Schlagwörter
Monitoring
Projektleiter
Business Analyst
Service Level Agreements
Information Security Management
Datenschutz
Risikomanagement
IT-Outsourcing
SSAE 16
EU Datenschutz Grundverordnung 2016/679
SAS
Meldewesen
Mobilfunk
Compliance
Controlling
Daten Analyst
Audit
Beratung
Telekommunikation
Koordination
Projekt Management
Service-Transition
Skills
Berufliche Stationen:
seit 02/2006 Sapiensis GmbH in 30519 Hannover
• Geschäftsführender Gesellschafter
• Externer Datenschutzbeauftragter / Projektleiter / Business Analyst
• Berater in den Bereichen Datenschutz und Datensicherheit, Vertragsrecht, Telekommunikationsrecht, Internetrecht, Compliance, allgemeine Rechtsinformatik
seit 06/2002 Selbstständige Tätigkeit als Rechtsanwalt
• Zulassung zur Rechtsanwaltschaft im OLG Bezirk Celle, Amts- und Landge-richt Hannover
06/2003 – 06/2005 Holding eines börsennotierten Finanzdienstleisters, 5.000 Mitarbeiter
• Konzernbeauftragter für Datenschutz und Datensicherheit
09/2002 – 06/2005 Börsennotierter Finanzdienstleister, 5.000 Mitarbeiter
• Datenschutzbeauftragter / IT-Securitymanager
• Juristischer Ansprechpartner für alle IT-Projekte
• Mitglied im „Security Incident Response Team“
03/2002 – 09/2002 Holding eines börsennotierten Finanzdienstleisters, 5.000 Mitarbeiter
• Mitarbeiter im Datenschutz- und Konzernrecht
01/2002 – 02/2002 Rechtsanwaltskanzlei
• Assessor
11/1999 – 12/2001 Oberlandesgericht
• Referendar beim Landesbeauftragten für Datenschutz in Niedersachsen
• Referendar bei einer Rechtsanwalts- und Notariatskanzlei
07/1999 – 10/1999 Rechtsanwaltskanzlei
• Juristischer Mitarbeiter
Seminare / Zertifizierungen:
2010 „Information Security Management Systems
ISO/IEC 27001 Lead Auditor Course (ISO 27001:2005)”
(BSI Management Systems Germany)
2010 „Information Security Management Systems
ISO/IEC 27001 Implementation (ISO 27001:2005)”
(BSI Management Systems Germany)
2008 „ITIL® version 3 Foundation Examination”
(Hönigsberg & Düvel Datentechnik GmbH – Gifhorn)
2008 Seminar „IT-Projektmanagement”
(Integrata AG – Berlin)
Fachliche Qualifikation:
Projektmanagement
• Planung, Steuerung, Controlling und Review von Projekten
• Reporting auf unterschiedlichen Hierarchieebenen
• Personalführung mit und ohne Weisungsbefugnis
• Risikomanagement
Datenschutz
• Datenschutzbeauftragter, IT-Securitymanager
• Konzeption und Implementierung von Prozessen
• Rechtliche Beratung zu Anforderungen und Fragen der IT-Sicherheit
• Entwicklung, Formulierung und Umsetzungskontrolle von Sicherheitsleitlinien
• Verwaltung von Ressourcen für IT-Sicherheit
• Coaching, Schulung
Informationssicherheit
• Information Security Management (ISM) Systeme auf Basis der ISO 27001
• Einführung und Bewertung von ISM Systemen
• Auditierung (Internal / 3rd Party) von ISM Systemen
• Sicherstellung der Einhaltung rechtlicher Anforderungen an die IT
• Koordination und Überwachung der Umsetzung von Vorgaben
• Vorbereitung und Durchführung von IT-Prüfungen
• Implementierung sicherheitsrelevanter Technologien
IT-Vertragsrecht
• Vertragsverhandlungen mit IT-Dienstleistern
• Konzeption von IT-Rahmenverträgen (LOI, SLA, OLA und Contracts)
• Rechtliche Betreuung von IT-Projekten
• Analyse und Etablierung gewerblicher Schutzrechte
Service Management
• Prozesse auf Basis von ITIL® version 3
(Prozessdesign in den Bereichen Service Strategy, Service Design,
Service Transition, Service Operation und Continual Service Improvement)
• Definition, Verhandlung, Monitoring und Reporting im Rahmen von Service Level Agreements (SLA) und Operational Level Agreements (OLA)
