Zunächst ist zu klären, ob das BDSG in dem geschilderten Fall Anwendung findet, das geht hervor aus §1, Abs2:
„Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch [...] 3. nicht öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen
verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung
der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.“
Eine ähnliche Formulierung gleichen Inhalts wiederholt sich im §27.
In §3 wird als Begriffsbestimmung zu personenbezogenen Daten gesagt, dass es sich dabei um „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren
natürlichen Person (Betroffener).“ handelt. Auch dies trifft hier zu.
Im weiteren wird Verarbeiten als das „Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.“ gekennzeichnet.
Hierbei ist:
„1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,
2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener
personenbezogener Daten an einen Dritten in der Weise, dass
a) die Daten an den Dritten weitergegeben werden oder
b) der Dritte zur Einsicht oder zum Abrufbereitgehaltene Daten einsieht oder abruft,“
Ergänzend und im weiteren wichtig ist noch folgendes:
„(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“
Ein erster Hinweis auf die Notwendigkeit zur Verschlüsselung findet sich hier:
§ 9 Technische und organisatorische Maßnahmen
Öffentliche und nicht öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen
nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck
steht.
§28 Läßt die Erhebung, Speicherung, Veränderung, Übermittlung und Nutzung von personenbezogenen Daten zu geschäftlichen Zwecken zu, insbesondere Absatz 7 geht auf die besonderen Arten von personenbezogenen Daten ein, die zum Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik etc. erforderlich sind.
Jetzt wird die ganze Sache leider wieder etwas „schwammig“:
In §46, 3 wird geregelt, dass Maßnahmen zu treffen sind, die personenbezogene Daten Ihrer Art entsprechend schützen. Es geht um die Schlagworte Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle und Verfügbarkeitskontrolle.
Für unsere Frage ist der Begriff der Weitergabekontrolle der ausschlaggebende, der Zugriff durch Unbefugte muß verhindert werden. Dem Umstand der Daten nach (besondere personenbezogene Daten) müssen demnach auch besondere Maßnahmen folgen.
Das Gesetz sieht vor, „zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.“
Daraus ergibt sich schlussendlich, dass jede Art von personenbezogenen Daten (vgl. Begriffsbestimmung) derart zu sichern ist. Es liegt jedoch im Ermessen des Einzelnen bzw. des Betroffenen (vgl. Begriffsbestimmung). Der Betroffene hat gewisse Mitspracherechte und der „Verarbeitende“ hat Sorgfalt walten zu lassen.
Leider sind alle Verstöße hiergegen „nur“ Ordnungswidrigkeiten, zur Straftat werden sie erst, wenn sie als Auftragsarbeit oder ich der Absicht der Bereicherung oder Schädigung eines Dritten erfolgen.
Jetzt sind wir wieder so schlau wie vorher, oder?
Ich suche jetzt weiter nach Gerichtsurteilen...
werd mich nachher mal ausgiebig damit befassen. wünsch dir n'schönes wochenende. 
