Digital
Analyse

Schweizer Daten in der China-Cloud? Die Fakten zum Alibaba-Deal

Diese Grafik stammt aus dem Sicherheitsbericht «Top Threats to 					Cloud Computing», den der Branchenverband der Cloud-Anbieter veröffentlicht hat (siehe Quellen).
Diese Grafik stammt aus dem Sicherheitsbericht «Top Threats to Cloud Computing», den der Branchenverband der Cloud-Anbieter veröffentlicht hat (siehe Quellen). screenshot: cloudsecurityalliance.org
Analyse

Wie der Bund bei seinen Cloud-Plänen auf China setzte und den Datenschutz vernachlässigte

Bis zu 110 Millionen Franken will der Bund in den nächsten Jahren für Public-Cloud-Dienste ausgeben und dabei auch auf einen chinesischen Konzern setzen. Hier erfährst du, was dahinter steckt.
04.07.2021, 10:5905.07.2021, 16:18
Mehr «Digital»
«Der Einstieg der Bundesverwaltung in die Cloud muss datenschutzkonform erfolgen.»
Adrian Lobsiger,
Eidgenössischer Datenschutzbeauftragter

Ausgerechnet dem chinesischen Alibaba-Konzern verhelfe die Schweizer Bundesverwaltung zu einem «Prestigeauftrag». Mit dieser Schlagzeile löste der «Tages-Anzeiger» kürzlich heftige Reaktionen aus in den Kommentarspalten.

Leider stiftete die folgende Berichterstattung mehr Verwirrung, als die komplexe Ausgangslage zu erklären.

Werden schon bald «sensible» Daten der Eidgenossenschaft in chinesischen Rechenzentren gespeichert? Nein.

Haben die Verantwortlichen in der Bundeskanzlei ungeschickt kommuniziert? Ja.

Wird Datenschutzbedenken oberste Priorität eingeräumt bei der Umsetzung der im Dezember kommunizierten Cloud-Strategie des Bundes? Es sieht vorerst nicht danach aus.

Im Folgenden gehen wir den wichtigsten Fragen aus Bürgersicht und den (bislang) verfügbaren Antworten aus Bundesbern auf den Grund. Eines ist sicher: An der sogenannten «Public Cloud» führt privat und staatlich kein Weg vorbei.

«Public Cloud: Die Eidgenossenschaft holt Chinesen ins Land.»
Titel von inside-channels.ch, dem Online-Medium, das zuerst über die umstrittene Auftragsvergabe berichtete

Was ist mit «Public Cloud» gemeint?

Cloud = Daten im Rechenzentrum. Das heisst, die Daten werden nicht lokal auf Computern, bzw. Festplatten gespeichert und bereitgestellt, sondern übers Internet auf Server übertragen. Und dort findet auch die Datenverarbeitung statt.

Mit Public Cloud sind die Server von privaten Unternehmen wie Amazon, Microsoft oder Alibaba gemeint. Das sind auch die drei weltweit grössten Public-Cloud-Anbieter, die rund um den Globus Rechenzentren betreiben.

Die grünen Punkte zeigen, wo Alibaba Cloud-Rechenzentren in Nordamerika, Europa, Asien und Australien betreibt. Orange steht für Zentren in China.
Die grünen Punkte zeigen, wo Alibaba Cloud-Rechenzentren in Nordamerika, Europa, Asien und Australien betreibt. Orange steht für Zentren in China.screenshot: alibabacloud.com

Die Bundesverwaltung will in Zukunft auf Public-Cloud-Anbieter setzen, um Daten auszulagern und dabei Geld zu sparen. Denn wenn man dafür keine eigenen Rechenzentren betreiben muss, sondern je nach Bedarf Server (und Online-Speicherplatz) mieten kann, senkt das die Kosten.

Um die Grundlagen zu schaffen, hat der Bundesrat an seiner Sitzung vom 11. Dezember 2020 die Cloud-Strategie des Bundes verabschiedet. Der 17-seitige Bericht dazu kann als PDF-Dokument frei eingesehen werden (siehe Quellen).

Was hält der Datenschützer von den Cloud-Plänen des Bundes?

Der Einstieg der Bundesverwaltung in die Cloud müsse datenschutzkonform erfolgen, betont der oberste Schweizer Datenschützer Adrian Lobsiger in einer aktuellen Stellungnahme gegenüber watson. Das Büro des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) habe zu dem vom Bund veröffentlichten Cloud-Strategiepapier Stellung genommen und «die wichtigsten Anliegen aus Sicht des Datenschutzes erfolgreich einbringen können».

