Wolken in übernatürlichem Blau: Die Bilder zu diesem Beitrag sind Cyanotypien des britischen Künstlers Simon Roberts. Simon Roberts «The Celestials»/DACS Artimage 2022/ProLitteris, Zürich

Wie wegen einer Wolke alle in die Luft gehen

Die Schweiz will Behördendaten in einer Cloud speichern. Und dafür chinesische und amerikanische Konzerne beauftragen. Das sorgte für Empörung. Jetzt zeigt sich: Die Verantwortlichen ignorierten beim Entscheid für Alibaba, Amazon und Co. Warnungen und begingen sogar rechtswidrige Fehler.

Eine Recherche von Adrienne Fichter, 14.01.2022, Update: 31.01.2022

Journalismus, der Ihnen hilft, Entscheidungen zu treffen. Und der das Gemeinsame stärkt: die Freiheit, den Rechtsstaat, die Demokratie. Lernen Sie uns jetzt 21 Tage lang kostenlos und unverbindlich kennen:

Die Aufregung war gross, als am 24. Juni 2021 eine Meldung des Magazins «Inside IT» von vielen Schweizer Medien aufgenommen wurde: Der Bund wolle seine Daten in «fremde Hände» geben, so die Nachricht sinn­gemäss, in die Hände der Chinesen und der Amerikaner. Den Zuschlag für die Beschaffung einer Public Cloud mit einem Auftrags­volumen von 110 Millionen Franken sollen die Unter­nehmen Microsoft, Oracle, IBM, Amazon und Alibaba erhalten.

Schweizer Anbieter? Fehlanzeige.

Die Nachricht sorgte für Empörung unter Bundes­parlamentarierinnen, Wissenschaftlern und in der breiten Öffentlichkeit. Und noch an einem anderen Ort: bei Google, das seit Jahren in den Standort Schweiz investiert, mindestens so etabliert ist wie die Konkurrenz – und leer ausging.

Kurz darauf wurden so ziemlich alle staats- und demokratie­politischen Hebel in Bewegung gesetzt, um diese Entscheidung anzugreifen: Google legte beim Bundes­­verwaltungs­­gericht eine Beschwerde dagegen ein und verlor in einem Zwischen­entscheid (hätte aber, dazu später mehr, möglicher­weise gewinnen können). Zeitgleich drohte eine Gruppe von Daten­schützerinnen, Professoren und Firmen aus der West­schweiz mit einer Volks­initiative, sollte die Schweiz nicht doch eine eigene «Bundes­cloud» schaffen. Bundes­parlamentarierinnen löcherten den Bundesrat in den Frage­­stunden. Schliesslich kündigte gar die Geschäfts­prüfungs­kommission Anfang Juli eine Untersuchung des Vergabe­­­prozesses an. Und Schweizer Cloud-Anbieter wie Infomaniak, die ebenfalls leer ausgingen, liessen ihrem Frust freien Lauf.

Wie und warum war es zu dieser Eskalation gekommen?

Rekonstruktion des Cloud-Dramas

Gestützt auf das Öffentlichkeits­gesetz hat sich die Republik sämtliche Dokumente der Ämter­konsultation beschafft, die dem Vergabe­entscheid voraus­gingen. Es sind Dokumente, die erst jetzt freigegeben worden sind, nachdem der Rechts­streit mit Google abgeschlossen worden war und während die Rahmen­verträge mit den fünf Big-Tech-Unternehmen erarbeitet werden. Weitere öffentlich verfügbare Papiere sowie Gespräche mit Insidern ermöglichen es der Republik nun, die Geschichte des Cloud-Entscheids zu rekonstruieren.

Dabei zeigt sich: Der Bund hat interne Warnungen zum heiklen Beschaffungs­prozess ignoriert, Fehler in der Ausschreibung begangen – und dazu die kommunikativen und medialen Risiken der Public-Cloud-Ausschreibung komplett unterschätzt. Vieles davon wäre vermeidbar gewesen, hätte man die Diskussionen, die jetzt zwangs­läufig über diese Beschaffung herein­brechen, früher und offener geführt – auch im Parlament.

Die wichtigsten Erkenntnisse:

  1. Das Justiz- und Polizei­departement (EJPD) und das Büro des Daten­schutz- und Öffentlichkeits­beauftragten (Edöb) hatten bereits in der Ämter­konsultation im April 2020 Bedenken bezüglich des Daten­schutzes und eines allfälligen Zugriffs auf die Daten aufgrund ausländischer Gesetze (insbesondere von den USA und China) angebracht. Konkret: Der Edöb schlug vor, privacy oder die Einhaltung der Daten­schutz­verordnung DSGVO in der Ausschreibung zu verankern. Das EJPD forderte als zwingende Bedingung, dass keine vertraulichen Daten in der Public Cloud gespeichert werden sollen. Beide Forderungen wurden von den Verantwortlichen abgelehnt.

  2. Aus den Unterlagen geht ebenfalls hervor, dass die Ausschreibung bewusst auf die grossen ausländischen Big-Tech-Unternehmen zugeschnitten wurde und kleinere Anbieter dadurch abgeschreckt werden sollten, Offerten einzureichen.

