Die Änderung ist ein Aufzählungspunkt.

Eingefügt vom Wirtschaftsausschuss in §58 Absatz 2 Satz 2 der deutschen Vergabeverordnung (VgV) als neue Nummer 4 lautet der Aufzählungspunkt vollständig: „Aspekte der digitalen Souveränität." Das ist die Änderung.

Die Begründung des Ausschusses läuft länger. In der Bundestags-Drucksache 21/5525 vom 22. April 2026 zählt der Ausschuss auf, was „digitale Souveränität" als Zuschlagskriterium umfasst: interoperable und offene IT-Systeme oder Software, die Nachvollziehbarkeit und Steuerung der Datenverarbeitung, besondere Anforderungen an datenverarbeitendes Personal, Sicherheitsmaßnahmen, die Lokalisierung der Daten sowie „rechtliche, organisatorische und technische Immunität gegen unerwünschte Zugriffe oder Verfügbarkeitsbeschränkungen". Die Berichterstatter — Dr. Andreas Lenz (CSU) und Georg Schroeter (AfD) — unterzeichneten den Bericht am Tag vor der Abstimmung im Plenum.

Der Bundestag nahm ihn am folgenden Nachmittag an. Die Zustimmung des Bundesrats folgte am 8. Mai. Das Gesetz tritt am 1. Juli 2026 in Kraft. Inmitten eines Verwaltungsvereinfachungsgesetzes hatte das deutsche Vergaberecht still sein erstes ausdrückliches Souveränitätskriterium erhalten.

Wie die Kriterien in die Verordnung gelangten

Der Weg ist im öffentlichen Register. Der Regierungsentwurf, Drucksache 21/1934, rahmte das Vorhaben als Vergabevereinfachung. Souveränitätskriterien standen nicht im Kabinettstext. Der Wirtschaftsausschuss hielt am 10. November 2025 in seiner 16. Sitzung eine öffentliche Sachverständigenanhörung ab; die schriftlichen Sachverständigenstellungnahmen sind im Ausschussregister als Ausschussdrucksachen 21(9)106, 21(9)107 und 21(9)115 bis 21(9)120 vermerkt.

Was aus dem Ausschussverfahren hervorging, war die Textänderung an §58 VgV plus eine parallele Klarstellung: dass Vergaben mit Bezug zu Cybersicherheit oder digitaler Souveränität in die „wesentlichen Sicherheitsinteressen" nach Artikel 346 Absatz 1 AEUV fallen. Artikel 346 ist die EU-Vertragsbestimmung, die Beschaffung zum Schutz wesentlicher Sicherheitsinteressen von den vollen EU-Ausschreibungsregeln ausnimmt. Liest man beide Änderungen zusammen: Souveränität wurde ein ausdrückliches Zuschlagskriterium in gewöhnlichen Ausschreibungen, und Souveränität wurde ein anerkannter Sicherheitsgrund, der spezifische Beschaffungen ganz aus dem EU-weiten Wettbewerb herausschneiden kann.

Beide Änderungen überlebten die Plenarabstimmung.

Was die Kriterien einem Käufer erlauben

Die neue Nummer 4 steht neben drei vorbestehenden Kategorien qualitativer Kriterien in §58 — Umwelt- und soziale Aspekte, Produkt­merkmale sowie Kundendienstverfügbarkeit. Ein öffentlicher Käufer, der eine Ausschreibung entwirft, kann nun direkt auf den Souveränitätspunkt verweisen. Die sechs in der Ausschussbegründung gelisteten Kategorien sind selbst kein Gesetzestext — sie sind der erläuternde Anhang —, aber eine Vergabekammer, die eine künftige Beschwerde entscheidet, wird das Statut durch diese Erläuterung lesen.

Konkret: Ein Käufer kann interoperable und offene IT-Systeme verlangen und ein Closed-Stack-Angebot auf dieser Basis ablehnen. Der Käufer kann verlangen, dass die Datenverarbeitungskette technisch nachvollziehbar ist, und intransparente Managed-Cloud-Angebote auf dieser Basis ablehnen. Der Käufer kann Datenlokalisierung verlangen. Der Käufer kann verlangen, dass das angebotene System gegen „unerwünschte Zugriffe" immun ist — eine Sprache, die nach der Ausschussbegründung an die CLOUD-Act-Frage heranreicht, auch wenn die Verordnung sie nicht benennt.

Das ist die praktische Änderung. Keines dieser Kriterien war vorher verboten; sie waren nicht aufgezählt, und ein Beschwerdeführer gegen eine Ausschreibung konnte sie als diskriminierend angreifen. Ab 1. Juli muss der Beschwerdeführer gegen das Statut argumentieren, nicht nur gegen die Ausschreibung.