In dem am 29. Juni veröffentlichten Tätigkeitsbericht des EDÖB heisst es mit Blick auf die Public-Cloud-Pläne des Bundes:

«Es zeigt sich, dass datenschutzrechtliche Überlegungen bereits in einer sehr frühen Phase von Projekten mit Personendaten-Bearbeitungen einzubeziehen sind.»

Dies wirft natürlich die Frage auf, warum der Datenschutz bei der Auftragsvergabe an vier amerikanische und einen chinesischen Konzern nicht stärker berücksichtigt wurde ...

Was kritisiert der Schweizer Datenschützer beim Cloud-Auftrag?

Offenbar war die Bundesverwaltung bei der Ausschreibung des 110-Millionen-Franken-Auftrages zur Public Cloud nicht bereit, alle Empfehlungen des obersten Schweizer Datenschützers (EDÖB) zu berücksichtigen.

Dazu schreibt Adrian Lobsiger:

«Aufgrund der Tragweite dieses Projekts empfahl der EDÖB der Bundesverwaltung, bereits in den Offerten in einem separaten Kapitel ‹Privacy› spezifische Datenschutz-Zertifizierungen von den Anbietern einzufordern. Die Verwaltung hat die von uns empfohlenen konkreten Ergänzungen nur teilweise übernommen.»

Welche Ergänzungen unter den Tisch fielen, wolle der Datenschützer nicht ausführen, schreibt der «Tages-Anzeiger» in einem am Donnerstag veröffentlichten Artikel.

«Mit anderen Worten: Die Risiken der Cloud-Strategie des Bundes werden erst später angeschaut – Gleiches gilt für die Schutzmassnahmen, die ergriffen werden müssen.»
quelle: tages-anzeiger.ch

Die Bundesverwaltung habe dies damit begründet, dass «die Gewährleistung des Datenschutzes eine geteilte Verantwortung zwischen Cloud-Nutzer und Cloud-Anbieter sei», teilt der Datenschützer mit.

Ihm bleibt wohl vorläufig nichts Anderes übrig, als abzuwarten. Selbstverständlich werde man «die Anliegen des Datenschutzes im Rahmen der von der Verwaltung angekündigten, bundesweiten Festlegung der Datenschutzkriterien weiterhin konsequent vertreten», versichert er.

Darf der Bund Daten in chinesischen Rechenzentren speichern?

Das ist fraglich.

Das Büro des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), stuft die Volksrepublik China bezüglich Datenschutz-Standards als «ungenügend» ein.

China "Datenschutz ungenügend" laut EDÖDB
Screenshot: edoeb.admin.ch

Die Volksrepublik China weist also gemäss der vom EDÖB veröffentlichten Staatenliste ungenügende Datenschutz-Standards auf. Warum wurde dies bei der Auftragsvergabe nicht berücksichtigt? Dazu teilt die Bundeskanzlei mit:

«Bis zum Ablauf der Beschwerdefrist handelt es sich um ein laufendes Verfahren, weshalb wir nur die Ausgangslage erläutern können.»
Serge Kuhn, Mediensprecher

Die Bundesverwaltung sei (gesetzlich) verpflichtet, Daten zu schützen und Geheimnishaltungspflichten zu gewährleisten. Die Entscheidungskompetenz, welche Anwendungen und Daten in welchen Rechenzentren gespeichert werden, liege bei den Departementen und der Bundeskanzlei.

Speichert der Bund «sensible» Daten in China?

Nein. Davon ist nicht auszugehen.

Die Bundeskanzlei teilt watson mit:

«Bei der Haltung von Anwendungen und Daten auf einer Public Cloud ist die Prüfung der Rechtskonformität sowie einer Risikobeurteilung im Vorfeld zwingend sicherzustellen, auch bezogen auf den Public-Cloud-Anbieter.»
Serge Kuhn, Mediensprecher

Und in der Cloud-Strategie des Bundes steht, dass «in einem ersten Schritt» nur Daten in Public Clouds landen sollen, die nicht als «vertraulich» oder «geheim» klassifiziert sind.

