Datenschutzrisiken und Ausschreibungsfehler

Diese Patzer hat sich der Bund bei der Public-Cloud-Ausschreibung geleistet

Uhr
von René Jaun und slk

Im vergangenen Juni hat der Bund Aufträge für eine Public Cloud an fünf ausländische Tech-Giganten vergeben. Bislang unveröffentlichte Dokumente zeigen nun, wie es dazu gekommen ist. Dabei fällten die Behörden mehrere fragwürdige Entscheide.

(Source: Sozavisimost / Pixabay)
(Source: Sozavisimost / Pixabay)

Fünf Anbietern hat der Bund im vergangenen Juni Zuschläge für seine Public-Cloud-Ausschreibung erteilt: Microsoft, Oracle, IBM, Amazon Web Services sowie Alibaba. Nun zeigen Recherchen des Onlinemagazins "Republik", wie es zu der Public-Cloud-Ausschreibung des Bundes kam. Die Recherche basiert auf den Dokumenten der Ämterkonsultation sowie auf Gesprächen mit Insidern.

Fragen zum Datenschutz ignoriert

Der Bund kommt dabei alles andere als gut weg. Er habe "interne Warnungen zum heiklen Beschaffungsprozess ignoriert, Fehler in der Ausschreibung begangen – und dazu die kommunikativen und medialen Risiken der Public-Cloud-Ausschreibung komplett unterschätzt", heisst es im Artikel.

Fragen zum Datenschutz waren zum Beispiel im Vorfeld der Ausschreibung durchaus ein Thema. Mehrere Behörden, darunter das Justiz- und Polizeidepartement (EJPD) und der Datenschutzbeauftragte (EDÖB) meldeten laut Republik entsprechende Bedenken an. Auszüge aus internen Mails zeigen, dass der US-amerikanische Cloud Act und der chinesische MLPS-2.0-Standard zur Sprache kamen. Das EJPD habe derweil gefordert, nur unproblematische Daten für die Lagerung in der Public Cloud zuzulassen.

In der Ausschreibung seien diese heiklen Themen dann aber nicht weiter definiert worden, führt die Republik aus. Gegenüber der Onlinezeitung sagt Florian Imbach von der Bundeskanzlei: "Die Rückmeldungen betreffend Einsatz von klassifizierten Daten und Cloud-Sicherheit sollen ausserhalb des Pflichtenhefts umgesetzt werden."

Anfechtbare Ausschreibung

Schon vor der Vergabe der Aufträge hatten Schweizer Cloudanbieter den Bund für die Ausschreibung gerügt. Sie wiesen darauf hin, dass inländische Anbieter durch die Ausschreibungskriterien ausgeschlossen würden.

Die von der Republik zitierten Dokumente zeigen nun, dass der Bund dies tatsächlich so beabsichtigte. Ein Beispiel: "Die Ausschreibung ist insgesamt so gestaltet, dass nur HyperScaler (AWS, MS, Google und noch 3-4 Andere) in der Lage sind die MUSS-Kriterien zu erfüllen. Es war unser Auftrag genau solchen HyperScaler Zuschläge zu erteilen (…)", heisst es in einem internen Dokument.

Weiter fördert der Artikel eine Reihe rechtlicher Mängel in der Ausschreibung zu Tage. Dabei zitiert die Republik aus dem Zwischenentscheid des Bundesverwaltungsgerichts gegen die Beschwerde von Google. Demnach hätte eine Beschwerde gegen die Ausschreibung an sich durchaus angefochten werden können.

So versucht der Bund etwa, durch eine Klausel im Anforderungskatalog einen Rechtsschutz gegenüber den Cloudanbietern "wegzubedingen". Dies sei klar rechtswidrig, heisst es im Artikel. Zudem gebe es beim sogenannten Mini-Tender-Verfahren keinen Wettbewerb mehr zwischen den Anbietern. Vielmehr müssten sich die Verwaltungseinheiten an fixen Preislisten der Anbieter orientieren.

Fragen bleiben

Das "Drama", wie die Republik es nennt, mache vor allem harte ökonomische und geopolitische Realität des heutigen Cloud-Business sichtbar. Nur grosse, internationale Unternehmen seien den Anforderungen anspruchsvoller Grosskunden wie der Bundesverwaltung noch gewachsen. "Es ist banal: Insbesondere die US-amerikanischen Tech-Unternehmen sind viel zu weit voraus, als dass europäische oder gar Schweizer Unternehmen eine Chance hätten"; urteilt das Magazin.

Der grosse Vorteil an der umstrittenen Beschaffung sei, dass nun eine längst überfällige, politische Debatte stattfinde. Dabei geht es um drei zentrale Fragen:

  • Welche Daten will man in welchem Ausmass in die Public Cloud stellen?

  • Wie geht man um mit den Risiken, die sich bei aller Nützlichkeit auch stellen?

  • Und wo lohnt es sich für die Schweiz industriepolitisch eben doch, selber in eine Cloud-Infrastruktur zu investieren?

Die Rufe nach einer "Swiss Cloud" liegen schon eine Weile zurück und sind heute aktueller denn je. Die Herausforderungen sind aber gleich geblieben. Warum sich eine Schweizer Cloud für Schweizer Unternehmen lohnt, lesen Sie im Fachbeitrag von Nicole Beranek Zanon, Partnerin bei Härting Rechtsanwälte und Stella Gatziu Grivas, Leiterin des Kompetenzzentrums Cloud, Digitalisierung und Transformation der FHNW.

Webcode
DPF8_243236