Konzeption und Aufbau eines ISMS auf Basis von BSI-Grundschutz und ISO 27001:2022 für eine große öffentliche Einrichtung.

• Konzeption eines Sollmaßnahmenkatalogs sowie von Richtlinien und Muster-Konzepten
• Konzeption und Aufbau eines Risikomanagements nach ISO 31000 inklusive entsprechender Prozesse, geeigneter technischer Ressourcen sowie Abschätzung der benötigten Personalressourcen für den langfristigen Betrieb
• Konzeption und Aufbau eines Auditmanagements inklusive entsprechender Prozesse, geeigneter technischer Ressourcen sowie Abschätzung der benötigten Personalressourcen für den langfristigen Betrieb
• Beratung und Unterstützung beim Aufbau des Berichtswesens
• Konzeption und Umsetzung einer Awareness-Kampagne im Zusammenhang mit IT-Sicherheitsrisiken
• Beratung und Unterstützung bei der Weiterentwicklung des Schulungskonzepts
• Konzeption einer Integration von Datenschutzmanagement und Business Continuity Management ins ISMS inkl. Kapazitäts- und Budgetplanung

Verantwortlich für die didaktische und fachliche Konzeption, Erstellung und Durchführung von Schulungen und Zertifizierungslehrgängen zu verschiedenen Security-Themen in Zusammenarbeit mit der Industrie- und Handelskammer.

• Didaktische und fachliche Konzeption und Gestaltung von ein- und mehrtägigen Schulungen und mehrwöchigen Zertifizierungs-Lehrgängen zu verschiedenen Security-Themen, u.a. 
  • Anwenderschulungen M365 ? sichere und praktische Nutzung der M365 Tools (u.a. Teams, Outlook, Sharepoint, Copilot) für verschiedene Zielgruppen
  • Rechtliche Grundlagen und praktische Umsetzung der NIS 2-Richtlinie
  • Datenschutzkonformer Einsatz von KI im Mittelstand
  • Radio Equipment Directive (RED) und Cyber Resilience Act CRA) ? Rechtliche Grundlagen und praktische Umsetzung
  • Security Manager: der Zertifizierungslehrgang zur Weiterbildung von Fachkräften im Bereich Datensicherheit (z.B. CISOs, DSB, ISB, IT-Leiter) vermittelt breit aufgestelltem Wissen und erprobte Best Practices in IT-Security Fragen (u.a. Risiko-Management, Change-Management, Incident Management, Datenschutz und sonstiger relevanter Regulatorik)
• Durchführung der Schulungen vor Ort, online oder hybrid

Verantwortlich für die Entwicklung und Führung des unternehmenseigenen Angebots ?Datenschutzmanagement as a Service?. Der Kunde kann die Zyntak GmbH damit beauftragen, sein komplettes DSMS aufzubauen und zu betreiben.

• Datenschutzrechtliche Dokumentation von Unternehmensprozessen
• Analyse und bei Bedarf Einbindung von über die DSGVO und das BDSG hinausgehenden regulatorischen Anforderungen aus dem Datenschutzbereich, z.B. SGB V (Vorschriften zum Patientendatenschutz im Medizinsektor) oder internationale Datenschutzvorschriften, z.B. HIPAA, CCPA.
• Erstellung von Schutzbedarfsanalysen
• Führung des Verzeichnisses von Verarbeitungstätigkeiten (VvV) inklusive Prüfung und Begründung der Rechtsgrundlagen
• Integration von Schutzbedarfs- und Risikoanalysen in das VvV
• Beratung des Kunden zur Anpassung der Prozesse an datenschutzrechtliche Erfordernisse
• Prüfung der technisch-organisatorische Maßnahmen
• Beratung und Unterstützung bei der Umsetzung von technisch-organisatorischen Maßnahmen zur Sicherstellung einer dem Schutzbedarf und den identifizierten Risiken angemessenen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit (Business Continuity) der datenverarbeitenden Prozesse
• Gestaltung eines Systems zum Dienstleistermanagement
  • Identifikation von Dienstleistern
  • Prüfung und Verhandlung von Auftragsverarbeitungsverträgen
  • Prüfung des Datenschutzmanagements der Dienstleister
  • Entwicklung einer EXIT-Strategie für kritische Dienstleister
• Gestaltung aller notwendigen Governance-Dokumente (u.a. Leitlinien, Richtlinien, Betroffenen-Informationen, Datenschutzerklärungen etc.) und der Prozesse zu deren Einführung im Unternehmen
• Gestaltung und Implementierung von Prozessen zur kontinuierlichen Fortentwicklung und Überwachung des DSMS (PDCA-Zyklus)

