26.3190 · Interpellation · 2026-03-18
Bundeskanzlei
Stellungnahme zum Vorstoss liegt vor
Wortlaut
Gemäss einem Bericht von RTS vom 1. Februar 2026 hat das Eidgenössische Departement für auswärtige Angelegenheiten interne Dokumente in der Cloud von Microsoft gespeichert – einem Unternehmen, das diese Daten, gestützt auf den US-amerikanischen Cloud Act, an die US-Behörden weitergeben kann.
Dieser Vorfall kommt nicht überraschend. Der Bundesrat setzte auf Microsoft 365 – nun zeigen sich die Auswirkungen solch kostengünstiger und praktischer Lösungen, die sich jedoch für unsere digitale Souveränität als höchst problematisch erweisen.
Warum wurden die erwähnten Daten nicht in einer Schweizer Cloud gespeichert?
Hält es der Bundesrat für normal, dass sensible Daten von Bürgerinnen und Bürgern sowie der Verwaltung bei einem privaten US-Unternehmen gespeichert sind, das diese an die US-Behörden weitergeben kann?
Ist der Einsatz von Microsoft 365 nach Ansicht des Bundesrates mit den für die Verwaltung verbindlichen Zielen der digitalen Strategie sowie mit der Souveränität der Schweiz vereinbar?
Beabsichtigt der Bundesrat, seine Strategie zu ändern, um die digitale Souveränität zu stärken?
Stellungnahme des Bundesrates
1. und 2. Was den Einsatz von Microsoft 365 angeht, war und ist es dem Bundesrat wichtig, Souveränitätsrisiken zu begrenzen. Mit der Einführung von Microsoft 365 sind technische und organisatorische Schutzmassnahmen getroffen worden, damit die cloud-basierte Software beim Bund geschützt vor dem Zugriff Dritter zum Einsatz kommen kann. Nutzerinnen und Nutzer dürfen in der M365 Cloud von Microsoft keine besonders schützenswerten Personendaten, keine besonders schützenswerten Daten juristischer Personen und keine klassifizierten Informationen speichern. Dies wird mit dem sogenannten Labelingsystem erreicht: Jedes Dokument muss vor dem Speichern mit einem Label versehen werden – als sensitiv gekennzeichnete Dokumente können grundsätzlich nicht in die Cloud gespeichert werden und bleiben lokal in den Rechenzentren des Bundes. Dieser Schutzmechanismus ist wirksam, jedoch situativ begrenzt. Bei den erwähnten Daten im EDA hat dieser Schutzmechanismus nicht gegriffen, da er aus Kompatibilitätsgründen im EDA temporär reduziert wurde. Ausserdem lässt sich mit Technik eine falsche Kennzeichnung eines Dokumentes beispielsweise aus Versehen nicht verhindern. Die Mitarbeitenden werden deshalb in Schulungen auf dieses Thema sensibilisiert. 3. Ein Grossteil der Bundesverwaltung arbeitet nicht täglich mit sensitiven Daten. Microsoft 365 bietet für sie eine moderne, effiziente und sichere Arbeitsumgebung. Der Einsatz von Microsoft 365 entspricht Zielen der vom Bundesrat verabschiedeten Strategie «Digitale Bundesverwaltung»: «Die Bundesverwaltung stellt eine moderne Arbeitsumgebung für die digitale, hybride und analoge Zusammenarbeit zur Verfügung.» Der Einsatz der Cloud-Funktionalitäten von Microsoft 365 ist geregelt und auf geeignete Anwendungsfälle ausgerichtet, wie beispielsweise eine Arbeitsanleitung, die man im Team gemeinsam erarbeitet (keine klassifizierten und keine besonders schützenswerten Daten). Der Bundesrat ist sich bewusst, dass grosse Abhängigkeiten zu Microsoft bestehen: Die Systemlandschaft der Bundesverwaltung ist komplex und viele Fachanwendungen verfügen über Schnittstellen zu Microsoft-Produkten. Die Bundesverwaltung strebt an, ihre Abhängigkeit von Microsoft schrittweise und langfristig zu reduzieren, wobei zunächst die Büroautomation im Fokus steht. Deshalb hat die Bundeskanzlei Anfang 2025 eine praktische Machbarkeitsstudie zum Einsatz von Open-Source-Software initiiert (Projekt Proof of Concept für eine Büroautomation mit Open Source Software). Das Projekt hat gezeigt, dass eine Open-Source-Büroautomationssoftware grundsätzlich möglich ist, wobei es Abhängigkeiten zu Fachanwendungen gibt. Aktuell werden die Ergebnisse der Machbarkeitsstudie ausgewertet und es wird ein Umsetzungsprojekt vorbereitet. 4. Die digitale Souveränität ist ein Fokusthema der Strategie «Digitale Schweiz» für das Jahr 2026 sowie ein eigener strategischer Schwerpunkt der Strategie «Digitale Bundesverwaltung». Damit wird dem Thema auf strategischer Ebene ein hoher Stellenwert beigemessen. Der Bundesrat hat Fragen der digitalen Souveränität vertieft geprüft, insbesondere im Rahmen des Berichts in Erfüllung des Postulats Z’graggen 22.4411. Für die Bundesverwaltung hat die Bundeskanzlei auf den 1. Januar 2026 Leitlinien zum Umgang mit digitaler Souveränität in Kraft gesetzt. Die Leitlinien sollen sicherstellen, dass digitale Souveränität einheitlich verstanden wird und systematisch in allen relevanten Projekten der Bundesverwaltung geprüft und gestärkt wird.