Regierungsbehörden, Auftragnehmer und Unterauftragnehmer haben besondere Pflichten zum Schutz personenbezogener Daten.

In den letzten Jahrzehnten wurden aufgrund des technologischen Fortschritts immer mehr Informationen über Personen gesammelt, gespeichert und weitergegeben. Gleichzeitig sind die Bedenken über die Sammlung, Zusammenstellung und Verwendung persönlicher Daten von Bürgern und anderen Personen durch die US-Regierung gewachsen. Die Menschen sind nicht nur besorgt über den Umgang der Regierung mit diesen Informationen, sondern auch über die Zunahme von Datenhackern und die Möglichkeiten, gestohlene persönliche Informationen auszunutzen, was ebenfalls große Besorgnis hervorruft.

In Bezug auf diese persönlichen Daten hat die US-Regierung die Pflicht, ihren Bürgern im besten Fall zu dienen und sie im schlimmsten Fall nicht absichtlich oder unabsichtlich durch schlechte Informationssicherheitspraktiken zu schädigen. Das Gleiche gilt für die Auftragnehmer der Regierung, auf die sie sich bei der Weitergabe dieser Daten verlassen muss.

Die Verordnungen

Zum Schutz dieser persönlichen Daten wurden besondere Vorschriften erlassen. Der Privacy Act von 1974 legt die Pflichten der US-Regierung, ihrer Behörden und Auftragnehmer der Regierung hinsichtlich der ordnungsgemäßen Erfassung, Zusammenstellung und Verwendung personenbezogener Daten im Dienste der US-Bürger fest. Dieses Gesetz arbeitet mit Ergänzungen der Federal Acquisition Regulation (FAR) zusammen, die für Auftragnehmer und Unterauftragnehmer der US-Regierung gelten; es legt spezifische Bedingungen für diese Parteien fest, wenn sie im Rahmen eines Regierungsvertrags personenbezogene Daten sammeln, verarbeiten und weitergeben.

Persönliche Informationen und ihre Risiken

Gemäß den Vorschriften können sich personenbezogene Daten auf ein breites Spektrum von Daten beziehen; dazu gehören beispielsweise der Name, die E-Mail-Adresse, die Sozialversicherungsnummer, rassische Merkmale und finanzielle Informationen einer Person. Diese Informationen können vor allem auf zwei Arten missbraucht werden:

• Eine Regierungsbehörde kann sie möglicherweise dazu verwenden, einer Person ihre Rechte zu verweigern, z. B. das Recht auf freie Meinungsäußerung.
• Ein ruchloser Hacker kann die Identität einer Person stehlen, in der Regel, um sie um Geld zu betrügen

Sammlung und Verwendung

Aus diesen Gründen sollten personenbezogene Informationen einer Kontrolle unterliegen. Das sollten sie:

• Nur für den richtigen und spezifischen Zweck gesammelt werden
• nur so lange aufbewahrt werden, wie es für den Zweck der Sammlung erforderlich ist
• Sie dürfen nur an Personen weitergegeben werden, die entweder gesetzlich oder vertraglich dazu berechtigt sind.
• stets vor versehentlicher oder absichtlicher Offenlegung geschützt werden

Darüber hinaus sollte die Regierung nicht versuchen, personenbezogene Daten zu sammeln, die nicht für den Einzelnen bestimmt sind; mit anderen Worten, es sollten keine geheimen Datenbanken entwickelt werden, um Einzelpersonen zu verfolgen.

Diese Vorschriften regeln auch die Anforderungen an den Umgang mit personenbezogenen Daten, wenn die Technologie, die diese Informationen speichert, gefährdet ist oder die Gefahr besteht, dass die Daten versehentlich, absichtlich oder durch Diebstahl nach außen dringen.

Wie bereits erwähnt, unterliegen nicht nur Regierungsbehörden diesen Vorschriften, sondern auch die Auftragnehmer und Unterauftragnehmer, die für sie tätig sind, müssen sich an einen angemessenen Schutz personenbezogener Daten halten. Im Allgemeinen müssen Auftragnehmer und Unterauftragnehmer ein Programm zum Schutz personenbezogener Daten unterhalten, das u. a. eine Richtlinie und Verfahren für die angemessene Erhebung, Pflege, Offenlegung und Weitergabe von Daten umfasst.

Im Mittelpunkt dieses Programms steht die Sicherstellung, dass alle Mitarbeiter, die im Rahmen eines Regierungsvertrags mit personenbezogenen Daten arbeiten, die Regeln kennen, den richtigen Umgang damit verstehen und darüber informiert sind, was zu tun ist, wenn bestimmte Risiken für die Daten auftreten.

Diese Mitarbeiter müssen über diese Kompetenzen verfügen:

• Die Risiken für persönliche Daten aufgrund des technologischen Fortschritts
• Welche Daten müssen gemäß den Gesetzen und dem Regierungsvertrag geschützt werden?
• Wie man diese Daten ordnungsgemäß erfasst, verwendet und sichert
• Wann dürfen die Daten weitergegeben oder mit anderen geteilt werden?
• wann und was zu tun ist, wenn die Technologie, auf der diese Daten gespeichert sind, von einem Vorfall betroffen ist, der die Sicherheit gefährden könnte
• Wann man weiß und was zu tun ist, wenn die Daten durch versehentlichen oder unzulässigen Zugriff und Offenlegung gefährdet sein könnten

Die Strafen für staatliche Auftragnehmer bei unsachgemäßer Verwendung und Weitergabe dieser Daten können hoch sein, einschließlich der Aussetzung oder des Ausschlusses von staatlichen Aufträgen.

Bei den persönlichen Daten der Bürger handelt es sich nicht um Atomgeheimnisse, fortschrittliche Verschlüsselungen oder Raketentechnologie, die um jeden Preis bewahrt werden müssen. Dennoch handelt es sich um Daten, deren Schutz für die Personen, auf die sie sich beziehen, von großer Bedeutung ist. Und diejenigen, die mit diesen Daten arbeiten, müssen sich an hohe Standards halten, um sie zu schützen.

Syntrio has been providing harassment and other compliance training for over twenty years and is the industry leader. Our innovative approach focuses on ensuring that employers learn not just how to avoid liability but also a method of treating others inside and outside of work that will go a long way toward improving relationships and mitigating the stress of disrespect and bullying in the workplace. According to our research, doing so has a much greater impact than adhering to the states’ and municipalities’ training laws, which call for training on the bare minimum concepts. We look forward to speaking with a member of your organization soon to show you how we can benefit your culture, one employee at a time.