KI im Staat: Die deutsche Mängelliste und die Schweizer Kür

Blog (DE)

clarus.news | Analyse | 11. Mai 2026

Zwei Rechnungshöfe, zwei Berichte, zwei Welten. Der deutsche Bundesrechnungshof zerlegt im April 2025 das Informationssystem BPAvis des Bundespresseamts in seine sicherheitstechnischen und haushaltsrechtlichen Einzelteile – kein IT-Sicherheitskonzept zwei Jahre nach Go-Live, Cloud-Notfall in Microsoft Azure, keine Wirtschaftlichkeitsbetrachtung. Die Eidgenössische Finanzkontrolle (EFK) lobt im Januar 2026 das Bundesgericht für seinen verantwortungsvollen KI-Einsatz – Ethikcharta, eigene Server, Open-Source-Strategie. Der Vergleich offenbart mehr als zwei unterschiedliche Verwaltungskulturen. Er zeigt, wie unterschiedlich Berlin und Lausanne die Frage der digitalen Souveränität auch dann interpretieren, wenn sie sie offiziell gar nicht stellen.

Zwei Berichte, eine Frage

Am 7. April 2025 schloss der deutsche Bundesrechnungshof (BRH) seine Prüfung zum Verfahren «BPAvis» ab – jenem System des Bundespresseamts (BPA), das rund um die Uhr den Bundeskanzler, den Bundespräsidenten und sämtliche Ressorts mit Agenturmeldungen versorgt. Das BPA bezeichnet das System als «essentieller Bestandteil der Krisenkommunikation» der Bundesregierung.

Am 23. Januar 2026 publizierte die Eidgenössische Finanzkontrolle ihren Prüfbericht zum «Einsatz Künstlicher Intelligenz» am Bundesgericht in Lausanne. Geprüft wurden zwei Anwendungen: die KI-gestützte Anonymisierung von Urteilen («Anom», seit 2021 im Einsatz) und die interne ChatGPT-Alternative «ChatTF», die 2025 schrittweise eingeführt wurde.

Beide Berichte beschäftigen sich mit dem KI- und IT-Einsatz in zentralen staatlichen Institutionen. Beide kommen zu diametral entgegengesetzten Bewertungen. Und beide vermeiden – mit unterschiedlichen Konsequenzen – die zentrale Frage: Wem gehört die Infrastruktur, auf der unser Staat läuft?

Die deutsche Mängelliste

Der BRH-Bericht liest sich wie ein Sittengemälde verwaltungsrechtlicher Nachlässigkeit. Über zwei Jahre nach Überführung von BPAvis in den Wirkbetrieb am 3. August 2021 verfügt das BPA über kein gültiges IT-Sicherheitskonzept – ein klarer Verstoss gegen den Umsetzungsplan Bund 2017 (UP Bund), der für kritische Geschäftsprozesse «vorrangig» ein solches Konzept verlangt. Das BPA hatte selbst intern festgehalten, dass «die formalen Voraussetzungen für den Go-Live erst mit der Abnahme des Sicherheitskonzepts gegeben seien». Es ging trotzdem live.

Das «Audit Log» der zugrundeliegenden SAP-HANA-Datenbank – jene Funktion, die sicherheitskritische Ereignisse protokollieren würde – hatte das BPA deaktiviert. Gegen die ausdrückliche Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) wie auch des Herstellers SAP. Begründung: Datenschutz.

Die «interne Hotline» für ein System, das die Krisenkommunikation der Bundesregierung sicherstellen soll, ist Mo–Fr von 9 bis 17 Uhr erreichbar. Der BRH bezeichnet das schlicht als «inakzeptabel». Auf Empfehlung, Schichtbeschäftigte im Lagezentrum entsprechend fortzubilden, kontert das BPA mit dem Verweis auf «tarifliche Eingruppierung» – mit anderen Worten: zu teuer.

