9min
Die Cloud, der Bund und die Naivität
Medienkritik
9 Minuten

Die Cloud, der Bund und die Naivität

SRF/SRGWirtschaftSicherheitspolitik
schwerwiegend
Teilen

Zum SRF-Beitrag «Experten fordern Datenschutz bei digitalen Gesundheitsdaten», 12. Mai 2026

Was berichtet wird

Ruth Wittwer berichtet über den «Gesundheitsdatenraum» — das grösste Vorhaben innerhalb von «Digi Santé», dem Bundesprogramm zur digitalen Transformation des Gesundheitswesens. Bis 2034 soll eine Plattform aufgebaut werden, auf der sämtliche Gesundheitsdaten der Schweiz ausgetauscht und genutzt werden können. Matthias Stürmer, Professor für Digitalisierung an der Berner Fachhochschule, warnt: Die Digitalisierung sei stark von US-Techfirmen kontrolliert, der US Cloud Act erlaube den US-Behörden Zugriff auf Daten amerikanischer Konzerne — auch wenn sie in Schweizer Rechenzentren liegen. Der Verband der Schweizer Datenschützer hat vor einem halben Jahr präzisiert: Behörden dürfen schützenswerte Personendaten nicht unverschlüsselt in Public Clouds internationaler Techfirmen ablegen. Das BAG reagiert «verhalten» und verweist auf die geltenden Regeln.

Die Vorgeschichte, die fehlt

Wer den Beitrag liest, könnte den Eindruck gewinnen, hier beginne ein neues Projekt mit offenem Ausgang. Das ist falsch. Die Schweiz hat in den letzten zwei Jahrzehnten eine Reihe gescheiterter oder massiv verteuerter Digitalisierungsprojekte im Gesundheitswesen hinter sich. Diese Geschichte ist der notwendige Kontext für jede Bewertung des Gesundheitsdatenraums — und sie fehlt im Beitrag fast vollständig.

Das elektronische Patientendossier (EPD) ist das offensichtlichste Beispiel. Beschlossen 2007, gesetzlich verankert 2017, sollte es bis 2020 flächendeckend eingeführt sein. Heute, neun Jahre nach Inkrafttreten des Gesetzes, ist die Adoptionsrate marginal. Schätzungen gehen von unter fünf Prozent der Schweizer Bevölkerung aus, die ein aktives Dossier nutzen. Die Kosten haben über die Jahre weit über 100 Millionen Franken aus öffentlichen Mitteln verschlungen — nicht eingerechnet die Aufwände der Spitäler, Kantone und Stammgemeinschaften, die zusätzlich Millionenbeträge investiert haben.

Andere Beispiele: Das Projekt «Insieme» der Eidgenössischen Steuerverwaltung wurde 2012 nach acht Jahren Entwicklung und Investitionen von über 100 Millionen Franken eingestellt — ohne nutzbares Ergebnis. Das SAP-Projekt der Bundesverwaltung «SUPERB» kostete bis 2025 weit über 300 Millionen Franken und wurde mehrfach in Umfang und Zeitplan korrigiert. Die SBB-Plattform «Smartrail 4.0» wurde nach Investitionen im dreistelligen Millionenbereich eingestellt. Das Projekt «GEVER» — eine elektronische Geschäftsverwaltung des Bundes — wurde nach jahrelangen Problemen massiv umgebaut.

Diese Liste liesse sich verlängern. Sie zeigt ein Muster: Bundesprojekte im IT-Bereich werden regelmässig überteuert, verspätet, in reduziertem Umfang oder gar nicht geliefert. Die Bundesverwaltung verfügt nicht über die Kompetenz, Grossprojekte selbständig zu führen. Sie ist auf externe Berater und Anbieter angewiesen — und die kommen, je nach Projekt, oft aus dem amerikanischen Tech-Umfeld.

Die «Vorgaben» als Beruhigung

Das BAG reagiert auf die Anfrage von SRF «verhalten». Es verweist auf die geltenden Datenschutzgesetze und «interne Weisungen zur Nutzung von Public-Cloud-Diensten». Die Datenbank werde «unter Berücksichtigung sämtlicher Regeln und Vorgaben aufgebaut». Das ist die Sprache der Verwaltung, die eine konkrete Frage mit einer abstrakten Antwort beantwortet. Welche Cloud? Welcher Anbieter? Welche Architektur? Welche Verschlüsselungsstandards? Wer hat technischen Zugriff? Wo werden die Daten physisch gespeichert? Welche Audit-Mechanismen sind vorgesehen?

Keine dieser Fragen wird beantwortet. Das BAG sagt, es halte sich an die Regeln. Welche Regeln im konkreten Projekt zur Anwendung kommen, bleibt offen. Diese Antwort wäre der Punkt, an dem ein engagierter Journalismus nachfasst. SRF tut das nicht. Der Beitrag akzeptiert die «verhaltene» Antwort und schliesst mit dem «Fazit des BAG».

Das ist nicht die Tradition kritischer Berichterstattung. Das ist Stenographie. Wer dem Bundesamt die Möglichkeit gibt, mit Allgemeinplätzen zu antworten, ohne Substanz einzufordern, leistet keine Aufklärung — er ermöglicht die Vermeidung von Aufklärung.

