Vergabebeschleunigungsgesetz und digitale Souveränität 2026

Digitale Souveränität ist von einer politischen Forderung zur konkreten Anforderung an die öffentliche Beschaffung geworden. Wie sich die Debatte in Bund, Ländern und Europa entwickelt, bündeln wir in diesem Beitrag.

Die Abhängigkeit öffentlicher Stellen von wenigen privaten Technologieanbietern ist kein neues Thema. Neu ist die Dringlichkeit, mit der es behandelt wird: Der Internationale Strafgerichtshof verlor 2025 vorübergehend den Zugang zu Microsoft-Diensten, nachdem die US-Regierung Sanktionen verhängt hatte. Bundeskanzler Merz bekräftigte bereits im November 2025, bei staatlicher Beschaffung stärker auf europäische Produkte zu setzen. Und der Bundestag hat im April 2026 das Vergabebeschleunigungsgesetz in einer Fassung verabschiedet, die digitale Souveränität strukturell im deutschen Vergaberecht verankert. Was zunächst nach abstrakten Forderungen klingt, hat inzwischen konkrete rechtliche Gestalt angenommen.

Inhalt

I. Was bedeutet digitale Souveränität?

Eine einheitliche Definition des Begriffs fehlt noch. Die Bundesregierung arbeitet derzeit ressortübergreifend an einer Neufassung, wie aus ihrer Antwort auf eine Kleine Anfrage der Fraktion Die Linke hervorgeht. Der Entwurf orientiere sich demnach an fünf Dimensionen:

Wirtschaftliche Wertschöpfungsfähigkeit – Stärkung digitaler Innovation und Kompetenzen in Deutschland und Europa
Durchsetzungs- und Steuerungsfähigkeit – Fähigkeit des Staates, Anforderungen an Sicherheit, Rechtmäßigkeit und Unabhängigkeit wirksam durchzusetzen
Substituierbarkeit und Interoperabilität – Vermeidung einseitiger Abhängigkeiten durch offene Standards, Portabilität und Wechselmöglichkeiten
Fähigkeit zur Gestaltung, Entwicklung und Nutzung von Technologien – Ausbau eigener Kompetenzen in Forschung, Entwicklung und Betrieb
Resilienz der Infrastruktur – Gewährleistung verlässlicher und kontrollierbarer digitaler Infrastrukturen

Diese Definition ist insofern vergaberechtlich bedeutsam, als alle fünf Dimensionen in Eignungs- oder Zuschlagskriterien übersetzt werden können – von Zertifizierungsanforderungen (ISO 27001, BSI C5) über Interoperabilitätsanforderungen in der Leistungsbeschreibung bis hin zu Compliance-Nachweisen zur Datenresidenz.

Auf EU-Ebene hat die Europäische Kommission mit dem Cloud Sovereignty Framework (CSF) einen strukturierten Bewertungsrahmen vorgelegt. Er definiert acht Souveränitätsziele (SOV-1 bis SOV-8), die von strategischer EU-Verankerung über Datensouveränität bis zur Nachhaltigkeit reichen, und kombiniert sie mit fünf Assurance-Levels (SEAL-0 bis SEAL-4). Unser Beitrag zum Cloud Sovereignty Framework beschreibt das Modell im Detail.

II. Das Vergabebeschleunigungsgesetz und digitale Souveränität

Am 1. Juli wird das Gesetz zur Beschleunigung der Vergabe öffentlicher Aufträge in Kraft treten. Sein Schwerpunkt liegt auf Verfahrensbeschleunigung, Bürokratieabbau und der Stärkung mittelständischer Interessen. Drei Regelungsbereiche sind für digitale Souveränität relevant:

Wesentliche Sicherheitsinteressen (Art. 346 AEUV)

Das Gesetz enthält Klarstellungen zur Definition der „wesentlichen Sicherheitsinteressen“ im Sinne des Art. 346 Abs. 1 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV). Dieser Artikel erlaubt es Mitgliedstaaten, Vergabeverfahren aus dem regulären Anwendungsbereich des EU-Vergaberechts herauszunehmen, wenn wesentliche Sicherheitsinteressen berührt sind. In der Praxis betrifft das zunehmend auch die IT-Beschaffung: Sofern eine Informationsinfrastruktur als sicherheitsrelevant einzustufen ist, können öffentliche Auftraggeber freihändig beschaffen und dabei explizit auf europäische oder nationale Anbieter setzen.

Verordnungsermächtigung für Leitmärkte

Das Gesetz schafft eine Verordnungsermächtigung, die zunächst auf emissionsarm hergestellte Grundstoffe wie Stahl und Zement zielt. Das Prinzip – verbindliche Mindestanforderungen an bestimmte Beschaffungsklassen per Verordnung – ist jedoch übertragbar: Es eröffnet einen Weg, künftig auch für digitale Beschaffungskategorien verbindliche Souveränitätsanforderungen einzuführen, ohne dafür jedes Mal ein neues Gesetz zu benötigen.

