Wie wegen einer Wolke alle in die Luft gehen
Die Schweiz will Behördendaten in einer Cloud speichern. Und dafür chinesische und amerikanische Konzerne beauftragen. Das sorgte für Empörung. Jetzt zeigt sich: Die Verantwortlichen ignorierten beim Entscheid für Alibaba, Amazon und Co. Warnungen und begingen sogar rechtswidrige Fehler.
Eine Recherche von Adrienne Fichter, 14.01.2022, Update: 31.01.2022
Journalismus kostet. Dass Sie diesen Beitrag trotzdem lesen können, verdanken Sie den rund 27’000 Leserinnen, die die Republik schon finanzieren. Wenn auch Sie unabhängigen Journalismus möglich machen wollen: Kommen Sie an Bord!
Die Aufregung war gross, als am 24. Juni 2021 eine Meldung des Magazins «Inside IT» von vielen Schweizer Medien aufgenommen wurde: Der Bund wolle seine Daten in «fremde Hände» geben, so die Nachricht sinngemäss, in die Hände der Chinesen und der Amerikaner. Den Zuschlag für die Beschaffung einer Public Cloud mit einem Auftragsvolumen von 110 Millionen Franken sollen die Unternehmen Microsoft, Oracle, IBM, Amazon und Alibaba erhalten.
Schweizer Anbieter? Fehlanzeige.
Die Nachricht sorgte für Empörung unter Bundesparlamentarierinnen, Wissenschaftlern und in der breiten Öffentlichkeit. Und noch an einem anderen Ort: bei Google, das seit Jahren in den Standort Schweiz investiert, mindestens so etabliert ist wie die Konkurrenz – und leer ausging.
Kurz darauf wurden so ziemlich alle staats- und demokratiepolitischen Hebel in Bewegung gesetzt, um diese Entscheidung anzugreifen: Google legte beim Bundesverwaltungsgericht eine Beschwerde dagegen ein und verlor in einem Zwischenentscheid (hätte aber, dazu später mehr, möglicherweise gewinnen können). Zeitgleich drohte eine Gruppe von Datenschützerinnen, Professoren und Firmen aus der Westschweiz mit einer Volksinitiative, sollte die Schweiz nicht doch eine eigene «Bundescloud» schaffen. Bundesparlamentarierinnen löcherten den Bundesrat in den Fragestunden. Schliesslich kündigte gar die Geschäftsprüfungskommission Anfang Juli eine Untersuchung des Vergabeprozesses an. Und Schweizer Cloud-Anbieter wie Infomaniak, die ebenfalls leer ausgingen, liessen ihrem Frust freien Lauf.
Wie und warum war es zu dieser Eskalation gekommen?
Rekonstruktion des Cloud-Dramas
Gestützt auf das Öffentlichkeitsgesetz hat sich die Republik sämtliche Dokumente der Ämterkonsultation beschafft, die dem Vergabeentscheid vorausgingen. Es sind Dokumente, die erst jetzt freigegeben worden sind, nachdem der Rechtsstreit mit Google abgeschlossen worden war und während die Rahmenverträge mit den fünf Big-Tech-Unternehmen erarbeitet werden. Weitere öffentlich verfügbare Papiere sowie Gespräche mit Insidern ermöglichen es der Republik nun, die Geschichte des Cloud-Entscheids zu rekonstruieren.
Dabei zeigt sich: Der Bund hat interne Warnungen zum heiklen Beschaffungsprozess ignoriert, Fehler in der Ausschreibung begangen – und dazu die kommunikativen und medialen Risiken der Public-Cloud-Ausschreibung komplett unterschätzt. Vieles davon wäre vermeidbar gewesen, hätte man die Diskussionen, die jetzt zwangsläufig über diese Beschaffung hereinbrechen, früher und offener geführt – auch im Parlament.
Die wichtigsten Erkenntnisse:
Das Justiz- und Polizeidepartement (EJPD) und das Büro des Datenschutz- und Öffentlichkeitsbeauftragten (Edöb) hatten bereits in der Ämterkonsultation im April 2020 Bedenken bezüglich des Datenschutzes und eines allfälligen Zugriffs auf die Daten aufgrund ausländischer Gesetze (insbesondere von den USA und China) angebracht. Konkret: Der Edöb schlug vor, privacy oder die Einhaltung der Datenschutzverordnung DSGVO in der Ausschreibung zu verankern. Das EJPD forderte als zwingende Bedingung, dass keine vertraulichen Daten in der Public Cloud gespeichert werden sollen. Beide Forderungen wurden von den Verantwortlichen abgelehnt.
Aus den Unterlagen geht ebenfalls hervor, dass die Ausschreibung bewusst auf die grossen ausländischen Big-Tech-Unternehmen zugeschnitten wurde und kleinere Anbieter dadurch abgeschreckt werden sollten, Offerten einzureichen.
Auch das Bundesverwaltungsgericht übt in seiner Antwort auf die Beschwerde von Google scharfe Kritik. Hätte Google bereits die Ausschreibung – und nicht erst den Zuschlag an die fünf Konkurrenten – angefochten, hätte der US-Konzern wohl recht erhalten und damit den Beschaffungsprozess gestoppt. Das legen verschiedene Passagen des Zwischenentscheids nahe, die auf klare Mängel und Rechtswidrigkeiten hinweisen. Zur selben Einschätzung kommen auch Experten in Gesprächen mit der Republik.
