Digitale Souveränität in der Vergabe: Verfügbarkeits- und Datenstandort-Nachweise für GovTech-Anbieter
EVB-IT Cloud, C5, Verfügbarkeitsklassen und das neue Zuschlagskriterium digitale Souveränität: Welche Nachweise GovTech-Anbieter 2026 liefern müssen.
Seit dem 1. Juli 2026 kann digitale Souveränität in deutschen Vergabeverfahren offiziell als Zuschlagskriterium gewertet werden — der neue § 58 Abs. 2 Satz 2 Nr. 4 VgV macht Datenlokalisierung, Nachvollziehbarkeit der Datenverarbeitung und Interoperabilität zu bewertbaren Angebotsmerkmalen. Für GovTech-Anbieter bedeutet das: Wer an deutsche Behörden verkaufen will, muss Datenstandort, C5-Bezug und Verfügbarkeit nicht mehr nur behaupten, sondern mit konkreten Artefakten belegen können.
Dieser Artikel richtet sich an Software- und SaaS-Anbieter, die sich auf öffentliche Ausschreibungen bewerben — nicht an die Behörden selbst. Er zeigt, welche Anforderungen typischerweise aus EVB-IT Cloud und den Vergabeunterlagen kommen, welches Nachweis-Artefakt jeweils dazu passt und wo die Grenze zwischen “Nachweis liefern” und “vergabekonform sein” verläuft.
Was hat sich am 1. Juli 2026 im Vergaberecht geändert?
Das Vergabebeschleunigungsgesetz — vom Bundesrat am 8. Mai 2026 gebilligt, in Kraft seit dem 1. Juli 2026 — verankert digitale Souveränität erstmals ausdrücklich im Vergaberecht (BMWE-Pressemitteilung). Zwei Stellschrauben sind für Anbieter relevant:
- § 58 Abs. 2 Satz 2 Nr. 4 VgV (neu): “Aspekte der digitalen Souveränität” können als Zuschlagskriterium gewertet werden. Die Gesetzesbegründung nennt dazu unter anderem Interoperabilität, die Nachvollziehbarkeit der Datenverarbeitung und die Lokalisierung von Daten.
- § 128 Abs. 2 GWB: Digitale Souveränität kann als Ausführungsbedingung festgelegt werden — also als vertragliche Vorgabe, wie die Leistung erbracht wird.
Eine Grenze bleibt: Zuschlagskriterien brauchen nach § 127 Abs. 1 GWB einen Bezug zum Auftragsgegenstand. Eine Behörde kann also nicht pauschal “europäische Anbieter bevorzugen” — sie kann aber sehr wohl bewerten, wo die Daten der ausgeschriebenen Leistung liegen und wie nachvollziehbar deren Verarbeitung ist.
Ein verbreitetes Missverständnis vorweg: Der US CLOUD Act schließt US-Anbieter nicht automatisch von Vergaben aus — das ist amtlich nicht belegt und bleibt eine offene Rechts- und Wertungsfrage. Praktisch verschiebt sich das Spielfeld trotzdem: Wenn Datenlokalisierung ein bewertbares Kriterium ist, wird ein dokumentiert deutscher oder EU-Datenstandort ohne Drittstaaten-Zugriffsrisiko vom Marketing-Argument zum Wertungspunkt. Die Hintergründe zum Drittstaaten-Zugriff haben wir im Beitrag zum US CLOUD Act & Monitoring aufgeschlüsselt; welche Tools und Anbieter unter welche Jurisdiktion fallen, zeigt die EU Jurisdiction Database.
Was ist EVB-IT Cloud — und wann betrifft es dich?
Die EVB-IT (Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen) sind die Standard-Vertragsmuster der öffentlichen Hand für IT-Beschaffungen, erarbeitet vom BMI/CIO Bund gemeinsam mit dem Bitkom. Für Bundesbehörden ist ihre Nutzung über die Verwaltungsvorschrift Nr. 4 zu § 55 BHO verpflichtend (CIO Bund).
