Beschaffung on Dr. Christian Knebel

Schleswig-Holstein macht es für drei Millionen. Mai 2026 im E-Government-Rückblick.

Sun, 31 May 2026 12:08:06 +0200

Ein Jahr Bundesdigitalministerium. Die Bilanz, die sich aus den Zahlen ergibt, ist ernüchternd: Die Länder haben Microsoft im Jahr 2025 rund 191 Millionen Euro überwiesen - 84 Prozent mehr als 2021. Der BMI-Rahmenvertrag liegt bei weiteren 481 Millionen Euro . Oracle kommt allein aus neun Ländern auf über 261 Millionen . Das sind keine Schätzungen. Das sind Zahlen aus parlamentarischen Anfragen.

Gleichzeitig zeigt Schleswig-Holstein, was möglich ist, wenn man aufhört zu warten: Der Standardarbeitsplatz kostet dort heute drei Millionen Euro pro Jahr statt achtzehn. Nicht durch ein Sonderprogramm, nicht durch eine neue Behörde. Durch LibreOffice statt Microsoft Office.

Ein Jahr BMDS: Das Werkzeug liegt bereit, wird aber kaum angefasst

Der IT-Zustimmungsvorbehalt war die große strukturelle Neuerung des ersten Jahres. Das Digitalministerium kann seitdem IT-Projekte anderer Ressorts prüfen und stoppen, bevor neue Abhängigkeiten entstehen. In der Theorie ist das genau das Instrument, das jahrelang gefehlt hat. In der Praxis wurden bisher gerade einmal rund 200 Projekte geprüft - bei einem Bundeshaushalt, der Hunderte von IT-Vorhaben parallel trägt.

Das ist kein Versagen des Ministeriums. Es ist ein Kapazitätsproblem mit struktureller Ursache: Wer jeden Projektstart prüfen will, braucht Kriterien, die das automatisch filtern. Nicht ein Team, das manuell entscheidet. Der Weg führt nicht über mehr Personal, sondern über andere Defaults. Wer Open Source als Standardoption in Ausschreibungsvorlagen setzt, muss proprietäre Entscheidungen aktiv begründen. Dann prüft das System, nicht der Sachbearbeiter.

Golem hat das erste Jahr des Digitalministeriums analysiert und die Lücke zwischen Ankündigung und Umsetzung klar benannt. Was jetzt fehlt, ist die nächste Entscheidung: Vergabedefaults ändern. Nicht in einer Legislatur. In den nächsten sechs Monaten.

Dabei passiert auf der Konzeptebene gerade etwas Wichtiges: Das ZenDiS hat ein Diskussionspapier zu Souveränitätskriterien vorgelegt, das digitale Souveränität messbar machen will. Die OSBA-Stellungnahme begrüßt das, setzt aber einen klaren Punkt: Messbarkeit ohne Verbindlichkeit ist Souveränitätswashing. Wer ein europäisches Rechenzentrum bucht, aber weder Quellcode einsehen noch die Roadmap beeinflussen kann, hat keine Souveränität. Er hat einen anderen Lieferanten.

Das ist die richtige Debatte. Und der Begriff trifft.

Was Schleswig-Holstein beweist

Während Berlin diskutiert, liefert Kiel Zahlen. Die Migration der Landesverwaltung von Microsoft Office auf LibreOffice hat die jährlichen Lizenzkosten für den Standardarbeitsplatz von 18 Millionen auf 3 Millionen Euro gesenkt. Das ist kein Pilotprojekt. Das ist Regelbetrieb.

Die OSB Alliance hat im Mai nachgelegt : Unter dem Titel “Trauen Sie sich, Herr Minister!” benennt sie konkrete Hebel, die heute verfügbar sind - keine neuen Gesetze, keine Haushaltsmittel. EVB-IT Musterverträge , die Open-Source-Beschaffung strukturell bevorzugen; OSS-first Vergabekriterien, die den Beweislastwechsel einleiten; Pflichtmeldung bei Neuverträgen mit denselben Herstellern, die schon die Bestandssysteme dominieren. Das sind Verwaltungshandlungen, keine Gesetzgebung.

Der Einwand, den man an dieser Stelle hört, ist immer derselbe: Das Vergaberecht lasse das nicht zu. Schleswig-Holstein hat es trotzdem gemacht. Zürich testet gerade openDesk im Echtbetrieb . Frankreich hat die DINUM-Toolbox. Die Frage ist nicht, ob es geht. Die Frage ist, wer anfängt.

💡 Drei Millionen statt achtzehn ist kein Proof of Concept. Das ist ein Referenzwert, an dem sich jede neue Beschaffungsentscheidung messen lassen muss.

Europa gibt Rückenwind

Bisher mussten Entscheider:innen in Behörden die Open-Source-Entscheidung gegen den Strom treffen. Das ändert sich strukturell: Die EU hat für den 3. Juni die Verabschiedung des Cloud Alignment and Data Act (CADA) angekündigt - Teil des Tech Sovereignty Package. Die EU gibt derzeit schätzungsweise 264 Milliarden Euro pro Jahr für US-IT-Dienstleistungen aus. CADA verpflichtet öffentliche Auftraggeber, bei neuen Cloud-Verträgen aktiv Alternativen zu prüfen und die Entscheidung zu dokumentieren.

Das ist kein Verbot. Es ist ein Begründungszwang. Wer weiterhin AWS, Azure oder Oracle bucht, muss erklären, warum keine europäische Alternative in Frage kam. Das klingt nach Bürokratie, ist aber das Gegenteil: Es macht die implizite Entscheidung für den Incumbent sichtbar. Und angreifbar.

Für Ministerien und Landesbehörden, die intern ohnehin über Souveränität sprechen, ist CADA eine Entlastung. Die Frage “Darf ich das?” stellt sich dann nicht mehr. Die Frage wird: “Warum haben wir es nicht gemacht?”

Fazit

Mai 2026 in zwei Sätzen: Die Kosten steigen weiter, aber die Beweise, dass es anders geht, liegen auf dem Tisch - mit Namen, Zahlen und Kontaktpersonen. Wer jetzt noch auf eine gesetzliche Erlaubnis wartet, wartet auf etwas, das er nicht braucht.

Hat Sie das Thema interessiert?

Wenn Sie in Ihrer Behörde gerade eine Ausschreibung vorbereiten und wissen wollen, wie OSS-first Kriterien vergaberechtssicher eingebaut werden: Schreiben Sie mir. Ich denke mit, ohne zu verkaufen.

652 Millionen pro Jahr ohne Reform. April 2026 im E-Government-Rückblick.

Thu, 30 Apr 2026 21:06:06 +0200

Im April 2026 liefert die Verwaltungs-Realität konkrete Beweise zu den Diagnosen der Vormonate. Eine Tagesspiegel-Headline vom 07.04.2026 (Tagesspiegel Background, Paywall) fasst es zusammen: „Register kosten ohne Reform 652,5 Millionen Euro jährlich." Das ist die Größenordnung dessen, was der Status quo der föderalen Registerlandschaft an laufendem Betrieb verschlingen wird, wenn staatliche Stellen ihre Register nicht technisch und strukturell modernisieren.

Im selben Monat passieren drei Dinge, die methodisch zusammenhängen: Eine Deutschland-App wird an SAP und Telekom vergeben. Das BSI legt erstmals Cloud-Souveränitätskriterien vor. Der Bundestag beschließt einen Digital-Haushalt. Drei Bewegungen, drei Diagnosen.

652 Millionen ohne Reform

Die Zahl ist beunruhigend, aber sie ist nicht überraschend. Sie ist der Beleg für das, was hier als Diagnose schon im März stand: zu komplex gedacht, zu viel Geld, das jedem erlaubt, sein eigenes Ding zu machen. Der Bundesrechnungshof hat bereits im Oktober 2025 gewarnt , dass die Registermodernisierung an einer Finanzierungslücke von 300 Millionen Euro hängt. Der [Bundeshaushalt 2026 sieht 194 Millionen Euro für Register-Digitalisierung vor[https://www.bundestag.de/presse/hib/kurzmeldungen-1105894), das sind 69 Millionen weniger als 2025. Die Reform wird leiser finanziert, der Bestand teurer betrieben.

Die eigentliche Frage stellt der Tagesspiegel nicht: Wenn die Register im aktuellen Zustand laut dem PD Positionspapier 652 Millionen pro Jahr kosten, ohne dass spürbarer Mehrwert für Bürger:innen oder Unternehmen entsteht, wie teuer wird das Ganze, wenn die Register wirklich genutzt werden? Wenn der Datenaustausch über NOOTS in den vollen Betrieb geht, wenn Once-Only kein Pilot mehr ist, wenn alle Verfahren angeschlossen sind? Wer rechnet?

Reform ist hier nicht ein Wort für Strukturkosmetik. Reform heißt: weniger Register, klarer abgegrenzte Zuständigkeiten, weniger parallele Datentöpfe. Die aktuelle Kosten-Größenordnung ist nicht nur eine Effizienz-Frage. Sie ist ein politisches Risiko.

Die Deutschland-App und drei Probleme

Mitten im April wird klar, wer die Deutschland-App bauen soll. Das BMDS hat den Auftrag an SAP und die Telekom vergeben , eine FOIA-Anfrage von FragDenStaat bestätigt: über bestehende Framework-Verträge, ohne offene Ausschreibung für die erste Phase. Drei Probleme dazu, die alle in der LinkedIn-Diskussion und in netzpolitik , heise und der OSB-Alliance-Kritik auftauchen.

Erstens, die Vergabe. Wenn ein Großprojekt mit dieser strategischen Bedeutung über Framework-Verträge an SAP und Telekom geht, fehlt der Wettbewerb. Das Echo der Corona-Warn-App-Vergabe ist nicht zufällig laut. Wer den deutschen GovTech-Markt ernst nimmt, sollte nicht den ersten relevanten Auftrag der Legislaturperiode an die immer gleichen Konzerne vergeben. Der Protest des Google-Konsortiums gegen den Ausschluss bei einer parallelen Cloud-Vergabe zeigt, dass Vergabeverfahren rechtlich angreifbar sind, wenn der Wettbewerb erkennbar nicht gesucht wird. Die Open-Source-Verbände fordern hier zu Recht Transparenz und Marktöffnung.

Zweitens, das Frontend-Problem. Eine zentrale App ist ein neues Frontend für eine unveränderte Verwaltungsrealität dahinter. Die Verwaltungssuchmaschine NRW (heute Linie6plus) hat einen ähnlichen Suchmaschinen-Ansatz schon vor Jahren probiert, ohne KI-Würze. Dass dieselbe Idee jetzt mit KI-Agenten neu lackiert wird, löst keines der Probleme dahinter: weder die föderalen Zuständigkeiten noch das Kraut-und-Rüben-Problem in den Fachverfahren der Kommunen. Eine zentrale App wirkt höchstens auf wenige Leuchttürme. In die Fläche kommt sie nicht.

Schlimmer: Eine zu zentrale App-Logik droht bestehende, regional oder thematisch funktionierende Lösungen zu verdrängen, ohne sie zu ersetzen. Verdrängung ohne Ersatz ist die teuerste Form von Konsolidierung.

Drittens, das Verhältnis zum Deutschland-Stack. Beides kommt aus demselben Haus, dem BMDS. Wie die Deutschland-App architektonisch zum Stack passt, wer welche Bausteine wem liefert, ob die App den Stack nutzt oder ihn umgeht, ob KI-Agenten ein Stack-Modul werden oder ein App-internes Feature, ist nicht erkennbar. Aus zwei großen Versprechen wird so zwei Mal Risiko, und nicht ein gemeinsames Liefer-Versprechen.

💡 Die Deutschland-App ist nicht das Frontend, das den Stack erklärt. Sie ist ein Großprojekt on top.

BSI-Kriterien: Definition wird konkret

Am 27. April hat das BSI die Criteria enabling Cloud Computing Autonomy (C3A) veröffentlicht. Acht prüfbare Kriterien, anschlussfähig an das EU Cloud Sovereignty Framework, mit Fokus auf das, was das BSI „Cyber Dominance" nennt: den anhaltenden Hersteller-Zugriff auch nach formaler Datenresidenz. Das C3A ist komplementär zum bestehenden C5-Sicherheits-Katalog . Was C5 für Sicherheit definiert, leistet C3A für Autonomie.