Es gibt kein Service Level Agreement für BPAvis. Kein Notfallkonzept nach BSI-Standard 200-4. Keine Wirtschaftlichkeitsbetrachtung in der Planungsphase – ein Verstoss gegen § 7 BHO. Keine Erfolgskontrolle. Keine Aufrufstatistik. Bis Oktober 2023 wurden 6,4 Millionen Euro ausgegeben. Für 2024 bis 2027 sind weitere 4,4 Millionen geplant – die haushaltsbegründenden Unterlagen «basieren im Wesentlichen auf Angeboten externer Dienstleister».

Bemerkenswert: Das BPA betreibt für BPAvis ein dauerhaft verfügbares Cloud-Notfallsystem in der Microsoft Azure Cloud. Die «Kriseninfrastruktur» der Bundesregierung läuft im Notfall auf einem US-Hyperscaler. Der BRH erwähnt dies in einer Fussnote auf Seite 8. Eine politische, rechtliche oder souveränitätsbezogene Würdigung erfolgt nicht.

Die Schweizer Kür

Der EFK-Bericht zum Bundesgericht ist von einer anderen Tonalität. «Die EFK begrüsst», «Risiken sind ausgewogen adressiert», «wichtiger Grundstein für den verantwortungsvollen Einsatz von KI». Vier Empfehlungen, alle akzeptiert – zwei davon mit der Begründung, das BGer setze sie ohnehin bereits um.

Das Bundesgericht hat 2023 interne Nutzungsregeln für KI erlassen, 2025 wurde eine Ethikcharta ausgearbeitet, die zentrale Prinzipien verankert: Autonomie (KI nur unterstützend, Entscheid immer durch juristische Fachperson), Transparenz, Nachvollziehbarkeit. Mitarbeitende müssen kennzeichnen, wenn Arbeitsergebnisse KI-gestützt entstanden. Vor dem Zugang zu ChatTF ist eine obligatorische Schulung zu absolvieren.

ChatTF läuft auf eigenen Servern des Bundesgerichts. Die eingegebenen Daten verlassen die Informatikumgebung des Gerichts nicht. Als Basismodell wählte das BGer vorerst das Open-Source-Modell «Llama 3.3» von Meta – mit dem mittelfristigen Ziel, auf «Apertus» umzusteigen, das erste grosse Schweizer Sprachmodell mit offengelegten Trainingsdaten, das im September 2025 aus der Swiss AI Initiative der eidgenössischen technischen Hochschulen hervorging.

Die Kostenseite ist nüchtern: 170'000 CHF für die KI-Integration in Anom, etwas mehr als eine halbe Million Franken für ChatTF (rund 6,5 Prozent des jährlichen IT-Budgets von 7,8 Mio. CHF). Die Hälfte davon Investitionen in Server-Hardware. Die laufenden Kosten für externe Modellabfragen sind auf maximal 10'000 CHF pro Jahr gedeckelt. Das BGer rechnet damit, die ChatTF-Investition «schon nach einem Jahr durch Effizienzgewinne amortisiert» zu haben.

Kritik gibt es trotzdem – nur eben anders gewichtet: Die Risiken seien bislang «für KI generell» bewertet worden, nicht für konkrete Anwendungsfälle. Die Wirkungsmessung müsse periodisch erfolgen. Die Synergien mit Bundesverwaltungsgericht und Bundesstrafgericht seien noch nicht genutzt. Die Informatikstrategie von 2018 sei überfällig zur Überarbeitung. Empfehlungen, die nach Verbesserung klingen, nicht nach Skandal.

Souveränität: Das ausgesparte Stichwort

Der entscheidende Unterschied liegt nicht in den Mängellisten, sondern in der Architektur der Abhängigkeit. Hier wird der Vergleich politisch.

