BAG verbietet, Bern beschafft: Wie der Föderalismus den Schweizer Souveränitäts-Anspruch entwertet

Blog (DE)

clarus.news | Analyse | 12. Mai 2026 Andreas Binggeli und Ernst Anker

Das Bundesamt für Gesundheit (BAG) will mit dem Projekt «Swiss Health Data Space» (SwissHDS) US-Cloud-Anbieter wie Microsoft, Google und AWS von einem zweistelligen Millionenauftrag faktisch ausschliessen. Begründung: Schutz hochsensibler Patientendaten vor dem US Cloud Act. Doch während Bern auf Bundesebene den Souveränitäts-Hammer schwingt, betreibt das vom Kanton mitfinanzierte Inselspital seit März 2024 das amerikanische Klinikinformationssystem Epic – inzwischen mit Gesamtkosten von 228 Millionen Franken. Und der Regierungsrat will Epic obendrein zum kantonalen Standard für alle öffentlichen Spitäler machen. Die zentrale Frage: Was nützt ein eidgenössisches US-Verbot, wenn 26 Kantone in der Beschaffung autonom sind – und reihenweise das Gegenteil bestellen?

Was das BAG fordert – und was das BBL gerade einkassiert

Das BAG-Projekt SwissHDS soll einen vernetzten Datenraum für den Austausch von Patientendaten zwischen Ärzten und Spitälern schaffen. Im Februar 2026 publizierte das Amt auf der Beschaffungsplattform Simap erste Unterlagen. Die brisante Anforderung steht gleich an erster Stelle: «Die gesamte SwissHDS-Infrastruktur muss ausschliesslich der Schweizer Rechtsordnung unterliegen.» Explizit wird der US Cloud Act genannt – jenes Gesetz, das US-Konzerne weltweit verpflichtet, US-Behörden Datenzugriff zu gewähren, unabhängig vom Serverstandort.

Das wäre ein faktisches Veto gegen Microsoft, Google und AWS. Doch das für die Beschaffung zuständige Bundesamt für Bauten und Logistik (BBL) rudert bereits zurück. Beschaffungs-Chef Thierry Vauthey erklärte gegenüber der «NZZ am Sonntag», die hochgeladenen Dokumente seien noch keine WTO-Ausschreibung, sondern eine «Marktabklärung». Und dann der entscheidende Halbsatz: Wenn der Bund den Millionenauftrag dereinst ausschreibe, wäre der heute formulierte Ausschluss der amerikanischen Firmen nicht zulässig.

Damit ist der eidgenössische Souveränitätsanspruch bereits vor der eigentlichen Ausschreibung juristisch entwertet. Die Schweiz ist an das WTO-Beschaffungsabkommen GPA gebunden, das Gleichbehandlung aller Bieter aus Mitgliedstaaten verlangt. Ein pauschaler Ausschluss von US-Firmen wäre völkerrechtswidriger Protektionismus – zumindest nach heutiger Lesart und zumal die Schweiz parallel Handelsverhandlungen mit der Trump-Administration führt.

Das passt zur breiteren Linie der Bundeskanzlei. Diese hat am 12. Dezember 2025 erstmals verbindliche Leitlinien für digitale Souveränität erlassen. Sie gelten – wichtig – nur für die zentrale Bundesverwaltung. Bei Vorhaben mit Souveränitätsrisiken ist der Digitalisierungsrat Bund zu informieren. Für Kantone, Gemeinden und institutionell selbständige Träger wie öffentlich-rechtliche Spitäler: bestenfalls Orientierung.

Die Strategie Digitale Schweiz hat einen blinden Fleck

Die im Dezember 2025 aktualisierte «Strategie Digitale Schweiz» setzt digitale Souveränität explizit als Fokusthema 2026. Aber: «Sie ist für die Bundesverwaltung verbindlich. Für weitere Akteure wie Kantone, Gemeinden, Wirtschaft, Wissenschaft und Zivilgesellschaft dient sie als Orientierung», heisst es auf digital.swiss.

