Das Vorhaben «Public Clouds Bund» (WTO-20007) ist ein erster Schritt in der Umsetzung der vom Bundesrat verabschiedeten Cloud-Strategie. Die Bundesverwaltung kann damit – als Ergänzung zu bundeseigenen Private Clouds – während fünf Jahren Public-Cloud-Leistungen beziehen. Der Abruf von Leistungen ist für die Verwaltungseinheiten optional.
Der Bund erhält einen geordneten Zugang zu Leistungen von fünf grossen Cloud-Anbietern, die kostengünstige und hochskalierbare Infrastruktur- und Plattformdienste anbieten sowie über eine breite Palette neuster Technologien und Dienste verfügen. Das sogenannte Abrufverfahren stellt die effiziente Nutzung der Cloud-Dienste für die Departemente und die Bundeskanzlei sicher.
Keine Verpflichtung zum Bezug von Cloud-Leistungen
Bei den Zuschlagsempfängern handelt es sich um die vier US-amerikanischen Unternehmen Amazon Web Services EMEA SARL, IBM
Da eine Beschwerde einging, konnte das Beschaffungsverfahren bisher nicht abgeschlossen werden. Mit dem erfolgten Rückzug der Beschwerde durch die Beschwerdeführerin ist dies nun möglich und die Arbeiten können vollständig weitergeführt werden. Als nächstes werden nun die weiteren Grundlagen für die Nutzung von Public-Cloud-Diensten erarbeitet, insbesondere eine Checkliste für die Risikoanalyse und die Datenschutzfolgeabschätzung. Die Arbeiten erfolgen in enger Zusammenarbeit mit dem eidgenössischen Datenschutzbeauftragten.
Daten in der Public Cloud: Sorgfältige Abklärungen sind in jedem Fall nötig
Die Nutzung von Cloud-Diensten entspricht einem steigenden Bedürfnis der Departemente und der Bundeskanzlei, um wirtschaftliche und innovative Verwaltungsleistungen zugunsten der Bevölkerung und der Wirtschaft zu erbringen. Mit den neu verfügbaren Optionen sollen die verschiedenen Bedürfnisse zukunftsgerichtet erfüllt werden. Über den Einsatz entscheiden die Departemente und die Bundeskanzlei.
Falls Dienste bezogen werden, muss immer zwingend eine spezifische Risikoanalyse durchgeführt werden. Bei Personendaten muss zusätzlich eine Datenschutzfolgeabschätzung vorgenommen werden. Anwendungen und Daten mit hohem Schutzbedarf werden auf bundesintern betriebenen Infrastrukturen und Plattformen in den Rechenzentren der Bundesverwaltung betrieben respektive bearbeitet.
Weitere Abklärungen zu der Thematik «Swiss Cloud»
Von der WTO-Beschaffung «Public Clouds Bund» ist die «Swiss Cloud»-Thematik abzugrenzen. Unter dem Namen «Swiss Cloud» prüfte der Bund, ob er eine staatliche schweizerische Cloud-Lösung oder ein staatliches Zertifizierungssystem für Cloud-Leistungen zur Verfügung stellen soll. Im Dezember 2020 nahm der Bundesrat einen Bericht zur Bedarfsabklärung für eine «Swiss Cloud» zur Kenntnis. Aus diesem ging hervor, dass der Bedarf nach einer eigenständigen öffentlich-rechtlichen technischen Infrastruktur nicht gegeben ist. Der Bericht wurde publiziert.
Im ersten Halbjahr 2021 wurde zusätzlich die Frage nach einem Zertifizierungssystem für Cloud-Leistungen geprüft. Der Bundesrat wurde an seiner Sitzung vom 30. Juni 2021 informiert, dass kein konkreter staatlicher Regulierungsbedarf für ein nationales Zertifizierungssystem identifiziert wurde. Insbesondere für die zentralen Aspekte Datenschutz und Informationssicherheit existiert bereits eine breite Palette von Standards und Zertifizierungssystemen. Weitergeführt werden Abklärungen zur zwischenstaatlichen Zusammenarbeit bei Cloud-Dienstleistungen mit dem Ziel, mehr Rechtssicherheit für Unternehmen, Personen und Behörden in der Schweiz zu schaffen. Unter anderem sondiert der Bund Initiativen für sichere und vertrauenswürdige Dateninfrastrukturen für Europa und prüft eine Beteiligung an GAIA-X.