Im Sinne des Datenschutzes und der dazugehörigen Gesetze ist es Pflicht, die IT gemäß dem Stand der Technik zu betreiben und die entstehenden Daten zu sichern.
Dabei ist ein angemessenes Schutzniveau (analog den Schutzbedarfsklassen lt. BSI-Standard 100-2) festzulegen.
Die Wiederherstellbarkeit von Daten muss zu jeder Zeit gewährleistet sein und zügig erfolgen. Die getroffenen Maßnahmen zu Datensicherheit sind regelmäßig zu dokumentieren und zu testen.
Es sollte eine Risiko-Inventur erfolgen, Notfallplan erstellt werden und ein Berechtigungskonzept vorliegen.