Nicht nur in Deutschland sind öffentliche Aufträge an Bedingungen geknüpft, die die Unternehmen und Dienstleister zwingend erfüllen müssen. Brian M. Boynton, ein hochrangiger Beamter der US-Staatsanwaltschaft sagt dazu: „Aus Bundesmitteln finanzierte Aufträge kommen oft mit Auflagen für IT-Sicherheit, und Auftragnehmer müssen diese Verpflichtungen einhalten“.
In diesem Fall wurde 2021 ein Programm vom US Parlament beschlossen, um bedürftige Mieter während der Corona-Krise zu unterstützen (emergency rental assistance program). Die Anträge dafür wurden bei den Behörden des jeweiligen Bundesstaates gestellt.
New York vergab an das Unternehmen Guidehouse Inc. aus dem US-Bundesstaat Virginia den Auftrag zur Programmierung der zugehörigen Webseite und Datenbank für die Antragsteller. Das Unternehmen indes beauftragte Nan McKay and Associates als Subunternehmer mit der Umsetzung.
Am 21. Juni 2021 ging das System online und nur wenige Stunden später standen personenbezogene Daten von Antragstellern frei lesbar im Internet. Die Bundesbehörde musste die Domain gleich wieder offline stellen.
Ein ehemaliger Mitarbeiter hat als Einzelbürger vor Gericht gegen die beiden Unternehmen geklagt. Laut US-Bundesgesetz False Claims Act of 1863 ist das möglich und es steht geschrieben: „Wer bemerkt, dass jemand die öffentliche Hand betrügt, kann selbst stellvertretend für den Staat vor Gericht ziehen“. Hat der Kläger Erfolg für den Staat, erhält er einen Anteil am Erlös.
Millionenstrafe für IT-Unternehmen
Im Verfahren haben beide Unternehmen zugegeben, vor der Freischaltung keine Sicherheitsüberprüfungen durchgeführt zu haben. Dies ist zwingend vorgeschrieben. Guidehouse als Auftragnehmer hatte zusätzlich die Cloud-Services eines dritten Unternehmens genutzt, ohne die Zustimmung der Bundesbehörde einzuholen. Auch dies war im Vertrag festgeschrieben.
Gegen Einstellung des Verfahrens am US Bundesbezirksgericht Nord-New York hat Guidehouse hat 7,6 Millionen Dollar gezahlt, Nan McKay weitere 3,7 Millionen Dollar. Der Mitarbeiter, der den Stein ins Rollen gebracht hat, erhält eine Belohnung von 1,95 Millionen USD vom Bundesstaat New York.
Im Jahr 2023 wurden nach dem False Claim Act mehr als 500 Urteile und Vergleiche verfügt, die der US Regierung eine Summe von 2,68 Milliarden USD gebracht haben. Die Belohnung für Einzelbürger betrug insgesamt 348 Millionen USD. Die meisten Verfahren fanden im Bereich des Gesundheitswesens statt.