Der IT-Planungsrat hat die Beschaffungsregeln für öffentliche Software grundlegend geändert. Bei Neuentwicklungen ist Open Source jetzt der Regelfall. Für Unternehmen mit sensiblen Daten hat das weitreichende Konsequenzen – auch jenseits der Verwaltung.
Was jahrelang als politische Forderung durch Strategiepapiere geisterte, ist jetzt Vertragsrealität: Der IT-Planungsrat hat auf seiner 48. Sitzung am 26. November 2025 acht der sogenannten Ergänzenden Vertragsbedingungen für IT-Dienstleistungen (EVB-IT) überarbeitet. Bund, Länder und Kommunen können damit Open-Source-Software (OSS) erstmals rechtssicher beschaffen – und bei Neuentwicklungen wird OSS sogar zum Standard. Die neuen Vorlagen sind seit März 2026 auf der Webseite des Bundesministeriums für Digitales und Verkehr (BMDV) veröffentlicht und im Tool EVB-IT Digital integriert.
Der Beschluss klingt technisch. In der Praxis verändert er die Spielregeln der öffentlichen IT-Beschaffung grundlegend – und sendet ein Signal, das weit über die Amtsstuben hinausreicht.
Die gewichtigste Neuerung steckt im EVB-IT Erstellung: Wird neue Software im öffentlichen Auftrag entwickelt, ist die Bereitstellung als Open Source jetzt der Standard. Der Code soll auf OpenCoDE veröffentlicht werden, dem zentralen Repository der öffentlichen Verwaltung für quelloffene Software. Zusätzlich müssen Auftragnehmer eine Software Bill of Materials (SBOM) liefern – ein maschinenlesbares Verzeichnis aller verwendeten Softwarekomponenten und Abhängigkeiten. Das verbessert die Transparenz über eingesetzte Bibliotheken und erleichtert das Schwachstellenmanagement erheblich.
In Vorlagen, bei denen sowohl Open-Source- als auch proprietäre Software infrage kommt – etwa EVB-IT Überlassung Typ A und EVB-IT Dienstleistung – wurden Ankreuzmöglichkeiten geschaffen. Beschaffungsstellen können damit gezielt OSS auswählen oder entsprechende Regelungen in den AGB aktivieren. Die Open Source Business Alliance (OSBA) bestätigt, dass insgesamt acht Vertragstypen angepasst wurden: Erstellung, Überlassung Typ A, Pflege S, Dienstleistung, System, Systemlieferung, Service und Rahmenvereinbarung. Noch nicht überarbeitet wurden die EVB-IT Cloud und die Überlassung Typ B – das ist für 2026 geplant.
Dass es so lange gedauert hat, liegt nicht an fehlender politischer Absicht, sondern an einem ganz praktischen Problem: Die bisherigen EVB-IT-Musterverträge waren ausschließlich auf proprietäre Software zugeschnitten. Viele Beschaffungsstellen interpretierten das so, dass OSS schlicht nicht „vergabekonform" beschaffbar sei – und ließen entsprechende Angebote gar nicht erst zu. Open-Source-Anbieter waren damit faktisch von zahlreichen Vergabeverfahren ausgeschlossen.
Birgit Becker, Sprecherin der Working Group Beschaffung bei der OSBA, bringt es auf den Punkt: Die Anpassung der Vertragsvorlagen habe für Open-Source-Unternehmen bisher einen erheblichen Mehraufwand bedeutet. Viele Anbieter hätten diesen Aufwand nicht leisten können oder wollen – mit dem Ergebnis, dass Beschaffungsstellen deutlich weniger Angebote erhielten.
Bereits 2015 hatte die OSBA eine Handreichung veröffentlicht, um Behörden beim OSS-Einkauf mit den alten EVB-IT zu unterstützen. Offensichtlich reichte das nicht, um die Bedenken flächendeckend auszuräumen. Die neuen EVB-IT schaffen nun Klarheit und Rechtssicherheit – auf Vertragsebene, nicht nur auf Absichtsebene.
