KI im Staat: Deutsche Mängelliste contra Schweizer Souveränität

Kurzfassung

Der deutsche Bundesrechnungshof dokumentierte im April 2025 fundamentale Mängel beim System BPAvis des Bundespresseamts: fehlendes IT-Sicherheitskonzept zwei Jahre nach Inbetriebnahme, keine Wirtschaftlichkeitsbetrachtung, keine Erfolgskontrolle und Cloud-Notfallinfrastruktur auf Microsoft Azure. Parallel lobte die Eidgenössische Finanzkontrolle im Januar 2026 den KI-Einsatz des Schweizer Bundesgerichts: eigene Server, Open-Source-Basis (Llama 3.3), Ethikcharta und alle vier Empfehlungen akzeptiert. Beide Berichte behandeln staatliche KI-Infrastruktur, erreichen aber diametral entgegengesetzte Bewertungen. Die zentrale Differenz liegt nicht in den Einzelmängeln, sondern in der Architektur der digitalen Abhängigkeit und dem impliziten oder fehlenden Verständnis von Souveränität.

Personen

• Gerhard Andrey (Schweizer Nationalrat; KI-Souveränität)
• Thomas Süssli (Ehemaliger Schweizer Armeechef; Cloud-Act-Warnung)

Themen

• Digitale Souveränität
• Künstliche Intelligenz in Verwaltungen
• Cloud-Infrastruktur und Datensicherheit
• Open-Source-Strategie
• Governance und Rechnungswesen

Clarus Lead

Die beiden Revisionsberichte offenbaren einen fundamentalen Unterschied in institutioneller Priorisierung: Während der deutsche Rechnungshof Haushaltsdisziplin prüft und die strategische Frage der digitalen Souveränität vollständig ausklammert, belohnt die Schweizer Finanzkontrolle implizit genau jene Architekturentscheide, die Unabhängigkeit von US-Hyperscalern ermöglichen – ohne das Stichwort Souveränität explizit zu nennen. Der Vergleich wird politisch beim Notfall: Deutschlands Kriseninfrastruktur läuft im Ernstfall über Microsoft Azure unter dem CLOUD Act, während die Schweiz mit Apertus und eigenen Servern bewusst eine Exit-Strategie verfolgt. Die Frage, die beide Berichte vermeiden, ist zugleich die dringlichste für europäische Handlungsfähigkeit.

Detaillierte Zusammenfassung

Deutschlands Projekt ohne Steuerung

Das BPA betreibt BPAvis als «essentiellen Bestandteil der Krisenkommunikation» – das System verteilt täglich 1,8 Millionen Agenturmeldungen an Kanzler, Präsident und alle Ressorts. Der BRH-Bericht katalogisiert ein Versagen auf allen Steuerungsebenen: Zwei Jahre nach Go-Live (August 2021) existiert kein gültiges IT-Sicherheitskonzept, obwohl der Umsetzungsplan Bund 2017 dieses «vorrangig» fordert. Das BPA hatte intern selbst dokumentiert, dass Sicherheitskonzept vor Go-Live erforderlich sei – man startete trotzdem. Die Audit-Logs der SAP-HANA-Datenbank (sicherheitskritische Ereignisprotokollierung) wurden deaktiviert, gegen ausdrückliche Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik und von SAP selbst. Begründung: Datenschutz – eine sachlich fragwürdige Priorisierung.

Die Support-Hotline für Kriseninfrastruktur läuft Montag bis Freitag, 9–17 Uhr. Geschulte Schichtmitarbeitende? Nein – kostete zu viel, sagten Tarifklassen. Service Level Agreement fehlt. Notfallkonzept nach BSI-Standard 200-4 fehlt. Wirtschaftlichkeitsbetrachtung in der Planungsphase? Keine, und das verstösst gegen § 7 BHO. Erfolgskontrolle? Nicht vorlegen können. Bis Oktober 2023 flossen 6,4 Millionen Euro, 2024–2027 weitere 4,4 Millionen geplant – Haushaltsbegründung beruht «im Wesentlichen auf Angeboten externer Dienstleister». Im Krisenfall läuft die Bundesregierung auf Microsoft Azure. Der BRH erwähnt dies in einer Fussnote, zieht aber keine politischen oder souveränitätsbezogenen Schlussfolgerungen.