Methodisch ist das die richtige Antwort auf die Beobachtung aus dem Januar-Rückblick: dass „Souveränität" als Begriff inflationär und ohne Norm ist. Mit C3A gibt es jetzt einen prüfbaren Maßstab, an dem sich Cloud-Angebote messen lassen müssen. Der Vergabeblog hat bereits darauf hingewiesen , dass C3A in Beschaffungsverfahren als Anforderung gesetzt werden kann.

Damit existieren jetzt parallel mindestens zwei deutsche Souveränitäts-Kataloge. C3A vom BSI ist enger zugeschnitten auf Cloud-Dienste. Die 20 Souveränitätskriterien des ZenDiS (Konsultation läuft noch bis 15. Mai) decken eine breitere IT-Architektur ab, mit Fokus auf Wechselbarkeit und Anbieter-Einflussmöglichkeit. Das ist kein Widerspruch. Es ist eine Schichtung: BSI für Cloud-Beschaffung, ZenDiS für Open-Source-Software-Auswahl, beide an unterschiedlichen Stellen anwendbar.

Was fehlt, ist die Praxis. Welche Ausschreibung im Mai oder Juni wird C3A erstmals als Pflicht ausweisen? Welche Behörde traut sich, einen Anbieter zu disqualifizieren, weil er die Kriterien nicht erfüllt? Definitions-Arbeit ist notwendig, aber sie ersetzt nicht die Vergabe-Praxis – Souveränität entscheidet sich in der Beschaffung, nicht in Erklärungen . Die nächste Stufe heißt: Kriterien in der echten Beschaffung benutzen.

Verschiebebahnhof Digitalhaushalt

Am 22. April hat der Bundestag den ersten Digital-Haushalt der Bundesrepublik beschlossen . 4,47 Milliarden Euro, in einem neuen Einzelplan 24, konsolidiert aus Mitteln, die vorher auf sechs verschiedene Häuser verteilt waren: Kanzleramt, BMI, BMJV, BMF, BMWK und BMVI. Davon entfallen rund 650 Millionen Euro auf Verwaltungsdigitalisierung, der größte Block geht in Breitband-Infrastruktur.

Das ist mehr Reform, als auf den ersten Blick aussieht. Mit BMDS, FITKO, ZenDiS und dem DigitalService gibt es jetzt einen Apparat, der die Zuständigkeit für Verwaltungs-IT bündelt. Aber Zuständigkeit ohne Geld ist halbe Macht. Der Konsolidierungs-Schritt ist deshalb notwendig, damit das BMDS mehr ist als ein Koordinations-Container ohne Hebel.

Genau deshalb ist die Bezeichnung Verschiebebahnhof zutreffend, aber nicht abwertend. Der politische Streit um die Verlagerung ist der eigentliche Punkt: Werden die alten Häuser wirklich Ihre finanzielle Mittel (und damit Macht) abgeben an das BMDS? Mit ihren Lieblings-Projekten, eigenen Anbieter-Beziehungen, Linien-Macht und Personalplanung? Oder bleibt das BMDS am Ende eine zusätzliche Schicht, ohne dass die Häuser ihre eigenen Digitalprojekte aus der Hand geben?

Die Legislaturperiode ist schon weit fortgeschritten. Wenn sich die Konsolidierung zu lange ziert, geht das Zeitfenster zu, in dem die Reform politisch durchsetzbar ist. Eine Bundes-Digital-Architektur, die nominal zentralisiert ist, faktisch aber weiterhin durch Hausherrschafts-Konflikte gebremst wird, leistet wenig.

Fazit

April hat die Vormonate vermessen. 652 Millionen Euro pro Jahr, ohne dass Bürger:innen es spüren. Eine Deutschland-App, die mehr Frontend ist als Lösung. Acht BSI-Kriterien, die jetzt Definitions-Lücken schließen. Ein Digital-Haushalt, der Macht zentralisieren will, aber den Streit erst auslöst.

An Diagnose mangelt es nicht. An echter Reform schon.

Hat Sie das Thema interessiert?

Dann schreiben Sie mir gerne eine kurze Nachricht.

Halbfertig, aber teuer. Februar 2026 im E-Government-Rückblick.

Sat, 28 Feb 2026 21:11:23 +0200

481 Millionen Euro hat der Bund 2025 für Microsoft-Lizenzen gezahlt – gegenüber 74 Millionen 2017 ein Anstieg um 550 Prozent in acht Jahren. Die Zahl wurde im Februar öffentlich, aufbereitet von OSB Alliance , nachgereicht in einer Antwort der Bundesregierung auf eine Kleine Anfrage der Grünen. Die Computerwoche schreibt von „digitaler Geiselhaft" , heise von „Microsoft Dependency" . Die Empörung ist groß.

Die Empörung ist auch alt. Die PwC-Studie für das BMI von 2019 hat das Abhängigkeitsproblem schon damals systematisch dokumentiert – mit klaren Handlungsoptionen. Der Bundesrechnungshof hat noch früher Open Source gefordert . Neu ist nicht der Befund. Neu ist, dass jetzt alle reagieren wollen – jeder für sich.

Wegbewegung von Microsoft. Jeder für sich.

Die Bewegung im Februar war auffällig:

Im Bundestag prüft eine Kommission unter Andrea Lindholz Microsoft-Alternativen, mit IT-Strategie bis Mai 2026 und ersten Pilotlösungen (Wire als Messenger, Delos als Cloud-Layer). Berlin hatte Mitte Januar eine Open-Source-Strategie verabschiedet – sieben Maßnahmen über sieben Jahre, ITDZ als Programm-Office. Sachsens neue CIO Daniela Dylakiewicz erklärt, dass Sachsen „gut daran tut, alternative Lösungen zu testen und einzusetzen". Aus dem Hochschulbereich kommt die Forderung, openDesk kostenfrei für Universitäten verfügbar zu machen.

Dass sich da etwas bewegt, ist gut. Wie es sich bewegt, ist das Problem.

Jeder geht das Thema für sich an. Bund, Länder, Kommunen, Hochschulen – jede:r mit eigenem Geld, eigenen Pilotprojekten, eigenen Zeitplänen. Erfahrungen werden nicht systematisch ausgetauscht. Eine Migration in Schleswig-Holstein hilft nur indirekt einer Migration in Sachsen-Anhalt, obwohl die Probleme zu 80 Prozent dieselben sind.

Eigentlich gäbe es einen Akteur, der genau dafür gegründet wurde: ZenDiS, das Zentrum für Digitale Souveränität. Aber ZenDiS ist zu spät dran, zu wenig sichtbar, und das Kernprodukt openDesk ist nach allem, was zu sehen ist, noch kein 1:1-Replacement für Microsoft 365. Das ist ein Problem, das sich technisch lösen lässt – aber nur, wenn es die nötigen Ressourcen und Reichweite bekommt.

Statt dass die nun anlaufenden Migrationsbewegungen in Bund und Ländern ZenDiS stärken, machen viele ihr eigenes Ding. Das ist nachvollziehbar – niemand wartet auf einen Träger, dessen Produkt noch nicht reif ist. Aber die Konsequenz ist absehbar: Am Ende haben alle halbfertige Lösungen. Halbfertig und teuer.

💡 Souveränität skaliert nicht über zerstreute Einzelmigrationen. Sie skaliert über einen Träger, dem alle das Mandat geben – und dem alle den Druck machen, schneller marktreif zu werden.

Mehr Organisationen statt mehr Wirksamkeit

Beim Deutschland-Stack hat der Februar zwei Bewegungen gebracht. Markus Richter (BMDS-Staatssekretär, vorher Bundes-CIO ) plant einen verbindlichen Deutschland-Stack plus ein neues „Digitalcenter". Karsten Wildberger umreißt im selben Monat eine „Deutschland-App" mit KI-Agenten , die BAföG-Anträge, Anmeldungen und Firmengründungen erledigen soll – Details für Sommer 2026 sind angekündigt.

Das Muster ist erkennbar: Statt bestehende Strukturen wirksamer zu machen oder einzelne abzulösen, wird eine neue Organisation hinzugefügt. Und parallel ein neues App-Versprechen kommuniziert. “On top” auf dem, was alles schon existiert-

Bei der Konsultation zum Deutschland-Stack – zweite Runde 16.01.–15.02.2026 – ist aus dem kommunalen Umfeld zu hören, die Beteiligung sei zu spät und zu schmal angesetzt gewesen. Das passt zu einem Muster, das im E-Government seit über 25 Jahren wiederkehrt: Die Kommunen, in denen die Verwaltungsleistungen am Ende ankommen, werden bei der Konzeption strukturell vergessen.

Beides muss man zusammen denken. „Alle mitnehmen" ist richtig – und im deutschen Föderalismus ohne Alternative. Aber „alle mitnehmen" heißt nicht, dass die Wünsche von allen in den D-Stack eingeschrieben werden. Sonst wird er der größte gemeinsame Nenner: Aber die Idee eines Stacks lebt davon, was er nicht enthält.

Verbindlichkeit ist methodisch ein richtiger Hebel. Aber sie funktioniert nur, wenn sie auf einer realistischen, fokussierten Architektur ruht – nicht auf einem aufgeblähten Wunsch-Sammelsurium. Sonst entsteht aus „verbindlich" entweder eine Compliance-Hürde, an der Behörden vorbei-improvisieren. Oder eine politische Sollbruchstelle, die niemand durchhalten will.

Shop für alles. Wettbewerb für wenige.

Parallel zum Stack läuft eine zweite Konsolidierungs-Bewegung: die Vereinheitlichung der IT-Beschaffungs-Marktplätze . Im März geht der Marktplatz Deutschland Digital in den Produktivbetrieb, betrieben von govdigital eG, mit Konsolidierung des FIT-Stores, des EfA-Marktplatzes und des Cloud-Service-Portals. Im Februar lief die Vorbereitung. Auch die Länder denken über eigene Marktplatzlösungen nach.

Auf den ersten Blick eine sinnvolle Bewegung: Findbarkeit für Verwaltungseinkäufer:innen verbessert sich, Anbietersuche wird effizienter. Auf den zweiten Blick steht da ein Problem.

Diese Marktplätze leben innerhalb eines komplexen Geflechts kommunaler und landeseigener IT-Dienstleister, Zweckverbände und gemeinsamer Beschaffungsorgane. Welche Verwaltungseinheit was beziehen darf, hängt nicht nur vom Ausschreibungsergebnis ab – sondern auch von Mitgliedschaften und Zugehörigkeiten. Über solche Konstrukte landet manch ein Rahmenvertrag faktisch im Inhouse-Direktzugriff, ohne dass es nach außen sichtbar wird.

Vereinheitlicht man jetzt die Shops, ohne diese strukturelle Logik anzufassen, verschiebt sich das Problem nicht – es zentralisiert sich. Wer im Geflecht ist, profitiert mehr. Wer nicht drin ist (mittelständische Open-Source-Anbieter, Startups, neue Markteinsteiger), ist von einem wachsenden Anteil öffentlicher IT-Beschaffung praktisch ausgeschlossen.

Wettbewerb sieht anders aus. Innovation bleibt auf der Strecke. Und Startups auch.

Fazit

An Bewegung mangelt es nicht. An Koordination schon. Und am Mut, eigene Pilotprojekte und neue Strukturen zugunsten gemeinsamer, bestehender, schneller wachsender aufzugeben. Das gilt im Microsoft-Exit, im Deutschland-Stack, in der Beschaffung – und es gilt seit mindestens 2019.

Hat Sie das Thema interessiert?

Dann schreiben Sie mir gerne eine kurze Nachricht.

Erst die Pressemitteilung, dann das Konzept. – September 2025 im E-Government-Rückblick.

Tue, 30 Sep 2025 20:17:15 +0200

September 2025 war ein Monat voller Startschüsse. Bundesdigitalminister Wildberger schickte seine Modernisierungsagenda in die Kabinettsklausur am Tegeler See. Bayern und Hessen wurden offiziell zu Pilotländern für Verwaltungsdigitalisierung. Und die Denkfabrik Agora Digitale Transformation legte eine Studie vor, die beschreibt, warum Bundesfördergelder digitale Projekte nicht nur nicht voranbringen, sondern manchmal aktiv blockieren.

Ankündigen geht schnell. Liefern braucht Strategie, klare Zuständigkeiten und jemanden, der Verantwortung übernimmt, wenn die Schlagzeile schon wieder woanders ist.