Mitarbeit an der Entwicklung des unternehmenseigenen Angebots für andere Unternehmen namens ?Assessment as a Service?. Der Kunde kann die Zyntak GmbH damit beauftragen, sein komplettes Audit-Management zu führen oder beauftragt einzelne Prüfungen von internen Prozessen oder externen Dienstleistern.

• Erstellung eines einheitlichen Prüfprozesses vom ersten Kickoff bis zur Maßnahmenabstimmung
• Erstellung eines kombinierten Prüfkataloges, der die gängigen Informationssicherheits-Standards, wie NIST CSF 2.0 und ISO 27001, sowie Verweise auf die entsprechenden Regularien (DSGVO, DORA, NIS2) enthält
• Beratung und Erstellung von kundenindividuellen Prüfkatalogen auf Basis des kombinierten Kataloges
• Erstellung des Audit-Programmes
• Gestaltung von Prüf-Templates zur Durchführung, Dokumentation und Bewertung der Prüfungen
• Durchführung von Prüfungen auf sowohl technischer als auch vertraglicher Ebene
• Bewertung der Risiken (Risk-Assessments)
• Erstellung eines Risikoregisters
• Beratung des Kunden zu geeigneten Mitigationsmaßnahmen

Prüfung und vertragliche Neugestaltung internationaler Datentransfers in Folge der Schrems II Entscheidung des EuGH sowie der folgenden flächendeckenden Audits der Aufsichtsbehörden für verschiedene Kunden.

• Prüfung der veränderten Rechtslage
• Konzeption einer möglichst rechtssicheren, aber noch praktisch umsetzbaren Vorgehensweise
• Erstellung der Alternativlosigkeitsbegründungen
• Erstellung von datenschutzrechtlichen Beurteilungen der Rechtslage im jeweiligen Drittland
• Prüfung der technisch-organisatorischen Maßnahmen und Erstellung von rechtlichen und technischen Begründungen für deren Angemessenheit
• Konzeption und Implementierung eines Systems, mit dem die genannten Schritte vom externen DSB für verbreitete Dienstleister wie Microsoft und AWS für eine Vielzahl von Kunden vorbereitet werden können, sodass sich Aufwand und Kosten für den Kunden auf die Individualisierung der Dokumente für den betroffenen Geschäftsprozess reduzieren  

Projektleitung eines Projekts zur Analyse der dezentral betriebenen IT-Systeme und Erstellung eines Schutzkonzepts.

• Analyse und Dokumentation der Assets und (Netzwerkinfra-) Strukturen der dezentral betriebenen IT-Systeme
• Durchführung von Risikoanalysen im Bereich der dezentral betriebenen IT-Systeme
• Erstellung eines nach Stakeholdern und Risiken gestaffelten Konzepts zur Absicherung der Systeme
• Individuelle Beratung und Schulung der dezentralen Organisationseinheiten zu Sicherheitsthemen
• Kapazitäts- und Budgetplanung für die Umsetzung der einzelnen Stufen des Konzepts, Beratung hinsichtlich des effizientesten Vorgehens
• Regelmäßiges Reporting des Projektfortschritts an die oberste Leitungsebene des Kunden

Prüfung und Bewertung von Auslagerungen im Auftrag der Fachbereiche Outsourcing, Datenschutz und Informationssicherheit. Zusätzlich wurden parallel die Informationssicherheits- und Datenschutz-Prozesse verbessert.