Schweiz: Bewusste Abhängigkeitsvermeidung

Das Bundesgericht läuft einen anderen Kurs. 2023 wurden interne Nutzungsregeln für KI erlassen, 2025 folgte eine Ethikcharta mit drei Kernsäulen: Autonomie (KI nur unterstützend, Entscheidung immer durch Juristin/Juristen), Transparenz und Nachvollziehbarkeit. Mitarbeitende müssen KI-gestützte Arbeitsergebnisse kennzeichnen. Schulung ist obligatorisch vor ChatTF-Zugriff. Die kritische Architekturentscheidung: ChatTF läuft auf eigenen Servern des Gerichts. Eingegebene Daten verlassen die interne Informatikumgebung nicht. Als Basismodell nutzt das BGer Llama 3.3 von Meta (offen, aber Trainingsdaten nicht einsehbar – explizit als verbleibendes Risiko benannt). Langfristziel: Apertus, das erste grosse Schweizer Sprachmodell mit offengelegten Trainingsdaten, entwickelt September 2025 von der Swiss AI Initiative an ETH/EPFL.

Kostenbild: 170'000 CHF für KI-Integration in die Anonymisierungssoftware Anom, gut 500'000 CHF für ChatTF (6,5 % des jährlichen IT-Budgets von 7,8 Mio. CHF). Davon 50 % Server-Hardware. Externe Modellabfragen gedeckelt auf 10'000 CHF/Jahr. Das BGer erwartet Amortisation nach einem Jahr durch Effizienzgewinne. Die EFK akzeptierte alle vier Empfehlungen – zwei davon mit der Begründung, das BGer setze sie ohnehin um.

Kosten vs. dokumentierter Nutzen

Ein direkter Kostenvergleich ist methodisch unsauber – BPAvis bedient die Gesamtregierung, das BGer 217 Juristinnen/Juristen plus Mitarbeitende. Aussagekräftig ist aber das Verhältnis von Aufwand zu belegbarem Nutzen: Deutschland gibt 10,8 Millionen Euro aus, kann aber nicht belegen, ob BPAvis wirtschaftlich ist, weil Wirtschaftlichkeit nie untersucht wurde. Die Schweiz gibt 670'000 CHF aus, hat das Ergebnis modelliert (Amortisation Jahr 1) und plant periodische Wirkungsevaluationen. Deutschlands Problem ist nicht Kosteneffizienz, sondern dass das Wort «Effizienz» operationalisiert worden ist.

Blinde Flecken beider Berichte

Der BRH thematisiert Souveränität nicht, obwohl die Cloud-Architektur eine zentrale strategische Entscheidung ist. Er prüft Verfahrensformalität, nicht Verfahrensentscheidung. Die EFK dagegen prämiert implizit Souveränitätskriterien (Eigenbetrieb, Open Source, Apertus-Ziel), nennt das Wort aber nicht. Sie übersieht zugleich die geopolitische Fragilität: Llama 3.3 ist Meta (USA). DeepL ist deutsch, aber kommerziell. Apertus existiert, aber Performance gegenüber GPT-5 ist offen. Bei US-Exportrestriktionen für KI-Gewichte oder Lizenzänderungen bei Meta gerät auch das BGer in Abhängigkeit. Das nennt die EFK in einem Halbsatz, zieht aber keine Konsequenzen.

Beide Berichte teilen eine strukturelle Blindheit: Sie prüfen Institutionen einzeln, national. Die supranationale Architektur – Hyperscaler, Modell-Provider, Lizenzregimes – fällt zwischen die Stühle. In Deutschland als technische Selbstverständlichkeit, in der Schweiz als Generationenaufgabe, der man strategisch näherkommt, ohne sie heute lösen zu können.

Kernaussagen

• Der deutsche BRH dokumentiert bei BPAvis fundamentale Verstösse gegen Sicherheitsrichtlinien und Haushaltsrecht (kein IT-Sicherheitskonzept, keine Wirtschaftlichkeitsbetrachtung, keine Erfolgskontrolle). Im Krisenfall läuft die Bundesregierung über Microsoft Azure unter dem CLOUD Act – ein souveränitätsrelevanter Sachverhalt, den der BRH nicht würdigt.

• Die EFK lobt das Bundesgericht für konsequente Souveränitätsarchitektur: eigene Server, Open-Source-Modell (Llama 3.3), Ethikcharta, obligatorische Schulungen. Alle vier Empfehlungen wurden akzeptiert. Die implizite Prämierung souveränitätsorientierter Entscheide ohne explizite Nennung dieses Ziels ist signifikant.