  3. Auch das Bundes­verwaltungs­gericht übt in seiner Antwort auf die Beschwerde von Google scharfe Kritik. Hätte Google bereits die Ausschreibung – und nicht erst den Zuschlag an die fünf Konkurrenten – angefochten, hätte der US-Konzern wohl recht erhalten und damit den Beschaffungs­prozess gestoppt. Das legen verschiedene Passagen des Zwischen­­entscheids nahe, die auf klare Mängel und Rechts­widrigkeiten hinweisen. Zur selben Einschätzung kommen auch Experten in Gesprächen mit der Republik.

Es ist ein Beschaffungs­drama, das sich mit einiger Vorlauf­zeit abzeichnete. Die ganze Geschichte in sechs Kapiteln.

1. Die Verwaltung will in die Cloud

Am 30. Januar 2019 verabschiedete der Bundes­rat ein sogenanntes Zielbild für die digitale Trans­formation in der Bundes­­verwaltung. Darin hielt die Schweizer Regierung fest, dass Verwaltungs­dienstleistungen rund um die Uhr zur Verfügung stehen sollen. Ausserdem soll jede Bürgerin quasi mit einem digitalen single point of contact zur gewünschten Dienst­leistung gelangen. «Kunden­zentriertheit» heisst das in moderner Verwaltungs­sprache.

Verabschiedet wird die IKT-Strategie (Informations- und Kommunikations­technik) vom Bundesrat am 3. April 2020. Die Strategie hält fest, wie die Ziele erreicht werden sollen: durch den Erwerb von neuen Technologien, durch den Kompetenz­aufbau für data science sowie als weiterer Bestand­teil eben durch die Nutzung von «Hybrid-Clouds». Gemeint ist damit: Zum einen sollen Daten nach Bedarf in einem geschützten Rechen­zentrum des Bundes gespeichert werden können, zum anderen aber eben auch flexibel in sogenannten Public-Cloud-Diensten. Die Verwaltung soll schnell «auf sichere, kosten­günstige und rasch verfügbare Cloud-Dienste zurück­greifen» können, steht im Strategie­papier.

Aus diesen Zielen wurde ein Auftrag abgeleitet: Um festzulegen, ob und wie man auf externe oder interne Anbieter aus Privat­wirtschaft und Bundes­verwaltung zurück­greift, sei eine spezifische Cloud-Strategie erforderlich. So weit, so nachvollziehbar.

Diese Cloud-Strategie verabschiedete der Bundes­rat im Dezember 2020. Zentraler Punkt: Der Bund will «Cloud first». Lokale IT-Leistungen sollen nur noch selten genutzt werden, wenn es spezifische Gründe dafür gibt – der Rest soll in die Wolke gehen.

Simon Roberts «The Celestials»/DACS Artimage 2022/ProLitteris, Zürich

Damit war zu klären: Wer soll diese öffentliche virtuelle Infra­struktur anbieten? Eine Frage von höchster politischer und öffentlicher Brisanz, wie dem Bundes­rat angesichts hitziger weltweiter Debatten um die Zugriffs­rechte US-amerikanischer oder chinesischer Behörden auf anderswo gelagerte Daten durchaus bewusst war.

Dennoch schlug sich dieses Bewusstsein, wie sich rückblickend feststellen lässt, nur zum Teil in der Ausschreibung nieder. Ebenso fehlte dieses Bewusstsein im Parlament – bis zu einem jähen Aufwachen im Juni 2021.

2. Der leise Abschied von der Swiss Cloud

Als im Juni 2021 der Zuschlag für Microsoft, Oracle, IBM, Amazon und Alibaba bekannt wurde, ging endlich der Alarm los. In der Herbst­session schalteten sich die Bundes­parlamentarier in das Geschäft ein. Gleich acht Mal wurde die umstrittene Beschaffung rund um Microsoft, Alibaba und Co. in Inter­pellationen und Frage­stunden thematisiert.

FDP-National­rätin Isabelle Moret etwa verlangte am 27. September 2021 Antworten. Sie wollte wissen, was mit der Idee einer eigenen Swiss Cloud geschehen sei. Es handelt sich dabei um eine allfällige vom Bund betriebene Infrastruktur – ein Projekt, das parallel zur Ausschreibung geprüft wurde.

Bundeskanzler Walter Thurnherr antwortete, dass das eine nichts mit dem anderen zu tun habe. Mit der Public Cloud sollen die Ämter eigene Anwendungen mittels Daten kreieren. Bei der Swiss Cloud hingegen stand die Frage im Vorder­grund, ob der Bund für Schweizer Firmen eine Cloud zur Verfügung stellen soll. Dabei geht es nicht um technologische Innovationen, sondern nur um die simple Lagerung von Firmen­daten.

Doch ein Äpfel-Birnen-Vergleich, wie das der Bundes­kanzler in der parlamentarischen Debatte darstellte, war die Frage von National­rätin Moret ganz und gar nicht. Im Kern geht es um dasselbe Thema: die Frage der digitalen Souveränität der Schweiz. Anders gesagt: um mögliche kommerzielle Abhängigkeiten von ausländischen Big-Tech-Firmen und allfällige rechtliche Risiken, die der Schweiz daraus entstehen könnten.

Das haben die Expertinnen des Informatik­steuerungs­organs des Bundes (ISB) durchaus auch erkannt. In der im Dezember 2020 verabschiedeten Bedarfs­­studie zur Swiss Cloud hielten sie wort­wörtlich fest: Es gehe um das «Anliegen, die Souveränität über die eigenen Daten sicher­zustellen».

