Eingereichter Text
Ich stelle dem Bundesrat folgende Fragen:
1. Um welche Arten von Daten geht es bei dem in der Begründung erwähnten Auftrag, der an Hewlett Packard vergeben wurde?
2. Welche Sicherheiten hat der Bundesrat, dass diese Daten nicht anderen Nachrichtendiensten, insbesondere US-amerikanischen, bekanntgegeben werden?
3. Was gedenkt der Bundesrat zu tun, um sicherzustellen, dass die vertraglichen Pflichten zur Datensicherheit auch eingehalten werden? Welche Sanktionen sind für den Fall einer Widerhandlung vorgesehen?
4. In der Medienmitteilung vom 23. April 2015 wird “die Einhaltung der Richtlinien der Bundesverwaltung” erwähnt. Um welche Richtlinien geht es?
5. Wo werden die Daten aufbewahrt? Unterstehen sie jederzeit ausschliesslich schweizerischem Recht?
6. Kann der Bundesrat – falls die Daten ausschliesslich in der Schweiz aufbewahrt werden – gewährleisten, dass keine Kopien in andere Länder gelangen?
7. Was geschieht mit den Daten, wenn der Hosting-Anbieter in Konkurs geht (vgl. Antwort des Bundesrates auf meine Anfrage 14.1064)?
8. Warum wurden ausländische Privatunternehmen berücksichtigt? Warum kann die Dienstleistung nicht intern entwickelt werden? Warum konnte keine Schweizer Firma berücksichtigt werden?
9. Warum macht das Bundesamt für Informatik und Telekommunikation (BIT) nicht die Ausnahmen nach Artikel 3 Absatz 2 des Bundesgesetzes vom 16. Dezember 1994 über das öffentliche Beschaffungswesen geltend?
Begründung
Das BIT hat am 23. April 2015 die Vergabe zweier Aufträge über ein Gesamtvolumen von 197 Millionen Franken bekanntgegeben. Die Cloud wird mit Hewlett Packard entwickelt. Für das Datenspeicherungsprojekt ist die Firma Teradata zuständig. Dieses Auftragsvolumen beläuft sich auf 137 Millionen Franken.
Hewlett Packard ist ein US-amerikanisches Unternehmen. Teradata (Schweiz) GmbH ist das Tochterunternehmen einer US-amerikanischen Firma. Nach den US-amerikanischen Gesetzen zur Bekämpfung des Terrorismus (z. B. Foreign Intelligence and Surveillance Act; vgl. Interpellation 13.3033) können diese Firmen aber dazu verpflichtet werden, den amerikanischen Nachrichtendiensten alle in ihrem Besitz befindlichen Daten bekanntzugeben, ohne die Eigentümerinnen und Eigentümer der Daten darüber zu benachrichtigen. Man muss dafür sorgen, dass dieses Schicksal den Daten des Bundes erspart bleibt.
Stellungnahme des Bundesrats
Einleitend ist grundsätzlich zu bemerken, dass das Bundesamt für Informatik und Telekommunikation (BIT) mit dieser Ausschreibung eine Plattform für eine bundesinterne private Cloud, welche durch das BIT selber betrieben wird, beschafft hat. Es handelt sich also nicht, wie aus den Fragen hergeleitet werden könnte, um eine Leistung in einer öffentlichen Cloud, welche durch einen externen Anbieter betrieben würde.
1. Das BIT wird als Leistungserbringer seinen Leistungsbezügern (interessierte Bundesämter und andere Verwaltungseinheiten des Bundes) standardisierte private Cloud-Dienste auf dieser Plattform zur Verfügung stellen, wie zum Beispiel virtuelle Server. Die Entscheidung, welche Daten über die Plattform gemanagt werden, liegt bei den einzelnen Verwaltungseinheiten; es ist davon auszugehen, dass sowohl unklassifizierte als auch “Intern” und “Vertraulich” klassifizierte Daten auf dieser Plattform bearbeitet oder gespeichert werden. Diese Plattform löst über die nächste Zeit eine ähnliche Plattform ab, welche bereits mit Hewlett-Packard-Technologie vom BIT in den BIT-Rechenzentren betrieben wird. Dabei werden neue Funktionalitäten für die BIT-Kunden zur Verfügung stehen, welche eine höhere Flexibilität und Automatisierung in der Bereitstellung und Nutzung der Plattform bieten.
