Auftrag an Alibaba Der Bund übergeht bei Cloud-Projekt Datenschutzbedenken
Der Bund bereitet derzeit die Datenauslagerung an Cloud-Anbieter wie Alibaba vor. Der Eidgenössische Datenschutzbeauftragte hat mit Blick auf die Ausgestaltung der Verträge aber Vorbehalte.
Als im vergangenen Juni publik wurde, dass die Bundesverwaltung einen Teil ihrer Daten in die Cloud verlagern will, sorgte insbesondere ein Name für Aufregung: Alibaba. Der chinesische Cloud-Anbieter war vom Bund ausgewählt worden – zusammen mit den US-Rivalen Amazon, Microsoft, IBM und Oracle.
Alibaba, ein Konzern aus einem Land, das seine Bürgerinnen und Bürger so umfassend wie kaum ein anderer Staat überwacht und kontrolliert, soll womöglich heikle Personaldaten schweizerischer Provenienz in seiner Cloud speichern? Ein Cloud-Anbieter überdies, der keine Niederlassung in der Schweiz hat?
Keine aktive Kommunikation
Das Misstrauen wurde auch dadurch genährt, dass der Bund den Entscheid nicht aktiv kommunizierte und so auch nicht rechtzeitig auf allfällige Bedenken einging. Dass der Grossauftrag ergangen war, wurde nur bekannt, weil das Geschäft gemäss WTO-Vorschrift auf der Beschaffungsplattform Simap publiziert werden musste.
Und wo war der oberste Datenschützer des Landes, Adrian Lobsiger, als die Verwaltung das Projekt aufgleiste? Er war dabei, konnte Stellung beziehen und seine Anliegen einbringen, wie er damals dieser Zeitung erklärte. Und er betonte auch, dass er trotzdem höchst unzufrieden sei.
Und das ist er noch heute, knapp sieben Monate später. Grund: Die Verwaltung hat einige der von ihm empfohlenen konkreten Ergänzungen bei der Ausschreibung nicht übernommen. Gestützt auf das Öffentlichkeitsgesetz hat sich diese Zeitung die Dokumente beschafft, in denen der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb), wie Lobsiger mit vollem Titel heisst, seine Forderungen auflistet und auch, wie der Bund darauf reagierte.
Kein Standort in der Schweiz, keine Kontrollen
Auf mehrere Punkte, die die Verwaltung zuvor als «abnahmeverhindernd» taxiert hatte, ist die Bundesverwaltung nicht eingetreten. Zum Beispiel: «Cloud-Anbieter sollten die gesicherte, ordnungsgemässe konsistente Sammlung, Verarbeitung, Kommunikation, Nutzung und Disposition persönlicher Daten und personenbezogener Daten im Cloud-System schützen.» Lobsiger schlug vor, ein Kapitel «Privacy» in den Offerten zu verlangen.
Der Vorschlag wurde nicht umgesetzt. Die Begründung: Der Datenschutz sei eine «geteilte Verantwortung» zwischen dem Nutzer, also dem Bund, und dem Cloud-Anbieter. Entsprechende Vorgaben und Massnahmen würden erst später «bundesweit definiert und verabschiedet».
Mit der gleichen Begründung lehnte die Bundesverwaltung weitere Forderungen des Datenschützers ab. Es handelt sich dabei um eine ganze Liste von datenschutzrechtlichen Punkten, welche die Anbieter nach Ansicht von Lobsiger erfüllen sollten. Zum Beispiel, dass der Cloud-Anbieter für bestimmte Daten «einen Datenbearbeitungsstandort in der Schweiz oder in Staaten, die über ein gleichwertiges Datenschutzniveau verfügen», anbieten kann.
Zudem forderte Lobsiger, dass der Cloud-Anbieter in der Lage sein müsse, regelmässige Kontrollen seiner Cloud-Infrastruktur nach internationalen Auditstandards vorzunehmen und die Prüfberichte dem Auftraggeber und der Datenschutzbehörde auf Verlangen vorzulegen.
Bei all diesen Forderungen ging es dem Datenschützer darum, «die zusätzlichen Risiken einer Auslagerung von Datenbearbeitungen an ausländische Public-Cloud-Anbieter aus einem Land ohne angemessenes Datenschutzniveau zu berücksichtigen».
In Fachkreisen mutmasst man, dass Alibaba unter solchen Bedingungen wohl kaum zum Zug gekommen wäre.
Foto: Long Wei (Getty Images)
Beim Bund werden derzeit die Rahmenverträge für die Cloud-Aufträge erarbeitet. Zuständig dafür ist hauptsächlich die Bundeskanzlei. Auch hier gibt es wieder Reibungsflächen. Für Lobsiger ist es entscheidend, dass nun der Daten- und Informationsschutz in diesen Verträgen genau definiert wird. Diese Rahmenverträge sollen für die gesamte Bundesverwaltung Geltung haben.
Ein springender Punkt für Lobsiger ist dabei, wie viele zwingende Vorgaben in den Rahmenverträgen stehen und wie viel Autonomie die Amtsstellen bekommen, die am Ende die Dienstleistungen der Cloud-Anbieter in Anspruch nehmen werden.
Reibereien zwischen der Bundeskanzlei und den Departementen?
Dem Vernehmen nach goutieren nicht alle Departemente, dass die Bundeskanzlei zusammen mit dem Bundesamt für Informatik und Telekommunikation (BIT) den Lead hat. Sie wollen sich nicht dreinreden lassen und die Verträge mit Cloud-Anbietern nach eigenem Gusto gestalten.
Für Lobsiger ist dabei zwingend, dass der Bund mehr informiert: «Die Öffentlichkeit muss Klarheit haben darüber, wer die Rahmenverträge macht und welche Kompetenzen die Bundesämter haben. Und sie muss Klarheit darüber haben, dass alles datenschutzkonform umgesetzt wird.»
«Die Öffentlichkeit muss Klarheit darüber haben, dass alles datenschutzkonform umgesetzt wird.»
Für den Datenschützer ist die Vorstellung, dass nun Dutzende von Bundesstellen an ihren eigenen Verträgen basteln, «unzumutbar». Grund: «Der Edöb hat keine Kapazität, alle Verträge zu überprüfen.»
Doch genau darauf dürfte es hinauslaufen. Auf Anfrage erklärt die Bundeskanzlei, dass eine spezifische Risikoanalyse immer dann durchgeführt werde, wenn die Ämter Cloud-Dienste bezögen. «Bei Personendaten muss zusätzlich eine Datenschutzfolgeabschätzung vorgenommen werden.» Anwendungen und Daten mit hohem Schutzbedarf werden auf bundesintern betriebenen Infrastrukturen und Plattformen in den Rechenzentren der Bundesverwaltung betrieben respektive bearbeitet. Was Lobsiger nicht beruhigt.
Fehler gefunden?Jetzt melden.
