Mitarbeitende müssen einen Auftrag dafür haben (z.B. 21/36 Organisatorische Massnahmen zur Sicherstellung der Datensicherheit sind beispielsweise Gremien zur Bestimmung und Umsetzung der Datensicherheit, interne Kontrollen, Rollenkonzepte pro Applikation, Klassifizierung von Informationen, Durchführung von Schutzbedarfsanalysen bei Vorliegen sensitiver Informationen resp. Personendaten, regelmässige Kontrollen der Zugriffsberechtigungen etc. Details werden in Ziff. 10.2 der Sachverhaltsfeststellung vom 11. März 2015 beschrieben.