Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!

DatenschutzFAQErste-Hilfe-Team: kontakt@republik.ch.



interessiert
·

@Adrienne Fichter: Kennst Du übrigens eine öffentliche Liste der Bundeskanzlei oder sonstiger Bundesbehörden, wo aufgezählt wird, was alles als «Daten mit erhöhtem Schutzbedarf» beim Bund gilt?

9
/
0
Adrienne Fichter
Redakteurin @ Republik
·
· editiert

Ich gehe nicht davon aus dass das BIT und die Bundeskanzlei über eine solche Liste verfügen, denn ansonsten hätten sie ja viel mehr Steuerungskompetenz bei diesen Beschaffungsgeschäften. Die Bundeskanzlei und der EDÖB werden nicht mal in alle Cloud-Ausschreibungen einbezogen, wie meine nächste Geschichte zeigen wird.

9
/
2

@Adrienne Fichter

Folgendes könnte weiterhelfen. Die Angaben sind vermutlich nicht öffentlich, es dürfte aber durchaus realistisch sein, über das Öffentlichkeitsgesetz Zugang zu diesen Daten (oder zumindest Teilen davon, oder statistischen Zusammenzügen) zu erhalten.
Jedes Bundesamt ist verpflichtet, ein Ordnungssystem zu erstellen, welches präzisiert in welcher Struktur (und in welchem System, sofern ausserhalb von GEVER (Elektronische Geschäftsverwaltung, eine Art DMS (Dokumenten-Management-System)) die Akten geführt werden. Dieses Ordnungssystem muss vom Bundesarchiv genehmigt werden. Das Ordnungssystem enthält Informationen zum Datenschutz der einzelnen Positionen [1].
Die Erarbeitung und die Abnahme des Ordnungssystems geschieht mittels der Software StrucTool. Es gibt Schulungen dazu [2]. Es ist nicht ersichtlich, ob die StrucTool-Schulungen auch für Personen ausserhalb der Bundesverwaltung zugänglich sind (bei anderen Schulungen ist explizit genannt, dass das möglich ist, es muss lediglich ein Account im LMS erstellt werden [3]). Allenfalls kann das zusätzliche Informationen liefern, welche Arten an Informationen zum Datenschutz/Schutzbedarf bereits bei der Erarbeitung eines Ordnungssystems vorliegen.
Nachdem das Ordnungssystem erarbeitet und abgenommen wurde, wird es im GEVER des Amtes konfiguriert/umgesetzt. Im GEVER selbst stehen dann noch viele zusätzliche Möglichkeiten zur Verfügung, Metadaten zu anottieren. Auch der Schutzbedarf kann/wird/muss in GEVER gespeichert werden [quelle fehlt]. Über diese Metadaten aus GEVER dürfte sehr genau eruierbar sein, wieviele besonders schützenswerte Unterlagen es gibt, welchen Anteil diese an der Gesamtmenge ausmachen und in welchen Positionen (Geschäften) des Ordnungssystems diese angesiedelt sind.

Da das Bundesarchiv eine Übersicht über alle Ordnungssysteme hat, könnte es eine geeignete Anlaufstelle sein, einen Gesamtüberblick zu erhalten. Für detaillierte Informationen welche nur in GEVER vorhanden sind, nicht aber im Ordnungssystem müssten die einzelnen Ämter angegangen werden. Das ISCeco betreibt GEVER für den ganzen Bund, da es aber nicht Daten-Owner ist, dürfte es vermutlich Gesuche zum Zugang zu solchen Daten nicht beurteilen dürfen sondern an die jeweiligen Ämter weiterverweisen; vielleicht ist diese Information zum Betreiber von GEVER trotzdem nützlich.

Quellen:
[1] https://www.bar.admin.ch/bar/de/hom…ltung.html
[2] https://www.bar.admin.ch/bar/de/hom…1899620976
[3] https://www.bar.admin.ch/bar/de/hom…ement.html
[quelle fehlt]: Evtl lässt sich das in einem der zahlreichen Dokumente hier finden: https://www.bk.admin.ch/bk/de/home/…-bund.html

