Datenschutz (nach BDSG) und Informationssicherheit

• Einführung eines an das Unternehmen und die Prozesse angepassten Datenschutz-Konzeptes.
• Erstellen der gesamten Datenschutz-Dokumentation inklusive Verfahrensverzeichnissen und behördlichen Nachweisen.
• Beratung der Unternehmensleitung und der Fachbereichsleitung in der Anwendung und Kontrolle der datenschutzrechtlichen Bestimmungen direkt in den Geschäftsprozessen.
• Schulen der Mitarbeiter/innen sowie Verpflichten auf das Datengeheimnis (§ 5 BDSG).
• Unterstützung des Managements und der Fachbereiche bei der Einhaltung der rechtlichen Bestimmungen in den täglichen Abläufen.
• Unterstützung und Beratung bei der Gestaltung von Verträgen für Auftragsdatenverarbeitung (ADV) nach § 11 BDSG.
• Durchführung von Datenschutz-Audits nach Maßgabe der Aufsichtsbehörden.

• Aufbau und Durchführung eines DS-GVO Umsetzungsprojektes, individuelle angepasst an die jeweilige Mandantensituation mit detailliertem Projektplan und Status-Reports.
• Erstellen der Projekt-Dokumentationen (MS-Office), Erstellen der Meilensteine, Berichte etc.
• Erhebung und Analyse der gegenwärtigen Prozesse / Verträge / Datenflüsse mit personenbezogenen Daten für alle Fachbereiche und (teils) Niederlassungen.
• Erstellen einer GAP-Analyse in Prozessen / Vertragswesen und der IT.
• Erarbeiten von risiko-minierenden Lösungsansätzen zur Schließung der identifizierten Lücken.
• Überführung der Ergebnisse in eine Risiko-Analyse und einen Implementierungsplan.
• Vorträge vor Führungspersonal (Geschäftsleitung, Abteilungsleitung) sowie Fachbereich-Teams.
• Consulting für schwierige Fragestellungen, Template-Erstellung, Dokumentenprüfung etc.
• Erstellen der neuen Dokumentationen, z.B. Verzeichnis für Verarbeitungstätigkeiten etc.
• Erstellen neuer Verträge für Auftragsverarbeitung und Versand an Dienstleister.
• Korrespondenz mit begleitenden Anwaltskanzleien und Software-Entwicklern sowie den jeweiligen Landesdatenschutz-Aufsichtsbehörden.
• Erarbeiten von Schulungs- und Trainingsmaßnahmen
• Vorbereiten von Datenschutz-Folgenabschätzungen und Prüfung bestehender Richtlinien etc.

Entwicklung eines Web-Portals und einer Native App für die digitalen Leistungsabrechnungen und weitere eServices für ein Joint-Venture-Unternehmen einer privaten KV. (Anfangs Full-time, später part-time)

