Behördendaten, Cloud und Kartoffel­kompetenz

26. Oktober 2023 um 14:36
image
Die Referentinnen und Referenten auf dem Podium mit Inside-IT-Chefredaktor Reto Vogt (l.).

Wann und wie können Behörden in die Public Cloud und was hat die Frage mit Kartoffeln zu tun? Ein Rückblick auf unseren Event "Cloud & Behörden", an dem die Fragen aus technischer und rechtlicher Sicht beantwortet wurden.

Cloud sei eigentlich gar nicht in ihrem Stellenbeschrieb gewesen, sagte die Informatikerin und Stv. Leiterin des Bereichs Digitale Transformation und IKT-Lenkung (DTI), Erica Dubach. Vor den über 120 Besucherinnen und Besuchern rollte sie im Fifa-Museum die Public-Cloud-Geschichte des Bundes auf: von der Pionierin Swisstopo im Jahr 2008, der Ausarbeitung der Strategie über die Einsprache von Google hin zu den Zuschlägen an die vier US-Hyperscaler AWS, IBM, Oracle und Microsoft sowie an den chinesischen Anbieter Alibaba im Jahr 2021.
Bevor aber die Verwaltungseinheiten damit beginnen konnten, über diese Rahmenverträge Cloud-Services zu beziehen, mussten noch Rahmenverträge ausgearbeitet und Gerichtsverfahren abgewartet werden.
image
Erica Dubach, Bundeskanzlei.
Cloud sei nicht nur eine technische Frage, sondern eben auch eine emotionale, resümierte Dubach die öffentlichen Reaktionen. Während es zwar Kritik für den Zuschlag an Alibaba gegeben habe, wurde der Schritt aus geopolitischer Sicht auch gelobt – die Schweiz gebe sich im Streit zwischen China und den USA nicht in eine einseitige Abhängigkeit.
Anders als in der Landwirtschaft sei die digitale Maturität in der Politik insgesamt noch nicht so hoch, wie sie es gerne hätte, so Dubach. Die Frage: "Wie viele Kartoffeln wollen wir selber anbauen und wie viele importieren?", könne die Politik leichter beantworten, als die Frage der digitalen Souveränität.
Sollte es in der Schweiz zu Problemen kommen, etwa in der Stromversorgung, sei man vielleicht froh, wenn gewisse Dinge auch im Ausland gespeichert seien. Gleichzeitig könne es auch sein, dass der Souveränitätsgedanke wieder stärker werde und die bundeseigene Cloud wieder vermehrt in den Fokus rücke.

Ohne Juristin keine Cloud

Es ist nicht selbstverständlich, dass eine Juristin bei einem Vortrag vor Nicht-Juristen die volle Aufmerksamkeit ihres Publikums erhält. Ohne lange Gesetzesparagrafen vorzutragen, zeigte die Zürcher Datenschutzbeauftragte Dominika Blonski die rechtlichen Rahmenbedingungen auf.
image
Dominika Blonski, Kanton Zürich.
Unter dem Strich müssten sich Behörden vor dem Schritt in die Cloud zwei Fragen stellen: Darf überhaupt ausgelagert werden und wenn ja, wie darf ausgelagert werden? Die erste Frage beantwortet das Gesetz. Von der Datenauslagerung betroffene Personen dürfen nicht schlechter gestellt werden und die Behörde muss all ihren Pflichten nachkommen können. Weitere Regelungen, wie das Berufsgeheimnis oder vertragliche Vereinbarungen könnten einer Auslagerung im Weg stehen – müssen es aber nicht.
Beim zweiten Schritt geht es um die Risikoanalyse: Um was für Daten handelt es sich? Wie kann die Datensicherheit gewährleistet werden und welche vertraglichen Absicherungen braucht es?

Es ist auch eine technische Frage

Je nachdem, wie diese Fragen beantwortet werden, müssen andere Möglichkeiten geprüft werden. Dazu gehören On-Prem- oder Hybride-Lösungen, so Blonski, aber auch technische Massnahmen. Persönliche Daten können anonymisiert oder pseudonymisiert und Informationen verschlüsselt werden.
Viele dieser Massnahmen liessen sich mit einem Hyperscaler umsetzen, hiess es von Marc Holitscher, National Technology Officer bei Microsoft Schweiz. Man habe viel Arbeit investiert, um lokalisierte Vertragsbestimmungen umsetzen zu können, man biete Rechenzentren oder vertragliche Garantien, die die Datenübertragung in bestimmte Gebiete einschränkt.
image
Marc Holitscher, Microsoft Schweiz
Rechtsexpertinnen und Datenschützer seien zum Schluss gekommen, dass die Auslagerung in die Public Cloud unter bestimmten Voraussetzungen OK sei, bilanzierte Holitscher. Man höre, dass dies bei bis zu 90% der Daten der Fall sei. Gleichzeitig diskutiere man zu häufig und zu viel über jene 10%, die ohnehin On-Prem bleiben müssen. Das sei schade, so Holitscher, denn die Zeit könnte besser genutzt werden.

Der Weg des geringsten Widerstands ist ein Problem

Sehr tiefe Einblicke in den Datenschutzaspekt des Cloud-Themas lieferte Thomas Fürling, CEO von E3. Wie weit kann man einem Anbieter vertrauen, vor allem wenn man über die Landesgrenzen und auf die sich ändernde geopolitische Lage blickt?
Wenn das Vertrauen nicht reicht, bleibe nur noch die Verschlüsselung, so Fürling. Dies bedeute aber auch, dass man selbst die volle Kontrolle über die Encryption haben müsse, die Verschlüsselung muss von aussen kommen.
image
Thomas Fürling, E3
In einem Cloud-Projekt stellt sich irgendwann die Frage, welche technischen Voraussetzungen es braucht. Sind Infrastruktur, Applikationen und Daten angemessen verfügbar und geschützt? Hier gebe es aber immer wieder Ausreden, falls die zuvor eigentlich definierten Anforderungen doch nicht erfüllt werden. "Bedauerlicherweise tendieren Menschen dazu, den Weg des geringsten Widerstands zu gehen", bilanzierte Fürling.
Er sehe leider zu häufig, dass quasi beide Augen zugedrückt und Risiken ignoriert werden. Statt Projekte anders anzugehen und nach neuen technologischen Massnahmen zu suchen, würden schlicht die Anforderungen reduziert.

Loading

Mehr zum Thema

imageAbo

Swissmedic erreicht Digitalisierungsziele nicht

Das Programm "Transformation Swissmedic Plattformen" zur Ablösung von Altsystemen ist beendet, aber noch nicht abgeschlossen. Denn noch immer sind Legacy-Systeme in Betrieb.

publiziert am 15.6.2026
image

Uetendorf lagert Informatik nach Thun aus

Die Gemeinde verzichtet auf die Erneuerung ihrer IT-Infrastruktur. Die Stimmbevölkerung befürwortet die Auslagerung der Systeme an die Stadtverwaltung Thun.

publiziert am 15.6.2026
imageAbo

Schweizerisches Nationalmuseum gibt Einblick in Digitalprojekte

Das Nationalmuseum hat einen neuen Leiter für Digitale Transformation ernannt. Die Institution erläutert den Stand ihrer Digitalisierung.

publiziert am 12.6.2026
image

Millionen für neues IT-Meldesystem des BAG

Der Bundesrat hat 45,3 Millionen Franken für eine neue digitale Plattform zur Überwachung und Bekämpfung übertragbarer Krankheiten freigegeben. Das System soll 2034 fertig sein.

publiziert am 12.6.2026