• Modellierung, Analyse und Dokumentation von Prozessen
• Implementierungstaktiken
• Veränderungsmanagement
Revision
• Auditing / Prüfschemata
• IDW EPS 951
Risikomanagement
• Identifizierung von IT-Risiken nach KonTraG
• Konzeption, Pflege und Meldung des IT-Risikoinventars
• Erstellen von Risikokarten
• Verantwortung und Reporting des Risikomanagements gegenüber Vorstand und Geschäftsführung
Rechtliche Grundlagen/Standards
• VSnfD-Belehrung
• BDSG, KonTraG, AktG
• ISO 17799, 27000 ff (BSI)
• BSI IT-Grundschutzhandbuch und IT-Grundschutz-Kataloge
• Österreichisches IT-Sicherheitshandbuch
• CobiT
• GDPdU
• Sarbanes-Oxley Act (SOX), SAS 70
Branchenerfahrung:
• Behörden
• Beratungsunternehmen
• Dienstleistungsunternehmen
• EDV-Dienstleistung
• Finanzdienstleistungen / Versicherungen
• Informationstechnologie
• Kanzleien
• Luftfahrt
• Medizinische Dienstleistungen
• Mobilfunk
• Öffentlicher Dienst
• Rechenzentrum
• Reise / Touristik
• Telekommunikation
• Vereine / Verbände
seit 02/2006 Sapiensis GmbH in 30519 Hannover
• Geschäftsführender Gesellschafter
• Externer Datenschutzbeauftragter / Projektleiter / Business Analyst
• Berater in den Bereichen Datenschutz und Datensicherheit, Vertragsrecht, Telekommunikationsrecht, Internetrecht, Compliance, allgemeine Rechtsinformatik
seit 06/2002 Selbstständige Tätigkeit als Rechtsanwalt
• Zulassung zur Rechtsanwaltschaft im OLG Bezirk Celle, Amts- und Landge-richt Hannover
06/2003 – 06/2005 Holding eines börsennotierten Finanzdienstleisters, 5.000 Mitarbeiter
• Konzernbeauftragter für Datenschutz und Datensicherheit
09/2002 – 06/2005 Börsennotierter Finanzdienstleister, 5.000 Mitarbeiter
• Datenschutzbeauftragter / IT-Securitymanager
• Juristischer Ansprechpartner für alle IT-Projekte
• Mitglied im „Security Incident Response Team“
03/2002 – 09/2002 Holding eines börsennotierten Finanzdienstleisters, 5.000 Mitarbeiter
• Mitarbeiter im Datenschutz- und Konzernrecht
01/2002 – 02/2002 Rechtsanwaltskanzlei
• Assessor
11/1999 – 12/2001 Oberlandesgericht
• Referendar beim Landesbeauftragten für Datenschutz in Niedersachsen
• Referendar bei einer Rechtsanwalts- und Notariatskanzlei
07/1999 – 10/1999 Rechtsanwaltskanzlei
• Juristischer Mitarbeiter
Seminare / Zertifizierungen:
2010 „Information Security Management Systems
ISO/IEC 27001 Lead Auditor Course (ISO 27001:2005)”
(BSI Management Systems Germany)
2010 „Information Security Management Systems
ISO/IEC 27001 Implementation (ISO 27001:2005)”
(BSI Management Systems Germany)
2008 „ITIL® version 3 Foundation Examination”
(Hönigsberg & Düvel Datentechnik GmbH – Gifhorn)
2008 Seminar „IT-Projektmanagement”
(Integrata AG – Berlin)
Fachliche Qualifikation:
Projektmanagement
• Planung, Steuerung, Controlling und Review von Projekten
• Reporting auf unterschiedlichen Hierarchieebenen
• Personalführung mit und ohne Weisungsbefugnis
• Risikomanagement
Datenschutz
• Datenschutzbeauftragter, IT-Securitymanager
• Konzeption und Implementierung von Prozessen
• Rechtliche Beratung zu Anforderungen und Fragen der IT-Sicherheit
• Entwicklung, Formulierung und Umsetzungskontrolle von Sicherheitsleitlinien
• Verwaltung von Ressourcen für IT-Sicherheit
• Coaching, Schulung
Informationssicherheit
• Information Security Management (ISM) Systeme auf Basis der ISO 27001
• Einführung und Bewertung von ISM Systemen
• Auditierung (Internal / 3rd Party) von ISM Systemen
• Sicherstellung der Einhaltung rechtlicher Anforderungen an die IT
