Michael Quaintrell verfügbar

Michael Quaintrell

externer Datenschutzbeauftragter (DSGVO und BDSG konform) ==> Umsetzung der geänderten Anforderungen

verfügbar
Profilbild von Michael Quaintrell externer Datenschutzbeauftragter (DSGVO und BDSG konform) ==> Umsetzung der geänderten Anforderungen aus Koeln
  • 50859 Köln Freelancer in
  • Abschluss: Diplom
  • Stunden-/Tagessatz:
  • Sprachkenntnisse: deutsch (Muttersprache) | englisch (verhandlungssicher)
  • Letztes Update: 15.08.2018
SCHLAGWORTE
SKILLS
Meine Erfahrungen und Projekte im Datenschutzbereich
Mein Name ist Michael Quaintrell, ich bin 57 Jahre alt, arbeite im Altersteilzeit Blockmodell und werde in zwei Jahren in die passive Phase wechseln. Diese möchte ich aber bewusst nicht als passive Arbeitszeit gestalten, sondern eher als UNRuhestand. Daher starte ich jetzt mit einer aktiven Projektakquise im Bereich Datenschutz und DSGVO Konformität.
Meine Reise im Bereich Datenschutz startete vor 13 Jahren durch meine berufliche Weiterbildung und Qualifizierung zum ITIL Service Manager. Anschließend konnte ich mich als Verantwortlicher für die internen HR Systeme einer Konzerntochter neben dem klassischen SLA Management ebenso im Thema IT Security Management entwickeln. Nach komplexen Umorganisationsmaßnahmen spezialisierte ich mich innerhalb der Konzernzentrale durch eine Weiterbildung zum ext. Datenschutzberater (Herbst 2014) zum Experten für die Konzerninternen HR Systeme mit Schwerpunkt Mitarbeiterdatenschutz.
Bis heute habe ich in drei Projekten spannende und komplexe Herausforderungen in den Griff bekommen.
PROJEKTHISTORIE
Meine Erfahrungen und Projekte im Datenschutzbereich
Mein Name ist Michael Quaintrell und meine Reise im Bereich Datenschutz startete vor 13 Jahren durch meine berufliche Weiterbildung und Qualifizierung zum ITIL Service Manager. Anschließend konnte ich mich als Verantwortlicher für die internen HR Systeme einer Konzerntochter neben dem klassischen SLA Management ebenso im Thema IT Security Management entwickeln. Nack komplexen Umorganisationsmaßnahmen spezialisierte ich mich innerhalb der Konzernzentrale durch eine Weiterbildung zum ext. Datenschutzberater (Herbst 2014) zum Experten für die Konzerninternen HR Systeme mit Schwerpunkt Mitarbeiterdatenschutz.
Bis heute habe ich in drei Projekten spannende und komplexe Herausforderungen in den Griff bekommen:
Herausforderung 1: (Oktober 2013)
Die Konzern HR Prozesse und IT Systeme hatten im Laufe der Zeit dramatisch an Komplexität zugenommen und waren vielen Change Zyklen ausgesetzt. Währende der IT technische Anteil stark standardisiert ablief, liefen die sie begleitenden Compliance Prozesse (Mitbestimmungsrechte, Datenschutz und Datensicherheit) häufig parallel oder gar entkoppelt vom Kernprozess ab.
Es war zu erwarten, dass es eine Abweichung zwischen der Dokumentationslage und dem technischen IT System geben wird. Aber wie groß wird das Delta sein und wie kann die Lücke geschlossen werden? Oder liegt gar schon ein Datenschutzvorfall vor, der sofortiges Handeln notwendig macht?
Projektablauf: Im ersten Schritt wurden alle Dokumentationen der HR Systeme analysiert. Im Vordergrund stand die Analyse der Datenfeldkataloge des jeweiligen Datenschutzkonzeptes und der geltenden Betriebsvereinbarung, die die Rechtsgrundlage zur Verarbeitung der Daten herstellt.
Im zweiten Schritt wurden die Ergebnisse mit der realen Implementierung der Datenfeldnamen der jeweiligen Datenbank verglichen.
Im Anschluss an die Analysephase wurde eine Delta Beschreibung erstellt und eine Risikoeinschätzung erarbeitet. Gemeinsam mit Vertretern des Datenschutzbereiches, der Unternehmens IT und des Sozialpartners wurde diese Einschätzung bewertet und für die betroffenen Systeme „back to green“ Handlungspläne erstellt.
Die Umsetzung wurde an die jeweiligen Prozess- und IT Verantwortlichen übergeben, das Monitoring der Umsetzung jedoch wurde weiterhin zentral erstellt.
Über jede Phase des Projektes wurde ein wöchentlicher Statusreport erzeugt, mit dem das verantwortliche Management jederzeit über den Fortschritt der Aktivitäten informiert war.
Projekt KPIs: 60 Systeme in 6 Monaten iterativ analysiert und risikobewertet , 80% der „back to green“ Maßnahmen in 6 Monaten umgesetzt, 20% in Verhandlungen und Changeprozessen in weiteren 6 Monaten.
Meine Rolle: Projektleitung mit 11 Mitarbeitern.
 
