Informationssicherheits Management - Risiko Management - Compliance Management - GRC - Lead Auditor und Implementer ISO 27001/Datenschutz

Tätigkeitsschwerpunkte:

Datenschutz, Informationssicherheit, Risiko Management und Systemintegration

Ich bin spezialisiert auf Beratung, Realisierung von Informationssicherheits- und Datenschutzmanagementsystemen unter Berücksichtigung von allgemeinen und speziellen Compliance Vorschriften. Ich berate auf Basis verschiedener anerkannter Standards aus der Informationssicherheit (BSI, ISO/IEC 2700x, VDS 10000) und des Datenschutzes (SDM, ISO 27552, VDS10010).

Kurzbeschreibung:

In einer Organisation wirke ich auf die Einhaltung des Datenschutzes hin. Als externer

Datenschutzbeauftragter bestellt, habe ich die notwendige Fachkunde und bin nicht in einem Konflikt

oder in der Gefahr der Selbstkontrolle; gemäß Artikel 38 Abs.  6 DSGVO. Seit 2016 bin ich im ERFA-Kreis der GDD Köln aktiv im Bereich des Datenschutzes mit dem Schwerpunkt DSGVO tätig. Ich habe ein Konzept erarbeitet, welches die Erfüllung der gesetzlichen Anforderungen mit möglichst überschaubarem Aufwand für das Unternehmen realisiert. Eine meiner wichtigsten Eigenschaften ist, ich versuche immer das ganze Projekt zu sehen um das Optimum für den Kunden zu erarbeiten.

Aufgaben zum Thema Datenschutz:

Ich unterstütze Sie bei allen Anfragen zum Thema Datenschutz, ganz gleich ob sie intern von eigenen Mitarbeitern oder extern von Kunden oder Kooperationspartnern stammen.

Technischer Datenschutz – Informationssicherheit:

Ohne eine ausreichende Datensicherheit, bzw. IT-Sicherheit, kann der Datenschutz im Unternehmen

nicht gewährleistet werden. Der Gesetzgeber hat der DSGVO und dem Bundesdatenschutz festgelegt, dass die Daten gegen unbefugte Nutzung oder Verarbeitung geschützt werden müssen. Ich unterstütze Sie im Bereich IT-Sicherheit, denn sichere IT ist nicht nur praktizierter Datenschutz, sondern auch aktiver Schutz Ihres Unternehmens. Dabei achte ich darauf, dass die IT Sicherheitsmaßnahmen immer an die Bedürfnisse und Anforderungen des Unternehmens angepasst und angemessen sind.

Verfahrensverzeichnis – Dokumentation des Datenschutzes:

Ich erstelle eine strukturierte Datenschutzdokumentation für Ihr Unternehmen. Dazu zählen optimierte

Vorlagen und Muster für relevante betriebliche Datenschutzdokumente, wie Datenschutzvereinbarungen mit Kooperationspartnern, Vereinbarungen zur Auftragsdatenverarbeitung oder Regelungen für die private Internet- und E-Mail-Nutzung.

Im Rahmen meiner Tätigkeit als Datenschutzbeauftragter erstelle ich die gesetzlich geforderte Dokumentation des Datenschutzes in Ihrem Unternehmen. Dazu zählt das Verfahrensverzeichnis, die interne Dokumentation, die Prozesse und Abläufe, in denen personenbezogene Daten verarbeitet oder genutzt werden, dokumentiert.

Datenschutzunterweisung der Mitarbeiter:

Das Bundesdatenschutzgesetz fordert, dass die Mitarbeiter mit den Erfordernissen des Datenschutzes vertraut gemacht werden müssen. Diese Mitarbeiterschulungen führe ich als externer Datenschutzbeauftragter in Ihrem Unternehmen durch. Da die Mitarbeiterschulungen sehr kosten- und zeitintensiv sind, biete ich meinen Kunden eine innovative und kostenoptimierte eLearning-Lösung für die Schulung bzw. Unterweisung der Mitarbeiter an. Auf Wunsch biete ich natürlich auch klassische Präsenzschulungen, z.B. für Führungskräfte oder Mitarbeiter der IT-, Vertriebs- oder Personalabteilung, an.