Es ist ein Beschaffungsdrama, das sich mit einiger Vorlaufzeit abzeichnete. Die ganze Geschichte in sechs Kapiteln.
1. Die Verwaltung will in die Cloud
Am 30. Januar 2019 verabschiedete der Bundesrat ein sogenanntes Zielbild für die digitale Transformation in der Bundesverwaltung. Darin hielt die Schweizer Regierung fest, dass Verwaltungsdienstleistungen rund um die Uhr zur Verfügung stehen sollen. Ausserdem soll jede Bürgerin quasi mit einem digitalen single point of contact zur gewünschten Dienstleistung gelangen. «Kundenzentriertheit» heisst das in moderner Verwaltungssprache.
Verabschiedet wird die IKT-Strategie (Informations- und Kommunikationstechnik) vom Bundesrat am 3. April 2020. Die Strategie hält fest, wie die Ziele erreicht werden sollen: durch den Erwerb von neuen Technologien, durch den Kompetenzaufbau für data science sowie als weiterer Bestandteil eben durch die Nutzung von «Hybrid-Clouds». Gemeint ist damit: Zum einen sollen Daten nach Bedarf in einem geschützten Rechenzentrum des Bundes gespeichert werden können, zum anderen aber eben auch flexibel in sogenannten Public-Cloud-Diensten. Die Verwaltung soll schnell «auf sichere, kostengünstige und rasch verfügbare Cloud-Dienste zurückgreifen» können, steht im Strategiepapier.
Aus diesen Zielen wurde ein Auftrag abgeleitet: Um festzulegen, ob und wie man auf externe oder interne Anbieter aus Privatwirtschaft und Bundesverwaltung zurückgreift, sei eine spezifische Cloud-Strategie erforderlich. So weit, so nachvollziehbar.
Diese Cloud-Strategie verabschiedete der Bundesrat im Dezember 2020. Zentraler Punkt: Der Bund will «Cloud first». Lokale IT-Leistungen sollen nur noch selten genutzt werden, wenn es spezifische Gründe dafür gibt – der Rest soll in die Wolke gehen.
Damit war zu klären: Wer soll diese öffentliche virtuelle Infrastruktur anbieten? Eine Frage von höchster politischer und öffentlicher Brisanz, wie dem Bundesrat angesichts hitziger weltweiter Debatten um die Zugriffsrechte US-amerikanischer oder chinesischer Behörden auf anderswo gelagerte Daten durchaus bewusst war.
Dennoch schlug sich dieses Bewusstsein, wie sich rückblickend feststellen lässt, nur zum Teil in der Ausschreibung nieder. Ebenso fehlte dieses Bewusstsein im Parlament – bis zu einem jähen Aufwachen im Juni 2021.
2. Der leise Abschied von der Swiss Cloud
Als im Juni 2021 der Zuschlag für Microsoft, Oracle, IBM, Amazon und Alibaba bekannt wurde, ging endlich der Alarm los. In der Herbstsession schalteten sich die Bundesparlamentarier in das Geschäft ein. Gleich acht Mal wurde die umstrittene Beschaffung rund um Microsoft, Alibaba und Co. in Interpellationen und Fragestunden thematisiert.
FDP-Nationalrätin Isabelle Moret etwa verlangte am 27. September 2021 Antworten. Sie wollte wissen, was mit der Idee einer eigenen Swiss Cloud geschehen sei. Es handelt sich dabei um eine allfällige vom Bund betriebene Infrastruktur – ein Projekt, das parallel zur Ausschreibung geprüft wurde.
Bundeskanzler Walter Thurnherr antwortete, dass das eine nichts mit dem anderen zu tun habe. Mit der Public Cloud sollen die Ämter eigene Anwendungen mittels Daten kreieren. Bei der Swiss Cloud hingegen stand die Frage im Vordergrund, ob der Bund für Schweizer Firmen eine Cloud zur Verfügung stellen soll. Dabei geht es nicht um technologische Innovationen, sondern nur um die simple Lagerung von Firmendaten.
Doch ein Äpfel-Birnen-Vergleich, wie das der Bundeskanzler in der parlamentarischen Debatte darstellte, war die Frage von Nationalrätin Moret ganz und gar nicht. Im Kern geht es um dasselbe Thema: die Frage der digitalen Souveränität der Schweiz. Anders gesagt: um mögliche kommerzielle Abhängigkeiten von ausländischen Big-Tech-Firmen und allfällige rechtliche Risiken, die der Schweiz daraus entstehen könnten.
Das haben die Expertinnen des Informatiksteuerungsorgans des Bundes (ISB) durchaus auch erkannt. In der im Dezember 2020 verabschiedeten Bedarfsstudie zur Swiss Cloud hielten sie wortwörtlich fest: Es gehe um das «Anliegen, die Souveränität über die eigenen Daten sicherzustellen».
