(1) Die Daten verarbeitenden Stellen oder die in ihrem Auftrag tätigen Stellen haben die technischen und organisatorischen Maßnahmen zu treffen, die nach den Absätzen 2 und 3 erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Die Maßnahmen haben für den angestrebten Schutzzweck angemessen zu sein und richten sich nach den im Einzelfall zu betrachtenden Risiken und dem jeweiligen Stand der Technik.

(2) Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten geeignet sind,

1. 1.
   Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zutrittskontrolle),
2. 2.
   zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle),
3. 3.
   zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können (Zugriffskontrolle),
4. 4.
   zu verhindern, dass personenbezogene Daten unbefugt oder zufällig gespeichert, zur Kenntnis genommen, verändert, kopiert, übermittelt, entfernt, vernichtet oder sonst verarbeitet werden (Datenverarbeitungskontrolle),
5. 5.
   festzustellen, wer welche personenbezogenen Daten zu welcher Zeit verarbeitet hat und wohin sie übermittelt werden sollen oder übermittelt worden sind (Verantwortlichkeitskontrolle)
6. 6.
   zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
7. 7.
   eine Überprüfung aller wesentlichen Verarbeitungsschritte der Datenverarbeitungsanlage und des -verfahrens durch eine Dokumentation zu ermöglichen (Dokumentationskontrolle) und
8. 8.
   die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

(3) Werden personenbezogene Daten nicht-automatisiert oder in Akten verarbeitet, sind Maßnahmen zu treffen, um insbesondere den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung zu verhindern.

(4) Soweit Vorentwürfe und Notizen nicht Bestandteil eines Vorganges werden und personenbezogene Daten enthalten, ist eine ordnungsgemäße Vernichtung zu gewährleisten.