• Erstellung eines Prozesses zur Durchführung und Bewertung von Dienstleister-Assessments
• Erstellung von Prüf- und Bewertungstemplates
• Durchführung von ca. 400 Dienstleister-Assessments, sowohl technisch wie auch vertraglich für Dienstleister und Subdienstleister
• Begleitung bzw. Führung von Vertragsverhandlungen für besonders wichtige / zeitkritische Auslagerungen, u.a. M365, Azure, AWS, SOC/SIEM-Dienstleister und ServiceNow
• Bewertung der Risiken (Risk-Assessments) und Erstellung eines Risikoregisters
• Abstimmung von Mitigationsmaßnahmen mit auslagernden Fachbereichen bezüglich rechtlicher / vertraglicher Risiken sowie Begleitung von deren Implementierung
• Erstellung von Dokumentationen und Vorlageempfehlungen für den Vorstand

Informationssicherheit

• Analyse der internen Informationssicherheits-Prozesse auf DORA-Konformität
• Ausarbeitung und Implementierung von Verbesserungsmaßnahmen

Datenschutz

• Durchführung von Datenschutz-Folgeabschätzungen (DSFA), z.B. für Prozesse unter Einsatz von M365, Azure, AWS und ServiceNow
• Verhandlung von Auftragsverarbeitungsverträgen mit den Dienstleistern
• Analyse der internen Datenschutz-Prozesse auf DSGVO-Konformität
• Ausarbeitung und Implementierung von Verbesserungsmaßnahmen
• Erstellung von Schulungsmaterial für die Mitarbeiter

Outsourcing

• Analyse der internen Prozesse zum Outsourcing Management im Rahmen eines Toolwechsels
• Ausarbeitung und Implementierung von Verbesserungsmaßnahmen, u.a. zur Umsetzung der EBA-Guidelines und zu den unterschiedlichen Anforderungen an wesentliche und nicht-wesentliche Auslagerungen
• Dokumentation von Dienstleistern und deren Subdienstleistern im Outsourcing-Management-Tool
• Erstellung von EXIT-Strategien

Konzeption des Datenschutz- und Informationssicherheitsteils eines GRC-Tools als Projektleitung und Integration mit bestehenden Komponenten (Outsoucing).

• Konzeption der erforderlichen Bestandteile eines DSMS und ISMS anhand der geltenden Regulatorik und gängigen Standards, u.a.
  •  Dokumentation der Prozesse für Prozessverzeichnis und Verzeichnis von Verarbeitungstätigkeiten inkl. Abhängigkeiten
  • Schutzbedarfsanalysen
  • Risikoanalysen
  • Verbindung zur Dienstleistersteuerung (Outsourcing)
• Integration der Spezialanforderungen des KI-Risikomanagements in das allgemeine Risikomanagement zusammen mit dem zuständigen Mitarbeiter
• Praktische Nutzung des unternehmenseigenen Tools in einem Beratungsprojekt, Erstellung von Lessons Learned und deren Aufbereitung für die Unternehmensleitung sowie die Softwareentwicklung

Leitung des Unternehmensbereichs Datenschutz, Informationssicherheit und BCM.

• Schärfung und Weiterentwicklung des Unternehmensprofils und Beratungsangebots
• Fachliche und disziplinarische Führung der Mitarbeiter
• Budget- und Projektverantwortung

Aufbau eines Ausbildungsprogramms für interne Mitarbeiter eines IT-Beratungsunternehmens, die zukünftig als externe Datenschutzbeauftragte (DSB) und Informationssicherheitsbeauftragte (ISB) für Kunden tätig sein sollen.

• Verantwortliche Konzeption des Ausbildungsprogramms zur Vermittlung der Inhalte aus DSGVO / BDSG (neu) und ISO 27001 / BSI-Grundschutz und deren praktischer Umsetzung sowie weiterer relevanter Regulatorik wie BSIG (Grundlagen der KRITIS-Anforderungen und KRITIS-Betroffenheit), TTDSG, BetrVG
• Erstellung von Schulungen und Schulungsmaterialien
• Durchführung der Schulungen
• Begleitung der Kollegen bei der Vorbereitung auf die Zertifizierung
• Mentoring der zukünftigen DSB / ISB bei der praktischen Arbeit

Weiterentwicklung und Betrieb des Managed Service-DSMS für eine dreistellige Kundenanzahl, Integration eines ISMS, Konzeption von Softwareautomatisierungen zur Verbesserung der Prozessabläufe.