Gleich am 6. April 2020 – also drei Tage nach Verabschiedung der IKT-Strategie durch den Bundesrat – hatte man zum Kick-off für die Swiss Cloud gerufen. Die ISB-Vertreter führten zusammen mit der Unternehmensberatung AWK Group eine Umfrage und Workshops mit Expertinnen aus Wirtschaft, Wissenschaft und öffentlichem Sektor durch. Nicht befragt wurden: die netzpolitische Zivilgesellschaft und auch Bürger selbst.
Das Ergebnis der Umfrage war ernüchternd: nur 24 Prozent sprachen sich für eine eigene Schweizer Bundescloud aus. Grund: Man kam zum Schluss, dass eine Swiss Cloud nicht zwingend mehr Sicherheit bringen würde.
«Die Annahme, dass eigene IT-Infrastrukturen grundsätzlich sicherer seien, ist (…) trügerisch», lautete eine der Schlussfolgerungen der Studie. Eine Mehrheit fand die Leistungen von kommerziellen Cloud-Anbietern genügend. «Wir haben etwa festgestellt, dass es mehr Sinn macht, die Sache auf der Datenebene anzuschauen. Etwa: Wo dürfen besonders schützenswerte Daten gespeichert werden, wo nicht?», sagt Reto Schubnell, Workshop-Teilnehmer und Projektleiter am Kompetenzzentrum Digitale Verwaltung des Kantons Thurgau, zur Republik.
Am Ende empfahlen die Expertinnen dem Bundesrat: Die Swiss Cloud als eigene Infrastruktur lohne sich nicht, weil die Nachfrage aus der Wirtschaft fehle. Stattdessen solle Swissness nur noch ein allfälliges Gütelabel sein, das private Firmen nutzen könnten.
Doch schon damals stand ein Elefant im Raum. Und er wurde auch mehrfach angesprochen: der Datenhunger amerikanischer und chinesischer Behörden, besonders bei vertraulichen Daten. Er gilt bei allen Stärken ausländischer Anbieter als gewichtiger Nachteil. Also hielten die geladenen Experten unter anderem fest: Bei einer allfälligen Zusammenarbeit des Bundes mit ausländischen Anbietern müsse der Aspekt «Es besteht keine Pflicht zur Datenherausgabe an Dritte» ein wichtiges Kriterium sein.
Der Bundesrat folgte der Empfehlung, die Swiss Cloud fallen zu lassen. Am 11. Dezember 2020 teilte er mit: «Der Bedarf an einer ‹Swiss Cloud› in Gestalt einer eigenständigen öffentlich-rechtlichen technischen Infrastruktur und als Erfolgsfaktor für den Standort Schweiz ist nicht ausgewiesen.»
Vier Tage zuvor startete die Regierung für die eigene Public-Cloud-Beschaffung eine öffentliche Ausschreibung nach WTO-Kriterien, die bis zum 3. Februar 2021 andauerte. Federführend für die Ausschreibung war ein Projektteam aus dem Informatiksteuerungsorgan des Bundes, dem Bundesamt für Bauten und Logistik (BBL) sowie dem Bundesamt für Informatik und Telekommunikation (BIT). Im Januar 2021 übernahm dann die Abteilung Digitale Transformation und IKT-Lenkung (DTI) der Bundeskanzlei das Public-Cloud-Dossier.
Der Ausschreibung war jedoch ein weiterer wichtiger Prozess vorausgegangen: die Ämterkonsultation. Und da äusserten einige der befragten Ämter ähnliche Warnungen, wie sie auch manche Teilnehmerinnen des Swiss-Cloud-Kick-offs geäussert hatten – und wie sie schliesslich nach dem Beschaffungsentscheid auch in News-Schlagzeilen zu lesen waren.
3. Abwiegeln beim Datenschutz
Zwischen dem 7. und dem 23. April 2020 waren sämtliche Bundesdepartemente aufgerufen, die entworfenen Pflichtenhefte zu durchstöbern und Kritikpunkte vorzubringen. Die meisten Ämter waren zufrieden und attestierten dem Projektteam einen good job, denn die Gestaltung eines Beschaffungsprozesses nach WTO-Regeln gilt als sehr aufwendig und kompliziert. Viele der von den Ämtern angesprochenen Feedback-Punkte wurden vom Projektteam auch nachgebessert. Etwa die Aspekte Auditrechte, Verschlüsselungen und weitere Erfordernisse bei der IT-Sicherheit.
Nicht aufgenommen wurden vom Projektteam hingegen Bedenken, die das EJPD, der Edöb und das ISB in internen Mailwechseln anbrachten.
Grundsätzlich war vielen Beteiligten bewusst, dass die ausländischen Gesetze, denen die Big-Tech-Unternehmen unterstehen, ein potenzielles Risiko für die Schweiz sein könnten. So heisst es bereits in der Cloud-Strategie: «Dabei ist auch zu prüfen, ob die Public-Cloud-Anbieter gemäss den Rechtsordnungen ihrer Herkunftsländer Daten an die jeweiligen Regierungen herausgeben müssen und welche Datenhaltungs-Regionen sie anbieten.»
Auch die konsultierten Bundesämter thematisierten diesen Punkt. Stefan Neuenschwander vom Generalsekretariat EFD fragte in einer E-Mail, die der Republik vorliegt, wie man mit dem US-amerikanischen «Cloud Act» verfahren möchte. Dabei handelt es sich um ein Gesetz, das den amerikanischen Behörden Zugriff auf die Daten aller US-Unternehmen ermöglicht – selbst wenn diese in europäischen Datenzentren gehalten werden.