Wer am lautesten trommelt, wird Pilotland

Bundesdigitalminister Wildberger hatte im August angekündigt, bis Jahresende in „einigen Bundesländern" Pilotprojekte starten zu wollen. Die Länder hörten: Jetzt bewerben. Rheinland-Pfalz erklärte sich kurzerhand selbst zum „bundesweiten Pilotland für Verwaltungsdigitalisierung". Das BMDS dementierte, halb: Rheinland-Pfalz komme „zu einem späteren Zeitpunkt". Bayern trommelte lauter, bekam ebenfalls die Zusage. Ende der Woche stehen zwölf Pilotkommunen aus zwei unionsgeführten Ländern (Tagesspiegel Background, Paywall).

Das ist kein Versehen und keine Panne. Es ist ein Symptom: Wo Auswahlkriterien unklar bleiben, entscheiden Lautstärke und politische Nähe. Wo Erfolg zunehmend an Presseresonanz, Followerzahlen und Kommentaren gemessen wird, bewerben sich alle per Pressemitteilung. Wer früh im Newsletter steht, zieht nach. Wer zu leise ist, kommt „zu einem späteren Zeitpunkt".

Der Weg heraus ist nicht kompliziert: Klare Auswahlkriterien vorab, öffentlich nachlesbar. Wer als Pilotland infrage kommt, nach welchen Kriterien, und wann entschieden wird. Dann kann sich kein Land durch Medienarbeit vordrängeln. Die Auswahl wird anfechtbar, was gut ist. Unklare Prozesse erzeugen nicht weniger politischen Druck, sondern mehr. Wenn man die Kriterien vor der Kommunikation veröffentlicht, löst sich das Chaos von selbst.

Was Open Source wirklich zum Laufen bringt

September hatte zwei Open-Source-Meldungen, die zusammen mehr sagen als jede Grundsatzdebatte.

Das österreichische Bundesheer hat seine vollständige Migration von Microsoft Office auf LibreOffice abgeschlossen . Fünf Jahre, kein Rollback, rund 70.000 Nutzer, vom Stabsoffizier bis zur Verwaltungsstelle.

Gleichzeitig zeigt der Bitkom Open Source Monitor 2025 : 73 Prozent der deutschen Unternehmen nutzen Open Source, Höchststand. Aber 63 Prozent ohne Strategie. Größte Bremse: Fachkräftemangel. Dahinter: unklare Gewährleistungssituationen und Lizenzunsicherheiten.

Was macht den Unterschied beim Bundesheer? Strategie, ausreichend Geld und klare Ownership: Eine Stelle ist verantwortlich, nicht alle-und-keiner. Niemand kann sich hinter unklaren Zuständigkeiten verstecken. Wenn die Migration scheitert, scheitert sie mit Namen. Genau das fehlt in vielen deutschen Verwaltungsprojekten.

💡 73 Prozent Nutzung, 37 Prozent mit Strategie. Die Lücke ist nicht das Produkt. Sie ist die Entscheidung, wer die Verantwortung trägt.

Dass Bundesdigitalminister Wildberger Ende September die Schirmherrschaft für den Open Source Wettbewerb 2025 der OSBA übernahm, ist ein Signal. Was auf das Signal folgen müsste: eine konkrete Antwort auf die Frage, wer nach der Preisverleihung die Ownership für die Gewinnerprojekte übernimmt, damit sie nicht im Schrank enden.

Hebelprojekte statt Leuchttürme: Wortschatz oder Wende?

Im August 2025 veröffentlichte die Agora Digitale Transformation das Policy Paper „Strg+C" . Der Befund: Bundesförderprogramme setzen systematisch Anreize für Neuentwicklungen, nicht für Nachnutzung. Das Ergebnis sind Dutzende Digitalprojekte, die in ihrer Pilotkommune funktionieren, aber nicht skalieren. Inseln statt Infrastruktur. Leuchtturm statt Landschaft.

Zeitgleich kursiert in Berlin der Entwurf von Wildbergers Modernisierungsagenda, die das Kabinett bei seiner Klausur am Tegeler See verabschieden soll. Das Wort „Leuchtturmprojekte" taucht darin nicht mehr auf. Stattdessen: „Hebelprojekte". Das klingt besser.

Die entscheidende Frage ist, ob sich nur das Wort ändert oder auch die Auswahllogik. Ein Hebelprojekt mit denselben Förderkriterien wie ein Leuchtturmprojekt landet am gleichen Ort. Was „Hebelprojekt" strukturell bedeuten müsste: EfA-Kompatibilität als Zulassungsbedingung, nicht als Bonus. Nachnutzungspflicht von Anfang an. Und einen Betreiber, der nicht aufhört, wenn die Förderung endet.

Dass messbare Erfolgsindikatoren für Digitalpolitik weitgehend fehlen , hat Agora ebenfalls im September belegt. Ohne Messung, kein Hebel. Und ohne Hebel bleibt der Name das Einzige, was sich geändert hat.

Das wäre kein Gesetzesproblem. Das wäre ein Reihenfolge-Problem.

Fazit

September 2025 erzählte drei Geschichten mit derselben Diagnose. Pilotländer, die sich selbst ernennen, weil Auswahllogik fehlt. Open-Source-Projekte, die skalieren, wo Ownership klar ist. Förderprojekte, die versickern, weil niemand für Nachnutzung zuständig ist.

An Ankündigungen mangelt es nicht. An Verantwortung schon.

Das Bundesheer hat nach fünf Jahren gezeigt: Es geht. Zwölf neue Pilotkommunen haben jetzt die Chance, dasselbe zu beweisen. Vorausgesetzt, jemand ist für den Erfolg zuständig, wenn die nächste Pressemitteilung schon wieder woanders ist.

Hat Sie das Thema interessiert?

Wenn Sie für Ihr Digitalisierungsvorhaben gerade vor der Frage stehen, wie Ownership und Strategie realistisch verankert werden, damit es nicht im Schrank endet:

An Worten mangelt es nicht. An Kriterien schon. – E-Government im August 2025.

Sun, 31 Aug 2025 20:17:15 +0200

Im August hat das BMDS einen Zeitplan für den Deutschland-Stack vorgelegt: fünf Missionen, erste Ergebnisse bis Ende 2025, abgeschlossen 2028. Die OSB Alliance und 59 Mitunterzeichner haben einen offenen Brief an BSI-Präsidentin Claudia Plattner verschickt. Botschaft: Digitale Souveränität ist möglich, man müsse sie nur wollen. Und das Kabinett hat das Vergabebeschleunigungsgesetz beschlossen.

Drei starke Wörter dominierten den Sommer: „Souveränität." „Stack." „Beschleunigung." Alle drei haben dasselbe Problem: Sie kommen nicht in den Beschaffungskriterien an.

Wenn Begriffe nicht ankommen

„Digitale Souveränität" ist ein politisch nützliches Wort. Es schließt Debatten ab, ohne sie zu lösen. Denn sobald man fragt, was es in einer konkreten Ausschreibung bedeutet, also welche Anforderungen daraus folgen und welcher Anbieter damit qualifiziert oder nicht, schweigt der Begriff.

Das zeigt sich gerade an einem konkreten Beispiel: Hyperscaler-„Sovereign Cloud"-Angebote bieten keine echte Souveränität. Die strukturellen Abhängigkeiten von CLOUD Act, Drittstaaten-Jurisdiktion und Lizenz-Architektur bleiben bestehen. Trotzdem werden diese Produkte beschafft, weil niemand sagen kann, was „souverän genug" in einer Leistungsbeschreibung bedeutet.

Windows 10 läuft im Oktober 2025 aus. In Ländern, die rechtzeitig migrieren wollen, sind Fachverfahren das größte Hindernis. Anwendungen, die seit Jahren auf bestimmten Betriebssystem-Versionen festsitzen, weil niemand Exit-Kriterien in die ursprüngliche Beschaffung geschrieben hat. Das ist kein technisches Problem, das ist das Ergebnis von Beschaffungsentscheidungen ohne Ausstiegsplan.

Open Source trifft dasselbe Hindernis von der anderen Seite. Als Argument ist es zu technisch, um politisch verkaufbar zu sein. Die OSB Alliance zieht nach 100 Tagen Bundesregierung eine ernüchternde Bilanz : kein „Open Source by Default" im Vergaberecht, keine klare Priorität im D-Stack. Das Vergabebeschleunigungsgesetz enthält mehr Klauseln, aber nicht klarere Kriterien. Kommunen hatten das vor dem Beschluss deutlich gesagt (Tagesspiegel Background, Paywall).

Was fehlt, sind drei bis fünf konkrete Anforderungen, die in jede Leistungsbeschreibung passen: Offenlegung des Sourcecodes, Kontrolle über Hosting-Standort und Betreiber, Lizenz ohne Drittstaaten-Abhängigkeit, Weiterentwicklungsrecht. Das sind keine Wunschlisten. Das sind Entscheidungskriterien. Wer sie standardisiert und in Vergabeverfahren einbaut, macht aus dem Begriff eine Funktion.

Was konkret aussieht

Schleswig-Holstein hat im August angekündigt, X-Road für den behördeninternen Datenaustausch einzuführen. X-Road ist das estnische Datenaustausch-System, das Behörden direkt miteinander verbindet, ohne zentrale Plattform dazwischen. Estland nutzt es seit fast 25 Jahren, Finnland ebenfalls. Finnland steht aktuell auf Platz 1 im EU-Digitalranking . Deutschland weiter hinten.

Die Ankündigung aus Kiel hat keine große Pressekonferenz bekommen. Sie ist trotzdem präziser als alle Souveränitätsbeschlüsse des Monats zusammen.

Der Reflex, internationale Beispiele mit „das lässt sich nicht übertragen" abzublocken, stimmt und stimmt nicht. Die Frage ist nie „wie kopieren wir das?", sondern „welche Anforderung, welchen ersten Schritt können wir übersetzen?" Estland ist juristisch und strukturell anders aufgestellt. Aber die Entscheidung, Datenaustausch ohne zentrale Plattform-Abhängigkeit zu lösen, ist übertragbar. Schleswig-Holstein hat genau das entschieden.

Deutschland debattiert konzeptionell Ähnliches im NOOTS-Kontext seit Jahren. Schleswig-Holstein wartet nicht auf den bundesweiten Beschluss.

„Eine Behörde reicht. Wenn sie’s vormacht, kommt der Rest mit." Das ist kein Optimismus. Das ist Realismus.

D-Stack: Zeitplan ja, Klarheit nein

Der D-Stack-Zeitplan ist ein Fortschritt. Benannte Missionen, benannte Daten. Konkret genug, um daran gemessen zu werden.

Die Lücken sind bekannt. ZenDiS, die Einheit, die den Stack operativ bauen soll, bekommt 2,6 statt der geforderten 30 Millionen Euro . Das BMDS arbeitet an einem IT-Zustimmungsvorbehalt, der je nach Ausgestaltung 3,5 bis 12 Milliarden Euro Bundesausgaben erfassen könnte, ohne dass die Governance-Struktur dahinter steht (Tagesspiegel Background, Paywall).

Und dann ist da das GovStack-Paradox: Deutschland hat über das BMZ in den vergangenen Jahren einen Tech-Stack für 25 andere Länder entwickelt und exportiert. Für sich selbst baut es einen anderen. Das ist keine Kritik, aber es ist eine offene Frage. Wer anderen erklärt, wie ein guter Stack aussieht, sollte beantworten können, warum er selbst einen anderen braucht.

Geld und Zuständigkeit entscheiden, ob der D-Stack in zwei Jahren ein nutzbares Portfolio hat oder ein gut dokumentiertes Versprechen bleibt. Weder das eine noch das andere ist im August geklärt worden.

Fazit

August 2025 in einem Satz: An starken Begriffen mangelt es nicht. An Beschaffungskriterien schon. Und an Ländern, die einfach anfangen, auch.

Hat Sie das Thema interessiert?

Wenn Sie gerade vor der Frage stehen, was „digitale Souveränität" oder „Open Source" in Ihrer nächsten Ausschreibung konkret bedeuten soll, und niemand eine belastbare Antwort gibt: Ich helfe, das zu übersetzen. Ohne Agenda, ohne Folgegeschäft.

Zehn Jahre. Drei Gremien. Kein Durchgriff. Juli 2025 im E-Government-Rückblick.

Thu, 31 Jul 2025 20:17:15 +0200

Der Bundesrechnungshof hat dem Haushaltsausschuss des Bundestages Anfang Juli einen Bericht zur zentralen IT des Bundes (Tagesspiegel Background, Paywall) vorgelegt: zehn Jahre IT-Konsolidierung, drei parallele Gremien, Einstimmigkeitsprinzip in zwei davon, Parallelentwicklungen trotz Zentralstellenmandat. Gleichzeitig erscheint auf Golem eine nüchterne Analyse: Open Source hat im Bund keine Lobby . Und Microsoft sperrt das Konto eines LibreOffice-Entwicklers . Ohne Vorwarnung, ohne Erklärung.

