Ausgerechnet dem chinesischen Alibaba-Konzern verhelfe die Schweizer Bundesverwaltung zu einem «Prestigeauftrag». Mit dieser Schlagzeile löste der «Tages-Anzeiger» kürzlich heftige Reaktionen aus in den Kommentarspalten.
Leider stiftete die folgende Berichterstattung mehr Verwirrung, als die komplexe Ausgangslage zu erklären.
Werden schon bald «sensible» Daten der Eidgenossenschaft in chinesischen Rechenzentren gespeichert? Nein.
Haben die Verantwortlichen in der Bundeskanzlei ungeschickt kommuniziert? Ja.
Wird Datenschutzbedenken oberste Priorität eingeräumt bei der Umsetzung der im Dezember kommunizierten Cloud-Strategie des Bundes? Es sieht vorerst nicht danach aus.
Im Folgenden gehen wir den wichtigsten Fragen aus Bürgersicht und den (bislang) verfügbaren Antworten aus Bundesbern auf den Grund. Eines ist sicher: An der sogenannten «Public Cloud» führt privat und staatlich kein Weg vorbei.
Cloud = Daten im Rechenzentrum. Das heisst, die Daten werden nicht lokal auf Computern, bzw. Festplatten gespeichert und bereitgestellt, sondern übers Internet auf Server übertragen. Und dort findet auch die Datenverarbeitung statt.
Mit Public Cloud sind die Server von privaten Unternehmen wie Amazon, Microsoft oder Alibaba gemeint. Das sind auch die drei weltweit grössten Public-Cloud-Anbieter, die rund um den Globus Rechenzentren betreiben.
Die Bundesverwaltung will in Zukunft auf Public-Cloud-Anbieter setzen, um Daten auszulagern und dabei Geld zu sparen. Denn wenn man dafür keine eigenen Rechenzentren betreiben muss, sondern je nach Bedarf Server (und Online-Speicherplatz) mieten kann, senkt das die Kosten.
Um die Grundlagen zu schaffen, hat der Bundesrat an seiner Sitzung vom 11. Dezember 2020 die Cloud-Strategie des Bundes verabschiedet. Der 17-seitige Bericht dazu kann als PDF-Dokument frei eingesehen werden (siehe Quellen).
Der Einstieg der Bundesverwaltung in die Cloud müsse datenschutzkonform erfolgen, betont der oberste Schweizer Datenschützer Adrian Lobsiger in einer aktuellen Stellungnahme gegenüber watson. Das Büro des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) habe zu dem vom Bund veröffentlichten Cloud-Strategiepapier Stellung genommen und «die wichtigsten Anliegen aus Sicht des Datenschutzes erfolgreich einbringen können».
In dem am 29. Juni veröffentlichten Tätigkeitsbericht des EDÖB heisst es mit Blick auf die Public-Cloud-Pläne des Bundes:
Dies wirft natürlich die Frage auf, warum der Datenschutz bei der Auftragsvergabe an vier amerikanische und einen chinesischen Konzern nicht stärker berücksichtigt wurde ...
Offenbar war die Bundesverwaltung bei der Ausschreibung des 110-Millionen-Franken-Auftrages zur Public Cloud nicht bereit, alle Empfehlungen des obersten Schweizer Datenschützers (EDÖB) zu berücksichtigen.
Dazu schreibt Adrian Lobsiger:
Welche Ergänzungen unter den Tisch fielen, wolle der Datenschützer nicht ausführen, schreibt der «Tages-Anzeiger» in einem am Donnerstag veröffentlichten Artikel.
Die Bundesverwaltung habe dies damit begründet, dass «die Gewährleistung des Datenschutzes eine geteilte Verantwortung zwischen Cloud-Nutzer und Cloud-Anbieter sei», teilt der Datenschützer mit.
Ihm bleibt wohl vorläufig nichts Anderes übrig, als abzuwarten. Selbstverständlich werde man «die Anliegen des Datenschutzes im Rahmen der von der Verwaltung angekündigten, bundesweiten Festlegung der Datenschutzkriterien weiterhin konsequent vertreten», versichert er.
Das ist fraglich.
Das Büro des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), stuft die Volksrepublik China bezüglich Datenschutz-Standards als «ungenügend» ein.
Die Volksrepublik China weist also gemäss der vom EDÖB veröffentlichten Staatenliste ungenügende Datenschutz-Standards auf. Warum wurde dies bei der Auftragsvergabe nicht berücksichtigt? Dazu teilt die Bundeskanzlei mit:
Die Bundesverwaltung sei (gesetzlich) verpflichtet, Daten zu schützen und Geheimnishaltungspflichten zu gewährleisten. Die Entscheidungskompetenz, welche Anwendungen und Daten in welchen Rechenzentren gespeichert werden, liege bei den Departementen und der Bundeskanzlei.
Nein. Davon ist nicht auszugehen.
Die Bundeskanzlei teilt watson mit:
Und in der Cloud-Strategie des Bundes steht, dass «in einem ersten Schritt» nur Daten in Public Clouds landen sollen, die nicht als «vertraulich» oder «geheim» klassifiziert sind.