Der zuständige Projektmitarbeiter anerkennt in seiner E-Mail-Antwort den «Cloud Act» zwar als reales Risiko. Er weist skurrilerweise dann aber darauf hin, dass auch in China bedrohliche Gesetze existieren würden: «Dort gibt es den MLPS 2.0 Standard der chinesischen Regierung, der es explizit untersagt, verschlüsselte Daten in der Cloud zu speichern.»
Der Mitarbeiter versicherte in der E-Mail-Antwort, man werde Vorkehrungen treffen und «versuchen, an alles zu denken», aber er gab sich auch realistisch: «… es wird immer ein Restrisiko verbleiben. Absolute Sicherheit gibt es auch hier nicht.»
Interne Unterlagen zeigen weitere Kritikpunkte auf. So etwa von Matthias Haussener vom Büro des eidgenössischen Datenschützers: Er verlangte die Verankerung der europäischen Datenschutzverordnung DSGVO im Anforderungskatalog. Doch das Beschaffungsteam vertröstete ihn auf später: «Bei den späteren Abrufen (also der Bezüge der Cloud-Leistung durch die verschiedenen Verwaltungsämter; Anmerk. der Red.) kann die Einhaltung von DSGVO als Kriterium einfliessen.»
Ich will es genauer wissen: Wie steht die Schweiz zum «Cloud Act»? Gibt es doch keine Swiss Cloud? Und welche Cloud-Initiativen lanciert die EU?
Dass der amerikanische «Cloud Act» zu einem schweizerischen Problem werden könnte, hat das Bundesamt für Justiz im Herbst 2021 festgehalten. Im Bericht vom 17. September wurde die Frage diskutiert, ob für die Schweiz analog wie für Grossbritannien ein bilaterales «Cloud Act»-Abkommen mit den USA mit Rechten und Pflichten infrage käme. Stand jetzt: auf keinen Fall. Es steht zu viel für die Schweiz auf dem Spiel, unter anderem die fehlende und ausstehende Anerkennung des Schweizer Datenschutzniveaus durch die EU. Ausserdem hätten amerikanische Behörden direkten Zugriff auf die Daten von Schweizer Firmen wie Threema, ohne zwischengeschaltete Institutionen wie den Dienst Überwachung Post- und Fernmeldeverkehr (ÜPF). Die Analyse ist eindeutig: Der «Cloud Act» allgemein und auch ein allfälliges spezifisches Abkommen unterwandern das Schweizer Datenschutzrecht.
Ursprünglich war für den Bundesrat durchaus denkbar, eine eigene digitale Infrastruktur aufzubauen. So steht etwa in der Swiss-Cloud-Bedarfsstudie: «Das Land, das über keine relevanten Bodenschätze verfügt, könnte eine moderne, sichere Cloud-Infrastruktur als Alleinstellungsmerkmal im internationalen Standortwettbewerb anbieten.» Diese Vision kommt nicht von ungefähr: Die Schweiz hat die weltweit zweitgrösste Dichte an Rechenzentren.
Doch dann entschieden sich die Verantwortlichen, die Swiss Cloud nur als Policy-Label zu etablieren. Sie sind damit in guter Gesellschaft: Die Autoren der entsprechenden Bedarfsstudie des Bundes recherchierten selbstverständlich auch, was im Ausland passiert. Und konstatierten: «Cloud-Initiativen wurden in verschiedenen Ländern als Infrastruktur- und Plattform-Vorhaben gestartet und haben sich im Laufe der Zeit zu einem Policy-Framework weiterentwickelt.» Etwa die deutsch-französische Initiative Gaia X, die statt einer eigenen Cloud nun ein Qualitätslabel werden soll, wofür sich x-beliebige Firmen aus der ganzen Welt bewerben können und wo in erster Linie EU-Datenschutzrechts-Standards gelten würden.
Mit anderen Worten: Auch andere europäische Länder waren ehrgeizig und wollten eigene Cloud-Strukturen schaffen. Doch die Aufholjagd gegenüber den Grossen aus Amerika und Asien ist chancenlos.
Das Thema Datensouveränität beschäftigte einzelne EU-Staaten auch sonst. Frankreich und Deutschland experimentieren gerade mit einer hybriden Lösung. Denn anders als in der Schweiz ist es den französischen Behörden untersagt, ihre Daten direkt bei ausländischen Konzernen zu lagern. Die Lösung: ein Joint Venture des französischen Rüstungskonzerns Thales mit Google. Der Big-Tech-Konzern baut damit eine eigene Cloud für Frankreichs Regierungskunden. Auch das deutsche Telecomunternehmen T-Systems kooperiert mit Google und Microsoft. Mittels technischer Vorkehrungen wie Pseudonymisierung und eines Gateways – eine Art Zwischenkomponente, die zwischen unterschiedlichen Protokollen vermittelt – sollen Daten stets verschlüsselt in den Big-Tech-Clouds «arbeiten». Ob das funktionieren wird und tatsächlich keine unverschlüsselten Daten von den Konzernen angegriffen werden können, ist aber noch unklar.