Der US Cloud Act

Der Hinweis auf den US Cloud Act ist korrekt und wichtig. Das amerikanische Gesetz von 2018 verpflichtet US-Unternehmen, ihre Daten auf Anfrage US-amerikanischer Behörden herauszugeben — unabhängig davon, wo diese Daten physisch gespeichert sind. Ein Datensatz in einem Schweizer Rechenzentrum von Microsoft, Google oder Amazon Web Services ist juristisch nicht in der Schweiz, sondern beim Mutterkonzern. Der amerikanische Staat kann darauf zugreifen, ohne den Schweizer Rechtsweg zu durchlaufen.

Was im Beitrag fehlt: Diese rechtliche Konstellation gilt nicht nur für die geplante Gesundheitsdatenbank. Sie gilt für alle bestehenden Cloud-Anwendungen der Schweizer Verwaltung, der Spitäler, der Krankenkassen, der Arztpraxen. Praktisch jede grössere Schweizer Institution speichert heute Daten in amerikanischen Clouds. Microsoft 365 ist Standard in der Verwaltung. AWS hostet zahlreiche Anwendungen. Google Workspace ist in Bildungseinrichtungen verbreitet. All diese Daten — einschliesslich vieler medizinischer Daten — sind potenziell US-Zugriff ausgesetzt.

Die «Präzisierung» der Datenschützer von vor einem halben Jahr ist insofern eher eine Selbstverständlichkeit als eine Neuerung. Sie wiederholt, was eigentlich Konsens sein sollte: Sensible Personendaten gehören nicht unverschlüsselt in fremde Hoheit. Dass diese Klarstellung überhaupt nötig war, zeigt, wie weit die Schweizer Praxis von dieser Selbstverständlichkeit abgewichen ist.

Die Geschichte der Schweizer Cloud-Abhängigkeit

Bemerkenswert ist eine Episode, die im Beitrag nicht vorkommt: 2021 hat der Bundesrat die «Public Cloud Strategie» beschlossen, die explizit vorsah, amerikanische Hyperscaler — Microsoft, Amazon, IBM, Oracle, Alibaba — als Cloud-Anbieter für die Bundesverwaltung zuzulassen. Der entsprechende Beschaffungsentscheid war heftig umstritten. Kritiker — darunter Datenschützer, Sicherheitsexperten, Politiker aus mehreren Parteien — warnten vor genau den Risiken, die jetzt im Beitrag thematisiert werden.

Der Bundesrat liess sich nicht beirren. Die Verträge wurden unterzeichnet. Die Bundesverwaltung hat sich in den letzten fünf Jahren strukturell von amerikanischen Cloud-Anbietern abhängig gemacht. Die heutige Debatte um den Gesundheitsdatenraum spielt sich in einer Realität ab, die bereits durch diese Entscheide geprägt ist. Was als neue Frage erscheint — sollen US-Konzerne Zugriff auf Gesundheitsdaten haben? — ist im Grundsatz längst entschieden. Die Frage ist nicht mehr, ob, sondern in welchem Umfang.

Diese Vorgeschichte gehört in jeden Beitrag über die Gesundheitsdatenbank. Sie zeigt, dass der Bund nicht erst jetzt vor einer Wahl steht, sondern dass er die Entscheidungen bereits getroffen hat — und dass die kritische Öffentlichkeit dabei systematisch übergangen wurde.

Die fehlende Kostenfrage

Ein zweiter Punkt fehlt im Beitrag: die Kostendimension. Der Gesundheitsdatenraum ist bis 2034 angelegt, also über neun Jahre. Welche Kosten sind veranschlagt? Was sind die bisherigen Erfahrungen mit ähnlichen Projekten? Wie wird budgetiert? Wie ist die Erfolgswahrscheinlichkeit?

Diese Fragen wären leicht zu stellen. Die Antworten würden den Beitrag erheblich verändern. Das EPD — das deutlich kleinere Vorhaben — hat über die Jahre 100+ Millionen Franken aus öffentlichen Mitteln verschlungen, mit marginalem Erfolg. Der Gesundheitsdatenraum ist «viel umfangreicher als das elektronische Patientendossier», wie SRF schreibt. Die Kosten werden entsprechend höher liegen. Schätzungen aus dem Umfeld solcher Projekte gehen in den hohen dreistelligen Millionenbereich, möglicherweise über eine Milliarde Franken.

Diese Zahlen werden im Beitrag nicht genannt. Auch nicht gefragt. Das BAG wird zur Datenschutz-Frage befragt — nicht zur Kostenkontrolle, nicht zur Projekt-Governance, nicht zur Erfolgsbilanz vergangener Projekte. Eine Schweizer Berichterstattung, die jeden Bauauftrag im Strassenbau auf Kosten und Termintreue prüft, lässt im IT-Bereich diese Fragen routinemässig fallen.