• Koordination und Überwachung der Umsetzung von Vorgaben
• Vorbereitung und Durchführung von IT-Prüfungen
• Implementierung sicherheitsrelevanter Technologien
IT-Vertragsrecht
• Vertragsverhandlungen mit IT-Dienstleistern
• Konzeption von IT-Rahmenverträgen (LOI, SLA, OLA und Contracts)
• Rechtliche Betreuung von IT-Projekten
• Analyse und Etablierung gewerblicher Schutzrechte
Service Management
• Prozesse auf Basis von ITIL® version 3
(Prozessdesign in den Bereichen Service Strategy, Service Design,
Service Transition, Service Operation und Continual Service Improvement)
• Definition, Verhandlung, Monitoring und Reporting im Rahmen von Service Level Agreements (SLA) und Operational Level Agreements (OLA)
• Modellierung, Analyse und Dokumentation von Prozessen
• Implementierungstaktiken
• Veränderungsmanagement
Revision
• Auditing / Prüfschemata
• IDW EPS 951
Risikomanagement
• Identifizierung von IT-Risiken nach KonTraG
• Konzeption, Pflege und Meldung des IT-Risikoinventars
• Erstellen von Risikokarten
• Verantwortung und Reporting des Risikomanagements gegenüber Vorstand und Geschäftsführung
Rechtliche Grundlagen/Standards
• VSnfD-Belehrung
• BDSG, KonTraG, AktG
• ISO 17799, 27000 ff (BSI)
• BSI IT-Grundschutzhandbuch und IT-Grundschutz-Kataloge
• Österreichisches IT-Sicherheitshandbuch
• CobiT
• GDPdU
• Sarbanes-Oxley Act (SOX), SAS 70
Branchenerfahrung:
• Behörden
• Beratungsunternehmen
• Dienstleistungsunternehmen
• EDV-Dienstleistung
• Finanzdienstleistungen / Versicherungen
• Informationstechnologie
• Kanzleien
• Luftfahrt
• Medizinische Dienstleistungen
• Mobilfunk
• Öffentlicher Dienst
• Rechenzentrum
• Reise / Touristik
• Telekommunikation
• Vereine / Verbände
Projekthistorie
Projektliste (2006 bis heute); Referenzpersonen können für einzelne Projekte benannt werden:
05/2016 – 08/2016 IT-Outsourcing nach ISO 27001:2013, MaRisk AT 7-9, § 25b KWG
Kunde: Dienstleister für professionelle IT-Serviceleistungen für die Banken-, Versicherungs- und Finanzdienstleistungsbranche, München Haar, Mitarbeiter 1000
Tätigkeit: Teilprojektleitung, Beratung, Analyse, Konzeption, Dokumentation
02/2016 – 04/2016 IT-Outsourcing nach ISO 27001:2013, MaRisk AT 7-9, § 25b KWG
Kunde: Kreditinstitut in der Rechtsform einer gemeinsamen rechtsfähigen Anstalt des öffentlichen Rechts, Hannover, Braunschweig, Magdeburg, Mitarbeiter 6600
Tätigkeit: Beratung, Analyse, Konzeption, Dokumentation
10/2015 – 06/2016 eCISO und Aufbau ISMS nach Vorgaben der ISO 27001:2013
Kunde: Ein führender Entwickler und Hersteller von hochwertigen Kunststoffteilen als Zulieferer der Automobilindustrie und Weißwarenindustrie, Lohne, 1000 Mitarbeiter
Tätigkeit: Beratung, Analyse, Konzeption, Dokumentation
06/2015 – 09/2015 Security-Audit nach Vorgaben der ISO 27001:2013
Kunde: Versicherungsverein auf Gegenseitigkeit, Hannover, 1200 Mitarbeiter
Tätigkeit: Beratung, Analyse, Konzeption, Dokumentation
Kunde: Tochtergesellschaft eines Automobilherstellers, Wolfsburg, 1000 Mitarbeiter
Tätigkeit: Beratung, Analyse, Konzeption, Dokumentation
04/2014 – 02/2015 IT-Sicherheitsberater für Applikationen
Kunde: Automobilhersteller, Wolfsburg, 570.000 Mitarbeiter
Tätigkeit: Beratung, Analyse, Dokumentation
03/2013 – 06/2013 Datenschutzorganisation/Datenschutzaudit
Kunde: Hersteller von Windkraftanlagen, Aurich, 14.000 Mitarbeiter
Tätigkeit: Beratung, Analyse, Teilprojektleitung Datenschutz
04/2012 – 12/2012 Kundenauthentifizierung mittels Sprachbiometrie
Kunde: Konzerntochter eines Telekommunikationsunternehmens, Bonn, 48.000 Mitarbeiter
