(1) Unter Berücksichtigung des Stands der Technik und der bei der Durchführung entstehenden Kosten hat der für die Verarbeitung Verantwortliche technische und organisatorische Maßnahmen zu treffen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.
Solche Maßnahmen sind insbesondere zu treffen, um einer unbefugten Weitergabe, einem unbefugten Zugriff sowie einer zufälligen oder unrechtmäßigen Vernichtung, einem zufälligen Verlust oder einer Veränderung sowie jeder anderen Form der unrechtmäßigen Verarbeitung personenbezogener Daten vorzubeugen.

(2) Werden personenbezogene Daten mit automatischen Mitteln verarbeitet, so sind, falls dies im Hinblick auf die Risiken erforderlich ist, Maßnahmen zu treffen, insbesondere mit dem Ziel,

a) zu verhindern, dass Unbefugte Zugang zu Datenverarbeitungssystemen erhalten, mit denen personenbezogene Daten verarbeitet werden;

b) zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können;

c) jede unbefugte Eingabe in den Speicher sowie die unbefugte Weitergabe, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern;

d) zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können;

e) zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können;

f) zu erfassen, welche personenbezogenen Daten zu welcher Zeit an wen übermittelt worden sind;

g) zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem verarbeitet worden sind;

h) zu gewährleisten, dass personenbezogene Daten, die im Auftrag Dritter verarbeitet werden, nur entsprechend den Weisungen des auftraggebenden Organs oder der auftraggebenden Einrichtung verarbeitet werden können;

i) sicherzustellen, dass während der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten nicht unbefugt gelesen, kopiert oder gelöscht werden können;

j) die organisatorische Struktur innerhalb eines Organs oder einer Einrichtung derart zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

Artikel 21          Inhalt          Artikel 23