Beschreibung
Start: 01.05.2024Ende: 31.12.2026 (Option: 31.12.2027)
Einsatzort: Remote (überwiegend), Bonn/Meckenheim
Leistungsbeschreibung:
Ziel ist die Neuerstellung, Aktualisierung / Fortschreibung von Informationssicherheitskonzepten
sowie Dokumentation zum Datenschutz im Bereich der Gesundheitsversorgung, unter
Berücksichtigung der Umstellung auf den BSI modernisierten Grundschutz.
Die Leistungen erfolgen auf folgenden Gebieten:
1. Dienstleistungen im Bereich Dokumentation, Organisation und Prozessgestaltung mit den
Schwerpunkten Informationssicherheit und Datenschutz unter Berücksichtigung der gesetzlichen
und organisatorischen Rahmenvorgaben des Kunden.
2. Systematische Prozessverbesserung informationssicherheitsrelevanter und begleitender
Serviceprozesse.
3. Bewertung von projektspezifischen Bedrohungslagen und Analysen des Schutzbedarfs auf
individuellen Projektanforderungen gemäß dem BSI modernisierten Grundschutz Vorgaben.
4. Fachliche Unterstützung bei der Fortschreibung bestehender und Ersterstellung neuer
Informationssicherheitskonzepte, -richtlinien, und -prozesse.
5. Fachliche Unterstützung bei der sicherheitstechnischen Fortschreibung von Architekturkonzepten
6. Fachliche Unterstützung bei der Erstellung- und Fortschreibung datenschutzrelevanter
Dokumentation
Leistungspaket A: Erstellung Architekturkonzepte
1. Analyse der bestehenden Verfahrens- / Solution-architektur, Solution-beschreibungen und
Requirements-dokumentationen
2. Erstellung /Aktualisierung des Architekturkonzepts basierend auf den Architekturstandards des
Kunden
Leistungspaket B: Erstellung Anwendungs- und Solutionspezifische Informationssicherheitskonzepte
1. Erstellung / Aktualisierung des Informationssicherheitskonzepts auf Basis der
Verfahrensdokumentation bzw. Solution-beschreibung und dem Architekturkonzept
2. Umstellung auf den modernisierten Grundschutz gemäß den BSI-Grundschutzvorgaben
Leistungspaket C: Erstellung von Modellierungen in einem Tool
1. Dokumentation des Informationssicherheitskonzepts in einem Tool (z.B. SAVe oder Verinice)
Leistungspaket D: Erstellung von Datenschutzdokumentationen
1. Erstellung von Entwürfen von Verträgen zur Auftragsverarbeitung (AVV)
2. Erstellung / Aktualisierung der projektbezogenen Datenschutzkonzepte auf Basis rechtlicher- und
bereichsspezifischer Vorgaben und notwendiger weiterer Anlagen
3. Erstellung / Aktualisierung / Bewertung des Datenfeldkatalogs und der Schutzbedarfsanalyse auf
Basis des Architekturkonzepts und des Informationssicherheitskonzepts Solution-beschreibung
4. Erstellung / Aktualisierung der Datenschutzfolgenabschätzung auf Basis der Schwellwertanalyse
einhergehend mit rechtlichen- und bereichsspezifischen Vorgaben
Leistungspaket E: Erstellung der ergänzenden Dokumente zum Informationssicherheitskonzept
1. Erstellung / Aktualisierung von Konzepten gemäß Templates des Kunden wie dem Rollen- und
Berechtigungskonzept, Auditkonzept, Härtungskonzept, Protokollierung- und Notfallkonzept,
Patchmanagement, Kryptokonzept auf Basis des Architekturkonzepts
Zu den Umfängen eines jeden Leistungspaketes gehören folgende Leistungen:
1. Klärung offener Punkte und Beschaffung weiterführender Informationen bei Ansprechpartnern
des Projekts
2. Qualitätssicherung der erstellten Inhalte gemeinsam mit den Ansprechpartnern des Auftraggebers
3. Bei Bedarf Bereitstellung des Zwischenergebnisses an den Auftraggeber zur Akkreditierung
Qualifikationsanforderungen:
1. Sprachkenntnisse: Deutsch: Level C1 und Englisch Level B1 - Gemeinsamer Europäischer
Referenzrahmen für Sprachen GER
2. Zertifikat: Fachkenntnisse zu Service Management Prozessen gemäß ITIL (mind. ITIL 4)
3. Zertifizierung:
• Datenschutzrechtliche Expertenkenntnisse der DSGVO und des BDSG, u.a.:
• Gesetzgeberischer Rahmen
• Gesetzliche Definitionen
• Anwendungsbereich (räuml. & sachl.)
