Vom 29. Mai 2015 (ABl. EKD S. 146) (KABl. 2016 S. 31) Der Rat der Evangelischen Kirche in Deutschland hat auf Grund des § 9 Absatz 2 Satz 2 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) in der Fassung der Neubekanntmachung vom 1. Januar 2013 (ABl. EKD 2013, S. It sicherheitsverordnung ed. 1958. 2 und S. 34) mit Zustimmung der Kirchenkonferenz folgende Rechtsverordnung erlassen: # # # # # # # § 1 IT-Sicherheit ( 1) Die mit der Informationstechnik (IT) erhobenen oder verarbeiteten Daten sind insbesondere vor unberechtigtem Zugriff, vor unerlaubten Änderungen und vor der Gefahr des Verlustes zu schützen (IT-Sicherheit), um deren Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten. 2) 1 Zur Umsetzung der IT-Sicherheit haben die Evangelische Kirche in Deutschland, ihre Gliedkirchen und ihre gliedkirchlichen Zusammenschlüsse sowie die ihnen zugeordneten kirchlichen und diakonischen Werke und Einrichtungen ohne Rücksicht auf deren Rechtsform und rechtsfähige evangelische Stiftungen des bürgerlichen Rechts (kirchliche Stellen) sicherzustellen, dass ein IT-Sicherheitskonzept erstellt und kontinuierlich fortgeschrieben wird.
# § 4 Einhaltung der IT-Sicherheit Kirchliche Stellen haben durch angemessene Schulungs- und Fortbildungsmöglichkeiten den qualifizierten Umgang mit IT zu ermöglichen. Die Verantwortung für die IT-Sicherheit liegt beim Leitungsorgan der jeweiligen kirchlichen Stelle. Die aufsichtführenden Stellen oder Personen überwachen die Einhaltung dieser Verordnung. Bei Verstößen sind geeignete Maßnahmen zu ergreifen. § 5 bleibt unberührt. Maßnahmen der oder des Beauftragten für den Datenschutz nach § 20 DSG-EKD 2 # bleiben unberührt. # § 5 IT-Sicherheitsbeauftragte Mit der Wahrnehmung der IT-Sicherheit können kirchliche Stellen besondere Personen beauftragen (IT-Sicherheitsbeauftragte). IT-Sicherheit in kirchlichen Einrichtungen. Die Beauftragung kann mehrere kirchliche Stellen umfassen. Zu Beauftragten sollen nur Personen bestellt werden, die die zur Erfüllung ihrer Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen.
(IT-Sicherheitsverordnung - ITSVO-EKD) Vom 29. Mai 2015 (ABl. EKD 2015 S. 146) Der Rat der Evangelischen Kirche in Deutschland hat auf Grund des § 9 Absatz 2 Satz 2 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) 1 # in der Fassung der Neubekanntmachung vom 1. Januar 2013 ( ABl. It sicherheitsverordnung ekd 3. EKD 2013, S. 2 und S. 34) mit Zustimmung der Kirchenkonferenz folgende Rechtsverordnung erlassen: # # # # § 1 IT-Sicherheit ( 1) Die mit der Informationstechnik (IT) erhobenen oder verarbeiteten Daten sind insbesondere vor unberechtigtem Zugriff, vor unerlaubten Änderungen und vor der Gefahr des Verlustes zu schützen (IT-Sicherheit), um deren Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten. 2) 1 Zur Umsetzung der IT-Sicherheit haben die Evangelische Kirche in Deutschland, ihre Gliedkirchen und ihre gliedkirchlichen Zusammenschlüsse sowie die ihnen zugeordneten kirchlichen und diakonischen Werke und Einrichtungen ohne Rücksicht auf deren Rechtsform und rechtsfähige evangelische Stiftungen des bürgerlichen Rechts (kirchliche Stellen) sicherzustellen, dass ein IT-Sicherheitskonzept erstellt und kontinuierlich fortgeschrieben wird.