• Aufbau Teilprojekt und Team-Building, Aufsetzen Projekt-Dokumentationen (MS-Office), Erstellen der Meilensteine, des Teil-Projektplanes, Beschreibungen d. Liefergegenstände, Definieren der Arbeitspakete, Erstellen wöchentlicher Reports, Berichte ggü. Lenkungsausschüssen (C-Level) etc.
• Ermittlung der relevanten rechtlichen Rahmenbedingungen (gesetzlich, aufsichtsrechtlich, CoC) für die Cloud-Anwendungen in enger Zusammenarbeit mit Konzerndatenschutz, Rechtsabteilung, BO.
• Ermittlung der relevanten Security Anforderungen (Konzerngruppe, Konzern Deutschland, MaRisk VA etc.) in enger Zusammenarbeit mit Konzern-Security und Identity-Access-Management.
• Ermittlung etwaiger Reputationsschäden, Auswirkungen auf den Konzern und Entwicklung von Präventions- und passiven PR Maßnahmen.
• Erstellen eines Fachkonzeptes „Security + Datenschutz“ auf Basis DIN 69905 mit Abnahme durch Fachbereich, Rechtsabteilung, Konzern-Datenschutz, Konzern-Security sowie Partner-IT.
• Ausarbeiten eines Audit-Planes für die Prüfung zweier externer RZ hinsichtlich des Fachkonzeptes, Besprechung mit Verantwortlichen und Terminierung des Audits.
• Durchführen der RZ-Audits und Erstellung Berichte inkl. Präsentation vor C-Level.
• Planen und Erstellen eines Testkonzeptes für Funktionsprüfungen (an Teilprojekt Test), Planen und Begleiten von Penetrationstests zur Findung von etwaigen Sicherheitslücken, Dokumentation etc.
• Begutachtung der Security-Anforderungen einer SSO (Single-Sign-On) Lösung zwischen dem neuen Portal und bestehenden (internen) Versicherungsportalen. Revision der bestehenden Security Maßnahmen und Erstellen eines Prüfberichtes mit Findings und Anforderungskatalog.
• Koordinieren und managen der vielfältigen Schnittstellen im Projekt, insbesondere mit externen Stellen und Lieferanten sowie Ausarbeiten / Begleiten der IT-Rahmenvereinbarungen mit diesen, speziell die SLA zur Einhaltung der Anforderungen aus dem o.g. Fachkonzept.
• Mehrfache wöchentliche Jour-Fixe mit Security, Datenschutz, Rechtsabteilung, Leitungsebene sowie anderen Teilprojekt-Leitenden, Erstellen v. Status-Berichten u. Vorträgen vor Lenkungsausschuss
• Analysieren von Projekt-Issues, „Showstoppern“, Entwickeln von „Plan-B“ Lösungsszenarien und Erstellen von Entscheidungsgrundlagen dazu.
• Aufbau, Überwachung und Teil-Abnahme eines Sicherheits- und Datenschutz-Konzepts sowie den Nutzungsbedingungen zur Anbindung sowie Entwicklung einer Native APP d. Spezial-Dienstleister sowie Begleiten der Abnahmen durch Konzern Security und –Datenschutz sowie Legal.
• Beauftragen und Begleiten von Zertifizierungen und Prüfsiegel vom TÜV, LDI etc.
• Begleiten der User-Tests, Pen-Tests sowie Go-Live-Phase als „Hot-Stand-By“
• Entwickeln von weiteren Sicherheits- und Datenschutzkonzepten für neue, zusätzliche Servicepakete und Module, Anbindungen neuer Datenlieferanten und LE an die Cloud-Anwendung.
• Derzeit Part-Time (hauptsächlich Remote) mit 0-5 PT / Monat (Projekt-Controlling, -Management)

• Unterstützung und Beratung bei Aufbau und Durchführung eines Compliance-Projektes (hier: Umsetzung der Anforderungen aus DS-GVO und BDSG-neu sowie BaFin und Finanzrecht)
• Erstellen der Projekt-Dokumentationen (MS-Office, Lotus Notes), Erstellen der Meilensteine, der Teil-Projektpläne (Zentrale / Filialen), Erstellen von Berichten etc.
• Beratung bei der Steuerung der Erhebung und Analyse der gegenwärtigen Prozesse / Verträge / Datenflüsse mit personenbezogenen Daten für alle Fachbereiche und das Filialgeschäft
• Unterstützung beim Erstellen einer GAP-Analyse in Prozessen / Vertragswesen und der IT.
• Erarbeiten von risiko-minierenden Lösungsansätzen zur Schließung der identifizierten Lücken
• Beratung bei der Überführung der Ergebnisse in Risiko-Analyse und Implementierungsplan
• Vorträge vor Führungspersonal (Vorstand und Bereichsleitung) sowie Fachbereich-Teams.
• Erstellen neuer Verträge für Auftragsverarbeitung und Versand an Dienstleister
• Stand-by-Consulting für schwierige Fragestellungen, Template-Erstellung, Dokumentenprüfung etc.

