Der Beitrag analysiert, ob Dritte und Auftragsverarbeiter verschlüsselte personenbezogene Daten als anonymisiert betrachten können, sofern sie nicht die Möglichkeit zur Dechiffrierung haben, weil sie zu keinem Zeitpunkt über die dafür notwendigen Schlüssel verfügen und diese auch nicht mit rechtlich zulässigen Mitteln erhalten können, da die Daten bereits auf den Systemen des Verantwortlichen chiffriert wurden, wie in den BSI-Grundschutz-Katalogen für den Einsatz von Cloud-Anwendungen empfohlen wird. (FN ) Auch wird untersucht, unter welchen Bedingungen Verantwortliche verschlüsselte personenbezogene Daten bei einem Cloudanbieter ohne Auftragsverarbeitungsvereinbarung speichern dürfen.
