Heikler Informatikauftrag an AlibabaOberster Datenschützer kritisiert die Cloud-Ausschreibung des Bundes
Adrian Lobsiger empfahl der Bundesverwaltung, schon bei der Ausschreibung auf einem Datenschutz-Zertifikat zu bestehen. Der Bund ignorierte dies und will die Risiken der Cloud-Strategie erst später anschauen.
Der Bund wird künftig einen Teil seiner Daten bei ausländischen Cloud-Anbietern speichern und verarbeiten lassen. Der Auftrag hat – über fünf Jahre verteilt – ein Volumen von 110 Millionen Franken; den Zuschlag bekamen Amazon, Microsoft, IBM und Oracle sowie der chinesische Konkurrent Alibaba. Die fünf beherrschen den Weltmarkt.
Vor allem die Wahl von Alibaba hat, nachdem Tamedia darüber berichtete, bei Leserinnen und Lesern für teils heftige Kritik gesorgt. Wie kommt es, dass der Bund sensible staatliche Daten in die Hände ausländischer Unternehmen, darunter insbesondere einer chinesischen Firma, gibt?
Das wirft die die Frage auf: Wo war der oberste Datenschützes des Bundes, als die Verwaltung das Projekt aufgegleist hat? «Wir waren dabei, konnten Stellung beziehen und unsere Anliegen einbringen», erklärt Adrian Lobsiger, Eidgenössischer Beauftragter für Datenschutz.
Zufrieden ist Lobsiger aber nicht. Wäre es nach ihm gegangen, hätte die Bundesverwaltung das wohl brisanteste Thema bereits bei der Ausschreibung ansprechen müssen. «Wir empfahlen der Bundesverwaltung, bereits in den Offerten in einem separaten Kapital spezifische Datenschutz-Zertifizierungen von den Anbietern einzufordern», erklärt Lobsiger.
«Zusätzliche Risiken berücksichtigen»
Der Datenschützer wollte sichergehen, «dass die zusätzlichen Risiken einer Auslagerung von Datenbearbeitungen an ausländische Public-Cloud-Anbieter aus einem Land ohne angemessenes Datenschutzniveau berücksichtigt werden».
Die Verwaltung besann sich anders. «Sie hat die von uns empfohlenen konkreten Ergänzungen nur teilweise übernommen», bedauert Lobsiger. Welche Ergänzungen unter den Tisch fielen, will er nicht ausführen. Laut der Verwaltung sei die Gewährleistung des Datenschutzes eine «geteilte Verantwortung zwischen Cloud-Nutzer und Cloud-Anbieter».
Lobsiger wurde weiter erklärt, dass die mit dem Datenschutz verbundenen Vorgaben und Massnahmen erst nach der Beschaffung bundesweit definiert und verabschiedet würden. Er, Lobsiger, werde zu gegebener Zeit auch in diese Arbeiten einbezogen.
Mit den Problemen beschäftigt sich der Bund erst später
Mit anderen Worten: Die Risiken der Cloud-Strategie des Bundes werden erst später angeschaut – Gleiches gilt für die Schutzmassnahmen, die ergriffen werden müssen. Dabei ist Lobsiger überzeugt, dass mit der erwähnten Datenschutz-Zertifizierung bereits im Ausschreibungsprozess «gewisse Anbieter nicht an der Ausschreibung teilgenommen hätten». Wen er dabei im Auge hat, will er nicht sagen. Aber ihm ist klar, dass Anbieter, die weniger Gewähr für Datenschutz als andere bieten, keinesfalls Zugriff auf Personendaten haben dürfen.
Fehler gefunden?Jetzt melden.
