellt werden können. Die öffentliche Stelle kann einfach auf die E-Mail anworten. Die Uni beharrte jedoch auf der Angabe einer Adresse und so schaltete die Person den Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) ein. Der bestätigte, dass Anfrage und Antwort per E-Mai erfolgen müssen. Er schrieb in seiner Antwort auch von Ausnahmen, unter anderem kann bei einer Ablehnung der Anfrage die Adresse erfragt werden. Nach zwei Monaten Wartezeit kam die TU Dortmund dann zu dem Schluss, dass der Bescheid abgelehnt werden soll und fragte wieder nach der Adresse. Nach weiterer Vermittlung durch das LDI NRW schickte die Uni eine kurze Begründung über die Ablehnung. Sie beriefen sich auf den Schutz von Betriebs- und Geschäftsgeheimnissen nach § 8 IFG NRW.

An der Stelle begann der Antragsteller nun kreativ zu werden. Die Uni bat an, den Bescheid zuzusenden oder vor Ort abzuholen. Natürlich wollte die Person Letzteres, worauf die Uni meinte, dass die Gebäude wegen Corona verschlossen sein. Immerhin wurde eine Terminvereinbarung angeboten. In einer überraschenden Wendung verzichtete der Antragsteller nun auf die Abholung und brachte die DSGVO in Stellung. Der Art. 15 Abs. 3 Satz 1 DSGVO sagt:

Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.

Im Rahmen der Anfrage wurden personenbezogene Daten verarbeitet. Insbesondere auf dem Bescheid sollte der Name und ggf. weitere Daten enthalten sein. Damit müsste der Bescheid im Rahmen der Anfrage nach der DSGVO an den Antragsteller geschickt werden.

Im weiteren Verlauf der IFG-Anfrage ist jedoch zu sehen, dass dies die Uni zunächst nicht gemacht hat und die Person das moniert. Es ist also spannend zu beobachten, wie die Anfrage weiter verläuft. Ich halte euch auf dem Laufenden.

Protokoll der mündlichen Anhörung zur VDS beim europäischen Gerichtshof

Bastien Le Querrec von La Quadrature du Net fertigte ein Protokoll der mündlichen Anhörung vor dem europäischen Gerichtshof an. Die klagenden Verbände sowie die Beklagten bekamen Zeit Stellung zu nehmen und Fragen der Richterinnen und Richter zu beantworten. Das Originaldokument gibt es nur in französisch. Ich habe es daher mit Hilfe von DeepL, Google Translate und von Chloé Berthélémy ins Deutsche übersetzt. An einigen Stellen ist die Übersetzung noch etwas holprig. Solltet ihr Verbesserungen haben, hinterlasst bitte einen Kommentar oder schickt mit eine E-Mail.

Im erweiterten Eintrag unten findet ihr den gesamten Text des Protokolls. Alternativ könnt ihr diesen auch als PDF-Datei herunterladen.

Continue reading "Protokoll der mündlichen Anhörung zur VDS beim europäischen Gerichtshof"

DSGVO-Aufwand bei den Aufsichtsbehörden

Ende 2018 veröffentlichte die CNIL einige Statistiken zu deren Arbeitsaufwand durch die EU-Datenschutzgrundverordnung (DS-GVO). Ich fragte mich damals, wie das wohl bei den deutschen Aufsichtsbehörden so aussieht. Also fragte ich dort nach.

Ich schickte eine E-Mail an alle 16 Landesbehörden sowie an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). In der Mail bat ich um Auskunft, wie viele Datenschutzbeauftragte gemeldet wurden, wieviel Datenschutzpannen bisher gemeldet wurden und wieviel Anfragen insgesamt eingetroffen sind. Wie sahen die Antworten so aus?