Genau hier zerschellt der Anspruch an der föderalen Realität. Der Bundesrat hat zusammen mit der Konferenz der Kantonsregierungen (KdK) am 19. Dezember 2025 zwar einen Grundsatzentscheid getroffen, die Digitale Verwaltung Schweiz (DVS) in Richtung politische Plattform mit verbindlicher Standardsetzung weiterzuentwickeln. Der Bundesrat hat sogar eine Teilrevision der Bundesverfassung in Auftrag gegeben. Doch eine Vernehmlassungsvorlage wird Monate dauern, eine Verfassungsänderung samt Volksabstimmung Jahre. Und in dieser Lücke entstehen Tatsachen – und zwar grosse, teure und kaum reversible.

Inselspital: 228 Millionen für ein US-System – mit Segen des Berner Datenschützers

Am eindrücklichsten zeigt sich das in der Bundesstadt selbst. Die Insel-Gruppe – das grösste universitäre Spitalnetzwerk der Schweiz und im Eigentum des Kantons Bern – hat am 2. März 2024 das Klinikinformationssystem Epic eingeführt. Hersteller: Epic Systems Corporation mit Sitz in Verona, Wisconsin (USA).

Die Insel hat im Februar 2026 erstmals die Gesamtkosten offengelegt: 182,5 Millionen Franken einmalige Einführungskosten plus 45 Millionen Franken Betriebskosten bis 2032 – zusammen 228 Millionen Franken. Die ursprüngliche Ausschreibung lautete 2020 auf 83 Millionen. Die Insel begründet die Mehrkosten mit gestiegenen Fall- und Nutzerzahlen, nachträglich gekauften Modulen, externer Beratung und der Mehrwertsteuer. Allein die externen Lizenz- und Beratungskosten machen 101,6 Millionen Franken aus, dazu kommen 52,5 Millionen Franken interne Personalkosten für die vierjährige Projektphase.

Politisch noch brisanter: Der Grosse Rat des Kantons Bern hat am 2. März 2026 mit 93 zu 58 Stimmen ein Postulat zur Untersuchung der Mehrkosten abgelehnt. Begründung: Die Geschäftsprüfungskommission habe bereits Abklärungen angestossen. Die 228 Millionen werden also ohne förmliche parlamentarische Untersuchung verarbeitet – obwohl die Differenz zur Erstausschreibung den Jahresverlust von 2022 übersteigt, der zur Schliessung der Spitäler Münsingen und Tiefenau führte.

Beim Datenschutz betreibt die Insel Epic «on-premises» auf eigenen Servern im lokalen Rechenzentrum in Bern. Christoph Zwaan, Mediensprecher der Insel, beteuert: «Der Betrieb von Epic und die darin enthaltenen Patientendaten verbleiben auf den Servern der Insel-Gruppe.» Der Berner Datenschützer Ueli Buri hat das System geprüft und Kompensationsmassnahmen verlangt – Weisungen zu Zugriffsrechten, Protokollierung, Kontrollen. Die ursprünglich 86 offenen Befunde sanken auf 25.

Aber: Die zentrale Frage der Lieferanten-Souveränität – kann der US-Hersteller Lizenzbedingungen ändern, Preise erhöhen oder dem Druck eigener Behörden nachgeben? – ist mit lokaler Datenspeicherung gerade nicht beantwortet. Der Schweizer Konkurrent Cistec mit dem System KISIM (genutzt in Freiburg und St. Gallen) liefert genau hier ein anderes Versprechen: «Alle Arbeitsplätze befinden sich in der Schweiz», sagt Key-Account-Leiterin Laura Fässler. «Ebenso werden auch sämtliche Gesundheitsdaten ausschliesslich in der Schweiz gespeichert.» Der Kanton Bern hat sich gegen diesen Weg entschieden.

