{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153396,Language='DE')/Transcripts"}},"ID":20153396,"Language":"DE","BusinessShortNumber":"15.3396","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"Befinden sich die besonders sch\u00fctzenswerten Daten des Bundes in Sicherheit?","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>Ich stelle dem Bundesrat folgende Fragen:</p><p>1. Um welche Arten von Daten geht es bei dem in der Begr\u00fcndung erw\u00e4hnten Auftrag, der an Hewlett Packard vergeben wurde?</p><p>2. Welche Sicherheiten hat der Bundesrat, dass diese Daten nicht anderen Nachrichtendiensten, insbesondere US-amerikanischen, bekanntgegeben werden?</p><p>3. Was gedenkt der Bundesrat zu tun, um sicherzustellen, dass die vertraglichen Pflichten zur Datensicherheit auch eingehalten werden? Welche Sanktionen sind f\u00fcr den Fall einer Widerhandlung vorgesehen?</p><p>4. In der Medienmitteilung vom 23. April 2015 wird \"die Einhaltung der Richtlinien der Bundesverwaltung\" erw\u00e4hnt. Um welche Richtlinien geht es?</p><p>5. Wo werden die Daten aufbewahrt? Unterstehen sie jederzeit ausschliesslich schweizerischem Recht?</p><p>6. Kann der Bundesrat - falls die Daten ausschliesslich in der Schweiz aufbewahrt werden - gew\u00e4hrleisten, dass keine Kopien in andere L\u00e4nder gelangen?</p><p>7. Was geschieht mit den Daten, wenn der Hosting-Anbieter in Konkurs geht (vgl. Antwort des Bundesrates auf meine Anfrage 14.1064)?</p><p>8. Warum wurden ausl\u00e4ndische Privatunternehmen ber\u00fccksichtigt? Warum kann die Dienstleistung nicht intern entwickelt werden? Warum konnte keine Schweizer Firma ber\u00fccksichtigt werden?</p><p>9. Warum macht das Bundesamt f\u00fcr Informatik und Telekommunikation (BIT) nicht die Ausnahmen nach Artikel\u00a03 Absatz\u00a02 des Bundesgesetzes vom 16. Dezember 1994 \u00fcber das \u00f6ffentliche Beschaffungswesen geltend?</p>","ReasonText":"<p>Das BIT hat am 23. April 2015 die Vergabe zweier Auftr\u00e4ge \u00fcber ein Gesamtvolumen von 197 Millionen Franken bekanntgegeben. Die Cloud wird mit Hewlett Packard entwickelt. F\u00fcr das Datenspeicherungsprojekt ist die Firma Teradata zust\u00e4ndig. Dieses Auftragsvolumen bel\u00e4uft sich auf 137 Millionen Franken.</p><p>Hewlett Packard ist ein US-amerikanisches Unternehmen. Teradata (Schweiz) GmbH ist das Tochterunternehmen einer US-amerikanischen Firma. Nach den US-amerikanischen Gesetzen zur Bek\u00e4mpfung des Terrorismus (z. B. Foreign Intelligence and Surveillance Act; vgl. Interpellation 13.3033) k\u00f6nnen diese Firmen aber dazu verpflichtet werden, den amerikanischen Nachrichtendiensten alle in ihrem Besitz befindlichen Daten bekanntzugeben, ohne die Eigent\u00fcmerinnen und Eigent\u00fcmer der Daten dar\u00fcber zu benachrichtigen. Man muss daf\u00fcr sorgen, dass dieses Schicksal den Daten des Bundes erspart bleibt.</p>","DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>Einleitend ist grunds\u00e4tzlich zu bemerken, dass das Bundesamt f\u00fcr Informatik und Telekommunikation (BIT) mit dieser Ausschreibung eine Plattform f\u00fcr eine bundesinterne private Cloud, welche durch das BIT selber betrieben wird, beschafft hat. Es handelt sich also nicht, wie aus den Fragen hergeleitet werden k\u00f6nnte, um eine Leistung in einer \u00f6ffentlichen Cloud, welche durch einen externen Anbieter betrieben w\u00fcrde.