1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.

2 Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt:

1. Art der bearbeiteten Daten;
2. Zweck, Art, Umfang und Umstände der Bearbeitung.

3 Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:

1. Ursachen des Risikos;
2. hauptsächliche Gefahren;
3. ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
4. Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.

4 Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt:

1. Stand der Technik;

5 Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.