¹Die in § 35 des Ersten Buches genannten Stellen, die selbst oder im Auftrag Sozialdaten verarbeiten, haben die technischen und organisatorischen Maßnahmen einschließlich der Dienstanweisungen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzbuches, insbesondere die in der Anlage zu dieser Vorschrift genannten Anforderungen, zu gewährleisten. ²Maßnahmen sind nicht erforderlich, wenn ihr Aufwand in keinem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

³Anlage
Werden Sozialdaten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden Sozialdaten geeignet sind,

1. 1.
   Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen Sozialdaten verarbeitet werden, zu verwehren (Zugangskontrolle),
2. 2.
   zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
3. 3.
   die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Sozialdaten zu verhindem (Speicherkontrolle),
4. 4.
   zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
5. 5.
   zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
6. 6.
   zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen Sozialdaten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle),
7. 7.
   zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, weiche Sozialdaten zu weicher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
8. 8.
   zu gewährleisten, daß Sozialdaten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
9. 9.
   zu verhindern, daß bei der Übertragung von Sozialdaten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
10. 10.
    die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).