Verordnung
über den Datenschutz
(Datenschutzverordnung, DSV)

¹ Zur Ge­währ­leis­tung ei­ner an­ge­mes­se­nen Da­ten­si­cher­heit müs­sen der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter den Schutz­be­darf der Per­so­nen­da­ten be­stim­men und die im Hin­blick auf das Ri­si­ko ge­eig­ne­ten tech­ni­schen und or­ga­ni­sa­to­ri­schen Mass­nah­men fest­le­gen.

² Der Schutz­be­darf der Per­so­nen­da­ten wird nach den fol­gen­den Kri­te­ri­en be­ur­teilt:

a.

Art der be­ar­bei­te­ten Da­ten;

b.

Zweck, Art, Um­fang und Um­stän­de der Be­ar­bei­tung.

³ Das Ri­si­ko für die Per­sön­lich­keit oder die Grund­rech­te der be­trof­fe­nen Per­son wird nach den fol­gen­den Kri­te­ri­en be­ur­teilt:

a.

Ur­sa­chen des Ri­si­kos;

b.

haupt­säch­li­che Ge­fah­ren;

c.

er­grif­fe­ne oder vor­ge­se­he­ne Mass­nah­men, um das Ri­si­ko zu ver­rin­gern;

d.

Wahr­schein­lich­keit und Schwe­re ei­ner Ver­let­zung der Da­ten­si­cher­heit trotz der er­grif­fe­nen oder vor­ge­se­he­nen Mass­nah­men.

⁴ Bei der Fest­le­gung der tech­ni­schen und or­ga­ni­sa­to­ri­schen Mass­nah­men wer­den zu­dem die fol­gen­den Kri­te­ri­en be­rück­sich­tigt:

a.

Stand der Tech­nik;

b.

Im­ple­men­tie­rungs­kos­ten.

⁵ Der Schutz­be­darf der Per­so­nen­da­ten, das Ri­si­ko und die tech­ni­schen und or­ga­ni­sa­to­ri­schen Mass­nah­men sind über die ge­sam­te Be­ar­bei­tungs­dau­er hin­weg zu über­prü­fen. Die Mass­nah­men sind nö­ti­gen­falls an­zu­pas­sen.