Information Security & Compliance Officer

Wer sind wir? Seit mehr als 30 Jahren hilft Pdftools Organisationen weltweit, ihre Dokumente mit Vertrauen zu verwalten. Wir glauben, dass Dokumente mehr sind als nur Dateien. Sie sind das Herzstück der Kommunikation, des Schutzes von Informationen, des Nachweises von Identität und der Aufrechterhaltung der Gesellschaft. Als Schweizer B2B-Softwareunternehmen spezialisieren wir uns auf PDF-Verarbeitungs-SDKs, Konvertierungsdienste und Dokumenten-Workflow-Lösungen und bedienen Unternehmenskunden, Systemintegratoren und OEMs in regulierten Branchen wie Finanzdienstleistungen, Regierung und Gesundheitswesen.

Ziel: PDF Tools AG baut ihre Compliance- und Sicherheitsfähigkeiten von einer frühen Grundlage zu einem strukturierten, prüfbaren Rahmen aus. Heute sind die Compliance-Verantwortlichkeiten auf die Führungsebene verteilt — der CEO ist formal verantwortlich, der CTO treibt die Umsetzung voran — aber es gibt keinen dedizierten operativen Eigentümer. Mit dem Wachstum des Unternehmens und der zunehmenden Intensität des regulatorischen Umfelds (GDPR, Schweizer FADP, AI Act, DORA, NIS2) benötigen wir eine Person, die dieses Gebiet von Anfang bis Ende besitzt und es von reaktiven Maßnahmen zu einem nachhaltigen, professionellen Programm weiterentwickeln kann.

Was Sie besitzen werden:

• Datenschutz und Datenverarbeitung
  • Führen und pflegen Sie das Register der Verarbeitungstätigkeiten (ROPA).
  • Sicherstellen der Einhaltung der Anforderungen der GDPR, des Schweizer FADP (revDSG) und der CCPA.
  • Verwalten von Anfragen betroffener Personen (DSR) und sicherstellen, dass rechtzeitige, konforme Antworten gegeben werden.
  • Besitzen der Richtlinie zur Aufbewahrung und Löschung — definieren, implementieren und durchsetzen von Regeln für den Lebenszyklus von Daten.
  • Pflegen und verbessern der Datenschutzrichtlinien des Unternehmens.
• Lieferanten- und Drittanbieter-Risikomanagement
  • Führen des Verarbeitungsverzeichnisses und des DPA-Registers.
  • Sicherstellen, dass alle aktiven Anbieter/Verarbeiter die DPAs mit angemessenen Schutzmaßnahmen überprüft haben.
  • Einrichten und Durchführen eines jährlichen Überprüfungszyklus für Anbieter.
  • Karten und Dokumentation internationaler Datenübertragungen und Schutzmaßnahmen.
• Sicherheits- und technische Maßnahmen
  • Besitzen der Dokumentation der technischen und organisatorischen Maßnahmen (TOMs).
  • Vorantreiben der Formalisierung und regelmäßigen Tests von Sicherheitskontrollen.
  • Koordinieren von Penetrationstests mit externen Partnern.
  • Aufbauen einer Sicherheitsüberwachungs- und Vorfallreaktionsfähigkeit.
  • Besitzen des Risikoregisters — pflegen, Risiken schließen und an die Führung berichten.
  • Bewerten und Empfehlen von Sicherheitstools.
• Regulatorische und Zertifizierungsbereitschaft
  • Verfolgen neuer regulatorischer Anforderungen und deren Anwendbarkeit bewerten.
  • Das Unternehmen auf eine potenzielle ISO 27001 oder SOC 2-Zertifizierung vorbereiten.
  • Koordinieren mit externen Rechtsberatern zu regulatorischen Bewertungen und Richtlinienentwürfen.
• Kunden- und geschäftsorientierte Compliance
  • Beantworten von Kundenanfragen zur Compliance und Sicherheitsbewertungen.
  • Unterstützen von Vertrieb und Pre-Sales mit Compliance-Dokumentation und Sicherheitsmaterialien.
  • Sicherstellen, dass produktbezogene Compliance-Aspekte in die Engineering-Workflows integriert werden.