• Analyse der regulatorischen Anforderungen und des normativen Bedarfs des Kunden (z.B. DSGVO, TTDSG, BSIG, SGB V u.a. sowie Vorteile einer ISO 27001 / TISAX Zertifizierung)
• Analyse der bestehenden Prozesse der internen Kontrollfunktionen auf mögliche Synergieeffekte und Ausarbeitung von Konzepten zu deren Nutzung
• Fachliche und organisatorische Verbesserung der Datenschutzprozesse um den Managed Service dahingehend zu optimieren, dass einerseits das individuelle Kunden-DSMS stärker an die Bedürfnisse und Möglichkeiten des Kunden angepasst werden kann, andererseits aber die Synergieeffekte und damit die Kostenreduzierung durch die gleichzeitige Bedienung einer Vielzahl verbessert werden
• Konzeption und Implementierung von Automatisierungen des Dokumentenmanagementsystems zur Führung des DSMS sowie der Webanwendung für Kundenzugriffe auf das DSMS
• Aufbau des Verzeichnisses von Verarbeitungstätigkeiten auf Basis der Prozessdokumentationen aus den gängigen QM-Systemen zur Verbesserung der Datenqualität und Aktualität sowie damit die Kunden hier Synergieeffekte nutzen können
• Konzeption eines Risikomanagementsystems zur Durchführung und Dokumentation von Risikoanalysen und Datenschutzfolgeabschätzungen sowie Bewertung der Ergebnisse. Durchführung derselben.
• Erstellung von Auditplänen und Durchführung von Audits
• Überarbeitung und Verbesserung des Systems zur Bewertung und Dokumentation der technisch-organisatorischen Maßnahmen um eine dem Schutzbedarf und den identifizierten Risiken angemessenen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit (Business Continuity) der datenverarbeitenden Prozesse sicherzustellen
• Durchführung von Dienstleister-Assessments und Verhandlung von Auftragsverarbeitungsverträgen
• Erfüllung der Informationspflichten des DSB durch Erstellung von Artikeln für das Mitarbeitermagazin zu Datenschutz, Informationssicherheit und IT-Security, welches den Kunden zur Verfügung gestellt wurde, Blogbeiträgen und Webinaren
• Regelmäßiges und anlassbezogenes Reporting gegenüber der Unternehmensleitung der Kunden (Jahresdatenschutzberichte)

Aufbau eines Managed Service-ISMS für Kunden mit der Option der Integration eines DSMS, Beratung und Unterstützung der Kunden beim Aufbau des ISMS und bei der Vorbereitung auf die ISO 27001 oder TISAX-Zertifizierung.

• Aufbau der Grundstruktur des ISMS anhand der Anforderungen der ISO 27001:2013 sowie TISAX
• Analyse der regulatorischen Anforderungen und des normativen Bedarfs des Kunden (z.B. DSGVO, TTDSG, BSIG, u.a. sowie Vorteile einer ISO 27001 / TISAX Zertifizierung)
• Identifikation von Bedrohungen beim Kunden
• Analyse der IST-Situation beim Kunden sowie möglicher Synergieeffekte mit dem bestehenden DSMS
• Bewertung der Abweichungen zu den geprüften Anforderungen
• Erstellung eines Maßnahmenplans auf Grundlage des Risikoappetits des Kunden
• Beratung der Kunden bei der Maßnahmenumsetzung sowie bei der Anpassung ihrer Prozesse
• Erstellung von Dokumentenvorlagen und Unterstützung der Kunden bei der Anpassung an die individuellen Gegebenheiten (Prozesse, Risikoappetit etc.)
• Konzeption und Erstellung von Schulungen
• Erfüllung der Informationspflichten des ISB durch Erstellung von Artikeln für das Mitarbeitermagazin zu Datenschutz, Informationssicherheit und IT-Security, welches den Kunden zur Verfügung gestellt wurde, Blogbeiträgen und Webinaren