7
/
1

Gut, dass dieser einzelne Bürger gegen das Public Cloud Projekt des Bundes vor Gericht ging und dies vom Bundesgericht gegen die Vorinstanz gestützt wird.
Arrogant die Auffassung der Bundeskanzlei, dass einer einzelnen Person die Beschwerdelegitimation nicht zustehe, wenn die gesamte Bevölkerung betroffen sei.
Gut, dass Adrienne Fichter in der Republik darüber berichtet.
Und atemberaubend das Beispiel der 40'000 Bundesangestellten, deren Daten in einer Microsoft-Cloud liegen, auf die nach amerikanischem Gesetz die US-Geheimdienste Zugriff haben können.
Edit: Tippfehler

71
/
0

Ein großes Dankeschön an den fiktiven Hr. Fischer. Auch für diese vorbildliche Hartnäckigkeit. Ich selbst hätte nicht die Energie. Danke

61
/
1

Zu dem, was Marc vor mir schon erwähnt und dem ich vollständig zustimme, möchte ich noch ein anderes Problem ergänzen:
Wie es sich schon bei einem Cloud-Projekt bei der Swisscom gezeigt hat, sind Rechenzentren in der Schweiz nur ein kleiner Teil der Lösung. Im Prinzip müsste sich auch der Zugriff von Personen ("Admins") auf diese Infrastruktur auf Personen beschränken, die der schweizerischen Gerichtsbarkeit (und Lohngefüge) unterworfen sind.

Warum?

  • wenn (wie im Fall der Swisscom vor einigen Jahren) sich der Datentopf zwar in der Schweiz befindet, dieser aber preisgünstig von Mitarbeitern in Indien verwaltet wird, haben wir durch das Lohngefälle ein dramatisch hohes Risiko, dass die Bestechung so einer Person finanziell für jeden von uns gar kein Problem wäre. Bei Stundensätzen von unter 3 Franken/Stunde (Verrechnung der Firma an Kunden, nicht Lohn des Mitarbeiters - kein Hörensagen, ich war in solchen Projekten dabei) ist das Risiko offensichtlich. Warum werden auf solche Sachen nicht die gleichen Bedingungen angewendet, wie sie im Bankensektor gesetzlich vorgegeben sind? (Datenhaltung und entsprechendes Personal muss sich physisch innerhalb der Landesgrenzen befinden)
    Wenn es sich um US-Amerikanische (ich vermeide die Benutzung von "Amerikanisch", weil das auch Mexiko, Kanada und viele andere Länder einbezieht) Lieferanten handelt, dann gelten halt die Gesetze, die schon im Artikel genannt wurden. Die US-Behörden differenzieren nicht, wo sich die Datenhaltung physisch befindet. Das Problem ist den US-Firmen sehr wohl bekannt und sie sehen das durchaus als Nachteil, haben aber selber noch keine nachhaltige Lösung gefunden. In Deutschland hatte Microsoft einen Versuch mit der deutschen Telekom als "Treuhänder" für seine Azure-Cloud versucht, dies scheint aber (aus mir nicht bekannten Gründen) gescheitert zu sein. Es ist anzunehmen, dass die Analyse auf chinesische Anbieter genauso anzuwenden ist. Ich glaube nicht, dass Verschlüsselung hier die definitive Lösung ist. Damit mag der Storage Admin in USA keinen Zugriff auf Daten mehr haben, aber an anderen Stellen werden die entschlüsselten Daten ausserhalb der Kontrolle der Bundes-Admins vorliegen. Mir sind jedenfalls noch keine Techniken begegnet, wo die Ver/Entschlüsselung in einem Schweizer Netzwerkknoten passiert, der nicht der Hohheit des US-Anbieters unterliegt. Und selbst dann gäbe es noch genug relevante Metadaten

47
/
0
Selbstständig
·

Schön und gut, aber was könnte dann die Lösung sein. Auf ewig mit Papier weiter zu wursteln scheint mir auch keine Lösung zu sein.
Ein Restrisiko wird wohl immer bleiben, egal wie der Weg aussehen wird. Es ist wie im Verkehr, trotz aller Regeln, Gesetze und sicherer Autos, es gibt nach wie vor Unfälle mit allen bekannten Folgen. Und die meisten akzeptieren das.

1
/
27

Ich habe nicht geschrieben, dass die Lösung "mit Papier" sein muss.
Ich verstehe aber nur bedingt, warum kritische Daten des Staates an ein privatwirtschaftliches Unternehmen ausgelagert werden sollen. Und dies dann auch noch an Unternehmen mit Firmensitz (und damit juristischer Abhängigkeit) von fernen Staaten, die insbesondere mit Datenschutz nur wenig am Hut haben bzw im Zweifelsfall die eigenen Interessen in den Vordergrund stellen und sich den Zugriff auf eben diese Daten zusichern.