Anfragen

Alle Behörden antworteten durch die Bank, dass es einen enormen Anstieg der Anfragen gegeben hat. In einigen Fällen schrieb man von einer Verdrei- bis Vervierfachung der Anfragen. Leider erhielt ich nicht von allen konkrete Zahlen. Legt man die Meldungen mit Zahlen zugrunde, so liegt die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen mit mehr als 10.000 Anfragen an der Spitze aller Bundesländer. Dies erscheint auch logisch, da das Bundesland entsprecht groß ist. Auf der anderen Seite sprach die Landesbeauftragte von Bremen von etwa 30 monatlichen Anfragen (ggü. durchschnittlich 18 vor dem Mai 2018). Sachsen als Flächenland meldete mir 776 Anfragen in den sechs Monaten von Mai bis November 2018 zurück. Das entspricht knapp 130 Anfragen pro Monat.

Beschwerden

Leider hatte ich in meiner E-Mail das Wort Anfragen verwendet. Bei der Beantwortung stellte sich heraus, dass zwischen einfachen Anfragen und Beschwerden unterschieden wird. So wurden beim TLfDI 284 Beschwerden angelegt und Hessen verzeichnete über 1200 Beschwerden.

Anzahl der gemeldeten Datenschutzbeauftragten

Mit der DS-GVO sind die Firmen verpflichtet, Datenschutzbeauftragte (DSB) an die Behörden zu melden. Hier interessierte mich, wieviel Meldungen bei den Behörden eingegangen sind. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) meldete bereits im August die Zahl von 10.000. Im benachbarten Baden-Württemberg waren es mit 23.000 mehr als doppelt so viele. Aber auch hier liegt Nordrhein-Westfalen mit 24.800 DSB an der Spitze.

Beim BfDI gingen mit 1270 die wenigsten Meldungen ein. Ich würde vermuten, dass auch da einige fehlgeleitete Meldungen darunter sind. Denn zumeist sollten die Meldungen im jeweiligen Bundesland abgegeben werden. Wie schon bei den Anfragen hat Bremen mit etwas mehr als 1500 die wenigsten Meldungen zu verzeichnen. Schaut man in die anderen Bundesländer so haben das Saarland (knapp 2100) und Sachsen-Anhalt (2100) recht wenige erhalten. Aber auch der Freistaat Thüringen liegt mit ca. 3550 Meldungen weit hinten.

Meldungen zu Datenpannen

Wenn es zu Problemen bei der Verarbeitung personenbezogener Daten kommt, so muss gegenüber den Behörden eine Meldung abgegeben werden. Das heißt, wenn Seiten gehackt, Daten unbefugt gelöscht werden oder es andere Probleme mit der IT-Sicherheit gibt und dabei Risiken für die Menschen entstehen, entsteht eine solche Pflicht. Hier hatte mich interessiert, wieviele Meldungen entstanden sind.

Mit Abstand die meisten Meldungen gingen beim BfDI ein. Dort wurden knapp 4700 Meldungen verzeichnet. Hier wäre eine Übersicht nach einzelnen Bundesländern interessant. Denn vermutlich stammen diese aus dem kompletten Bundesgebiet.

Das BayLDA kommt dann an Platz 2 und hat mit 2005 weniger als die Hälfte der Meldungen des BfDI. Die Anzahl der Meldungen auf Platz 3 (NRW) halbiert sich dann noch einmal (1032). Baden-Württemberg (> 700) und Hessen (640) werden auf die weiteren Plätze verwiesen.

Auf den hinteren Plätzen liegen wiederum Bremen (29), Sachsen-Anhalt (>50), Saarland und Thüringen (<70).

Neben den reinen Zahlen würde mich eine Statistik über die Inhalte der Datenpannen interessieren. Auch fände ich es schön, die Zahl im Verhältnis zu den Firmen im jeweiligen Bundesland auszuwerten.

Sonstiges

Bei den obigen Zahlen fehlen zwei Bundesländer. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern schrieb mir zurück, dass aufgrund des Arbeitsaufkommens eine Antwort nicht möglich sei. Vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit erhielt ich bis zum heutigen Tag keine Rückmeldung.

