Data Protection Officer
Tax Attorney Office
(Banks and financial services, 10-50 employees)
Keywords
GDPR
Information Security Officer
Information Security Management
ISO 27001 Lead Implementer
ISO 27001
DSGVO
Datenschutz / Datensicherheit
Risk Management
Risk Management
KRITIS
Auslagerungen
externer Informationssicherheitsbeauftragter
Finanzwirtschaft und Bankwesen
IT Governance / Risk / Compliance
Skills
Non-Financial Risk Manager, Frankfurt School of Finance & Management
Zertifizierter Informationssicherheitsbeauftragter (Bank Verlag)
Zertifizierter Auslagerungsmanager (Bank Verlag)
Annex SL Certified Integrated Management Systems Lead Auditor (for ISO27001, 14001, 9001, 20000)
Datenschutzbeauftragter (nach Art. 37 GDPR)
ISO 27001 Senior Lead Implementer (PECB)
ISO 31000 Risk Manager (PECB)
Scrum Master
Zertifizierter Informationssicherheitsbeauftragter (Bank Verlag)
Zertifizierter Auslagerungsmanager (Bank Verlag)
Annex SL Certified Integrated Management Systems Lead Auditor (for ISO27001, 14001, 9001, 20000)
Datenschutzbeauftragter (nach Art. 37 GDPR)
ISO 27001 Senior Lead Implementer (PECB)
ISO 31000 Risk Manager (PECB)
Scrum Master
Project history
12/2018
-
Present
- Data protection coachings for employees and company leadership
- Introduction and maintenance of records of processing activities
- Reporting to company leadership
- Introduction and maintenance of records of processing activities
- Reporting to company leadership
12/2018
-
Present
Data Protection Officer
Law Office
(Auditing, taxes and law, 10-50 employees)
Data Protection Officer for a Frankfurt-based law firm.
- Data protection Coachings for employees and company leadership
- Data protection impact assessment
- Introduction and maintenance of records of processing activities
- Introduction of data protection management tool
- Data protection Coachings for employees and company leadership
- Data protection impact assessment
- Introduction and maintenance of records of processing activities
- Introduction of data protection management tool
07/2022
-
10/2023
Teilprojektleiter Internationaler Finanzkonzern/Börsenbetreiber
Finanzdienstleister/Börsenbetreiber
(Banks and financial services, 1000-5000 employees)
- 01/2023 – 09/2023 Teilprojektleiter Assessment (Führung von 4 FTE) zur Überarbeitung der Dienstleisterbewertungen, Dienstleisterauditierungen und zugehöriger Prozesse. Erstellung, Abstimmung und Finalisierung des neuen Sollmaßnahmenkatalogs für Informationssicherheitsanforderungen für die Prüfung von Auslagerungen und sonstigem IT-Fremdbezug, entlang interner Sollanforderungen, relevanter internationaler Standards (ISO 27001, CCM, SOC2) und regulatorischer Anforderungen (MaRisk, BAIT, GDPR, EBA-Guidelines, CSSF). Abstimmung mit den relevanten Stakeholdern (1st, 2nd, 3rd LoD)
- 07/2022 – 12/2022 Teilprojektleiter Annex (Führung von 3 FTE) zur Erstellung, Abstimmung und Finalisierung des neuen Vertragsanhangs der Informationssicherheitsanforderungen an Auslagerungen und sonstigem IT-Fremdbezug. entlang interner Sollanforderungen, relevanter internationaler Standards (ISO 27001) und regulatorischer Anforderungen (MaRisk, BAIT, GDPR, EBA-Guidelines, CSSF). Abstimmung mit den relevanten Stakeholdern (1st, 2nd, 3rd LoD)
- Vorbereitung der Dokumentation zur Abmeldung der korrespondieren Findings der BaFin
01/2020
-
10/2023
Vendor Risk Management
Internationale Bank
(Banks and financial services, >10.000 employees)
- Externe Projektleitung im Major Change der Informationssicherheitsanforderungen an die Auslagerungen der Bank und Überführung in das Key Operating Document (KOD) der Bank. Dabei Unterstützung des Wechsels in den Anforderungen an die Cloudlandschaft (SaaS, PaaS, IaaS) unter Berücksichtigung der einschlägigen regulatorischen Vorgaben (MaRisk, BAIT, GDPR, EBA-Guidelines, FED, SEC, FAC, PRA, etc.) und der entsprechenden Industriestandards (ISO 27001, CCM, SOC2) und damit Überarbeitung des GRC-Frameworks im Auslagerungsrisiko der Bank, einschließlich Reporting an die Bereichsleiterebene
