Sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter sind einerseits zur Implementierung angemessener Datensicherheitsmaßnahmen (siehe Kapitel 15.1) und andererseits zur Meldung gewisser Sicherheitsverletzungen („Data Breach Notification“; siehe Kapitel 15.2) verpflichtet.