• PM für ein virtuelles Team (Rechtsabteilung, Datenschutz-Advisor, Cyber Security) sowie weiteren Stellen im Hause (Einkauf, Personal, IT etc.).
• Übernahme bestehendes Projekt, Status offene Punkte und Feststellen bestehender Lücken, Ad-hoc Plan zum Schließen, Anfordern weiterer Ressourcen zur Sicherstellung von Liefergegenständen, Aufsetzen einer vernünftigen Projekt-Dokumentationen (MS-Office, Sharepoint), Erstellen der Meilensteine, des Teil-Projektplanes, Beschreibungen weiterer Liefergegenstände etc.
• Steuerung der Erhebung und Analyse der gegenwärtigen Prozesse / Verträge / Datenflüsse (Konzernweit) sowie Sichten bereits durchgeführter DS-GVO Anpassungen.
• Erstellen einer GAP-Analyse hinsichtlich Abweichungen in Prozessen / Vertragswesen und der IT.
• Sofortmaßnahmen für größte Lücken, Erarbeiten weiterer risiko-minimierenden Lösungsansätzen zur Schließung weiterer Lücken.
• Support + Steuerung gleichzeitiger Roll-out und Überschneidungen zu zwei weiteren Konzerntöchter.
• Erstellen von Templates für das DSMS (Datenschutz Management System).
• Planung der Überwachung / Support des Roll-outs in die einzelnen Bereiche sowie situatives Consulting bei diversen fachlichen / rechtlichen Fragestellungen.

• PM für ein 4-köpfiges Kernteam (Rechtsabteilung, Datenschutzbeauftragter, externer Rechtsberater) sowie einem 32-köpfigen internationalen virtuellen Team in EU, Japan, USA.
• Aufbau Projekt, Aufsetzen Projekt-Dokumentationen (MS-Office, Sharepoint), Erstellen der Meilensteine, des Teil-Projektplanes, Beschreibungen d. Liefergegenstände etc.
• Steuerung der Erhebung und Analyse der gegenwärtigen Prozesse / Verträge / Datenflüsse (EU – Japan – USA) mit personenbezogenen Daten für 24 europäische Gesellschaften in 16 Ländern inklusive zentraler Funktionen (IT, HR etc.).
• Erstellen einer GAP-Analyse hinsichtlich Abweichungen in Prozessen / Vertragswesen und der IT.
• Erarbeiten von risiko-minierenden Lösungsansätzen zur Schließung der Lücken im Status quo vs. EU DS-GVO und BDSG-neu.
• Überführen der Ergebnisse in eine Risiko-Analyse und einen Implementierungsplan für die verschiedenen Management Level (C-Level global, VP-Level EMEA, GM–Level lokal).
• Support + Steuerung gleichzeitiger EU-Roll-out und global betroffenen Matrix-Organisationen.
• Erstellen einer Policy für Datenschutz und Informationssicherheit bzw- Richtlinienkataloges.
• Erstellen von Templates und Aufsetzen eines DSMS (Datenschutz Management System) für EMEA, Deutschland und Schweiz.
• Überwachung / Support des Roll-outs in die einzelnen Legal Entities sowie situatives Consulting.
• Unterstützung bei Dokumentation und Training der lokalen Belegschaft („Train-the-Trainer“).
• Unterstützung bei einem zeitgleichen „Cyber-Security-Projekt“ in USA
• Nach Finalisierung auf der EMEA-Ebene Übergabe an weltweites Projekt-Management durch EY

• Analyse der Dokumente mit Finanzauflagen für die Bank der jeweiligen „Monetary Authorities“ (vgl. BaFin in Deutschland) in 4 Regionen zur Ermittlung derjenigen Auflagen, deren Einhaltung durch bankinterne IT-Prozesse unterstützt werden können.
• Überführung der relevanten Auflagen in ein internes IT-Compliance-Tool (RSA-Archer), Mapping mit den jeweiligen Prozessen, Definieren von Kontrollzielen und Kontrollpunkte sowie Messpunkte, u.a. für die Interne Revision.
• Erstellung einer GAP-Analyse hinsichtlich derjenigen Auflagen, zu denen keine Standard-Prozesse bestehen. Überführen der Ergebnisse in eine Risiko-Analyse und Aufbereitung derselben für die Bereichsleitung und Einreichung in den Steuerungskreis.
• Besprechen der notwendigen Schritte mit den Prozess-, Informations- und Applikationseigentümern insbesondere auch Fachbereich-Ebene zur Etablierung neuer Prozesse und Controls.
• Erstellen neuer Prüfschritte und Controls im IT-Compliance Tool „Archer“
• Ermitteln und Definieren der Dokumentenablage, Zugriffsrechten u. Aufbewahrungspflichten dazu.
• Erstellen einer GAP- und Business Analyse mit Einreichung von Optimierungsvorschlägen.
• Abnahme durch Interne Revision und IT-Compliance Bereich der Bank.

