Man kann den Politikern alles moegliche vorwerfen, manchmal halt durch Unwissenheit auch zu Unrecht.
...sorry, mit Deinem selbstsicher vorgetragenen Halbwissen machst Du Deinem Nickname alle Ehre...
Ich kenne die DSGVO.
Die verlangt lediglich: "Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten."
Das stand in ähnlicher Weise schon lange Zeit im Bundesdatenschutzgesetz.
Eine verbindlicher Verweis zum aktuellen Stand der Technik fehlt.
Datenschutzbehörden verweisen dann gern aufs BSI, dort wiederum gerne auf dieses
Dokument. Bei dem freilich macht schon die Bezeichnung "Telemedien" deutlich, wie angestaubt das ist.
Zum von Dir zitierten "Grundschutz" verweist das BSI auf ein
Pamphlet eines externen Dienstleisters. Das enthält den sagenhaften Satz "Dazu bietet sich an, 'Salted Hashes' einzusetzen, da hier für jeden Datensatz ein individueller, zufällig erzeugter Salt gespeichert wird."
Ah, "es bietet sich an..."
Viel aufgeräumter zeigt sich der Gesetzgeber beispielsweise beim Telekommunikationsgesetz, besser: bei dessen Bestimmungen zur Telekommunikationsüberwachung. Dort wurde schon vor vielen Jahren verbindlich die BNetzA damit betraut, die (ständig aktualisierte) TR TKÜV, also die Technische Richtlinie zur Telekommunikationsüberwachung vorzuhalten. Und die regelt tatsächlich technische Vorgaben bis zu den vorzuhaltenden Schnittstellen bis ins letzte Komma.
EDIT: Dass viele Behörden auf der anderen Seite meiner Erfahrung nach gar nicht in der Lage sind, diese Schnittstellen ebenfalls zu bedienen, ist die andere Seite der Medaille, die nur das gleiche desaströse in der Digitalisierung zeigt.
Also versuche nicht, mir Geschichten vom Pferd zu erzählen, ich mach' das Thema schon einige Zeit. Der Gesetzgeber hätte sehr wohl eine nachgeordnete Behörde damit betrauen können, sich mit detailierten Vorgaben auf technischer Basis zu befassen und diese rechtsverbindlich zu machen.
Hat er aber nicht. Warum? Das ist natürlich meine subjektive Meinung: Weil das zu "neuländisch" ist...
Verbindliche Regeln hätten den Einsatz von MD5 und dem nicht viel bessseren SHA1 längst mit Übergangsfristen untersagen können.
Was passiert stattdessen? Ein willkürlich herausgegriffener Vorfall jüngster Zeit: Aptoide, immerhin einer Firma mit Rechtssitz in der EU, kamen vor einem knappen Jahr rund 20 Millionen Accountdaten abhanden, incl. ungesalzener SHA1-Hashes.
So, das ist aber jetzt wirklich zu offtopic. Wenn Du das unbedingt weiter diskutieren magst, mach' gerne ein Thema am Tresen auf. Hier führt das einfach viel zu weit weg vom Thema des armen Threaderstellers. Und ehrlich gesagt, gehe ich jetzt auch lieber in meine Werkstatt...