In der Zwischenzeit hat sich auch die politische Sachlage in der Schweiz geändert: Der Bundesrat wurde im Zuge der Public-Cloud-Debatte angehalten, sich jenseits eines Gütesiegels für Schweizer Qualität Gedanken über ein eigenes Investment im Bereich Cloud zu machen. Denn das Parlament korrigierte die Entscheidung der Bundesverwaltung und verlangt die Schaffung einer eigenen Swiss Cloud. So sollen Hochschulen, Wissenschaft und Firmen an einer eigenen digitalen Infrastruktur für sensible Daten arbeiten. Dies als Antwort auf eine drohende Volksinitiative, die digitale Unabhängigkeit und Unversehrtheit in der Verfassung forderte.
Das EJPD wiederum forderte in der Konsultation, dass in einer Public Cloud nur unproblematische Daten gelagert werden dürften: «Der Einsatz der ‹Public Cloud› muss sich auf die Bearbeitung von Daten ohne Klassifizierung beschränken. Das Review wurde unter diesem Aspekt gemacht. Falls die ‹Public Cloud› für klassifizierte Daten eingesetzt werden soll, müssten sämtliche Anforderungen grundsätzlich überarbeitet werden.»
Doch einen solch rigorosen Ausschluss lehnte das Projektteam in seiner Antwort ebenfalls ab. Sein Standpunkt: Beim Thema Datenschutz tragen die nutzenden Ämter eine Mitverantwortung. Im Dokument ist von «Shared Responsibility» von Cloud-Anbieter und Cloud-Nutzerin die Rede. Ein Begriff, der auch im Review-Dokument von Gartner vorkommt, einem Marktforschungsunternehmen, das den Bund in der Public-Cloud-Beschaffung beraten hat.
Obwohl also die bekannten amerikanischen und chinesischen Gesetze wie ein Damoklesschwert über dem gesamten Beschaffungsprozess schwebten und obwohl mehrere Personen an mehreren Stellen auf die Brisanz aufmerksam machten, wurden diese heiklen Themen in der offiziellen Ausschreibung nicht weiter definiert.
So steht im Pflichtenheft lediglich: Es sollen zuerst die Provider in ein Angebotsportfolio aufgenommen werden, die «kostengünstige, ausgereifte und skalierbare Infrastruktur und Plattformdienste bieten». Das Thema Datenschutz war – ganz offensichtlich – sekundär.
Diese Ignoranz beim Verfassen der Ausschreibung kritisierte letztlich auch das von Google angerufene Bundesverwaltungsgericht subtil in seinem Entscheid. Ebenso den Umstand, dass auch klassifizierte Daten in einer Public Cloud gespeichert werden dürfen. Es stelle sich die Frage, so die Richter, «ob es nicht sinnvoller gewesen wäre, je nach Informationssicherheits- und Datenschutzanforderungen verschiedene Pakete zu schnüren und mehrere Rahmenverträge auszuschreiben».
Florian Imbach von der Bundeskanzlei – die den Lead in diesem Dossier Anfang 2021 vom ursprünglichen Projektteam übernommen hat und nun die Fehler ihrer Vorgänger ausbaden muss – versichert auf Anfrage der Republik, dass diese Punkte nun alle nachgebessert würden: «Die Rückmeldungen betreffend Einsatz von klassifizierten Daten und Cloud-Sicherheit sollen ausserhalb des Pflichtenhefts umgesetzt werden.» Am Mittwoch hat die Bundeskanzlei interessierten Medienschaffenden ein Dokument zugestellt, das über den Stand der Umsetzung der Edöb-Empfehlungen informiert.
Doch während man beim Thema Datenschutz Versäumnisse einräumt, die allenfalls nachträglich noch korrigiert werden können, ist das für einen anderen Kritikpunkt zu spät: die massgeschneiderte Ausschreibung.
4. Schön zugeschnitten auf Big Tech
Liest man die Ausschreibungsunterlagen auf der Beschaffungsplattform Simap.ch von Dezember 2020 nach, wird schnell klar: kein einziger Schweizer (und auch kein europäischer) Anbieter hätte jemals eine Chance gehabt.
Der Bund forderte darin nämlich, dass von den 32 verlangten Cloud-Service-Dienstleistungen mindestens 24 erfüllt sein müssen, unter anderem «Cloud Internet of Things Platform Services».
Damit würden viel zu viele Dienstleistungen verlangt, findet Matthias Stürmer, IT-Beschaffungsexperte und Leiter des Instituts Public Sector Transformation an der Berner Fachhochschule (BFH): «Schweizer Firmen und auch das Bundesamt für Informatik mit seiner bundesinternen Atlantica Cloud bieten vielleicht ein Dutzend dieser Dienste an.»
Bekannte Schweizer Anbieter wie Exoscale und Infomaniak haben darum gar nicht erst eine Offerte gestellt, denn sie wären von Anfang an chancenlos gewesen. Auch Swisscom offerierte nicht.
Stürmer war erstaunt darüber, dass die Ausschreibung so unglaublich viele «Must-haves» von den mitbietenden Firmen verlangt. Für ihn bleiben die Anwendungsszenarien ein Rätsel: «Wozu braucht der Bund Blockchain ‹ab Stange›? Und wofür Bilderkennungsalgorithmen?»