Wie das mit der Auslagerung von hoheitlichen Funktionen beim Bürger ankommt haben wir ja mit der Abstimmung zur eID gesehen. Und jetzt scheint es so, als wenn die Bundeskanzlei diese Abstimmung komplett ignoriert.

39
/
1

Ja mit Restrisiko haben Sie wohl recht, aber das Risiko sollte nur noch einen Rest des Gesamtrisikos ausmachen, nicht? Aber mit der Auslagerung an Chinesische und Amerikanische Internet-Grosskonzerne können wir kaum von Restrisiko reden.

Wie die Lösung aussieht? Alle Hardware, alle Software, alle Benutzer mit welchem unsere Bundesverwaltungen arbeiten, alles in der Schweiz ansiedeln. Wir haben doch in der Schweiz sehr sicher Unternehmen und helle Köpfe genug, diese Dinge 'wasserfest' zu machen - so dass wir am Schluss wirklich nur noch von einem Restrisiko reden müssen. Von 'mit Papier wursteln' kann und darf keine Rede mehr sein.

27
/
1
Doris Edwards
Permaculture Designer.
·

Vielen Dank Rolf für diese wichtigen Ergänzungen.

7
/
0
interessiert
·

«Warum werden auf solche Sachen nicht die gleichen Bedingungen angewendet, wie sie im Bankensektor gesetzlich vorgegeben sind? (Datenhaltung und entsprechendes Personal muss sich physisch innerhalb der Landesgrenzen befinden)»

Das gilt (auch) im Bankensektor nicht mehr:

https://www.vischer.com/know-how/bl…cht-39214/

4
/
0

Danke für den Link. Dann sind die Banken, mit denen ich diesbezüglich zu tun hatte, entweder sehr konservativ, was das angeht oder sehen darin einen entsprechenden Wettbewerbsvorteil.

2
/
0
Adrienne Fichter
Redakteurin @ Republik
·
· editiert

Guten Tag Herr Wilhelm und merci für die wie immer interessanten Ergänzungen. Ich denke aber dass die Treuhandlösung gerade ein Revival erfährt.

In Frankreich sollte ja die "Sovereign Cloud" schon gestartet sein, und in Deutschland soll es auch einen zweiten Anlauf geben dazu. Was das konkret heisst: die französischen Unternehmen Capgemini und Orange betreiben und kontrollieren die Server, Microsoft hat lediglich die Rolle des Software-Lieferanten. Die Frage ist ob dann Frankreich oder Deutschland die "Souverenität" auch wahren kann bei einzuspielenden Updates der Software (und Support-Mitarbeitenden vor Ort).

3
/
0

Gott sei Dank gibt es noch mutige Bürger, wie diesen 'Herr Fischer'!

Dass über diese Auslagerung sensitiver Daten überhaupt gestritten werden muss, ist ein Skandal. Was denken sich die entscheidenden Köpfe in Bundesverwaltung und Staatskanzlei überhaupt? Geht es wieder einmal um Business und Boni? Gerade so, als hätten wir in der Schweiz keine Unternehmen, welche diese Aufgabe nicht problemlos bewältigen könnten.

Wie sieht das Verfahren eigentlich aus Kostensicht für Herrn Fischer aus? Muss er da eigentlich in Vorleistung gehen, oder sind solche Verfahren bis zu einer bestimmten Stufe kostenlos? Ansonsten wäre das vielleicht ein Fall für ein Crowdfunding...

27
/
0

Schweizer Firma reicht leider nicht - auch die Mitarbeiter müssen sich in der Schweiz befinden.

Und ja, ich glaube nicht, dass das Verfahren für "Herrn Fischer" kostenlos ist. Ich wüsste gerne, wie ich meinen Beitrag dazu leisten könnte. Schade, möchte er (offenbar) anonym bleiben. Warum eigentlich?

17
/
0
Felix Huber
PO/RE, Cyber Security und Metal Fan
·

Vermutlich weil Herr Fischer Angestellter des Bunds ist? Wie sonst könnte er Betroffenheit und Informationen zum HR SAP Systems haben?
Er will anonym bleiben um keine arbeitsrechtlichen Repressalien fürchten zu müssen

8
/
0

Da haben Sie natürlich Recht, Herr Wilhelm - ich ging implizit (und naiver weise, muss ich sagen) davon aus, dass solche sensitiven behördlichen Daten durch unsere Verwaltungen auch in der Schweiz verwaltet werden.