Gleich am 6. April 2020 – also drei Tage nach Verabschiedung der IKT-Strategie durch den Bundes­rat – hatte man zum Kick-off für die Swiss Cloud gerufen. Die ISB-Vertreter führten zusammen mit der Unternehmens­beratung AWK Group eine Umfrage und Workshops mit Expertinnen aus Wirtschaft, Wissenschaft und öffentlichem Sektor durch. Nicht befragt wurden: die netz­politische Zivil­gesellschaft und auch Bürger selbst.

Das Ergebnis der Umfrage war ernüchternd: nur 24 Prozent sprachen sich für eine eigene Schweizer Bundescloud aus. Grund: Man kam zum Schluss, dass eine Swiss Cloud nicht zwingend mehr Sicherheit bringen würde.

«Die Annahme, dass eigene IT-Infrastrukturen grund­sätzlich sicherer seien, ist (…) trügerisch», lautete eine der Schluss­folgerungen der Studie. Eine Mehrheit fand die Leistungen von kommerziellen Cloud-Anbietern genügend. «Wir haben etwa festgestellt, dass es mehr Sinn macht, die Sache auf der Daten­ebene anzuschauen. Etwa: Wo dürfen besonders schützens­werte Daten gespeichert werden, wo nicht?», sagt Reto Schubnell, Workshop-Teilnehmer und Projekt­leiter am Kompetenz­zentrum Digitale Verwaltung des Kantons Thurgau, zur Republik.

Am Ende empfahlen die Expertinnen dem Bundesrat: Die Swiss Cloud als eigene Infrastruktur lohne sich nicht, weil die Nachfrage aus der Wirtschaft fehle. Stattdessen solle Swissness nur noch ein allfälliges Gütelabel sein, das private Firmen nutzen könnten.

Doch schon damals stand ein Elefant im Raum. Und er wurde auch mehrfach angesprochen: der Daten­hunger amerikanischer und chinesischer Behörden, besonders bei vertraulichen Daten. Er gilt bei allen Stärken ausländischer Anbieter als gewichtiger Nachteil. Also hielten die geladenen Experten unter anderem fest: Bei einer allfälligen Zusammen­arbeit des Bundes mit ausländischen Anbietern müsse der Aspekt «Es besteht keine Pflicht zur Daten­herausgabe an Dritte» ein wichtiges Kriterium sein.

Der Bundesrat folgte der Empfehlung, die Swiss Cloud fallen zu lassen. Am 11. Dezember 2020 teilte er mit: «Der Bedarf an einer ‹Swiss Cloud› in Gestalt einer eigenständigen öffentlich-rechtlichen technischen Infra­struktur und als Erfolgs­faktor für den Standort Schweiz ist nicht ausgewiesen.»

Vier Tage zuvor startete die Regierung für die eigene Public-Cloud-Beschaffung eine öffentliche Ausschreibung nach WTO-Kriterien, die bis zum 3. Februar 2021 andauerte. Feder­führend für die Ausschreibung war ein Projekt­team aus dem Informatik­steuerungs­organ des Bundes, dem Bundes­amt für Bauten und Logistik (BBL) sowie dem Bundes­amt für Informatik und Telekommunikation (BIT). Im Januar 2021 übernahm dann die Abteilung Digitale Transformation und IKT-Lenkung (DTI) der Bundes­kanzlei das Public-Cloud-Dossier.

Die Farbgebung. Simon Roberts «The Celestials»/DACS Artimage 2022/ProLitteris, Zürich

Der Ausschreibung war jedoch ein weiterer wichtiger Prozess voraus­gegangen: die Ämter­konsultation. Und da äusserten einige der befragten Ämter ähnliche Warnungen, wie sie auch manche Teilnehmerinnen des Swiss-Cloud-Kick-offs geäussert hatten – und wie sie schliesslich nach dem Beschaffungs­entscheid auch in News-Schlagzeilen zu lesen waren.

3. Abwiegeln beim Daten­schutz

Zwischen dem 7. und dem 23. April 2020 waren sämtliche Bundes­departemente aufgerufen, die entworfenen Pflichten­hefte zu durchstöbern und Kritik­punkte vorzubringen. Die meisten Ämter waren zufrieden und attestierten dem Projekt­team einen good job, denn die Gestaltung eines Beschaffungs­prozesses nach WTO-Regeln gilt als sehr aufwendig und kompliziert. Viele der von den Ämtern angesprochenen Feedback-Punkte wurden vom Projekt­team auch nachgebessert. Etwa die Aspekte Audit­rechte, Verschlüsselungen und weitere Erfordernisse bei der IT-Sicherheit.

Nicht aufgenommen wurden vom Projekt­team hingegen Bedenken, die das EJPD, der Edöb und das ISB in internen Mail­wechseln anbrachten.

Grundsätzlich war vielen Beteiligten bewusst, dass die ausländischen Gesetze, denen die Big-Tech-Unternehmen unterstehen, ein potenzielles Risiko für die Schweiz sein könnten. So heisst es bereits in der Cloud-Strategie: «Dabei ist auch zu prüfen, ob die Public-Cloud-Anbieter gemäss den Rechts­ordnungen ihrer Herkunfts­länder Daten an die jeweiligen Regierungen heraus­geben müssen und welche Daten­haltungs-Regionen sie anbieten.»

