Massachusetts verbietet unverschlüsselte Übertragung & Speicherung persönlicher Daten

Im US-Bundesstaat Massachusetts dürfen persönliche Informationen nur noch verschlüsselt übertragen werden, sofern die Übermittlung über öffentliche zugängliche Netzwerke (wie das Internet) oder drahtlos erfolgt. Andernfalls droht seit dem 1. März 2010 ein Bußgeld von bis zu 5000 Dollar pro ungesicherten Datensatz. Dies gilt auch für Laptops und -Mobiltelefone. Für die Speicherung von Personendaten müssen Unternehmen Datenschutzkonzepte erarbeitet werden, die technischen, administrativen und physischen Anfordungen Sorge tragen.

Das Massachusetts data security law, 201 CMR 17.00 (PDF) bezieht sich auf gespeicherte wie übertragene Daten von Bürgern des Staates und damit auch auf Websitenaufrufe oder etwa Datenbank-Verbindungen.

Warum gibt’s das bei uns nicht?
(via sqlmag & informationweek)

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

17 Ergänzungen

  1. Warum gibt’s das bei uns nicht?

    Berechtigte Frage. Die Antwort bleibt uns die Politik schuldig.

    1. Mhhh heißt das wenn ein Bürger aus Massachusetts bei mir Daten abspeichert und ich kein https anbiete mache Ich mich strafbar ? sehe ich das richtig, oder gilt dies nur für Firmen in Massachusetts ?

      Wenn ja ist hier deine Antwort warum wir das nicht haben, sonst haben wir lokales Internet für jeden sein Internet. Chinanet, Germannet, … wobei ich mir hier sogar Bavariannet und Berlinnet vorstellen kann.

      Individuelle Regeln bringen nix wenn Sie nicht international durchsetzungsfähig sind.

  2. Überschrift fand ich ein bisschen verwirrend und ich dachte schon, die Politik hätte da den SuperGAU angezettelt. Kein HTTP,FTP,… mehr

    Aber so finde ich das total super. Einziges Problem, das ich nach der Formulierung noch sehe, ist das die Daten auf den eigenen Handys auch geschützt sein müssen. Ich verschlüssele meinen Telefonspeicher nicht. Würde ich mich strafbar machen?

  3. @sebastian h: Der Brian Moran vom verlinkten sqlmag befürchtet eine solche Zuständigkeit auch für Daten von Bürgern aus MA, die in anderen Staaten anliegen. Vielleicht weiss jemand wie weit das Amerikanische Recht (im Vgl. zum deutschen) solche Konstrukte zulässt.

    @fishmb: Der Begriff der persönlichen Daten ist in dem Gesetz relativ kurz gefasst: Er schließt zum Vor- und Nachnamen noch mind. ein anderes Datum von lediglich Sozialversicherungsnummer, Bankverbindung, staatliche IDs, Führerschein-Nummer oder Passwort für Verwaltungs-Sachen ein.

    Mich wunderts, dass Telefon-Nummern und Anschriften nicht darunter fallen.

  4. > Warum gibt’s das bei uns nicht?
    Ich meine man darf professionell/geschäftlich/? keine persönlichen Daten unverschlüsselt per Mail schicken.

  5. Ist diese Formulierung richtig?

    „Im US-Bundesstaat Massachusetts dürfen persönliche Informationen nur noch verschlüsselt übertragen werden, sofern die Übermittlung über öffentliche zugängliche Netzwerke (wie das Internet) oder drahtlos erfolgt“

    Das würde dann bedeuten, dass persönliche Daten, die nicht über Internet oder drahtlos geschickt werden, nicht mehr verschlüsselt werden dürfen.

  6. @ _Flin_
    Ich denke das ist der Übersetzung geschuldet. Diese Zweideutigkeit wird im Original nicht da sein ;)

    Ansonsten finde ich das bedenklich. Datenschutz gut und schön, aber hier werden doch wieder nur die Guten gegängelt und die Bösen machen eh weiter wie bisher …

  7. lol ich hab erst gelesen:
    „Massachusetts verbietet verschlüsselte Übertragung & Speicherung persönlicher Daten“
    … mit unserem Politikergesocks wird man wohl langsam paranoid ;)

  8. Ein Problem sehe ich:

    Das Problem ist, dass nun auch zunehmend Datenschützer nach mehr Staat rufen. Klar, es geht um den Datenschutz. Natürlich. Aber es stimmt mich besorgt, wenn der Staat wieder mehr befugnisse haben möchte und neue Gesetze machen möchte, nur um den Datenschutz zu festigen. Klar finde ich Datenschutz toll. Aber lasst den Staat bitte nicht zu einem Regel-Durchzogenen Datenschutz-Pallast werden, wo jeder Angst haben muss, ob er gerade gegen den Datenschutz verstoßen hat. Okay, so schlimm wird es natürlich längst nicht werden! Ich finde es ja positiv, wenn sich jemand um den Datenschutz kümmert.

    Im Hinterkopf habe ich aber eben auch eine fiktive Situation: Trotz aller Sicherheitsvorkehrungen passiert mir irgendein Mist, und persönliche Daten werden unverschlüsselt übertragen. 10-20 Freunde finden das zwar nicht toll, aber verzeihen mir. Aber ein anderer User verweist auf das Gesetz und ich darf fette Strafe bezahlen.

    Leute passt auf, dass wir uns nicht selber ersticken. Sonst muss man zukünftig seinen Server hinter einem VPN verstecken. Naja, das würde wenigstens die Wirtschaft ankurbeln… Ne Spaß… Trotzdem: Ich möchte meinen Server nicht verstecken müssen. Freiheit statt Angst!

    1. Tja, man kann halt Moral, Ethik, Werte, gesunden Menschenverstand usw. nicht durch Gesetze ersetzen.

  9. Guckt doch mal in die Definition von Personal Information am Beginn des Gesetes rein, das ist extrem eingeschraenkt, und nur diese Personal Information ist geschuetzt:

    Seite 2: Personal information, a Massachusetts resident’s first name and last name or first initial and last name in combination with any one or more of the following data elements that relate to such resident: (a) Social Security number; (b) driver’s license number or state-issued identification card number; or (c) financial account number, or credit or debit card number, with or without any required security code, access code, personal identification number or password, that would permit access to a resident’s financial account; provided, however, that “Personal information” shall not include information that is lawfully obtained from publicly available information, or from federal, state or local government records lawfully made available to the general public.

    Das ist nicht schlecht, aber ich vermute doch, dass viele unter Personal Information doch mehr als nur eine Kombination aus dem Namen und der Social Security number; der Steuernummer, des Bankkontos oder der Kreditkartennummer verstehen….

    Vor allem ist die Ausnahme am Ende RIESIG: alle oeffentlich zugaenglichen Informationen sind nicht betroffen, und das sind in den USA viele, weil die Informationsfreiheitsgesetze sehr weit gehen.

    Ah, da beissen sich Transparenz und Datenschutz….

  10. Warum gibt es das bei uns nicht?

    Weil unsere Politiker nicht in der Lage sind einen Computer zu
    verstehen,
    geschweige denn zu
    bedienen und schon erst recht
    nicht den Unterschied zwischen „verschlüsselt“ und „unverschlüsselt“
    und alle daraus resultierenden Folgen kennen
    ….

    [Wie immer: Ausnahmen bestätigen die Regel]

  11. Sowas gibt es bei uns auch:

    Anlage (zu § 9 Satz 1 BDSG)

    Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. 2Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

    4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

    Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.