Local-Content-Requirements im Industrial Accelerator Act

Der Bundestag fordert die Bundesregierung auf, die Local-Content-Requirements (LCR) im geplanten europäischen Industrial Accelerator Act aktiv zu begleiten und sicherzustellen, dass „Made-with-EU“-Anforderungen kohärent mit nationalen Regelungen umgesetzt werden. Für die IT-Beschaffung bedeutet das: Anforderungen an den Entwicklungsstandort oder die Wertschöpfungskette eines digitalen Produkts könnten perspektivisch verbindlich werden.

§ 58 Abs. 2 Nr. 4 VgV: Digitale Souveränität als Zuschlagskriterium

Die Beschlussempfehlung des Ausschusses ergänzt § 58 Abs. 2 Satz 2 VgV um eine neue Nummer 4: „Aspekte der digitalen Souveränität.“ Damit ist gesetzlich klargestellt, dass diese Aspekte als qualitative Zuschlagskriterien zulässig sind – bislang war das rechtlich nicht ausdrücklich geregelt und in der Praxis unsicher.

Die Gesetzgebungsbegründung nennt als Beispiele: die Nutzung interoperabler und offener IT-Systeme oder Software, die Nachvollziehbarkeit und Kontrolle von Datenverarbeitungsvorgängen, besondere Anforderungen an das mit der Datenverarbeitung betraute Personal, Anforderungen an Sicherheitsvorkehrungen, die Lokalisierung von Daten sowie die rechtliche, organisatorische und technische Immunität gegen unerwünschte Zugriffe oder Verfügbarkeitseinschränkungen. All das kann künftig explizit als Zuschlagskriterium formuliert werden, ohne dass Auftraggeber rechtliche Angreifbarkeit befürchten müssen.

§ 128 Abs. 2 GWB: Digitale Souveränität als Ausführungsbedingung

Weiter reichend als die Zuschlagsregelung ist die Ergänzung des § 128 Abs. 2 GWB: In Satz 3 wird nach „Belange“ die Angabe „der Versorgungssicherheit oder der digitalen Souveränität“ eingefügt. § 128 GWB regelt die Ausführungsbedingungen – also die Anforderungen, die ein Auftragnehmer nicht nur beim Angebot erfüllen muss, sondern während der gesamten Vertragslaufzeit einzuhalten hat.

Das ist ein erheblicher Unterschied zur Zuschlagsregelung: Souveränitätsanforderungen können damit als dauerhafte Vertragspflicht formuliert werden, etwa zur laufenden Datenlokalisierung, zu Zugriffsrechten oder zum Einsatz zertifizierter Infrastruktur. Verstöße berechtigen zur außerordentlichen Kündigung oder zur Vertragsstrafe – vorausgesetzt, die Ausführungsbedingungen sind in den Vergabeunterlagen klar verankert. Für Vergabestellen, die Cloud- oder IT-Dienstleistungen mit Souveränitätsbezug beschaffen, ist § 128 Abs. 2 GWB damit der praktisch relevanteste neue Hebel des Vergabebeschleunigungsgesetzes.

III. EVB-IT Open Source: Vergaberechtlicher Rahmen für Open-Source-Software

Im März 2026 haben das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) und der Bitkom einheitliche Vertragsbedingungen für die Beschaffung von Open-Source-Software vereinbart. Die neuen EVB-IT-Regelungen machen Open Source zur Standardoption bei der Vergabe von Softwareentwicklungsaufträgen und beseitigen rechtliche Unsicherheiten, die bislang den Einsatz nicht-proprietärer Lösungen in der öffentlichen Verwaltung behindert hatten.

Flankiert wird das durch eine Anforderung, die der Niedersächsische Landtag in einem Antrag vom April 2026 formuliert hat: Im Auftrag des Landes entwickelte Software soll vollständig in den Besitz der öffentlichen Hand übergehen, damit diese die Lösung unabhängig weiterentwickeln kann. Die Ausgestaltung der Ausschreibung entscheidet also darüber, ob ein öffentlicher Auftraggeber dauerhaft souverän über die beschaffte Software verfügen kann oder erneut in eine Abhängigkeit gerät. Wie sich Souveränitätsanforderungen bereits heute bei der Beschaffung von Open-Source-Software nach der VgV verankern lassen, beschreibt ein früherer Blogbeitrag.