Auch die konsultierten Bundes­ämter thematisierten diesen Punkt. Stefan Neuen­schwander vom General­sekretariat EFD fragte in einer E-Mail, die der Republik vorliegt, wie man mit dem US-amerikanischen «Cloud Act» verfahren möchte. Dabei handelt es sich um ein Gesetz, das den amerikanischen Behörden Zugriff auf die Daten aller US-Unternehmen ermöglicht – selbst wenn diese in europäischen Daten­zentren gehalten werden.

Der zuständige Projekt­mitarbeiter anerkennt in seiner E-Mail-Antwort den «Cloud Act» zwar als reales Risiko. Er weist skurriler­weise dann aber darauf hin, dass auch in China bedrohliche Gesetze existieren würden: «Dort gibt es den MLPS 2.0 Standard der chinesischen Regierung, der es explizit untersagt, verschlüsselte Daten in der Cloud zu speichern.»

Der Mitarbeiter versicherte in der E-Mail-Antwort, man werde Vorkehrungen treffen und «versuchen, an alles zu denken», aber er gab sich auch realistisch: «… es wird immer ein Restrisiko verbleiben. Absolute Sicherheit gibt es auch hier nicht.»

Interne Unterlagen zeigen weitere Kritik­punkte auf. So etwa von Matthias Haussener vom Büro des eidgenössischen Daten­schützers: Er verlangte die Verankerung der europäischen Daten­schutz­verordnung DSGVO im Anforderungs­katalog. Doch das Beschaffungs­team vertröstete ihn auf später: «Bei den späteren Abrufen (also der Bezüge der Cloud-Leistung durch die verschiedenen Verwaltungs­ämter; Anmerk. der Red.) kann die Einhaltung von DSGVO als Kriterium einfliessen.»

Ich will es genauer wissen: Wie steht die Schweiz zum «Cloud Act»? Gibt es doch keine Swiss Cloud? Und welche Cloud-Initiativen lanciert die EU?

Dass der amerikanische «Cloud Act» zu einem schweizerischen Problem werden könnte, hat das Bundes­amt für Justiz im Herbst 2021 festgehalten. Im Bericht vom 17. September wurde die Frage diskutiert, ob für die Schweiz analog wie für Grossbritannien ein bilaterales «Cloud Act»-Abkommen mit den USA mit Rechten und Pflichten infrage käme. Stand jetzt: auf keinen Fall. Es steht zu viel für die Schweiz auf dem Spiel, unter anderem die fehlende und ausstehende Anerkennung des Schweizer Daten­schutz­niveaus durch die EU. Ausserdem hätten amerikanische Behörden direkten Zugriff auf die Daten von Schweizer Firmen wie Threema, ohne zwischen­geschaltete Institutionen wie den Dienst Überwachung Post- und Fernmelde­verkehr (ÜPF). Die Analyse ist eindeutig: Der «Cloud Act» allgemein und auch ein allfälliges spezifisches Abkommen unter­wandern das Schweizer Datenschutz­recht.

Ursprünglich war für den Bundesrat durchaus denkbar, eine eigene digitale Infrastruktur aufzubauen. So steht etwa in der Swiss-Cloud-Bedarfs­studie: «Das Land, das über keine relevanten Boden­schätze verfügt, könnte eine moderne, sichere Cloud-Infrastruktur als Alleinstellungs­merkmal im internationalen Standort­wettbewerb anbieten.» Diese Vision kommt nicht von ungefähr: Die Schweiz hat die weltweit zweitgrösste Dichte an Rechen­zentren.

Doch dann entschieden sich die Verantwortlichen, die Swiss Cloud nur als Policy-Label zu etablieren. Sie sind damit in guter Gesellschaft: Die Autoren der entsprechenden Bedarfs­studie des Bundes recherchierten selbst­verständlich auch, was im Ausland passiert. Und konstatierten: «Cloud-Initiativen wurden in verschiedenen Ländern als Infrastruktur- und Plattform-Vorhaben gestartet und haben sich im Laufe der Zeit zu einem Policy-Framework weiter­entwickelt.» Etwa die deutsch-französische Initiative Gaia X, die statt einer eigenen Cloud nun ein Qualitäts­label werden soll, wofür sich x-beliebige Firmen aus der ganzen Welt bewerben können und wo in erster Linie EU-Daten­schutz­rechts-Standards gelten würden.

Mit anderen Worten: Auch andere europäische Länder waren ehrgeizig und wollten eigene Cloud-Strukturen schaffen. Doch die Aufhol­jagd gegenüber den Grossen aus Amerika und Asien ist chancenlos.

Das Thema Daten­souveränität beschäftigte einzelne EU-Staaten auch sonst. Frankreich und Deutschland experimentieren gerade mit einer hybriden Lösung. Denn anders als in der Schweiz ist es den französischen Behörden untersagt, ihre Daten direkt bei ausländischen Konzernen zu lagern. Die Lösung: ein Joint Venture des französischen Rüstungs­konzerns Thales mit Google. Der Big-Tech-Konzern baut damit eine eigene Cloud für Frankreichs Regierungs­kunden. Auch das deutsche Telecom­unternehmen T-Systems kooperiert mit Google und Microsoft. Mittels technischer Vorkehrungen wie Pseudonymisierung und eines Gateways – eine Art Zwischen­komponente, die zwischen unterschiedlichen Protokollen vermittelt – sollen Daten stets verschlüsselt in den Big-Tech-Clouds «arbeiten». Ob das funktionieren wird und tatsächlich keine unverschlüsselten Daten von den Konzernen angegriffen werden können, ist aber noch unklar.

