In der Praxis ist es häufig so, dass eine Vielzahl von Maßnahmen, sei es als Einzelmaßnahme oder in Kombination mehrerer Maßnahmen, geeignet sind, den Schutzbedarf zu gewährleisten. Bei der Auswahl der konkret umzusetzenden Maßnahmen kommt den Verantwortlichen ein Ermessensspielraum zu, der durch Behörden und Gerichte zu berücksichtigen ist. Nichtsdestotrotz gibt der Art. 32 Abs. 1 DSGVO Kriterien vor, die bei der Auswahl der Maßnahmen im Rahmen der Verhältnismäßigkeitsprüfung zu berücksichtigen sind, beziehungsweise berücksichtigt werden dürfen, um ein angemessenes Schutzniveau zu gewährleisten.
Aus diesem Katalog ist das Kriterium der Implementierungskosten besonders hervorzuheben. Die Aufführung der Implementierungskosten in Art. 32 Abs. 1 DSGVO gibt dem Verantwortlichen die Möglichkeit, auch die Kosten der Einführung einer Maßnahme und deren Betrieb in den Blick zu nehmen. Dies darf aber nicht dahingehend verstanden werden, dass aufgrund hoher Kosten ohne weiteres unzureichende Schutzmaßnahmen ergriffen werden dürfen. Vielmehr wird dem Verantwortlichen ermöglicht, eine Verhältnismäßigkeitsprüfung durchzuführen und er wird nicht zu wirtschaftlich unzumutbaren Maßnahmen verpflichtet, um ein möglichst hohes Schutzniveau zu erreichen. Stattdessen ist er berechtigt, bei der Auswahl aus mehreren an sich geeigneten Maßnahmen diejenigen auszuwählen, die sowohl angemessen im Verhältnis zum Schutzbedarf als auch angemessen im Verhältnis zu den Implementierungskosten und den weiteren aufgeführten Kriterien sind.