Die Bundesverwaltung hat die Rahmenverträge für den Bezug von Public-Cloud-Services mit 5 Anbietern unterzeichnet. Die entsprechenden Zuschläge an die 4 US-Konzerne Microsoft, Oracle, IBM und AWS sowie den chinesischen Anbieter Alibaba wurden 2021 getroffen. Nachdem im März 2022 die Vertragsverhandlungen begonnen hatten, ist vor wenigen Tagen die letzte Unterschrift auf Papier gebracht worden.

Damit stehen die Rahmenverträge, über die die einzelnen Ämter Cloud-Services bei diesen Hyperscalern beziehen können. Wie bei diesen Rahmenverträgen üblich, gibt es einen Wettbewerb unter den Zuschlagsempfängern. Bei jedem Projekt wird evaluiert, welcher Anbieter am ehesten in Frage kommt. Ämter, die Cloud-Dienste nutzen wollen, müssen zuerst ein Anbieter-neutrales Pflichtenheft erstellen und Abklärungen durchführen. Etwa müssen sie prüfen, ob die Auslagerung und Bearbeitung von Daten in einer Public Cloud rechtskonform ist. Ausserdem muss für alle Anwendungen und Daten eine Schutzbedarfsanalyse erstellt werden.

Im Rahmen der Cloud-Strategie des Bundes wurde definiert, welche Daten in welche Cloud dürfen. In einer Public Cloud könnten unkritische oder anonyme Daten gespeichert werden, oder solche, die ohnehin öffentlich sind, beispielsweise Wettermodelle oder Open Government Data. In eine Public Cloud mit zusätzlichen Einschränkungen wie der Datenhaltung in der Schweiz könnten demnach Daten landen, die maximal als "intern" klassifiziert sind.

In trockenen Tüchern ist die Beschaffung damit aber noch nicht. Noch können die Ämter keine Cloud-Services über die Rahmenverträge beziehen.

Denn aktuell läuft ein Verfahren vor Bundesverwaltungsgericht. Ein Bürger verlangte auf dem Gerichtsweg, dass die Bundesverwaltung die Arbeiten zum Bezug von Public-Cloud-Diensten bei ausländischen Anbietern einstellt. Das entsprechende Gesuch um vorsorgliche Massnahmen ist derzeit hängig.

Dieser Entscheid wird laut Bundeskanzlei abgewartet, bevor mit dem Bezug von Cloud Services begonnen wird.

Beide Parteien könnten den Entscheid an die nächste Instanz weiterziehen, was zu Verzögerungen führen könnte.

Nicht nur die Gerichte befassen sich aktuell mit der Public-Cloud-Beschaffung, sondern auch die Geschäftsprüfungskommission (GPK). Dies schreibt die 'Republik'. Hintergrund ist das erwähnte Gerichtsverfahren, bei dem die rechtlichen Grundlagen der Datenverarbeitung in der Cloud Thema sind.

Laut der Bundeskanzlei ist dafür kein spezielles Gesetz nötig, die Beschaffung läuft unter "administrative Hilfstätigkeit", sagt Florian Imbach, Informationsbeauftragter der Bundeskanzlei dem Onlinemagazin. SP-Nationalrat Fabian Molina habe beantragt, dass das in der GPK untersucht werde. Die Geschäftsprüfungskommission des Nationalrats werde sich mit dem Fall beschäftigen, bestätigt SVP-Nationalrat und GPK-Präsident Alfred Heer der 'Republik'.

Der Bund ist mit den unterzeichneten Verträgen in den Startlöchern. Am heutigen 27. September publizierte die Bundeskanzlei unter anderem einen Bericht zum rechtlichen Rahmen für die Nutzung von Public-Cloud-Diensten in der Bundesverwaltung. Der Fokus liegt beim Datenschutz, der Datensicherheit, dem Informationsschutz sowie dem Amtsgeheimnis. Es soll aufgezeigt werden, welche Risiken beim Cloud-Sourcing aufkommen können und mit welchen Massnahmen diese auf ein "akzeptables Niveau" gesenkt werden können, heisst es darin.

Insgesamt bemühen sich die Verantwortlichen um Transparenz. Neben dem Pflichtenheft, das für die beschaffenden Ämter erarbeitet wurde, sollen auch Evaluationskriterien, Checklisten und weitere Grundlagendokumente publiziert werden.

Ausserdem wird gemäss der Bundeskanzlei geprüft, ob auch die Rahmenverträge öffentlich gemacht werden können. Vertragsinhalte wie die AGBs oder Audit-Möglichkeiten könnten für andere Beschaffungsverantwortliche, etwa in den Kantonen, interessant sein.