 

Continue reading "DSGVO-Aufwand bei den Aufsichtsbehörden"

Krankenscheine per AU-Schein.de

Heise berichtete von einer Firma, die Krankenscheine über das Internet anbietet. Das heißt, man gibt auf der Seite seine Symptome ein, muss noch Risikofaktoren angeben und schließlich Name, E-Mail-Adresse, WhatsApp-Nummer und anderes eingeben. Anschließend muss ein Foto der Krankenkarte senden. Über WhatsApp und später per Post wird dann die Arbeitsunfähigkeitsbescheinigung zugeschickt.

Gerade wenn man die Berichte und Warnungen zu WhatsApp liest, fragt man sich: »Kann das denn im Sinne der DS-GVO sein?« So lässt sich die Hamburger Ärztekammer auch mit Datenschutzbedenken zitieren.

Die Firma selbst schreibt in deren FAQ:

WhatsApp ist zwar datenschutzkonform, Ende-zu-Ende verschlüsselt und kann die Daten selbst nie einsehen. Dennoch laufen die Daten über deren Server in USA.

Der Hauptkritikpunkt bei WhatsApp ist der Zugriff und Upload der Kontaktdaten. Gerade wenn im Adressbuch Personen enthalten sind, die kein WhatsApp benutzen und der Verarbeitung durch WhatsApp keine Einwilligung erteilt haben, so ist dies eben nicht von der DS-GVO gedeckt und rechtswidrig.

Der obige Dienst spricht jedoch genau nur WhatsApp-Kunden an. Das heißt, die haben WhatsApp installiert und den Nutzungsbedigungen zugestimmt. Weiterhin speichert die Firma nach eigenen Angaben keine Kontaktdaten. Insofern wird aber das kritische Problem umgangen. Die anderen kritischen Punkte, wie Übertragung ins Ausland und Auftragsverarbeitung, sind nach jetzigem Stand geklärt. Damit wäre der Dienst nach meiner Meinung mit der DS-GVO vereinbar. Insbesondere werden die Daten verschlüsselt übertragen und sind damit besser geschützt als bei diversen anderen Angeboten.

Nichtsdestotrotz finde ich die Benutzung und Unterstützung von WhatsApp nicht unterstützenswert. Ich würde es begrüßen, wenn die Firma einen anderen Weg gänge. Denn im Normalfall möchte man weder WhatsApp noch den Mutterkonzern Facebook unterstützen.

Weihnachtsüberraschung vom TLfDI

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) verschickte in den letzten Tagen eine freiwillige Umfrage an 17.000 Thüringer Unternehmen. Wie der MDR berichtet, soll damit ein besserer Überblick über den Datenschutz und die Umsetzung der DS-GVO in Thüringen erreicht werden. Mich haben auch schon einige Unternehmen angesprochen, die den Bogen erhielten und wissen möchten, wie sie sich verhalten sollen.

Die Teilnahme ist freiwillig. Das heißt, Unternehmen können sich selbst entscheiden, ob sie teilnehmen wollen. Dr. Hasse sagte dem MDR, dass er aber auch eine verpflichtende Umfrage in Erwägung zieht, sofern zu wenige Anworten kommen.

Unternehmen haben für die Antwort eine Woche Zeit. Ich finde diese Frist recht kurz. Gerade in der Weihnachtszeit liegen meist die Prioritäten an anderer Stelle und so landete das Schreiben in vielen, mir bekannten Fällen entweder im Papierkorb oder auf einem Stapel von später zu bearbeitenden Vorfällen. Meine Vermutung ist, dass der Rücklauf bis Weihnachten eher dürftig ist. Eine längere Antwortfrist wäre hier durchaus angemessen gewesen.

Der Fragenbogen (lokale Kopie) gliedert sich in sieben Teile:

  1. Datenschutzbeauftragter (DSB)
  2. Verzeichnis von Verarbeitungstätigkeiten
  3. Rechtsgrundlagen nach Art. 6 DS-GVO
  4. Informationspflichten
  5. Betroffenenrechte
  6. Datenschutz-Folgenabschätzung
  7. Auftragsverarbeitung

Dies sind auch wichtige Bereiche im Rahmen der Umsetzung der DS-GVO, die von allen Unternehmen berücksichtigt werden sollten. Einzig das Thema IT-Sicherheit spiegelt sich nicht in der Umfrage wider.

