Lexipedia

25.4530 · Interpellation · 2025-12-15

Departement für Wirtschaft, Bildung und Forschung

Stellungnahme zum Vorstoss liegt vor

Wortlaut

Ich bitte den Bundesrat um die Beantwortung folgender Fragen:

  1. Wie beurteilt der Bundesrat das Risiko, dass Cloud-Infrastrukturen mit potenziell militärischem Nutzen heute nicht unter die Güterkontroll- oder Kriegsmaterialgesetzgebung fallen?

  2. Welche Vorkehrungen bestehen, um sicherzustellen, dass Cloud-Dienste aus der Schweiz nicht für militärische Zwecke in sicherheitsrelevanten Drittstaaten genutzt werden, ohne dass dies exportkontrollrechtlich abgedeckt ist?

  3. Plant der Bundesrat, im Rahmen der Wassenaar-Vereinbarung eine präzisere Regulierung von Cloud-Infrastrukturen einzubringen oder aktiv voranzutreiben?

  4. Welche Überlegungen bestehen, um Cloud-Dienstleistungen künftig in bestehende Kontroll- und Bewilligungsmechanismen zu integrieren?

  5. Wie gedenkt der Bundesrat sicherzustellen, dass die Schweizer Exportkontrollpolitik mit der technologischen Entwicklung Schritt hält und Missbrauch, insbesondere im militärischen Bereich, proaktiv verhindert wird?

  6. Prüft der Bundesrat die Möglichkeit einer Melde- oder Bewilligungspflicht für Cloud-Anbieter bei Kooperationen mit militärischen oder nachrichtendienstlichen Akteuren im Ausland?

Begründung

Im Rahmen der Wassenaar-Vereinbarung gibt es bis heute keine klare Erfassung von Cloud-Infrastrukturen. In der Schweiz fallen sie gemäss aktueller Praxis weder unter die Güterkontrollgesetz noch unter das Kriegsmaterialrecht, sofern keine spezifisch kontrollierte Software zum Einsatz kommt. Dadurch entsteht eine rechtliche Lücke: Der Zugang zu digitaler Infrastruktur kann in Drittstaaten ermöglicht werden, ohne dass dies einer Bewilligungspflicht unterliegt, selbst wenn eine militärische Nutzung technisch möglich wäre. In einer Zeit, in der Kriegsführung und Nachrichtendienstoperationen zunehmend digital stattfinden, stellt diese fehlende Regulierung ein sicherheits- und exportpolitisches Risiko dar und widerspricht der Schweizer Neutralität. Für die Kontrolle sicherheitsrelevanter Technologien ist deshalb entscheidend, dass rechtliche Instrumente mit der technischen Realität Schritt halten und Missbrauch nicht erst im Nachhinein erkannt wird.

Stellungnahme des Bundesrates

1) Dienstleistungen wie das Bereitstellen einer Cloud-Infrastruktur (Infrastructure as a Service, IaaS) und das Anbieten von Plattformen (Platform as a Service, PaaS) stellen keine Technologie- oder Softwareausfuhren im Sinne des Kriegsmaterialgesetzes (SR 514.51) bzw. des Güterkontrollgesetzes (GKG, SR 946.202) dar. Ebenso gelten Daten, Modelle und Ergebnisse, die vom ausländischen Kunden stammen und von diesem in der Cloud gespeichert, verarbeitet oder heruntergeladen werden, nicht als aus der Schweiz ausgeführt. Wenn ein Cloud-Anbieter jedoch Software-Dienstleistungen (Software as a Service, SaaS) an ausländische Kunden anbietet und die Software in den Güterlistenanhängen der Kriegsmaterialverordnung (KMV, SR 514.511) oder der Güterkontrollverordnung (GKV, SR 946.202.1) aufgeführt ist, greift die Exportkontrolle. Beispielsweise wäre darunter Software erfasst für die Modellierung oder Simulation militärischer Operationsszenarien oder Software, die zur Durchführung von Cyberoperationen entwickelt wurde (vgl. ML21 Anhang 3 GKV). Auch die Dual-Use-Liste enthält spezifische Kontrollen für Software, in der Regel dann, wenn diese im Zusammenhang mit kontrollierten Gütern steht. Der Bundesrat sieht daher zurzeit keinen dringenden Handlungsbedarf diese Kontrollen zu erweitern.

3, 4 und 5) Die Schweiz koordiniert ihre Exportkontrollen mit anderen Staaten im Rahmen der multilateralen Exportkontrollregime. Die Auswirkungen von Cloud-Computing auf die Exportkontrolle werden bereits seit mehreren Jahren in der Wassenaar-Vereinbarung (WA) beobachtet und thematisiert. Die WA bietet die Möglichkeit, sich darüber auszutauschen, welche Cloud-Dienstleistungen der Kontrolle unterliegen, und Kontrolllücken zu schliessen, falls solche identifiziert würden. Das Staatssekretariat für Wirtschaft (SECO) ist hierfür mit der Schweizer Industrie und den Hochschulen in Kontakt und bringt sich aktiv in die WA-Diskussionen ein. Im Bereich der militärischen Güter ist die Kontrolle bereits umfassend. Die Dual-Use-Kontrollen beziehen sich auf klar abgegrenzte Technologien und Software, deren Einordnung anhand technischer Parameter erfolgt. Da die Diskussionen im Rahmen der WA vertraulich sind, kann der Bundesrat nicht auf diesem Weg über diese Verhandlungen informieren. Die Regulierung von Cloud-Infrastrukturen (IaaS) geht jedoch über die Exportkontrolle hinaus.

2 und 6) Um Cloud-Dienstleistungen anzubieten, braucht es derzeit in der Schweiz keine spezifische Bewilligung. Die Unternehmen müssen sich aber an allgemeine rechtliche Anforderungen wie Datenschutz, Vertragsrecht und sektorspezifische Regulierungen halten. Zum Beispiel unterliegen gemäss dem Bundesgesetz über die im Ausland erbrachten privaten Sicherheitsdienstleistungen (BPS, SR 935.41) Dienstleistungen wie die logistische Unterstützung sowie die Beratung und Ausbildung einer ausländischen Streit- oder Sicherheitskraft einer Meldepflicht, sofern sie in engem Zusammenhang mit deren Kernaufgaben stehen. Als logistische Unterstützung gelten gemäss Verordnung über die im Ausland erbrachten, privaten Sicherheitsdienstleistungen (VPS, SR 935.411) unter anderem der Aufbau, der Betrieb oder die Instandhaltung von Infrastruktur. Die Kernaufgabe von Streitkräften ist die Verteidigung eines Landes und die Wahrung seiner Interessen mit militärischen Mitteln. Ein enger Zusammenhang mit diesen Aufgaben wäre beispielsweise dann gegeben, wenn ein Unternehmen Dienstleistungen erbringt, die spezifisch auf den Aufbau oder den Unterhalt der militärischen Cyberinfrastruktur einer Streitkraft ausgerichtet sind. Ob ein enger Zusammenhang und damit eine Meldepflicht nach BPS vorliegt, wird jeweils bei allen Tätigkeiten, von denen die zuständige Behörde Kenntnis erhält, im Einzelfall überprüft. Steht eine Dienstleistung im Widerspruch zu den Zwecken des BPS (Art. 1), so wird diese verboten.