Fällt die Bundeskanzlei bald aus allen Wolken?
Ein einzelner Bürger klagt gegen das Public-Cloud-Projekt des Bundes. Und könnte das Vorhaben womöglich ganz stoppen.
Von Adrienne Fichter, 15.08.2022
«Besorgter Bürger» ist ein Begriff, den man in den letzten Jahren immer wieder bei rechten und rechtsextremen Aufmärschen in Deutschland gehört hat. Es handelt sich also um (oft wertkonservative) Bürgerinnen, die etwa gegen die vermeintliche Islamisierung ihres Landes protestieren.
Auch im vorliegenden Gerichtsfall geht es um einen besorgten Bürger, der aber ein durchaus berechtigtes Anliegen hat und sich Gedanken zu aktuellen Entwicklungen macht – nicht bezüglich des Abendlandes, sondern der Digitalisierung.
Der es nicht einfach gutheissen möchte, dass Teile von Daten des Bundes – darunter auch zu einem grossen Teil Daten von Schweizer Einwohnerinnen – zu amerikanischen und chinesischen Cloud-Speicher-Giganten geschoben werden. Was den Schweizer Rechtsstaat und die digitalpolitischen Ambitionen der Bundesverwaltung auf die Probe stellt.
Ricardo Fischer, der in Wirklichkeit anders heisst, ist dieser digitalpolitisch besorgte Bürger. Er hat soeben vor dem Bundesgericht gegen die Bundeskanzlei, das federführende Amt bei der Cloud-Beschaffung, einen Teilsieg errungen.
Wir erinnern uns: Am 14. Januar veröffentlichte die Republik eine Hintergrundrecherche zur Beschaffung der Public Cloud. Darin konnte aufgezeigt werden, dass diese Ausschreibung auf die amerikanischen und chinesischen Cloud-Anbieter zugeschnitten war und auch rechtswidrige Mängel begangen wurden.
Am 18. Januar 2022 – also vier Tage nach Erscheinen des Republik-Beitrags – reicht Herr Fischer ein Schreiben bei der Bundeskanzlei ein. Er erkundigte sich, ob die vorgesehene Auslagerung von Bundesdaten in amerikanische und chinesische Cloud-Zentren überhaupt eine gesetzliche Grundlage habe. Sollte es kein solches spezifisches Gesetz geben, verlangt Herr Fischer einen sofortigen Stopp der Datenauslagerung. Er möchte nicht, dass seine persönlichen Daten in virtuelle Infrastrukturen von ausländischen Anbietern gelangen und dort verarbeitet werden.
Die Bundeskanzlei antwortet am 21. Januar, alles habe seine Rechtmässigkeit; und zwar wegen Datenschutzfolgeabschätzungen und weiterer Abklärungen zur Rechtskonformität, die man getroffen habe. Doch die konkrete gesetzliche Grundlage für das Public-Cloud-Geschäft fehlt in der Antwort.
Stopp aller Cloud-Aktivitäten
Fischer erhebt am 9. Februar Beschwerde vor dem Bundesverwaltungsgericht. Er verlangt den sofortigen Stopp aller Cloud-Aktivitäten mittels «vorsorglicher Massnahmen».
Am 24. März 2022 beantragt die Bundeskanzlei, es sei auf die Beschwerde nicht einzutreten. Dem Beschwerde führenden Bürger fehle es an einer Beschwerdelegitimation, weil er von allfälligen Auslagerungen in die Cloud nicht mehr betroffen sei als andere Personen in der Schweiz.
Das Bundesverwaltungsgericht, das bei dieser Public-Cloud-Beschaffung bereits rechtswidrige Mängel festgestellt hatte, stellt sich dieses Mal ganz auf die Seite der Bundeskanzlei. Und weist die Beschwerde Fischers am 31. März mit einer Zwischenverfügung ab.
Dieser lässt sich jedoch nicht so einfach abwimmeln. Am 20. April 2022 beantragt Ricardo Fischer beim Bundesgericht, die Zwischenverfügung sei aufzuheben. Er beharrt auf dem Abbruch der Cloud-Projekte und auf der Klärung, ob eine gesetzliche Grundlage vorliege.
Das Bundesgericht gibt Fischer in Teilen recht, wie das nun veröffentlichte Urteil vom 28. Juli zeigt.
Zwar lehnt das Gericht Fischers Antrag auf vorsorgliche Massnahmen ab. Dies, weil sich die Bundeskanzlei öffentlich und in einer Stellungnahme zuhanden des Gerichts dazu bekennt, keine sensitiven Daten wie Steuerdaten in die Public Clouds von Amazon und Co. zu verlagern. Oder dies explizit so nicht «beabsichtigt».