Verantwortliche Konzeption von Risikomanagementsystemen sowie Prozessen zur Durchführung und Dokumentation von Risikoanalysen für Datenschutz- und Informationssicherheitsrisiken für mehrere Kunden als Projektleitung. Konzeption von Datenschutzfolgeabschätzungen (DSFA) inklusive Schwellwertanalyse / Abgrenzung, ab wann eine DSFA erforderlich ist. Durchführung von Risikoanalysen und DSFA für diverse Prozesse, u.a. Microsoft M365 und Azure, ServiceNow, Amazon AWS, Atlassian inkl. Maßnahmenempfehlung und Bericht an die Unternehmensleitung sowie die verantwortlichen Fachbereiche.

• Betrachtung von Risiken für personenbeziehbare (datenschutz- und informationssicherheitsrelevante) und nicht-personenbeziehbare (nur informationssicherheitsrelevante) Daten in einem einheitlichen Risikokonzept
• Einarbeitung von Datenschutz-Besonderheiten (besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO) in das einheitliche Konzept in einer Weise, die die besondere Interessenlage und den besonderen Schutzbedarf der betroffenen Personen in der unternehmenszentrierten Sichtweise eine ISMS abbildet, ohne an datenschutzrechtlicher Schärfe zu verlieren
• Konzeption von Prozessen und Dokumentationen nach vorhandenen Gegebenheiten beim Kunden (bestehende Prozesse, vorhandene / gewünschte Tools, vorhandene Kapazitäten)
• Aufbau / Erweiterung von kundenspezifischen Risikomanagementsystemen um Informationssicherheits- und Datenschutzrisiken
• Einbeziehung oder wo nötig Erstellung von Bedrohungskatalogen und Schutzbedarfseinstufungen
• Ausrichtung des Konzepts am Risikoappetit des Unternehmens
• Durchführung der Risikoanalysen bzw. wo erforderlich der anschließenden DSFA
• Ausarbeitung von Berichtswegen und Erstellung von Berichten für die Unternehmensleitung
• Erarbeitung von Maßnahmenempfehlungen und Begleitung der Umsetzung

Konzeption und Umsetzung von Prozessen zur Reaktion auf kritische IT-Sicherheitsvorfälle (u.a. Hafnium, Log4J) im Rahmen der Kundenbetreuung verschiedener Kunden als externer DSB / ISB. Leitung der jeweiligen Einzelprojekte und Führung der beteiligten internen und Kunden-Mitarbeiter.

• Analyse des Sicherheitsvorfalls
• Erstellung von Kundeninformationen und Empfehlungen zur Ermittlung der eigenen Betroffenheit und sowie Notfallmaßnahmen
• Dokumentation der Kundenrückmeldungen, Behandlung der Datenschutz- und Informationssicherheitsvorfälle bei den betroffenen Kunden
• Unterstützung der Kunden bei der Schadensbemessung (insbes. Schutzbedarf und Menge der kompromittierten Daten) und wenn erforderlich bei Betroffeneninformationen und Meldungen an die Aufsichtsbehörde
• Erarbeitung von Empfehlungen zur Verbesserung der Resilienz und Reaktion auf zukünftige Schwachstellen inkl. Awareness-Trainings (interne Trainings und Publikationen wie das Mitarbeitermagazin, welches den Kunden zur Verfügung gestellt wurde, sowie öffentliche Trainings wie Blogbeiträge und Webinare)

Erstellung und Umsetzung von Konzepten für praxistaugliche Awareness-Kampagnen zu Cybersecurity, Informationssicherheits- und Datenschutzrisiken für verschiedene Kunden. Durchführung der Kampagnen. 

• Analyse der aktuellen und für die jeweilige Kundengruppe relevantesten Bedrohungen sowie der optimalen Kommunikationsform gegenüber der Zielgruppe
• Konzeption, Aufbau und Durchführung der Awareness-Kampagnen, i. d. R. als Kombination aus praktischen Übungen wie kundenindividuellen Phishing-Mails mit theoretischen Schulungselementen zur Erläuterung der Hintergründe und Handlungsempfehlungen
• Analyse der Ergebnisse und Berichterstattung inkl. Maßnahmenempfehlungen an die Unternehmensleitungen

Konzeption und Umsetzung von Schulungskonzepten zu Datenschutz- Informationssicherheits- und IT-Security-Themen für Datenschutz- und Informationssicherheits-Manager/-Koordinatoren in verschiedenen Unternehmen, Durchführung der Schulungen.

