Ein ausreichendes Datenschutzniveau erfordert im Zusammenhang mit der Verarbeitung personenbezogener Daten die Implementierung geeigneter technischer und organisatorischer Maßnahmen (im Folgenden: TOM, Art 32 DSGVO) innerhalb eines Unternehmens. Der Verantwortliche trifft unter Berücksichtigung des Seite 50aktuellen Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen. Sollte ein Auftragsverarbeiter für den Verantwortlichen personenbezogene Daten verarbeiten, hat auch dieser geeignete TOM zu implementieren (vgl Kapitel 4.4).