</p><p>1. Das BIT wird als Leistungserbringer seinen Leistungsbez\u00fcgern (interessierte Bundes\u00e4mter und andere Verwaltungseinheiten des Bundes) standardisierte private Cloud-Dienste auf dieser Plattform zur Verf\u00fcgung stellen, wie zum Beispiel virtuelle Server. Die Entscheidung, welche Daten \u00fcber die Plattform gemanagt werden, liegt bei den einzelnen Verwaltungseinheiten; es ist davon auszugehen, dass sowohl unklassifizierte als auch \"Intern\" und \"Vertraulich\" klassifizierte Daten auf dieser Plattform bearbeitet oder gespeichert werden. Diese Plattform l\u00f6st \u00fcber die n\u00e4chste Zeit eine \u00e4hnliche Plattform ab, welche bereits mit Hewlett-Packard-Technologie vom BIT in den BIT-Rechenzentren betrieben wird. Dabei werden neue Funktionalit\u00e4ten f\u00fcr die BIT-Kunden zur Verf\u00fcgung stehen, welche eine h\u00f6here Flexibilit\u00e4t und Automatisierung in der Bereitstellung und Nutzung der Plattform bieten.</p><p>2./3. Die Cloud-Plattform wird in den Rechenzentren des BIT durch Mitarbeitende des BIT betrieben. F\u00fcr die Einhaltung der Richtlinien der Bundesverwaltung insbesondere bez\u00fcglich Sicherheit ist dies optimal. Hewlett Packard stellt nur die Hardware zur Verf\u00fcgung. Um das Risiko eines Datenabflusses weiter zu minimieren, werden Wartungseins\u00e4tze des Lieferanten so durchgef\u00fchrt, dass die Arbeiten \u00fcberwacht werden k\u00f6nnen. Aus diesem Grund gen\u00fcgen in diesem besonderen Fall - im Gegensatz zu beispielsweise Managed-Services-Dienstleistungen - Garantien seitens Hewlett Packard, wie der Bund sie von Hardware-Lieferanten \u00fcblicherweise einfordert. Unter diese Garantien f\u00e4llt die Einhaltung der Geheimhaltungspflicht und des Datenschutzes, welche im WTO-Verfahren als Muss-Kriterium f\u00fcr den Zuschlag im Vertragsentwurf formuliert wurden und die Hewlett Packard akzeptiert hat. Im Falle eines Datendiebstahls sind zudem die Bestimmungen des Strafrechts (beispielsweise Art. 143bis, 144bis StGB) anwendbar.</p><p>4. Die erw\u00e4hnten Richtlinien beinhalten insbesondere die Weisungen des Bundesrates \u00fcber die IKT-Sicherheit in der Bundesverwaltung vom 14. August 2013 (WIsB), welche \u00fcberarbeitet wurden und in der neuen Version am 1. Januar 2016 in Kraft treten werden (Weisungen vom 1. Juli 2015). Zu den erw\u00e4hnten Richtlinien geh\u00f6ren auch die Vorgaben des Informatiksteuerungsorgans des Bundes zur IKT-Sicherheit (siehe www.isb.admin.ch &gt; Themen &gt; Sicherheit &gt; Sicherheitsgrundlagen &gt; Weisungen Informatiksicherheit). Ausserdem ist die schweizerische Gesetzgebung zu diesem Thema wie beispielsweise die Bundesinformatikverordnung vom 9. Dezember 2011 (BinfV; SR 172.010.58), die Verordnung vom 4. Juli 2007 \u00fcber den Schutz von Informationen des Bundes (ISchV; SR 510.411), das Datenschutzgesetz vom 19. Juni 1992 (DSG; SR 235.1), die Verordnung vom 14. Juni 1993 zum Bundesgesetz \u00fcber den Datenschutz (VDSG; SR 235.11) sowie das Regierungs- und Verwaltungsorganisationsgesetz