Nr. 14.7 – Verschlüsselung gespeicherter Daten
(Art. 32 Abs. 1 lit. a DSGVO)

Kriterium

Schutzklasse 1 und 2
(1) Der Cloud-Anbieter stellt sicher, dass Anmeldedaten zur Nutzung des Cloud-Dienstes verschlüsselt gespeichert werden.
(2) Personenbezogene Daten, die zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen gespeichert werden müssen, werden verschlüsselt gespeichert.
(3) Der Cloud-Anbieter verfolgt laufend die technische Entwicklung im Bereich der Verschlüsselung und setzt Verschlüsselungsverfahren ein, die den aktuellen technischen Empfehlungen (best practices) entsprechen.
(4) Eingesetzte Verschlüsselungsverfahren sind durch andere Verschlüsselungsverfahren zu ersetzen, wenn sie nicht mehr den aktuellen technischen Empfehlungen (best practices) entsprechen.

Erläuterung

Die Verschlüsselung wird neben der Pseudonymisierung in Art. 32 Abs. 1 lit. a DSGVO explizit als eine einzusetzende Sicherheitsmaßnahme benannt. Zweck der Verschlüsselung ist es, die Gewährleistungsziele der Vertraulichkeit und Integrität (SDM C1.4 und C1.3) sicherzustellen. Die Schwelle, ab der zu verschlüsseln ist, ist niedrig, sodass personenbezogene Daten bereits bei niedrigem Risiko verschlüsselt werden sollten, soweit dies möglich ist.

Umsetzungshinweis

Die Umsetzungshinweise unter Nr. 2.9 zur Schutzklasse 2 sind anwendbar.

Nachweis

Für den Nachweis der verschlüsselten Speicherung gelten die Ausführungen unter Nr. 2.9, Schutzklasse 2 analog.