Tätigkeit: Beratung, Analyse, Teilprojektleitung Datenschutz/Data-Security
05/2010 – 12/2012 Migration Retailkunden auf Sprachportal
Kunde: Konzerntochter eines Telekommunikationsunternehmens, Bonn, 85.000 Mitarbeiter
Tätigkeit: Beratung, Analyse, Teilprojektleitung Datenschutz/Data-Security
08/2011 – 08/2011 Nutzungskonzept Apple iPhone
Kunde: Genossenschaftsbank, Berlin, 2.300 Mitarbeiter
Tätigkeit: Beratung, Coaching, Analyse
05/2010 – 06/2011 Prerouting – Migration Sprachportal ISSP
Kunde: Konzerntochter eines Telekommunikationsunternehmens, Bonn, 85.000 Mitarbeiter
Tätigkeit: Beratung, Analyse, Teilprojektleitung Datenschutz/Data-Security
09/2009 – 12/2009 IRON, Bereinigung Near-/Offshore Services und Anwendungen/Compliance
Kunde: Telekommunikationsunternehmen, Bonn, 235.000 Mitarbeiter
Tätigkeit: Beratung, Coaching, Analyse
12/2008 – 05/2009 Data security and data privacy program
Kunde: Konzerntochter eines Telekommunikationsunternehmens, Bonn, 5.000 Mitarbeiter
Tätigkeit: Beratung, Coaching, Analyse
04/2008 – 09/2008 Service Development / Pre-Sales
Kunde: IT-Dienstleister eines börsennotierten Touristikkonzerns, 500 Mitarbeiter
Tätigkeit: Beratung, Unterstützung, Analyse
09/2007 – 03/2008 Customer Services Improvements
Kunde: IT-Dienstleister eines börsennotierten Touristikkonzerns, 500 Mitarbeiter
Tätigkeit: Beratung, Unterstützung im Projekt, Analyse
02/2008 Vertragsgestaltung – Desktop Services
Kunde: IT-Dienstleister eines börsennotierten Touristikkonzerns, 500 Mitarbeiter
Tätigkeit: Beratung, Unterstützung bei Verhandlungen
07/2007 – 08/2007 Fachliche Beschreibung der IT-Risikostrategie
Kunde: IT-Dienstleister einer Versicherungsgruppe, 2.000 Mitarbeiter
Tätigkeit: Beratung, Unterstützung im Projekt, Analyse, Coaching
05/2006 – 10/2006 Analyse und Dokumentation sämtlicher Systeme und Prozesse
Kunde: Finanzdienstleister, 60 Mitarbeiter
Tätigkeit: Beratung, Unterstützung im Projekt, Analyse, Coaching
05/2016 – 08/2016 IT-Outsourcing nach ISO 27001:2013, MaRisk AT 7-9, § 25b KWG
Kunde: Dienstleister für professionelle IT-Serviceleistungen für die Banken-, Versicherungs- und Finanzdienstleistungsbranche, München Haar, Mitarbeiter 1000
Tätigkeit: Teilprojektleitung, Beratung, Analyse, Konzeption, Dokumentation
- Teilprojektleitung für IT-Security für Pilotphase
- Teilprojektleitung für Betriebsprozesse nach ITIL
- Unterstützung der Koordination und Umsetzung des Projektauftrages beim Endkunden zu einem Outsourcingprojekt im Bankenumfeld
- Durchführung qualitätssichernder Maßnahmen und fachliche Unterstützung im IT-Securityumfeld
- Erstellung von Ergebnisdokumenten (Leistungsscheine, Verträge, sonstige Dokumentationen)
- Berichtswesen an Auftraggeber und Bereichsleiter
- Unterstützung der Projektmitarbeiter anderer Teilprojekte
- Regelmäßiger Statusbericht an den Auftraggeber
- Koordination aller am Projekt beteiligten Leistungsersteller
- Modellierung von Betriebsprozessen nach ITIL nebst BAMBIs und OKLAs in ARS Remedy
02/2016 – 04/2016 IT-Outsourcing nach ISO 27001:2013, MaRisk AT 7-9, § 25b KWG
Kunde: Kreditinstitut in der Rechtsform einer gemeinsamen rechtsfähigen Anstalt des öffentlichen Rechts, Hannover, Braunschweig, Magdeburg, Mitarbeiter 6600
Tätigkeit: Beratung, Analyse, Konzeption, Dokumentation
- Unterstützung bei der Konzeption?und Ausgestaltung von Vertragsanlagen zu einem Outsourcingvertrag über wesentliche Auslagerung nach § 25b KWG für den Bereich IT-Sicherheit/IT-Risikomanagement?
