Ein neuer Trend und ein alter Zankapfel in der Beschaffungswelt
Das Thema künstliche Intelligenz geht auch am Beschaffungswesen nicht spurlos vorbei. Es gehörte zu den Schwerpunkten an der diesjährigen IT-Beschaffungskonferenz. Weniger neu, aber nach wie vor heiss diskutiert, ist die Cloud.
"Alles neu? Die Beschaffungswelt im Wandel" – unter diesem Motto fand am 22. August 2023 auf dem Berner Von-Roll-Areal die diesjährige IT-Beschaffungskonferenz statt. Es war die mittlerweile 12. Ausgabe des Anlasses – und dieses Jahr war er mit etwas mehr als 400 Anmeldungen erstmals komplett ausgebucht, wie die Veranstalter von der Berner Fachhochschule (BFH) mitteilen.
Spielräume – gepriesen und gefürchtet
Die Frage, ob wirklich alles in der Beschaffungswelt neu sei, verneinte Benedikt Würth, Ständerat und ehemaliger Finanzdirektor des Kantons St. Gallen, in seiner Keynote. Bei allen Veränderungen bleibe der Kern des Beschaffungsrechts bestehen. Dazu gehören Prinzipien wie Gleichbehandlung, Transparenz und fairer Wettbewerb. Gleichsam habe sich das Parlament in letzter Zeit bemüht, Themen wie Nachhaltigkeit und Qualität im Beschaffungsrecht zu verankern. Zudem sei der "Werkzeugkasten" für Verwaltungen vergrössert worden, etwa um Dialogverfahren oder Allianzverträge. Ausserdem gebe es heute mehr und erweiterte Vergabekriterien, so Würth weiter.
Was Verwaltungen mit den neuen Möglichkeiten tun, steht indes auf einem anderen Blatt: "Nutzen wir die neuen Kriterien auch in der Praxis? Oder lassen wir uns letztlich davon leiten, möglichst beschwerdefreie Verfahren durchzuführen?", fragte der Politiker. Denn mit den Spielräumen würden auch die Spannungsfelder grösser.
Ständerat Benedikt Würth sprach über Neues und Beständiges am Beschaffungswesen. (Source: zVg)
Würth warf auch einen Blick in die Zukunft. So soll etwa die Verlässlichkeit der Lieferkette als neues Zuschlagskriterium eingeführt werden. Zu Reden geben auch Themen wie digitale Souveränität oder die Sekundärnutzung von Daten. "Wir müssen letztlich auf neue technologische Entwicklungen beschaffungstechnische Antworten finden", sagte der Redner dazu.
Die von Würth angesprochenen Spielräume wurden im Verlauf der Konferenz mehrmals aufgegriffen. "Die Message lautet: Wagt mal was", sagte etwa Marco Fetz, Einkaufsleiter und Beschaffungsspezialist bei den Schweizerischen Bundesbahnen (SBB), während einer Diskussionsrunde. Marc Steiner, Richter beim Bundesverwaltungsgericht, pflichtete ihm bei: Das neue Gesetz komme nur zum Fliegen, wenn die Ermessensräume genutzt würden. Hier seien auch die Wirtschaftsvertreter gefordert. "Lobbying ist nicht mit der Verabschiedung des Gesetzes vorbei, sondern erst, wenn ihr die Verwaltung zur Anwendung des Gesetzes gebracht habt", gab er ihnen auf den Weg.
Daniel Markwalder, Leiter des Bereichs Digitale Transformation und IKT-Lenkung des Bundes, erinnerte an die Bedenken: "Je weicher die Vergabekriterien sind, desto grösser ist die Diskussion darüber", sagte er. Er höre oft den Satz: "einfach keine Beschwerde, sonst sind wir tot". Gleichzeitig zeigte er sich erfreut über neuartige Austauschprojekte zwischen Anbietern und Anwendern, wie eine Innovationsbörse oder ein Hackathon.
KI – Chancen und Herausforderungen
Eines der Themen, welches Besuchende der Konferenz in Fachsessions vertiefen konnten, war künstliche Intelligenz (KI). Sie biete Verwaltungen eine Reihe neuer Möglichkeiten, erklärte Sven Kohlmeier, Fachanwalt für IT-Recht bei Wicki Partners. So könne sie die Entscheidungsfindung verbessern, repetitive Aufgaben automatisch und effizient erledigen, Verträge erstellen oder die Cybersicherheit verbessern. Zu den Herausforderungen, die KI-Systeme mit sich bringen, gehören ihre häufige Angewohnheit, Antworten frei zu erfinden oder ihr grosser Bedarf an Trainingsdaten. Schlimmstenfalls, führte Kohlmeier aus, könnten KI-Systeme gar das Vertrauen in staatliche Institutionen gefährden – denn "Warum braucht es noch eine Verwaltung, wenn die künstliche Intelligenz Entscheidungen fundierter fällen kann?"
Rein beschaffungsrechtlich gesehen sei ein KI-System eigentlich kein Problem, führte der Anwalt aus. Die Herausforderungen verortete er in anderen Bereichen: Verarbeite die KI etwa Personendaten, stellten sich datenschutzrechtliche Fragen. Mit Einführung des revidierten Datenschutzgesetzes würden die entsprechenden Bestimmungen verschärft, merkte er dazu an. Zu klären seien auch Fragen zu Haftung, Urheberrecht, Geheimhaltung und zur Offenlegung.
Daniel Markwalder vom Bund, Marc Steiner und Marco Fetz von den SBB (v.l., Source: zVg)
Bei der Beschaffung von KI-Systemen sei es wichtig, Transparenz einzufordern: Man müsse wissen, woher die Trainingsdaten kämen und wie Algorithmen funktionierten. Anbieter wiederum seien daran interessiert, ebendies nicht offenzulegen, merkte der Redner an.
