Unternehmen, Behörden und andere Stellen, die personenbezogene Daten verarbeiten, sind gesetzlich dazu verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMS) zu ergreifen, um ein angemessenes Schutzniveau sicher zu stellen. Zu den technischen Maßnahmen zählen beispielsweise Passwortnutzung, Protokolldateien und eindeutige Benutzerkonten. Unter die organisatorischen Maßnahmen fallen Aspekte wie das Vier-Augen-Prinzip, Arbeitsanweisungen und festgelegte Intervalle zur Überprüfung der Einhaltung sämtlicher datenschutzrechtlicher Anforderungen. Bei der Wahl der Maßnahmen sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und der Zweck der Verarbeitung sowie die Eintrittswahrscheinlichkeit und das Risiko für die betroffene Person zu berücksichtigen.