Nachtrag:
Ich gehe davon aus, dass wir hier von einem professionellen/gewerblichen Umfeld reden.
Das heißt im Endeffekt greift hier auch die DSGVO und alles rundherum, das heißt musst du alle relevanten Daten angemessen schützen und sicherstellen, dass du auch nur das speicherst, was notwendig und erlaubt ist und bei einer Übermittlung von Daten an andere Stellen auch entsprechend abgesichert bist. Deswegen kann man deine Frage
a) in der allumfassenden Form nicht eindeutig mit Ja oder Nein beantworten. Es gibt nirgendwo niedergeschrieben, dass du sowas verschlüsseln musst. Aber genauso wirst du nirgendwo niedergeschrieben finden, dass man es nicht muss.
b) Kann dir für konkrete Fälle nur ein auf dieses Thema spezialisierte Rechtsanwalt eine (einigermaßen) verbindliche Antwort geben.
Und selbst wenn du es vielleicht nicht musst - wenn es dazu kommt, dass durch ein Leck Daten abhanden kommen und damit Schaden entsteht, kann es sein, dass das im Nachhinein entschieden wird, dass deine Maßnahmen unzureichend waren und du entsprechend Bußgeld zahlen musst bzw. haften musst. Und an der Stelle würde ich mir generell (wie gesagt, ich gehe von gewerblichen Umfeld aus) lieber eine professionelle Meinung einholen und lieber auf Nummer sicher gehen. Ich würde an deiner Stelle bewerten:
* Angenommen ein Angreifer bekommt Zugang zur Datenbank, was kann er mit diesen Informationen anfangen
* Wie hoch ist Schaden?
* Wie kann ich verhindern den Schaden verhindern bzw. dafür sorgen das die Daten für den Angreifer nutzlos sind
* Wie hoch ist der Aufwand dafür
Und dann Kosten/Nutzen in ein Verhältnis setzen.
* API Token mit dem ich Wetterdaten abgreife? Wenn der Angreifer das erhält, hab ich vielleicht durch erhöhte Aufrufe der API höhere Kosten, aber dafür gibt es ein Monitoring der Kosten => Nichts tun
* API Token mit dem ich - ohne weitere Daten zu benötigen, die nicht in der DB liegen - Überweisungen vornehmen kann? Das würde ich veriegeln und verammeln bis zum geht nicht mehr.