Das neue Digitalministerium verwaltet unterdessen Haushaltsmittel für Registermodernisierung, EUDI-Wallet, Deutschland-ID. Und erbt eine Entscheidungsarchitektur, die Entscheidungen systematisch verlangsamt.

Klingt nach Handlungsdruck. Klingt aber auch nach einer Frage, die zu selten laut gestellt wird: Welches der geerbten Probleme kann Wildberger eigentlich lösen?

Eine Erbschaft, die niemand freiwillig angetreten hätte

Der Bundesrechnungshof-Bericht ist kein Skandal. Er ist die Dokumentation des Offensichtlichen. Das Einstimmigkeitsprinzip im IT-Rat und im Lenkungsausschuss IT-Konsolidierung lähmt Entscheidungen. Das CIO Board konnte sich nicht einigen, Haushaltsmittel für ein simples Planungstool bereitzustellen. Einzelbeschaffungen gehen weiter an der Zentralstelle IT-Beschaffung vorbei. Fast die Hälfte der Bundesbehörden erfüllt die Sicherheitsanforderungen für die Netze des Bundes nicht vollständig. Sanktionsmöglichkeiten: keine.

Das alles übergibt die Bundesregierung nun an das BMDS. Auftrag laut BMI und BMF: eine „Neujustierung der IT-Steuerung mit Durchgriffsrechten" vornehmen. Was klingt wie Ermächtigung, ist in Wirklichkeit die Umschreibung einer offenen Rechnung, die zehn Jahre kein Haus bezahlen wollte.

Für Wildberger ergibt sich daraus ein klares Bild: Hier gibt es keinen schnellen Erfolg zu holen. IT-Konsolidierung ist Verwaltungspolitik auf Sicht, kein Gewinnerthema für ein neues Ministerium in seiner ersten Legislatur. Wer das zum Leuchtturmprojekt erklärt, läuft in eine strukturelle Falle.

Der eigentliche Hebel liegt nicht in einem weiteren Reorganisationserlass. Er liegt in einer schlichten Änderung der Gremien-Geschäftsordnungen: weg vom Einstimmigkeitsprinzip, hin zu qualifizierten Mehrheitsentscheidungen. Das wäre kein Gesetzesproblem, das wäre ein Reihenfolge-Problem. Und es wäre der erste Schritt, den man in dieser Legislatur tatsächlich sehen könnte.

Open Source braucht keine Lobby. Sondern Beschaffungsentscheidungen.

Die Golem-Analyse zur fehlenden Lobby ist ehrlich. Aber sie trifft die falsche Stelle.

Open Source hat im Bund keine strukturelle Verankerung in der Beschaffung. Nicht in den Ausschreibungsvorlagen, nicht als Muss-Kriterium, nicht in den Bewertungsmatrizen. Solange Open Source als Option behandelt wird statt als Anforderung, wird die Lobby-Frage nie beantwortet sein.

Der Microsoft-Vorfall mit dem LibreOffice-Entwickler erzählt das in einem Bild: Jemand, der aktiv an der Open-Source-Alternative zu Microsoft Office arbeitet, verliert seinen Infrastrukturzugang bei Microsoft. Ohne Vorwarnung. Das ist kein Datenschutzproblem. Das ist eine Infrastrukturabhängigkeit, die niemand bewusst gewählt hat, weil niemand bis zu diesem Punkt gefragt hat: Auf wessen Infrastruktur laufen eigentlich unsere Alternativen?

Die Delos Cloud ist das aktuell anschaulichste Beispiel für diese Spannung. Hessen steht als erster Interessent bereit, die ersten Azure Foundational Services sollen im dritten Quartal 2025 verfügbar sein (Tagesspiegel Background, Paywall), Office 365 Ende des Jahres. Aber die Rechenzentren gehören noch Microsoft. Der Eigentumsübergang ist für 2026 geplant. Das ist kein Einwand gegen Delos, es ist eine Erinnerung daran, wie lang der Weg noch ist, wenn man Souveränität in Infrastruktur-Eigentum messen will.

💡 ZenDiS ist das richtige institutionelle Instrument für Open Source in der Verwaltung. Aber ohne Beschaffungsrichtlinien, die Open Source priorisieren statt optionalisieren, und ohne politischen Rückenwind, der sich in Haushaltsmitteln ausdrückt, bleibt es eine gut gemeinte Initiative ohne Skalierungslogik.

Geld für Register, Komplexität im System

Der Kabinettsentwurf für den Bundeshaushalt 2026 (Tagesspiegel Background, Paywall) sieht 194 Millionen Euro für die Registermodernisierung vor, dazu über 250 Millionen für die Deutschland-ID und 162 Millionen für die EUDI-Wallet. Das Geld ist da.

Eine Golem-Analyse zur Registermodernisierung zeigt die Lücke: Schneller Start beim Umzug in ein neues Bundesland? Theoretisch ja. Praktisch entstehen neue Komplexitäten, sobald die EU-Sicherheitsarchitektur zwischen den beteiligten Registern ins Spiel kommt. Das bekannte Muster: Warum muss ich dem Staat Daten geben, die er schon hat? Die Antwort liegt nicht in mehr Haushaltsmitteln, die sind vorhanden. Sie liegt in der Bereitschaft, Registerführungskompetenzen zu entflechten, statt technische Schichten über bestehende Strukturen zu bauen.

Daneben: Die „Initiative für einen handlungsfähigen Staat" unter Schirmherrschaft von Bundespräsident Steinmeier legt im Juli einen 160-seitigen Abschlussbericht mit 35 Forderungen vor. Experimentierklauseln, Zuständigkeitsentflechtung, zentrale Dienstleistungsplattformen. Zehn Jahre Horizont. Gut diagnostiziert. Aber ohne konkreten ersten Schritt bleibt auch der beste Bericht Papier.

Fazit

Juli 2025 in zwei Sätzen: Das BMDS erbt Baustellen, keine Blaupausen. Wer im Herbst über Wildberger urteilen will, sollte nicht fragen, was er plant, sondern welche seiner Erbschaften er als erstes ablegt.

Hat Sie das Thema interessiert?

Wenn bei Ihnen IT-Vorhaben stocken, weil die Entscheidungsarchitektur im Weg steht, oder wenn Sie abwägen, ob Open Source eine realistische Option für Ihre nächste Beschaffung ist: Ich denke gerne mit, ohne Angebot, ohne Agenda.

Das Gegenbeispiel kommt aus Nürnberg. Juni 2025 im E-Government-Rückblick.

Mon, 30 Jun 2025 20:00:00 +0200

Das Bundesministerium für Digitales und Staatsmodernisierung startete seine ersten Wochen mit einem Kabinettsrang vor dem Verkehrsministerium, einem geliehenen Autohaus-Showroom als Besprechungsraum und drei Diensthandys für Staatssekretär Markus Richter – je eines aus dem Innen-, Verkehrs- und Finanzministerium. Mitte Juni veröffentlichte das Haus ein erstes Organigramm (Tagesspiegel Background, Paywall): „Version 0.1", so Richter intern, „eine Version, die uns zunächst Orientierung bietet." Kein eigener Etat für 2025, rund 500 Mitarbeitende formal noch bei ihren Herkunftshäusern. Gleichzeitig reservierte der Haushaltsentwurf 2025 1,6 Milliarden Euro aus dem Sondervermögen Infrastruktur für zentrale Digitalprojekte: 263 Millionen für die Registermodernisierung, 243 Millionen für das Bürgerkonto, 131 Millionen für die EUDI-Wallet.

Wer in diesem Monat mit konkreter Verwaltungsdigitalisierung überraschte, saß nicht in der Englischen Straße 30 in Berlin-Charlottenburg.

Struktur kommt zuletzt

Ein Ministerium aus sechs Vorläufern zusammenzuziehen ist kein bürokratischer Routinevorgang. Das BMDS war im Juni nicht einmal fertig beschriftet – am Eingang begrüßte die Plakette des Bundesinnenministeriums. Trotzdem produzierte das Haus innerhalb der ersten Wochen zwei Gesetze: das NOOTS-Gesetz , das die rechtliche Grundlage für behördenübergreifenden Datenaustausch legt, und das Glasfaserprivileg , mit dem der Breitbandausbau ins „überragende öffentliche Interesse" gehoben und damit Genehmigungsverfahren beschleunigt werden. Das ist politischer Produktionsbetrieb unter Baustellenbedingungen. Und es zeigt, was geht, wenn der politische Wille da ist.

Was das Organigramm darüber hinaus sichtbar macht: Der Deutschland-Stack bekommt eine eigene Abteilung, mit zwei Unterabteilungen für staatliche Infrastruktur und digitale Dienste. Organisatorisch mehr als eine symbolische Geste. Die Frage, ob dieser Stack eine echte Architekturentscheidung wird oder ein weiteres Sammelbecken für bestehende Initiativen, ließ sich im Juni noch nicht beantworten – das Team sollte bis Ende des Monats die Weichen stellen, ein ambitionierter Zeitplan für ein Vorhaben, das Bund, Länder und Kommunen verbinden soll.

Der eigentliche Hebel des Digitalministeriums liegt woanders: im Zustimmungsvorbehalt über IT-Ausgaben der Bundesverwaltung . Wenn das BMDS dieses Instrument konsequent nutzt, als echtes Entscheidungsfilter und nicht als weitere Koordinationsebene, entscheidet sich dort, ob der Stack eine technische Plattform wird oder ein politisches Label. Welche laufenden IT-Projekte werden auf Stack-Kompatibilität geprüft? Welche Ausschreibungen kommen nicht durch? Das sind die Fragen, die im Herbst Antworten brauchen.

Den Kontext dafür liefert der Markt selbst: Microsofts Ausgaben des Bundes für Softwarelizenzen sind 2024 deutlich gestiegen – Digitalisierung kostet zunächst mehr, nicht weniger, das ist ehrlich. Problematisch wird es, wenn die höheren Ausgaben in tiefere Abhängigkeit fließen, statt in Wahlfreiheit. Microsoft umwarb im Juni europäische Kunden aktiv mit seiner Sovereign-Cloud-Architektur . Deutschland und Frankreich vereinbarten höheres Tempo beim Aufbau europäischer Cloud-Plattformen . Beides zeigt, wohin sich die Debatte bewegt. Was noch fehlt: ein klares Signal des BMDS, welche Standards ein „souveräner" IT-Einkauf des Bundes künftig erfüllen muss – konkret, nicht als Grundsatzpapier.

Was die BA gerade macht

Während das Ministerium seine Organigramm-Version 0.1 kursieren ließ, gab BA-Chefin Andrea Nahles ein Interview über Multi-Cloud, Once-Only und Aleph Alpha (Tagesspiegel Background, Paywall), das im Fachkreis wenig Aufsehen erzeugte – das aber zeigt, wie Verwaltungsmodernisierung aussieht, wenn man sie operativ ernst nimmt.

Die Bundesagentur für Arbeit betreibt seit April einen Cloud-Broker-Rahmenvertrag über den sieben Anbieter abrufbar sind: amerikanische Hyperscaler und europäische Alternativen, ohne Abnahmeverpflichtung, ohne Mono-Strategie. Die zentralen Auszahlungssysteme ziehen 2025 in die SAP-Cloud-Umgebung. Nahles’ Begründung: Rechenzentrumskapazitäten freiräumen, um KI-Anwendungen mit sensiblen Daten weiterhin im eigenen Haus betreiben zu können. Das ist keine Widerspruch-Logik, das ist Architekturdisziplin: Cloudnutzung dort, wo es sinnvoll ist, Eigenregie dort, wo es darauf ankommt.

Beim Once-Only-Prinzip ist die BA als Pilotbehörde konkret unterwegs: Datenaustausch mit dem Bundeszentralamt für Steuern, Anbindung an das Bremer Datenschutzcockpit, vorausgefüllte Anträge. Nicht als Konzeptpapier, sondern als laufende Implementierung. Bremen hatte im selben Monat gezeigt, was Once-Only technisch voraussetzt (Tagesspiegel Background, Paywall): aufgeräumte Datenbestände. Wer seine Register nicht kennt, kann sie nicht teilen. Die BA kennt sie.

💡 Der Unterschied zwischen „wir arbeiten an Once-Only" und „wir tun Once-Only" ist ein aufgeräumtes Datenmodell. Wer da noch nicht angefangen hat, sollte nicht auf den Stack warten.