Für Cloud- und SaaS-Anbieter zählt vor allem der EVB-IT Cloud-Vertrag (Version 1.0): vom IT-Planungsrat am 11. Februar 2022 gebilligt (Beschluss 2022/01), veröffentlicht am 1. März 2022. Er gilt für IaaS, PaaS, SaaS und Managed Cloud Services und besteht aus drei Bausteinen: dem Vertragsmuster, den Cloud-AGB und einem Kriterienkatalog.
Wenn deine Ausschreibung auf das EVB-IT Cloud-Muster verweist — und das ist bei Bund und zunehmend bei Ländern und Kommunen der Regelfall für Cloud-Leistungen —, werden die Ziffern der Cloud-AGB zu deinen Vertragspflichten. Die wichtigsten für den Nachweis-Teil deines Angebots:
- Ziffer 1.2: Leistungserbringung unter Einhaltung der Basiskriterien des aktuellen C5-Anforderungskatalogs des BSI sowie der Sicherheitsanforderungen des Auftraggebers (BSI-Mindeststandard für externe Cloud-Dienste).
- Ziffer 4 (Leistungsort): Speicherung und Verarbeitung ausschließlich in EU/EWR (plus Schweiz bei Angemessenheitsbeschluss nach Art. 45 DSGVO) — außer der Auftraggeber wählt ausdrücklich weitere Regionen.
- Ziffer 6.4.1: Sicherheitsnachweis auf Anforderung, unter anderem durch regelmäßige C5-Berichterstattung Typ 2.
- Ziffer 8: Verfügbarkeit am Übergabepunkt, gemessen durch den Auftragnehmer; Ziffer 9: monatliches Reporting über Verfügbarkeit und Störungen.
- Ziffern 7.3, 13.1, 13.3.3: Exit — jederzeitiger Datenexport in marktüblichem Format, Datenherausgabe bei Vertragsende ohne gesonderte Vergütung, Export-Schnittstelle noch 3 Monate nach Vertragsende.
Welche Anforderung verlangt welches Nachweis-Artefakt?
Das ist die Tabelle, die du beim Zusammenstellen der Angebotsunterlagen neben dir liegen haben willst — links die typische Anforderung aus Ausschreibung bzw. EVB-IT Cloud, rechts das Artefakt, mit dem du sie belegst:
| Typische Anforderung (Quelle) | Nachweis-Artefakt des Anbieters |
|---|---|
| Datenstandort EU/EWR (EVB-IT Cloud-AGB Ziffer 4) | Dokumentierter Hosting-Standort Deutschland/EU + vollständige, aktuelle Sub-Processor-Liste |
| C5-Basiskriterien (Ziffer 1.2) | C5-Testat des eingesetzten Cloud-Stacks (Rechenzentrum/IaaS-Ebene) + eigene Sicherheitsdokumentation, wie die Basiskriterien in deinem Betrieb abgedeckt sind |
| Sicherheitsnachweis auf Anforderung (Ziffer 6.4.1) | C5-Bericht Typ 2 bzw. gleichwertige Sicherheitsdokumentation, abrufbar ohne Vorlauf |
| Verfügbarkeit mind. VK 1 = 99,0 % (Ziffer 8.3) | Kontinuierliche, unabhängige Verfügbarkeitsmessung + belastbare Uptime-Historie über den Kalendermonat |
| Monatliches Reporting über Verfügbarkeit/Störungen (Ziffern 8/9) | Automatisierte Verfügbarkeits-Reports + lückenlose Incident-Historie mit Zeitstempeln |
| Exit/Datenherausgabe (Ziffern 7.3, 13.1, 13.3.3) | Dokumentiertes Datenexport-Verfahren (Format, Schnittstelle, Fristen) |
| Auftragsverarbeitung | AVV nach Art. 28 DSGVO — idealerweise sofort als Download, nicht erst nach Vertriebsschleife |
Zwei Dinge fallen an dieser Tabelle auf. Erstens: Kein einziges Artefakt entsteht “auf Zuruf” — Uptime-Historie, Incident-Dokumentation und Sub-Processor-Liste musst du führen, bevor die Ausschreibung kommt. Zweitens: Die Artefakte sind verschieden und nicht gegeneinander austauschbar. Dazu gleich mehr bei der C5-Abgrenzung.