Viele Unternehmen fragen sich nun, ob es Probleme bei der Beantwortung des Fragebogen gibt. Ich würde ja erwarten, dass Unternehmen den Fragenbogen nur dann beantworten, wenn sie sich Gedanken zum Datenschutz gemacht haben. Andere werden vermutlich die Freiwilligkeit eher so auslegen, dass die den nicht abschicken. ;-) Die offene Frage ist nun, wo Probleme bei den Antworten entstehen können.

Datenschutzbeauftragter

Im Bereich zum Datenschutzbeauftragten versuchen die ersten vier Fragen zu eruieren, ob es eine Pflicht zur Benennung eines DSB gibt und die fünfte Frage klärt dann, ob ein DSB ernannt wurde.  Wenn es hier ein Unternehmen gibt, welches einerseits die Pflicht zur Benennung eines DSB hat, andererseits aber keinen ernannt hat, wäre das aus meiner Sicht ein eindeutiges Signal, genauer hinzuschauen. Als Behörde würde ich hier mal genauer hinschauen.

Gerade Unternehmen, die sich dieser Pflicht entziehen, fahren ein größeres Risiko. Denn der DSB muss der Behörde gemeldet werden. Eine Behörde könnte auf die Idee kommen, sich eine Auflistung aller Unternehmen mit mehr als 20 Beschäftigten (oder einer anderen Zahl) zu besorgen. Diese könnte mit der Liste der gemeldeten Verantwortlichen abgegllichen werden. Die Unternehmen mit mehr als 20 Beschäftigten ohne DSB könnte sich die Behörde zumindest genauer anschauen. Wenn man dann hier noch nach den Schwerpunkten unterscheidet (Eine IT-Firma mit den Kriterien wird eher einen haben müssen als ein Produktionsbetrieb.), ließen sich vermutlich recht schnell die Firmen ermitteln, die einen DSB haben müssen, aber keinen haben.

Die Fragen 6 und 8 überschneiden sich, denn Frage 6 möchte wissen, ob es einen externen DSB gibt, während Frage 8 sich nach einem internem erkundigt. Dies hätte in einer Frage abgehandelt werden können. Ich verstehe hier nicht, warum dies auf zwei Fragen verteilt wurde bzw. was passiert, wenn beide mit Ja beantwortet werden.

In der siebenten Frage soll angekreuzt werden, ob der DSB eine natürliche oder juristische Person ist. In verschiedenen Kommentaren zur DS-GVO wurde immer wieder angemerkt, dass der DSB eine natürliche Person sein sollte. Begründet wird dies nach meiner Erinnerung insbesondere mit dem Fachkundenachweis. Den kann eine natürliche Person führen, für eine juristische wird das schon schwerer.

Die folgenden Fragen beschäftigen sich dann auch mit der Fortbildung. Hier wird gefragt, wann die letzte Fortbildung war. Gerade im Hinblick auf den 25. Mai 2018 sollte die letzte entweder in diesem oder im vorigen Jahr liegen. Ansonsten sollte man sich schon fragen, wie der DSB seine Fachkunde erworben hat.

Frage 13 und 14 möchte wissen, ob der DSB gemeldet und veröffentlicht wurde. Beides sind Pflichten nach der DS-GVO.  Dies sollten die betreffenden Unternehmen also getan haben, wenn sie einen DSB ernannt haben.

Verzeichnis der Verfahrenstätigkeiten

Zunächst wird die Existenz abgefragt. Nach meinem Eindruck müssen 100% der angefragten Unternehmen ein solches Verzeichnis haben. Sollte hier jemand Nein ankreuzen, würde ich das als Gelegenheit nutzen, um genauer nachzufragen. Die nächste Frage möchte nur wissen, ob die bereitgestellten Formulare hilfreich waren.