Um derartigen Gefahren entgegen zu wirken, ist es essentiell, sich mit den Risiken und der Gefahr für die IT-Sicherheit auseinander zu setzen. Dies wurde auch von der evangelischen Kirche erkannt und 2015 durch die IT-Sicherheitsverordnung (ITSVO-EKD) bedacht. Somit ist jede evangelische kirchliche Stelle verpflichtet, IT-Sicherheit zu gewährleisten (§ 9 Abs. 2 S. 1 DSG-EKD) und entsprechende Maßnahmen zu ergreifen. Um dies niederschwellig zu ermöglichen, bietet die ITSVO-EKD unter anderem Muster-Sicherheitskonzepte an, an denen sich evangelische kirchliche Stellen orientieren können. Diese Sicherheitskonzepte orientieren sich an dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). 9.110 IT-Sicherheitsverordnung der EKD (ITSVO-EKD) - FIS Kirchenrecht | Bremen. Ein IT-Sicherheitskonzept bietet die Grundlage aller Maßnahmen und Vorkehrungen im Kontext der IT-Sicherheit und gibt die Rahmenbedingungen für den Einsatz von IT in kirchlichen Einrichtungen vor. Durch die verpflichtende Umsetzung der ITSVO-EKD zum 31. 12. 2017 hat sich das Niveau der IT-Sicherheit in kirchlichen Einrichtungen verbessert.
Beide Beauftragungen können auch an externe Anbieter vergeben werden. Für wen gilt das IT-Sicherheitsgesetz? Das IT-Sicherheitsgesetz der Bundesregierung regelt u. a., dass Betreiber von "kritischen Infrastrukturen" ein Mindestniveau an IT-Sicherheit einhalten. Dazu gehören bislang die Sektoren Energie, Informationstechnik und Telekommunikation. Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen sollen bald hinzukommen. Der Gesundheitsbereich wurde in dieser Hinsicht bisher noch nicht näher definiert, wir gehen zurzeit davon aus, dass darunter nur sehr große Krankenhäuser fallen werden. Damit würde das Gesetz den größten Teil der Unternehmen der Sozial- und Gesundheitswirtschaft nicht betreffen. Für wen gilt die IT-Sicherheitsverordnung? Www.ekbo.de | IT-Sicherheitskonzept. Die vom Rat der EKD erlassene IT-Sicherheitsverordnung gilt für alle evangelischen und diakonischen Körperschaften. Grundzüge eines IT-Sicherheitskonzepts mussten danach bereits bis zum 31. 12. 2015 erarbeitet werden, ein vollständiges Konzept muss bis Ende 2017 vorliegen.
Der vollständige Text der IT-Sicherheitsverordnung kann hier abgerufen werden.
Private IT-Geräte dürfen zugelassen werden, wenn durch Vereinbarung insbesondere sichergestellt ist, dass eine Rechtsgrundlage für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten gegeben ist, das kirchliche Datenschutzrecht Anwendung findet, die notwendigen technischen und organisatorischen Maßnahmen zur IT-Sicherheit und zum Datenschutz getroffen und Regelungen zur Verantwortung vereinbart worden sind und eine Haftung des Dienstgebers ausgeschlossen ist, wenn im Zusammenhang mit dienstlichen Anwendungen Schäden auf privaten IT-Geräten, insbesondere Datenverlust, entstehen. Die Zulassung ist zu widerrufen, wenn ein Verstoß gegen Satz 2 festgestellt oder die IT-Sicherheit durch den Einsatz privater IT gefährdet oder beeinträchtigt wird und andere Maßnahmen nicht zur Behebung ausreichen. # § 3 Beteiligung Bei der Erstellung und der kontinuierlichen Fortschreibung des IT-Sicherheitskonzeptes und bei der Entscheidung zur Auswahl über IT, mit der personenbezogene Daten verarbeitet werden, sind Betriebsbeauftragte oder örtlich Beauftragte für den Datenschutz frühzeitig zu beteiligen.