Inter­pel­la­ti­on Schwa­ab (15.3396): Befin­den sich die beson­ders schüt­zens­wer­ten Daten des Bun­des in Sicher­heit?

Eingereichter Text

Ich stel­le dem Bun­des­rat fol­gen­de Fra­gen:

1. Um wel­che Arten von Daten geht es bei dem in der Begrün­dung erwähn­ten Auf­trag, der an Hew­lett Packard ver­ge­ben wur­de?

2. Wel­che Sicher­hei­ten hat der Bun­des­rat, dass die­se Daten nicht ande­ren Nach­rich­ten­dien­sten, ins­be­son­de­re US-ame­ri­ka­ni­schen, bekannt­ge­ge­ben wer­den?

3. Was gedenkt der Bun­des­rat zu tun, um sicher­zu­stel­len, dass die ver­trag­li­chen Pflich­ten zur Daten­si­cher­heit auch ein­ge­hal­ten wer­den? Wel­che Sank­tio­nen sind für den Fall einer Wider­hand­lung vor­ge­se­hen?

4. In der Medi­en­mit­tei­lung vom 23. April 2015 wird “die Ein­hal­tung der Richt­li­ni­en der Bun­des­ver­wal­tung” erwähnt. Um wel­che Richt­li­ni­en geht es?

5. Wo wer­den die Daten auf­be­wahrt? Unter­ste­hen sie jeder­zeit aus­schliess­lich schwei­ze­ri­schem Recht?

6. Kann der Bun­des­rat – falls die Daten aus­schliess­lich in der Schweiz auf­be­wahrt wer­den – gewähr­lei­sten, dass kei­ne Kopi­en in ande­re Län­der gelan­gen?

7. Was geschieht mit den Daten, wenn der Hosting-Anbie­ter in Kon­kurs geht (vgl. Ant­wort des Bun­des­ra­tes auf mei­ne Anfra­ge 14.1064)?

8. War­um wur­den aus­län­di­sche Pri­vat­un­ter­neh­men berück­sich­tigt? War­um kann die Dienst­lei­stung nicht intern ent­wickelt wer­den? War­um konn­te kei­ne Schwei­zer Fir­ma berück­sich­tigt wer­den?

9. War­um macht das Bun­des­amt für Infor­ma­tik und Tele­kom­mu­ni­ka­ti­on (BIT) nicht die Aus­nah­men nach Arti­kel 3 Absatz 2 des Bun­des­ge­set­zes vom 16. Dezem­ber 1994 über das öffent­li­che Beschaf­fungs­we­sen gel­tend?

Begründung

Das BIT hat am 23. April 2015 die Ver­ga­be zwei­er Auf­trä­ge über ein Gesamt­vo­lu­men von 197 Mil­lio­nen Fran­ken bekannt­ge­ge­ben. Die Cloud wird mit Hew­lett Packard ent­wickelt. Für das Daten­spei­che­rungs­pro­jekt ist die Fir­ma Tera­data zustän­dig. Die­ses Auf­trags­vo­lu­men beläuft sich auf 137 Mil­lio­nen Fran­ken.

Hew­lett Packard ist ein US-ame­ri­ka­ni­sches Unter­neh­men. Tera­data (Schweiz) GmbH ist das Toch­ter­un­ter­neh­men einer US-ame­ri­ka­ni­schen Fir­ma. Nach den US-ame­ri­ka­ni­schen Geset­zen zur Bekämp­fung des Ter­ro­ris­mus (z. B. For­eign Intel­li­gence and Sur­veil­lan­ce Act; vgl. Inter­pel­la­ti­on 13.3033) kön­nen die­se Fir­men aber dazu ver­pflich­tet wer­den, den ame­ri­ka­ni­schen Nach­rich­ten­dien­sten alle in ihrem Besitz befind­li­chen Daten bekannt­zu­ge­ben, ohne die Eigen­tü­me­rin­nen und Eigen­tü­mer der Daten dar­über zu benach­rich­ti­gen. Man muss dafür sor­gen, dass die­ses Schick­sal den Daten des Bun­des erspart bleibt.