- Ist-Soll-Abgleich der Schutzbedarfsanforderungen des Kunden gegenüber der Leistungserbringung des Dienstleisters nebst Infrastrukturbewertung
- Unterstützung bei der Durchführung von Vertragsverhandlungen und Unterstützung des Providermanagements nebst Durchsetzung der Sicherheitsanforderungen des Auftraggebers
- Unterstützung der Identifizierung und Dokumentation der Geschäftsprozesse, Modellierung neuer Prozesse anhand von ITIL
- Beratung zu rechtlichen Risiken im technischnen und organisatorischen Umfeld im Hinblick auf IT-Compliance-Anforderungen gegenüber Konzernsicherheit des Auftraggebers
10/2015 – 06/2016 eCISO und Aufbau ISMS nach Vorgaben der ISO 27001:2013
Kunde: Ein führender Entwickler und Hersteller von hochwertigen Kunststoffteilen als Zulieferer der Automobilindustrie und Weißwarenindustrie, Lohne, 1000 Mitarbeiter
Tätigkeit: Beratung, Analyse, Konzeption, Dokumentation
- Bestellung als externer Chief Information Security Officer (-eCISO-)
- Aufbau eines ISMS nach Vorgaben der ISO 27001:2013
- Ansprechpartner für alle informationssicherheitsspezifischen Themen
- Überarbeitung und Pflege des Sicherheitskonzepts
- Mitwirkung im Informationssicherheitsmanagement
- Unterstützung bei der Aktualisierung der Notfallplanung
- Mitwirkung am IS-Sicherheitsprozess im Sinne der mit der Organisationsleitung festgelegten Sicherheitsziele
- Mitwirkung an der Erarbeitung und Umsetzung von Sicherheits-Policies, Regelungen und Verfahrensanweisungen
- Erstellung von Sicherheitsdokumentationen
- Betrieb und Überwachung des ISMS
- Unterstützung von Schutzbedarfsfeststellungen, Bedrohungs- und Risikoanalysen
- Mitwirkung bei der Erstellung von Realisierungsplänen für Informationssicherheitsmaßnahmen sowie bei der Initiierung und Überprüfung der Realisierung
06/2015 – 09/2015 Security-Audit nach Vorgaben der ISO 27001:2013
Kunde: Versicherungsverein auf Gegenseitigkeit, Hannover, 1200 Mitarbeiter
Tätigkeit: Beratung, Analyse, Konzeption, Dokumentation
- Prüfung der Bereiche A5: Informationssicherheitsrichtlinie, A6: Organisation der Informationssicherheit, A8: Management organisationseigener Werte, A12: Betriebssicherheit, A13: Kommunikationssicherheit, A16: Umgang mit Informationssicherheitsvorfällen, A18: Einhaltung von Vorgaben (Compliance)
- Durchführung von Dokumentenreviews
- Erstellung eines Auditplans
- Durchführung des Audits vor Ort beim Kunden auf Basis des Auditplans
- Dokumentation der Auditergebnisse und der umzusetzenden Arbeitspakete im Rahmen eines Abschlussberichts
- Definition von Maßnahmenempfehlungen aufgrund Kundenspezifika
Kunde: Tochtergesellschaft eines Automobilherstellers, Wolfsburg, 1000 Mitarbeiter
Tätigkeit: Beratung, Analyse, Konzeption, Dokumentation
- Erstellung eines Datenschutzkonzeptes für CRM Lösung Microsoft Dynamics 2013
- Erstellung eines Rollen- und Rechtekonzeptes für die CRM-Lösung
- Erstellung des Verfahrensverzeichnisses auf Grundlage planningIT
- Vorbereitung der datenschutzrechtlichen Freigabe durch den bDSB
- Beratung des Projektes bzgl. der Umsetzung der gesetzlichen Anforderungen und konzernseitigen Vorgaben hinsichtlich Datenschutz
04/2014 – 02/2015 IT-Sicherheitsberater für Applikationen
Kunde: Automobilhersteller, Wolfsburg, 570.000 Mitarbeiter
Tätigkeit: Beratung, Analyse, Dokumentation
- Durchführung von Informationssicherheits-Assessments auf Grundlage ISO 27001; Einsatz von Tools „ITS-Risk“ (scale) und „planningIT“
- Informationssicherheits-Risiko-Bewertung inkl. Bedrohungsanalyse und Geschäftsschadensanalyse, sowie Vorbereitung von Freigabe-Entscheidungen
- Beratung von IT-Projekten hinsichtlich Maßnahmen bzw. Lösungen zu Informationssicherheitsanforderungen
- Bewertung von IT-Sicherheits-Konzepten?