Einen sofort herunterladbaren AVV stellen wir übrigens selbst so bereit, wie wir ihn von Lieferanten erwarten würden: AVV/DPA.
Welche Verfügbarkeitsklasse musst du erfüllen — und wer misst?
Die Cloud-AGB arbeiten mit Verfügbarkeitsklassen (VK), angelehnt an das HV-Kompendium des BSI. Berechnungsformel nach Ziffer 8: (Gesamtzeit − Ausfallzeit) / Gesamtzeit × 100, Bezugszeitraum ist der Kalendermonat. Das Wartungsfenster sonntags 04:00–08:00 Uhr zählt nicht als Ausfall.
| Klasse | Verfügbarkeit | Zulässige Ausfallzeit pro Monat |
|---|---|---|
| VK 0 | ≈ 95 % | — (Basisklasse) |
| VK 1 | 99,0 % | < 8 Stunden |
| VK 2 | 99,9 % | < 44 Minuten |
| VK 3 | 99,99 % | < 5 Minuten |
| VK 4 | 99,999 % | < 26 Sekunden |
| VK 5 | desaster-tolerant | — |
Ist im Vertrag nichts anderes vereinbart, gilt nach Ziffer 8.3 mindestens VK 1 — also 99,0 %.
Der entscheidende Punkt steckt aber in einem Halbsatz von Ziffer 8: Die Verfügbarkeit wird durch den Auftragnehmer gemessen. Du misst dich selbst, und deine Zahlen sind die Vertragsgrundlage. Genau deshalb ist ein internes “unser Server-Log sagt, wir waren online” im Streitfall dünn: Es misst nicht am Übergabepunkt, es hat Lücken, wenn die eigene Infrastruktur betroffen ist, und es stammt aus derselben Hand, die den SLA schuldet. Ein unabhängiges, externes Monitoring — das deinen Dienst von außen prüft, jede Störung mit Zeitstempel festhält und die Monatswerte automatisch berechnet — macht aus der Selbst-Messung einen belastbaren Nachweis. Eine öffentliche Status-Seite mit Uptime-Historie liefert denselben Beleg zusätzlich transparent gegenüber dem Auftraggeber. Welche Monitoring-Tools dafür selbst sauber in der EU stehen, haben wir im Vergleich DSGVO-konformer Uptime-Monitoring-Tools 2026 untersucht.
Was ist ein C5-Testat — und was ist es nicht?
Der Cloud Computing Compliance Criteria Catalogue (C5) des BSI, erstmals 2016 veröffentlicht, definiert Mindestanforderungen an sicheres Cloud Computing: C5:2020 umfasst 121 Kriterien in 17 Bereichen, der neue C5:2026 wurde auf 168 Kriterien in 17 Bereichen erweitert (BSI zum C5). Ein C5-Testat ist keine Zertifizierung, sondern eine Prüfung durch einen Wirtschaftsprüfer nach ISAE 3000: Typ 1 bestätigt die Angemessenheit der Kontrollen zum Stichtag, Typ 2 zusätzlich deren Wirksamkeit über einen Prüfzeitraum — das BSI empfiehlt Typ 2, und Ziffer 6.4.1 der Cloud-AGB verlangt ihn ausdrücklich.
Verpflichtend belegt ist C5 in zwei Konstellationen: Für Bundesbehörden über den BSI-Mindeststandard zur Nutzung externer Cloud-Dienste (nach § 8 Abs. 1 BSIG, Version 2.1) und im Gesundheitswesen über § 393 SGB V: Seit dem 1. Juli 2024 dürfen Sozial- und Gesundheitsdaten nur in der Cloud verarbeitet werden, wenn die Verarbeitung im Inland/EU/EWR erfolgt, eine Niederlassung im Inland besteht und ein aktuelles C5-Testat vorliegt — seit dem 1. Juli 2025 zwingend als Typ 2. Wie stark diese Logik der Vergabelogik ähnelt, zeigt unsere Gesundheitswesen-Seite. Eine Pflicht “für jede Ausschreibung” gibt es dagegen nicht — außerhalb dieser Fälle wird C5 zur Vertragspflicht, wenn der Auftraggeber das EVB-IT Cloud-Muster nutzt (Ziffer 1.2).