Und dann ist da noch die KI-Entscheidung. Die BA hat 2024 einen Rahmenvertrag über 19 Millionen Euro mit Aleph Alpha abgeschlossen, entwickelt gemeinsam einen internen Wissens-Assistenten namens „Bakira" und hat laut Nahles 21 KI-Anwendungsfälle aktiv, bis Ende 2025 sollen es über 30 sein. Was hier funktioniert, hat einen strukturellen Grund: Die BA verfügt über einen eigenen Technologie-Stack, der diese Integrationen trägt. Und sie hat eine Führung, die KI nicht als Kommunikationsbotschaft, sondern als Infrastrukturkomponente begreift.

Das ist kein Anlass zur Übertragung eins zu eins. Die BA ist ein Einzelakteur mit klaren Zuständigkeiten, eigenem Haushalt und einem internen IT-Dienstleister. Föderale Verwaltungsdigitalisierung ist strukturell anders. Aber das Muster ist übersetzbar: Erst die Datengrundlage, dann der Datenaustausch. Erst ein Anwendungsfall liefern, dann den nächsten bauen. Wenn eine Behörde es vormacht, kommen andere mit, schneller als es jede Bundesvereinbarung erzwingen könnte.

Fazit

Juni 2025: Das Digitalministerium entsteht. Der Deutschland-Stack bekommt eine Heimat im Organigramm. Die Milliarden aus dem Sondervermögen sind reserviert. Was noch fehlt, hat die BA schon: ein Architekturverständnis, das entscheidet, was reingehört und was nicht, und die Bereitschaft, mit einem konkreten ersten Schritt anzufangen.

Neue Zuständigkeit ist kein neues Ergebnis. Der erste echte Test für das BMDS wird nicht die nächste Agenda-Veröffentlichung sein, sondern die erste IT-Ausgabe einer Bundesbehörde, die es ablehnt.

Hat Sie das Thema interessiert?

Sie bauen gerade eine Cloud- oder Datenstrategie in der Verwaltung und fragen sich, wo der vernünftige erste Schritt sitzt? Oder Sie stehen vor der Frage, welche Voraussetzungen Once-Only in Ihrer Behörde braucht, bevor der Stack kommt? Schreiben Sie mich an – ich denke mit, ohne mitzuverkaufen.

Das Versprechen und die Entlassung. April 2025 im E-Government-Rückblick.

Wed, 30 Apr 2025 20:00:00 +0200

Am 9. April 2025 präsentierten CDU, CSU und SPD ihren Koalitionsvertrag . 144 Seiten, Titel: „Verantwortung für Deutschland." Digitale Souveränität steht weit vorne. Open Source soll mit „ambitionierten Zielen" vorangebracht werden. Das Zentrum für Digitale Souveränität (ZenDiS) wird namentlich als Träger genannt, ebenso wie die Sovereign Tech Agency und SPRIND . Am selben Tag beschloss das Bundesinnenministerium, ZenDiS-Geschäftsführerin Jutta Horstmann abzuberufen.

Das ist keine schlechte Koordination. Das ist die Diagnose.

Ambitionierte Ziele, vakante Strategie

Was der Koalitionsvertrag zu Open Source sagt, ist inhaltlich das Richtige: offene Schnittstellen, offene Standards, das IT-Budget strategisch ausrichten. Was fehlt, ist die Verbindlichkeit. Das von der SPD angestrebte 50-Prozent-Ziel für Open Source in der Beschaffung blieb draußen. Ein Digitalbudget fehlt ebenso. Alle Vorhaben stehen unter Finanzierungsvorbehalt. „Ambitionierte Ziele" ist eine Formel, die man ohne Konsequenzen stehen lassen kann.

Horstmann war dabei nicht irgendeine Managerin. Die Linux-Expertin und Politikwissenschaftlerin hatte das ZenDiS seit Oktober 2024 strategisch aufgestellt, Kooperationen mit Frankreich und den Niederlanden aufgebaut und openDesk als Plattform sichtbar gemacht. Das BMI begründete ihre Abberufung lapidar mit der „Bündelung von Prozessen und Kompetenzen." Die Formulierung erklärt nichts. Was bleibt, ist die von netzpolitik.org beschriebene Sorge , dass das ZenDiS zur Vertriebsorganisation wird: Produkte in die Breite bringen, Umsatz erzielen, die strategische Open-Source-Mission auf der Strecke lassen.

Das Muster ist nicht neu. Deutschland gründet Institutionen für digitale Souveränität, stattet sie mit Mandat und Sichtbarkeit aus und löst dann die Personalentscheidungen davon ab, wer das Mandat eigentlich trägt. Der IT-Planungsrat hat das ZenDiS 2021 erdacht, weil die Abhängigkeit der öffentlichen Verwaltung von US-Tech-Konzernen Informationssicherheit und Innovationsfähigkeit gefährdet. Ob das ZenDiS dieses Mandat unter neuer Führung noch verkörpert, ist offen.

Was würde helfen? Das geplante Digitalministerium könnte die strategische Rolle des ZenDiS verbindlich machen: konkrete Open-Source-Anteile im IT-Budget, Reporting-Pflichten, und die Einbindung der Bundesländer als Mitgesellschafter, die das BMI seit drei Jahren verschleppt . Ambitionierte Ziele brauchen Träger. Wer den Träger schwächt, schwächt das Ziel.

💡 Das 50-Prozent-Ziel wäre gar nicht nötig gewesen. Ein klares Anteilsziel von 20 Prozent für Open Source bei Bundesbeschaffungen, verbindlich und reportingpflichtig, hätte mehr Wirkung als jede Sonntagsformel.

Was trotzdem geliefert wird

Das ZenDiS selbst lieferte im April einen konkreten Beleg: openDesk kommt zur Bundeswehr . Die MS-Office-Alternative wird künftig in den deutschen Streitkräften eingesetzt. Kein Pilotprojekt, kein Memorandum. Ein geschlossener Vertrag. Open Source im Sicherheitsbereich, mit echten Anforderungen an Verfügbarkeit und Datenschutz. Das ist der Beweis, dass das Betriebsmodell funktioniert, auch wenn das Strategiekapitel gerade vakant ist.

Gleichzeitig erzeugt Donald Trumps Handelskrieg einen Marktdruck, den keine Kampagne hätte besser herbeireden können. Europäische Software-Anbieter melden deutlich gestiegene Anfragen . Die Abhängigkeit von US-Clouds ist nicht mehr akademisch: Das Bundesinnenministerium warnte im April explizit davor, dass ein Kollaps des EU-US Data Privacy Frameworks den Einsatz amerikanischer Cloud-Dienste für die Verwaltung faktisch unmöglich machen würde.

Das öffnet ein Fenster. Die Frage ist, ob die Verwaltung vorbereitet ist, es zu nutzen. Die Antwort aus der Praxis ist ernüchternd: Die Kosten für Clouddienste beim Bund werden laut einer Golem-Analyse massiv unterschätzt , weil Betriebskosten, Skalierungseffekte und Migrationsaufwände im Beschaffungsmodell kaum abgebildet sind. Wer jetzt in Alternativen investieren will, braucht zuerst einen realistischen Blick darauf, was der Status quo eigentlich kostet.

Bei der Registermodernisierung ist derweil eine pragmatische Idee in Bewegung: Cloud-Register. Die FITKO arbeitet an einem Konzept, das die dezentrale Registerlandschaft grundlegend verändern soll. Tausende Kommunen führen heute ihre Register lokal, viele auf eigenen Servern mit eingeschränkten Betriebszeiten. Der Koalitionsvertrag will Bundesregister auf „souveränen Cloud-Plattformen" zentralisieren. Welche Plattformen das sein sollen und was „souverän" in diesem Kontext konkret bedeutet: offen. Aber die Richtung stimmt. Und das NOOTS-System, das Register miteinander vernetzen soll, braucht genau diese Infrastruktur-Vereinheitlichung als Voraussetzung.

Das Ministerium und das Wimmelbild

Ende April wurde bekannt, was viele überrascht hat: Karsten Wildberger , bisheriger CEO von MediaMarktSaturn, soll erster Bundesdigitalminister werden. Kein Public-Administration-Hintergrund, kein explizites Open-Source-Profil, dafür Erfahrung in der Digitaltransformation eines komplexen Handelsunternehmens mit Filialnetz, Legacy-IT und Personaldruck.

Ob das reicht, ist die falsche Frage. Die richtige: Mit welchem Unterbau startet das Ministerium? Der Bitkom hat ein Papier vorgelegt, das eine koordinierende Einheit vorschlägt, die ZenDiS, Zentralstelle IT-Beschaffung, Digital Service und andere als „Spinne im Netz" zusammenführt. Das Prinzip klingt vernünftig. Die Gefahr ist dieselbe, die sich bei jedem neuen Koordinationsmechanismus in der föderalen IT zeigt: ein weiterer Layer, der das Wimmelbild unübersichtlicher macht, statt es zu vereinfachen. Der Bitkom formuliert das selbst: Die neue Einheit dürfe „das Wimmelbild nicht unübersichtlicher machen." Dass man das explizit hinschreiben muss, sagt alles über das Ausgangsproblem.

Der erste sichtbare Beweis für ein funktionierendes Digitalministerium wäre deshalb kein neues Konzeptpapier. Er wäre die Benennung dessen, was künftig nicht mehr parallel weiterläuft. Welche Förderlinien auslaufen. Welche Institutionen zusammengehen. Welche Verträge nicht verlängert werden. Reduktion ist die Funktion, nicht die Schwäche.

Fazit

April 2025 in zwei Sätzen: Der Koalitionsvertrag hat Open Source zur Staatsaufgabe erklärt. Das BMI hat am selben Tag die Person entlassen, die dafür am besten qualifiziert war.

An Absichtserklärungen mangelt es nicht. An messbaren Zielen, institutioneller Kontinuität und dem Mut zur Reduktion schon.

Hat Sie das Thema interessiert?

Wenn Sie gerade vor der Frage stehen, was „digitale Souveränität" in Ihrer Behörde oder Ihrem Projekt konkret bedeutet und welche ersten Schritte realistisch sind: Schreiben Sie mir. Ich denke mit, ohne mitzuverkaufen.

500 Milliarden, 0,5 Prozent. März 2025 im E-Government-Rückblick.

Mon, 31 Mar 2025 20:00:00 +0200

Am 12. März startete die Deutsche Verwaltungscloud (DVC) in den Produktivbetrieb . Ina-Maria Ulbrich, Vorsitzende des IT-Planungsrats, sprach von einem „Meilenstein für die digitale Souveränität". In den Koalitionsverhandlungen zwischen CDU/CSU und SPD kursierte zeitgleich ein Zwischenstand der AG Digitales , der Deutschland-Stack, Once-Only und eine mögliche „Deutsche Digitalservice Einheit" skizzierte – und beim Thema Open Source eine auffällige Leerstelle hinterließ. Der Bundestag verabschiedete außerdem mit der alten Mehrheit das Sondervermögen Infrastruktur über 500 Milliarden Euro. Digitalisierung soll einen Teil davon bekommen. Wie viel: offen.

März 2025 ist der Monat vor dem Neustart. Was er zeigt, ist lehrreich.

Die DVC ist live. Die Frage bleibt offen.

Der Produktivstart der Deutschen Verwaltungscloud ist tatsächlich ein Fortschritt. Vier Jahre nach dem Beschluss des IT-Planungsrats zur Stärkung der digitalen Souveränität steht ein Marktplatz für Cloud-Dienste, über den Bund, Länder und Kommunen Angebote verschiedener Anbieter flexibel abrufen können sollen. Das ist keine Selbstverständlichkeit im föderalen Betrieb. Ein funktionierender Marktplatz, der Anbieterwechsel strukturell ermöglicht, ist genau das Instrument, das verhindert, dass eine Cloud-Entscheidung zur Einbahnstraße wird.

Die offene Frage, die der Start nicht beantwortet: Was ist hier eigentlich souverän? Netzpolitik hat sie gestellt und die Antwort der Bundesregierung analysiert. Die IT-Planungsrats-Definition von „Souveränität" schließt Vendor-Lock-in-Vermeidung explizit nicht ein. Eine Exit-Strategie gilt als Kann-Bedingung, nicht als Muss. Und die Integration proprietärer Angebote, etwa über sogenannte Integratoren, die Microsoft-Dienste nach DVC-Standards konfigurieren, ist ausdrücklich vorgesehen.