• Datenschutzgrundsätze
• Rechenschaftspflichten
• Rechtsgrundlagen für Verarbeitungen
• Beschäftigtendatenschutz
• Gesetzliche Informationspflichten
• Betroffenenrechte
• Gemeinsam Verantwortlichkeit
• Auftragsverarbeitung
• Sicherheit der Verarbeitung
• Datenschutzverletzungen
• Schwellwertanalysen
• Datenschutz-Folgenabschätzungen
• Internationale Datenübermittlung
(Anerkannte Zertifizierung: • CIPP/E, • UDIS oder Nachweis einer anderen gleichwertigen
Zertifizierung, welche durch eine international anerkannte Akkreditierungsstelle akkreditiert
wurde)
4. Zertifizierung:
Datenschutzrechtliche Kenntnisse im Hinblick auf Datenschutz-Management-Systeme (DSMS),
dies umfasst u.a.
• Grundlagen und Vorbereitung eines DSMS
• Einführung eines DSMS
• Identifizierung und Minimierung von Datenschutzrisiken
• Implementierung wirksamer Datenschutz- und Sicherheitsanforderungen
• Entwurf von Kennzahlen und Prüfverfahren (KPI)
• Reaktion auf Datenschutzvorfälle und Betroffenenanfragen
• Standarddatenschutzmodell
(Anerkannte Zertifizierung: • CIPM, • UDIS oder Nachweis einer anderen gleichwertigen
Zertifizierung, welche durch eine international anerkannte Akkreditierungsstelle akkreditiert
wurde)
5. Zertifizierung:
Kenntnisse im Hinblick auf datenschutzbezogene Technologiegrundlagen, dies umfasst u.a.
• Risikomodelle und Rahmenwerke
• Privacy-by-Design & Default-Prinzipien
• Verantwortlichkeiten
• Risiken, Bedrohungen und Verstöße gegen den Datenschutzregelungen
• Strategien, Techniken und Technologien zur Verbesserung des Datenschutzes
• Datenschutztechniken
• Methodik „Datenschutz durch Technik“
• Neue datenschutzrelevante Technologien
• Datenschutzarchitekturen
• Datenlebenszyklen
(Anerkannte Zertifizierung: • CIPT, • CDPSE, • UDIS oder Nachweis einer anderen gleichwertigen
Zertifizierung, welche durch eine international anerkannte Akkreditierungsstelle akkreditiert
wurde)
6. Praktische Kenntnisse im Datenschutz, dies umfasst u.a. die Erstellung von
• Datenschutzkonzepte
• Schwellwertanalysen
• Datenschutzfolgenabschätzungen
• Kenntnisse in der Informationssicherheit
• aktuell anerkannte Technisch- Organisatorischen Maßnahmen (TOM)
• Berücksichtigung der Gewährleistungsziele des Datenschutzes gem. SDM
(Erfahrungsnachweise in Projekten)
7. Wissen zu fachspezifischen Anforderungen im Bereich
• Gesundheitswesen
• Künstliche Intelligenz (KI)
• Telekommunikation
(Schulungen zu den bereichsspezifischen Anforderungen oder Erfahrungsnachweise in Projekten)
Erfahrungsanforderungen:
1. Kenntnisse im Sicherheitsmanagement gem. modernisiertem IT-Grundschutz des BSI oder mit
Standard ISO/IEC 27001 (mind. 3 Jahre)
2. Datenschutzrechtliche Kenntnisse der DSGVO und des BDSG, u.a. (mind. 5 Jahre)
3. Datenschutzrechtliche Kenntnisse im Hinblick auf Datenschutz-Management-Systeme (DSMS)
(mind. 5 Jahre)
4. Kenntnisse im Hinblick auf datenschutzbezogene Technologiegrundlagen (mind. 5 Jahre)
5. Praktische Kenntnisse in Datenschutz nach DSGVO (mind. 5 Jahre)
6. Wissen zu fachspezifischen Anforderungen im Bereich Datenschutz:
• Gesundheitswesen
• Künstliche Intelligenz (KI)
• Telekommunikation
(mind. 5 Jahre)