Das BPA betreibt seine «Kriseninfrastruktur» auf SAP HANA – einem deutschen, mithin europäischen Datenbankprodukt. Das Notfallsystem aber liegt in der Microsoft Azure Cloud. Im Krisenfall – also genau dann, wenn Kriseninfrastruktur ihren Zweck erfüllen soll – läuft die Verteilung politisch sensibler Lagemeldungen über die Server eines US-Konzerns, der dem CLOUD Act unterliegt. Das ist exakt jene Konstellation, vor der der damalige Schweizer Armeechef Thomas Süssli im September 2025 für Microsoft 365 warnte und die Nationalrat Gerhard Andrey gegenüber clarus.news als Begründung für seinen 10-Millionen-Coup im Bundeshaus anführte: «Es ist die geforderte Exit-Strategie des Armeechefs.»

Der BRH thematisiert das nicht. Souveränität, Cloud-Act-Risiko, geopolitische Abhängigkeit – keine Sektion, keine Empfehlung, keine kritische Frage. Der Rechnungshof prüft, ob das Haushaltsrecht eingehalten wurde. Dass das Verfassungsorgan Bundesregierung im Notfall amerikanische Infrastruktur nutzt, ist offenbar keine prüfungsrelevante Information.

Die EFK geht den entgegengesetzten Weg. Zwar steht das Wort «digitale Souveränität» auch in ihrem Bericht nicht – aber das gesamte Lob orientiert sich an Souveränitätskriterien. Eigenbetrieb der Server. Open Source. Apertus als Ziel. Sensibilisierung der Mitarbeitenden für die Tatsache, dass bei kommerziellen Modellen die Trainingsdaten nicht einsehbar sind. Die Stellungnahme des Bundesgerichts selbst macht es noch expliziter: Ziel sei es, «die Nutzung entsprechender Möglichkeiten mit einer gewissen Unabhängigkeit von externen Leistungserbringern in der Schweiz zu gewährleisten».

Zwei Rechnungshöfe, zwei Bewertungsraster. Der eine prüft Haushaltsdisziplin und übersieht die Architektur. Der andere prüft Wirtschaftlichkeit und prämiert genau jene Architekturentscheide, die Unabhängigkeit ermöglichen. Das ist kein Zufall, sondern Ausdruck unterschiedlicher institutioneller Prioritäten.

Kann Europa mithalten? Apertus, Llama und die Realität

Hier wird es ehrlich – und unbequem. Die EFK lobt das Bundesgericht für die Wahl eines Open-Source-Modells. Aber «Llama 3.3», das aktuell auf den BGer-Servern läuft, stammt von Meta. Einem US-Konzern. Auch wenn das Modell offen ist und lokal betrieben wird, sind die Trainingsdaten nicht offengelegt – ein Punkt, den die EFK explizit als verbleibendes Risiko nennt. Mit Apertus aus der Swiss AI Initiative, entwickelt an ETH und EPFL, will die Schweiz diese Lücke schliessen. Es ist «das erste grosse Schweizer Sprachmodell, bei dem offengelegt ist, mit welchen Daten es trainiert wurde».

Die nüchterne Frage lautet: Reicht das? Apertus ist ein Anfang, nicht ein Gleichstand. Die führenden Modelle – GPT-5, Claude Opus 4.7, Gemini 2.5 – kommen aus den USA. Die führende Open-Source-Konkurrenz – Llama, DeepSeek, Qwen – kommt aus den USA und China. Europäische Modelle wie das französische Mistral sind technologisch konkurrenzfähig, aber kommerziell deutlich kleiner. Die Schweiz spielt mit Apertus auf der zweiten Liga mit – und sie tut es bewusst, mit anderem Ziel als Kommerzialität: Souveränität, Transparenz, Schweizer Datenbestände.

Der deutsche Bericht zu BPAvis zeigt die Alternative – und zwar in ihrer ganzen Schäbigkeit. Das BPA hat nicht etwa abgewogen, ob es ein souveränes Notfallsystem aufbauen will. Es hat schlicht Microsoft Azure gemietet, weil es schnell verfügbar war. Es gibt keine Erfolgskontrolle, kein Notfallkonzept für die Cloud, nicht einmal ein eigenes Service Level Agreement. Souveränität ist nicht aufgegeben worden – sie wurde nie ernsthaft erwogen.