Da bräuchte es also ein entsprechendes Gesetz, welches sowohl die physische Speicherung, die Verschlüsselungs-Knoten, als auch die ganze Verarbeitungskette für unsere Behördendaten explizit in die Schweiz verlegt.

7
/
0
Adrienne Fichter
Redakteurin @ Republik
·

Guten Tag Herr Schneiter-Vanonier, guten Tag Herr Wilhelm

Das Bundesgericht schreibt folgendes:

"Die Beschwerde ist somit gutzuheissen, soweit darauf einzutreten ist. Die Zwischenverfügung vom 31. März 2022 ist aufzuheben und die Sache zur beförderlichen Neubeurteilung an die Vorinstanz zurückzuweisen. Das mit Eingabe vom 21. Juni 2022 gestellte Gesuch um vorsorgliche Massnahmen bzw. um Wiedererwägung der bundesgerichtlichen Präsidialverfügung vom 12. Mai 2022 wird damit gegenstandslos.

Bei diesem Verfahrensausgang erscheint es gerechtfertigt, keine Gerichtskosten zu erheben (Art. 66 Abs. 1 und 4 BGG). Da der Beschwerdeführer nicht anwaltlich vertreten ist, ist zudem keine Parteientschädigung zuzusprechen (Art. 68 Abs. 1-3 BGG)."

Er möchte zurzeit noch anonym bleiben, dies könnte sich in Zukunft ändern.

11
/
0

Bedauerlich, dass die Bundeskanzlei nicht einfach erklärt hat, was die Rechtsgrundlage für die Beschaffung ist. Dann wäre die Diskussion entweder vorbei oder auf der inhaltlichen Ebene angekommen. Jetzt geht es gerade um Dinge, die mit den sachlich spannenden Fragen nichts zu tun haben..

12
/
0
Adrienne Fichter
Redakteurin @ Republik
·

Ich warte diesbezüglich noch auf eine Antwort des Bundeskanzlei, die sie wegen Ferienabwesenheiten und langen Abklärungen leider nicht liefern konnte. Ich werde diese dann hier veröffentlichen.

18
/
1
interessiert
·

Ich finde ja immer verdächtig, wenn eine Behörde die Rechtsgrundlagen für ihre Tätigkeit nicht einfach mal so nennen kann. Diese Rechtsgrundlagen müssten ja von Anfang an bekannt sein und nicht erst gesucht werden …

24
/
0
Dario Ackermann
hat auch schon beim Bund "reingeschaut"
·

Klassisch: Man schreibt Angebote an den Günstigsten aus, wundert sich als Nächstes, dass das Schweizer Angebot nicht gewinnt, und weist dann besorgte Bürger ab, weil "einer ist ja nicht genug".

24
/
1
interessiert
·

Welche Schweizer Anbieter können aus Ihrer Sicht mit den internationalen Hyperscalern mithalten?

4
/
1
· editiert

Das ist eines der Probleme an dieser Geschichte: wenn die Ausschreibung von Anfang an auf Hyperscaler ausgerichtet ist, haben bestehende Schweizer Angebote schlechte Karten. Aber...ich (ein wenig mit der Materie vertraut) sehe nicht, dass für die zu erwartenden Daten- resp. Abfragevolumen oder die nötige Flexibilität in deren Bearbeitung überhaupt Hyperscaler notwendig sind.

10
/
0

Switch (https://www.switch.ch/drive/). Die haben wir an der Hochschule genutzt. Kann mir nicht vorstellen, dass die nicht bereit sind auch genug für den Bund zur Verfügung zu stellen.

3
/
2
Dario Ackermann
hat auch schon beim Bund "reingeschaut"
·

Es ist korrekt, dass wenige (keine?) Schweizer Anbieter mit den Internationalen mithalten können. Ich sehe Ihren Punkt dabei. Die Frage ist: Benötigt die Bundesverwaltung alle die in SIMAP ausgeschriebenen Kompetenzen? Ich bezweifle dies stark. Kann aber definitiv falsch liegen.

1
/
0

Super Einleitung und Fazit. Die beste Art, «besorgte Bürger» zu verhindern, ist, besorgte Bürger ernst zu nehmen.