In der Zwischen­zeit hat sich auch die politische Sachlage in der Schweiz geändert: Der Bundes­rat wurde im Zuge der Public-Cloud-Debatte angehalten, sich jenseits eines Güte­siegels für Schweizer Qualität Gedanken über ein eigenes Investment im Bereich Cloud zu machen. Denn das Parlament korrigierte die Entscheidung der Bundes­verwaltung und verlangt die Schaffung einer eigenen Swiss Cloud. So sollen Hoch­schulen, Wissenschaft und Firmen an einer eigenen digitalen Infra­struktur für sensible Daten arbeiten. Dies als Antwort auf eine drohende Volks­initiative, die digitale Unabhängigkeit und Unversehrtheit in der Verfassung forderte.

Das EJPD wiederum forderte in der Konsultation, dass in einer Public Cloud nur unproblematische Daten gelagert werden dürften: «Der Einsatz der ‹Public Cloud› muss sich auf die Bearbeitung von Daten ohne Klassifizierung beschränken. Das Review wurde unter diesem Aspekt gemacht. Falls die ‹Public Cloud› für klassifizierte Daten eingesetzt werden soll, müssten sämtliche Anforderungen grund­sätzlich überarbeitet werden.»

Doch einen solch rigorosen Ausschluss lehnte das Projekt­team in seiner Antwort ebenfalls ab. Sein Stand­punkt: Beim Thema Daten­schutz tragen die nutzenden Ämter eine Mitverantwortung. Im Dokument ist von «Shared Responsibility» von Cloud-Anbieter und Cloud-Nutzerin die Rede. Ein Begriff, der auch im Review-Dokument von Gartner vorkommt, einem Markt­forschungs­unternehmen, das den Bund in der Public-Cloud-Beschaffung beraten hat.

Obwohl also die bekannten amerikanischen und chinesischen Gesetze wie ein Damokles­schwert über dem gesamten Beschaffungs­prozess schwebten und obwohl mehrere Personen an mehreren Stellen auf die Brisanz aufmerksam machten, wurden diese heiklen Themen in der offiziellen Ausschreibung nicht weiter definiert.

So steht im Pflichten­heft lediglich: Es sollen zuerst die Provider in ein Angebots­portfolio aufgenommen werden, die «kosten­günstige, ausgereifte und skalierbare Infrastruktur und Plattform­dienste bieten». Das Thema Daten­schutz war – ganz offensichtlich – sekundär.

Diese Ignoranz beim Verfassen der Ausschreibung kritisierte letztlich auch das von Google angerufene Bundes­verwaltungs­gericht subtil in seinem Entscheid. Ebenso den Umstand, dass auch klassifizierte Daten in einer Public Cloud gespeichert werden dürfen. Es stelle sich die Frage, so die Richter, «ob es nicht sinnvoller gewesen wäre, je nach Informations­sicherheits- und Daten­schutz­anforderungen verschiedene Pakete zu schnüren und mehrere Rahmen­verträge auszuschreiben».

Florian Imbach von der Bundes­kanzlei – die den Lead in diesem Dossier Anfang 2021 vom ursprünglichen Projekt­team übernommen hat und nun die Fehler ihrer Vorgänger ausbaden muss – versichert auf Anfrage der Republik, dass diese Punkte nun alle nachgebessert würden: «Die Rück­meldungen betreffend Einsatz von klassifizierten Daten und Cloud-Sicherheit sollen ausserhalb des Pflichten­hefts umgesetzt werden.» Am Mittwoch hat die Bundes­kanzlei interessierten Medien­schaffenden ein Dokument zugestellt, das über den Stand der Umsetzung der Edöb-Empfehlungen informiert.

Doch während man beim Thema Daten­schutz Versäumnisse einräumt, die allenfalls nachträglich noch korrigiert werden können, ist das für einen anderen Kritik­punkt zu spät: die massgeschneiderte Ausschreibung.

4. Schön zugeschnitten auf Big Tech

Liest man die Ausschreibungs­unterlagen auf der Beschaffungs­plattform Simap.ch von Dezember 2020 nach, wird schnell klar: kein einziger Schweizer (und auch kein europäischer) Anbieter hätte jemals eine Chance gehabt.

Der Bund forderte darin nämlich, dass von den 32 verlangten Cloud-Service-Dienst­leistungen mindestens 24 erfüllt sein müssen, unter anderem «Cloud Internet of Things Platform Services».

Damit würden viel zu viele Dienst­leistungen verlangt, findet Matthias Stürmer, IT-Beschaffungs­experte und Leiter des Instituts Public Sector Transformation an der Berner Fach­hochschule (BFH): «Schweizer Firmen und auch das Bundesamt für Informatik mit seiner bundes­internen Atlantica Cloud bieten vielleicht ein Dutzend dieser Dienste an.»

Bekannte Schweizer Anbieter wie Exoscale und Infomaniak haben darum gar nicht erst eine Offerte gestellt, denn sie wären von Anfang an chancenlos gewesen. Auch Swisscom offerierte nicht.

Stürmer war erstaunt darüber, dass die Ausschreibung so unglaublich viele «Must-haves» von den mitbietenden Firmen verlangt. Für ihn bleiben die Anwendungs­szenarien ein Rätsel: «Wozu braucht der Bund Blockchain ‹ab Stange›? Und wofür Bild­erkennungs­algorithmen?»

Florian Imbach von der Bundes­kanzlei sagt dazu: «Hypothetische Beispiele gibt es natürlich schon, zum Beispiel Prognose­modelle, Prozess­automatisierung oder Echtzeit­auswertung.»