Die «Süddeutsche Zeitung» zitiert Jens Klessmann, Leiter des Bereichs Digital Public Services am Fraunhofer-Institut für Offene Kommunikationssysteme, mit den Worten:
Die NZZ schreibt, basierend auf den ersten Erfahrungen sollten in Zukunft auch höher klassifizierte Informationen sowie «besonders schützenswerte Personendaten» auf Public Clouds gehalten werden. Vorher müssten jedoch der eidgenössische Datenschutzbeauftragte und weitere Instanzen grünes Licht geben. Und für Anwendungen und Daten «mit hohem Schutzbedarf» betreibe der Bund weiterhin eigene Rechenzentren in der Schweiz.
Serge Kuhn, Sprecher der Bundeskanzlei, bestätigt:
Das ist noch völlig offen.
Der Schweizer IT-Unternehmer Hannes Gassert, der sich mit dem Verein CH++ für eine sinnvolle Digitalisierung einsetzt, relativierte in einem lesenswerten Twitter-Thread.
Er vermute, dass die Beschaffungs-Spezialisten beim Bund das chinesische Billig-Angebot reingenommen haben, um «bei den andern die Preise etwas zu drücken». Und es sei wohl auch darum gegangen, nicht eine 100-prozentige Abhängigkeit von den USA, bzw. von US-Konzernen, zu schaffen. Strategische Handlungsoptionen zu haben sei wichtig.
Gekauft oder gar ausgelagert sei noch rein gar nichts. Mit der öffentlichen Ausschreibung (nach Standards der Welthandelsorganisation WTO) werde allein die Grundlage geschaffen, später «Pay as you go» einzukaufen – also nur für die Online-Dienstleistungen zu bezahlen, die man wirklich brauche.
Der IT-Fachmann:
Die Bundeskanzlei bestätigt nur: Mit der Beschaffung werde es künftig möglich sein, dass Bundesämter «Dienste aus Public Clouds» beziehen. Ob und wie dies geschehe, hänge vom jeweiligen Vorhaben ab. Das heisse, mit der Beschaffung sei noch nicht entschieden, ob und wie die Einheiten der Bundesverwaltung die Public-Cloud-Dienste nutzen.
Der Bund habe die Vergabekriterien so formuliert, dass Schweizer Cloud-Dienstleister de facto keine Chance hatten, hält die «Neue Zürcher Zeitung» fest: «In der Ausschreibung wurde verlangt, dass Anbieter auf mindestens drei Kontinenten über Rechenzentren verfügen und ihre Dienste einer internationalen Kundschaft zur Verfügung stellen.»
Nein.
Der Schweizer IT-Unternehmer Gassert:
Wenn die Schweiz künftig solche Beträge ausgebe, dann digital und ökologisch nachhaltig und souverän.
Dazu gehört aus seiner Sicht nicht nur der Klimaschutz, sondern auch eine vollumfängliche Transparenz.
Der Bundesrat hat Mitte 2020 eine Machbarkeitsstudie zum Aufbau einer eigenen (nationalen) Cloud- und Dateninfrastruktur in Auftrag gegeben. Diese noch zu definierende Infrastruktur werde unter dem Begriff «Swiss Cloud» zusammengefasst, steht in der Cloud-Strategie des Bundes.
Das erklärte Ziel einer «Swiss Cloud» sei «die Verbesserung der Datensouveränität und die Verminderung der Abhängigkeiten von internationalen Public Cloud-Anbietern». Die Ausgestaltung der Swiss Cloud sei noch offen.
Die Bundesverwaltung hat sich die negativen Reaktionen auf die vermutlich korrekte Auftragsvergabe an die US-Konzerne Amazon, Microsoft, IBM und Oracle sowie den chinesischen Konkurrenten Alibaba selbst zuzuschreiben.
Datenschutzbedenken wurde im Ausschreibungsprozess zu wenig Gewicht beigemessen, oder es wurde zumindest ungenügend kommuniziert. Das ist ein Fehler mit potenziell gravierenden Folgen. Der Cloud-Strategie des Bundes droht ein beträchtlicher Image-Schaden. Und damit verbunden ein Vertrauensverlust bei den Bürgerinnen und Bürger.
Der eidgenössische Datenschützer schreibt in seinem am Dienstag veröffentlichten Tätigkeitsbericht, gerade die Nutzung von öffentlichen Cloud-Diensten habe zur Folge, dass eine grössere Abhängigkeit von den meist weltweit tätigen Anbietern entstehe. Dies betreffe «sowohl die technologische Abhängigkeit als auch die Verfügbarkeit von Daten und Anwendungen». Dabei stelle sich zwangsläufig die Frage, wie die Souveränität über die eigenen Daten und der Schutz vor unerwünschtem Datenabfluss sicherzustellen sei.
Fragen, die eigentlich keinen Aufschub dulden.
Steht einer auf dem Schlauch ist fertig Datentransfer. Aber offenbar ist es nicht möglich diese Daten im Land zu bewirtschaften. Schon eigenartig, zumindest für einen nicht IT'ler wie mich.