Compliance, Datenschutz, Informationssicherheit, Analyse, Change Management

• Definition der Projekt-Parameter, der Ressourcen und des Berichtswesens n. PRINCE2, Aufsetzen einer Projekt-Dokumentation (MS-Office, MS-SharePoint), Definieren der Meilensteine, des Projektplans, Produktbeschreibungen, Arbeitspakete, Reporting-Sheets, Board-Meetings, etc.
• Ermittlung der relevanten rechtlichen Rahmenbedingungen aus europäischem Handels- und Steuerrecht, Datenschutz- & Arbeitsrecht, Arbeits- & Umweltschutz, Materialwesen, Fertigung etc.
• Ermittlung der internen Anforderungen aus den Konzernrichtlinien hinsichtlich Aufbewahrungs- und Löschpflichten bzw. Fristen, insbesondere länderübergreifend.
• Entwicklung aussagekräftiger Analyse-Sheets (MS-Excel) n. Region, Country, Gesellschaft, Abt.
• Ausarbeiten einer Datenaufnahme in 23 Ländern für alle Fachbereiche (IST-Analyse, Anforderungs-, Nutzungs- und Risikoprofile sowie zukünftige Entwicklungen (Field-Survey).
• Entwicklung einer Web-Umfrage mit Fragelogik in deutscher und englischer Sprache, (LimeSurvey), Durchführung und Dokumentation, Import der Returns in (Excel-basierendem) Analyse-Tool, Aufbereitung der Daten nach bestimmten Phasen für das Board (C-Level).
• Teilw. Reisen in die jeweiligen HQ der einzelnen Länder, Steuerung von Schlüsselpersonen.
• Erstellen einer GAP-Analyse, Ausarbeiten eines Fachkonzeptes zur Umsetzung, Präsentation auf C-Level-Ebene, Erstellen einer Entscheidungsgrundlage, ...
• Erstellen eines PDCA-Profils und eines Implementierungsplans (Next Steps), insbesondere mit Blick auf sich ändernde Rechtslagen und Geschäftsprozesse sowie der Daten-Lesbarkeit.
• Präsentation auf C-Level-Ebene, Unterstützung der Legal-Abteilung, etc.

Datenschutz

• Bestellung als (externer) betrieblicher Datenschutzbeauftragter (temporär).
• Analyse des Status quo zu den gegenwärtigen Standards zu Datenschutz und Datensicherheit.
• Erstellen der gesamten gesetzlich vorgeschriebenen Dokumentation.
• Durchführen eines Audits zu den Technisch-organisatorischen Maßnahmen (TOM).
• Beratung des Managements zum Controlling des Datenschutzes und der Datensicherheit.
• Controlling der technischen Implementierung von Sicherheitssystemen.

Informationssicherheit, Datenschutz, Analyse, Change Management

• Anpassen der Teil-Projekt-Parameter, Steuerung der Ressourcen, Führen des Berichtswesens, Aufsetzen einer Teil-Projekt-Dokumentation (MS-Sharepoint) und Abgleichung mit PMO in USA, Überwachung der Meilensteine, Arbeitspakete, Reporting-Sheets, etc.
• Schutzbedarfsfeststellung von bestimmten Datenbanken, Servern und Applikationen.
• Analyse der (weltweiten) Zugriffe der User- und Administrationsebene und Definieren der Zugriffsrechte anhand der Kundenverträge und deutschen Vertrags- und Datenschutzrecht.
• Umfangreiche Dokumentation (in englisch) der Analyse-Ergebnisse.
• Change-Management (Durchführung, Tracking) der Berechtigungsänderungen im IAM System.
• Tägliche Status-TelCo mit der Projektleitung in USA (VP-Ebene).
• Korrespondenzen mit anderen Ländern in Europa sowie USA zwecks Abstimmung der Berechtigungskonzepte und Definition der Rollen.
• Einführen von automatisierten Rollenkonzepten auf "need-to-know" Basis.
• Festlegen und Überwachung von Verschlüsselungsoperationen.
• Abstimmung aller Maßnahmen mit deutschem und europäischen Datenschutz-Recht.

