Nach Art. 24 Abs. 1 DSGVO müssen auch Vereine dafür Sorge tragen, dass die eigenen technischen und organisatorischen Maßnahmen (TOM) der Datenverarbeitung geeignet sind, die Datensicherheit zu gewährleisten.

Die TOMs sind von jedem Verantwortlichen zu dokumentieren und von jedem Auftragsverarbeiter - vor der Verarbeitung personenbezogener Daten – im AV-Vertrag anzugeben.