- Durchführung des Audits für das Onboarding eines großen Cloudanbieters im Rahmen des Cloudprojekts der Bank und zugehöriges Reporting
- Auditierung zahlreicher Auslagerungen auf das Informationsrisiko, Bewertung der von den Dienstleistern erbrachten Nachweise und Überführung der Risiken in den bankinternen Behandlungsprozess und zugehöriges Reporting
- Nachverfolgung und Überwachung der Risikobehandlung in den Auslagerungen und Überwachung des Findingmanagements
- Koordination mit Stakeholdern in der Gesamtbank
- Berichtswesen und Dokumentation der Risikoexposition basierend auf Cyber-, IT- und Non-IT Risikoappetiten, basierend auf den relevanten ISO 27001 und 27005-Kriterien
03/2022
-
09/2022
2nd LoD Information Risk Management Landesbank
Landesbank
(Banks and financial services, 5000-10.000 employees)
- Durchführung der jährlichen Informationsrisikoüberprüfung der Gesamtbank in Vorbereitung des on site audits (OSI) der Europäischen Zentralbank (EZB).
- Vorbereitende Berichterstattung für den CISO zum anschließenden Reporting gegenüber dem Steuerungskreis nicht-finanzielle Risiken
- Laufende Koordinierung der Risikoerfassung mit den IRM-Beauftragten der Bank und Reporting an den CISO
- Ausbildung der Informationsrisikobeauftragten der Bereiche und Konzerntöchter
- Nachverfolgung und Prüfung risikobehandelnder Maßnahmen in der Bank
04/2019
-
12/2019
Information risk management
Landesbank
(Banks and financial services, 5000-10.000 employees)
- Introduction of new information risk framework
- Training of employees
- Implementation for new risk control processes & procedures
- Mapping of risks according to ISO 27001
- Creating and maintaining a risk inventory
- Tracking of risk treating measures
- Training of employees
- Implementation for new risk control processes & procedures
- Mapping of risks according to ISO 27001
- Creating and maintaining a risk inventory
- Tracking of risk treating measures
08/2017
-
10/2019
Due Diligence Investigation
Business Intelligence Company
(Marketing, PR and Design, 10-50 employees)
09/2018
-
12/2018
Data Protection Consultant
Newspaper
(Marketing, PR and Design, 250-500 employees)
GDPR Consultant for a German newspaper.
- Data protection impact assessment for a marketing database
- Introduction of data protection management tool
- Process analysis
- Data protection impact assessment for a marketing database
- Introduction of data protection management tool
- Process analysis
04/2018
-
12/2018
Project lead, GDPR implementation
Shipyard
(Industry and mechanical engineering, 1000-5000 employees)
Project lead in introducing the GDPR (dt. EU-DSGVO) in a major German industrial company, with five subsidiaries and 2.500 to 3.000 employees. Project scope included
- Introduction of data protection management tool
- Project management, project coordination with compliance and leadership
- Reporting
- Harmonisation with other regulatory requirements
- Training and awareness coaching
- Consulting on data forwarding to non-EEA countries
- Data protection coachings for employees and company leadership
- Risk assessment based on ISO 27001
- Introduction of data protection management tool
- Project management, project coordination with compliance and leadership
- Reporting
- Harmonisation with other regulatory requirements
- Training and awareness coaching
- Consulting on data forwarding to non-EEA countries
- Data protection coachings for employees and company leadership
- Risk assessment based on ISO 27001
04/2018
-
12/2018
Project Lead, ISO 27001 Implementation
Renewable Energy Company
(Energy, water and environment, 50-250 employees)
Renewable Energy Company (Critical Infrastructure - KRITIS)
- scoping for a statement of applicability ISO 27001
- Introduction of basic information security procedures
- Writing of basic information security policies
- scoping for a statement of applicability ISO 27001
- Introduction of basic information security procedures
- Writing of basic information security policies
Local Availability
Open to travel worldwide
Zeitlich und räumlich flexibel, gerne im Ausland (ausgiebige Auslandserfahrung vorhanden)