Ein Plädoyer für die Zusammenarbeit mit Govtecs – Start-ups, die technologische Dienste für Behörden entwickeln – lieferten Jana Janze von Govmarket und Sebastian Singler von PwC Schweiz. Durch die Kooperation mit Jungunternehmen könnten Verwaltungen etwa Standortförderung betreiben sowie ihre Abhängigkeit von grossen Tech-Anbietern verringern. Damit die Zusammenarbeit klappe, brauche es mehr Transparenz auf beiden Seiten. So empfinden viele Unternehmen den Beschaffungsprozess als zu komplex, während Verwaltungen in der Struktur der Start-ups oft keinen geeigneten Ansprechpartner finden könnten, sagten die Referierenden unter Berufung auf eigens durchgeführte Umfragen. Auch sie empfahlen den Anwesenden, kreative Wege zu nutzen, um mit Anbietern Kontakt aufzunehmen und die gesetzlichen Freiheiten voll auszuschöpfen.
Cloud – risikoreich und umstritten
Zu den nicht mehr ganz so neuen Themen der IT-Beschaffungskonferenz zählt die Cloud. So erfuhren die Teilnehmenden des Anlasses vor einem Jahr etwa, wie sich der Bund auf seine umstrittene Cloud-Beschaffung vorbereitet hatte. In der Diskussionsrunde am Vormittag kommentierte Daniel Markwalder rückblickend: "Oft ist man froh, wenn man nicht weiss, was alles passiert". Erst vor Kurzem wurde bekannt, dass der Bund die Verträge mit den fünf Public-Cloud-Providern nicht offenlegen könne, weil die Anbieter dies nicht wollten. "Es braucht Zeit, Transparenz zu schaffen", sagte Markwalder dazu.
David Rosenthal, Rechtsanwalt bei Vischer, kritisierte in seinem Vortrag den Fokus der Diskussionen um Cloud-Beschaffungen. Oftmals liege der nämlich auf dem "Lawful Access", der USA. Damit räumen sie sich das Recht ein, in bestimmten Fällen auf die Daten der in den USA beheimateten Unternehmen zuzugreifen und zwar auch dann, wenn deren Server im Ausland stehen. "Dabei gibt es viele weitere Fragen, auf die wir gemeinsam Antworten suchen sollten. "Dass man sich in der Diskussion auf die USA fokussiere, verstehe er zwar. Allerdings bestehe das Risiko des ausländischen Behördenzugriffs auch für andere Länder. Das grössere Problem seien indes Hacker – "denn die arbeiten nicht nach Regeln", erklärte Rosenthal.
Verwaltungen, die Cloud-Lösungen beschaffen wollen, müssen gemäss dem Vortrag eine vertiefte Risikoanalyse durchführen. Viele Fragen müssten beantwortet werden, bevor man mit dem Projekt auf den kantonalen Datenschutzbeauftragten zugehe. "Sie müssen in der Lage sein, binnen einer bestimmten Frist den Cloud-Service zu verlassen", nannte Rosenthal ein Beispiel. Zu den möglichen Risiken zählen nebst dem Datenschutz auch Kosten, Personal und Know-how. Dass die User die Cloud falsch bedienten – etwa Inhalte versehentlich für alle freigeben – werde etwa als grösseres Risiko gewertet, als dass Dritte von aussen auf geschützte Daten zugreifen. Vorlagen für diese Risikoanalyse bietet Rosenthal kostenlos auf seiner Website an.
Laut Veranstalter war die Beschaffungskonferenz ausverkauft. (Source: zVg)
Rosenthal sprach noch eine weitere Gefahr in Zusammenhang mit Cloud-Bezügen an – die Abhängigkeit von ausländischen Tech-Unternehmen. Dass diese Sorge durchaus berechtigt ist, wurde in der Schlussdiskussion der IT-Beschaffungskonferenz deutlich. Ausser Rosenthal nahmen auch die Zürcher Datenschutzbeauftragte Dominika Blonski, die BFH-Professorin Rika Koch sowie Simon Graber, Projektleiter bei der Bildungsplattform Educa daran teil. Wie Graber erklärte, handelt Educa Rahmenverträge mit IT-Anbietern aus, auf denen Schweizer Schulen dann wiederum eigene Verträge aufbauen können. Zu den Vertragspartnern gehört auch der Hyperscaler Microsoft. Auf die Frage, ob die mit dem Tech-Giganten ausgehandelten Rahmenverträge mit dem Schweizer Datenschutz konform seien, räumte Graber ein: "Es ist nicht konform", und fügte an, die Vereinbarung entspreche dem Maximum, das man verhandeln konnte.
Dass ein Unternehmen die Datenschutzbedingungen diktiert, sei in der Theorie nicht angedacht, warf Koch ein. Und Blonski kommentierte: "Die grossen Anbieter haben so eine grosse Macht, dass ihnen egal ist, was in der Schweiz läuft". Weiter gesehen stelle sich hier die Frage, wer über Schweizer Recht bestimme.
Rosenthal beschwichtigte darauf, er habe mit Microsoft, Amazon Web Services (AWS) und Google bereits Verträge ausgehandelt. Die Verhandlungen seien anstrengend, erforderten viel Eskalation und dauerten lange. Der Aufwand lohne sich aber. "Wir kriegen nicht Bestimmungen, die super sind. Aber wir kriegen Bestimmungen, wenn wir zusammenhalten."
Mit der Digitalisierung verändern sich die Ansprüche an den Datenschutz und das Recht. Am Symposium on Privacy and Security zeigten die Referierenden auf, wie das alles Hand in Hand gehen kann. Den Eventbericht finden Sie hier.