Der Bundesgericht-Ansatz – mit eigenen Servern, eigenem Modell, eigener Charta – ist teurer pro Kopf, langsamer in der Einführung, aufwendiger in der Schulung. Aber er hält Optionen offen. Die deutsche Variante schliesst sie.

Kosten und Nutzen: Faktor 16

Ein direkter Kostenvergleich ist heikel – die Anwendungsfälle sind verschieden. BPAvis bedient die gesamte Bundesregierung mit Echtzeit-Agenturmeldungen, 1,8 Millionen Meldungen pro Jahr. Das BGer-System dient 217 Juristinnen und Juristen plus Mitarbeitende. Trotzdem lohnt die Gegenüberstellung:

Deutschland (BPAvis) Schweiz (BGer KI)
Kosten bisher 6,4 Mio. Euro ~670'000 CHF (Anom + ChatTF)
Kosten geplant 4,4 Mio. Euro (2024–2027)
Gesamtaufwand 10,8 Mio. Euro ~670'000 CHF
Wirtschaftlichkeitsbetrachtung Keine vorhanden Anwendungsfall-Hochrechnung, Amortisation in 1 Jahr erwartet
Erfolgskontrolle Keine vorlegbar Empfohlen, akzeptiert, in Vorbereitung
Souveränität der Infrastruktur Cloud-Notfall in Microsoft Azure Eigene Server, Open-Source-Modell, Ziel Apertus
Sicherheitskonzept Über 2 Jahre nach Go-Live nicht vorhanden Risikobasierte Nutzungsregeln + Ethikcharta
Akzeptanz Rechnungshof-Empfehlungen Teilweise verweigert (Hotline) Alle akzeptiert

Der Faktor 16 zwischen 10,8 Mio. Euro und 670'000 CHF taugt nicht als Effizienzbeweis. Die Anwendungen sind nicht vergleichbar, die Nutzergruppen unterschiedlich, die Anforderungen ebenso. Was sich aber vergleichen lässt: das Verhältnis von Kosten zu dokumentiertem Nutzen. Deutschland: 10,8 Millionen Euro für ein System, dessen Wirtschaftlichkeit der Rechnungshof nicht beurteilen kann, weil sie nie untersucht wurde. Schweiz: 670'000 CHF für ein System, dessen Amortisation in einem Jahr modelliert und dessen Wirkung künftig periodisch evaluiert werden soll.

Es ist nicht so, dass die Schweiz effizienter wäre. Es ist so, dass die Schweiz das Wort «Effizienz» überhaupt operationalisiert.

Was beide Berichte verschweigen

Die Lücken in den Berichten sind ebenso aufschlussreich wie die Befunde. Der BRH verschweigt die Souveränitätsfrage komplett, obwohl die Cloud-Architektur eine zentrale strategische Entscheidung ist. Er prüft Verfahrenseinhaltung, nicht Verfahrensentscheidung. Damit reproduziert er strukturell das, was der EFK-Prüfbericht 23759 zur Schweizer Digitalisierungs-Governance ebenfalls dokumentiert hatte: eine politische Lücke zwischen Verfassungsorganen und ihren operativen Entscheiden.

Die EFK verschweigt die geopolitische Fragilität ihres eigenen Lobes. Llama 3.3 ist Meta. DeepL – ebenfalls integriert in ChatTF – ist ein deutsches Unternehmen, aber kommerziell. Apertus existiert, aber seine Leistungsfähigkeit gegenüber GPT-5 und Co. ist offen. Wenn morgen die USA Exportbeschränkungen für KI-Gewichte erlassen oder Meta die Lizenzbedingungen ändert, steht auch das Bundesgericht vor einem Problem. Die EFK nennt das in einem Halbsatz («das BGer will künftig aufbauend auf Apertus in diese Richtung gehen») – aber sie zieht keine Konsequenzen daraus.