Florian Imbach von der Bundeskanzlei sagt dazu: «Hypothetische Beispiele gibt es natürlich schon, zum Beispiel Prognosemodelle, Prozessautomatisierung oder Echtzeitauswertung.»
Matthias Stürmer ist mit seiner Kritik am aufgeblähten Leistungskatalog jedoch nicht allein. So wird im Zwischenentscheid des Bundesverwaltungsgerichts klar, dass den Richterinnen der geforderte Leistungskatalog viel zu breit und ungenau ist. Den Tech-Giganten werde damit eine Art Carte blanche ausgestellt für sämtliche IT-Dienstleistungen der Bundesverwaltung. Sie weisen in ihrem Zwischenentscheid gar darauf hin, dass Google auch diesen Punkt durchaus hätte anfechten können: «Die Vergabestelle (das Bundesamt für Bauten und Logistik; Anmerk. der Red.) räumt diesbezüglich ein, dass zur Spezifizierung der Bedürfnisse noch weitere Abklärungen bei den Bedarfsstellen notwendig sind. Ein derartiges Eingeständnis kann eine Ausschreibung durchaus angreifbar machen.»
Ein Killersatz – und eine richterliche Ohrfeige für das Ausschreibungsteam.
Das Gericht kritisiert ausserdem explizit, dass viele relevante Punkte wie Cloud-Bezüge nicht geregelt worden sind: «Zunächst ist der Beschwerdeführerin beizupflichten, wenn sie im Ergebnis festhält, dass die Tatsache, dass für das Abrufverfahren ‹ein noch zu definierender Prozess› zur Anwendung kommen soll, prima facie nicht als spontan Vertrauen erweckend bzw. offensichtlich rechtskonform beurteilt werden kann.»
Nicht «offensichtlich rechtskonform»? Das bedeutet gleichzeitig: potenziell rechtswidrig. Noch eine Ohrfeige der Richter.
Und eine, die hätte vermieden werden können, hätte man besser zugehört. Denn die involvierten Bundesstellen hatten bereits in der Vernehmlassung Vorbehalte gegen die vielen Anforderungen. Matthias Haussener vom Büro des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten fragte etwa: «Was bringt der Bundesverwaltung eine Verteilung der Rechenzentren auf min. 3 Kontinente? Das schliesst möglicherweise Anbieter aus.»
In der Tat war dieses Kriterium ein Totschlagargument gegen fast alle Schweizer Cloud-Unternehmen. Zwar nennt das Beschaffungsteam das Departement für auswärtige Angelegenheiten (EDA) als Grund, weshalb es global tätige Unternehmen brauche, deren Rechenzentren nicht nur in der Schweiz operierten. Ein plausibler Grund. Doch in weiteren Antworten des Beschaffungsteams wird verblüffend offen und in einem saloppen Tonfall zugegeben, dass man mit der Ausschreibung bewusst auf die amerikanischen und chinesischen Big-Tech-Firmen abzielte.
Hier eine Auswahl brisanter interner Aussagen:
«Die Ausschreibung ist insgesamt so gestaltet, dass nur Hyperscaler (AWS, MS, Google und noch 3-4 Andere) in der Lage sind die MUSS-Kriterien zu erfüllen. Es war unser Auftrag genau solche Hyperscaler Zuschläge zu erteilen (…).»
«Zugleich ist uns bewusst, schränken wir hiermit den Markt auf weltweit präsente Public-Cloud-Anbieter ein… was aber auch durchaus gewünscht ist. Nur die Grössten-der-grossen haben genügend Innovationspotenzial um dauerhaft überleben zu können (…)»
«Insgesamt stellen die MUSS-Kriterien ein Filter da, der kleine Anbieter von Cloud Leistungen herausfiltert bzw. nur die Hyperscaler berücksichtigt.»
Als letztes Indiz, dass man die Ausschreibung nicht zufällig nur auf Big Tech zugeschnitten hat: Auch die Consulting-Firma Gartner riet dazu, die Muss-Kriterien ganz auf die Cloud-Giganten abzustimmen: «Als finaler Gegencheck ist daher der Abgleich der Hauptfähigkeiten der Hyperscaler zu empfehlen.»
Die unverblümte Massschneiderei war nicht der einzige Patzer, den sich der Bund leistete. Ein weiterer Punkt hätte womöglich die ganze Ausschreibung gesprengt – wenn ihn denn jemand bemerkt und angefochten hätte.
5. Noch mehr Patzer in der Ausschreibung
Das US-Unternehmen Google, das auch einen Standort in Zürich hat, reichte im Juli 2021 als sechstplatzierter und damit unterlegener Anbieter eine Beschwerde gegen die Entscheidung des Bundes ein. Dabei kritisierte der Big-Tech-Konzern nicht nur den Zuschlag an die Konkurrenz (Google war gegenüber Alibaba ein paar Punkte im Rückstand), sondern machte auch rechtliche Mängel in der Ausschreibung geltend.