IV. openDesk: Stand der Bundesverwaltung

Das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS), eine 2022 gegründete GmbH des Bundes, entwickelt und vertreibt openDesk – eine Office- und Kollaborationssuite, die vollständig aus Open-Source-Komponenten besteht. Die Suite umfasst Dateiablage (Nextcloud), Dokumentenbearbeitung (Collabora Online), E-Mail und Kalender (Open-Xchange), Projektmanagement (OpenProject), Echtzeitkommunikation (Element/Matrix) sowie Wissensmanagement (XWiki).

Die Bundesregierung hat in ihrer Antwort (siehe oben) auch hierzu den aktuellen Stand offengelegt:

Die Bundesverwaltung verfügt demnach insgesamt über 8.756 Lizenzen (Stand: April 2026).
8.475 Lizenzen sind im Produktivbetrieb, darunter Behörden wie das Robert Koch-Institut und das Bundesministerium für Gesundheit.
~280 Lizenzen befinden sich in aktiver Pilotierung.
Eine vollständige Ablösung proprietärer Systeme findet bislang nicht statt: „Es findet noch keine exklusive Nutzung von openDesk als Ersatz für proprietäre Lösungen statt.„

Bis zum 31. März 2027 soll eine gehärtete Version von openDesk für den Betrieb im IT-Grundschutz zur Verfügung stehen – das ist der Zeithorizont, den Bund und Länder in ihrer föderalen Modernisierungsagenda gemeinsam vereinbart haben.

Seit Mai 2026 können private IT-Dienstleister die openDesk Enterprise Edition ohne bürokratische Hürden über spezialisierte Distributoren anbieten. ZenDiS hat dazu auf ein zweistufiges indirektes Vertriebsmodell umgestellt, um auch kleinere Verwaltungseinheiten zu erreichen. Bisher wurden nach eigenen Angaben über 45 Millionen Euro in die Entwicklung investiert.

Bei openCode handelt es sich wiederum um eine vom ZenDiS betriebene Plattform, die über 10.800 Nutzenden in mehr als 5.500 Digitalprojekten die föderale Zusammenarbeit bei der Softwareentwicklung ermöglichen soll. Sie setzt das „Once-Only“-Prinzip um, nach dem öffentlich finanzierte Lösungen wiederverwendet statt mehrfach entwickelt werden sollen.

V. Digitale Souveränität in den Ländern

Niedersachsen

Ein Antrag der Fraktionen SPD und Bündnis 90/Die Grünen im Niedersächsischen Landtag vom 21. April 2026 (Drs. 19/10435) fordert die Landesregierung auf, eine Souveränitätsstrategie auf Basis des Deutschland-Stacks zu entwickeln. Vergaberechtlich bemerkenswert ist die Forderung, dass bei zukünftiger Vergabe von Softwaredienstleistungen im Rahmen der rechtlichen Möglichkeiten Priorität auf europäische Lösungen zu setzen sei.

Das ist eine direkte Auswirkung auf Ausschreibungen: Wenn europäische Herkunft ein Zuschlagskriterium werden soll, muss dies mit dem vergaberechtlichen Grundsatz der Nichtdiskriminierung vereinbart werden – wozu das Cloud Sovereignty Framework der EU-Kommission das nötige methodische Werkzeug liefert.

Hamburg

Die Hamburgische Bürgerschaft hat am 22. April 2026 einen Antrag (Drs. 23/3892) angenommen, der den Senat zu einer strategischen Prüfung der openDesk-Einführung auffordert. Der Antrag benennt offen die Hauptmotivation: Der US CLOUD Act ermöglicht es US-Behörden, auf Daten zuzugreifen, die bei US-amerikanischen Cloud-Anbietern gespeichert sind – unabhängig davon, ob der Server physisch in Deutschland steht.

Der Senat soll bis zum 1. Dezember 2026 berichten, dabei einen Kostenvergleich über fünf Jahre (Total Cost of Ownership), eine Bedarfsanalyse und einen Proof-of-Concept in einem abgegrenzten Verwaltungsbereich durchführen.

Vergleich: Schleswig-Holstein und Dänemark

Der Hamburger Antrag verweist auf zwei Vergleichsfälle: Schleswig-Holstein führt seit 2018 eine umfassende Migration zu Open-Source-Lösungen durch und hat dabei nach eigenen Angaben erhebliche Lizenzkosten eingespart. Dänemark hat bis 2025 vollständig auf Linux und LibreOffice migriert. Beide Beispiele zeigen, dass der Übergang machbar ist, jeweils aber einen mehrjährigen Transformationsprozess mit erheblichem Change-Management-Aufwand erfordert.