Ausgeführte Aufgaben:

• Überarbeitung und Aktualisierung des Schulungsprogramms für Datenschutz- und Informationssicherheits-Manager / -Koordinatoren entsprechend den Managed Service-Prozessen
• Erstellung und Durchführung von Grundlagen-Schulungen und Spezial-Schulungen sowie Awareness Trainings zu risikobehafteten Themen und Teilnehmergruppen
• Implementierung einer Schulungs-Methodik, mit der die Schulungen hybrid, d.h. je nach Präferenz des Teilnehmers vor Ort oder als Webinar absolviert werden können
• Planung und Einrichtung von Schulungsräumen für Hybrid- und Online-Schulungen beim Dienstleister sowie bei Kunden

Unterstützung der Managed Service Kunden bei der Umsetzung der Corona-Vorgaben durch Best Practice-Konzepte. Projektleitung der Einzelprojekte und fachliche Führung der beteiligten internen und Kunden-Mitarbeiter.

Ausgeführte Aufgaben:

• Analyse der aktuellen rechtlichen Änderungen (Verordnungsentwürfe etc.) auf Datenschutz-Implikationen
• Erstellung von Best-Practice Konzepten zur Umsetzung der Anforderungen (komplett, über den Datenschutz hinaus). Bei der Erstellung der Konzepte wurde besonderen Wert darauf gelegt, durch einfache aber effektive Prozesse und Maßnahmen den Schutz der Gesundheitsdaten sicherzustellen, da die Mehrheit der Kunden mit den besonderen Ansprüchen an die Verarbeitung dieser Datenkategorie außerhalb der Personalabteilung wenig Erfahrung hatte und somit ein besonders hohes Fehlerrisiko bestand.
• Erstellung aller notwendigen Unterlagen inkl. ausführlicher HowTo?s zur Umsetzung der Prozesse
• Überprüfung der Best Practice Konzepte an einer Testgruppe und ggf. Optimierung vor dem Roll Out an alle Kunden
• Erstellung von vorausgefüllten Templates zur Datenschutz-Dokumentation der betroffenen Prozesse inkl. Verarbeitungs-meldungen, Risikoanalysen, DSFA, Auftragsverarbeitungs-verträge, Schutzmaßnahmenkonzepte etc.
• Erstellung von Best Practice Konzepten u.a. zum Einsatz der Corona-Warn-App, Luca-App, 3G am Arbeitsplatz, Corona-Test-Verordnungen, Kontaktnachverfolgung, Home-Office-Pflicht etc.

Konzeption, Aufbau und Betrieb eines integrierten Managementsystems, welches sowohl das Datenschutzmanagementsystem (DSMS) wie auch das Informationssicherheitsmanagementsystem (ISMS) beinhaltet, für einen Automobil- und Medizintechnikzulieferer in den Funktionen als interne Datenschutzbeauftragte und Informationssicherheitsbeauftragte. Das Managementsystem wurde gezielt so gestaltet, dass möglichst viele Synergieeffekte zwischen den abgedeckten Bereichen sowie dem Qualitätsmanagementsystem genutzt werden.

Ausgeführte Aufgaben:

