Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.

Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt:

a. Art der bearbeiteten Daten;
b. Zweck, Art, Umfang und Umstände der Bearbeitung.

Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:

a. Ursachen des Risikos;
b. hauptsächliche Gefahren;
c. ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
d. Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.

Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt:

a. Stand der Technik;
b. Implementierungskosten.

Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.