Baden-Württemberg

Der im Mai 2026 beschlossene Koalitionsvertrag von CDU und Grünen in Baden-Württemberg bekennt sich zur Vermeidung von Vendor-Lock-in und einer „leistungsfähigen, flexiblen und souveränen IT-Infrastruktur“. Open-Source-Software soll „dort eingesetzt werden, wo es sinnvoll erscheint“. Die Open Source Business Alliance (OSBA) kritisiert diese Formulierung als zu unverbindlich und fordert eine konsequente „Open Source First“-Strategie als Beschaffungsprinzip. Das Land positioniert sich damit weniger klar als Niedersachsen oder Hamburg – formuliert aber erstmals einen expliziten Souveränitätsbezug im Koalitionsvertrag.

VI. EU-Rahmen: Cloud Sovereignty Framework und C3A

Die Europäische Kommission hat mit dem Cloud Sovereignty Framework (CSF, Version 1.2.1) ein Bewertungsmodell vorgelegt, das Souveränität in Vergabeverfahren quantifizierbar macht. Es kombiniert Mindestanforderungen (SEAL-Levels) mit einem gewichteten Gesamtwert (Sovereignty Score), der als Zuschlagskriterium eingesetzt werden kann.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im April 2026 den Kriterienkatalog C3A (Criteria enabling Cloud Computing Autonomy) veröffentlicht. Er ergänzt den bestehenden C5-Katalog um eine Souveränitätsdimension: Während C5 bewertet, wie sicher ein Cloud-Dienst ist, ermöglicht C3A die Bewertung, ob er selbstbestimmt genutzt werden kann.

Für öffentliche Auftraggeber in Deutschland ergeben sich daraus praktische Anknüpfungspunkte:

C3A-Kriterien können als Eignungsanforderungen in Cloud-Ausschreibungen formuliert werden
Der Sovereignty Score des CSF lässt sich als Zuschlagskriterium in die Angebotswertung integrieren
Der risikobasierte Ansatz beider Rahmenwerke – unterschiedliche Souveränitätsniveaus je nach Anwendungsfall – entspricht dem vergaberechtlichen Grundsatz der Verhältnismäßigkeit

Dass das CSF nicht nur Theorie ist, zeigt ein konkreter Anwendungsfall: Das Framework wurde bereits auf ein einzelnes Vergabeverfahren mit einem Volumen von rund 180 Millionen Euro angewendet. Das unterstreicht, dass die Diskussion um Cloud-Souveränität in der Beschaffungspraxis angekommen ist. Der Branchenverband Bitkom hat dazu ein Positionspapier veröffentlicht, das die Nachfrageseite spiegelt: 78 Prozent der deutschen Unternehmen äußern Bedenken gegenüber Abhängigkeiten von wenigen nicht-europäischen Anbietern; fast zwei Drittel machen den Standort der Rechenzentren in Deutschland oder der EU zu einem wichtigen Auswahlkriterium – bei gleichzeitig unveränderter Erwartung an Performance und Funktionsumfang.

VII. Souveränität als Vergabekriterium: Was Vergabestellen jetzt tun können

Digitale Souveränität lässt sich auf vier Ebenen in Vergabeverfahren integrieren:

Leistungsbeschreibung: Anforderungen an Datenresidenz (EU-Rechenzentren), Quellcode-Offenlegung, Interoperabilität und offene Standards können im Pflichtenheft verankert werden. Bei der Beschaffung von Softwareentwicklungsleistungen empfiehlt sich die vollständige Übertragung der Nutzungsrechte am Quellcode.

Eignungskriterien: Zertifizierungen (BSI C5, ISO 27001, künftig C3A-Testate) können als Nachweispflicht für Cloud-Beschaffungen gefordert werden.

Zuschlagskriterien: Der Sovereignty Score des EU-CSF erlaubt es, Souveränität als wettbewerbsdifferenzierendes Merkmal in die Angebotswertung einzubeziehen. Dabei gilt: Souveränitätskriterien müssen auf den konkreten Anwendungsfall bezogen sein. Bitkom empfiehlt in seinem Positionspapier ausdrücklich einen risikobasierten Ansatz, bei dem höhere Souveränitätsstufen ausschließlich für klar definierte, sicherheitskritische Anwendungsbereiche vorbehalten bleiben. Kriterien, die bestimmte Anbieter strukturell ausschließen, ohne dass dies durch den Anwendungsfall begründet ist, können gegen das WTO-GPA und das vergaberechtliche Diskriminierungsverbot verstoßen.

Vergabeverfahren: Für sicherheitsrelevante IT-Infrastrukturen steht die Ausnahme nach Art. 346 AEUV zur Verfügung. Für alle anderen Beschaffungen gilt das Transparenz- und Gleichbehandlungsgebot – Souveränitätskriterien müssen daher immer sachlich begründet und verhältnismäßig formuliert sein. Pauschale Anforderungen wie „nur EU-Anbieter“ ohne inhaltliche Begründung wären vergaberechtlich angreifbar; kriterienkatalogbasierte Formulierungen wie die obigen dagegen grundsätzlich zulässig.

Verwandte Beiträge