- Nachverfolgung der fristgerechten Umsetzung von Informationssicherheits-Maßnahmen in den Projekten
- Organisation und Bearbeitung von Anfragen zur IT-Sicherheit in einem zentralen E-Mail-Postfach?
- Pflege von Best Practices und FAQs zum Thema Informationssicherheit in einem Wiki
03/2013 – 06/2013 Datenschutzorganisation/Datenschutzaudit
Kunde: Hersteller von Windkraftanlagen, Aurich, 14.000 Mitarbeiter
Tätigkeit: Beratung, Analyse, Teilprojektleitung Datenschutz
- Aufbau einer Datenschutzorganisation im Konzern und nationalen Konzerngesellschaften, Einbindung in bestehendes IKS in Abstimmung mit der Revisio
- Schaffung der IT-Compliance nach BDSG unter Bezug auf IT-Security nach ISO 27001 ff.
- Erstellung der internen Verarbeitungsübersicht und des externen Verfahrensverzeichnisses, Durchführung von Vorabkontrollen
- Feststellen des Datenschutzniveaus im Unternehmen, SAP ERP 6.0
- Schulung von Mitarbeitern (Konzeption und Durchführung)
- Erarbeitung datenschutzrechtlicher Dokumentationen, Datenschutzhandbuch; Datenschutzleitlinie, Verfahrensanweisungen und Vorgaben zur Auftragsdatenverarbeitung (ADV) nach § 11 BDSG n.F.
- Prüfung von Dienstleistern im Hinblick auf datenschutzrechtliche Konformität
04/2012 – 12/2012 Kundenauthentifizierung mittels Sprachbiometrie
Kunde: Konzerntochter eines Telekommunikationsunternehmens, Bonn, 48.000 Mitarbeiter
Tätigkeit: Beratung, Analyse, Teilprojektleitung Datenschutz/Data-Security
- Analyse der rechtlichen Rahmenbedingungen beim Einsatz von Sprachbiometrie in Sprachportalen nach BDSG und anderen einschlägigen Gesetzen
- Erstellung von Lösungskonzepten (Verschlüsselungskonzept, Zugriff- und Berechtigungskonzepte für OS, Middleware und Apps, Standardisiertem Datenschutz- und Sicherheitskonzept, SDSK), Zeitplänen und Anforderungslisten für den Bereich Datenschutz und IT-Security nach BSI und ISO 27001 ff.
- Abstimmung dieser relevanten Dokumente mit den internen Stellen der Auftraggeberin, der Konzernmutter und externer Dienstleister
- Ansprechpartner für alle datenschutz- und securityrelevante Fragestellungen
- Unterstützen der Reviewphase der erarbeiteten Dokumentationen
- Monitoring der Umsetzung geplanter Maßnahmen und Anforderungen
- Beratung und Unterstützung der Abteilungsleitung in Fragen des Datenschutzes und der IT-Security
05/2010 – 12/2012 Migration Retailkunden auf Sprachportal
Kunde: Konzerntochter eines Telekommunikationsunternehmens, Bonn, 85.000 Mitarbeiter
Tätigkeit: Beratung, Analyse, Teilprojektleitung Datenschutz/Data-Security
- Erstellung von Konzepten (Verschlüsselungskonzept, Zugriff- und Berechtigungskonzept für OS, Middleware und Apps, Standardisiertem Datenschutz- und Sicherheitskonzept, SDSK), Zeitplänen und Anforderungslisten für den Bereich Datenschutz und Security im Umfeld eines Sprachportals.
- Abstimmung dieser relevanten Dokumente mit den internen Stellen der Auftraggeberin, der Konzernmutter und externer Dienstleister
- Monitoring der Umsetzung geplanter Maßnahmen und Anforderungen
- Beratung und Unterstützung der Abteilungsleitung in Fragen des Datenschutzes und der Security nach BSI Grundschutz und ISO 27001 ff.