Beide Berichte teilen eine blinde Stelle: Sie prüfen Institutionen einzeln, in nationalem Rahmen, mit nationalen Massstäben. Die supranationale Architektur der digitalen Abhängigkeit – Cloud-Hyperscaler, Modell-Anbieter, Lizenzregimes – fällt zwischen die Stühle. In Deutschland, weil sie als technische Selbstverständlichkeit gilt. In der Schweiz, weil sie als Generationenaufgabe behandelt wird, der man sich strategisch nähert, ohne sie heute lösen zu können.

Fazit: Zwei Verwaltungskulturen, ein gemeinsames Problem

Der Bundesrechnungshof zeigt, was passiert, wenn ein Bundesamt seine «Kriseninfrastruktur» wie ein gewöhnliches IT-Projekt behandelt: kein Sicherheitskonzept, keine Wirtschaftlichkeitsbetrachtung, keine Souveränitätsabwägung, dafür Microsoft Azure als Notfall-Backbone. Die Eidgenössische Finanzkontrolle zeigt, was passiert, wenn eine Institution KI mit der Sorgfalt einer Verfassungsfrage angeht: Ethikcharta, eigene Server, Open Source First, Apertus als Ziel.

Aber beide Berichte stehen vor derselben Mauer. Solange die Grundbausteine – Modelle, Cloud, Chips – aus den USA und China kommen, ist europäische Souveränität in der KI ein Zielzustand, kein Istzustand. Die Schweiz nähert sich diesem Ziel mit Apertus, mit der Swiss AI Initiative, mit dem konsequenten Open-Source-Ansatz des Bundesgerichts. Deutschland nähert sich diesem Ziel mit BPAvis 2.0 auf Microsoft Azure.

Was beide brauchen würden, wäre ein Rechnungshof, der nicht nur Haushaltsdisziplin und Wirtschaftlichkeit prüft, sondern auch strukturelle Souveränität: die Frage, ob die Architektur staatlicher IT in zehn Jahren noch unter eigener Kontrolle stehen wird. Der BRH stellt diese Frage nicht. Die EFK stellt sie, ohne sie zu benennen. Es wäre Zeit, sie offen zu stellen.

Die «grössere Kiste», die Gerhard Andrey im Dezember 2025 gegenüber clarus.news beschrieb, ist nicht nur eine Schweizer Kiste. Sie steht in jeder europäischen Hauptstadt. Und in Berlin scheint sie noch verschlossener als in Bern.

Kernaussagen

  • Der deutsche BRH dokumentiert beim Verfahren BPAvis fundamentale Verstösse gegen Sicherheitsrichtlinien und Haushaltsrecht – kein IT-Sicherheitskonzept, keine WiBe, keine Erfolgskontrolle, Cloud-Notfall in Microsoft Azure.
  • Die EFK lobt das Bundesgericht für seinen KI-Einsatz: eigene Server, Open-Source-Modell, Ethikcharta, obligatorische Schulungen – vier Empfehlungen, alle akzeptiert.
  • Beide Rechnungshöfe vermeiden den Begriff «digitale Souveränität» – die EFK belohnt souveränitätsorientierte Architekturentscheide implizit, der BRH übersieht die Souveränitätsdimension komplett.
  • Apertus aus der Swiss AI Initiative ist das erste grosse Schweizer Sprachmodell mit offengelegten Trainingsdaten, soll mittelfristig das aktuell genutzte Meta-Modell Llama 3.3 ersetzen.
  • Kostenverhältnis: 10,8 Mio. Euro (BPAvis Gesamtaufwand) gegen 670'000 CHF (BGer Anom + ChatTF) – ein direkter Vergleich ist heikel, das Verhältnis von Kosten zu dokumentiertem Nutzen aber sehr wohl möglich.
  • Strukturelles Defizit beider Berichte: Die supranationale Architektur der digitalen Abhängigkeit – Hyperscaler, Modell-Anbieter, Lizenzregimes – fällt zwischen die nationalen Prüfungsraster.

