1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2 Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3 Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.