Die Notwendigkeit der (zusätzlichen) Verschlüsselung von (personenbezogenen, schützenswerten) Daten richtet sich nach:
- dem Speicherort und
- der Schutzstufe der Daten (gemäß dem Schutzstufenkonzept LfD Niedersachsen)
Für LUH-(Cloud-)Dienste als Speicherort, die aus dem Internet (direkt) zugreifbar sind (z.B. LUH-Cloud-Seafile), gilt:
- Daten der Schutzstufe A-B: Verschlüsselung nicht notwendig
- Daten der Schutzstufe C: Verschlüsselung nicht notwendig, kann aber sinnvoll sein
- Daten der Schutzstufe D-E: Verschlüsselung notwendig
Die Verschlüsselung sollte so erfolgen, dass der Dienst-Betreiber ohne Schlüssel nicht auf die Daten zugreifen kann (das Geheimnis (Schlüssel, Passwort o.ä.) sollte nur den zugriffsberechtigen Personen vorliegen). Geeignete technische Möglichkeiten werden auf den Seiten der IT-Sicherheit beschrieben (z.B. Cryptomator oder verschlüsselte 7Zip-Dateien).
Die Anforderungen an die Verschlüsselung für dienstlich genutzte mobile Speicherträger als Speicherort der Daten werden im dazugehörigen Rundschreiben erläutert.
Für andere Speicherorte sind die o.g. "Faustregeln" ebenso eine gute Herangehensweise.