Das ist das bekannte Muster: Man nennt einen Rahmen souverän, weil er technisch in Deutschland betrieben wird – nicht, weil man ihn verlassen könnte. Die Delos-Cloud-Debatte der Vorjahre zeigt, wohin das führt: Microsoft bleibt, der Standort wechselt. Das ist kein Souveränitätsgewinn, das ist ein Repositionierungsgewinn für Anbieter, die das Narrativ übernehmen.

Der Weg wäre ein anderer: Die DVC-Finanzierungsentscheidung, die der IT-Planungsrat im März in Hannover traf, hätte der richtige Moment gewesen, Souveränität als Vertragsanforderung zu verankern – mit konkreten Interoperabilitätsstandards, die Open-Source-Basis voraussetzen, und einer Exit-Strategie, die als Mindestanforderung gilt, nicht als Bonus. Schleswig-Holstein hat diesen Anspruch bereits formuliert : Wer keine Exit-Option hat, hat keine Souveränität. Das ist kein Purismus, das ist Beschaffungshygiene.

0,5 Prozent – und 50 sollen es werden

Das andere Bild des März stammt aus den Koalitionsverhandlungen. Die OSB Alliance analysiert den Zwischenstand der AG Digitales und benennt, was zwischen den Zeilen steht: Der Open-Source-Anteil an den Bundesausgaben für Software-Entwicklung und Dienstleistungen lag in der vergangenen Legislaturperiode bei etwa 0,5 Prozent des Gesamthaushalts. Die SPD will diesen Anteil bis 2029 auf 50 Prozent heben. Die CDU will „ambitionierte Zielmarken definieren". Das klingt nach einer inhaltlichen Differenz. Es ist eine kategoriale: eine Seite beschreibt eine Marke, die andere beschreibt einen Prozess.

Zum Kontext: Der Bund hat Rahmenverträge über 4,8 Milliarden Euro mit Oracle abgeschlossen. Für Microsoft-Lizenzen und Schulungen wurden 1,3 Milliarden Euro vertraglich gebunden. Das ZenDiS-Budget, das genau die Open-Source-Alternative aufbauen soll, wurde im Haushalt 2024 von knapp 50 Millionen Euro auf 24,7 Millionen Euro halbiert. Wer in dieser Ausgangslage nur „Zielmarken definieren" will, ohne Institutionen, Budgets und Zeitrahmen zu benennen, beschreibt keine Digitalpolitik, er beschreibt eine Absichtserklärung.

Was fehlt, ist das, was die DMK in ihrer Sondersitzung Ende März als Kernbedingung formuliert (Tagesspiegel Background, Paywall): ein zentrales Digitalbudget mit echten Durchgriffsrechten. Nicht als Schönheitsoperation für das Organigramm, sondern als haushaltliche Steuerungsfunktion. Wer das IT-Budget der Bundesverwaltung nicht genehmigen muss, kann den Open-Source-Anteil nicht steuern. Das ist kein Politikproblem, das ist ein Mechanikproblem.

💡 Der Unterschied zwischen 0,5 und 50 Prozent lässt sich nicht durch Zielmarken schließen. Er lässt sich durch Rahmenvertragslogik schließen: Wer die nächsten Bundesrahmenverträge schreibt, entscheidet über die Ausgangslage in vier Jahren.

Das wäre kein Gesetzgebungsproblem. Das wäre eine Beschaffungsentscheidung, die ein Digitalministerium mit Digitalbudget treffen kann – wenn es den Willen dazu hat und die Mandat-Klarheit bekommt, die im März noch nicht existierte. Die Agora Digitale Transformation hatte in einem gleichzeitig erschienenen Papier genau das gefordert: eine Digitalagentur als operativer Arm, der Rahmenverträge steuert, nicht nur Konzepte schreibt.

Fazit

März 2025: Die DVC lebt, das Sondervermögen ist beschlossen, die Koalitionspositionen liegen auf dem Tisch. Und Souveränität bleibt das, was sie in Deutschland oft ist: ein Begriff, über den man sich einig ist, bevor man klärt, was er konkret bedeutet.

Die nächsten Wochen entscheiden, ob das Digitalministerium als echtes Steuerungsinstrument in den Koalitionsvertrag kommt oder als Schaufenster. Der Unterschied liegt nicht im Namen, er liegt im Budget.

Hat Sie das Thema interessiert?

Sie stehen vor einer Beschaffungsentscheidung, bei der die Frage „proprietär oder offen" mehr als eine Grundsatzfrage ist – und suchen jemanden, der die Konsequenzen in beide Richtungen kennt? Schreiben Sie mich an!

Souveränität für 15 Prozent Aufschlag. Februar 2025 im E-Government-Rückblick.

Fri, 28 Feb 2025 20:00:00 +0100

Am 23. Februar 2025 wählt Deutschland einen neuen Bundestag. CDU/CSU gewinnt, Friedrich Merz wird designierter Kanzler. Ein eigenständiges Digitalministerium gilt als sicher, die Besetzung ist noch offen. Ebenfalls im Februar: Deutschland hat 2024 mehr Geld an Microsoft gezahlt als je zuvor , über 200 Millionen Euro. Und SAP-Tochter Delos Cloud veröffentlicht ihre Preisliste für die „souveräne" Microsoft-Cloud für die Verwaltung: 15 Prozent Aufschlag auf den deutschen Standardpreis.

Das ist kein Fortschritt beim Thema Abhängigkeit. Das ist Abhängigkeit mit neuem Preisschild.

Der 15-Prozent-Irrtum

Die Idee hinter Delos klingt vernünftig: Microsoft-Produkte aus deutschen Rechenzentren, betrieben von SAP, geprüft vom BSI, rechtlich abgesichert gegen US-Zugriff. SAP-Vorstand Thomas Saueressig spricht von einer „digitalen Festung", Delos-CEO Nikolaus Hagl verspricht, dass die Cloud im Krisenfall „völlig autark weiterläuft". (Tagesspiegel Background, Paywall)

Was das Modell nicht beantwortet: Wer am Ende den Code schreibt, die Roadmap bestimmt und entscheidet, welche Features geliefert werden. Die Antwort ist dieselbe wie bisher: Microsoft. Delos kauft die Technologie ab und betreibt sie. Das ist ein operativer Fortschritt für den Fall einer akuten Krise, aber kein Ausstieg aus der strukturellen Abhängigkeit.

Neue Funktion. Gleicher Hersteller. Einige Monate autarker Betrieb im Krisenfall. Das ist der Wert des Modells. Und der 15-Prozent-Aufschlag ist der Preis dafür. Wer das für digitale Souveränität hält, verwechselt Notfallbetrieb mit Unabhängigkeit.

Dabei ist das Problem nicht neu. Eine PwC-Studie aus dem Jahr 2019 stellte schon damals fest, dass die Bundesverwaltung an vielen Stellen Standard-Produkte kommerzieller Anbieter einsetzt und dabei Abhängigkeiten entstehen, die Informationssicherheit und Flexibilität gefährden. Das Fazit war damals schon klar. Die Zahlen von 2024 zeigen: Es ist seitdem nicht besser, sondern teurer geworden.

Der Pfad aus dieser Situation führt nicht über einen günstigeren oder souveräner verpackten Microsoft-Vertrag. Er führt über andere Beschaffungsentscheidungen bei neuen Projekten. Wer heute ein neues Fachverfahren, eine neue Plattform oder eine neue Infrastrukturkomponente beschafft, hat die Wahl. Wenn die Antwort immer wieder proprietäre Software lautet, liegt das seltener am Vergaberecht und häufiger daran, dass die Ausschreibungskriterien diese Wahl nicht konsequent öffnen.

Was die Praxis liefert

Genau hier setzt ein Papier an, das im Februar wenig Aufmerksamkeit bekommen hat, aber operativ relevant ist: Die Open Source Business Alliance hat am 11. Februar Vergabekriterien für eine nachhaltige Beschaffung von Open Source Software veröffentlicht.

Das Dokument adressiert ein echtes Problem: Öffentliche Auftraggeber, die OSS beschaffen wollen, geraten regelmäßig in eine Dumpingfalle. Das günstigste Angebot gewinnt, aber es stammt oft von Anbietern, die die Software weder entwickeln noch langfristig pflegen. Das Geld fließt nicht an die Community zurück, die Entwicklung stagniert, die Sicherheit leidet. Und am Ende heißt es: „Open Source hat nicht funktioniert."

Das Papier zeigt, wie Vergabekriterien jenseits des Preises gesetzt werden können, um genau das zu verhindern: Qualifikationsanforderungen an Anbieter, Nachweise über Beiträge zur Community, Anforderungen an Wartung und Weiterentwicklung. Das ist kein Manifest. Das ist eine Checkliste für den Einkauf.

💡 Wer diese Kriterien in Ausschreibungen einbaut, trifft keine Grundsatzentscheidung für Open Source. Er stellt sicher, dass das, was er beschafft, auch hält, was es verspricht.

Parallel gewinnt die Diskussion um einen europäischen Technologie-Stack an Kontur. Die Idee: Statt US-Hyperscaler oder kostspieliger nationaler Wrappers eine koordinierte europäische Antwort auf Cloud, KI-Infrastruktur und Basisdienste. Ob das konkret wird, hängt von politischen Entscheidungen ab, die noch nicht getroffen sind. Aber die Richtung stimmt, und sie ist kein Gegensatz zu kurzfristigen Maßnahmen wie Delos, sondern deren sinnvolle Ergänzung.

Nach der Wahl, vor den Entscheidungen

Die OSB Alliance-Analyse der Wahlprogramme ist ein nüchternes Dokument. Ihr wichtigster Satz steht beim CDU/CSU-Kapitel: Open Source Software wird im Wahlprogramm der CDU/CSU an keiner Stelle erwähnt. Bei der SPD ebenfalls nicht.

Die Partei, die die neue Regierung führen wird, hat digitale Souveränität als Ziel formuliert, aber das wichtigste Werkzeug dafür nicht einmal benannt. Das ist keine Katastrophe, aber es ist ein Signal: Wer Open Source in der nächsten Legislatur politisch verankern will, muss das selbst einbringen. Es kommt nicht von allein.

Das Digitalministerium gilt als sicher . Die neue Regierung würde damit ein Ressort schaffen, das es bisher nicht gab. Ein Budget von rund 19 Milliarden Euro für Digitalisierung steht im Raum. Das ist Hebelmasse. Was damit gemacht wird, entscheidet sich in den Beschaffungsregeln, nicht in den Sonntagsreden.

Golem analysiert die strukturellen Probleme treffend: Föderale Zuständigkeitszersplitterung, fehlende zentrale Steuerung, jahrelange Investition in proprietäre Systeme. Das lässt sich nicht per Ministeriumsgründung auflösen. Aber ein Ministerium, das vom ersten Tag an andere Beschaffungsdefaults setzt, kann in vier Jahren etwas verschieben.

Das wäre kein Gesetzesproblem. Das wäre ein Reihenfolge-Problem. Erst Beschaffungskriterien ändern, dann liefern, dann berichten. Nicht umgekehrt.

Fazit

Februar 2025 in zwei Sätzen: Deutschland zahlt Microsoft immer mehr, und die große Lösung kostet 15 Prozent extra. Die Werkzeuge, es anders zu machen, liegen auf dem Tisch. Jetzt braucht es eine Regierung, die sie benutzt.

Hat Sie das Thema interessiert?

Wenn Sie in Ihrer Behörde gerade vor einer Beschaffungsentscheidung stehen und wissen wollen, wie sich OSS-Kriterien in die Ausschreibung einbauen lassen, ohne das Vergaberecht zu strapazieren: Schreiben Sie mir. Ich denke mit, ohne mitzuverkaufen.

Bundestag kritisiert Verwaltungsdigitalisierung. Experten auch. – Oktober 2023 im E-Government-Rückblick.

Tue, 31 Oct 2023 20:00:00 +0100

Am 9. Oktober 2023 berät der Ausschuss für Inneres und Heimat des Bundestags den Stand der Verwaltungsdigitalisierung. Sachverständige aus Wirtschaft, Wissenschaft, Zivilgesellschaft und kommunalen Verbänden sind geladen. Das Urteil ist einheitlich: Es geht voran, aber zu langsam. Das OZG 2.0 ist ein notwendiger Schritt, aber nicht ausreichend.

Das ist kein politisch konstruierter Dissens. Es ist die ehrliche Lagebeurteilung von Leuten, die mit der Realität der Verwaltungsdigitalisierung täglich zu tun haben.