Wie das mit der EVB-IT-Änderung zusammenhängt

Am 20. März haben das BMDS und der Branchenverband Bitkom überarbeitete Vertragsvorlagen für die IT-Beschaffung des Bundes unter dem EVB-IT-Rahmen veröffentlicht. Die Überarbeitungen machten Open-Source-konforme Erfüllung in der standardisierten Vertragssprache rechtlich ausdrücklich.

Die beiden Instrumente greifen sauber ineinander. Das Vergabebeschleunigungsgesetz sagt, dass Souveränität ein zulässiges Zuschlagskriterium ist. Die EVB-IT-Vorlagen sagen, wie eine souveränitätskonforme Erfüllung schriftlich aussieht. Ein Käufer kann nun eine Ausschreibung schreiben, in der steht „dieser Vertrag verwendet EVB-IT in der Open-Source-Form, und Zuschlagskriterien umfassen digitale Souveränität nach §58 Absatz 2 Satz 2 Nummer 4 VgV" — und beide Hälften dieses Satzes sind vom Bund vorformuliert.

Was es nicht leistet

Die Kriterien sind permissiv. Sie sind nicht verpflichtend. Ein öffentlicher Käufer, der an Microsoft vergeben will, kann das weiterhin tun, solange das Vergabeverfahren prozedural sauber ist. Das Gesetz nimmt Beschwerdeführern eine rechtliche Waffe; es verpflichtet Käufer nicht, die neuen Kriterien zu nutzen.

Das ist beabsichtigt. Deutsches Vergaberecht ist generell permissiv statt präskriptiv — das Statut definiert, was erlaubt ist, der Käufer entscheidet, was gefordert ist.

Die praktische Wirkung hängt daher davon ab, ob öffentliche Käufer das neue Ermessen tatsächlich ausüben. Bundesministerien werden es tun, weil sie nach Wildbergers Vetorahmen unter BMDS-Aufsicht stehen. Bundesbehörden in regulierten Sektoren werden es tun, weil ihre Prüfer es erwarten. Die Variable sind die Tausenden kommunaler IT-Abteilungen, die unabhängig beschaffen und institutionelle Gründe haben, auf „das, was wir kennen, also Microsoft" zu defaulten. Wenn kommunale Ausschreibungen die Kriterien aufgreifen, hat das Statut Zähne; wenn nicht, bleibt es Text.

Es gibt einen leiseren Einwand von außerhalb Deutschlands. Die Kriterien sind so geschrieben, dass deutsche Cloud-Anbieter sie leichter erfüllen als konkurrierende europäische Anbieter. „Lokalisierung der Daten" defaultet in der Praxis auf „deutsches Hosting". „Nachvollziehbarkeit und Steuerung der Datenverarbeitung" begünstigt Open-Source-Stacks, in die das deutsche Ökosystem stärker investiert hat als das französische oder niederländische. Ein französischer oder niederländischer Beschwerdeführer gegen eine deutsche kommunale Ausschreibung trifft jetzt auf ein Kriterienset, das deutsche Angebote subtil bevorzugt. Das Statut ist in der Rahmung europäisch. Es ist im Betrieb deutsch.

Was dieser Artikel nicht ist

Es ist keine Behauptung, das Gesetz sei leer. Die Textänderung ist klein und die rechtliche Folge real.

Es ist keine Behauptung, das Gesetz sei ausreichend. Ein Bundesstatut treibt für sich genommen keine kommunalen Beschaffungsentscheidungen, und das kommunale Volumen ist, wo der meiste Vergaben stattfindet.

Es ist keine Behauptung, die Kriterien seien absichtlich protektionistisch. Statuten, die heimische Industrie schützen, während sie Politikziele liefern, sind ein normales Merkmal, wie Vergaberecht funktioniert. Ob die deutschen Kriterien als „neutral europäisch" oder „neutral deutsch" gelesen werden, ist eine Frage, an welches Publikum der Autor schreibt.

Der bevorstehende Vergabekammer-Test

Die Geschichte wird durch eine bestimmte Art von Ereignis entschieden: eine kommunale Ausschreibung, die ausdrücklich auf §58 Absatz 2 Satz 2 Nummer 4 VgV verweist, um ein Microsoft- oder AWS-Angebot abzulehnen, und die eine Vergabekammer-Beschwerde übersteht.

Wenn das binnen zwölf Monaten geschieht, werden Vergaberechtsspezialisten den Fall in jedem folgenden Memo zitieren. Die Kriterien werden vom Text zum Instrument. Wenn es nicht geschieht, bleibt die neue Nummer 4, wo sie ist — im Statut, zur Nutzung verfügbar, von niemandem genutzt. Der Bundestag hat getan, was der Bundestag tun kann. Die Kommunen sind als nächste an der Reihe.

Quellen

Themenübersicht: Digitale Souveränität in Europa Verwandte Artikel: Deutschland macht offene Formate verbindlich, Wildberger zieht eine Linie