Erlaubnistatbeständen nach Art. 6 DS-GVO

Die erste Frage möchte wissen, ob jedem Vorgang ein Erlaubnistatbestand zugeordnet werden kann. Das Datenschutzrecht sagt nun, dass alle Verarbeitung personenbezogener Daten verboten ist, es sei denn, es gibt eine Erlaubnis. Das heißt, ein Nein würde hier klar zum Ausdruck bringen, dass das Unternehmen Daten rechtswidrig verarbeitet.

Die weiteren Fragen klären, bei welchen Erlaubnistatbeständen es Probleme gab und wie die Einwilligung eingesetzt wird. Soweit ich es beurteilen kann, haben Leute eher mit der Interessenabwägung Probleme. Nach der landläufigen Meinung würden viele jeden Vorgang über eine Einwilligung regeln. Hier wäre ich sehr gespannt auf die Antworten der Unternehmen.

Informationspflichten

Beim Abschnitt zu Informationspflichten wird gefragt, wie diese umgesetzt werden. Hier gibt es eine Liste mit fünf Möglichkeiten. Die zweite Frage zielt auf die Webseite ab und will wissen, ob die überarbeitet wurde, um Informationspflichten zu erfüllen. Wenn ich ein halbes Jahr (oder etwas länger) zurück denke, so steckten dort viele Unternehmen Aufwand hinein. Wer dies andererseits nicht getan hat, der hat eine wesentliche Pflicht aus der DS-GVO nicht erfüllt.

Betroffenenrechte

Bezüglich der Betroffenenrechte wird nach einem Prozess für die rechtzeitige Bearbeitung der Anfragen und zu eventuell aufgetretenen Problemen gefragt. Hier würde ich keine Probleme erwarten, egal wie geantwortet wird.

Datenschutz-Folgenabschätzung

Dem schließen sich Fragen zur Datenschutz-Folgenabschätzung (DSFA) an. Hier frage ich mich insbesondere, wie die Antwort auf die dritte Frage gewertet wird. Das TLfDI möchte wissen, ob der DSB (sofern benannt) einbezogen wurde. Das Wort “einbezogen” klingt für mich eher passiv und würde der DS-GVO entsprechen. Denn der Art. 35 Abs. 2 DS-GVO sagt, dass der Rat des DSB einzuholen ist. Das heißt, falls überhaupt eine DSFA durchgeführt wurde, so sollte der DSB mit einbezogen worden sein. Antwortet man hier jedoch Nein, stellt sich für mich die Frage, warum nicht. Die Antwortmöglichkeit “nicht zutreffend” wirft bei mir weitere Fragezeichen auf. Denn einerseits könnte dies angekreuzt werden, wenn keine DSFA durchgeführt wurde. Wenn jedoch eine durchgeführt wurde, so würde ich das nur ankreuzen, wenn es keinen DSB gäbe. Dies kann aber wiederum ein Verstoß gegen § 38 Abs. 1 BDSG-neu sein.

Auftragsverarbeitungsverträge

Der letzte Abschnitt möchte wissen, ob bestehende Auftragsverarbeitungsverträge an die DS-GVO angepasst wurden und ob die Formulierungshilfe nützlich war. Die Erneuerung von Auftragsverarbeitungsverträgen war einer der Hauptaufwände, die ich bei verschiedenen Unternehmen sah. Nach gängiger Ansicht mussten auch alle erneuert werden. Was kreuzt aber ein Unternehmen an, welches nur einige, aber nicht alle erneuert hat? Oder was kreuzt ein Unternehmen an, welches keine solche Verträge hat? Gerade im letzten Fall läge hier nahe, Nein auszuwählen. Wenn ich eine Behörde wäre, würde ich bei einem Nein jedoch wiederum stutzig werden.

Abschluss

Insgesamt bietet der Fragebogen aus meiner Sicht einige Stolperfallen. Ich würde erwarten, dass Unternehmen, die sich bisher nicht um die DS-GVO gekümmert haben, den Fragebogen eher links liegen lassen. Allerdings fände ich es wunderbar, wenn diese Unternehmen zumindest den Fragebogen als Anstoß nehmen, um sich mit den Pflichten nach der DS-GVO auszusetzen.

tweetbackcheckcronjob