Gemäss Art. 7 Abs. 1 DSG müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten gesichert werden. Konkretisiert werden diese Anforderungen in Art. 8 ff. der Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993 (VDSG; SR 235.11). Die organisatorischen und technischen 28/39 Massnahmen von Migros erscheinen genügend, um den Schutz der Personendaten zu gewährleisten. 15. Sensibilisierung und Schulung von Cumulus- Mitarbeitern 15.1. Ergriffene Massnahmen und Beurteilung