Das Bundesverwaltungsgericht lehnte diese Beschwerde in einem Zwischenentscheid vom 18. Oktober 2021 zwar ab. Doch wer die Begründung genau liest, merkt: Google hätte das Verfahren durchaus gewinnen können – wenn sich die Beschwerde (fristgerecht) gegen die Ausschreibung an sich gerichtet hätte. Denn in der Begründung des Zwischenentscheids wird – neben den bereits oben erwähnten Punkten zum Leistungskatalog und zum Datenschutz – auf zahlreiche weitere Unsauberkeiten mit massivem juristischem Sprengpotenzial hingewiesen:
Kein Wettbewerb im Detail: Zum einen moniert das Gericht, dass es keinen Wettbewerb mehr geben werde zwischen den Big-Tech-Firmen beim sogenannten «Mini-Tender-Verfahren», also dann, wenn die Verwaltungseinheiten konkrete Leistungen «buchen». Sie müssen sich an fixen Preislisten der Big-Tech-Firmen für die Cloud-Leistungs-Bezüge orientieren.
Kein Rechtsschutz für die Anbieter: Das Informatiksteuerungsorgan des Bundes – damals noch im Lead bei der Beschaffung – finalisierte die Ausschreibung knapp vor Ende 2020, womit sie noch unter das alte Beschaffungsrecht fiel, das noch bis Jahresende gültig war. (Dies erklärt, warum in der gesamten Ausschreibung keine Vorgabe zur Energiebilanz der zu offerierenden Leistungen gemacht wird, wie es den Zielen des neuen Vergaberechts entsprochen hätte.) Nach diesen alten Vergaberegeln hätten die anbietenden Firmen jedoch einen Rechtsschutz zugute, der im neuen Beschaffungsrecht wegfällt. Konkret: Amazon und Co. hätten ein Recht darauf, beim Bundesverwaltungsgericht Beschwerde einzulegen, wenn sie mit den Cloud-Leistungs-Bezügen durch die Ämter nicht einverstanden wären. Dieser Rechtsschutz existiert nicht nach den neuen Regeln, was vor allem die Beschaffungsstellen und die Bundesverwaltung schützen soll. Das ISB jedoch wollte die Vorteile des neuen wie des alten Rechts nutzen und liess sich den Rechtsschutz einfach «wegbedingen». Dies durch Vorgaben im Anforderungskatalog: «Der Anbieter bestätigt, dass er mit der Bezugsregelung einverstanden ist.»
Das ist ein klar rechtswidriges Vorgehen, wie das Bundesverwaltungsgericht feststellt. Die entsprechende Textstelle dazu findet sich auf Seite 27 des Zwischenentscheids: «Vielmehr ist umgekehrt festzustellen, dass es für diese nicht selbstverständliche Rechtsschutzregelung nach dem bis Ende Dezember 2020 geltenden und vorliegend zur Anwendung kommenden Recht an einer gesetzlichen Grundlage fehlt. (…) Die Vergabestelle war sich der Brisanz der in Frage stehenden Vorgaben denn auch durchaus bewusst.»
Google hätte wahrscheinlich recht bekommen, hätte sich der Konzern auf diesen Punkt konzentriert. Denn das Gericht hält fest: «Zusammenfassend ergibt sich, dass die Ausschreibung, wenn sie denn angefochten worden wäre, in Bezug auf die Ausgestaltung des Rechtsschutzsystems für das Mini-Tender-Verfahren aufgehoben worden wäre.»
Einen Beigeschmack im Gerichtsverfahren liefert ganz grundsätzlich die Rechtsvertretung der Bundesverwaltung. Denn die Kanzlei Walder Wyss, die diese gegen Google vertrat, ist gemäss Markenregister Swissreg.ch in der Schweiz auch für die rechtlichen Belange des Unternehmens Amazon zuständig. Also für einen der Zuschlagsempfänger.
Zu all diesen Holprigkeiten auf dem Weg kam schliesslich eine dazu, die den Sturm vom Sommer erst richtig möglich machte: eine ungenügend vorbereitete Kommunikation.
6. Ungenügende Kommunikation
Wer die Konzeptpapiere aus den Monaten des gesamten Prozesses liest, merkt: Den federführenden Bundesämtern sollte eigentlich klar gewesen sein, welche Tragweite die Cloud-Firma-Entscheidung haben wird.
So steht etwa in der Machbarkeitsstudie zur Swiss Cloud geschrieben, dass das Verhalten der Bundesverwaltung eine Signalwirkung haben werde. «Cloud-Mythen sind weit verbreitet und prägen die Wahrnehmung und das Entscheidverhalten.»
Ebenfalls steht dort, dass man den Prozess «medial nicht entgleisen» lassen dürfe.
Doch genau das ist passiert.
Die gesamte Public-Cloud-Beschaffung wies nicht nur potenziell rechtswidrige Mängel auf, sondern es wurden auch Fehler in der Kommunikation gemacht. Nach der ersten Meldung auf «Inside IT» am 24. Juni («Die Eidgenossenschaft holt Chinesen ins Land») brachen die Schlagzeilen bei den grossen Medienhäusern los: «Chinesische und amerikanische Geheimdienste sind berüchtigt für ihren Datenhunger» (NZZ, 30. Juni), «Schweizer Daten in der China-Cloud?» («Watson», 4. Juli), «Politik untersucht Auftrag an ausländische Cloud-Anbieter» (SRF, 9. Juli).