Governance, Risk & Compliance (GRC)

• Weiterbildung des Personals aller einzelnen Bankhäuser in neuen Regularien des europäischen Finanzrechts (z.B. Basel III) sowie nationalen Vorgaben von BaFin, Geldwäsche-Prävention etc.
• Durchführung eines 1-Tages-Seminars / Workshops für das Beauftragtenwesen sowie Personal aus Compliance- und Orga-Abteilung.
• Schulung sowie praktische Umsetzung und Integration in den täglichen Abläufen der Banken.

Datenschutz, Finanzrecht

• Schulung der Datenschutz-Verantwortlichen aus dem Beauftragtenwesen der jeweiligen Geno-Banken mit Zertifizierung zum Nachweis der Fachkunde.
• Durchführen von 2,5-Tages-Speed-Seminaren mit Abschlussprüfung für Mitarbeiter/innen des Beauftragtenwesens (int. DSB, Datenschutz-Koordinatoren, stellv. DSB, IS-Beauftragte, Geldwäsche-Beauftragte (bei Mehrfach-Funktionen).
• Sicherstellung der rechtswirksamen Bestellung der int. DSB mit Nachweis der Fachkunde nach § 4f (2) BDSG durch eine schriftliche und mündliche Prüfung.
• Erstellung des Zertifikats und Zusendung mit Themenbeschreibung und Teilnahmebescheinigung.

Datenschutz

• Unterstützung bei der rechtssicheren Gestaltung von ADV Verträgen der Gesellschaft für Finanzdienstleistungen im Auftrag.
• Integration in das Datenschutz-Konzept der Gesellschaft.
• Erstellen der relevanten Datenschutz-Dokumentation für das Projekt inklusive Anpassen des Verfahrensverzeichnisses und der Verfahrensbeschreibungen.
• Durchführen einer Vorab-Kontrolle nach §§ 4d, 4e BDSG.
• Beratung in Informationssicherheit / IT-Sicherheit bei der (verschlüsselten) Übermittlung der personenbezogenen Daten im Auftrag.

Informationssicherheit, Compliance (PCI DSS)

• Ausarbeitung eines Konzepts zur Dokumentation der (erledigten) Requirements auf Basis der GAP-Analyse des QSAC. Beratung bei der Dokumentation für das QSA.
• Dokumentation der Projekt-Stati, Ausarbeiten einer Entscheidungsgrundlage für den Vorstand. Insbesondere verschiedene Varianten für Hosting, Transfer und Speicherung der PAN Daten, Integration in das bankinterne IKS und Fraud-Prevention Prozesse.
• Beratung bei der Konzeption und Umsetzung der vorgegebenen Sicherheitsanforderungen, insbesondere Verschlüsselung u. Maskierung der PAN Daten.
• Erstellung und Halten von Präsentationen vor Projektleitung, IT-Leitung und IT-Revision u.a. zu den SOLL-Analysen sowie Planung / Konzeption u.a. nach wirtschaftlichen Gesichtspunkten.
• Unterstützung der IT-Abteilung bei Dokumentation und Modellierung verschiedener Varianten zur Erfüllung der "Requirements" des QSAC in den Prozessen.
• Erstellen von Projektdokumentationen und Präsentationen zur Vorlage beim Vorstand.
• Schulung und Begleitung der IT-Abteilung bei der Umsetzung der Vorgaben.