Was die Sachverständigen sagen und was dahintersteckt

Die Kritik am OZG-Änderungsgesetz folgt einem Muster, das in der Verwaltungsdigitalisierungsdiskussion bekannt ist: Das Gesetz setzt den richtigen Rahmen, übergibt aber die schwierigen Fragen an nachgelagerte Verordnungen, Abstimmungsprozesse und Umsetzungsverantwortlichkeiten, die noch nicht klar geregelt sind.

Konkret: Die geplanten verbindlichen Standards für die Digitalisierung sind im Entwurf noch schwächer als ursprünglich vorgesehen. Die Kommunen sorgen sich, dass Pflichten wachsen, die Finanzierung aber nicht Schritt hält. Und die technische Architektur, also die Frage, wer welche Basiskomponenten für alle bereitstellt, ist noch nicht ausbuchstabiert.

Der konstruktive Kern dieser Kritik: Das OZG 2.0 braucht die Registermodernisierung als Fundament und die digitale Identität als Zugangsschicht, bevor es seine volle Wirkung entfaltet. Wer das Gesetz isoliert betrachtet, übersieht, dass es in einer Architektur stehen muss, die noch nicht fertig ist.

Was das für Kommunen und Länder konkret bedeutet: Jetzt die EfA-Dienste einbinden, die bereits fertig sind. Nicht auf die nächste Bundesförderrunde warten, wenn die Lösung schon existiert. Das Ergebnis des Anhörungstages ist kein Grund zur Lähmung, es ist ein Argument für Pragmatismus.

Was die Registermodernisierung gerade macht

Die Registermodernisierung ist das größte laufende Backend-Projekt der deutschen Verwaltungsdigitalisierung. Der IT-Planungsrat hat 2023 mehrere Beschlüsse zu Finanzplan und Zielbild gefasst, die den Rahmen für 2023 bis 2025 abstecken.

Was dabei auffällt: Die Zeitpläne sind ehrgeizig. Die Realität ist, dass Register dezentral geführt werden, in Fachverfahren eingebettet sind, die teils seit Jahrzehnten unverändert laufen, und von Behörden betreut werden, die nicht über Migrationserfahrung verfügen. Die technische Anbindung von Register A an das NOOTS-System ist eine andere Aufgabe als die Entwicklung eines neuen Onlinediensts.

Die ehrliche Aussage für Oktober 2023: Die Registermodernisierung ist auf dem Weg, aber der Weg ist länger als die politische Kommunikation vermuten lässt. Wer jetzt anfängt, ist früh dran. Wer wartet, bis alles fertig ist, wartet zu lang.

Was der Oktober sonst gezeigt hat

Die KI-Diskussion in der Verwaltung gewinnt Fahrt, auch wenn der AI Act noch im Trilog ist. Immer mehr Behörden fragen, wie KI-gestützte Dokumentenverarbeitung, automatisierte Bescheiderstellung oder Chatbots im Bürgerservice datenschutzkonform eingesetzt werden können.

Die Antwort ist noch keine abschließende, weil der Rechtsrahmen noch nicht steht. Aber sie ist keine binäre: nicht „verboten bis alles klar ist" und nicht „erlaubt solange niemand klagt". Sie ist: Pilotieren mit dokumentierter Rechtsgrundlage, Risikoabschätzung und klarem Abbruchkriterium. Das ist der gangbare Weg.

Hat Sie das Thema interessiert?

Für Fragen rund um OZG-Umsetzung, Registermodernisierung oder den Einstieg in KI-Piloten ohne Compliance-Risiko stehe ich gerne zur Verfügung. Das Kontaktformular unten macht es einfach.

Digitale Souveränität nach dem Schock. Was jetzt konkret passiert. – März 2022 im E-Government-Rückblick.

Thu, 31 Mar 2022 20:00:00 +0200

Ein Monat nach dem russischen Angriff auf die Ukraine ist die Souveränitätsdebatte in der deutschen Verwaltungs-IT angekommen. Ministerien, Behörden und IT-Dienstleister diskutieren Abhängigkeiten, die vorher als Selbstverständlichkeit galten. Das ist gut. Die Frage ist, ob aus dieser Diskussion Entscheidungen werden, oder ob der Druck nachlässt, bevor die ersten konkreten Schritte getan sind.

Denn Souveränitätsdebatten haben ein bekanntes Muster: Laut, solange der Anlass akut ist. Still, wenn der nächste Quartalsbericht kommt.

Was aus der Souveränitätsdebatte konkret wird

Die Bundesverwaltung nutzt Microsoft-Produkte in erheblichem Umfang . Lizenzen, Infrastruktur, Kollaborationswerkzeuge. Das ist kein Betriebsunfall, sondern das Ergebnis von Beschaffungsentscheidungen über Jahrzehnte, die auf Funktionalität, Preis und Marktdurchdringung optimiert haben. Nicht auf Exit-Optionen.

Der richtige nächste Schritt ist nicht die Kündigung aller Microsoft-Verträge. Das wäre operativ nicht umsetzbar. Der richtige Schritt ist eine Priorisierungsentscheidung: Welche Systeme verarbeiten besonders schützenswerte Daten? Welche davon haben tragfähige europäische oder Open-Source-Alternativen? Diese Systeme sind die Kandidaten für die erste Migrationswelle.

Was dabei hilft: Behörden, die diesen Weg bereits gegangen sind, haben Erkenntnisse, die andere nicht neu erarbeiten müssen. Schleswig-Holstein hat öffentlich dokumentiert, was eine Ablösung von Microsoft-Produkten erfordert. Das ist kein Blaupausen-Dokument, aber ein ehrlicher Erfahrungsbericht. Wer beginnen will, fängt mit solchen Berichten an, nicht mit generischen Souveränitätsstrategien.

Bundescloud: Was existiert und was noch fehlt

Deutschland hat keine leere Infrastrukturlandschaft. Die Bundescloud als Rechenzentrumsinfrastruktur des Bundes existiert. Dataport, ITDZ Berlin und weitere Landes-IT-Dienstleister betreiben eigene Cloud-ähnliche Infrastrukturen unter deutschem Recht.

Was fehlt, ist die Skalierung. Und die Standardisierung. Wer als Behörde von AWS zu einem deutschen Anbieter wechseln will, steht vor dem Problem, dass jeder Anbieter eigene Schnittstellen hat, eigene Servicekataloge, eigene Betriebsmodelle. Der Aufwand für eine Migration ist deshalb nicht nur technisch, sondern auch administrativ erheblich.

Was helfen würde: ein föderaler Rahmen, der definiert, welche Anforderungen eine souveräne Cloud für die öffentliche Verwaltung erfüllen muss, und der mehrere Anbieter zulässt, die denselben Standard erfüllen. Wettbewerb innerhalb eines gemeinsamen Standards ist besser als ein einziger nationaler Anbieter ohne Wettbewerb.

Was die OZG-Umsetzung mit Souveränität zu tun hat

Das OZG schreibt vor, was digitalisiert werden soll, nicht womit. Viele EfA-Dienste (Einer für Alle) laufen auf proprietären Plattformen oder nutzen proprietäre Komponenten. Das ist kurzfristig pragmatisch. Mittelfristig baut es genau die Abhängigkeiten auf, die die Souveränitätsdebatte gerade sichtbar macht.

Der konstruktive Umgang: OZG-Dienste, die neu entwickelt oder neu vergeben werden, sollten Interoperabilität und Austauschbarkeit als Anforderungen enthalten, nicht als Wunschliste. Offene Schnittstellen, standardisierte Datenformate, dokumentierter Quellcode. Das erhöht den Aufwand bei der Erstentwicklung minimal. Es verhindert Lock-in für Jahre.

Wer diese Anforderungen nicht in die Leistungsbeschreibung schreibt, schreibt sie implizit heraus.

Hat Sie das Thema interessiert?

Wenn Cloud-Abhängigkeiten in Ihrer Behörde gerade neu bewertet werden und Sie einen strukturierten nächsten Schritt suchen: Das Kontaktformular unten öffnet die Tür.

EU legt KI-Gesetz vor. Was öffentliche Verwaltungen jetzt wissen müssen. – April 2021 im E-Government-Rückblick.

Fri, 30 Apr 2021 20:00:00 +0200

Am 21. April veröffentlicht die EU-Kommission ihren Vorschlag für den AI Act . Erstmals soll der Einsatz von KI-Systemen in der EU reguliert werden, mit einem risikobasierten Ansatz: Verbotene Anwendungen, Hochrisiko-Anwendungen mit Pflichten, und alles andere ohne besondere Regulierung.

Für die öffentliche Verwaltung ist dieser Vorschlag nicht Zukunftsmusik. Viele Systeme, die Behörden heute einsetzen oder planen, fallen in die Hochrisiko-Kategorien.

Was im AI-Act-Entwurf steht

Der Kommissionsvorschlag unterscheidet vier Risikostufen.

Verboten sind KI-Systeme, die Grundrechte unterhöhlen: soziales Scoring durch Behörden, subliminale Manipulation, biometrische Massenüberwachung im öffentlichen Raum. Das sind klare Grenzen, die in der EU-Rechtsordnung ohnehin kaum anders denkbar wären.

Hochrisiko sind Systeme in explizit genannten Sektoren: Biometrische Identifikation, kritische Infrastruktur, Bildung, Beschäftigung, Sozialleistungen, Strafverfolgung, Migration, Rechtsprechung. Was das für Behörden bedeutet: Systeme, die in diesen Bereichen Entscheidungen unterstützen, also Bearbeitungsalgorithmen für Sozialleistungen, automatisierte Dokumentenprüfung, Priorisierungssysteme bei Anträgen, werden mit erheblichen Compliance-Anforderungen belegt.

Konkret: Technische Robustheit, Transparenz, menschliche Aufsicht, Dokumentation, Konformitätsbewertung vor Inbetriebnahme, Registrierung in einer EU-Datenbank.

Was das heute für Beschaffungen bedeutet: Wer jetzt KI-Systeme in Hochrisiko-Bereichen beschafft, die den AI-Act-Anforderungen nicht genügen werden, beschafft in zwei bis drei Jahren ein Nachbesserungsprojekt. Der Vorschlag wird noch verhandelt, die Richtung steht.

Wie man jetzt klug reagiert

Die falsche Reaktion: Alle KI-Projekte stoppen, bis der AI Act endgültig ist.

Die richtige Reaktion: Bestehende und geplante KI-Systeme klassifizieren. Welche fallen wahrscheinlich in die Hochrisiko-Kategorie? Welche nicht? Für die Hochrisiko-Kandidaten prüfen: Erfüllen sie schon heute die wahrscheinlichen Anforderungen an Dokumentation, Transparenz und menschliche Aufsicht?

Viele gute KI-Systeme tun das bereits, weil es handwerklich sauber ist, nicht weil es vorgeschrieben ist. Wer darauf setzt, ist risikoarm. Wer auf proprietäre Black-Box-Systeme setzt, die keine Erklärbarkeit bieten, kauft unter Rechtsrahmenvorbehalt.

Was öffentliche Beschaffungen heute anders machen können: KI-Anforderungen in Leistungsbeschreibungen aufnehmen, die an den wahrscheinlichen AI-Act-Anforderungen orientiert sind. Keine Zertifizierungspflicht, die es noch nicht gibt. Aber Anforderungen an Transparenz, Dokumentation und Aufsichtsmöglichkeiten, die jedes gute System erfüllt.

Warum der Zeitplan wichtig ist

Der AI Act ist ein Kommissionsvorschlag. Jetzt beginnen die Verhandlungen zwischen Rat und Parlament, gefolgt vom Trilog. Das dauert Jahre. Frühestes Inkrafttreten: 2023 oder 2024. Anwendung für Hochrisiko-Systeme: mit Übergangsfrist.

Wer heute beschafft, hat Zeit. Zu wenig, um nichts zu tun. Genug, um es richtig anzufangen.

Die wichtigste Frage für Behörden, die KI einsetzen oder planen: Hat das System, das wir kaufen, eine nachvollziehbare Entscheidungslogik, und kann ein Mensch jederzeit eingreifen? Wenn ja, steht es auf sicherem Boden. Wenn nein, sollte die Beschaffung neu bewertet werden, unabhängig davon, was der AI Act am Ende genau vorschreibt.

Hat Sie das Thema interessiert?

Wenn Sie KI-Beschaffungen in Ihrer Behörde vorbereiten und dabei einen strukturierten Blick auf den AI-Act-Rahmen suchen: Eine Nachricht über das Kontaktformular genügt.