- Kompetenzaufbau interner Mitarbeiter in Form von Schulung und Coaching
08/2011 – 08/2011 Nutzungskonzept Apple iPhone
Kunde: Genossenschaftsbank, Berlin, 2.300 Mitarbeiter
Tätigkeit: Beratung, Coaching, Analyse
- Analyse der rechtlichen Rahmenbedingungen bei der privaten Nutzung von betrieblichen Smartphones im Bankenumfeld und Abgleich mit bestehenden bankinternen Richtlinien und Arbeitsanweisungen des Kunden
- Analyse des Haftungsrisikos bei der Nutzung von Betriebsmitteln zu privaten Zwecken unter besonderer Berücksichtigung von Apple-Spezifika
- Konzeption eines Vorgehens und Handlungsempfehlung zur Vorbereitung eines geeigneten Vorstandsbeschlusses zur privaten Nutzung von Apple iPhone unter Nutzung implementierter ITIL-Prozesse
05/2010 – 06/2011 Prerouting – Migration Sprachportal ISSP
Kunde: Konzerntochter eines Telekommunikationsunternehmens, Bonn, 85.000 Mitarbeiter
Tätigkeit: Beratung, Analyse, Teilprojektleitung Datenschutz/Data-Security
- Durchführung von Workshops als Verantwortlicher für den Workstream Datenschutz und Datensicherheit im Projekt bzgl. des beteiligten Sprachportals
- Ansprechpartner für alle securityrelevante Fragestellungen und Architekturthemen (Infrastruktur)
- Unterstützen der Reviewphase der erarbeiteten Dokumentationen
- Fachseitige Unterstützung und Klärung offener rechtlicher und tatsächlicher Fragestellungen in Richtung der beteiligten Konzern- und Legaleinheiten
- Erstellung und Abstimmung eines Konzepts zur Mandantentrennung und Berechtigung mit den beteiligten Konzernstellen für Datenschutz und Datensicherheit als Grundlage für die IT-Entwicklung nebst dazugehörigem Zugriffs- und Berechtigungskonzept
- Migration in bereits freigegebenen SiKo/Datenschutzumgebung inkl. Abstimmung mit den beteiligten Konzernstellen für Datenschutz und Datensicherheit mit den beteiligten Konzernstellen für Datenschutz und Datensicherheit nach BDSG, TKG, ISO 27001 und BSI Grundschutz
- Anpassen und/oder Tracking der bestehenden Dokumentationen (Standardisiertem Datenschutz- und Sicherheitskonzept, SDSK) im Bereich von Datenschutz und Datensicherheit für die migrationsspezifischen Teile
- Erstellung von delta-Dokumentationen für Migrationsspezifika
- Prüfung und ggfs. Neuerstellung von ADV zwischen den beteiligten Legaleinheiten
09/2009 – 12/2009 IRON, Bereinigung Near-/Offshore Services und Anwendungen/Compliance
Kunde: Telekommunikationsunternehmen, Bonn, 235.000 Mitarbeiter
Tätigkeit: Beratung, Coaching, Analyse
- Entwicklung/Anpassung der Regelprozesse zur Sicherstellung von geheim-/datenschutz & vertragskonformen Umsetzung von Near-/Offshore-Entscheidungen in der IT innerhalb des Konzerns (VSnfD-relevant), IRON
- Abgleich rechtlicher Rahmenbedingungen (Konzern, Gesetz) und implementierter Prozesse in Bezug auf Compliance, ITIL und Revisionsvorgaben
- Identifizierung relevanter Geschäftsfälle & Prozesse & Prozess-Owner (Scoping)
- Sicherstellung Vorgaben i.R. off-/nearshore-Verlagerungsentscheidungen (Sourcing sowie IT-Management) aus End-to-End-Sicht
- Erfassung der relevanten Ist-Prozesse und Berücksichtigung in „planningIT“
- Finetuning Prüfprozess zu sourcing-/IT-management- integrierten Data & IT Security Prüfung im Hinblick auf BDSG, TKG, ISO 27001 und BSI Grundschutz als Bestandteil eines zukünftigen SDSK
- Abstimmung/Entscheidung mit Business Units, relevante Boards
- Umsetzung incl. Change Mgmt. gem. Roadmap: Regeldoku/Handbuch
12/2008 – 05/2009 Data security and data privacy program
Kunde: Konzerntochter eines Telekommunikationsunternehmens, Bonn, 5.000 Mitarbeiter
Tätigkeit: Beratung, Coaching, Analyse
- Erstellen einer Aufstellung aller relevanten Produkte und Applikationen für eine datenschutzrechtliche Prüfung nach BDSG und ISO 27001
- Abgleich rechtlicher Rahmenbedingungen (Konzern, Gesetz) und implementierter Prozesse
- Due diligence aller Produkte und Applikationen hinsichtlich Risiken im Bereich Datenschutz und Datensicherheit nebst Infrastruktur-, Architekturthemen für Risikomanagement
- Identifikation und rechtliche Analyse aller Geschäftsbeziehungen im Bereich Produkte und Innovationen
- Erstellen eines Fragekataloges, nachfolgend Interviews mit Stakeholdern und Assessment
- Revision aller Verträge hinsichtlich Datenschutz und Datensicherheit
- GAP und Impact-Analyse für Produktlebenszyklus-Prozesse
- Durchführung von Schulungs- und Awareness-Maßnahmen hinsichtlich Datenschutz und Datensicherheit (400 Mitarbeiter in Deutschland und UK) auf Grundlage von BDSG, TKG und ISO 27001 ff.
