... ich versuch es mal:
- DSGVO bezieht sich auf Personen bezogene Daten, damit sind erst mal alle Schlüsselfelder und ähnliches draußen. Verschlüsselt werden müssen Feldinhalte und nur ein Subset der Felder.
- IBM bietet Systemsoftware zur Verschlüsselung von Daten als Lizenzprodukt an und ich gehe mal davon aus, dass diese - trotz NSA (und Inlandsgeheimdienst) Backdoor - zugelassen ist.
- es gibt sowohl aus RPG & Co. aufrufbare APIs, als auch SQL Funktionen zum ver- und entschlüsseln.
- zum entschlüsseln muss man den verwendeten Key und Algorithmus kennen (siehe exemplarisch: https://www.ibm.com/support/knowledg...s/qc3decdt.htm) - analog zum verschlüsseln.
- für neue Applikationen braucht dann das Programm entsprechende Funktionalität, um den key zu ermitteln, zu verschlüsseln vor dem speichern, bzw. zum entschlüsseln nach dem lesen.
- die Schlüssel müssen natürlich entsprechend gesichert gehandhabt werden (nicht trivial, kann man aber jetzt mal gedanklich ausblenden)
- zur Minimierung von Aufwand kann man Feldweise an die Datei ein Exitprogramm hängen, das die crypto Funktionen macht.
- dieses Programm muss an die Schlüssel Informationen dran kommen, das könnte durch auslesen aus einem entsprechend secured Bereich erfolgen, oder das Programm könnte aus dem verarbeitenden Job per call Schnittstelle entsprechend initialisiert werden.
- Greift jemand diese verschlüsselten Daten ab, sieht er nur die verhexelten Feldinhalte, auf der AS selber könnte das Exit Programm diese noch gegen eine Maske (lauter xxx) austauschen.
- verstärken kann man solche Mechanismen noch dadurch, dass der Benutzer ein Password mitgeben muss, damit die Programme überhaupt an den wiederum verschlüsselten Key drankommen.
- Noch eine Runde drauf kriegt man dadurch, dass noch eine zusätzliche Hardware Komponente mit eingebaut wird, ich nenne diese Dinger immer RSA Tamagochi.

D*B

PS: @Baldur: Verschlüsselung/Entschlüsselung geht zumindest seit V5R4 (ich meine eher älter) Das Exit Gedöns (also ohne durchgehende Änderung vorhandener Programme) seit V7R1. Stand der Technik ist also: geht und muss, wenn man keine Risiken gehen will.