Wichtig für dein Angebot ist die Abgrenzung zweier Artefakte, die in der Praxis ständig verwechselt werden:
- Das C5-Testat ist ein Prüfbericht über den Cloud-Stack — es bestätigt, dass die Kontrollen deiner Cloud-Umgebung angemessen (Typ 1) bzw. wirksam (Typ 2) sind.
- Der Verfügbarkeitsnachweis nach Ziffern 8/9 ist ein betrieblicher Nachweis — gemessene Uptime, dokumentierte Störungen, Monatsreports.
Ein C5-Testat belegt keine 99,0 % Verfügbarkeit im März, und eine perfekte Uptime-Historie ersetzt kein C5-Testat. In einer Ausschreibung brauchst du beides — als getrennte Anlagen.
Zur Einordnung des Umfelds: Der IT-Planungsrat hat mit der Deutschen Verwaltungscloud-Strategie (Beschluss 2020/54) den Souveränitätskurs schon 2020 vorgezeichnet; die Deutsche Verwaltungscloud ist seit April 2025 im Produktivbetrieb. Und mit dem OZG-Änderungsgesetz (“OZG 2.0”, in Kraft seit 24. Juli 2024) entsteht ab 2028 ein Rechtsanspruch auf elektronischen Zugang zu Bundesleistungen (§ 1a OZG) — die Nachfrage nach GovTech mit belastbaren Verfügbarkeits- und Souveränitätsnachweisen wird also strukturell wachsen, nicht schrumpfen (BMI zum OZG 2.0).
Welche Rolle spielt FoundersDeck — und welche nicht?
Zuerst die Grenze: Ein Monitoring-Tool macht dein Angebot nicht vergabekonform und ersetzt kein C5-Testat. Vergabekonformität ist eine Gesamtleistung aus Sicherheitsdokumentation, Vertragswerk, Prozessen und Nachweisen — kein Tool nimmt dir das ab.
Was externes Monitoring liefert, ist der betriebliche Teil der Nachweis-Tabelle oben: FoundersDeck misst deine Dienste kontinuierlich von außen, hält jede Störung mit Zeitstempel in einer Incident-Historie fest, berechnet die Verfügbarkeit pro Monat und stellt sie auf cookie-freien Status-Seiten transparent dar — als unabhängige Grundlage für die Selbst-Messung nach Ziffer 8 und das Monatsreporting nach Ziffer 9. Die Infrastruktur dahinter steht zu 100 % in Deutschland (Netcup, Nürnberg), betrieben von einem deutschen Einzelunternehmen ohne US-Konzernbezug — der AVV steht sofort als Download bereit, ohne Vertriebsgespräch. Für die Datenstandort-Zeile deiner eigenen Sub-Processor-Liste ist das Monitoring damit kein neues Risiko, sondern ein weiterer sauberer EU-Baustein.
Häufige Fragen
Ist ein C5-Testat für jede öffentliche Ausschreibung Pflicht?
Nein, eine generelle Pflicht für alle Ausschreibungen gibt es nicht. Belegt verpflichtend ist C5 in zwei Konstellationen: Für Bundesbehörden schreibt der BSI-Mindeststandard zur Nutzung externer Cloud-Dienste (nach § 8 Abs. 1 BSIG, Version 2.1) die Einhaltung des C5-Katalogs vor, und im Gesundheitswesen verlangt § 393 SGB V seit Juli 2024 ein aktuelles C5-Testat für die Cloud-Verarbeitung von Sozial- und Gesundheitsdaten — seit dem 1. Juli 2025 als Typ 2. Darüber hinaus wird C5 zur Vertragspflicht, wenn der Auftraggeber das EVB-IT Cloud-Muster nutzt: Ziffer 1.2 der Cloud-AGB verpflichtet den Auftragnehmer auf die Basiskriterien des aktuellen C5-Katalogs. Ob deine konkrete Ausschreibung C5 fordert, steht also im Vergabeunterlagen-Kleingedruckten — nicht in einem Pauschalsatz.
Was verlangt EVB-IT Cloud bei der Verfügbarkeit — und wer misst sie?