Die «Süddeutsche Zeitung» zitiert Jens Klessmann, Leiter des Bereichs Digital Public Services am Fraunhofer-Institut für Offene Kommunikationssysteme, mit den Worten:

«Man kann beispielsweise Daten an Alibaba weitergeben, die ohnehin öffentlich sind. Und sensiblere Informationen können ja vorab verschlüsselt werden.»
quelle: sueddeutsche.de

Die NZZ schreibt, basierend auf den ersten Erfahrungen sollten in Zukunft auch höher klassifizierte Informationen sowie «besonders schützenswerte Personendaten» auf Public Clouds gehalten werden. Vorher müssten jedoch der eidgenössische Datenschutzbeauftragte und weitere Instanzen grünes Licht geben. Und für Anwendungen und Daten «mit hohem Schutzbedarf» betreibe der Bund weiterhin eigene Rechenzentren in der Schweiz.

Serge Kuhn, Sprecher der Bundeskanzlei, bestätigt:

«Es bestehen auch künftig Anwendungen und Daten mit hohem Schutzbedarf, welche auf bundesintern betriebenen Infrastrukturen/Plattformen in den Rechenzentren der Bundesverwaltung betrieben, respektive bearbeitet werden müssen.»

Welche Daten will der Bund bei Alibaba speichern?

Das ist noch völlig offen.

Der Schweizer IT-Unternehmer Hannes Gassert, der sich mit dem Verein CH++ für eine sinnvolle Digitalisierung einsetzt, relativierte in einem lesenswerten Twitter-Thread.

Er vermute, dass die Beschaffungs-Spezialisten beim Bund das chinesische Billig-Angebot reingenommen haben, um «bei den andern die Preise etwas zu drücken». Und es sei wohl auch darum gegangen, nicht eine 100-prozentige Abhängigkeit von den USA, bzw. von US-Konzernen, zu schaffen. Strategische Handlungsoptionen zu haben sei wichtig.

Gekauft oder gar ausgelagert sei noch rein gar nichts. Mit der öffentlichen Ausschreibung (nach Standards der Welthandelsorganisation WTO) werde allein die Grundlage geschaffen, später «Pay as you go» einzukaufen – also nur für die Online-Dienstleistungen zu bezahlen, die man wirklich brauche.

Der IT-Fachmann:

«Es wäre nicht die erste solche Ausschreibung, die zu praktisch keinem konkreten Geschäft führt.»

Die Bundeskanzlei bestätigt nur: Mit der Beschaffung werde es künftig möglich sein, dass Bundesämter «Dienste aus Public Clouds» beziehen. Ob und wie dies geschehe, hänge vom jeweiligen Vorhaben ab. Das heisse, mit der Beschaffung sei noch nicht entschieden, ob und wie die Einheiten der Bundesverwaltung die Public-Cloud-Dienste nutzen.

«Falls Dienste bezogen werden, geschieht dies nach der Auswahl des geeigneten Zuschlagsempfängers, basierend jeweils auch auf einer spezifischen Risikobeurteilung.»
Serge Kuhn, Mediensprecher

Warum kam kein Schweizer Anbieter zum Zug?

Der Bund habe die Vergabekriterien so formuliert, dass Schweizer Cloud-Dienstleister de facto keine Chance hatten, hält die «Neue Zürcher Zeitung» fest: «In der Ausschreibung wurde verlangt, dass Anbieter auf mindestens drei Kontinenten über Rechenzentren verfügen und ihre Dienste einer internationalen Kundschaft zur Verfügung stellen.»

Lief abgesehen vom Datenschutz alles gut bei der Ausschreibung?

Nein.

Der Schweizer IT-Unternehmer Gassert:

«Am Ende erstaunt vor allem, dass keinerlei Anforderungen an Energieeffizienz oder CO2-Ausstoss gestellt wurden. Keine! Dabei wäre da so viel möglich beim Stromverbrauch der Rechner und Kühlung der Anlagen.»
Hannes Gassert

Wenn die Schweiz künftig solche Beträge ausgebe, dann digital und ökologisch nachhaltig und souverän.

Dazu gehört aus seiner Sicht nicht nur der Klimaschutz, sondern auch eine vollumfängliche Transparenz.

Was hat das mit der «Swiss Cloud» zu tun?

Der Bundesrat hat Mitte 2020 eine Machbarkeitsstudie zum Aufbau einer eigenen (nationalen) Cloud- und Dateninfrastruktur in Auftrag gegeben. Diese noch zu definierende Infrastruktur werde unter dem Begriff «Swiss Cloud» zusammengefasst, steht in der Cloud-Strategie des Bundes.

Das erklärte Ziel einer «Swiss Cloud» sei «die Verbesserung der Datensouveränität und die Verminderung der Abhängigkeiten von internationalen Public Cloud-Anbietern». Die Ausgestaltung der Swiss Cloud sei noch offen.

Was lernen wir daraus?