• Analyse der bestehenden Prozesse der Kontrollfunktionen auf mögliche Synergieeffekte
• Konzeption und Implementierung eines auf die Bedürfnisse, insbesondere den Schutz der Geschäftsgeheimnisse der Automobil-Kunden sowie der Forschungs- / Patientendaten der Medizintechnik-Kunden, und Möglichkeiten des Unternehmens angepassten DSMS sowie ISMS
• Auswahl und Einführung einer Software zur Dokumentation des DSMS und ISMS sowie zur Durchführung der Schulungen
• Aufbau des Verzeichnisses von Verarbeitungstätigkeiten auf Basis der Prozessdokumentationen aus dem QM-System
• Aufbau eines DS- und IS-Risikomanagementsystems angelehnt an das existierende QM-Risikomanagement und Durchführung von Risikoanalysen
• Bewertung, Dokumentation und Optimierung der technisch-organisatorischen Maßnahmen auf Basis der Ergebnisse der Risikoanalysen
• Konzeption und Durchführung von Mitarbeiterschulungen und Awareness-Trainings inklusive Wirksamkeitsüberprüfungen
• Planung und Durchführung von internen Audits in Abstimmung mit den anderen Kontrollfunktionen
• Begleitung von Kundenaudits
• Integration von Datenschutz- und Informationssicherheitsanforderungen in das Lieferantenmanagement und Durchführung von Dienstleister-Assessments im Rahmen des Lieferantenmanagements, u.a.
  • Entwicklung von praxistauglichen Kriterien für die Lieferantenbewertung (Erstbewertung potentieller Lieferanten sowie Überprüfung von Bestandslieferanten)
  • Unterstützung des Bereichs Einkauf bei der Gewichtung dieser Kriterien im Rahmen der Lieferantenbewertung für unterschiedliche Lieferantenklassen (u.a. Non-IT, IT, kritische IT)
  • Weiterentwicklung der Exit-Strategie sowie des Exit-Prozesses
  • Erstellung von Exit-Strategien für kritische IT-Dienstleister
• Regelmäßiges und anlassbezogenes Reporting an die Unternehmensleitung

Konzeption eines Schulungskonzepts für Mitarbeiter-Schulungen und Awareness-Kampagnen zu Datenschutz, Informationssicherheit und IT-Security im Unternehmen, Durchführung der Maßnahmen und Wirksamkeitsprüfungen.

Ausgeführte Aufgaben:

• Ermittlung des Schulungsbedarfs des Unternehmens insgesamt sowie für einzelne Mitarbeitergruppen
• Erstellung eines Schulungskonzepts inklusive geeigneter Schulungsmethodiken (Webinar, toolbasierte Online-Schulung, Live-Schulung, Kurzveranstaltung in leichter Sprache, Info-Flyer etc.)
• Erstellung von passenden Schulungsmaterialien
• Durchführung der Schulungen
• Durchführung und Dokumentation von Wirksamkeitsnachweisen 

Tätigkeit als externe Datenschutzbeauftragte für ein IT-Systemhaus, Aufbau des Datenschutzmanagementsystems.

Ausgeführte Aufgaben:

• Aufbau des Datenschutzmanagementsystems
• Erfüllung der Aufgaben des Datenschutzbeauftragten nach BDSG
• Schulung von Mitarbeitern
• Entwurf von technisch-organisatorischen Maßnahmen nach ISO 27001 und Überwachung der Implementation derselben in die IT-Infrastruktur des Unternehmens
• Beratung des Unternehmens hinsichtlich der besonderen Anforderungen von Kunden aus dem medizinischen Sektor (Kliniken, Arztpraxen), u.a.
  •  Prüfung von Auftragsverarbeitungsverträgen
  • Entwurf zusätzlicher technisch-organisatorischer Maßnahmen zum Schutz der Zugriffe auf Systeme dieser Kunden
• Zusätzliche Schulung der bei diesen Kunden eingesetzten Mitarbeiter mit Schwerpunkt Patientendaten

Tätigkeit als interne Datenschutzbeauftragte einer Rechtsanwaltskanzlei, Aufbau des Datenschutzmanagementsystems.

Ausgeführte Aufgaben:

• Aufbau des Datenschutzmanagementsystems
• Erfüllung der Aufgaben des Datenschutzbeauftragten nach BDSG
• Schulung von Mitarbeitern
• Entwurf von technisch-organisatorischen Maßnahmen nach ISO 27001 und Überwachung der Implementation derselben in die IT-Infrastruktur des Unternehmens
• Entwurf und Umsetzung einer Exit-Strategie für einen kritischen IT-Dienstleister
• Gestaltung und Durchführung eines Lieferantenbewertungsprozesses für IT-Dienstleister