Stellenbeschreibung

Als GRC & Information Security Specialist (m/w/d) stehst du im Zentrum unserer Compliance-Aktivitäten und berichtest direkt an den Head of IT. Du bist verantwortlich für das Management der Nachweiserbringung, die Audit-Koordination sowie den Policy-Lebenszyklus über vier parallele Frameworks hinweg (ISO 27001, TISAX, SOC 2 Type II und Cyber Essentials Plus). Diese Rolle ist ideal für eine proaktive, technikaffine Persönlichkeit mit 2–4 Jahren Erfahrung, die mit Leidenschaft als Brücke zwischen Compliance-Vorgaben und unseren technischen Teams agiert, um unser sicheres, internationales Wachstum zu fördern.

Das erwartet dich bei uns

• Compliance Control Management: Du übernimmst die tägliche Administration und kontinuierliche Verbesserung unseres ISMS (ISO 27001/27017/27018) sowie der TISAX-Assessments, SOC 2 Type II Controls und der Cyber Essentials Plus Rezertifizierung.

• Audit-Verantwortung: Du koordinierst interne und externe Audits von Anfang bis Ende. Du sammelst, bündelst und präsentierst die Nachweise, begleitest Auditor-Walkthroughs und steuerst die Umsetzung von Korrekturmaßnahmen.

• Schnittstellenfunktion & Kollaboration: Du agierst als entscheidendes Bindeglied zwischen Security-Verantwortlichen und Control-Ownern in den Bereichen Engineering und HR. Komplexe Compliance-Anforderungen übersetzt du in umsetzbare Aufgaben, die sich nahtlos in die Workflows der Teams integrieren.

• Risikomanagement: Du führst das Risikoregister, koordinierst vierteljährliche Reviews und stellst sicher, dass Behandlungspläne aktiv verwaltet und dokumentiert werden.

• Policy-Lifecycle & Datenschutz: Du verantwortest die Erstellung und Versionierung von über 90 Richtlinien und unterstützt operative Datenschutzprozesse, einschließlich VVT (Verzeichnis von Verarbeitungstätigkeiten), AVVs und der Bearbeitung von Betroffenenanfragen (DSRs) unter der DSGVO.

• Security Awareness & Trust: Du planst und führst Sicherheitsschulungen sowie Phishing-Simulationen durch. Zudem pflegst du unser Trust Center, um interne Sicherheitsinformationen in kundenreife Dokumente zu verwandeln.

Das bringst du mit

Must-haves:

• Berufserfahrung: 2–4 Jahre einschlägige Erfahrung im Bereich GRC oder Informationssicherheit.

• Framework-Expertise: Fundierte Praxiserfahrung mit ISO 27001 sowie mindestens einem weiteren Framework (TISAX, SOC 2 oder Cyber Essentials Plus).

• Policy- & Risikomanagement: Erfahrung in der Verwaltung eines umfangreichen Richtlinien-Lebenszyklus (50+ Policies) sowie in der Pflege von Risikoregistern und Maßnahmenplänen.

• Technisches Verständnis: Ein solides Verständnis der Arbeitsweise von SaaS-Unternehmen sowie die Fähigkeit, Compliance-Bedarfe für Engineering- und Produkt-Teams verständlich zu machen.

• Sprachkenntnisse: Exzellente Kommunikationsfähigkeiten in Deutsch und Englisch (verhandlungssicher/business fluent).

Nice-to-haves:

• Hintergrund im B2B SaaS-Sektor oder in Tech-Startups (ca. 100–300 Mitarbeitende).

• Vertrautheit mit GRC-Software, Audit-Management-Plattformen oder Compliance-Automation-Tools.

• Erfahrung in der direkten Zusammenarbeit mit Engineering-Teams.

Job description

As a GRC & Information Security Specialist (m/f/d)), you will be at the center of our compliance operations, reporting directly to the Head of IT. You'll be responsible for managing evidence collection, audit coordination, and the policy lifecycle across four concurrent frameworks (ISO 27001, TISAX, SOC 2 Type II, and Cyber Essentials Plus). This role is ideal for a proactive, tech-savvy professional with 2–4 years of experience who is passionate about acting as a bridge between compliance mandates and technical teams to enable secure, international growth.

What you can expect

• Compliance Control Management: Own the day-to-day administration and continuous improvement of our ISMS (ISO 27001/27017/27018), TISAX assessments, SOC 2 Type II controls, and Cyber Essentials Plus recertification.
• Evidence & Audit Ownership: Coordinate internal and external audits end-to-end. You will collect, package, and present the evidence trail, managing auditor walkthroughs and finding remediations.
• Liaison & Collaboration: Act as the crucial link between security and control owners in Engineering and HR. Translate complex compliance requirements into actionable tasks that embed seamlessly into team workflows.
• Risk Management Execution: Maintain the risk register, coordinate quarterly reviews, and ensure treatment plans are actively managed and documented.
• Policy Lifecycle & Privacy: Draft and version-control 90+ policies while assisting with data privacy operations, including RoPA, DPAs, and support for Data Subject Requests (DSRs) under GDPR.
• Security Awareness & Trust: Plan and deliver security training and phishing simulations, while maintaining our Trust Centre content to transform internal security info into client-facing documents.

What you bring to the table

We’re seeking a detail-oriented, pragmatic professional who can balance robust security requirements with the pace of a fast-growing start-up.

Must Haves:

• Proven Experience: 2–4 years of experience in a GRC or Information Security role.
• Framework Expertise: Strong, hands-on experience with ISO 27001 and at least one other framework (TISAX, SOC 2, or Cyber Essentials Plus).
• Policy & Risk Management: Experience managing a significant policy lifecycle (50+ policies) and maintaining risk registers/treatment plans.
• Technical Fluency: A solid understanding of how SaaS companies operate, with the ability to translate compliance needs for engineering and product teams.
• Language Skills: Excellent communication skills in both English & German (business fluent).

Nice to Haves:

• Background in B2B SaaS or tech start-up environments (~100–300 employees).
• Familiarity with GRC tooling, audit management platforms, or compliance automation tools.
• Experience working directly alongside engineering teams.