Public-Cloud-Projekt des Bundes: Verträge sind unterschrieben, aber …
Im Rahmen der Public-Cloud-Beschaffung hat die Bundesverwaltung Verträge mit fünf Hyperscalern unterzeichnet und rechtliche Fragen geklärt. Behörden können jedoch vorerst noch keine Cloud-Dienste beziehen. Das liegt an einem laufenden Gerichtsverfahren, aber nicht nur.
Die Verträge zwischen der Bundesverwaltung und fünf Hyperscalern im Zusammenhang mit der Public-Cloud-Beschaffung des Bundes sind unter Dach und Fach. Wie die Bundesverwaltung mitteilt, haben die fünf Anbieter Alibaba, Amazon Web Services (AWS), IBM, Microsoft und Oracle einen inhaltlich übereinstimmenden Rahmenvertrag mit dem Bund unterzeichnet.
Die letzte Unterschrift sei am Freitag, 23. September, eingetroffen. Ergänzend seien mit jedem Anbieter zusätzliche Vertragskomponenten erarbeitet worden. Mit einer rechtlichen Vertragsanalyse sei ausserdem sichergestellt worden, dass die Anbieter vergleichbare Leistungen erbringen. Einen Einblick in die Vertragsverhandlungen gewährten Vertreter der Bundesverwaltung vor einigen Wochen an der IT-Beschaffungskonferenz.
Grundlagendokumente sind öffentlich, Verträge (noch) nicht
Die jetzt unterzeichneten Verträge sind Teil einer im Dezember 2020 beschlossenen Cloud-Strategie, wie Vertreter der Bundesverwaltung im Rahmen eines Mediengesprächs erläuterten. Anhand einer Grafik zeigten sie auf, dass nur öffentliche Daten, respektive solche, die nicht als besonders schützenswert gelten, im Rahmen der mit den Hyperscalern ausgehandelten Verträge gespeichert werden dürfen.
Die Cloud-Stufen der Bundesverwaltung. (Source: Bundeskanzlei)
Die eigentlichen Verträge hat der Bund bislang nicht offengelegt. Man prüfe aber zurzeit, inwiefern die Verträge publiziert werden können, teilt die Bundeskanzlei dazu mit. Veröffentlicht hat man dagegen eine Reihe anderer Dokumente. Dazu gehören ein Bericht zu den Rechtsgrundlagen, ein anbieterneutrales Pflichtenheft und Evaluationskriterien für den Abruf von Public-Cloud-Diensten.
Konkret enthält der Bericht eine Analyse der rechtlichen Grundlagen der Cloud-Nutzung mit den Schwerpunkten Datenschutzrecht, Informationsschutzrecht und Amtsgeheimnis. Wie es in der Einleitung heisst, soll das Dokument einerseits grundlegende Rechtsfragen klären und damit ein für die Bundesverwaltung einheitliches Rechtsverständnis schaffen. Zum andern zeige es auf, welche juristischen Mittel zur Verfügung stehen, um die Compliance von Cloud-Sourcing-Projekten zu gewährleisten.
Im Anhang zum Bericht findet sich unter anderem eine Liste mit Risiken, die beim Cloud-Sourcing vorkommen können und die möglichen Massnahmen, um diese Risiken auf ein akzeptables Niveau zu senken. Diese sollen den einzelnen Verwaltungseinheiten strukturiert aufzeigen, was sie bei Cloud-Projekten aus rechtlicher Sicht zu beachten beziehungsweise vorgängig zu prüfen haben, um rechtskonform zu sein, wie es in der Mitteilung heisst.
Warten auf den Zwischenentscheid des Bundesverwaltungsgerichts
Bis eine Bundesbehörde im Rahmen der jetzt unterzeichneten Verträge Cloud-Dienste beziehen kann, dauert es jedoch noch. Dies liegt einerseits daran, dass noch nicht alle Grundlagenarbeiten abgeschlossen sind. In Konsultation befinde sich etwa noch das organisatorische Zusammenspiel, teilen Bundesvertreter mit.
Zurückhaltend ist die Bundesverwaltung jedoch auch wegen des vor dem Bundesverwaltungsgericht hängigen Verfahrens. Hier wolle man den Zwischenentscheid des Gerichts bezüglich vorsorglicher Massnahmen abwarten, heisst es in der Mitteilung. Abhängig von diesem Entscheid werde man das weitere Vorgehen planen, erklärten die Bundesvertreter am Mediengespräch. Sie betonten aber auch, dass die Bundesverwaltung durch das laufende Verfahren aktuell nicht blockiert sei.