Matthias Stürmer ist mit seiner Kritik am aufgeblähten Leistungs­katalog jedoch nicht allein. So wird im Zwischen­­entscheid des Bundes­­verwaltungs­gerichts klar, dass den Richterinnen der geforderte Leistungs­katalog viel zu breit und ungenau ist. Den Tech-Giganten werde damit eine Art Carte blanche ausgestellt für sämtliche IT-Dienst­leistungen der Bundes­verwaltung. Sie weisen in ihrem Zwischen­entscheid gar darauf hin, dass Google auch diesen Punkt durchaus hätte anfechten können: «Die Vergabe­stelle (das Bundesamt für Bauten und Logistik; Anmerk. der Red.) räumt diesbezüglich ein, dass zur Spezifizierung der Bedürfnisse noch weitere Abklärungen bei den Bedarfs­stellen notwendig sind. Ein derartiges Eingeständnis kann eine Ausschreibung durchaus angreifbar machen.»

Ein Killersatz – und eine richterliche Ohrfeige für das Ausschreibungs­team.

Das Gericht kritisiert ausserdem explizit, dass viele relevante Punkte wie Cloud-Bezüge nicht geregelt worden sind: «Zunächst ist der Beschwerde­führerin beizupflichten, wenn sie im Ergebnis festhält, dass die Tatsache, dass für das Abruf­verfahren ‹ein noch zu definierender Prozess› zur Anwendung kommen soll, prima facie nicht als spontan Vertrauen erweckend bzw. offensichtlich rechts­konform beurteilt werden kann.»

Nicht «offensichtlich rechtskonform»? Das bedeutet gleichzeitig: potenziell rechtswidrig. Noch eine Ohrfeige der Richter.

Und eine, die hätte vermieden werden können, hätte man besser zugehört. Denn die involvierten Bundes­stellen hatten bereits in der Vernehmlassung Vorbehalte gegen die vielen Anforderungen. Matthias Haussener vom Büro des Eidgenössischen Datenschutz- und Öffentlichkeits­beauftragten fragte etwa: «Was bringt der Bundes­verwaltung eine Verteilung der Rechen­zentren auf min. 3 Kontinente? Das schliesst möglicher­weise Anbieter aus.»

In der Tat war dieses Kriterium ein Totschlag­argument gegen fast alle Schweizer Cloud-Unternehmen. Zwar nennt das Beschaffungs­team das Departement für auswärtige Angelegenheiten (EDA) als Grund, weshalb es global tätige Unternehmen brauche, deren Rechen­zentren nicht nur in der Schweiz operierten. Ein plausibler Grund. Doch in weiteren Antworten des Beschaffungs­teams wird verblüffend offen und in einem saloppen Tonfall zugegeben, dass man mit der Ausschreibung bewusst auf die amerikanischen und chinesischen Big-Tech-Firmen abzielte.

Simon Roberts «The Celestials»/DACS Artimage 2022/ProLitteris, Zürich

Hier eine Auswahl brisanter interner Aussagen:

«Die Ausschreibung ist insgesamt so gestaltet, dass nur Hyper­scaler (AWS, MS, Google und noch 3-4 Andere) in der Lage sind die MUSS-Kriterien zu erfüllen. Es war unser Auftrag genau solche Hyper­scaler Zuschläge zu erteilen (…).»

«Zugleich ist uns bewusst, schränken wir hiermit den Markt auf weltweit präsente Public-Cloud-Anbieter ein… was aber auch durchaus gewünscht ist. Nur die Grössten-der-grossen haben genügend Innovations­potenzial um dauerhaft überleben zu können (…)»

«Insgesamt stellen die MUSS-Kriterien ein Filter da, der kleine Anbieter von Cloud Leistungen heraus­filtert bzw. nur die Hyper­scaler berücksichtigt.»

Als letztes Indiz, dass man die Ausschreibung nicht zufällig nur auf Big Tech zugeschnitten hat: Auch die Consulting-Firma Gartner riet dazu, die Muss-Kriterien ganz auf die Cloud-Giganten abzustimmen: «Als finaler Gegen­check ist daher der Abgleich der Haupt­fähigkeiten der Hyper­scaler zu empfehlen.»

Die unverblümte Mass­schneiderei war nicht der einzige Patzer, den sich der Bund leistete. Ein weiterer Punkt hätte womöglich die ganze Ausschreibung gesprengt – wenn ihn denn jemand bemerkt und angefochten hätte.

5. Noch mehr Patzer in der Ausschreibung

Das US-Unternehmen Google, das auch einen Standort in Zürich hat, reichte im Juli 2021 als sechst­platzierter und damit unterlegener Anbieter eine Beschwerde gegen die Entscheidung des Bundes ein. Dabei kritisierte der Big-Tech-Konzern nicht nur den Zuschlag an die Konkurrenz (Google war gegenüber Alibaba ein paar Punkte im Rückstand), sondern machte auch rechtliche Mängel in der Ausschreibung geltend.

