Gute Frage. Hierzu sollte man sich den Artikel 32 DSGVO durchlesen, der unter anderem sagt:
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
Damit sollte klar sein, dass vertrauliche Informationen und personenbezogene Daten pseudonymisiert oder verschlüsselt werden sollten. Wie dies in der Praxis umzusetzen ist, sollte mit einem Experten geklärt werden.
#dsgvo32