Nach der Anlage zu § 9 BDSG sind insbesondere folgende Maßnahmen zu treffen, um die IT-Sicherheit zu gewährleisten:
Darf das Unternehmen die Daten wegen einer Einwilligung oder eines Gesetzes speichern, so darf es diese entsprechend dem darin vorher festgelegten Zweck auch auswerten. Im Gesetz heißt es: "Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden" (§31 BDSG). Das soll etwa verhindern, dass die Daten zur Leistungs- oder Verhaltenskontrolle der Mitarbeiter ohne deren vorherige Einwilligung verwendet werden.
Ganz entscheidend ist also immer der bei der Erhebung festgelegte Zweck der Speicherung. Nach § 100 Urheberrechtsgesetz haftet der Inhaber eines Unternehmens auch für Verstöße gegen das Urheberrechtsgesetz, die seine Arbeitnehmer im Betrieb begangen haben. Es drohen Abmahnungen, Gerichtsverfahren, schlimmstenfalls die Beschlagnahmung der Rechner. In § 32 BDSG heißt es: "Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind."
Die Datenschutzvorschriften sind sehr komplex. Ein betrieblicher oder externer Datenschutzbeauftragter sollte bei der Umsetzung helfen. Den benötigt jedes Unternehmen, in dem mehr als neun Personen ständig mit personenbezogenen Daten befasst sind. § 5 BDSG verlangt, dass bei der Datenverarbeitung beschäftigte Personen bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten sind. Das Datengeheimnis besteht nach Beendigung der Tätigkeit fort. Die Auswertung sensibler Daten sollte möglichst nur im Vier-Augen-Prinzip erfolgen und mit anonymen Auswertungsmethoden.