Berns Doppelschlag: Epic für alle Listenspitäler

Der Widerspruch wird grösser. Im Juni 2025 hat der bernische Regierungsrat einen Entwurf zur «Digitalen Gesundheitsplattform» in die Vernehmlassung geschickt. Ziel: Alle öffentlichen Listenspitäler des Kantons sollen mit demselben Klinikinformationssystem arbeiten – und zwar mit Epic. Allein der Aufbau der Plattform wird auf elf Millionen Franken veranschlagt, die Migrationskosten in den einzelnen Spitälern als «beachtlich» angegeben. Privatspitäler wie Hirslanden, Lindenhof oder Swiss Medical Network könnten freiwillig teilnehmen.

Der Schweizerische Verband Digitale Gesundheit (SVDG) und die IG eHealth warnen vor einem Lock-in-Effekt und einer Monopolstellung Epics. Konkret zum Datenschutz: «Unter dem Cloud Act könnten Patientendaten dem Zugriff von US-Behörden ausgesetzt sein.» Genau jene Argumentation, mit der das BAG auf Bundesebene die US-Anbieter beim SwissHDS verbannen will, verwirft der bernische Regierungsrat für die eigene kantonale Plattform.

Grossrat Casimir von Arx (GLP) kritisiert die finanzielle Belastung und die Datenschutzprobleme – ohne politische Mehrheit. Und Bern ist nicht allein: Das Universitätsspital Zürich (USZ) hat sich ebenfalls für Epic entschieden, Cistec hat dort Beschwerde eingelegt. Auch das Kinderspital Zürich, das Luzerner Kantonsspital und das Universitätsspital Lausanne nutzen Epic. Die Berliner Charité folgt ab 2029 für 200 Millionen Euro.

Wer entscheidet eigentlich? Die Zuständigkeits-Landkarte

Die Föderalismus-Frage des Tages: Wer in der Schweiz ist überhaupt befugt, einer Behörde – Bund, Kanton oder kantonsnaher Spitalträger – verbindlich vorzuschreiben, dass eine Software souverän, also unabhängig vom Lieferanten betrieben werden kann?

Die Antwort ist ernüchternd:

  • Bundesverwaltung: Verbindliche Leitlinien der Bundeskanzlei (Dezember 2025), gestützt auf das EMBAG. Open-Source-Pflicht für Eigenentwicklungen des Bundes nach Artikel 9 EMBAG. Strategie Digitale Schweiz mit Fokus digitale Souveränität.
  • Kantone: Eigene Gesetzgebung, eigene Beschaffungsverfahren über das interkantonale Konkordat IVöB, eigene Datenschutzbehörden. Die DVS-Strategie 2024–2027 ist kooperativ und nicht verbindlich.
  • Kantonale Spitäler und öffentlich-rechtliche Träger wie die Insel-Gruppe: Beschaffen autonom. Aufsicht durch die kantonale Datenschutzstelle.
  • Privatspitäler: Vollständig autonom.

Das heisst konkret: Selbst wenn das BAG morgen einen WTO-konformen Weg findet, Cloud-Act-Anbieter beim SwissHDS auszuschliessen – etwa über sicherheitsbezogene Anforderungen statt direkter Herkunftsausschlüsse –, hindert das den Kanton Bern in keiner Weise daran, Epic zum verbindlichen Standard für seine Spitäler zu erklären. Und es hindert den Kanton Zürich nicht daran, am USZ Epic einzuführen. Eine «interdepartementale Arbeitsgruppe zur digitalen Souveränität» beim Bund unter Federführung des VBS-Staatssekretariats für Sicherheitspolitik analysiert Risiken bis 2027 – ohne Durchgriff auf Kantone oder Gemeinden.

Der Bundesrat selbst hat in seinem Bericht zum Postulat 22.4411 Z'graggen «Digitale Souveränität der Schweiz» die Definition geliefert: «Digitale Souveränität bedeutet, als Staat über die erforderliche Kontroll- und Handlungsfähigkeit im digitalen Raum zu verfügen, um die Erfüllung staatlicher Aufgaben sicherzustellen.» Was bleibt von dieser Kontroll- und Handlungsfähigkeit, wenn das wichtigste IT-System des grössten Universitätsspitals der Schweiz aus Verona, Wisconsin geliefert wird – und der Kantonsregierungsrat es zum Sektor-Standard erklären will?

