Stellenbeschreibung

Als GRC Analyst (Governance, Risk & Compliance) stehst du im Zentrum unserer Compliance-Aktivitäten und berichtest direkt an den Head of IT. Du bist verantwortlich für das Management der Nachweiserbringung, die Audit-Koordination sowie den Policy-Lebenszyklus über vier parallele Frameworks hinweg (ISO 27001, TISAX, SOC 2 Type II und Cyber Essentials Plus). Diese Rolle ist ideal für eine proaktive, technikaffine Persönlichkeit mit 2–4 Jahren Erfahrung, die mit Leidenschaft als Brücke zwischen Compliance-Vorgaben und unseren technischen Teams agiert, um unser sicheres, internationales Wachstum zu fördern.

Das erwartet dich bei uns

• Compliance Control Management: Du übernimmst die tägliche Administration und kontinuierliche Verbesserung unseres ISMS (ISO 27001/27017/27018) sowie der TISAX-Assessments, SOC 2 Type II Controls und der Cyber Essentials Plus Rezertifizierung.

• Audit-Verantwortung: Du koordinierst interne und externe Audits von Anfang bis Ende. Du sammelst, bündelst und präsentierst die Nachweise, begleitest Auditor-Walkthroughs und steuerst die Umsetzung von Korrekturmaßnahmen.

• Schnittstellenfunktion & Kollaboration: Du agierst als entscheidendes Bindeglied zwischen Security-Verantwortlichen und Control-Ownern in den Bereichen Engineering und HR. Komplexe Compliance-Anforderungen übersetzt du in umsetzbare Aufgaben, die sich nahtlos in die Workflows der Teams integrieren.

• Risikomanagement: Du führst das Risikoregister, koordinierst vierteljährliche Reviews und stellst sicher, dass Behandlungspläne aktiv verwaltet und dokumentiert werden.

• Policy-Lifecycle & Datenschutz: Du verantwortest die Erstellung und Versionierung von über 90 Richtlinien und unterstützt operative Datenschutzprozesse, einschließlich VVT (Verzeichnis von Verarbeitungstätigkeiten), AVVs und der Bearbeitung von Betroffenenanfragen (DSRs) unter der DSGVO.

• Security Awareness & Trust: Du planst und führst Sicherheitsschulungen sowie Phishing-Simulationen durch. Zudem pflegst du unser Trust Center, um interne Sicherheitsinformationen in kundenreife Dokumente zu verwandeln.

Das bringst du mit

Must-haves:

• Berufserfahrung: 2–4 Jahre einschlägige Erfahrung im Bereich GRC oder Informationssicherheit.

• Framework-Expertise: Fundierte Praxiserfahrung mit ISO 27001 sowie mindestens einem weiteren Framework (TISAX, SOC 2 oder Cyber Essentials Plus).

• Policy- & Risikomanagement: Erfahrung in der Verwaltung eines umfangreichen Richtlinien-Lebenszyklus (50+ Policies) sowie in der Pflege von Risikoregistern und Maßnahmenplänen.

• Technisches Verständnis: Ein solides Verständnis der Arbeitsweise von SaaS-Unternehmen sowie die Fähigkeit, Compliance-Bedarfe für Engineering- und Produkt-Teams verständlich zu machen.

• Sprachkenntnisse: Exzellente Kommunikationsfähigkeiten in Deutsch und Englisch (verhandlungssicher/business fluent).

Nice-to-haves:

• Hintergrund im B2B SaaS-Sektor oder in Tech-Startups (ca. 100–300 Mitarbeitende).

• Vertrautheit mit GRC-Software, Audit-Management-Plattformen oder Compliance-Automation-Tools.

• Erfahrung in der direkten Zusammenarbeit mit Engineering-Teams.