Herausforderung 2: (Mai 2016)
Nach dem Start der Übergangsfrist zur Umsetzung der DSGVO in 2016 standen alle Konzernprozesse und IT Systeme vor einer Überprüfung. Es musste analysiert werden, welche erhöhten Anforderungen sie ab Mai 2018 standhalten sollten. Diese Anforderungen mussten mit den bestehenden Prozessen inkl. Kontrollmechanismen abgeglichen und der Handlungsbedarf ermittelt werden.
Projektablauf: Die einzelnen Artikel der DSGVO wurden zusammen mit dem Rechts- und dem Datenschutzbereich analysiert und auf die bestehenden Datenschutzprozesse, -Rollen und Schnittstellen umgelegt. Diese bestehenden Prozesse sind Konzernweit ausgerollt und begleiten sowohl die Standard Rolloutprozeduren als auch die Change Prozesse.
Das Ergebnis der Analyse sind s.g. „Binding Interpretations“, die als Konzern Policy die Anforderungen der DSGVO und des BDSGneu bei der Neugestaltung als auch einem Change sowohl Business als auch IT Prozesse als Regelwerk beschreiben.
KPI: Erstellung der BI in 7 Monaten
Rolle: Teilprojektleitung für die HR Systeme und – Prozesse

Herausforderung 3: (Januar 2017)
 Im Anschluss an die Erstellung des Regelwerkes galt es, die HR Systeme einer GAP Analyse zu unterziehen. Bei der Betrachtung sollte ein Risikobasierter Ansatz gewählt werden, der sowohl die Größe des Systems als auch ihren Grad der Veränderung berücksichtigt. Des Weiteren sollte der Ansatz „minimal-invasiv” sein, die IT Systeme und Prozesse also nicht mehr als nötig beinträchtigen.
Projektablauf: Im ersten Schritt galt es eine Statusanalyse durchzuführen, welche die beiden Kernkriterien berücksichtigte. Dazu wurde anhand eines strukturierten Fragebogens nach Mustern gesucht, aus denen der Grad der Abweichung abgeleitet werden konnte. Dabei zeigte sich, dass es zwei Handlungsfelder gibt: a) im Rahmen der Dokumentationspflicht müssen Dokumente, Verfahrensbeschreibungen und Verträge angepasst werden. b) Aktivitäten, die zu „BDSG Zeiten“ unter technisch und monetären Aspekten anders bewertet wurden, müssen nun nachhaltig umgesetzt werden. Dies betrifft insbesondere die Löschaktivitäten.
Im zweiten Schritt wurden sechs Themenfelder definiert, die als KPI den Aktivitätsfortschritt messbar machen konnten und als Reporting Grundlage dienten. Jedes Themenfeld wurde mit spezifischen Meilensteinen beschrieben, so das eine lineare Fortschreibung visualisiert werden konnte.
Im dritten Schritt wurde mit den verantwortlichen Rollen die Vorgehensweise und die zu liefernden Details sowie der Zeitplan besprochen. Diese wurden ab dann zweiwöchentlich gemonitort und aggregiert. Bei Abweichungen vom Zeitplan oder auf Wunsch wurde zentrale Unterstützung angeboten, da in diesem Status oftmals Spezialisten Wissen über die DSGVO notwendig wurde.
KPI: Im Fokus standen 64 Systeme. Die Schritte 1 und 2 konnten in drei Monaten abgeschlossen werden. Bei den Aktivitäten aus Schritt 3 konnten 80% aller betroffenen Systeme in 10 Monaten „DSGVO ready“ angepasst werden, die größeren bzw. komplexeren Systeme benötigten dafür rund 6 Monate länger.
Rolle: Projektleiter