Datenschutz

• Risiko-Analyse für das Unternehmen bei der Erweiterung der Geschäftsfelder mit Blick auf gesetzliche und branchentypische Bestimmungen sowie der Informationssicherheit.
• TOM-Analyse nach § 9 BDSG + Anlage sowie eine Vorab-Kontrolle nach §§ 4d, 4e BDSG.
• Anpassung und Erweiterung der Datenschutz-Dokumentation (Verfahrensverzeichnisse und –Beschreibungen) sowie Abstimmung mit den Behörden.

GRC (Governance, Risk & Compliance), Datenschutz

• Ermittlung der relevanten rechtlichen Rahmenbedingungen aus Finanzrecht (KWG, GwG, WpHG, ZAG, MaRisk etc.), Datenschutzrecht (LDSG NRW, BDSG, TMG, TKG etc.), Handels- und Steuerrecht (AO, HGB, GoBS, GDPdU, UStG etc.) sowie Arbeitsrecht (Bewerbungsmanagement).
• Ausarbeiten einer Datenaufnahme bei allen Fachbereichen für Anforderungs-, Nutzungs- und Risikoprofile, zukünftige Entwicklungen sowie anschließende Analyse der Ergebnisse.
• Analysieren der Implementierung in die bestehende IT-Infrastruktur (Lotus Notes, IBM Content Manager, Symantec Enterprise Vault etc.) bzw. Aufnahme zusätzlicher Ressourcen.
• Abstimmen der Ergebnisse aus den Analysen mit den Bereichsleitern und der Projektleitung.
• Nutzen der Ergebnisse aus den Analysen für die Erstellung eines herstellerneutralen Anforderungsprofils (Fachkonzept bzw. Lastenheft) nach DIN für den Beschaffungsprozess.
• Beratung bei der Ergänzung des "Mitarbeiter-Handbuchs" sowie zu Schulungsmaßnahmen der Belegschaft zur Einhaltung der rechtlichen Auflagen direkt in den Bank-Prozessen.
• Erstellen und Halten von Projektpräsentationen sowie Erstellen der Projekt-Dokumentation.

Informationssicherheit / IT Sicherheit

• Grundlegendes Risiko-Assessment des Unternehmens zu GRC und Datenschutz. Dabei wurden das Datenhandling sowie die IT-Prozesse aller Fachabteilungen detailliert untersucht.
• Auswerten der Analyse und Entwicklung von geeigneten Lösungen zur Risiko-Minimierung und Einhaltung gesetzlicher Auflagen aus Handels- & Steuerrecht (AO, HGB, GoBS, GDPdU), Arbeitsrecht (Bewerbungsmanagement, Personalakten etc.) und Datenschutz (BDSG etc).
• Beratung bei der Einführung eines angepassten Sicherheitsstandards auf Basis BSI GS.
• Beratung zur elektronischen Archivierung zwecks Einhaltung der Aufbewahrungspflichten und -Fristen nach Handels- und Steuerrecht (s.o.).
• Erstellen von Sicherheitsrichtlinien, individuell abgestimmt auf die Anforderungen aus der Risiko-Analyse und die Geschäftsziele des Unternehmens.
• Beratung zur Einhaltung datenschutzrechtlicher Bestimmungen.
• Schulungen der Mitarbeiter/innen und Verpflichten auf die Richtlinien.
• Erstellen der Projektdokumentation.

Compliance / Storage & Archivierung

• Fachliche Führung von Kompetenzträgern aus Legal, Compliance, IT und Archiv im PMO.
• Planung der Ressourcen und Teil-Projekt-Ziele.
• Beratung der IT-Abteilung und der Fachbereiche bei der Modellierung neuer Prozesse.
• Definieren der rechtlichen und internen Anforderungen bei elektronischer Archivierung der Versichertenunterlagen.
• Erstellung des Fachkonzepts, Definition der Policies für die automatisierte Erfassung eingescannter Papier-Dokumente.
• Erstellen der Projekt-Dokumentationen und Berichte an Projektleitung.
• Begleitung bei der Umsetzung und Einführung der Infrastruktur.
• Schulen der Fachbereiche in der Nutzung.