Nach § 9 S. 1 BDSG darf die Verarbeitung personenbezogener Daten nur erfolgen, wenn angemessene Maßnahmen zur „Datensicherheit“ (und damit letztlich zur IT-Sicherheit) getroffen werden. Für diese sog. technisch-organisatorischen Maßnahmen schreibt das BDSG in einer Anlage acht Schutzziele vor, die gern auch als die „acht Gebote“ des Datenschutzes beschrieben werden:
- Zutrittskontrolle,
- Zugriffskontrolle,
- Zugangskontrolle,
- Weitergabekontrolle,
- Eingabekontrolle,
- Auftragskontrolle,
- Verfügbarkeitskontrolle und schließlich
- das Prinzip der nach dem jeweiligen Verarbeitungszweck getrennten Verarbeitung.
Einzelne Maßnahmen sind nicht verbindlich vorgeschrieben. Vielmehr sind zweckdienliche und den Umständen der Verarbeitung angemessene Maßnahmen zu treffen. Die vielfach kursierenden Checklisten sind daher nur als Arbeitshilfen zu sehen.