Wie aus den Medien zu entnehmen ist, will der Bund die Dienste von ausländischen Cloudanbietern in Anspruch nehmen. Ein auf fünf Jahre verteilter Auftrag ging offenbar an Amazon, Microsoft, IBM, Oracle und Alibaba.
Es fragt sich, für welche Daten der Bund diese Cloudanbieter beiziehen will. Besteht allenfalls die Absicht, unsere Personendaten auszulagern? Eine Klärung wäre wünschenswert.
Die Auslagerung unserer Personendaten könnte eine Verletzung des Datenschutzes darstellen. So verunmöglicht hier das ausländische Recht (US-CLOUD-Act bzw. China's National Intelligence Law, Art. 7 und Art. 26), mit den entsprechenden Anbietern eine umfassende Vertraulichkeit zu vereinbaren und diese auch durchzusetzen.
Wie wäre es mit einer Schweizer Bundescloud ohne Beizug ausländischer Anbieter oder Berater, welche entsprechenden Gesetzen unterstehen?
Nachtrag vom 10. November 2021:
Der Bund teilt heute mit, dass nach Rückzug einer Beschwerde die vier US-amerikanischen Unternehmen Amazon Web Services EMEA SARL, IBM Schweiz AG, Microsoft Schweiz GmbH und Oracle Software (Schweiz) GmbH sowie das chinesische Unternehmen Alibaba.com (Europe) Limited den Zuschlag erhalten haben.
Bei Personendaten müsse zusätzlich eine Datenschutzfolgeabschätzung vorgenommen werden. Anwendungen und Daten mit hohem Schutzbedarf würden auf bundesintern betriebenen Infrastrukturen und Plattformen in den Rechenzentren der Bundesverwaltung betrieben respektive bearbeitet.
Weiterhin ist nicht bekannt, welche Daten auf diesen fremden Servern gehostet werden sollen. Sowohl das US-amerikanische als auch das chinesische Recht verlangen aufgrund von Art. 7 und Art. 26 des chinesischen National Intelligence Law bzw. aufgrund von Title 18 Chapter 121 § 2713 des United States Code (US-CLOUD Act), dass die in einer Cloud gespeicherten Daten herausgegeben werden müssen.
Dieser Mangel wird kaum durch eine Datenschutzfolgeabschätzung oder einen entsprechenden Vertrag geheilt werden können!
(Stand: 07.07.2021)