Die Eidgenossenschaft setzt für Cloud-Dienste auf Alibaba.com, Amazon Web Services (AWS), IBM, Microsoft und Oracle.
Was in den Verträgen steht, soll aber erst einmal geheim bleiben – nicht einmal die Liste der Vertragsbestandteile soll öffentlich werden.
Transparenz wäre für die Verträge zwischen der Bundesverwaltung und den ausländischen Cloud-Diensten von grösster Bedeutung. Was wurde beispielsweise vereinbart, um die Datensicherheit und die Datensouveränität zu gewährleisten?
Am 27. September 2022 hatte die Bundeskanzlei verkündet, die Verträge für die «Public Clouds Bund» seien abgeschlossen. Ausserdem erklärte die Bundeskanzlei, es werde geprüft, inwiefern die Verträge publiziert werden könnten:
«Die Verträge mit den fünf Cloud-Anbietern von ‹Public Clouds Bund› sind unterschrieben. Die Anbieter haben einen inhaltlich übereinstimmenden Rahmenvertrag unterzeichnet. Ergänzend wurden mit jedem Anbieter zusätzliche Vertragskomponenten erarbeitet. Mit einer rechtlichen Vertragsanalyse wurde sichergestellt, dass die Anbieter vergleichbare Leistungen erbringen. Die Bundeskanzlei prüft zurzeit, inwiefern die Verträge publiziert werden können.»
Inzwischen ist klar, dass die Verträge erst einmal nicht publiziert werden können – nicht einmal die Liste aller Vertragsbestandteile.
Das zeigt ein Gesuch, das ich mit Verweis auf das Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung (Öffentlichkeitsgesetz, BGÖ) an die Bundeskanzlei gerichtet hatte.
Ich hatte insbesondere um Zugang zum inhaltlich übereinstimmenden Rahmenvertrag sowie zu einer Liste aller Verträge und aller Vertragsbestandteile mit den Anbietern ersucht.
Nun teilte mir die Bundeskanzlei mit, nicht einmal für die «Inhaltsliste der Vertragsbestandteile» die «Zustimmung von allen Anbietern erhalten» zu haben:
«[…] Wir haben bei den Anbietern Ihre Einsichtnahme in die Inhaltsliste der Vertragsbestandteile angefragt und leider keine Zustimmung von allen Anbietern erhalten. Ihr Gesuch erachten wir aber aus Sicht des BGÖ als hinreichend präzis und starten daher das Anhörungsverfahren. Weil es sich bei den angefragten Dokumenten um komplexe und umfangreiche Unterlagen handelt und weil wir die Anhörung mit mehreren Vertragspartner führen, müssen wir die Frist gemäss Art. 12 Abs. 2 BGÖ verlängern.»
Auf Wunsch der Bundeskanzlei hatte ich mein Gesuch bereits auf einen Anbieter nach Wahl der Bundeskanzlei beschränkt. Ihr Anliegen hatte die Bundeskanzlei wie folgt formuliert:
«In Anwendung von Art. 7 Abs. 3 VBGÖ möchten wir Sie bitten, Ihr Gesuch zu präzisieren. Sie verstehen, dass wir u.a. keine Geschäftsgeheimnisse der Anbieter (z.B. Preiskalkulationen, siehe auch Art. 7 Abs. 1 Bst. g BGÖ) offenbaren dürfen. Das Anhörungsverfahren rund um die Schwärzung nicht zu offenbarender Stellen der Rahmenverträge mit allen fünf Anbietern wird arbeitsintensiv. Um die Aufwände so gering wie möglich zu halten, käme uns eine Eingrenzung Ihres Gesuches entgegen. »
In der Folge muss ich davon ausgehen, dass kein einziger Anbieter bereit ist, freiwillig auch nur für die Liste der Vertragsbestandteile Transparenz zu schaffen. Um Zugang zu den eigentlichen Inhalten der Verträge hatte ich noch gar nicht ersucht.
Hingegen hatte ich neben dem Rahmenvertrag sowie der Liste der Verträge und Vertragsbestandteile auch um Zugang zur «Liste von Einladungen, Protokollen, Präsentationen und sonstigen Unterlagen von Sitzungen mit den Anbietern» und zum «Ergebnis der Prüfung der Veröffentlichung der Verträge» ersucht.
Ich bin neugierig, welche Dokumente ich in dieser Hinsicht von der Bundeskanzlei erhalten werde, ohne allenfalls für ein Schlichtungsverfahren zum Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in Bern reisen zu müssen.
Das Beispiel zeigt einmal mehr, dass das Öffentlichkeitsprinzip von der Verwaltung häufig nicht gelebt wird. Im vorliegenden Fall scheint die Transparenz zwar nicht an der Bundeskanzlei zu scheitern, aber die erforderliche Transparenz wurde mit den Anbietern offensichtlich auch nicht vertraglich vereinbart.
Wenn die Bundesverwaltung nicht fähig oder willig war, das Öffentlichkeitsprinzip in den Verträgen mit den Cloud-Anbietern zu verankern, wie steht es erst um andere wichtige Themen?
Das Öffentlichkeitsprinzip sollte den «Zugang zu amtlichen Dokumenten» gewährleisten (Art. 1 BGÖ).
Die heutige Umsetzung mit dem Öffentlichkeitsgesetz ermöglicht aber überall dort, wo die Verwaltung diese Transparenz nicht von sich aus gewährleistet, lediglich hartnäckigen Bürgern und Medienschaffenden früher oder später den teilweisen Zugang zu einigen wenigen Dokumenten. Immer noch ist Geheimhaltung und nicht Transparenz die Norm.
Dazu kommt, dass das Öffentlichkeitsprinzip mit einer «wachsenden Anzahl spezialgesetzlicher Ausnahmen vom BGÖ und Notrecht» immer häufiger ausgehebelt wird, wie der EDÖB im Zusammenhang mit der Abwicklung der Credit Suisse kritisiert hatte. Dabei enthält das BGÖ in Art. 7 selbst bereits einen grosszügig formulierten Katalog von Ausnahmen.
Microsoft 365: Was haben der Kanton Zürich und Microsoft zu verbergen?
Bild: Pixabay / 12019, Public Domain-ähnlich.
Der Auftraggeber, also der Bund, bestimmt die Bedingungen. Die wiederum müssen dem Öffentlichkeitsgesetz genügen. Als Bürger müssen wir wieder einmal mehr für unsere Rechte kämpfen. Unbeding dran bleiben.
Danke, dass Sie die Mühe auf sich nehmen, unserer Regierung auf die Finger zu schauen und die gelebte Praxis zu prüfen. Es braucht unbedingt mehr kouragierte Mitbürger!
Nicht akzeptabel, das die nicht public sind. Vorallem nach dwm Super-Gau in der Microsoft Azure Welt.
Vorallem das kein einziger Schweizer Hoster dabei ist, ist traurig nur weil der Preis zu teuer ist.