Souverän betreibbar: Die Frage, die niemand stellt

Genau hier liegt der blinde Fleck der gesamten Debatte. Sowohl das BAG-Argument («Anbieter unter US Cloud Act ausschliessen») als auch das Insel-Argument («Daten liegen auf unseren Servern») drücken sich um die eigentlich entscheidende Frage:

Kann die beschaffte Software auch dann weiterbetrieben werden, wenn der Hersteller den Vertrag kündigt, in wirtschaftliche Schwierigkeiten gerät oder regulatorischem Druck aus seinem Heimatland nachgibt?

Bei Epic: Nein. Ohne Lizenzen, Updates und Support des US-Herstellers liesse sich das System nicht dauerhaft betreiben. Patientendaten lägen zwar physisch in Bern, aber das System darum herum wäre tot. Die Insel-Gruppe hätte 228 Millionen Franken in eine Infrastruktur investiert, deren Lebensdauer von der Geschäftspolitik eines Unternehmens aus Wisconsin abhängt.

Bei Microsoft 365: Nein. Bei Broadcom/VMware in der Neuen Digitalisierungsplattform der Armee, wie clarus.news im April analysiert hat: ebenfalls nein. Bei AWS, Azure oder Google Cloud: erst recht nicht.

«Faktisch wurde die Software nicht gekauft, sondern bloss ein Nutzungsrecht erworben», fasst Matthias Stürmer, Professor an der Berner Fachhochschule und Initiator des Netzwerks Souveräne Digitale Schweiz, das Grundproblem zusammen. «Das geistige Eigentum blieb beim Provider, der so über die letzten 20 Jahre hinweg seinen Einfluss auf die Verwaltung ausbauen konnte.»

Ein operativer Souveränitäts-Test – kann das System mit eskrowierten Quellcodes, dokumentierten Schnittstellen und qualifizierten Drittbetreibern auch ohne den Originalhersteller weiterlaufen? – fehlt in den allermeisten Beschaffungen. Genau diesen Test müsste eine ernstgemeinte Souveränitätsstrategie verlangen, statt sich an der Frage des Anbieter-Sitzes festzubeissen, die das WTO-Recht ohnehin nicht zulässt. Er ist herkunftsneutral, er ist technisch überprüfbar, und er träfe Schweizer und europäische Anbieter ebenso wie amerikanische.

Fazit: Souveränität in 26 Versionen ist keine Souveränität

Das BAG-SwissHDS-Verbot für US-Anbieter ist ein politisches Signal – aber juristisch fragwürdig und praktisch wirkungslos, solange die Kantone Epic, Microsoft und Broadcom für ihre Spitäler, Verwaltungen und Schulen unbehelligt einkaufen. Die Schweiz spielt damit ein Lehrstück föderaler Inkohärenz: Der Bund stellt Souveränitäts-Ansprüche, die seine eigenen Beschaffungsregeln ihm nicht erlauben – und an die sich die Kantone, die das Gros der staatsnahen IT betreiben, ohnehin nicht halten müssen.

Frankreich hat mit der DINUM eine Behörde, die ressortübergreifend Migrationspläne einfordern und durchsetzen kann. Die Schweiz hat – ehrlich besehen – keine. Sie hat eine Strategie, eine Plattform, einen Beirat, eine interdepartementale Arbeitsgruppe und eine in Auftrag gegebene Verfassungsanpassung mit ungewissem Ausgang.

Drei konkrete Forderungen drängen sich auf:

Erstens muss ein operativer Souveränitäts-Test als Beschaffungsstandard etabliert werden. Jede staatsnahe IT-Beschaffung über einem zu definierenden Schwellenwert müsste nachweisen, dass das System ohne den Originalhersteller betreibbar bleibt. Dieser Test ist WTO-konform, weil herkunftsneutral, und er bricht die heute irreführende Debatte um Anbieter-Nationalität auf die eigentliche Frage herunter: Wer hat die Kontrolle?