Das Bundes­verwaltungs­gericht lehnte diese Beschwerde in einem Zwischen­­entscheid vom 18. Oktober 2021 zwar ab. Doch wer die Begründung genau liest, merkt: Google hätte das Verfahren durchaus gewinnen können – wenn sich die Beschwerde (fristgerecht) gegen die Ausschreibung an sich gerichtet hätte. Denn in der Begründung des Zwischen­entscheids wird – neben den bereits oben erwähnten Punkten zum Leistungs­katalog und zum Daten­schutz – auf zahlreiche weitere Unsauberkeiten mit massivem juristischem Spreng­potenzial hingewiesen:

  • Kein Wettbewerb im Detail: Zum einen moniert das Gericht, dass es keinen Wettbewerb mehr geben werde zwischen den Big-Tech-Firmen beim sogenannten «Mini-Tender-Verfahren», also dann, wenn die Verwaltungs­einheiten konkrete Leistungen «buchen». Sie müssen sich an fixen Preislisten der Big-Tech-Firmen für die Cloud-Leistungs-Bezüge orientieren.

  • Kein Rechtsschutz für die Anbieter: Das Informatik­steuerungs­organ des Bundes – damals noch im Lead bei der Beschaffung – finalisierte die Ausschreibung knapp vor Ende 2020, womit sie noch unter das alte Beschaffungs­recht fiel, das noch bis Jahres­ende gültig war. (Dies erklärt, warum in der gesamten Ausschreibung keine Vorgabe zur Energie­bilanz der zu offerierenden Leistungen gemacht wird, wie es den Zielen des neuen Vergabe­rechts entsprochen hätte.) Nach diesen alten Vergabe­regeln hätten die anbietenden Firmen jedoch einen Rechts­schutz zugute, der im neuen Beschaffungs­recht wegfällt. Konkret: Amazon und Co. hätten ein Recht darauf, beim Bundes­verwaltungs­gericht Beschwerde einzulegen, wenn sie mit den Cloud-Leistungs-Bezügen durch die Ämter nicht einverstanden wären. Dieser Rechts­schutz existiert nicht nach den neuen Regeln, was vor allem die Beschaffungs­stellen und die Bundes­verwaltung schützen soll. Das ISB jedoch wollte die Vorteile des neuen wie des alten Rechts nutzen und liess sich den Rechts­schutz einfach «wegbedingen». Dies durch Vorgaben im Anforderungs­katalog: «Der Anbieter bestätigt, dass er mit der Bezugs­regelung einverstanden ist.»

Das ist ein klar rechts­widriges Vorgehen, wie das Bundes­verwaltungs­gericht feststellt. Die entsprechende Textstelle dazu findet sich auf Seite 27 des Zwischen­­entscheids: «Vielmehr ist umgekehrt festzustellen, dass es für diese nicht selbst­verständliche Rechts­schutz­regelung nach dem bis Ende Dezember 2020 geltenden und vorliegend zur Anwendung kommenden Recht an einer gesetzlichen Grundlage fehlt. (…) Die Vergabe­stelle war sich der Brisanz der in Frage stehenden Vorgaben denn auch durchaus bewusst.»

Google hätte wahrscheinlich recht bekommen, hätte sich der Konzern auf diesen Punkt konzentriert. Denn das Gericht hält fest: «Zusammen­fassend ergibt sich, dass die Ausschreibung, wenn sie denn angefochten worden wäre, in Bezug auf die Ausgestaltung des Rechts­schutz­systems für das Mini-Tender-Verfahren aufgehoben worden wäre.»

Einen Beigeschmack im Gerichts­verfahren liefert ganz grundsätzlich die Rechts­vertretung der Bundes­verwaltung. Denn die Kanzlei Walder Wyss, die diese gegen Google vertrat, ist gemäss Marken­register Swissreg.ch in der Schweiz auch für die rechtlichen Belange des Unter­nehmens Amazon zuständig. Also für einen der Zuschlags­empfänger.

Zu all diesen Holprigkeiten auf dem Weg kam schliesslich eine dazu, die den Sturm vom Sommer erst richtig möglich machte: eine ungenügend vorbereitete Kommunikation.

6. Ungenügende Kommunikation

Wer die Konzept­papiere aus den Monaten des gesamten Prozesses liest, merkt: Den feder­führenden Bundes­ämtern sollte eigentlich klar gewesen sein, welche Tragweite die Cloud-Firma-Entscheidung haben wird.

So steht etwa in der Machbarkeits­­studie zur Swiss Cloud geschrieben, dass das Verhalten der Bundes­verwaltung eine Signal­wirkung haben werde. «Cloud-Mythen sind weit verbreitet und prägen die Wahrnehmung und das Entscheid­verhalten.»

Ebenfalls steht dort, dass man den Prozess «medial nicht entgleisen» lassen dürfe.

Doch genau das ist passiert.

Die gesamte Public-Cloud-Beschaffung wies nicht nur potenziell rechts­widrige Mängel auf, sondern es wurden auch Fehler in der Kommunikation gemacht. Nach der ersten Meldung auf «Inside IT» am 24. Juni («Die Eidgenossenschaft holt Chinesen ins Land») brachen die Schlag­zeilen bei den grossen Medien­häusern los: «Chinesische und amerikanische Geheim­dienste sind berüchtigt für ihren Daten­hunger» (NZZ, 30. Juni), «Schweizer Daten in der China-Cloud?» («Watson», 4. Juli), «Politik untersucht Auftrag an ausländische Cloud-Anbieter» (SRF, 9. Juli).

Doch die erste offizielle Medien­mitteilung seitens der Bundes­verwaltung gab es erst am 21. Juli, nachdem Google Beschwerde eingelegt hatte. Gespräche mit Vertreterinnen der involvierten Bundes­stellen belegen: Man hat die öffentliche Reaktion komplett unterschätzt. Die Ausschreibung wurde nicht begleitend erklärt, heikle Fragen wurden auf später vertagt.

