**ST-01121** | **Veröffentlicht** **vor 5 Stunden**

**Implementierung Datenschutzmanagementsystems**:

- work
- FESTANSTELLUNG (VOLLZEIT), FREELANCE- north_east
- SENIOR- location_on
- DÜSSELDORF- event
- BEGINNT 14.4.2024- schedule
- 15 MONATE- Rahmendetails
- Laufzeit: 04/2024 - 07/2025
- Auslastung: 60% (155 PT)
- Einsatzort: Düsseldorf
- Teilnehmer: Freelancer oder Berater in einer Festanstellung

Rahmenbedingungen
- Es wird erwartet, dass der Auftragnehmer über eigene Vorlagen und Instrumente verfügt, um ein SDM-konformes DSMS (Version 3.0) aufzubauen. Derzeit liegen Teilbestandteile eines DSMS mit unterschiedlichem Aktualitätsstand und Reichweite-vor (Verarbeitungsverzeichnisse, Datenschutz-Folgenabschätzungen, Prozessfestlegungen, Regelungen zur Auftragsverarbeitung). Diese werden zum Auftragsbeginn bereitgestellt. Es wird jedoch erwartet, dass seitens des Auftragnehmers ein Konzept vorgeschlagen wird, in welchem vorhandene und neu zu erstellende Inhalte in einem lebenden DSMS mit Aufbau und Fortschreibungsprozessen überführt werden. Hauptziel des Projekts ist die Erst-Implementierung eines Datenschutzmanagementsystems nach SDM für den Geschäftsbereich. Hierzu gehört die Schaffung einer Grundlage zur Einführung eines Datenschutzmanagementsystems (DSMS) dessen Umsetzung die inhaltliche Übereinstimmung mit den jeweils aktuellen rechtlichen Rahmenbedingungen des Datenschutzes auch künftig sicherstellt. Dabei wird die Einführung des DSMS als kontinuierlicher Prozess verstanden, welcher als erstes die Implementierung einer Datenschutzorganisation nach Art. 24 DSGVO beinhaltet, welche dann in einen PDCA-Zyklus über-führt wird.
- Aufgaben
- Zum Aufbau des Datenschutzmanagementsystems wird vom Anbieter ein Vorschlag erwartet, welcher mindestens die folgenden Leistungen beinhaltet (120 PT):

- Bestandsaufnahme, Risikobewertung, GAP-Analyse entlang der Prüffelder.
- Erstellung Leitlinie Datenschutz als zentrales Dokument.
- Festlegung des Verfahrens für Datenschutzvorfälle nach Art. 33, 34 7 DSGVO und - 83a SGB X.
- Dienstanweisungen und Benutzerrichtlinien überarbeiten und erstellen.
- Formulare für datenschutzrechtliche Verpflichtungserklärungen inhaltlich überprüfen und ggf. anpassen.
- Überprüfung und ggfs. Anpassungsvorschlag zum Impressum Internetauftritt und zu Datenschutzerklärung auch unter Beachtung des TTDSG.
- Erstellung eines Kommunikations
- und Schulungskonzeptes zur Grundlagenvermittlung im Datenschutzrecht unter Einschluss des Sozialdatenschutzes und des Datenschutzes im medizinischen Umfeld.
- Erstellen und Abstimmen von Löschkonzepten, anhand der jeweils geltenden datenschutzrechtlichen Vorschriften.
- Sichten und ggf. Überarbeiten, aktualisieren und vervollständigen als auch neu erstellen der Verfahrensbeschreibungen.
- Erstellen eines Verzeichnisses der 10 Verarbeitungstätigkeiten nach Art. 30 DSGVO.
- Implementierung eines Muster-DSFA-Prozesses. Beratung beim Erstellen von Auftragsverarbeitungsverträgen und Vereinbarungen über gemeinsame Verantwortlichkeiten (Art. 26 DSGVO) mit externen Unternehmen.
- Erstellen von rechtskonformen Vordrucken für schriftliche Einwilligungen zur Datenverarbeitung.
- (anteilige) Projektkoordination für den Aufbau des DSMS.

Ergänzende Beratung über den Projektzeitraum (20 PT):

- Bedarfsbezogene Prüfung aktueller Prozesse sowie der Anforderungen aus dem Datenschutz
- bzw. IT- Sicherheitsmanagements des Kunden.- Sichtung der bisherigen datenschutzrelevanten Dokumente und Programme einzelner Verfahren mit anschließender Beurteilung bzgl. Datenschutzrecht.- Beratung, Mitarbeit und Qualitätssicherung bei Erstellung oder Änderung der Verfahrensverzeichnisse bzw. Erstellung eines Verzeichnisses über die Verarbeitungstätigkeiten sowie der Datenschutz-Folgenabschätzungen.- Bedarfsbezogene Teilnahme an Datenschutz-Meetings sowie ggf. Durchführung von Interviews mit den Produkt
- bzw. Verfahrensverantwortlichen.- Beratung und Empfehlungen hinsichtlich organisatorischer und technischer Maßnahmen um Datensicherheit und Datenschutz sicherzustellen.- Praktische Handlungsempfehlungen in Bezug auf Informations
- und Auskunftsrechte der Betroffenen.- Ggf. Mitwirkung in der Vorstellung des Datenschutzkonzeptes in den Gremien.- Projektplanung und Statusbericht (15PT)Anforderungen
- Mindestens eine Kompetenz - Recht (Erste juristische Prüfung oder Master of Laws) oder Informationstechnologie - auf Niveau 7 des Europäischen Qualifikationsrahmens für lebenslanges Lernen (EQR)
- Eine gültige Zertifizierung als CIPM oder CIPP/E oder gleichwertig. Gleichwertig sind Zertifizierungen, welche zur Aufrechterhaltung der Gültigkeit eines Mindest-CPE-Nachweises im Zeitraum von jeweils 2-3 Jahren fordern und welche nach ANSI/ISO Standard akkreditiert sind.
- Gültige Zertifizierung mindesten PRINCE 2 Foundation oder gleichwertig
- Die Projektleitung wird mit einem Anteil von >= 50% im Auftrag eingesetzt

Referenzen
- Vorlage von mind. 3