Zweitens brauchen kantonale und kommunale Beschaffungen verbindliche Standards. Die am 19. Dezember 2025 angestossene Verfassungsanpassung muss diesen Punkt unmissverständlich adressieren – sonst bleibt jedes Bundes-Signal Symbolpolitik. Eine «Strategie Digitale Schweiz», die für die Kantone «Orientierung» ist, ist im Souveränitäts-Ernstfall wertlos.

Drittens braucht es eine zentrale Stelle mit Durchgriff. Ohne ein Schweizer Äquivalent zur französischen DINUM lässt sich eine kohärente Souveränitätsstrategie nicht umsetzen. Der Delegierte für digitale Transformation hat heute zu wenig Kompetenzen, wie die Eidgenössische Finanzkontrolle im Prüfbericht 23759 dokumentiert hat. Eine Reform, die nicht an die Verfassungs- und Kompetenzfrage geht, wird daran scheitern.

Bis dahin gilt: Das BAG kann auf eidgenössischer Ebene noch so streng formulieren – wenn der Kanton Bern parallel Epic zum Standard für alle öffentlichen Spitäler erklärt, wenn das USZ Epic einführt, wenn die Insel-Gruppe 228 Millionen in ein US-System steckt und der Grosse Rat die Untersuchung dazu ablehnt, dann ist die «digitale Souveränität» der Schweiz keine Strategie. Sie ist eine Sonntagsrede – verteilt auf 26 Kantonsregierungen, ein Bundesamt, eine Bundeskanzlei und eine interdepartementale Arbeitsgruppe, die sich gegenseitig versichern, dass eigentlich jemand anderes zuständig sei.

Dieser Beitrag basiert auf öffentlich zugänglichen Quellen sowie den vorgängigen clarus.news-Analysen zur digitalen Souveränität.

Quellen:

  • NZZ am Sonntag: «Kein Deal für die Amerikaner – Bund legt sich mit US-Techriesen an», 09.05.2026
  • heise online: «Schweizer Gesundheitsdaten: Eidgenossen gegen US-Cloud-Dominanz», 12.05.2026
  • 20 Minuten: «Inselspital legt offen – Spitäler wählen teureres System aus den USA statt aus der Schweiz», 11.02.2026
  • Netzwoche: «So viel bezahlt die Berner Insel-Gruppe fürs Epic-KIS», 17.02.2026
  • Berner Zeitung: «Grosser Rat lehnt Untersuchung zu Insel-IT Epic ab», 02.03.2026
  • Insel Gruppe: Medienmitteilung «Investitionen für die Medizin der Zukunft», Februar 2026
  • Medinside: «Kritik an Berns digitaler Gesundheitsplattform», 17.10.2025
  • Der Bund: «Kanton Bern – Epic für alle öffentlichen Spitäler», Juni 2025
  • Der Bund: «Epic-IT-System in Berner Spitälern – Kritik an Regierungsrat», 10.11.2025
  • Inside-IT: «Epic führt zu Datenschutzdiskussionen am Inselspital», Mai 2024
  • digital.swiss: Strategie Digitale Schweiz 2026
  • Bundeskanzlei: «Leitlinien für die digitale Souveränität in der Bundesverwaltung», 12.12.2025
  • Bundesrat / KdK: Grundsatzentscheid zur Weiterentwicklung der DVS, 19.12.2025
  • Bericht des Bundesrates in Erfüllung des Postulats 22.4411 Z'graggen «Digitale Souveränität der Schweiz»
  • Republik: «Die USA lobbyieren gegen die digitale Souveränität der Schweiz», 26.01.2026
  • SwissICT: «Digitale Souveränität – Zwei Perspektiven» (Matthias Stürmer / Marc Holitscher), 10.04.2026
  • EFK-Prüfbericht 23759: Steuerung der Digitalisierung Bund, November 2024
  • clarus.news: «Digitale Souveränität – Frankreich packt die grössere Kiste an», 14.04.2026

Tags: #DigitaleSouveränität #SwissHDS #BAG #Epic #Inselspital #Cistec #KISIM #Patientendaten #CloudAct #Föderalismus #BBL #DVS #Bundeskanzlei #KantonBern #WTO

Zurück zur Übersicht