Analyse der IT bzw. der technischen Maßnahmen, um die Daten nicht nur sicher und vor Angriffen von außen geschützt zu halten. Auch die Widerstandsfähigkeit des Systems, sowie ein Backup- und Wiederherstellungskonzept sind wichtige Bestandteile, um technisch auf dem Stand der Technik und damit DSGVO-konform zu sein. Die technischen Maßnahmen sind für die TOM (Beschreibung der technisch-organisatorischen Maßnahmen) ein wichtiger Bestandteil.
Was für die Technik die technischen Maßnahmen sind, sind organisatorische Maßnahmen auf der anderen Seite. Für die DSGVO ist es erforderlich, organisatorische Maßnahmen zu beschreiben und natürlich auch verabschiedete Prozesse zu leben, um die Sicherheit zu verbessern, aber auch eine Kontrolle der Weitergabe. Impliziert ist hier natürlich auch die Auftragskontrolle im Sinne von Art. 28, also mit AV-Verträgen. Hier ist es vor allem wichtig, die Mitarbeiter gut abzuholen und eine Awareness zu schaffen, z.B. mit einer Datenschutz-Schulung.
Einige der notwendigen Dokumente wurden bereits bei den technischen und organisatorischen Maßnahmen erwähnt, wie die TOM und AV-Verträge. Um IT und Mitarbeiter zu einem guten Zusammenspiel zu bewegen, ist es sinnvoll, eine IT-Richtlinie aufzustellen und Benutzerrechte in einem Rollen- und Rechte-Konzept zu verankern. Die Anfrage eines Kunden um Auskunft oder Löschung seiner personenbezogenen Daten sollte keine Panik auslösen, sondern einen klaren Prozess auslösen, der mit einem Löschkonzept und einer pragmatischen Verfahrensanweisung definiert ist.