• Beide Rechnungshöfe vermeiden das Stichwort «digitale Souveränität» – mit gegenteiligen Konsequenzen: Der BRH übersieht die Dimension ganz, die EFK orientiert sich daran, ohne es zu benennen.

• Apertus aus der Swiss AI Initiative ist das erste grosse Schweizer Sprachmodell mit offengelegten Trainingsdaten (September 2025). Es soll mittelfristig Meta-Llama ersetzen und markiert eine bewusste Exit-Strategie aus US-Modell-Abhängigkeit.

• Kostenverhältnis: 10,8 Millionen Euro (BPAvis Gesamtaufwand) vs. 670'000 CHF (BGer Anom + ChatTF). Der direkte Vergleich ist heikel; aussagekräftig ist aber das Verhältnis von dokumentiertem Aufwand zu belegbarem Nutzen – Deutschland kann letzteres nicht vorweisen.

• Strukturelle Schwachstelle beider Berichte: Die supranationale Architektur der digitalen Abhängigkeit (Cloud-Provider, Modell-Lizenzen, Exportrestriktionen) wird nicht bilateral oder europäisch geprüft, sondern fällt zwischen nationale Kontrollraster.

Kritische Fragen

1. Datenqualität: Auf welcher Datenbasis beurteilt der BRH die Wirtschaftlichkeit von BPAvis, wenn das BPA selbst keine Erfolgskontrolle und keine Aufrufstatistiken vorlegen kann, und wie kann eine solche Beurteilung ohne Basismetriken glaubwürdig sein?

2. Methodik: Welche Vergleichsmassstäbe wendet die EFK an, wenn sie das Bundesgericht «ausgewogen» und «verantwortungsvoll» nennt, ohne andere Schweizer Gerichte (Bundesverwaltungsgericht, Bundesstrafgericht) in dieselbe Prüftiefe einzubeziehen – ist die Bewertung damit repräsentativ?

3. Interessenkonflikte: Welche vertragsrechtlichen Beziehungen zu Microsoft (BPA: Azure-Notfall) bzw. Meta (BGer: Llama 3.3) existieren, wie beeinflussen sie die Auswahl und Bewertung der Lösungen, und werden diese Beziehungen periodisch einer Kritikalitätsprüfung unterzogen?

4. Kausalität: Lässt sich der erwartete Effizienzgewinn von ChatTF tatsächlich auf KI zurückführen, oder profitiert das BGer von strukturellen Vorteilen (Eigenbetrieb der IT-Infrastruktur, hochqualifiziertes Fachpersonal), die ohnehin schon existierten – wie wird diese Kontrafaktik gelöst?

5. Alternativen: Welche Open-Source-Alternativen (Nextcloud, OpenStack, On-Premise-Inferenz mit europäischen Modellen) wurden beim BPA für die Notfall-Infrastruktur vor der Beauftragung von Microsoft Azure systematisch evaluiert, und warum fielen sie weg?

6. Umsetzbarkeit: Wenn Apertus als Schweizer Modell-Alternative noch nicht vollständig produktionsreif ist, wie realistisch ist ein Ausstieg aus Llama 3.3 innerhalb eines überschaubaren Zeithorizonts – und mit welchen Performanz-Einbussen rechnet das BGer?

7. Geopolitische Risiken: Welche Folgen hätte ein US-Exportregime für KI-Modellgewichte (analog zu Chip-Exportbeschränkungen gegen China) oder eine Lizenzänderung durch Meta für das BGer und das BPA – sind diese Szenarienanalysen in strategischen Planungen adressiert?

8. Governance-Lücke: Warum prüfen beide Rechnungshöfe Institutionen isoliert statt strukturelle Abhängigkeiten europäisch oder bilateral zu untersuchen – und welche Stelle trägt institutionelle Verantwortung für diese supranationale Perspektive?

Quellenverzeichnis

Primärquellen:

• Bundesrechnungshof (2025): Abschliessende Mitteilung an das Presse- und Informationsamt der Bundesregierung über die Prüfung «Einsatz künstlicher Intelligenz zur Information der Bundesregierung, Teil 3 – BPAvis», Gz. VII 3 – 0001818/3, 7. April 2025

• Eidgenössische Finanzkontrolle (2026): Prüfung des Einsatzes Künstlicher Intelligenz, Bundesgericht, EFK-25732, 23. Januar 2026

Ergänzende Quellen:

• Bundesgesetz über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben (EMBAG), 17. März 2023
• Umsetzungsplan Bund 2017 – Leitlinie für die Informationssicherheit in der Bundesverwaltung
• BSI-Standard 200-4: Business