Stellungnahme des Bundesrats

Ein­lei­tend ist grund­sätz­lich zu bemer­ken, dass das Bun­des­amt für Infor­ma­tik und Tele­kom­mu­ni­ka­ti­on (BIT) mit die­ser Aus­schrei­bung eine Platt­form für eine bun­des­in­ter­ne pri­va­te Cloud, wel­che durch das BIT sel­ber betrie­ben wird, beschafft hat. Es han­delt sich also nicht, wie aus den Fra­gen her­ge­lei­tet wer­den könn­te, um eine Lei­stung in einer öffent­li­chen Cloud, wel­che durch einen exter­nen Anbie­ter betrie­ben wür­de.

1. Das BIT wird als Lei­stungs­er­brin­ger sei­nen Lei­stungs­be­zü­gern (inter­es­sier­te Bun­des­äm­ter und ande­re Ver­wal­tungs­ein­hei­ten des Bun­des) stan­dar­di­sier­te pri­va­te Cloud-Dien­ste auf die­ser Platt­form zur Ver­fü­gung stel­len, wie zum Bei­spiel vir­tu­el­le Ser­ver. Die Ent­schei­dung, wel­che Daten über die Platt­form gema­nagt wer­den, liegt bei den ein­zel­nen Ver­wal­tungs­ein­hei­ten; es ist davon aus­zu­ge­hen, dass sowohl unklas­si­fi­zier­te als auch “Intern” und “Ver­trau­lich” klas­si­fi­zier­te Daten auf die­ser Platt­form bear­bei­tet oder gespei­chert wer­den. Die­se Platt­form löst über die näch­ste Zeit eine ähn­li­che Platt­form ab, wel­che bereits mit Hew­lett-Packard-Tech­no­lo­gie vom BIT in den BIT-Rechen­zen­tren betrie­ben wird. Dabei wer­den neue Funk­tio­na­li­tä­ten für die BIT-Kun­den zur Ver­fü­gung ste­hen, wel­che eine höhe­re Fle­xi­bi­li­tät und Auto­ma­ti­sie­rung in der Bereit­stel­lung und Nut­zung der Platt­form bie­ten.

2./3. Die Cloud-Platt­form wird in den Rechen­zen­tren des BIT durch Mit­ar­bei­ten­de des BIT betrie­ben. Für die Ein­hal­tung der Richt­li­ni­en der Bun­des­ver­wal­tung ins­be­son­de­re bezüg­lich Sicher­heit ist dies opti­mal. Hew­lett Packard stellt nur die Hard­ware zur Ver­fü­gung. Um das Risi­ko eines Daten­ab­flus­ses wei­ter zu mini­mie­ren, wer­den War­tungs­ein­sät­ze des Lie­fe­ran­ten so durch­ge­führt, dass die Arbei­ten über­wacht wer­den kön­nen. Aus die­sem Grund genü­gen in die­sem beson­de­ren Fall – im Gegen­satz zu bei­spiels­wei­se Mana­ged-Ser­vices-Dienst­lei­stun­gen – Garan­ti­en sei­tens Hew­lett Packard, wie der Bund sie von Hard­ware-Lie­fe­ran­ten übli­cher­wei­se ein­for­dert. Unter die­se Garan­ti­en fällt die Ein­hal­tung der Geheim­hal­tungs­pflicht und des Daten­schut­zes, wel­che im WTO-Ver­fah­ren als Muss-Kri­te­ri­um für den Zuschlag im Ver­trags­ent­wurf for­mu­liert wur­den und die Hew­lett Packard akzep­tiert hat. Im Fal­le eines Daten­dieb­stahls sind zudem die Bestim­mun­gen des Straf­rechts (bei­spiels­wei­se Art. 143­bis, 144­bis StGB) anwend­bar.

