1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
2 Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt:
- Art der bearbeiteten Daten;
- Zweck, Art, Umfang und Umstände der Bearbeitung.
3 Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:
- Ursachen des Risikos;
- hauptsächliche Gefahren;
- ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
- Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.
4 Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt:
- Stand der Technik;
- Implementierungskosten.
5 Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.