Mit drei Empfehlungen vom 29. Januar 2025 empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) den weitgehenden Zugang zu den Cloud-Verträgen zwischen der Schweiz und Tech-Konzernen.
Aus den Empfehlungen geht nicht hervor, welche drei Tech-Konzerne sich gegen den Zugang zur Wehr setzen. In den Empfehlungen sind die Tech-Konzerne einschliesslich ihrer Rechtsvertretung (!) anonymisiert.
Die Verträge für die «Public Clouds Bund» bestehen mit Alibaba, Amazon Web Services (AWS), IBM, Microsoft und Oracle.
Die Bundeskanzlei hatte den Abschluss der Verträge am 27. September 2022 verkündet:
«Die Verträge mit den fünf Cloud-Anbietern von ‹Public Clouds Bund› sind unterschrieben. Die Anbieter haben einen inhaltlich übereinstimmenden Rahmenvertrag unterzeichnet. Ergänzend wurden mit jedem Anbieter zusätzliche Vertragskomponenten erarbeitet. Mit einer rechtlichen Vertragsanalyse wurde sichergestellt, dass die Anbieter vergleichbare Leistungen erbringen. Die Bundeskanzlei prüft zurzeit, inwiefern die Verträge publiziert werden können.»
Transparenz wäre für die Verträge zwischen der Bundesverwaltung und den ausländischen Cloud-Diensten von grösster Bedeutung. Was wurde beispielsweise vereinbart, um die Datensicherheit und die Datensouveränität zu gewährleisten?
Welche Dokumente sollen für die Öffentlichkeit zugänglich sein?
Am 10. Juli 2023 gelangte ich mit Verweis auf das Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung (Öffentlichkeitsgesetz, BGÖ) und forderte den Zugang zu folgenden Dokumenten:
- Rahmenvertrag, inhaltlich übereinstimmend, mit den Anbietern für die «Public Clouds Bund»
- Liste der Verträge und aller Vertragsbestandteile mit den Anbietern für die «Public Clouds Bund»
- Liste von Einladungen, Protokollen, Präsentationen und sonstigen Unterlagen von Sitzungen mit den Anbietern für die «Public Clouds Bund»
- Ergebnis der Prüfung zur Veröffentlichung der Verträge für die «Public Clouds Bund» («Die Bundeskanzlei prüft zurzeit, inwiefern die Verträge publiziert werden können»)
Welche Schlichtungsverfahren hat der EDÖB durchgeführt?
Drei der fünf Tech-Konzerne wehrten sich gegen den Zugang zu den genannten Dokumenten. Sie gelangten in diesem Rahmen mit jeweils einem Schlichtungsantrag an den EDÖB.
In der Folge führte der EDÖB drei Schlichtungsverfahren. Bei einem Tech-Konzern beteiligten sich zwei Entitäten am Schlichtungsverfahren. Die Parteien werden vom EDÖB mit den Buchstaben A, B, C und D anonymisiert.
Die Schlichtungsverfahren bezogen sich nur auf den erwähnten Rahmenvertrag, da für den EDÖB nicht ersichtlich war, ob die Bundeskanzlei auch den Zugang zu den weiteren Dokumenten geprüft hatte.
An den Schlichtungsverfahren war ich nicht beteiligt. In den Schlichtungsverfahren konnten sich lediglich die Bundeskanzlei und die Tech-Konzerne, zum Teil über ihre Rechtsvertretung, äussern.
Ich habe bislang von der Bundeskanzlei noch keinen Zugang erhalten, auch nicht zu ihrem eigenen Ergebnis der Prüfung zur Veröffentlichung der Verträge für die «Public Clouds Bund».
Wie lauten die Empfehlungen des EDÖB?
Der EDÖB empfiehlt in drei ausführlich begründeten Empfehlungen vom 29. Januar 2025 den weitgehenden Zugang zu den Cloud-Verträgen:
«Die Bundeskanzlei gewährt den Zugang zum Vertragswerk der Antragstellerin gemäss den obenstehenden Erwägungen […].»
Die Erwägungen, auf die der EDÖB in seinen Empfehlungen bezieht, lauten im Wesentlichen wie folgt:
- Es bestünden keine spezialgesetzlichen Vorbehalte gemäss Art. 4 BGÖ. Diese Bestimmung lautet wie folgt: «Vorbehalten bleiben spezielle Bestimmungen anderer Bundesgesetze, die […] bestimmte Informationen als geheim bezeichnen [oder] von diesem Gesetz abweichende Voraussetzungen für den Zugang zu bestimmten Informationen vorsehen».
- Art. 7 Abs. 1 lit. b BGÖ komme nicht zur Anwendung. Diese Bestimmung betrifft die Beeinträchtigung der «zielkonformen Durchführung konkreter behördlicher Massnahmen». Die Bestimmung schütze keine private Interessen, sondern ziele auf das öffentliche Interesse.