2./3. Die Cloud-Plattform wird in den Rechenzentren des BIT durch Mitarbeitende des BIT betrieben. Für die Einhaltung der Richtlinien der Bundesverwaltung insbesondere bezüglich Sicherheit ist dies optimal. Hewlett Packard stellt nur die Hardware zur Verfügung. Um das Risiko eines Datenabflusses weiter zu minimieren, werden Wartungseinsätze des Lieferanten so durchgeführt, dass die Arbeiten überwacht werden können. Aus diesem Grund genügen in diesem besonderen Fall – im Gegensatz zu beispielsweise Managed-Services-Dienstleistungen – Garantien seitens Hewlett Packard, wie der Bund sie von Hardware-Lieferanten üblicherweise einfordert. Unter diese Garantien fällt die Einhaltung der Geheimhaltungspflicht und des Datenschutzes, welche im WTO-Verfahren als Muss-Kriterium für den Zuschlag im Vertragsentwurf formuliert wurden und die Hewlett Packard akzeptiert hat. Im Falle eines Datendiebstahls sind zudem die Bestimmungen des Strafrechts (beispielsweise Art. 143bis, 144bis StGB) anwendbar.
4. Die erwähnten Richtlinien beinhalten insbesondere die Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung vom 14. August 2013 (WIsB), welche überarbeitet wurden und in der neuen Version am 1. Januar 2016 in Kraft treten werden (Weisungen vom 1. Juli 2015). Zu den erwähnten Richtlinien gehören auch die Vorgaben des Informatiksteuerungsorgans des Bundes zur IKT-Sicherheit (siehe www.isb.admin.ch > Themen > Sicherheit > Sicherheitsgrundlagen > Weisungen Informatiksicherheit). Ausserdem ist die schweizerische Gesetzgebung zu diesem Thema wie beispielsweise die Bundesinformatikverordnung vom 9. Dezember 2011 (BinfV; SR 172.010.58), die Verordnung vom 4. Juli 2007 über den Schutz von Informationen des Bundes (ISchV; SR 510.411), das Datenschutzgesetz vom 19. Juni 1992 (DSG; SR 235.1), die Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG; SR 235.11) sowie das Regierungs- und Verwaltungsorganisationsgesetz vom 21. März 1997 (RVOG; SR 172.010) einzuhalten. Am 29. Januar 2014 hat der Bundesrat die Erarbeitung von Grundsätzen und Prinzipien beschlossen, um das Risiko nachrichtendienstlicher Ausspähung durch instrumentalisierte IKT-Anbieter zu minimieren. Als neues Element der IKT-Sicherheitsverfahren wird seit Ende 2014 ein entsprechendes Prüfkonzept bei sensitiven Beschaffungen getestet. Diese Risikomanagementmethode zur Reduktion nachrichtendienstlicher Ausspähung (Rina) ist in die neue WIsB aufgenommen worden. Im Rahmen dieser Arbeiten wurde auch die Beschaffung einer Cloud-Plattform geprüft und wurden die gewählten organisatorischen und sicherheitstechnischen Lösungen als zielführend beurteilt.
5./6. Die Daten befinden sich auf der Cloud-Plattform, welche in den Rechenzentren des BIT durch Mitarbeitende des BIT betrieben wird. Daher bleiben die Daten stets unter schweizerischem Recht. Wartungseinsätze des Lieferanten werden so durchgeführt, dass die Arbeiten überwacht werden können. Somit ist das Risiko eines Datenabflusses minimiert. Da aber jede Datenplattform immer einem Restrisiko einer Datenentwendung ausgesetzt ist, kann keine formelle Garantie gegen eine Datenentwendung abgegeben werden.
7. Da keine Datenspeicherung durch ein Privatunternehmen vorgesehen ist, stellt sich die Frage nach einem allfälligen Konkurs des Hosting-Anbieters nicht.
8./9. Einerseits ist festzustellen, dass es für die ausgeschriebene Technologie, insbesondere deren Hardware, keinen Schweizer Hersteller gibt, welcher diese Systeme integral in der Schweiz herstellt. Andererseits unterliegen die Beschaffungen der Bundesverwaltung dem WTO-Recht, welches auf dem Grundsatz der Nichtdiskriminierung beruht.
Die Anwendung der Ausnahmeklausel nach Artikel 3 Absatz 2 des Bundesgesetzes vom 16. Dezember 1994 über das öffentliche Beschaffungswesen (SR 172.056.1) ist aufgrund der ständigen Rechtsprechung nur unter strengen Voraussetzungen zulässig. Es muss nachgewiesen werden, dass alternative, weniger wettbewerbsverzerrende Massnahmen geprüft wurden und diese sich nicht als geeignet, d. h. ausreichend risikovermindernd, erwiesen. Im vorliegenden Fall war die Anwendung einer solchen Ausnahme nicht gerechtfertigt.