De wijziging is één bullet.

Ingevoegd door het Commissie voor Economie en Energie in §58 Absatz 2 Satz 2 van de Duitse Aanbestedingsverordening (VgV) als nieuwe Nummer 4, luidt de bullet in volle omvang: “Aspekte der digitalen Souveränität.” Dat is de wijziging.

De motivering van de commissie loopt langer. In Bundestag-Drucksache 21/5525 van 22 april 2026 somt de commissie op wat “digitale soevereiniteit” als gunningscriterium dekt: interoperabele en open IT-systemen of software, de traceerbaarheid en controle van gegevensverwerking, bijzondere eisen aan personeel dat gegevens behandelt, beveiligingsmaatregelen, de lokalisatie van gegevens, en “juridische, organisatorische en technische immuniteit tegen ongewenste toegang of beschikbaarheidsbeperkingen.” De Berichterstatter — Dr. Andreas Lenz (CSU) en Georg Schroeter (AfD) — tekenden het rapport de dag vóór de plenaire stemming.

De Bundestag nam het de volgende middag aan. Instemming van de Bundesrat volgde op 8 mei. De wet treedt in werking op 1 juli 2026. Binnen een statuut voor bestuurlijke vereenvoudiging had het Duitse aanbestedingsrecht stilletjes zijn eerste expliciete soevereiniteitscriterium verworven.

Hoe de criteria de verordening bereikten

Het pad ligt in het publieke dossier. Het regeringsvoorstel, Drucksache 21/1934, framede het project als aanbestedingsvereenvoudiging. Soevereiniteitscriteria zaten niet in de kabinetstekst. De Commissie voor Economie en Energie hield in haar 16e zitting op 10 november 2025 een openbare hoorzitting van deskundigen; de schriftelijke deskundigeninbrengen zijn vastgelegd als Ausschussdrucksachen 21(9)106, 21(9)107 en 21(9)115 tot 21(9)120 in het commissieverslag.

Wat uit het commissieproces voortkwam, was de tekstwijziging van §58 VgV plus een parallelle verduidelijking: dat aanbesteding met betrekking tot cybersecurity of digitale soevereiniteit valt binnen de “wesentliche Sicherheitsinteressen” van artikel 346(1) VWEU. Artikel 346 is de EU-verdragsbepaling die aanbesteding ter bescherming van wezenlijke veiligheidsbelangen vrijstelt van volledige EU-aanbestedingsregels. De twee wijzigingen samen lezend: soevereiniteit werd een expliciet gunningscriterium in gewone aanbestedingen, en soevereiniteit werd een erkende veiligheidsgrond die specifieke aanbestedingen geheel buiten de EU-brede mededinging kan houden.

Beide wijzigingen overleefden de plenaire stemming.

Wat de criteria een koper toestaan

De nieuwe Nummer 4 staat naast drie vooraf bestaande kwaliteitscategorieën in §58 — milieu- en sociale aspecten, productgebonden kenmerken, en klantenservicebeschikbaarheid. Een publieke koper die een aanbesteding ontwerpt, kan de soevereiniteitsbullet nu rechtstreeks citeren. De zes categorieën die in de motivering van de commissie staan, vormen geen statutaire tekst zelf — ze zijn de toelichtende bijlage — maar een Vergabekammer die een toekomstige uitdaging beslecht, zal het statuut door die toelichting heen lezen.

Concreet: een koper kan interoperabele en open IT-systemen eisen en een bieding met een gesloten stack op die basis weigeren. De koper kan eisen dat de keten van gegevensverwerking technisch traceerbaar is, en ondoorzichtige managed-cloud-aanbiedingen op die basis weigeren. De koper kan datalokalisatie eisen. De koper kan eisen dat het aangeboden systeem immuun is voor “ongewenste toegang” — taal die volgens de motivering van de commissie de CLOUD Act-vraag bereikt, ook al noemt de verordening die niet.

Dat is de praktische verandering. Geen van deze criteria was eerder verboden; zij waren ongenoemd, en een uitdager van een aanbesteding kon stellen dat zij discriminerend waren. Na 1 juli moet de uitdager argumenteren tegen het statuut, niet alleen tegen de aanbesteding.

Hoe dit verbindt met de EVB-IT-wijziging

Op 20 maart publiceerden het federale digitale ministerie BMDS en de digitale industrieorganisatie Bitkom herziene contracttemplates voor IT-aanbesteding onder het federale EVB-IT-kader. De herzieningen maakten open-source-conforme uitvoering juridisch expliciet in gestandaardiseerde contracttaal.