meine aktuelle Herausforderung:
Die Anforderungen aus dem Themenkomplex „Workforce Transformation“ machen eine tiefgreifende Analyse der vorliegenden Daten aus internen (und externen) Quellen notwendig. Dazu stellt der Datenschutz (und die Mitbestimmung) Leitplanken zur Verfügung, die es zu beachten gilt. So sind die Daten zu einem bestimmten Zweck erhoben worden, der nicht einfach so erweitert werden kann. Des Weiteren ist bei Verknüpfung von Datenfelder der Aspekt der „personenbeziehbarkeit“ zu beachten. Andererseits ist im Rahmen der „Workforce Transformation“ ein personenbezug auch nicht der Hauptfokus. Vielmehr geht es um Clusterbildung und Einschätzung der Wirksamkeit von personellen Maßnahmen.
Projektablauf: Da hier ein „Smart Compliance“ Ansatz gefragt ist, steht eine interdisziplinarische Lösungsfindung im Vordergrund. Zusammen mit der IT, den Datenanalysten und dem Datenschutz sowie dem Sozialpartner wird z.Zt. eine Ziel Architektur entworfen. Diese sollte eine bestmögliche Mischung aus Anonymisierung und Pseudonymisierung beinhalten. Dabei sollen Kryptologieverfahren eingesetzt werden, die der „Salt and Pepper“ Technologie entsprechen.
Rolle: Mediator zwischen den Projektbeteiligten unter Anwendung des Design Thinking Ansatzes.
 
ZEITLICHE UND RÄUMLICHE VERFÜGBARKEIT
Persönlich:
Ich bin 57 Jahre alt, arbeite im Altersteilzeit Blockmodell und werde in zwei Jahren in die passive Phase wechseln. Diese möchte ich aber bewusst nicht als passive Arbeitszeit gestalten, sondern eher als UNRuhestand.
Daher starte ich jetzt mit einer aktiven Projektakquise im Bereich Datenschutz und DSGVO Konformität. Die Zeitfenster für Vor Ort Termine sind daher noch eng, mit Telefonkonferenzen und dem Medium skype stehe ich jedoch täglich zur Verfügung.
Bei der Projektauswahl stehen für mich folgende Aspekte im Vordergrund:
* Wert der Beratung für den Auftraggeber: Gerade KMUs fühlen sich bei der Umsetzung der DSGVO alleine gelassen. Die rechtlichen Vorgaben sind zwar auf das einzelne Unternehmen zu übertragen, die allgemeinen Vorgaben und Richtlinien der Verbände sind dabei erfahrungsgemäß nur bedingt hilfreich. Hier bietet sich ein Miniprojekt an, welches einen praxistauglichen Lösungsansatz für das spezielle Unternehmen verfolgt, an ich heute schon in Nebentätigkeit unterstützen könnte, der richtige Weg.
* Übernahme von Regeltätigkeiten: Durch meine Qualifizierung und meine berufliche Erfahrung kann ich sofort als externer Datenschutzbeauftragter tätig werden. Hier bieten sich individuelle Leistungspakete an, die ihrer konkreten Situation gerecht werden.
* meine Lebenssituation: Wie schon beschrieben möchte ich weiterhin aktiv bleiben und mich vor allem weiterhin mit Menschen austauschen. Dafür stehen für mich die Schlagwörter persönlicher Lerneffekt und Spaßfaktor, die aus meiner Sicht grundlegende Aspekte für ein erfolgreiches Projekt darstellen.
KONTAKTANFRAGE VERSENDEN

Nachricht:

Absenderdaten: