Bund in der Kritik wegen Personaldaten in der Cloud

30. Januar 2025 um 13:19
image
Das Eidgenössische Personalamt in Bern. Foto: EPA / Marco Zanoni

Die Eidgenössische Finanzkontrolle moniert für einmal nicht hauptsächlich die Finanzen, sondern die Kommunikation und das Management im IT-Projekt des Personalamts.

Die Bundesverwaltung will die heute sehr unterschiedlich gehandhabten Personalprozesse vereinheitlichen. Dafür startete das Eidgenössische Personalamt (EPA) 2021 im Rahmen von "Superb" das Projekt "Personal (HR-IT)". Das Ziel war, durch ein Outsourcing in die Cloud sämtliche Daten und Prozesse zu standardisieren. Durch die digitalen Prozessabwicklung wurden zudem auch Effizienzsteigerungen avisiert.
Im November 2022 musste das Personalamt jedoch zurückkrebsen. Aufgrund von Bedenken zur Datensouveränität und befürchteter Nicht-Akzeptanz einer Full-Cloud-Lösung wurde eine Hybrid-Cloud-Variante gewählt. Hinzu kam, dass SAP damals keine adäquate Cloud-Lösung für die Personalabrechnung anbieten konnte. Wie die Eidgenössische Finanzkontrolle (EFK) nun in einem Prüfbericht festhält, wurden die finanziellen Auswirkungen gegenüber anderen Kriterien geringer gewichtet. Deshalb fokussierte sich die EFK auf Datenschutz- und Managementthemen.
In dem Prüfbericht wird den Finanzen nur wenig Raum gegeben. Sie hätten für die Prüfung "keine primäre Rolle" gespielt. Noch bemerkenswert für einen Bericht der Eidgenössischen Finanzkontrolle. Sie erklärt zwar, dass die Infrastruktur für die Hybrid Cloud "zu zusätzlichen Betriebskosten im Umfang von jährlich rund sechs Millionen Franken" führe. Jedoch habe eine "fundierte Wirtschaftlichkeitsbetrachtung nicht stattgefunden", heisst es.

Datenschutz in der Cloud

Zu Konfiguration konstatiert die EFK: Ab dem 1. April 2025 werden Personaldaten wie zum Beispiel Beschäftigungsdaten und Stammdaten in einer Public Cloud gespeichert. Dazu nutze SAP die Schweizer Rechenzentren des Hyperscalers Microsoft, wobei die Cloud die führende Umgebung sei: Die Anwendungen auf dem On-Premises-System beziehen Daten aus der Cloud.
In dieser Konstellation biete die hybride Lösung bezüglich Datenschutzes keine erhöhte Sicherheit gegenüber einer Full-Cloud-Lösung, erklären die Prüfer. Allfällige Anforderungen an die Sicherheit könnten nur mit einer reinen On-Premises-Lösung besser abgedeckt werden. Diese sei aber "verworfen" worden, heisst es.

Kommunikation und Management

Defizite hat die EFK bei der Kommunikation über die Konsequenzen des Hybrid-Entscheids ausgemacht. Es sei "nicht allen Beteiligten klar gewesen, dass auch mit der Hybrid-Variante die Personaldaten in der Cloud gespeichert werden". Aus dem Blickwinkel der Prüfer hätten "einzelne Ämter erst lange nach dem Entscheid und kurz vor der Umsetzung Bedenken angemeldet". In der Folge hätten Diskussionen zu den datenschutzrechtlichen Anforderungen spät im Projektverlauf erneut geführt werden müssen, schreibt die EFK. Die Situation müsse nun mit dem Ziel geklärt werden, für alle Beteiligten doch noch eine akzeptable Lösung zu finden.
Das Personalamt weisst in einer Stellungnahme die Kritik der EFK zum Datenschutz und zur Kommunikation zurück: Zum Einsatz von SAP-Cloudtechnologien in der Bundesverwaltung sei "bereits im Vorfeld des Vertragsabschlusses mit SAP eine umfassende Datenschutz- und Risikoanalyse erstellt" worden. Weiter hätten die Ämter sowie die Gruppe Verteidigung bestätigt, dass sie die Restrisiken mittragen, so das Personalamt.
Eine andere "Wahrnehmung" hat das EPA zudem von der Kommunikation zur Tatsache, dass die Cloud auch im Hybrid-Szenario die datenführende Plattform sei. Dies sei den Beteiligten durchaus klar gewesen. Wie es in der Stellungnahme weiter heisst, könnten die Anstrengungen in diesem Bereich immer auch noch intensiver und umfangreicher gestaltet werden. Das Personalamt werde dies für den weiteren Verlauf des Projekts berücksichtigen, erklärt es.

Loading

Mehr zum Thema

image

Energie Wasser Bern kauft viel SAP-Expertise

Der Energieversorger holt sich für über 8 Millionen Franken Unterstützung für zwei SAP-Vorhaben ins Haus. Sechs Anbieter haben Zuschläge erhalten.

publiziert am 4.2.2025
image

Als erster Kanton startet St. Gallen wohl bald mit E-Collecting

Ab 2026 soll ein Pilotprojekt die elektronische Unter­schriften­sammlung ermöglichen. Die Technologie kommt von Abraxas.

publiziert am 4.2.2025
image

UBS-IT sieht sich bei CS-Integration auf Kurs

Bis Ende 2026 will die IT der Grossbank alle Applikationen und Server der übernommenen Credit Suisse abgeschaltet haben. Bei der Datenmigration gibt es noch viel zu tun.

publiziert am 4.2.2025
image

Kanton Zürich sucht Security-Expertise

Ein Expertenpool soll das Amt für Informatik bei der Umsetzung der Informations­sicherheitsrichtlinien unterstützen. Es geht um bis zu 7000 Arbeitstage.

publiziert am 4.2.2025