- Die Abdeckung bzw. Schwärzung in Bezug auf Informationen zu Preiskalkulationen und Rabatten sei gerechtfertigt, da ein berechtigtes objektives Geheimhaltungsinteresse gemäss Art. 7 Abs. 1 lit. g BGÖ besteht. Diese Bestimmung betrifft die Offenbarung von Berufs-, Geschäfts- oder Fabrikationsgeheimnissen.
- In Bezug auf darüber hinaus geforderte Schwärzungen hätten weder der Tech-Konzern noch die Bundeskanzlei mit der erforderlichen Begründungsdichte dargetan, dass Art. 7 Abs. 1 lit. g BGÖ anwendbar sei.
- Art. 7 Abs. 1 lit. h BGÖ komme nicht zur Anwendung. Diese Bestimmung betrifft «Informationen […], die der Behörde von Dritten freiwillig mitgeteilt worden sind und deren Geheimhaltung die Behörde zugesichert hat».
- Art. 8 Abs. 4 BGÖ komme nicht zur Anwendung. Die Bestimmung lautet wie folgt: «Amtliche Dokumente über Positionen in laufenden und künftigen Verhandlungen sind in keinem Fall zugänglich.» Die Bestimmung schütze keine private Interessen, sondern ziele auf das öffentliche Interesse.
- Für den Zugang zu Personendaten und zu Daten juristischer Personen gelte grundsätzlich Art. 9 Abs. 1 BGÖ, mehr aber nicht.
Die einzelnen Erwägungen sind sinngemäss in mindestens einer Empfehlung enthalten.
Einzelnen Empfehlungen vom 29. Januar 2025 als PDF-Dateien:
Es lohnt sich, die Empfehlungen als Ganzes zu lesen, denn sie enthalten einige bemerkenswerte Punkte, zum Beispiel:
- Ein Tech-Konzern behauptete, das öffentliche Interesse sei «als gering zu veranschlagen», da der Bund «keine sensiblen Daten, sondern primär öffentlich zugängliche Daten, in den Public Clouds speichern wird».
- Der gleiche Tech-Konzern sorgte sich um Unzufriedenheit bei anderen Kunden: «Soweit die Antragstellerin geltend macht, dass […] auch Informationen erfasst sind, deren Bekanntgabe ihre Beziehungen zu anderen Kunden belasten könnten, wenn diese ‹bemerken, dass sie nicht die gleichen vorteilhaften Bedingungen wie andere Kunden erhalten›, was zu ‹Unzufriedenheit führen› und zu einer Schädigung des Ruf[s] der Antragstellerin auf dem Markt resultieren könnte, womit im Ergebnis ihre Privatsphäre verletzt werden könnte […].»
- Der gleiche Tech-Konzern wollte nachträglich sogar geheim halten lassen, dass ein Cloud-Vertrag mit ihm geschlossen wurde: «Der Beauftragte weist darauf hin, dass öffentlich bekannt ist, welche Unternehmen […] den Zuschlag erhalten haben. In diesem Sinne ist […] kein privates Interesse am Schutz dieses Umstands erkennbar.»
- Ein anderer Tech-Konzern wollte sich nicht festlegen, ob der Vertrag individuell ausgehandelt wurde oder ob Informationen aus dem eigenen Vertrag in den Verträgen mit den anderen Tech-Konzernen zu finden seien und deshalb ein «kollektives Geschäftsgeheimnis» gelte. Dieser Tech-Konzern hatte unter anderem erklärt, dass sein Vertrag «mit dem Bund individuell ausgehandelt» worden und «nicht im Markt bekannt» sei. Es handle sich um eine «absolute Ausnahme» und es bestünden keine «generellen Standardvertragszusätze für die Nutzung von Cloud-Dienste[n] durch Bundesbehörden» oder «vorbestehende Vertragswerke mit dem Bund».
Wie geht es weiter?
Die einzelnen Tech-Konzerne können, wenn sie mit den Empfehlungen nicht einverstanden sind, innert 10 Tagen nach Erhalt bei der Bundeskanzlei den Erlass einer Verfügung verlangen (Art. 15 Abs. 1 BGÖ).
Die Bundeskanzlei kann auch in eigener Sache eine Verfügung erlassen, wenn sie mit den Empfehlungen nicht einverstanden ist (Art. 15 Abs. 2 BGÖ).
Die Verfügungen eröffnen den Tech-Konzernen die Möglichkeit einer Beschwerde am Bundesverwaltungsgericht. Ich gehe davon aus, dass die Tech-Konzerne den Rechtsweg beschreiten werden.
Die beiden Tech-Konzerne, die sich nicht gegen den Zugang wehren, könnten die Dokumente von sich aus veröffentlichen. Sie würden damit nicht länger zu Unrecht unter Verdacht stehen, mit gutem Grund etwas verbergen zu haben.
Cloud-Verträge zwischen der Schweiz und Tech-Konzernen bleiben erst einmal geheim (2023)
Siehe auch:
- Geheime Verträge für «Public Clouds Bund» (Datenschutz-Plaudereien)
- Microsoft 365: Was haben der Kanton Zürich und Microsoft zu verbergen?
- Outsourcing beim Staat (Datenschutz-Plaudereien)