Der Implementierung von Sicherheitsmaßnahmen geht nach Art. 32 Abs. 1 DS-GVO eine Risikoabwägung voraus. Diese Risikoabwägung unterliegt der Rechenschaftspflicht von Art. 5 Abs. 2 DS-GVO, d. h. sie sollte aus Nachweisgründen dokumentiert werden und stellt letztlich ein Sicherheitskonzept dar. Die Inhalte speisen sich einerseits aus weiteren Vorgaben des Art. 32 DS-GVO, aber auch aus der Anforderung, den Stand der Technik zu berücksichtigen (Art. 32 Abs. 1 S1 DS-GVO).
Niels Lepperhoff: Das IT-Sicherheitskonzept in der DS-GVO. Erschienen in: BvD-NEWS 02/2017, S. 15 – 18.