Souveränität ist eine Architekturentscheidung

Tue, 15 Sep 2020 09:00:00 +0200

Die Corona-Krise hat 2020 vielen klar gemacht, was vorher Theorie war: Verwaltung muss auch dann liefern, wenn der Boden sich bewegt. Liefern heißt heute digital. Damit wird die Frage, wie souverän die Verwaltung dabei agieren kann, zur strategischen Hauptfrage. Sie gehört nicht mehr in die Schublade fürs Strategiepapier.

Souveränität ist keine Erklärung. Sie ist eine Architekturentscheidung.

Was Souveränität konkret bedeutet

Digitale Souveränität bezeichnet das selbstbestimmte Handeln im digitalen Raum: unabhängig von einzelnen Staaten und Anbietern entscheiden zu können, welche Software die Verwaltung einsetzt, wie sie weiterentwickelt wird und wer sie betreibt. Für die öffentliche Verwaltung ist das keine akademische Frage. Es ist die Voraussetzung dafür, dass eine Behörde im Krisenfall handlungsfähig bleibt – und nicht auf das Wohlwollen eines außereuropäischen Anbieters angewiesen ist.

Die Realität der deutschen Verwaltung sieht 2020 anders aus. Sie ist in weiten Teilen von wenigen großen Softwarekonzernen abhängig, allen voran Microsoft. Die vom Bundesinnenministerium beauftragte PwC-Studie aus dem September 2019 hat das nüchtern dokumentiert: ein Marktanteil von 84 Prozent allein bei Office-Paketen, eine Verzahnung von Outlook, Exchange und Windows Server, die Migration teuer und Wechsel praktisch unmöglich macht, dazu Lizenz- und Pflegekosten, die jedes Jahr neue Schmerzpunkte schaffen. Die Empörung war damals hoch und richtig . Wirklich verändert hat sich seit 2019 wenig.

Wer Souveränität ernst meint, fängt nicht mit der nächsten Strategie-Erklärung an. Sondern mit der nächsten Architekturentscheidung.

Open Source ist das Werkzeug, nicht das Bekenntnis

An dieser Stelle taucht regelmäßig die Open-Source-Frage auf, oft als Glaubensthema behandelt. Das ist aus zwei Richtungen falsch. Open Source ist weder das Wundermittel, das automatisch Souveränität liefert, noch eine Ideologie. Es ist ein Betriebsmodell – und was das für Verwaltungen konkret bedeutet, habe ich gesondert ausgeführt. Eines, das genau die Eigenschaften mitbringt, die Souveränität voraussetzt: Zugriff auf den Code, Möglichkeit zur Anpassung, Kontrolle über die eigene Roadmap, Auswahl bei Wartung und Support. Mehr als ein Anbieter darf das gleiche Produkt pflegen, und der Käufer entscheidet, wem er den Auftrag gibt. Nicht der einzige Hersteller, weil es niemanden sonst gibt.

Konkret bedeutet das nicht, einen US-Anbieter durch einen anderen zu ersetzen. Es bedeutet, eine Architektur zu bauen, in der jede Komponente austauschbar ist. Office-Anwendungen, E-Mail- und Kalendersysteme, Content-Management, Dokumentenmanagement, Videokonferenzen: für jeden dieser Bereiche existieren reife Open-Source-Stacks, die produktiv in Behörden laufen. Sie sind in der Regel nicht so eng integriert wie das Microsoft-Paket, und genau das ist der Punkt. Die Integration entsteht aus eigener Architekturarbeit, nicht aus Konzern-Vorgabe.

Mit GAIA-X , das im Sommer 2020 als deutsch-französisches Vorhaben Form annimmt, kommt erstmals ein europäischer Stack in Reichweite, der nicht von einem US-Hyperscaler abhängt. Auch die Bundescloud ist mehr als ein politisches Versprechen. Sie ist der Versuch, eigene Infrastruktur für die Bundesverwaltung zu bauen, in der Daten von Behörden und Ministerien geschützt liegen.

Diese Bausteine ersetzen nicht die Migration aus der Microsoft-Welt. Sie machen sie möglich. Dass das nicht von heute auf morgen geht, ist offensichtlich. Jede Neueinführung kostet Zeit, Geld und Nerven. Aber sie ist machbar, und die Alternativen liegen in Reichweite. Das Argument, „die Migration sei zu komplex", verschweigt, dass die Nicht-Migration ihre eigenen Kosten hat: weiter steigende Lizenzgebühren, weiter wachsende Lock-in-Effekte, weiter sinkender Verhandlungsspielraum.

Die europäische Frage steht dahinter

Der zweite Strang ist die europäische Perspektive. Eine Verwaltung, die ihre Daten in Rechenzentren auf US-amerikanischem Rechtsraum speichert, hat ein strukturelles Problem mit dem CLOUD Act und mit dem Schrems-II-Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 . Speicherort, Hoheit und Jurisdiktion lassen sich nicht entkoppeln. Die Kernaussagen des BfDI zu Schrems II sind in diesem Punkt unmissverständlich. Vertragliche Klauseln allein reichen nicht aus. Wer Datenschutz ernst nimmt, muss die Infrastruktur ernst nehmen, auf der die Daten liegen.

Die Konsequenz daraus ist nicht Autarkie. Die Konsequenz ist Wahlmöglichkeit. Die Verwaltung muss in der Lage sein, zwischen Optionen zu entscheiden. Nicht in einer Situation enden, in der nur noch eine übrig ist.

Souveränität ist Daseinsvorsorge

Digitale Souveränität ist 2020 kein IT-Thema im engeren Sinn. Sie ist Daseinsvorsorge. Genauso wie der Staat dafür sorgt, dass Strom, Wasser und Verkehr funktionieren, muss er dafür sorgen, dass die digitale Infrastruktur, auf der das Verwaltungshandeln läuft, ihm gehört. Und nicht jemand anderem.

Das passiert nicht in der Strategie-Sitzung. Das passiert in jeder Vergabe, in jedem Architektur-Review, in jedem Vertrag.

Souveränität ist eine Architekturentscheidung. Sie ist eine Beschaffungsentscheidung. Und sie ist, am Ende, eine Lieferaufgabe.

Hat Sie das Thema interessiert?

Dann schreiben Sie mir gerne eine kurze Nachricht.

Wer Open Source nutzt, muss auch beitragen

Wed, 19 Feb 2020 12:00:00 +0200

Ursprünglich 2020 bei publicplan erschienen handelt es sich hier um einen inhaltlich gleichen Artikel, in meiner persönlichen Sichtweise geschrieben.

Open Source wird in der Verwaltung gerne als kostenfreie Software-Bezugsquelle missverstanden. Man lädt sich herunter, was öffentlich verfügbar ist, baut darauf eine Lösung, betreibt sie und ist fertig. Das funktioniert. Es funktioniert aber nur kurz, und es funktioniert nicht für die Probleme, für die man Open Source eigentlich gewählt hat.

Wer Open Source nutzt und nicht beiträgt, ist Konsument einer Community, die jemand anderes trägt. Beim ersten Maintainer-Wechsel, beim ersten Sicherheitsproblem, bei der ersten Anpassung an deutsches Datenschutzrecht ist man auf den Goodwill von Menschen angewiesen, die mit der eigenen Verwaltung nichts zu tun haben. Das ist eine Form von Vendor-Lock-in. Nur ohne Vendor.

Was Open Source eigentlich liefert

Open Source bezeichnet Software, deren Quellcode öffentlich ist und von Dritten kopiert, geändert und genutzt werden kann. So weit, so technisch. Der eigentliche Wert liegt aber nicht im Quellcode-Zugriff, sondern in dem, was um den Code herum existiert. Eine Community, die ihn pflegt. Eine Dokumentation, die ihn erklärt. Ein Issue-Tracker, in dem Probleme verhandelt werden. Reviewer:innen, die neue Funktionen prüfen. Releases, die regelmäßig erscheinen.

Das gilt für Drupal in der CMS-Welt, für Linux im Server-Umfeld, für Kubernetes in der Container-Orchestrierung. Reife Open-Source-Projekte sind keine zufällig öffentlich gewordenen Code-Sammlungen, sondern stabile Liefer-Organisationen mit klar verteilten Rollen. Wer sie nutzt, profitiert von einer Infrastruktur, die er nicht selbst bauen muss. Genau diese Infrastruktur muss er aber tragen helfen, wenn er sie dauerhaft nutzen will.

Beitragen heißt nicht nur Code

In der Vorstellung mancher Verwaltungs-IT-Leitungen ist „beitragen" gleichbedeutend mit „eigene Entwickler:innen schreiben Code für ein Open-Source-Projekt". Das ist eine Form. Es gibt aber viele andere, und die meisten davon erfordern keine Programmierkenntnisse.

Dokumentation, an der die Community immer leidet. Übersetzungen, weil viele internationale Projekte Mehrsprachigkeit nur teilweise abbilden. Testing, also das systematische Probieren neuer Versionen vor einem produktiven Roll-Out. Bug-Reports, die so präzise sind, dass die Maintainer schnell handeln können. Finanzierung über Mitgliedschaften in Trägervereinen oder direkte Spenden. Und sehr wirksam: das öffentliche Bekenntnis, eine bestimmte Open-Source-Komponente produktiv einzusetzen, weil das andere Verwaltungen ermutigt, sie ebenfalls zu nutzen, und damit die Community wachsen lässt.

Wer als Behörde eine dieser Beiträge leistet, ist Teil der Community. Wer keinen davon leistet, ist Trittbrettfahrer.

Was die Lizenz dazu sagt

Lizenz-Modelle wie die GNU General Public License oder die Mozilla Public License regeln, wie weit Beitrags-Pflichten gehen. Die GNU GPL geht weit: Wer GPL-lizenzierte Software modifiziert und weiter verteilt, muss seine Modifikation ebenfalls unter der GPL veröffentlichen. Andere Lizenzen sind großzügiger. Aber selbst die strengsten Open-Source-Lizenzen verpflichten niemanden, der Software intern für die eigene Verwaltung anpasst und einsetzt, dazu, diese Anpassungen zu veröffentlichen.

Das ist die rechtliche Wahrheit. Die strategische Wahrheit ist eine andere. Eine Verwaltung, die Anpassungen für sich behält, hat kurz Vorteile, weil sie nicht zur Veröffentlichung verpflichtet ist. Mittelfristig hat sie Nachteile, weil ihre Eigenentwicklungen mit jeder neuen Upstream-Version in Konflikt geraten. Wer Anpassungen nicht zurückspielt, pflegt einen privaten Fork. Privates Fork-Pflegen ist teuer.

Warum es sich für die Verwaltung lohnt

Es gibt fünf Argumente, die für Verwaltungen besonders zählen. Sicherheit, weil eine Open-Source-Komponente, die viele Augen sehen, schneller geprüft wird als eine, an der eine Behörde alleine bastelt. Geschwindigkeit, weil man als Community-Mitglied früh sieht, was kommt, statt von einem proprietären Hersteller mit Roadmap-Geheimnissen abhängig zu sein. Standardisierung, weil beitragender Code gegen Community-Standards geprüft wird, nicht gegen den eigenen Hausstil, und damit übertragbar bleibt. Wissensaufbau, weil jede:r Mitarbeiter:in, der bei einem Open-Source-Projekt mitarbeitet, etwas lernt, das im eigenen Haus nutzbar bleibt, auch wenn die Person das Haus später verlässt. Und Reputation, weil eine Verwaltung, die in der Open-Source-Community sichtbar beiträgt, es bei Ausschreibungen leichter hat, qualifizierte Anbieter zu finden.

Was Verwaltungen konkret tun können

Drei Schritte sind realistisch und kein Hexenwerk. Eine Bestandsaufnahme: Welche Open-Source-Komponenten setze ich produktiv ein, von welcher Community werden sie gepflegt, was hat sich an dieser Community in den letzten Jahren verändert? Eine Beitrags-Strategie: An welchen Stellen kann meine Verwaltung etwas zurückgeben, ohne sich zu überfordern? Und ein Beschaffungs-Hebel: In Verträgen mit Open-Source-Dienstleistern festschreiben, dass Anpassungen, die im Auftrag gebaut werden, an die Upstream-Community zurückgehen.

Open Source funktioniert, weil viele Beitragende ein Stück Verantwortung übernehmen. Wer als Verwaltung Open-Source-Software nutzt und nicht beiträgt, schwächt die Substanz, von der sie selbst lebt. Das ist nicht moralisch verwerflich, das ist strategisch unklug. Wer beiträgt, bekommt mehr zurück, als er gibt. Das ist kein Slogan, das ist die Lieferlogik.

Hat Sie das Thema interessiert?

Dann schreiben Sie mir gerne eine kurze Nachricht.