4. Die erwähn­ten Richt­li­ni­en beinhal­ten ins­be­son­de­re die Wei­sun­gen des Bun­des­ra­tes über die IKT-Sicher­heit in der Bun­des­ver­wal­tung vom 14. August 2013 (WIsB), wel­che über­ar­bei­tet wur­den und in der neu­en Ver­si­on am 1. Janu­ar 2016 in Kraft tre­ten wer­den (Wei­sun­gen vom 1. Juli 2015). Zu den erwähn­ten Richt­li­ni­en gehö­ren auch die Vor­ga­ben des Infor­ma­tik­steue­rungs­or­gans des Bun­des zur IKT-Sicher­heit (sie­he www.isb.admin.ch > The­men > Sicher­heit > Sicher­heits­grund­la­gen > Wei­sun­gen Infor­ma­tik­si­cher­heit). Ausser­dem ist die schwei­ze­ri­sche Gesetz­ge­bung zu die­sem The­ma wie bei­spiels­wei­se die Bun­des­in­for­ma­tik­ver­ord­nung vom 9. Dezem­ber 2011 (Bin­fV; SR 172.010.58), die Ver­ord­nung vom 4. Juli 2007 über den Schutz von Infor­ma­tio­nen des Bun­des (ISchV; SR 510.411), das Daten­schutz­ge­setz vom 19. Juni 1992 (DSG; SR 235.1), die Ver­ord­nung vom 14. Juni 1993 zum Bun­des­ge­setz über den Daten­schutz (VDSG; SR 235.11) sowie das Regie­rungs- und Ver­wal­tungs­or­ga­ni­sa­ti­ons­ge­setz vom 21. März 1997 (RVOG; SR 172.010) ein­zu­hal­ten. Am 29. Janu­ar 2014 hat der Bun­des­rat die Erar­bei­tung von Grund­sät­zen und Prin­zi­pi­en beschlos­sen, um das Risi­ko nach­rich­ten­dienst­li­cher Aus­spä­hung durch instru­men­ta­li­sier­te IKT-Anbie­ter zu mini­mie­ren. Als neu­es Ele­ment der IKT-Sicher­heits­ver­fah­ren wird seit Ende 2014 ein ent­spre­chen­des Prüf­kon­zept bei sen­si­ti­ven Beschaf­fun­gen gete­stet. Die­se Risi­ko­ma­nage­ment­me­tho­de zur Reduk­ti­on nach­rich­ten­dienst­li­cher Aus­spä­hung (Rina) ist in die neue WIsB auf­ge­nom­men wor­den. Im Rah­men die­ser Arbei­ten wur­de auch die Beschaf­fung einer Cloud-Platt­form geprüft und wur­den die gewähl­ten orga­ni­sa­to­ri­schen und sicher­heits­tech­ni­schen Lösun­gen als ziel­füh­rend beur­teilt.

5./6. Die Daten befin­den sich auf der Cloud-Platt­form, wel­che in den Rechen­zen­tren des BIT durch Mit­ar­bei­ten­de des BIT betrie­ben wird. Daher blei­ben die Daten stets unter schwei­ze­ri­schem Recht. War­tungs­ein­sät­ze des Lie­fe­ran­ten wer­den so durch­ge­führt, dass die Arbei­ten über­wacht wer­den kön­nen. Somit ist das Risi­ko eines Daten­ab­flus­ses mini­miert. Da aber jede Daten­platt­form immer einem Rest­ri­si­ko einer Daten­ent­wen­dung aus­ge­setzt ist, kann kei­ne for­mel­le Garan­tie gegen eine Daten­ent­wen­dung abge­ge­ben wer­den.

7. Da kei­ne Daten­spei­che­rung durch ein Pri­vat­un­ter­neh­men vor­ge­se­hen ist, stellt sich die Fra­ge nach einem all­fäl­li­gen Kon­kurs des Hosting-Anbie­ters nicht.

8./9. Einer­seits ist fest­zu­stel­len, dass es für die aus­ge­schrie­be­ne Tech­no­lo­gie, ins­be­son­de­re deren Hard­ware, kei­nen Schwei­zer Her­stel­ler gibt, wel­cher die­se Syste­me inte­gral in der Schweiz her­stellt. Ande­rer­seits unter­lie­gen die Beschaf­fun­gen der Bun­des­ver­wal­tung dem WTO-Recht, wel­ches auf dem Grund­satz der Nicht­dis­kri­mi­nie­rung beruht.

Die Anwen­dung der Aus­nah­me­klau­sel nach Arti­kel 3 Absatz 2 des Bun­des­ge­set­zes vom 16. Dezem­ber 1994 über das öffent­li­che Beschaf­fungs­we­sen (SR 172.056.1) ist auf­grund der stän­di­gen Recht­spre­chung nur unter stren­gen Vor­aus­set­zun­gen zuläs­sig. Es muss nach­ge­wie­sen wer­den, dass alter­na­ti­ve, weni­ger wett­be­werbs­ver­zer­ren­de Mass­nah­men geprüft wur­den und die­se sich nicht als geeig­net, d. h. aus­rei­chend risi­ko­ver­min­dernd, erwie­sen. Im vor­lie­gen­den Fall war die Anwen­dung einer sol­chen Aus­nah­me nicht gerecht­fer­tigt.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.