14
/
0
Supporter
·

Das grösste Problem an allen Cloudangeboten ist die massive Konzentration wertvoller Daten und die Potenzierung von Sicherheitslücken und Wert eines Angriffs auf solche Infrastrukturen.
Es gibt viele, viele Angriffe auf die Standard Hardware der heutigen Provider, u.A. nicht korrigierbare Side-Channel Attacken (s. Spectre, Meltdown oder Hertzbleed), die komplett am Betriebssystem vorbeigehen und dementsprechend nicht durch einfache Updates behoben werden können. Auch ist die wasserdichte Segmentierung der Speicher und Storagelösungen ein Hirngespinst.
Ausbrüche aus VMs und Containern (sorry für das Fachchinesisch) waren immer möglich und werden immer möglich sein. Bei Codebasen von millionen von Zeilen von Code ist die Idee, jede Lücke zu finden, illusorisch (ansonsten würde unsere Software im Laufe der Zeit sicherer werden.. das Gegenteil ist aber der Fall).
Die einzig sinnvolle Antwort wäre Daten so stark wie möglich zu verteilen, das eine Sicherheitslücke möglichst wenig Schaden anrichtet.
Die Cloud ist das genaue Gegenteil davon.
Erfolgreiche Angriffe werden dann nicht einzelne Firmen/Regierungen treffen, sondern ganze Kontinente und Industrien.

10
/
0

Heartbleed (und Log4J im letzten Winter) sind keine Side-Channel Attacken, die am Betriebssystem vorbeilaufen, sondern die Ursache weitflächiger Einsätze komplexer Bibliotheken, die einen Fehler aufweisen und später niemand weiss, dass in dem Produkt, dass er im Einsatz hat, diese fehlerhaften Bibliotheken genutzt werden. Wenn das dann eine Eigenentwicklung ist, das interne Lifecycle und Produkt-Management versagt oder der Lieferant nicht reagiert, ist das Kind quasi in den Brunnen gefallen.

Für Spectre, Meltdown & Co gab es Updates, sowohl für den Prozessormikrocode wie auch "begleitende Massnahmen" für die Betriebssysteme (diese meist mit Performance-Einbussen, schliesslich waren die Effekte, die mit Spectre und Meltdown ausgenutzt wurden, "Performance-Optimierungen").

Aber ja, solche Fehler wird es immer geben, genauso wie der Ausbruch aus Containern und VMs. Deshalb ist es umso wichtiger, über Berechtigungen und "Tiering" nachzudenken und entsprechende Massnahnamen umzusetzen, damit ein Einbruch via einem Endbenutzergerät nicht bis auf die Authentifizierungsschicht (was der Übernahme der Umgebung gleichkommt) durchschlägt, sondern ein Einbruch auf ein einzelnes Gerät bleibt (Stichwort "Lateral Movement"). Erfolgreiche Ransomware-Attacken und Lösegeldzahlungen zeigen, dass hier vermutlich die Masse der Unternehmen noch nicht auf dem Stand der aktuellen Technik sind und vermutlich vielfach auch den nötigen Mind-Change nicht akzeptiert haben.

1
/
0
Supporter
·

Sehr geehrter Herr Wilhelm
Ich bezog mich auf Hertzbleed, eine sehr neue side-channel Attacke, die auf die dynamische Frequenzskalierung moderner Prozessoren abzielt. Ich habe extra eine aktuelle(Veröffentlicht am 12.08.22) Sicherheitslücke angeführt, um zu zeigen, dass es immer neue Angriffe gibt, deren Beseitigung (wie sie ja auch angeführt haben) zu deutlichen Schwierigkeiten ("Performance-"Einbussen) im generellen Betrieb führen.
Ansonsten stimme ich Ihnen voll zu, bin aber beunruhigt, dass der "Mind-Change", der im Moment stattfindet ("Wir müssen in die Cloud"), eher kontraproduktiv für die Datensicherheit ist.

1
/
1

Danke "Ricardo Fischer"!

Das Vorhaben mit US und chinesischen Cloudanbietern besorgt mich auch sehr. Aber ich habe kaum eine Ahnung was ich dagegen unternehmen könnte. Ich bin froh um deinen Einsatz und wünschte, die Kraft und das Wissen zu haben um irgendwie unterstützend zu sein.

