Vor einigen Wochen hat der Bund bekanntgegeben, dass vier US- und eine chinesische Firma Zuschläge für den zukünftigen Bezug von Public Cloud Diensten erhalten haben.

Der EDÖB sieht in seiner Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug vor, dass, wenn die schweizerischen Grundrechtsgarantien in bestimmten Zielländern (wie den USA oder China) nicht gewährleistet sind, organisatorische und technische Massnahmen vorgesehen werden müssen, die die Behördenzugriffe auf die übermittelten Personendaten im Zielland verhindern. Dies entspricht dem geltenden Recht, und es gilt unabhängig davon, ob besonders schützenswerte oder normale Personendaten in der Public Cloud gespeichert werden.

1. Weit verbreitete und erprobte technische Mittel zur Verhinderung solcher Behördenzugriffe in der Public Cloud gibt es genau besehen nicht, wenn man die Dienstleistung nicht auf reines Speichern von Daten beschränken will. Sieht der Bundesrat dennoch vor, dass Personendaten in der Public Cloud von den Unternehmen bearbeitet werden, die den Zuschlag für den Betrieb einer Public Cloud erhalten haben? Wenn ja: Geht er davon aus, dass die Speicherung und Bearbeitung von Personendaten im Ausland auch ohne besondere technische Massnahmen möglich ist, die Behördenzugriffe wirksam verhindern?

2. Eine organisatorische Massnahme, um Behördenzugriffe aus dem Ausland wirksam zu verhindern, besteht darin, die Clouddienste nicht von Unternehmen mit Sitz in unsicheren Ländern betreiben zu lassen, sondern treuhänderisch von Unternehmen mit Sitz in sicheren Ländern (EWR, Schweiz). Was hält der Bundesrat von diesem Modell?

3. Hat sich der Bundesrat bei der Einholung der Offerten die gesetzlich geforderten Auditrechte vorbehalten und wie sehen diese konkret aus?

4. Welche konkreten Anwendungsarten sieht der Bundesrat für den Betrieb auf der Public Cloud vor?

5. Wie setzt sich die Höhe der Zuschläge von 110 Millionen CHF über 5 Jahre zusammen?

6. Der Betrieb von Rechenzentren ist energieintensiv. Wird der Bund bei der konkreten Zuteilung der Aufgaben auch berücksichtigen, ob die Rechenzentren mit erneuerbarer Energie betrieben werden? Wurde dies bei der Ausschreibung bereits berücksichtigt. Wenn nein, warum nicht?