Verschlüsselung dient dem Schutz der Vertraulichkeit von Daten und ist eine sehr wichtige Maßnahme zur Erfüllung der gesetzlichen Anforderungen an den Datenschutz und die IT-Sicherheit. Als einzige konkrete Maßnahme wird sie im TOM-Katalog des BDSG ausdrücklich erwähnt und damit besonders hervorgehoben (siehe S. 2 der Anlage zu § 9 S. 1 BDSG). Diese Formulierung wird auch im aktuellen Entwurf eines IT-Sicherheitsgesetzes in Bezug auf die durch Webseitenbetreiber zu treffenden Maßnahmen aufgegriffen (siehe Entwurf des § 13 Abs. 7 S. 2 TMG).
Verschlüsselung kann an vielen Stellen bei der Datenverarbeitung eingesetzt werden, z.B. bei der Übertragung (z.B. TLS/SSL, etwa im Rahmen von https-Websites oder VPN-Fernzugängen) oder bei der Speicherung/Archivierung (z.B. Verschlüsselung von Datenträgern per Truecrypt, Bitlocker, FileVault etc.).
Verschlüsselung ist als Datensicherheitsmaßnahme grundsätzlich sinnvoll. Unabhängig davon stellt sich aber datenschutzrechtlich die wichtige Frage, ob und unter welchen Voraussetzungen eine Verschlüsselung zur Aufhebung des Personenbezugs führt – und damit zur Unanwendbarkeit des Datenschutzvorschriften. Dabei gilt zunächst, dass die Verschlüsselung personenbezogener Daten datenschutzrechtlich einer Pseudonymisierung entspricht. Denn ebenso wie pseudonymisierte Daten nur mit der Kenntnis der Zuordnungsregel (von den Pseudonymen zu den Personen) auflösbar sind, sind verschlüsselte Daten nur mit dem Schlüssel verständlich (vorausgesetzt, die Verschlüsselung ist hinreichend stark).
Für verschlüsselte Daten gelten damit die gleichen Grundsätze wie für pseudonymisierte Daten – deren Behandlung ist allerdings unter Datenschutzrechtlern umstritten. Ungeklärt ist insbesondere, ob pseudonymisierte (verschlüsselte) Daten durch Dritte, die die Zuordnungsregel (den Schlüssel) nicht kennen können, uneingeschränkt verarbeitet werden dürfen (dafür z.B. Weichert in DKKW, 4. Aufl., § 3 BDSG Rn. 53), oder ob auch in diesem Fall die Beschränkungen des BDSG gelten (dafür grundsätzlich Buchner in Taeger/Gabel, 2. Aufl., § 3 BDSG Rn. 50). Aus diesen unterschiedlichen Sichtweisen ergibt sich leider eine erhebliche Rechtsunsicherheit. Schon deshalb sollte jeder Einsatz von Verschlüsselung mit dem Ziel, den Verarbeitungsbeschränkungen des BDSG zu entgehen, sorgfältig rechtlich (und ggf. technisch) geprüft werden.