9
/
1

Auch ich bin sehr froh, dass "Ricardo Fischer" diese Anklage durchzieht, und danke ihm dafür.

In der Diskussion fehlt mir aber ein bisschen die Reflektion der Grundlagen. Es geht nicht nur um die technische Abwägung der Sicherheit und "Machbarkeit" von Cloud vs. eigenen CH-Lösungen

Ein Staat besteht aus Information. Information ist seine Essenz!

Die Cloud (oder schon den Einsatz von proprietärer Software) als alternativlos zu sehen, ist meines Erachtens eine komplette Kapitulation, ein Aufgeben jeder Souveränität.

Der Umgang mit Information macht den Staat aus, und zu diesem Umgang erklärt er sich selber unfähig? Das können nur amerikanische Grossunternehmen gut genug?

Wieso haben wir denn z.B. keine AaS (Armee as a Service)? Das könnte mit exakt denselben Argumenten wie bei der Cloud gefordert werden - die Bedrohungen da draussen sind so gross, dass wir uns selber ja gar nicht wehren können. Also lassen wir das doch einfach eine globale Firma machen...

So absurd dieses Beispiel ist, noch viel absurder ist es für mich, dasselbe für den gesamten Datenhaushalt des Staates in Erwägung zu ziehen.

7
/
1
interessiert
·

Das absurde Beispiel mit der Armee ist tatsächlich ein klassisches Argument von Armee-Gegnern in der Schweiz … 🤫

1
/
2

Nein, das ist ein ganz anderes Argument - die Armeegegner:innen fordern ganz bestimmt nicht, die Armee durch einen kommerziellen Service im Ausland zu ersetzen!

Wenn Sie mit Armeekritik Vergleichbares suchen, dann wären es Fragen nach dem Sinn oder Unsinn der Digitalisierung von ganz bestimmten Staatsaufgaben. Z.B. eVoting.

3
/
0

Das geht nicht: "...einen besorgten Bürger, der aber ein durchaus berechtigtes Anliegen hat". Es impliziert, dass die Angst der Bürgerlichen vor einer Islamisierung nicht ernst zu nehmen ist. Mein Kind hat Angst vor Monster und allerlei völlig irrationalen Dingen (aus meiner Sicht). Aber dennoch nehme ich sein Gefühl ernst. Angst verschwindet nicht wenn man es belächelt: das Kind lernt dabei nur, dass es nicht auf mich zählen kann. Wertkonservative Ängste muss man auch verstehen und beachten, sonst werden sie nur schlimmer.

10
/
5
Adrienne Fichter
Redakteurin @ Republik
·

Ja die Schweiz ist sehr gut darin wertkonservative Ängste sehr ernst nehmen, weshalb schon prophylaktisch alle muslimischen Symbole wie Minarette und Burkas verboten werden via Verfassung. Die Religionszahlen sind auch eindeutig: https://www.bfs.admin.ch/bfs/de/hom…lit%C3%A4t

Die Schweiz spielt höchstens in der Finanzierung des internationalen Salafismus eine Rolle.

Deshalb: Nein, angesichts der unzähligen Baustellen in Sachen Digitalisierung (eID, EPD, Cloud, Cybersecurity, eVoting und und und) in diesem Land halte ich die "befürchtete Islamisierung" als Sorge im Vergleich nicht empirisch legitimiert und daher auch nicht berechtigt in diesem Sinne.

Doch auch jenen besorgten Bürger:innen soll der Rechtsstaat, Demokratie und jene Instrumente genauso offenstehen (Das hab ich mit "nicht berechtigt" nicht gemeint).

0
/
0
Adrienne Fichter
Redakteurin @ Republik
·
· editiert

Hier die Antwort der Bundeskanzlei zur Frage, wie die gesetzliche Grundlage für die Public Cloud-Beschaffung lautet.

tl;dr: Es gibt keine, weil es angeblich keine braucht.

