Hartnäckig hält sich das Gerücht, dass Verschlüsselung das Allheilmittel in Bezug auf die Umsetzung der Datenschutz Grundverordnung ist. Das ist sie leider nicht. Verschlüsselung als Maßnahme kann nicht zur Umsetzung aller Gewährleistungsziele herangezogen werden.
Der europäische Datenschutz Ausschuss – Nachfolger der Artikel 29 Arbeitsgruppe – hat in diesem Zusammenhang etwas interessantes festgehalten. Nämlich, dass auch der Verlust von verschlüsselten personenbezogenen Daten meldepflichtig ist. Ausführliches dazu in der „Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679„.
Weiters in „Opinion 03/2014 on Personal Data Breach Notification“ mit dem zentralen Satz, „…However, even when data is encrypted, a loss or alteration can have negative effects for data subjects when the data controller has no adequate backups….“