vom 21. M\u00e4rz 1997 (RVOG; SR 172.010) einzuhalten. Am 29. Januar 2014 hat der Bundesrat die Erarbeitung von Grunds\u00e4tzen und Prinzipien beschlossen, um das Risiko nachrichtendienstlicher Aussp\u00e4hung durch instrumentalisierte IKT-Anbieter zu minimieren. Als neues Element der IKT-Sicherheitsverfahren wird seit Ende 2014 ein entsprechendes Pr\u00fcfkonzept bei sensitiven Beschaffungen getestet. Diese Risikomanagementmethode zur Reduktion nachrichtendienstlicher Aussp\u00e4hung (Rina) ist in die neue WIsB aufgenommen worden. Im Rahmen dieser Arbeiten wurde auch die Beschaffung einer Cloud-Plattform gepr\u00fcft und wurden die gew\u00e4hlten organisatorischen und sicherheitstechnischen L\u00f6sungen als zielf\u00fchrend beurteilt.</p><p>5./6. Die Daten befinden sich auf der Cloud-Plattform, welche in den Rechenzentren des BIT durch Mitarbeitende des BIT betrieben wird. Daher bleiben die Daten stets unter schweizerischem Recht. Wartungseins\u00e4tze des Lieferanten werden so durchgef\u00fchrt, dass die Arbeiten \u00fcberwacht werden k\u00f6nnen. Somit ist das Risiko eines Datenabflusses minimiert. Da aber jede Datenplattform immer einem Restrisiko einer Datenentwendung ausgesetzt ist, kann keine formelle Garantie gegen eine Datenentwendung abgegeben werden.</p><p>7. Da keine Datenspeicherung durch ein Privatunternehmen vorgesehen ist, stellt sich die Frage nach einem allf\u00e4lligen Konkurs des Hosting-Anbieters nicht.</p><p>8./9. Einerseits ist festzustellen, dass es f\u00fcr die ausgeschriebene Technologie, insbesondere deren Hardware, keinen Schweizer Hersteller gibt, welcher diese Systeme integral in der Schweiz herstellt. Andererseits unterliegen die Beschaffungen der Bundesverwaltung dem WTO-Recht, welches auf dem Grundsatz der Nichtdiskriminierung beruht.</p><p>Die Anwendung der Ausnahmeklausel nach Artikel\u00a03 Absatz\u00a02 des Bundesgesetzes vom 16. Dezember 1994 \u00fcber das \u00f6ffentliche Beschaffungswesen (SR 172.056.1) ist aufgrund der st\u00e4ndigen Rechtsprechung nur unter strengen Voraussetzungen zul\u00e4ssig. Es muss nachgewiesen werden, dass alternative, weniger wettbewerbsverzerrende Massnahmen gepr\u00fcft wurden und diese sich nicht als geeignet, d. h. ausreichend risikovermindernd, erwiesen. Im vorliegenden Fall war die Anwendung einer solchen Ausnahme nicht gerechtfertigt.</p>  Antwort des Bundesrates.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1439942400000)\/","SubmittedBy":"Schwaab Jean Christophe","BusinessStatus":229,"BusinessStatusText":"Erledigt","BusinessStatusDate":"\/Date(1443139200000)\/","ResponsibleDepartment":7,"ResponsibleDepartmentName":"Finanzdepartement","ResponsibleDepartmentAbbreviation":"EFD","IsLeadingDepartment":true,"Tags":"4|34|1236","Category":null,"Modified":"\/Date(1690524354423)\/","SubmissionDate":"\/Date(1430697600000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Nationalrat","SubmissionCouncilAbbreviation":"NR","SubmissionSession":4918,"SubmissionLegislativePeriod":49,"FirstCouncil1":1,"FirstCouncil1Name":"Nationalrat","FirstCouncil1Abbreviation":"NR","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Staatspolitik|Medien und Kommunikation|Menschenrechte"}}