Hier die ausführliche Antwort:

"Die Nutzung von Cloud-Diensten ist im Grundsatz als administrative Hilfstätigkeit (Bedarfsverwaltung) einzustufen. Unter «administrative Hilfstätigkeit» wird die Beschaffung jener notwendigen Sachgüter oder Leistungen verstanden, die die Verwaltung zur Erfüllung ihrer öffentlichen Aufgabe benötigt. Beispiele dafür sind der Abschluss von Werkverträgen für die Errichtung einer öffentlichen Baute oder eben das Beiziehen eines IKT-Leistungserbringers. Die Verwaltungseinheit schliesst dabei grundsätzlich privatrechtliche Verträge nach den Voraussetzungen des Beschaffungsrechts ab. Die gesetzliche Grundlage leitet sich unmittelbar aus der Rechtsgrundlage der jeweiligen öffentlichen Aufgabe ab. Hier folgt ein kleines Beispiel: Gemäss Artikel 60 Heilmittelgesetz (HMG) ist das Institut (Swissmedic) grundsätzlich für das Inspektionswesen in der Schweiz zuständig. Hier liegt die gesetzliche Grundlage für Inspektionen unter den Voraussetzungen nach Art. 60 HMG. Damit sie diese Aufgabe wahrnehmen kann, braucht sie verschiedenste Hilfsmittel (bspw. Autos, spezielle Ausrüstung, WLan etc.). Für die Beschaffung oder Nutzung dieser Hilfsmittel ist keine spezifische gesetzliche Grundlage nötig, denn das Beschaffen und Nutzen dieser Hilfsmittel dient der Erfüllung der zugrunde liegenden öffentlichen Aufgabe der Durchführung von Inspektionen. (Dazu noch der Hinweis, dass die Bundesverfassung dem Bundesrat – und abgeleitet damit auch der Verwaltung – den Auftrag gibt, für den Vollzug, u.a. der Gesetzgebung, zu sorgen; https://www.fedlex.admin.ch/eli/cc/…de#art_182)

Je nach Sachbereich oder Natur der bearbeiteten Daten gelten jedoch spezifischere Anforderungen an die Rechtsgrundlage. Das gilt allgemein namentlich dann, wenn Personendaten Gegenstand eines Cloud-Sourcing sind. Hier sind insbesondere die Anforderungen des Datenschutzgesetzes (DSG) einzuhalten. Das Datenschutzgesetz findet nur dann Anwendung, wenn Personendaten bearbeitet werden. Gemäss Artikel 17 DSG braucht es für die Datenbearbeitung durch Bundesbehörden eine gesetzliche Grundlage. Diese ergibt sich aus dem jeweiligen Spezialgesetz. Um beim Beispiel vom HMG zu bleiben, regelt Artikel 62a HMG die Bearbeitung von Personendaten. Gemäss Artikel 10a DSG können Personendaten durch Dritte bearbeitet werden, wenn die dort aufgezählten Voraussetzungen (https://www.fedlex.admin.ch/eli/cc/…e#art_10_a) erfüllt sind. Auch eine Datenbekanntgabe ins Ausland ist gemäss Artikel 6 DSG unter bestimmten Voraussetzungen möglich. Diese Regelungen werden sich mit dem neuen Datenschutzgesetz auch nicht wesentlich ändern.

Nach dem oben Erklärten ergibt sich somit die gesetzliche Grundlage aus den jeweiligen Spezialgesetzen und aus dem Datenschutzgesetz. Eine zusätzliche spezifische gesetzliche Grundlage für die Nutzung von Cloud-Services ist nicht erforderlich."

4
/
2

Zum Cloud-Thema wären noch folgende Zitate aus einem aktuellen Artikel von Inside IT nachzutragen:
Kosten: "Bis zu einem Drittel mehr müsse man für Dienste von Hyperscalern im kommenden Jahr zahlen, fürchten Analysten von Canalys. Einige Kunden dürften die Ausstiegskosten zu kalkulieren beginnen."
Abhängigkeit: "...es handle sich bei den Angeboten eigentlich nicht um "Software as a Service, sondern um Software als Geisel". Kunden hätten oft keine Wahl und könnten nicht mehr aussteigen. Wer in die Cloud migriert ist, wird mit Anwendungen für proprietäre APIs, mit spezifischer Schulung der eigenen technischen Teams und mit potenziell gigantischen Migrationsprojekten aus der Cloud zu kalkulieren haben."

2
/
0
Fragender
·

Vielen Dank für die vielen Kommentare.
Frage mich gerade, welche gesetzlichen Rahmenbedingungen für bundesnahe Betriebe gelten. Success Factors ist ja z.B. nicht nur beim Bund im Einsatz …

1
/
0
Adrienne Fichter
Redakteurin @ Republik
·

Wo denn noch? adrienne.fichter@republik.ch

0
/
0

Extra credits für den Titel dieses Artikels :)

1
/
0