Das Thema Public Cloud sei schwierig zu vermitteln, sagt ausgerechnet Marc Holitscher, National Technology Officer von Microsoft Schweiz, der die öffentliche Debatte rund um das Thema digitale Souveränität mit Interesse mitverfolgt: «Menschen nutzen neue Technologien nur, wenn sie ihnen vertrauen. Ansonsten werden vor allem Risiken wahrgenommen, was die Gestaltungs­kraft dieser Technologien einschränkt und der wirtschaftlichen und gesellschaftlichen Leistungs­fähigkeit eines Landes schadet.»

Als Fehler könnte sich auch entpuppen, dass die Debatte zum Thema Swiss Cloud bisher nur mit Experten und Vertreterinnen der Wirtschaft geführt worden ist. Denn die Bevölkerung hat ganz andere Sensibilitäten bezüglich ihrer Daten als Firmen.

Allerlei Unsauberkeiten in der Ausschreibung, eine Beschwerde, unglückliche Kommunikation – das ist wenig erfreulich. Doch wie skandalös ist die gesamte Geschichte um die Public-Cloud-Beschaffung wirklich?

Fazit: Es ist höchste Zeit für die Debatte um digitale Souveränität

Die öffentliche Aufregung um den Zuschlag an Big Tech ist berechtigt und nachvollziehbar: Es wurde unsauber und hastig gearbeitet, schlecht kommuniziert, es fehlte an Sensibilität und Professionalität.

Darüber hinaus macht das Drama vor allem eines sichtbar: die harte ökonomische und geopolitische Realität des heutigen Cloud-Business. Das Dilemma ist offensichtlich: Nur die grössten Big-Tech-Unternehmen können die Kapazitäten und den hohen Standard an IT-Sicherheit garantieren, die ein anspruchs­voller Grosskunde wie die Schweizer Bundes­verwaltung braucht.

Dazu kommt die Macht der Gewohnheit: Die für die Public Cloud gewählten Cloud-Giganten sind keine Unbekannten im öffentlichen Sektor. Schlicht auch deshalb, weil es lange keine Schweizer Firmen in der Branche gab.

Ein «Cloud-Pionier­amt» war beispiels­weise Swisstopo, das Bundes­amt für Landes­topografie. Noch 2008 wurde dort – wie in allen Bundes­ämtern – nur mit bundes­internen Servern gearbeitet. Swisstopo betrieb damit etwa 20 Karten­anwendungen. Als man in die Cloud wechseln wollte, entschied man sich für Amazon. Mitarbeitende von Swisstopo erklärten in einem Vortrag bei CH Open, dem Verein zur Förderung von Open-Source-Software und offenen Standards in der Schweiz, warum: weil Amazon Web Services ihnen die nötige Flexibilität verschaffte – und damit auch einiges an Kosten einsparte.

Auch das Bundesamt für Informatik und Tele­kommunikation (BIT), die Eidgenössische Zoll­verwaltung und das Bundes­amt für Meteorologie nutzen längst den Cloud-Giganten Amazon für ihre Dienst­leistungen. Die gesamte Bundes­verwaltung wiederum ist mehrheitlich mit Microsoft-Produkten ausgestattet, wie auf der Beschaffungs­plattform Simap.ch transparent dokumentiert ist.

Es ist banal: Insbesondere die US-amerikanischen Tech-Unternehmen sind viel zu weit voraus, als dass europäische oder gar Schweizer Unter­nehmen eine Chance hätten.

Welcher der fünf Sieger der Ausschreibung im Einzelfall schliesslich zum Einsatz kommen wird, ist offen – denn die Ämter entscheiden selber, welchem der Cloud-Giganten sie ihre Daten anvertrauen möchten. Es ist gut möglich, dass etwa Alibaba letztlich doch keinen einzigen Franken des 110-Millionen-Franken-Volumens erhalten wird, weil sich jede Verwaltungs­einheit für einen der Mitbewerber entscheidet. Vielleicht wird sich die Schweiz diesbezüglich vorerst also nur um den amerikanischen und nicht um den chinesischen Daten­hunger sorgen müssen.

Die grossen, brisanten Grundsatz­fragen aber bleiben unabhängig davon, und sie drängen: Welche Daten will man in welchem Ausmass in die Public Cloud stellen? Wie geht man um mit den Risiken, die sich bei aller Nützlichkeit auch stellen? Und wo lohnt es sich für die Schweiz industrie­politisch eben doch, selber in eine Cloud-Infra­struktur zu investieren?

Der grosse Vorteil am Public-Cloud-Beschaffungs­drama ist genau dieser: Endlich wird diese längst überfällige politische Debatte geführt. Es ist ein spannendes Stück Digital­geschichte der Schweiz.

Zum Update

Die Bundes­verwaltung nahm kritisch Stellung zur Public-Cloud-Recherche der Republik. Doch ihre Argumentation hält einer genauen Betrachtung nicht stand. Hier gehts zum Update: Desinformation aus der Bundeskanzlei.

Über 28'000 Menschen machen die Republik heute schon möglich. Lernen Sie uns jetzt auch kennen – 21 Tage lang, kostenlos und unverbindlich:

seit 2018

Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz

kontakt@republik.ch
Medieninformationen

Der Republik Code ist Open Source