Externe und interne Datenschutzaudits:

Datenschutzaudits werden heute als notwendige Maßnahme für die Einhaltung der erforderlichen Risikofrüherkennung gemäß DSGVO, BDSG, Sozialgesetzbuch (SGB) oder Telekommunikationsgesetz (TKG). Ich verfüge über die notwendigen Fachkenntnisse zur Durchführung von Datenschutzaudits, um das bestehende Datenschutzniveau im Unternehmen bzw. der Organisation kompetent zu beurteilen. Die geeigneten Verfahren für die kontinuierliche Verbesserung des eigenen Datenschutzkonzepts sind regelmäßige Überprüfungen der Anforderungen an das Datenschutzmanagementsystem und die Kontrolle interner Prozesse und Dokumentationen. Im Bereich der externen Datenschutzaudits kontrolliere ich die Umsetzung der vereinbarten Datenschutzziele die evtl. aus einer Auftragsdatenverarbeitung kommen können. Datenschutzaudits werden heute als notwendige Maßnahme für die Einhaltung der erforderlichen Risikofrüherkennung gemäß Aktien- und GmbH-Gesetz angesehen. Audits geben dann zukünftig Aufschluss über den Erfolg der eingesetzten Maßnahmen aus dem erstellten Maßnahmenkatalog und können damit u.a. zu einem Imagegewinn, einer verbesserten Außenwirkung und hohem Vertrauen von Kunden und Mitarbeitern führen.

Externe oder interne Audits der Informationssicherheit:

Zertifizierungs-Audits

Das sind Audits, die im Zusammenhang mit einer Zertifizierung von einer unabhängigen externen Stelle gemacht werden, nachdem man sich intern darauf entsprechend vorbereitet hat. Kennzeichen dieser Audits ist, dass die/der Auditor/innen im Betrieb bisher nicht beratend tätig gewesen sein dürfen, um jede Interessenskollision auszuschließen. Ich informiere Sie über ISO 27001 Audits, die ein Informationssicherheits-Managementsystem (ISMS) auf Übereinstimmung mit der ISO-Norm prüfen und veranlassen, dass die Zertifizierungsagentur, für die sie tätig sind, ein entsprechendes Zertifikat ausstellen. In etwa gleich verhält es sich mit dem Audit nach TSM (Technisches Sicherheits-Management) der österreichischen Energieversorger. Für beide Audits biete ich Ihnen entsprechende Unterstützung im Vorfeld an, damit die Zertifizierung erreicht werden kann.

Audits durch Wirtschaftsprüfer

Im Rahmen von Pflichtprüfungen müssen Wirtschaftsprüfer Audits durchführen, um schließlich für den vorgelegten Jahresabschluss einen so genannten Bestätigungsvermerk ausstellen zu können. Im Rahmen von Wirtschaftsprüfungen können auch schwerpunktmäßig IT-Themen Gegenstand von fallweisen oder regelmäßigen Audits werden. Auch hier gilt, dass die/der AuditorInnen Ihren Betrieb bisher nicht beraten durften. Ich biete Wirtschaftsprüfern vertiefende IT-Audits bei solchen Klienten an, für die ich bislang nicht beratend tätig war.

Interne Audits

Das sind Audits, die nur in mittelbarem oder überhaupt nicht in Zusammenhang mit anderen Audits stattfinden. Wer nach ISO 27001 zertifiziert ist, ist verpflichtet, interne Audits durchzuführen. Die Protokolle und Ergebnisse der Audits müssen spätestens bei der nächsten Rezertifizierung vorliegen. Ein "internes Audit" bedeutet nicht zwangsweise, dass dies von eigenen MitarbeiterInnen, die oft die nötige Qualifikation und Praxis nicht besitzen, durchgeführt werden muss. Diese "internen Audits" können auch an bestehende Berater delegiert werden und wir bieten dies entweder als separate Dienstleistung an oder begleiten auf Wunsch interne MitarbeiterInnen dabei, damit diese die nötigen Techniken und Qualifikationen "on the job" erlernen, um sie später alleine anwenden zu können. Abraten muss man dabei ausdrücklich davon, dass MitarbeiterInnen ihre eigenen Arbeitsbereiche auditieren; das Ergebnis wäre kaum objektiv. Nicht nur im Falle solcher Interessenskonflikte stehe ich Ihnen als Ansprechpartner für interne Audits zur Verfügung.

Risikobasierter Ansatz zur Umsetzung der DSGVO und anderer Compliance Vorschriften:

Die DSGVO fordert einen risikobasierten Ansatz bei der Umsetzung, dabei sind die Risiken für die Rechte und Freiheiten der Bertoffenen das zu berücksichtigende Schutzziel. Ich kann Sie bei der Umsetzung dieses Ansatzes unterstützen, dabei haben wir verschiedene Möglichkeiten ISO 27005, ISO 31000, ISO 29134. Dieser Ansatz wird zur Entscheidung für die Notwendigkeit einer Datenschutzfolgenabschätzug DSFA benötigt. Die bei der Umsetzung der DSGVO ein komplexer Prozess ist und die enge Zusammenarbeit mit Ihrem Informationssicherheitsteam voraussetzt.

