Nicht nur bei der Auswahl der Software, sondern auch im laufenden Betrieb darf man den Datenschutz nicht aus den Augen verlieren. Zu einem möglichst datenschutzkonformen Betrieb gehören auch angemessene technische und organisatorische Maßnahmen und deren regelmäßig Prüfung und Anpassung. Die Angemessenheit dieser orientiert sich an der Schutzbedürftigkeit der verarbeiteten Daten. Neben den intern getroffenen Schutzmaßnahmen müssen auch die Sicherheitsupdates des Herstellers möglichst bald nach Veröffentlichung dieser eingespielt werden. Bei modernen Cloudlösungen kommt es immer wieder zur Entdeckung von Sicherheitslücken (z.B. Microsoft 365), bei denen die Hersteller selbst zeitnah Maßnahmen anbieten, um die Lücken zu schließen.
Das Aufsetzen der Maßnahmen beginnt bei Einführung der Software und endet … niemals? Solange die Software eingesetzt wird, muss in regelmäßigen Abständen geprüft werden, ob diese erstens weiterhin datenschutzkonform ist, ob die Software weiterentwickelt und damit den aktuellen Sicherheitsstandards entspricht und nicht zuletzt, ob diese intern zuverlässig eingespielt werden. Spätestens wenn der Softwarehersteller selbst keine Sicherheitsupdates mehr zur Verfügung stellt, muss eine Alternative her. Im schnelllebigen IT-Umfeld ist es unabdingbar mögliche Sicherheitslücken zu vermeiden, indem verwendete Softwarelösungen ständig weiterentwickelt werden.