Viele Krankenhäuser streben auf Empfehlunge ihrer Datenschutzbeauftragten das Minimalprinzip an: Zugriffe auf Personendaten wird auf so wenig Personen wie möglich begrenzt und auf die Inhalte beschränkt, die zur Aufgabenwahrnehmung benötigt werden. Das ist auch grundsätzlich die richtige Strategie. Doch findet diese Strategie mit zunehmender Komplexität der Systeme und Subsysteme immer mehr ihre Grenzen. Und diese Grenzen werden noch enger, wenn im Rahmen von Kooperationen zwischen Krankenhäusern und medizinischen Dienstleistern wie Radiologen, Laboren oder Pathologien Daten ungegehindert fließen sollen. Hier wird die Umsetzung des datenschutzrechtlich vorgegebenen Minimalprinzips schnell zur zeitraubenden Sisyphosarbeit. Doch es gibt auch wirksamere und befreiende Strategien.

Eine Übermittlung von Sozialdaten per unverschlüsselter E-Mail via Internet ist schnell, unkomplizert, günstig, aber auch unsicher. Es kann nicht ausgeschlossen werden, dass Unbefugte Kenntnis von den Inhalten unverschlüsselter E-Mails erhalten bzw. nehmen. Sozialleistungsträger dürfen daher Sozialdaten grundsätzlich nicht per unverschlüsselter E-Mail via Internet übermitteln, auch dann nicht, wenn der Betroffene sich mit diesem unsicheren Kommunikationsweg einverstanden erklärt, oder diesen sogar wünscht bzw. fordert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard nach § BSIG § 8 BSI-Gesetz (BSIG) zur Nutzung externer Cloud-Dienste veröffentlicht. Dieser Mindeststandard definiert Sicherheitsanforderungen an die Nutzung externer Cloud-Dienste. Er richtet sich hinsichtlich seiner Umsetzung an IT-Verantwortliche, IT-Sicherheitsbeauftragte und IT-Fachkräfte sowie mit der Beschaffung beauftragte Stellen.

Der IT-Dienstleister Dimension Data (eine Beteiligung des IT-Riesen NTT) hat seinen „2017 Global Threat Intelligence Report“ veröffentlicht. Der Bericht basiert auf Daten aus den Netzwerken von 10.000 Kunden auf fünf Kontinenten. Dabei wurden 3,5 Billionen Sicherheitsprotokolle sowie über 6 Milliarden Angriffsversuche ausgewertet. Wichtigste Erkenntnis: Behörden und Finanzinstitute sind 2016 deutlich häufiger als im Jahr davor attackiert worden und springen gemeinsam auf den Spitzenplatz der häufigsten Ziele von Cyberangriffen – wie auch die WannaCry(pt)-Attacke vom Wochenende beweist, der unter anderem die staatseigene Deutsche Bahn traf.

Wie wir auf der Fachtagung des Berufsverbandes der Datenschutzbeauftragten Deutschlands in der Diskussion mit Vertretern des Bundesjustizministeriums erfahren konnten, ist die Neufassung der gesetzlichen Schweigepflicht (§ 203 StGB.) abgeschlossen. Die Gesetzesänderung wird wahrscheinlich noch vor der Sommerpause des Parlaments verabschiedet. Zum Hintergrund: Wenn sich Berufsgeheimnisträger wie z. B. Ärzte oder Steuerberater eines externen Dienstleisters bedienen, wie z. B. im Bereich IT oder in Bereichen, die definitiv nicht in seine Kompetenzshäre fallen, ist die Weitergabe von Berufsgeheimnissen an diese Personen derzeit strafrechtlich nicht geschützt, also eigentlich strafbar. Insoweit bestand gesetzgeberischer Handlungsbedarf.

In seinem kürzlich vorgestellten Tätigkeitsbericht für die Jahre 2015/2016 berichtet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) über Anfragen von Unternehmen, wie Dienstleistungen von Website-Hostern datenschutzrechtlich einzuordnen sind und welche gesetzlichen Anforderungen erfüllt werden müssen.