Beruflicher Werdegang

2019 - heute

Rolle: zertifizierter Risk Manger

Aufgaben: 

• Spezialisiert auf Informationssicherheits- und Datenschutz Risken

2018 - heute

Rolle: zertifizierter Datenschutz - Auditor

Aufgaben:

• Ich überprüfe die Umsetzung der Datenschutzvorgaben aufgrund der abgesprochenen Vorgaben.

2018 - heute

Rolle: zertifizierter Lead - Auditor

Aufgaben:

• Ich überprüfe die Umsetzung der ISO 2700x und der damit verbundenen Vorgaben.

2018 - heute

Rolle: Berater für Datenschutzmanagemetsysteme

Aufgaben: 

• Ich berate Sie bei der Erstellung eines Datenschutzmanagementsystemes.

2018 - heute

Rolle: Berater für Informationssicherheitsmanagementsysteme

Aufgaben:

• Ich berate Sie bei der Erstellung eines Informationssicherheitssystemes.

2017 - heute

Rolle: Informationssicherheitsbeauftragter

Aufgaben:

• Ich unterstütze den Betrieb dabei Bedrohungen in den IT-Infrastrukturen zu erkennen und angemessene Maßnahmen zur IT-Sicherheit umzusetzen.
• Dabei koordiniere ich die Sicherheitsziele, erarbeitete das Berichtswesen für die Geschäftsleitung und behalte die Kontrolle und Steuerung der Sicherheitsmaßnahmen im Auge.
• Dabei müssen die datenschutzrechtlichen Anforderungen der Organisation berücksichtigt werden.

2016 - heute

Rolle: externer Datenschutzbeauftragter

Aufgaben:

• Hier geht es um die Einhaltung des Datenschutzes.

1995 - heute

Rolle: selbständiger Fachinformatiker, Systemelektoniker

Aufgaben:

• Spezialisierung auf Beratung, Realisierung von kaufmännisch-technischen Lösungen.
• Information, Kalkulation, verschiedene Hard- und Software Lösungen
• Schulungen für Sie und ihre Mitarbeiter, Qualitätssicherungs-Maßnahmen, Einbindung vorhandener Soft- und Hardware, aktuelle Sicherheitsstandards usw.

1992 - 1995

Rolle: Systemelektiker und Supporter

Kunde: FA Twinhead, Ratingen

Aufgaben:

• Techniker im Bereich der Assemblierung und Konfiguration von Notebooks, Workstations und Servern. Später im Bereich Support für den Fachhandel.

1991-1992

Rolle: Drucklagenhersteller

Kunde: FA Schroeren Druck, Düsseldorf

Aufgaben:

• Aufbau PC-Satz

1989 - 1990

Rolle: Fachbuchautor

Kunde: Sybex Verlag und EDE VAU Verlag

Diverse Projekte

2016 - heute

Rolle: Datenschutzbeautragter

Aufgaben:

• Prüfung ADV Verträge
• Schulungen zu Verschiedenen Datenschutzthemen
• Kommunikation mit Fachanwälten zum Datenschutz
• Erstellung Verfahrensverzeichnisse
• Erstellung Risikomanagementsystem
• Erstellung Datenschutzmanagementsystem
• Erstellung Löschkonzepte
• Erstellung Notfallkonzept
• Erstellung IT-Sicherheitskonzept
• Erstellung Wiederanlaufkonzepte
• Alle weiteren Arbeiten eines Datenschutzbeauftragten.

2017 - heute

Aufgaben:

Beratung eines Unternehmens für Fernwartung 

• Verschiedene Schulungen und Vorträge zu Thema Datenschutz
• Beratung des Datenschutzbeauftragten zum Thema Datenschutzmanagement
• Beratung des Datenschutzbeauftragten zum Thema ADV Verträge
• Beratung des Datenschutzbeauftragten zum Thema Löschkonzepte
• Beratung des Datenschutzbeauftragten zum Thema Umsetzung der DSGVO
• Beratung des Datenschutzbeauftragten zum Thema Datenschutz für Supportunternehmen

2017 - heute

Aufgaben:

Beratung und Aufbau eines Unternehmens im Bereich Datenschutz

• Beratung zu den Themen Datenschutz und DSGVO
• Beratung zu den Themen Datenschutz für IT-Dienstleister
• Aufbau eines Schulungskonzeptes für Datenschutz für IT-Dienstleister
• Aufbau eines Produktpaketes für Datenschutz und Informationssicherheit für IT-Dienstleister
• Aufbau eines Produktpaketes für Datenschutz und Informationssicherheit für KMU
• Beratung zu den Themen Datenschutz-Zertifizierungen von KMU nach Vorbild eines COC
•  weitere Bausteine vorhanden