Die Bundesverwaltung hat sich die negativen Reaktionen auf die vermutlich korrekte Auftragsvergabe an die US-Konzerne Amazon, Microsoft, IBM und Oracle sowie den chinesischen Konkurrenten Alibaba selbst zuzuschreiben.

Datenschutzbedenken wurde im Ausschreibungsprozess zu wenig Gewicht beigemessen, oder es wurde zumindest ungenügend kommuniziert. Das ist ein Fehler mit potenziell gravierenden Folgen. Der Cloud-Strategie des Bundes droht ein beträchtlicher Image-Schaden. Und damit verbunden ein Vertrauensverlust bei den Bürgerinnen und Bürger.

Der eidgenössische Datenschützer schreibt in seinem am Dienstag veröffentlichten Tätigkeitsbericht, gerade die Nutzung von öffentlichen Cloud-Diensten habe zur Folge, dass eine grössere Abhängigkeit von den meist weltweit tätigen Anbietern entstehe. Dies betreffe «sowohl die technologische Abhängigkeit als auch die Verfügbarkeit von Daten und Anwendungen». Dabei stelle sich zwangsläufig die Frage, wie die Souveränität über die eigenen Daten und der Schutz vor unerwünschtem Datenabfluss sicherzustellen sei.

Fragen, die eigentlich keinen Aufschub dulden.

Quellen

China und Public Cloud – damit schlägt sich auch Apple herum ...

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
China: 9 Grossprojekte der neuen Seidenstrasse
1 / 18
China: 9 Grossprojekte der neuen Seidenstrasse
China finanziert im Rahmen der Initiative «Neue Seidenstrasse» (Belt and Road) Grossprojekte im Transportbereich in Asien, Europa, Afrika und bald wohl auch Lateinamerika. Eine offizielle Liste aller Projekte gibt es nicht, es sind aber vor allem Häfen, Bahn- und Strassenverbindungen sowie Pipelines, die von China Geld bekommen – und dann von chinesischen Firmen gebaut werden.
quelle: epa/epa / aleksander plavevski
Auf Facebook teilenAuf X teilen
Mit Big Brother gegen das Coronavirus
Video: srf
Das könnte dich auch noch interessieren:
Hast du technische Probleme?
Wir sind nur eine E-Mail entfernt. Schreib uns dein Problem einfach auf support@watson.ch und wir melden uns schnellstmöglich bei dir.
79 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Tabeah
04.07.2021 11:29registriert September 2019
Warum bitte ist es eine Voraussetzung, dass "Anbieter auf mindestens drei Kontinenten über Rechenzentren verfügen und ihre Dienste einer internationalen Kundschaft zur Verfügung stellen"? Das ist eine willkürliche, viel zu hohe Anforderung, die das (vermutliche) Ziel "genügend grosse Firma, damit sie nicht morgen gleich Konkurs gehen" nicht trifft! Bei einer solchen Ausschreibung ist vorher zu prüfen, ob Schweizer Firmen, die ansonsten die Anforderungen erfüllen würden, damit ausgeschlossen werden! Dilettantisch. Dämlich. Die haben keine Ahnung von Ausschreibungen. Und das bei so was wichtigem
14915
Melden
Zum Kommentar
avatar
Raphael Stein
04.07.2021 14:17registriert Dezember 2015
Wir geben Milliarden aus um unsere "Unabhänigkeit" in der Luft zu retten, dann dies.
Steht einer auf dem Schlauch ist fertig Datentransfer. Aber offenbar ist es nicht möglich diese Daten im Land zu bewirtschaften. Schon eigenartig, zumindest für einen nicht IT'ler wie mich.
401
Melden
Zum Kommentar
avatar
elektron
04.07.2021 13:56registriert April 2018
Die Schweiz wäre ja prädestiniert, selber international Cloudlösungen anzubieten. Erzähle mir bitte niemand, dass das besonders schwierig ist. Aber unsere weltberühmten 2WK-Bunker sind schon längst billigst an Private verscherbelt worden und unsere Bundes-ITs sind ja nicht mal in der Lage, ein Impfungsregister sicher zu verwalten.
380
Melden
Zum Kommentar
79
Klatsche für Facebook und andere Datenkraken – EU-Gerichtshof schränkt Datennutzung ein
Der bekannte Datenschutz-Aktivist Max Schrems hat erneut einen juristischen Sieg erlangt gegen den Meta-Konzern.

Der Europäische Gerichtshof hat die Verwendung von persönlichen Daten durch Unternehmen wie den Social-Media-Konzern Meta eingeschränkt.

Zur Story