Die Stürmer-Aussage

Matthias Stürmer ist ein bekannter und versierter Experte. Seine Warnung ist klar: «Wenn heikle Personendaten aus dem Gesundheitssektor in amerikanische Hand geraten, dann ist das Vertrauen vollends verspielt.» Diese Aussage ist treffend. Sie wäre der Aufhänger für eine vertiefte Recherche. Sie wird stattdessen als Zitat eingebaut und nicht weiterverfolgt.

Was wäre der nächste Schritt? Eine Recherche, die zeigt, welche Schweizer Gesundheitsdaten heute bereits in amerikanischen Clouds liegen. Welche Spitäler, welche Versicherer, welche Praxen Microsoft, Google, Amazon nutzen. Welche Datenschutzfolgenabschätzungen dazu existieren — und welche nicht. Welche Patienten je darüber informiert wurden, dass ihre Daten ausserhalb des Schweizer Rechtsraums liegen können.

Diese Recherche wäre aufwändig. Sie wäre auch unbequem für viele Beteiligte. Sie würde zeigen, dass das Problem nicht erst mit dem Gesundheitsdatenraum entsteht, sondern dass es längst Realität ist. SRF leistet diese Recherche nicht. Der Beitrag bleibt an der Oberfläche: Experte warnt, Behörde reagiert verhalten, Geschichte zu Ende.

Die strukturelle Schwäche

Hinter all dem steht eine strukturelle Schwäche, die in der Schweizer Digitalisierungsdebatte selten benannt wird: Die Schweiz verfügt nicht über eine eigenständige technologische Souveränität in zentralen Bereichen. Es gibt keine Schweizer Hyperscaler, keine Schweizer Suchmaschinen, keine Schweizer Plattformen, die mit den amerikanischen Angeboten konkurrieren könnten. Die Versuche, solche Strukturen aufzubauen, wurden in den 1990ern und 2000ern verschlafen.

Heute steht die Schweiz vor der Wahl, entweder amerikanische (oder zunehmend chinesische) Cloud-Infrastruktur zu nutzen — oder erhebliche Mehrkosten für nationale Lösungen zu akzeptieren. Die Bundesverwaltung hat sich für das erste entschieden. Diese Entscheidung wird in der Öffentlichkeit kaum debattiert. Sie wird stückweise umgesetzt, in einzelnen Beschaffungsentscheiden, in einzelnen Verträgen, in einzelnen Strategiepapieren. Das Gesamtbild — eine umfassende Auslagerung der digitalen Souveränität — wird nicht thematisiert.

Der Beitrag zum Gesundheitsdatenraum wäre die Gelegenheit, diesen grösseren Zusammenhang zu zeigen. SRF nutzt sie nicht. Der Beitrag bleibt beim konkreten Projekt, beim konkreten Expertenstatement, bei der konkreten Behördenantwort. Die Frage nach der strategischen Logik — wer in der Schweiz entscheidet eigentlich darüber, wo unsere Daten landen, und nach welchen Kriterien? — wird nicht gestellt.

Der Befund

Der Beitrag ist solider als viele andere SRF-Stücke der letzten Tage. Er bringt einen wichtigen Experten zu Wort. Er nennt den US Cloud Act. Er zitiert die Datenschützer. Das ist mehr, als man oft bekommt.

Was fehlt, ist die Tiefe. Die Geschichte der gescheiterten IT-Projekte. Die Kosten des aktuellen Projekts. Die bestehende Cloud-Abhängigkeit der Bundesverwaltung. Die strategische Frage der digitalen Souveränität. Der Nachfass beim BAG. Die Recherche zu den heute bereits bestehenden Risiken.

Ohne diese Tiefe bleibt der Beitrag eine Warnung im luftleeren Raum. Ein Experte sagt etwas Vernünftiges, eine Behörde antwortet ausweichend, die Sendung geht weiter. In zwei Jahren wird der Gesundheitsdatenraum die nächste Hürde nehmen, dann die übernächste, dann die nach den nächsten Wahlen. Der Beitrag von heute wird vergessen sein. Die strukturellen Fragen, die er hätte stellen können, werden weiter ungeklärt bleiben.

Das ist das Muster der Schweizer Digitalpolitik. Probleme werden punktuell thematisiert und punktuell beruhigt. Die strategischen Linien werden ohne öffentliche Debatte gezogen. Die kritischen Stimmen werden gehört, dokumentiert, archiviert — und dann ignoriert. Wenn das Projekt scheitert oder die Daten abfliessen, wird man sich erinnern: Es wurde ja gewarnt. Aber niemand wird zur Rechenschaft gezogen. Die nächste Phase beginnt. Mit denselben Anbietern, denselben Strukturen, denselben Risiken.

Der Beitrag erfüllt seine minimale Funktion. Er nimmt die Warnung auf. Er lässt sie verklingen. Das BAG hält sich an die Regeln. Welche Regeln, sagt es nicht. SRF fragt nicht nach. Die Hörer des Rendez-vous um 12:30 Uhr gehen zum Mittagessen. Der Gesundheitsdatenraum wird gebaut. Und in fünf Jahren wird jemand schreiben: Wir haben es ja gewusst.

Originalbeitrag auf X →

Ähnliche Beiträge

Kein Artikel verpassen.