De twee instrumenten grijpen schoon in elkaar. De Vergabebeschleunigungsgesetz zegt dat soevereiniteit een toegestaan gunningscriterium is. De EVB-IT-templates zeggen hoe een soevereiniteits-conforme uitvoering er op papier uitziet. Een koper kan nu een aanbesteding schrijven met “dit contract gebruikt EVB-IT in de open-source-vorm, en gunningscriteria omvatten digitale soevereiniteit krachtens §58 Absatz 2 Satz 2 Nummer 4 VgV” — en beide helften van die zin zijn voorgedrukt op federaal niveau.

Wat het niet doet

De criteria zijn toestaand. Ze zijn niet verplicht. Een publieke koper die aan Microsoft wil gunnen, kan dat nog steeds doen, zolang de aanbestedingsprocedure zelf procedureel zuiver is. De wet ontneemt uitdagers een juridisch wapen; ze vereist niet dat kopers de nieuwe criteria gebruiken.

Dat is gewild. Duits aanbestedingsrecht is in het algemeen permissief in plaats van prescriptief — het statuut definieert wat is toegestaan, de koper beslist wat is vereist.

Het praktische effect hangt daarom af van de vraag of publieke kopers de nieuwe discretionaire bevoegdheid daadwerkelijk uitoefenen. Federale ministeries zullen dat doen, omdat zij onder BMDS-toezicht staan na Wildbergers vetokader. Federale autoriteiten in gereguleerde sectoren zullen dat doen, omdat hun auditors het verwachten. De variabele is de duizenden gemeentelijke IT-afdelingen die zelfstandig aanbesteden en institutionele redenen hebben om standaard te kiezen voor “wat we kennen, wat Microsoft is”. Als gemeentelijke aanbestedingen de criteria adopteren, heeft het statuut tanden; zo niet, blijft het tekst.

Er is een stillere bezwaar van buiten Duitsland. De criteria zijn geschreven op manieren die Duitse cloudleveranciers makkelijker kunnen vervullen dan concurrerende Europese leveranciers. “Lokalisatie van gegevens” verschijnt in de praktijk standaard als “Duitse hosting”. “Traceerbaarheid en controle van gegevensverwerking” begunstigt open-source stacks waarin het Duitse ecosysteem zwaarder heeft geïnvesteerd dan de Franse of Nederlandse. Een Franse of Nederlandse uitdager van een Duitse gemeentelijke aanbesteding ziet zich nu geconfronteerd met een criteriumset die subtiel Duitse aanbiedingen begunstigt. Het statuut is Europees in framing. Het is Duits in werking.

Wat dit artikel niet is

Het is geen bewering dat de wet leeg is. De tekstwijziging is klein en de juridische consequentie is reëel.

Het is geen bewering dat de wet voldoende is. Een federaal statuut stuurt op zichzelf geen gemeentelijke aanbestedingsbeslissingen, en het gemeentelijke volume is waar het meeste aanbesteden plaatsvindt.

Het is geen bewering dat de criteria opzettelijk protectionistisch zijn. Statuten die binnenlandse industrie beschermen terwijl ze beleidsdoelen halen, zijn een normaal kenmerk van hoe aanbestedingsrecht werkt. Of de Duitse criteria zich laten lezen als “neutraal Europees” of “neutraal Duits”, is een kwestie van welk publiek de schrijver aanspreekt.

De Vergabekammer-test die voorligt

Het verhaal zal beslecht worden door één specifiek soort gebeurtenis: een gemeentelijke aanbesteding die §58 Absatz 2 Satz 2 Nummer 4 VgV expliciet citeert om een Microsoft- of AWS-bieding te weigeren, en die een Vergabekammer-uitdaging overleeft.

Als dat binnen twaalf maanden gebeurt, zullen aanbestedingsrechtelijke specialisten het zaak in elk volgend memorandum citeren. De criteria gaan van tekst naar instrument. Als het niet gebeurt, blijft de nieuwe Nummer 4 waar hij is — in het statuut, beschikbaar om te worden gebruikt, door niemand gebruikt. De Bundestag heeft gedaan wat de Bundestag kan doen. De gemeenten zijn de volgende.

Bronnen

Themaoverzicht: Digitale soevereiniteit in Europa Gerelateerde artikelen: Duitsland verplicht open formaten, Wildberger trekt een grens