- Vorschlag und Veranlassung korrigierender Maßnahmen für Produkte, Verträge und Prozesse nach ITIL-Vorgaben
- Aufstellen einer entsprechenden Prüflandkarte für Produkte (bestehend/zukünftig)
04/2008 – 09/2008 Service Development / Pre-Sales
Kunde: IT-Dienstleister eines börsennotierten Touristikkonzerns, 500 Mitarbeiter
Tätigkeit: Beratung, Unterstützung, Analyse
- Unterstützung der Abteilung „Service Development“
- Schnittstelle zwischen Sales / Account Management und IT-Fachabteilungen
- Erstellung von Angeboten und Ausschreibungsunterlagen
- Verhandlung mit potentiellen Kunden
- Erstellung von Rahmen- und Einzelverträgen
- Management der Produktivsetzung von Kundenservices
- Organisation und Durchführung von Workshops
09/2007 – 03/2008 Customer Services Improvements
Kunde: IT-Dienstleister eines börsennotierten Touristikkonzerns, 500 Mitarbeiter
Tätigkeit: Beratung, Unterstützung im Projekt, Analyse
- Erstellen eines Produkt- und Servicekatalogs nach ITIL
- Steuerung der Kommunikation mit allen Fachabteilungen
- Sammeln und Vervollständigen von Services und Service Items
- Abbilden des Service Katalogs in der zentralen Service Applikation
- Unterstützung des Gesamtprojekts bei rechtlichen Sachverhalten
- Definition eines standardisierten Service Level Agreements (SLAs)
02/2008 Vertragsgestaltung – Desktop Services
Kunde: IT-Dienstleister eines börsennotierten Touristikkonzerns, 500 Mitarbeiter
Tätigkeit: Beratung, Unterstützung bei Verhandlungen
- Verhandlung eines neuen Service-Vertrags mit einer Fluggesellschaft im Hinblick auf implementierte ITIL-Prozesse
- Erstellen des Vertragsdokuments
- Unterstützung des Account-Managements
- Beratung des Managements (GF) bezüglich rechtlicher Inhalte
07/2007 – 08/2007 Fachliche Beschreibung der IT-Risikostrategie
Kunde: IT-Dienstleister einer Versicherungsgruppe, 2.000 Mitarbeiter
Tätigkeit: Beratung, Unterstützung im Projekt, Analyse, Coaching
- Anpassung der IT-Risikostrategie an die Konzern-Risikostrategie
- Berücksichtigung von Vorgaben auf Basis der Mindestanforderungen an das Risikomanagement (MaRisk), Solvabilitätsverordnung (SolvV) und anderen Richtlinien im Complianceumfeld
05/2006 – 10/2006 Analyse und Dokumentation sämtlicher Systeme und Prozesse
Kunde: Finanzdienstleister, 60 Mitarbeiter
Tätigkeit: Beratung, Unterstützung im Projekt, Analyse, Coaching
- Identifizierung und Dokumentation der Geschäftsprozesse, Modellierung neuer Prozesse anhand von ITIL
- Analyse rechtlicher Risiken im personellen und organisatorischen Umfeld im Hinblick auf IT-Compliance-Anforderungen
- Einschätzung der Auswirkungen des Sarbanes-Oxley Acts und SSAE 16 (SAS 70) im Zusammenhang eines Kundenprojekts
Reisebereitschaft
Verfügbar in den Ländern
Deutschland, Österreich und Schweiz
Die Leistungserbringung erfolgt 5 Werktage die Woche vor Ort; Homeoffice soweit vereinbart. Der Einsatzort beschränkt sich auf das gesamte Bundesgebiet, Schweiz und Österreich
Sonstige Angaben
Interessen Luftfahrt (Inhaber PPL-JAR FCL), NLP, Mediation