21.4019 · Interpellation · 2021-09-16
Bundeskanzlei
Erledigt
Wortlaut
Vor einigen Wochen hat der Bund bekanntgegeben, dass vier US- und eine chinesische Firma Zuschläge für den zukünftigen Bezug von Public Cloud Diensten erhalten haben.
Der EDÖB sieht in seiner Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug vor, dass, wenn die schweizerischen Grundrechtsgarantien in bestimmten Zielländern (wie den USA oder China) nicht gewährleistet sind, organisatorische und technische Massnahmen vorgesehen werden müssen, die die Behördenzugriffe auf die übermittelten Personendaten im Zielland verhindern. Dies entspricht dem geltenden Recht, und es gilt unabhängig davon, ob besonders schützenswerte oder normale Personendaten in der Public Cloud gespeichert werden.
1. Weit verbreitete und erprobte technische Mittel zur Verhinderung solcher Behördenzugriffe in der Public Cloud gibt es genau besehen nicht, wenn man die Dienstleistung nicht auf reines Speichern von Daten beschränken will. Sieht der Bundesrat dennoch vor, dass Personendaten in der Public Cloud von den Unternehmen bearbeitet werden, die den Zuschlag für den Betrieb einer Public Cloud erhalten haben? Wenn ja: Geht er davon aus, dass die Speicherung und Bearbeitung von Personendaten im Ausland auch ohne besondere technische Massnahmen möglich ist, die Behördenzugriffe wirksam verhindern?
2. Eine organisatorische Massnahme, um Behördenzugriffe aus dem Ausland wirksam zu verhindern, besteht darin, die Clouddienste nicht von Unternehmen mit Sitz in unsicheren Ländern betreiben zu lassen, sondern treuhänderisch von Unternehmen mit Sitz in sicheren Ländern (EWR, Schweiz). Was hält der Bundesrat von diesem Modell?
3. Hat sich der Bundesrat bei der Einholung der Offerten die gesetzlich geforderten Auditrechte vorbehalten und wie sehen diese konkret aus?
4. Welche konkreten Anwendungsarten sieht der Bundesrat für den Betrieb auf der Public Cloud vor?
5. Wie setzt sich die Höhe der Zuschläge von 110 Millionen CHF über 5 Jahre zusammen?
6. Der Betrieb von Rechenzentren ist energieintensiv. Wird der Bund bei der konkreten Zuteilung der Aufgaben auch berücksichtigen, ob die Rechenzentren mit erneuerbarer Energie betrieben werden? Wurde dies bei der Ausschreibung bereits berücksichtigt. Wenn nein, warum nicht?
Stellungnahme des Bundesrates
1. Falls Daten in den Public Clouds bearbeitet werden, müssen wo nötig basierend auf der Schutzbedarf- und Risikoanalyse entsprechende technische, organisatorische und rechtliche Massnahmen ergriffen werden. Darunter fällt z.B. die Verschlüsselung der Daten oder die Anonymisierung und Pseudonymisierung von personenbezogenen Daten. Zudem gibt es eine rasante Entwicklung in der sicheren Datenverarbeitung, zu nennen sind an dieser Stelle beispielsweise "Confidential Computing", bei dem sensible Daten während der Verarbeitung in geschützten Prozessoren isoliert werden.
2. Wenn durch das treuhänderische Betreiben die Funktionalität, die Innovations-geschwindigkeit und das Preisgefüge nicht relevant schlechter werden, könnte dies ein durchaus anwendbares Modell sein. Der Bundesrat hat dieses Modell bis anhin nicht vertieft untersucht.
3. Wird die Bearbeitung von Personendaten Dritten übertragen, so muss sich der Auftraggeber vergewissern, dass diese die Datensicherheit gewährleisten (Art. 10a Abs. 2 DSG). Die sich daraus ergebenden Anforderungen werden vertraglich geregelt, insbesondere technische und organisatorische Massnahmen; diese können auch Zertifizierungen (wie z.B. ISO27001) oder die Verpflichtung zur Durchführung von Audits (z.B. SOC-2 Typ II) umfassen. In der Ausschreibung musste von den Anbietern der Nachweis erbracht werden, dass sie über solche Zertifikate und Auditergebnisse verfügen. Weiterführende Anforderungen werden in den noch zu erstellenden Rahmenverträgen aufgenommen.
4. Aktuell werden aus den Public Clouds Dienste genutzt, damit z.B. die swisstopo ihr Kartenmaterial für die Publikation via App und Web aufbereiten und publizieren kann.
Welche Anwendungen künftig auf den Public Clouds betrieben werden, wird fallweise festzulegen sein; dabei ist jeweils zu prüfen, ob die nötigen Voraussetzungen insb. in rechtlicher Hinsicht gegeben sind. Zu berücksichtigen ist, dass namhafte Hersteller ihre Standardsoftware zunehmend nur noch aus der Public Cloud anbieten. Die Beschaffung von Public Cloud Leistungen ist daher eine Voraussetzung, damit die Bundesverwaltung solche Standardsoftware nutzen kann.
5. Die Zuschlagssumme von 110 Millionen CHF (mit Kostendach) basiert auf den Erfahrungswerten des Bezugs von bisherigen externen Public- und internen Private Cloud-Leistungen, sowie auf Schätzungen der Departemente und der Bundeskanzlei und zusätzlichen 10 Prozent für den allfälligen Bedarf der dezentralen Bundesverwaltung. Dies bei einer Laufzeit von 5 Jahren. Alle Leistungen sind dabei optional. Es besteht keine Bezugspflicht.
6. Dies wurde bei der Ausschreibung nicht berücksichtigt. Viele Public Cloud Anbieter haben sich als Ziel gesteckt, bis 2025 ihre Rechenzentren zu 100 Prozent mit erneuerbarer Energie zu betreiben. Darunter auch jene, die im Rahmen der Ausschreibung einen Zuschlag erhalten haben.
Antwort des Bundesrates.