Ziffer 8 der EVB-IT Cloud-AGB regelt die Verfügbarkeit am Übergabepunkt: Sie wird nach der Formel (Gesamtzeit − Ausfallzeit) / Gesamtzeit × 100 berechnet, Bezugszeitraum ist der Kalendermonat, und gemessen wird durch den Auftragnehmer — also durch dich als Anbieter, nicht durch die Behörde. Ist nichts anderes vereinbart, gilt nach Ziffer 8.3 mindestens Verfügbarkeitsklasse VK 1, also 99,0 % (weniger als 8 Stunden Ausfall pro Monat); ein Wartungsfenster sonntags 04:00–08:00 Uhr zählt nicht als Ausfall. Ziffer 9 verlangt zusätzlich ein monatliches Reporting über Verfügbarkeit und Störungen. Weil der Anbieter selbst misst, ist eine unabhängige, externe und lückenlose Messung der belastbarste Weg, diese Zahlen glaubwürdig zu belegen.
Schließt der US CLOUD Act US-Anbieter von deutschen Vergaben aus?
Nein, ein amtlich festgestellter Ausschluss existiert nicht — das ist eine offene Rechts- und Wertungsfrage, keine geklärte Rechtslage. Fest steht aber: Ziffer 4 der EVB-IT Cloud-AGB beschränkt Speicherung und Verarbeitung auf EU/EWR (plus Schweiz bei Angemessenheitsbeschluss nach Art. 45 DSGVO), sofern der Auftraggeber nicht ausdrücklich weitere Regionen wählt. Und seit dem 1. Juli 2026 können Auftraggeber über § 58 Abs. 2 Satz 2 Nr. 4 VgV “Aspekte der digitalen Souveränität” — laut Gesetzesbegründung unter anderem die Lokalisierung von Daten und die Nachvollziehbarkeit der Datenverarbeitung — als Zuschlagskriterium werten. Wer als Anbieter einen sauberen EU-Datenstandort ohne Drittstaaten-Zugriffsrisiko dokumentieren kann, hat damit einen bewertbaren Vorteil, ohne dass ein Wettbewerber formal ausgeschlossen sein muss.
Was ändert das Vergabebeschleunigungsgesetz 2026 für GovTech-Anbieter?
Das Vergabebeschleunigungsgesetz — vom Bundesrat am 8. Mai 2026 gebilligt und seit dem 1. Juli 2026 in Kraft — verankert digitale Souveränität erstmals ausdrücklich im Vergaberecht. Der neue § 58 Abs. 2 Satz 2 Nr. 4 VgV nennt “Aspekte der digitalen Souveränität” als mögliches Zuschlagskriterium; die Begründung zählt dazu unter anderem Interoperabilität, Nachvollziehbarkeit der Datenverarbeitung und Lokalisierung von Daten. Parallel erlaubt § 128 Abs. 2 GWB, digitale Souveränität als Ausführungsbedingung festzulegen. Wichtig bleibt die Grenze des § 127 Abs. 1 GWB: Zuschlagskriterien brauchen einen Bezug zum Auftragsgegenstand. Für Anbieter heißt das praktisch: Datenstandort, Jurisdiktion und Exit-Fähigkeit sind keine weichen Marketing-Themen mehr, sondern können unmittelbar in die Angebotswertung einfließen.
Dieser Artikel dient der Orientierung für Anbieter und ersetzt keine Rechts- oder Vergabeberatung; maßgeblich sind die jeweiligen Vergabeunterlagen und der Vertragswortlaut. Quellen: CIO Bund zu EVB-IT Cloud, IT-Planungsrat Beschluss 2022/01 (Cloud-AGB) und Kriterienkatalog, BSI C5-Einführung, BSI-Mindeststandard externe Cloud-Dienste, § 393 SGB V, BMWE zum Vergabebeschleunigungsgesetz, IT-Planungsrat zur Deutschen Verwaltungscloud, BMI zum OZG-Änderungsgesetz. Stand: Juli 2026.
Engin Yildirim
Gründer von FoundersDeck. 13+ Jahre Erfahrung in der Softwareentwicklung. Entwickelt EU-First-Tools für Gründer und Indie-Hacker.
Mehr über mich →