Doch die erste offizielle Medienmitteilung seitens der Bundesverwaltung gab es erst am 21. Juli, nachdem Google Beschwerde eingelegt hatte. Gespräche mit Vertreterinnen der involvierten Bundesstellen belegen: Man hat die öffentliche Reaktion komplett unterschätzt. Die Ausschreibung wurde nicht begleitend erklärt, heikle Fragen wurden auf später vertagt.
Das Thema Public Cloud sei schwierig zu vermitteln, sagt ausgerechnet Marc Holitscher, National Technology Officer von Microsoft Schweiz, der die öffentliche Debatte rund um das Thema digitale Souveränität mit Interesse mitverfolgt: «Menschen nutzen neue Technologien nur, wenn sie ihnen vertrauen. Ansonsten werden vor allem Risiken wahrgenommen, was die Gestaltungskraft dieser Technologien einschränkt und der wirtschaftlichen und gesellschaftlichen Leistungsfähigkeit eines Landes schadet.»
Als Fehler könnte sich auch entpuppen, dass die Debatte zum Thema Swiss Cloud bisher nur mit Experten und Vertreterinnen der Wirtschaft geführt worden ist. Denn die Bevölkerung hat ganz andere Sensibilitäten bezüglich ihrer Daten als Firmen.
Allerlei Unsauberkeiten in der Ausschreibung, eine Beschwerde, unglückliche Kommunikation – das ist wenig erfreulich. Doch wie skandalös ist die gesamte Geschichte um die Public-Cloud-Beschaffung wirklich?
Fazit: Es ist höchste Zeit für die Debatte um digitale Souveränität
Die öffentliche Aufregung um den Zuschlag an Big Tech ist berechtigt und nachvollziehbar: Es wurde unsauber und hastig gearbeitet, schlecht kommuniziert, es fehlte an Sensibilität und Professionalität.
Darüber hinaus macht das Drama vor allem eines sichtbar: die harte ökonomische und geopolitische Realität des heutigen Cloud-Business. Das Dilemma ist offensichtlich: Nur die grössten Big-Tech-Unternehmen können die Kapazitäten und den hohen Standard an IT-Sicherheit garantieren, die ein anspruchsvoller Grosskunde wie die Schweizer Bundesverwaltung braucht.
Dazu kommt die Macht der Gewohnheit: Die für die Public Cloud gewählten Cloud-Giganten sind keine Unbekannten im öffentlichen Sektor. Schlicht auch deshalb, weil es lange keine Schweizer Firmen in der Branche gab.
Ein «Cloud-Pionieramt» war beispielsweise Swisstopo, das Bundesamt für Landestopografie. Noch 2008 wurde dort – wie in allen Bundesämtern – nur mit bundesinternen Servern gearbeitet. Swisstopo betrieb damit etwa 20 Kartenanwendungen. Als man in die Cloud wechseln wollte, entschied man sich für Amazon. Mitarbeitende von Swisstopo erklärten in einem Vortrag bei CH Open, dem Verein zur Förderung von Open-Source-Software und offenen Standards in der Schweiz, warum: weil Amazon Web Services ihnen die nötige Flexibilität verschaffte – und damit auch einiges an Kosten einsparte.
Auch das Bundesamt für Informatik und Telekommunikation (BIT), die Eidgenössische Zollverwaltung und das Bundesamt für Meteorologie nutzen längst den Cloud-Giganten Amazon für ihre Dienstleistungen. Die gesamte Bundesverwaltung wiederum ist mehrheitlich mit Microsoft-Produkten ausgestattet, wie auf der Beschaffungsplattform Simap.ch transparent dokumentiert ist.
Es ist banal: Insbesondere die US-amerikanischen Tech-Unternehmen sind viel zu weit voraus, als dass europäische oder gar Schweizer Unternehmen eine Chance hätten.
Welcher der fünf Sieger der Ausschreibung im Einzelfall schliesslich zum Einsatz kommen wird, ist offen – denn die Ämter entscheiden selber, welchem der Cloud-Giganten sie ihre Daten anvertrauen möchten. Es ist gut möglich, dass etwa Alibaba letztlich doch keinen einzigen Franken des 110-Millionen-Franken-Volumens erhalten wird, weil sich jede Verwaltungseinheit für einen der Mitbewerber entscheidet. Vielleicht wird sich die Schweiz diesbezüglich vorerst also nur um den amerikanischen und nicht um den chinesischen Datenhunger sorgen müssen.
Die grossen, brisanten Grundsatzfragen aber bleiben unabhängig davon, und sie drängen: Welche Daten will man in welchem Ausmass in die Public Cloud stellen? Wie geht man um mit den Risiken, die sich bei aller Nützlichkeit auch stellen? Und wo lohnt es sich für die Schweiz industriepolitisch eben doch, selber in eine Cloud-Infrastruktur zu investieren?
Der grosse Vorteil am Public-Cloud-Beschaffungsdrama ist genau dieser: Endlich wird diese längst überfällige politische Debatte geführt. Es ist ein spannendes Stück Digitalgeschichte der Schweiz.
Die Bundesverwaltung nahm kritisch Stellung zur Public-Cloud-Recherche der Republik. Doch ihre Argumentation hält einer genauen Betrachtung nicht stand. Hier gehts zum Update: Desinformation aus der Bundeskanzlei.