Eine der kaum bekannten Besonderheiten im deutschen Datenschutzrecht stellt das Datenschutzgesetz der Evangelischen Kirche (EKD) dar. Abgesichert durch Grundgesetz und Verfassung hat die EKD das Recht, sich für bestimmte Bereiche eigene Gesetze zu geben, die gleichrangig mit analogen Bundes- und Landesgesetzen wie z. B. im Bereich des Tarifrechts und des betrieblichen Mitbestimmungsrechts in der Rechtspraxis Anwendung finden. So auch das Datenschutzgesetz der Evangelischen Kirche Deutschlands (DSG-EKD). Doch was wird nun aus dem DSG-EKD, wenn die EU-Datenschutzgrundverordnung (EU-DSGVO) ab Mai nächsten Jahres gültig wird ? Und welche Rolle spielt dann das IT-Sicherheitsgesetz mit all seinen Folgeverordnungen für Einrichtungen in Kirche und Diakonie ?

Am 27.6.‌2017 wurde vor dem EuGH in der Rs. EUGH Aktenzeichen C-210/16 zur datenschutzrechtlichen Verantwortung für eine Facebook-Fanpage eines Unternehmens mündlich verhandelt. In diesem konkreten Beispiel ging es um die Wirtschaftsakademie Schleswig-Holstein als Betreiber einer Facebook-Fanpage, um sich den Nutzern der Plattform zu präsentieren und um Äußerungen in den Medien- und Meinungsmarkt einzubringen.

Viele Krankenhäuser streben auf Empfehlunge ihrer Datenschutzbeauftragten das Minimalprinzip an: Zugriffe auf Personendaten wird auf so wenig Personen wie möglich begrenzt und auf die Inhalte beschränkt, die zur Aufgabenwahrnehmung benötigt werden. Das ist auch grundsätzlich die richtige Strategie. Doch findet diese Strategie mit zunehmender Komplexität der Systeme und Subsysteme immer mehr ihre Grenzen. Und diese Grenzen werden noch enger, wenn im Rahmen von Kooperationen zwischen Krankenhäusern und medizinischen Dienstleistern wie Radiologen, Laboren oder Pathologien Daten ungegehindert fließen sollen. Hier wird die Umsetzung des datenschutzrechtlich vorgegebenen Minimalprinzips schnell zur zeitraubenden Sisyphosarbeit. Doch es gibt auch wirksamere und befreiende Strategien.

Eine Übermittlung von Sozialdaten per unverschlüsselter E-Mail via Internet ist schnell, unkomplizert, günstig, aber auch unsicher. Es kann nicht ausgeschlossen werden, dass Unbefugte Kenntnis von den Inhalten unverschlüsselter E-Mails erhalten bzw. nehmen. Sozialleistungsträger dürfen daher Sozialdaten grundsätzlich nicht per unverschlüsselter E-Mail via Internet übermitteln, auch dann nicht, wenn der Betroffene sich mit diesem unsicheren Kommunikationsweg einverstanden erklärt, oder diesen sogar wünscht bzw. fordert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard nach § BSIG § 8 BSI-Gesetz (BSIG) zur Nutzung externer Cloud-Dienste veröffentlicht. Dieser Mindeststandard definiert Sicherheitsanforderungen an die Nutzung externer Cloud-Dienste. Er richtet sich hinsichtlich seiner Umsetzung an IT-Verantwortliche, IT-Sicherheitsbeauftragte und IT-Fachkräfte sowie mit der Beschaffung beauftragte Stellen.

Der IT-Dienstleister Dimension Data (eine Beteiligung des IT-Riesen NTT) hat seinen „2017 Global Threat Intelligence Report“ veröffentlicht. Der Bericht basiert auf Daten aus den Netzwerken von 10.000 Kunden auf fünf Kontinenten. Dabei wurden 3,5 Billionen Sicherheitsprotokolle sowie über 6 Milliarden Angriffsversuche ausgewertet. Wichtigste Erkenntnis: Behörden und Finanzinstitute sind 2016 deutlich häufiger als im Jahr davor attackiert worden und springen gemeinsam auf den Spitzenplatz der häufigsten Ziele von Cyberangriffen – wie auch die WannaCry(pt)-Attacke vom Wochenende beweist, der unter anderem die staatseigene Deutsche Bahn traf.