Kritische Fragen

  1. Datenqualität: Auf welcher Datenbasis beurteilt der BRH die Wirtschaftlichkeit von BPAvis, wenn das BPA selbst keine Erfolgskontrolle und keine Aufrufstatistik vorlegen kann?
  2. Methodik: Welche Vergleichsmassstäbe wendet die EFK an, wenn sie das Bundesgericht «ausgewogen» nennt, ohne andere Gerichte – etwa das Bundesverwaltungsgericht – in dieselbe Tiefe zu prüfen?
  3. Interessenkonflikt: Welche Rolle spielen Vertragsbeziehungen zu Microsoft (BPA: Azure-Notfall) bzw. Meta (BGer: Llama 3.3) bei der Auswahl und Bewertung der Lösungen – und werden diese Beziehungen periodisch hinterfragt?
  4. Kausalität: Lässt sich der Effizienzgewinn von ChatTF tatsächlich auf KI zurückführen, oder profitiert das BGer von strukturellen Vorteilen (Eigenbetrieb der IT, hochqualifiziertes Personal), die ohnehin vorhanden waren?
  5. Alternativen: Welche Open-Source-Optionen (Nextcloud, OpenStack, On-Premise-Inferenz) wurden im BPA für die Notfall-Infrastruktur ernsthaft geprüft, bevor Microsoft Azure beauftragt wurde?
  6. Umsetzbarkeit: Wenn Apertus als Schweizer Modell-Alternative noch nicht produktionsreif ist, wie realistisch ist der Ausstieg aus Llama 3.3 in einem überschaubaren Zeithorizont – und mit welchen Performance-Einbussen?
  7. Risiken: Welche Folgen hätte ein US-Exportregime für KI-Modellgewichte (analog zu Chip-Exportbeschränkungen) für das BGer und für das BPA – und ist diese Szenarienanalyse in den Strategien adressiert?
  8. Governance: Warum prüfen beide Rechnungshöfe Institutionen einzeln, statt strukturelle Abhängigkeiten europäisch oder bilateral zu untersuchen – und welche Stelle wäre dafür zuständig?

Quellenverzeichnis

Primärquellen:

  • Bundesrechnungshof: Abschliessende Mitteilung an das Presse- und Informationsamt der Bundesregierung über die Prüfung «Einsatz künstlicher Intelligenz zur Information der Bundesregierung, Teil 3 – BPAvis», Gz. VII 3 – 0001818/3, 7. April 2025
  • Eidgenössische Finanzkontrolle: Prüfung des Einsatzes Künstlicher Intelligenz, Bundesgericht, EFK-25732, 23. Januar 2026

Ergänzende Quellen:

  • Bundesgesetz über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben (EMBAG), 17. März 2023
  • Umsetzungsplan Bund 2017 – Leitlinie für die Informationssicherheit in der Bundesverwaltung
  • BSI-Standard 200-4: Business Continuity Management
  • Niklaus et al. (2023): Automatic Anonymization of Swiss Federal Supreme Court Rulings
  • Swiss AI Initiative: Apertus – Veröffentlichung September 2025
  • clarus.news / Nationalrat Gerhard Andrey: Mailwechsel zur digitalen Souveränität, April 2026

Verifizierungsstatus: ✓ 11. Mai 2026

Dieser Text wurde mit Unterstützung eines KI-Modells erstellt. Redaktionelle Verantwortung: clarus.news | Faktenprüfung: 11. Mai 2026

Tags: #DigitaleSouveränität #KünstlicheIntelligenz #Bundesgericht #EFK #Bundesrechnungshof #BPAvis #ChatTF #Apertus #Llama #Microsoft #OpenSource #CloudAct #SwissAIInitiative #EMBAG

Zurück zur Übersicht