Für jede öffentliche und nicht-öffentliche Stelle, die personenbezogene Daten verarbeitet, gilt gemäß §9 BDSG, dass geeignete technische und organisatorische Maßnahmen zu ergreifen sind, die den Schutz der personenbezogenen Daten sicherstellen und die die Einhaltung der Vorschriften des BDSG, insbesondere die in der Anlage zu §9 Satz 1 BDSG genannten Anforderungen, gewährleisten. 
In der Anlage zu §9 BDSG wird anhand von acht Kontrollzielen konkretisiert, wie der datenschutzkonforme Umgang mit personenbezogenen Daten auf technischer und organisatorischer Ebene erfolgen soll.

1. Zutrittskontrolle
   Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen zu verwehren.
2. Zugangskontrolle
   Datenverarbeitungsanlagen dürfen nicht von Unbefugten genutzt werden.
3. Zugriffskontrolle
   Die zur Benutzung eines Datenverarbeitungssystems berechtigten Personen dürfen ausschließlich auf die Daten zugreifen, für die sie eine Zugriffsberechtigung haben.
4. Weitergabekontrolle
   Es ist sicherzustellen, dass Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
5. Eingabekontrolle
   Es muss die Möglichkeit bestehen, nachträglich zu überprüfen und festzustellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben worden sind. 
6. Auftragskontrolle
   Es ist sicherzustellen, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. 
7. Verfügbarkeitskontrolle
   Daten müssen vor einer zufälligen oder vorsätzlichen Zerstörung oder gegen zufälligen oder vorsätzlichen Verlust geschützt werden.
8. Trennungsgebot
   Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können.

Zur Umsetzung der acht Kontrollziele sind verschiedene Maßnahmen auf technischer und organisatorischer Ebene zu ergreifen.
Siehe auch Anlage zu § 9 Technische und organisatorische Maßnahmen.

Technische Maßnahmen
Zu den technischen Maßnahmen zählen bspw. die Einrichtung von Zugriffsrechten, die Zutrittskontrolle zu Serverräumen (z.B. durch ein Chipkartensystem), die Implementierung von Content-Filter- und Firewall-Lösungen (zur Abwehr unberechtigter Zugriffe von Außen und zur Vermeidung der unberechtigten Weitergabe von Daten nach Außen), die Einführung der digitalen Signatur, der Einsatz von Verschlüsselungssoftware z.B. für mobile Arbeitsmittel (Laptop, PDA), die Einrichtung von Datensicherungssystemen (Backup) und die Herstellung von Systemredundanz durch RAID-Systeme oder Clustering.

Organisatorische Maßnahmen
Auf organisatorischer Ebene sind bspw. die Mitarbeiter über ihre Rechte und Pflichten aufzuklären, durch Mitarbeiterschulungen zu sensibilisieren und per Geheimhaltungserklärung auf den Datenschutz zu verpflichten. Anhand von Mitarbeitervereinbarungen und Betriebsvereinbarungen werden die Datenschutzrichtlinien für alle Angestellten im Unternehmen transparent und verbindlich. Dazu zählen bspw. Regelungen zum Umgang mit mobilen Endgeräten, dem Internet, mit Passwörtern oder zur Nutzung der E-Mail-Kommunikation. 
Im Falle der Auftragsdatenverarbeitung (z.B. Outsourcing, Call Center-Betrieb, Marktforschung) durch ein externes Unternehmen ist die Rechtmäßigkeit und der Zweck der Datenverarbeitung in einem schriftlichen Vertrag zu fixieren. Gegebenenfalls ist eine Vorabkontrolle notwendig.