Gibt es eine Verschlüsselungspflicht?

Man hört in den Nachrichten immer mal wieder, das irgendein Server oder so gehackt wurde und die darauf liegenden Daten unverschlüsselt gespeichert wurden. So konnten die Angreifer ohne weiteres Daten einlesen, die sie eigentlich nicht sehen sollten. Im Internet gibt man ja relativ viele, auch private, Daten an und möchte nicht, dass diese in die falschen Hände fallen.

Gibt es denn keine Pflicht, dass man seine Daten verschlüsselt abspeichern muss? Falls ja, wie sieht diese denn aus? Wenn ich jetzt beispielsweise ein Forum betreiben würde. Würde es dann reichen, wenn ich die Passwörter als über den PHPmyAdmin generierten Hash speichere oder muss man die Passwörter und andere Daten noch weiter verschlüsseln?

Für eine rechtsichere Antwort wirst du wohl einen Anwalt, der sich mit Internetrecht auskennt fragen müssen.

Aber soweit ich weiß gibt es so eine Art "Verschlüsselungspflicht" nicht. Dass die Daten vor dem Zugriff Dritter ausreichend geschützt werden müssen, ist eigentlich logisch. Das erreicht man normalerweise ja durch ein entsprechend abgesichertes System. Und wenn ein Hacker das knacken kann, wird er sich wahrscheinlich auch Zugriff zu den Schlüsseln verschaffen können, die die ja in irgendeiner Form verfügbar sein müssen, um die Daten für den Regelbetrieb verwerten zu können. Lediglich bei Archivdaten wäre es möglich, die Schlüssel "offline" zu speichern.

Passwörter, die als Hash gespeichert sind, sind übrigens im Prinzip schon verschlüsselt, da man keine einfache Möglichkeit hat, vom Hash auf das Passwort zurückzuschließen (vorausgesetzt man verwendet einen geeigneten Hash-Algorithmus).

Eine Regulierung die so weit geht, dass die Art und Weise der Speicherung vorbestimmt wird, gibt es nicht. Daher darf jeder Anbieter so vorgehen, wie er/sie dies für Richtig hält. Inwieweit dann aber im Schadensfall eine Haftung entsteht, muss anschließend geklärt werden. Denn selbstverständlich müssen die Daten vor dem Zugriff Dritter geschützt werden, wenn nicht ausdrücklich das Gegenteil erklärt wird. Ob dann nämlich der Schutz als ausreichend betrachtet werden kann oder nicht, ändert sich je nach Art und Weise im Laufe der Zeit.

Im Internet gibt man ja relativ viele, auch private, Daten an

Auch dazu gibt es keine Pflicht, so dass "man" es nicht machen muss. Es steht jedem selbst frei zu entscheiden, ob dies gewollt wird oder nicht.