USA:Nevada setzt Verschlüsselung personenbezogener Daten in E-Mails durch.
Rubrik: NachrichtenMarcus Belke
USADer U.S. Staat Nevada setzt für die Übermittlung personenenbezogener Daten die Pflicht für Unternehmen zur Verschlüsselung personenbezogenen Daten in Kraft. Das Gesetz, dass bereits 2005 unterzeichnet wurde, tritt nun am 1. Oktober in Kraft:
NRS 597.970 Restrictions on transfer of personal information through electronic transmission. [Effective October 1, 2008.]
"1. A business in this State shall not transfer any personal information of a customer through an electronic transmission other than a facsimile to a person outside of the secure system of the business unless the business uses encryption to ensure the security of electronic transmission.
2. As used in this section: (a) “Encryption” has the meaning ascribed to it in NRS 205.4742. (b) “Personal information” has the meaning ascribed to it in NRS 603A.040. (Added to NRS by 2005, 2506, effective October 1, 2008)"
Frei übersetzt verlangt das Gesetz, dass Unternehmen soweit nicht Telefax eingesetzt wird, personenbezogene Daten eines Kunden elektronisch nicht an Systeme außerhalb des Unternehmens übermitteln dürfen, wenn diese nicht so verschlüsselt sind, dass der elektronische Transfer abgesichert ist. Das könnte einige Unternehmen unerwartet treffen, da sie auf eine solche Anforderung in keinster Weise vorbereitet sind. Damit soll der Datenschutz in der Kommunikation mit personenbezogenen Daten gefördert werden.
Eine wirksame Verschlüsselung kann auf so viele Arten umgesetzt werden, dass es auch massive Interoperabilitätsprobleme geben könnte, wenn das sendende Unternehmen einen anderes System einsetzt, als das empfangende.
Obwohl das Gesetz nun in Kraft tritt, ist fraglich, ob das Gesetz so schon durchsetzbar ist. Das Gesetz definiert nicht ausreichend, was Verschlüsselung im Sinne des Gesetzes bedeutet. Andererseits hat der Staat Nevada „Verschlüsselung“ grundsätzlich definiert. Was aber fehlt sind Angaben, welche Verschlüsselungstechnologie verlangt ist und wie haltbar die Verschlüsselung der Daten sein muss. Reicht hier ein einfaches Passwort für eine Textdatei oder bedarf es hier einer Verschlüsselung der gesamten Datei und oder der Kommunikation, ist nur eine der offenen Fragen.
Man kann wohl davon ausgehen, dass Nevada hier noch genauere Festlegungen treffen muss, wenn nicht in der Zwischenzeit ein Gericht auslegt, was eine Verschlüsselung im Sinne des Gesetzes ist und was nicht.