Und dennoch rügt das höchste Gericht die Vorinstanz, also das Bundesverwaltungsgericht. Es habe sich mit dem Gesuch Fischers gar nicht auseinandergesetzt, sondern sich als «nicht zuständig» erklärt. «Rechtsverweigerung» nennen dies die Juristinnen. Die Zwischenverfügung wird damit wieder aufgehoben.
Die Bundesrichterinnen haben den Ball also wieder an die Vorinstanz zurückgespielt. Nun müssen sich die Richter des Bundesverwaltungsgerichts erneut mit dem Cloud-Projekt und auch inhaltlich mit den Forderungen des Beschwerdeführers auseinandersetzen. Und entscheiden, ob vorsorgliche Massnahmen, also ein unmittelbarer Stopp des Cloud-Projekts, verhängt werden sollen.
Sensible Daten bereits in der Wolke
Ricardo Fischer hat womöglich noch ein wertvolles Beweismittel in der Hand. Denn, wie bereits erwähnt: Das Bundesgericht hat sich von der Bundeskanzlei versichern lassen, dass keine Daten mit erhöhtem Schutzbedarf in der Wolke gespeichert werden.
Doch de facto tut der Bund genau das bereits heute.
Zwar handelt es sich nicht um Daten von Schweizer Bürgerinnen, sondern von den rund 40’000 Bundesangestellten (die notabene auch Schweizer Bürger oder Einwohnerinnen sind). Diese werden seit anderthalb Jahren in SAP-Rechenzentren sowie auch beim amerikanischen Cloud-Giganten Microsoft gehalten. Dabei könnte es sich je nachdem um Daten wie Mitarbeiterbewertungen, Absenzen, Verwarnungen, Gründe für eine Entlassung, allfällige Arzt- und Arbeitszeugnisse handeln.
«Im Cloud-Service SuccessFactors [Name der Cloud-Einrichtung] werden HR-Daten verarbeitet. Darunter befinden sich auch Personendaten der Bundesangestellten, die vereinzelt als besonders schützenswerte Personendaten zu qualifizieren sind», sagt Jonas Spirig, Sprecher des Bundesamts für Bauten und Logistik; jenes Amts, das für Beschaffungen zuständig ist.
Jene Personalinformationen befinden sich in einem Microsoft-Datenzentrum in der Schweiz. Und weil es sich um einen amerikanischen Konzern handelt, könnten je nachdem auch die amerikanischen Überwachungs- und Strafverfolgungsgesetze greifen, etwa der «Cloud Act» oder «Fisa Section 702». Diese gebieten direkten Zugriff auf die Daten von Europäerinnen, jene von Schweizerinnen inbegriffen. Ein Risiko, das den Bundesbehörden bewusst ist und das man mit Schweizer Datenzentren sowie mit Verschlüsselungsmethoden einzugrenzen versucht.
Auch wenn es um zwei separate Cloud-Geschäfte geht: Die Grundthematik – welche Daten in die Cloud verlagert werden – ist dieselbe. Und die Information bezüglich der Personaldaten könnte allenfalls die Karten neu mischen.
Die Rahmenverträge mit Amazon, Alibaba und Co. hätten in diesem Monat in trockene Tücher gebracht werden sollen. Doch ob sie jemals unterzeichnet werden können, ist bis zum Entscheid des Bundesverwaltungsgerichts noch ungewiss.
Im Bundesgerichtsurteil wurde zudem etwas Entscheidendes festgehalten, zumindest sinngemäss: Kein Amt kann sich mit der Begründung rausreden, dass die Bedenken einer Einzelperson allein nicht wichtig genug seien, um sich mit ihnen auseinanderzusetzen. Auch nicht, wenn es dabei um ein Bundesprojekt in der Grössenordnung von 110 Millionen Franken geht. Eine Argumentation, die die Bundeskanzlei auszuspielen versuchte – und womit sie scheiterte.
Mit anderen Worten: Eine Behörde hat sich mit den Anliegen von besorgten Bürgerinnen rechtlich auseinanderzusetzen und kann sie nicht (mit Floskeln) abwimmeln. Unabhängig davon, wie es nun in dieser Sache weitergeht: Zumindest diese Feststellung ist ein Sieg für den Rechtsstaat.
Der Bund hat die Verträge mit Amazon, Alibaba und Co. bereits unterzeichnet. Obwohl die rechtliche Grundlage für das Geschäft noch nicht geklärt ist. Hier gehts zum Update: Die Bundeskanzlei schafft Fakten in der Cloud-Frage.