Rainer W. Gerling

„Mit dem Eintritt in das Quantenzeitalter ist die Post-Quanten-Kryptographie von entscheidender Bedeutung, um ein hohes Maß an Cybersicherheit zu gewährleisten und unsere Systeme gegen künftige Bedrohungen zu stärken. Die Post-Quanten-Kryptographie-Roadmap bietet eine klare Richtung, um die robuste Sicherheit unserer digitalen Infrastruktur zu gewährleisten.“
(Henna Virkkunen, Exekutiv-Vizepräsidentin der EU-Kommission für technologische Souveränität, Sicherheit und Demokratie, 2025)

Aufgabenstellung:

• Was ist die Bedrohung der Cybersicherheit durch Quanten Computer?
• Was ist Post Quanten Kryptographie (PQC/PQK)?
• Bedrohung durch die "Harvest now, decrypt later" Angriffsmethode.
• Was ist die Roadmap für die koordinierte Umsetzung des Übergangs zur PQC der EU?
• Was sollte/kann die Wirtschaft, die öffentliche Verwaltung, die HM oder ich selber tun?

Das Bundesamt für Sicherheit in der Informationstechnik stellt mit dem IT-Grundschutz ein Framework zur Umsetzung von IT-Sicherheitsmaßnahmen zur Verfügung. Der Verein der „Zentren für Kommunikationsverarbeitung in Forschung und Lehre“ (ZKI) hat ein IT-Grundschutzprofil für Hochschulen erarbeitet.

Aufgabenstellung:

• Stellen Sie den IT-Grundschutz vor.
• Stellen Sie das IT-Grundschutzprofil für Hochschulen des ZKI vor.
• Machen Sie sich Gedanken zur Anwendbarkeit des IT-Grundschutzprofil des ZKI an der Hochschule München.

Am 27. Dezember 2022 ist die „Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie)“ im Europäischen Gesetzblatt veröffentlich worden. Sie löst die NIS-Richtlinie von 2016 ab. Die NIS2-Richtlinie muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.

Aufgabenstellung:

• Stellen Sie die NIS2-Richtline vor.
• Was sind die wesentlichen Änderungen gegenüber der NIS-Richtlinie?
• Wie hat Deutschland die NIS-Richtlinie umgesetzt bzw. nicht umgesetzt?
• Was muss in den deutschen Regelungen zur Umsetzung des NIS2-Richtlinie geändert werden?

Die NIS2-Richtline hat in Art. 2 Abs. 5 Lit. b eine Öffnungsklausel für Bildungseinrichtungen.

Der IT-Planungsrat hat empfohlen bei der NIS2-Umsetzung von dieser Öffnungsklausel keinen Gebrauch zu machen (Beschluss (2023/39) vom 3.11.2023).

Die Landesregierung NRW hat einen Entwurf für ein Hochschulstärkungsgesetz vorgelegt, in dem Vorgaben zur IT-Sicherheit gemacht werden (§ 8b des Entwurfs).

Aufgabenstellung:

• Diskutieren Sie die Öffnungsklausel der NIS2-Richtlinie auch im Licht der Empfehlung des IT-Planungsrates.
• Wie sind IT-Sicherheitsvorgaben für Hochschulen im Licht des Art. 5 Abs. 3 Satz 1 Grundgesetz zu sehen?
• Diskutieren Sie den Entwurf des Hochschulstärkungsgesetzes NRW.
• Was machen die anderen Bundesländer, insbesondere Bayern?
• Welche Regelungen sind im „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ zur Sicherheit von Forschung und Lehre enthalten? Kann die Bundesregierung hier Regelungen treffen?

In einem Forschungsprojekt soll der Zusammenhang zwischen Social-Media Nutzung und psychischer Gesundheit untersucht werden.

Hierzu soll eine App entwickelt werden, die folgendes ermöglichen soll:

• SDirekte Kontaktmöglichkeit mit den Studienteilnehmenden, um Fragen zu senden und zu beantworten. Dies beinhaltet Fragen zur Messung von mentaler Gesundheit.
• Sammeln von Nutzerverhalten: wieviel Zeit verbringen die Teilnehmenden pro Tag am Handy. Wie häufig öffnen sie Instagram und wie viel Zeit verbringen sie darauf.

Des Weiteren soll die App das tatsächliche Verhalten auf Instagram über einen Screenrecorder aufzeichnen. Das soll nur dann geschehen, wenn die Teilnehmenden in ein Labor eingeladen werden und dort für ca. 30 min die Bildschirmaufzeichnung aktiviert wird, während die Teilnehmenden Instagram so natürlich wie möglich nutzen. Diese Daten werden über M365-Produkte ausgewertet.

