Die CSS konnte während der Sachverhaltsabklärung weder über die effektive noch über die notwendige Anzahl Zugriffsberechtigungen genauen Angaben liefern. Deshalb verlangt der EDÖB von der CSS, sich einer externen und systematischen Untersuchung (Audit) unterziehen zu lassen, um die Erforderlichkeit und die Zweckmässigkeit der Anzahl von Zugriffsberechtigungen zu überprüfen. Empfehlung des EDÖB: Die CSS lässt ihren VAD im Rahmen eines externen Audits auf dessen Datenschutzkonformität hin überprüfen.