Hej beatovich,
Dafür, dass die Einführung der DSGVO von dermaßenem Weltuntergangsgeschrei begleitet war, scheint mir die vermeldete zweistellige Zahl von verhängten Strafen doch recht übersichtlich. Verstöße sind und werden geschehen, egal ob absichtlich oder durch nichtabsichtliche Fehler oder Unachtsamkeiten oder durch ungenügende Informiertheit. Der Artikel sieht zumindest nach einer Situation in halber Höhe aus.
Wobei ein geschilderter Fall mir doch die Frage aufdrängt: Müssen Userdaten verschlüsselt abgelegt werden?
Nein. Sie dürfen aber niemandem lesbar in die Hände fallen. Dafür ist (ausreichende) Verschlüsselung ein gutes Mittel.
Wenn du anders die Sicherheit der dir vertrauensvoll bereit gestellten Daten gewährleisten kannst, ist das bestimmt auch zulässig. Du darfst die Daten halt nicht „verlieren“.
Marc
Ceterum censeo Google esse delendam