Die App wird über die gängigen App-Stores von Apple und Google geladen. Die gesammelten Daten aus der App sollen automatisch auf interne Server der Forschungseinrichtung gespeichert werden.

Schreiben Sie für dieses Forschungsprojekt das Datenschutz- und Datensicherheitskonzept.

Zur Erfüllung der gesetzlichen Rechenschaftspflichten wird in Unternehmen ab einer bestimmten Größe typischerweise ein Datenschutzmanagementsystem (DSMS) etabliert.

Aufgabenstellung:

• Was sind die Inhalte eines DSMS?
• Gibt es hierfür Standards?
• Kann der Standard ISO 27001 oder ISO 31000 verwendet werden? Was müsste angepasst werden?
• Erstellen Sie eine Gliederung mit den relevanten Inhalten eines DSMS

Das Recht auf Auskunft ist eines der wichtigsten Betroffenenrechte. Gleichzeitig hat es auch seine Grenzen. Mittlerweile gibt es umfangreiche Rechtsprechung sowie Aussagen des Europäischen Datenschutzausschusses.

Beurteilen Sie folgende Fälle ausgehend von der aktuellen Rechtslage:

• Ein ehemaliger Beschäftigter, der gerade in einem Kündigungsschutzprozess mit seinem ehemaligen Arbeitgeber ist, möchte von seinem ehemaligen Arbeitgeber seine E-Mail Korrespondenz haben: E-Mails, die er selbst geschrieben hat, E-Mails, die an ihn direkt oder ihn in cc geschickt wurden sowie E-Mails, in denen andere Inhalte über seine Person ausgetauscht haben.
• “Ein Kunde, der sich von seiner Bank schlecht betreut fühlt, möchte Auskunft über seinen Schufa-Score und über Gesprächsnotizen haben, die seine Bankberater über ihn angefertigt haben.”
• Ein Student besteht in einem Semester eine Klausur nicht. Anstelle zum von der Uni angebotenen Termin zur Einsichtnahme zu gehen, stellt er einen Antrag nach Art. 15 DSGVO. Er will wissen, was für Anmerkungen der Prüfer neben seinen Antworten auf dem Prüfbogen der nicht bestandenen Klausur vermerkt hat.
• “Ein Kunde erhält nach Ausübung seines Auskunftsrechts von der Lufthansa eine Excel-Liste, in der die Daten und Informationen nach Art. 15 Abs. 1 aufgelistet sind. Er beschwert sich, dass dies keine Kopie der Daten nach Art. 15 Abs. 3 darstellt.”

Ein Unternehmen bietet im Intranet HOW-TOs für die schnelle datenschutzrechtliche Unterstützung bei Themen aus dem normalen Arbeitsalltag an. Mit ihnen werden praktische Fragen beantwortet, die sich der Großteil der Mitarbeiter*innen so oder ähnlich schon gestellt haben dürfte.

Entwerfen Sie One-Two Pager für folgende Themenkomplexe, die einen Problemaufriss, eine Lösung und eine Erklärung hierfür enthalten.

• How to „Verbandbuch“ – Dokumentation von Erste-Hilfe
  Die Dokumentation jeder Erste-Hilfe-Leistung basiert auf gesetzlichen sowie berufsgenossenschaftlichen Anforderungen und muss fünf Jahre lang aufbewahrt werden. In einem betrieblichen Verbandbuch werden dafür diverse Daten erfasst.
• How-To Newsletterversand
  Dieses How-to soll dabei unterstützen, die Verarbeitung von personenbezogenen Daten in der Versendung von Newslettern datenschutzkonform zu gestalten.
• How to Datenschutz: Drucken von personenbezogenen Daten
  Personenbezogene Daten sind, sowohl digital als auch in analoger Form, vor Vernichtung, Verlust, Veränderung sowie Offenlegung zu schützen. Insbesondere Drucker/Scanner (Büro-/Etagendrucker, Multifunktionsgeräte) können hierbei eine mögliche Schwachstelle darstellen, weshalb verschiedene technische und organisatorische Maßnahmen zu ergreifen sind.
• How-To Meetings & Veranstaltungen
  Bei der Organisation von Meetings und Veranstaltungen ist der Umgang mit personenbezogenen Daten unvermeidbar. Das ist unabhängig davon, ob es sich um eine interne, regelmäßige Besprechung mit bekannten Teilnehmenden oder um eine Besprechung mit Externen handelt. Eine datenschutzkonforme Gestaltung solcher Treffen/Veranstaltungen ist dabei immer zu beachten.