Der Verantwortliche hat insbesondere bei der automatisierten Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen zu treffen, um diese Daten effektiv zu schützen. Die DS-GVO schreibt keine bestimmten Maßnahmen vor. Die Entscheidung, welche Maßnahmen zu ergreifen sind, hängt von verschiedenen Faktoren ab. Die DS-GVO nennt dabei den Stand der Technik, die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person.

Die Verantwortlichen im Verein werden somit im Einzelfall eine Risikobeurteilung vornehmen und daraus die erforderlichen Vorkehrungen ableiten müssen.

Die DS-GVO bleibt hinsichtlich der Vorkehrungen noch eher allgemein. So werden beispielweise die Pseudonymisierung und die Verschlüsselung sowie die Wiederherstellungsfähigkeit von Daten nach einem technischen Zwischenfall genannt.

Das BDSG wird schon deutlich konkreter und listet einen Katalog von möglichen Maßnahmen auf (vgl. § 64 Absatz 3 BDSG n.F.). Dort werden zum Beispiel genannt und beschrieben:

Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle, Eingabekontrolle, Transportkontrolle, Wiederherstellbarkeit, Zuverlässigkeit, Datenintegrität, Verfügbarkeitskontrolle, Trennbarkeit.

Darunter sind Vorkehrungen zu verstehen wie Passwortschutz, Rollen- und Rechtekonzepte, Protokollierung von Verarbeitungsvorgängen oder Erstellen von Sicherungskopien.