Was Sie NICHT besitzen werden (aber zusammenarbeiten werden):

• OSS-Lizenz-Compliance im Code: Engineering ist für die Behebung verantwortlich — Sie bieten den politischen Rahmen und die Prüfung.
• Produkt-Sicherheitsfunktionen: Engineering und Produkt sind für die Implementierung verantwortlich — Sie definieren die Anforderungen und validieren.
• Vertragsverhandlungen: Recht und Vertrieb führen — Sie liefern Compliance-Input und überprüfen die DPA-Bedingungen.
• IT-Betrieb und Infrastruktur-Sicherheit: IT/DevOps ist für den täglichen Betrieb verantwortlich — Sie definieren die Richtlinie und prüfen.

Was dies im Alltag bedeutet: In den ersten 6 Monaten werden Sie die meiste Zeit damit verbringen, bestehende Lücken zu schließen: ROPA abschließen, DPAs einrichten, TOMs formalisieren und das Risikoregister zu einem lebendigen Dokument entwickeln. Sie werden eng mit dem CTO zusammenarbeiten, der diese Arbeit vorantreibt und Ihnen die operative Verantwortung übergibt. Sobald die Grundlage solide ist, verschiebt sich die Rolle auf die Aufrechterhaltung und Verbesserung des Programms: Durchführung regelmäßiger Überprüfungen, Vorbereitung auf Audits, Verfolgung regulatorischer Änderungen und Aufbau interner Sensibilisierung durch Schulungen und Richtlinien.

Was wir suchen:

Must-Have:

• 3–5+ Jahre Erfahrung in Informationssicherheit, Datenschutz oder Compliance-Rollen — idealerweise in einer B2B-Software- oder SaaS-Umgebung.
• Praktisches Wissen über GDPR und Schweizer FADP, einschließlich praktischer Erfahrung mit ROPAs, DPAs, DSR-Bearbeitung und Datenübertragungsmechanismen.
• Vertrautheit mit Sicherheitsrahmen und -kontrollen: ISO 27001, SOC 2 oder ähnlich.
• Fähigkeit, ein Risikoregister aufzubauen und zu pflegen und Risikominderungsmaßnahmen in Teams voranzutreiben.
• Starke schriftliche und mündliche Kommunikation in Englisch (Arbeitssprache). Deutsch ist ein großer Vorteil für den Schweizer regulatorischen Kontext.
• Pragmatisch und strukturiert: Sie können priorisieren, was in einem 50-Personen-Unternehmen wichtig ist.
• Komfortabel im selbstständigen Arbeiten — dies ist eine Einzelposition mit Unterstützung der Führung.

Nice-to-Have:

• Erfahrung mit OSS-Lizenz-Compliance.
• Kenntnisse der Anforderungen des AI Act, DORA oder NIS2.
• Hintergrund in Softwareentwicklung oder Engineering.
• Erfahrung in einem M&A- oder Due-Diligence-Kontext, in dem die Compliance-Position eine Rolle spielte.
• Relevante Zertifizierungen: CIPP/E, CIPM, CISM, ISO 27001 Lead Implementer oder ähnlich.

Unsere Vorteile: Sie haben die Möglichkeit, wie über 30 Millionen Menschen monatlich arbeiten. 30 Urlaubstage — ja, das haben Sie richtig gelesen. Flexibilität: wir haben flexible Arbeitszeiten. 16 Wochen Elternzeit — 100 % Ihres Gehalts — für alle neuen Eltern. Unser Büro in Zürich ist haustierfreundlich. Ein Wohlfühlbudget von bis zu 2.000 CHF jährlich, das für Schulungen und Entwicklung sowie für körperliches und geistiges Wohlbefinden verwendet werden kann. Möglichkeit eines Phantom-Aktienoptionsplans (Bedingungen gelten).

Pdftools ist ein Arbeitgeber, der Chancengleichheit bietet, und wir glauben, dass unsere Stärke aus einem Team kommt, das eine Vielzahl von Hintergründen, Identitäten, Perspektiven und Erfahrungen widerspiegelt. Wir freuen uns auf Bewerbungen aller Geschlechter, Ethnien, Altersgruppen, Fähigkeiten, Orientierungen und Lebenswege.