Die EVB-IT-Anpassungen kommen nicht aus dem Nichts. Im Juli 2024 trat mit dem OZG-Änderungsgesetz der neue § 16a des E-Government-Gesetzes (EGovG) in Kraft. Darin heißt es klar: Bundesbehörden sollen bei neu anzuschaffender Software Open-Source-Software vorrangig beschaffen. Die neuen EVB-IT setzen diese Vorgabe jetzt auf Vertragsebene um und verankern damit den Grundsatz „Public Money, Public Code" – öffentlich finanzierter Code soll öffentlich verfügbar sein – als gelebte Praxis statt als politisches Schlagwort.
OpenCoDE spielt dabei eine zentrale Rolle: Die Plattform ermöglicht es Verwaltungen, bereits entwickelte Software nachzunutzen, Konfigurationen auszutauschen und voneinander zu lernen. Behörden können sehen, welche Lösungen in vergleichbaren Verwaltungen bereits im Einsatz sind. Aufgaben wie Lizenzverifizierung und Sicherheitsaudits lassen sich dort zentral durchführen – das reduziert redundante Entwicklungen und fördert die Interoperabilität zwischen Behördensystemen.
Deutschland steht mit dem EVB-IT-Beschluss nicht allein da. Im Juli 2025 veröffentlichte die European Alliance for Industrial Data, Edge and Cloud eine Roadmap mit dem Titel „The Open Source Way to EU Digital Sovereignty & Competitiveness". Das 68-seitige Dokument empfiehlt unter anderem, in der öffentlichen Beschaffung den Grundsatz „Public Money, Public Code, Open Source First, European Preference" verbindlich zu verankern.
Im Januar 2026 hat das EU-Parlament mit breiter Mehrheit eine Resolution zur „European technological sovereignty and digital infrastructure" verabschiedet. Der Kern: Europa soll eigene Cloud- und KI-Kapazitäten massiv ausbauen, offene Standards und Interoperabilität zur Pflicht machen und Open Source stärken. Die deutschen EVB-IT-Anpassungen dürften damit als Blaupause für ähnliche Initiativen in anderen EU-Mitgliedstaaten dienen.
Dass Open Source in der Verwaltung funktioniert, ist kein Gedankenspiel mehr, sondern dokumentierte Praxis. Schleswig-Holstein hat das Mailsystem der gesamten Landesverwaltung von Microsoft Exchange auf Open-Xchange und Thunderbird umgestellt – mit über 40.000 Postfächern und mehr als 100 Millionen migrierten E-Mails und Kalendereinträgen.
Rund 80 Prozent der Arbeitsplätze außerhalb der Steuerverwaltung arbeiten bereits ohne Microsoft Office. Der wirtschaftliche Effekt: Das Land beziffert die jährlichen Einsparungen bei Lizenzkosten auf rund 15 Millionen Euro, bei einmaligen Investitionen von neun Millionen Euro für Migration und Weiterentwicklung.
Die Bundeswehr hat 2025 einen Siebenjahresvertrag mit dem Zentrum für Digitale Souveränität (ZenDiS) über die Einführung von openDesk geschlossen. Bis Ende 2025 sollen 160.000 openDesk-Lizenzen in der Bundesverwaltung ausgerollt werden. Und der Internationale Strafgerichtshof (IStGH) hat nach dem viel beachteten Ausfall seines Microsoft-E-Mail-Zugangs 2025 den Wechsel zu openDesk vollzogen – rund 1.800 Arbeitsplätze.
Der EVB-IT-Beschluss richtet sich an die öffentliche Verwaltung. Aber die Signalwirkung geht deutlich weiter. Drei Gründe, warum gerade Unternehmen in regulierten Branchen genau hinschauen sollten:
Erstens: Die Richtung ist gesetzt. Wenn der Staat bei der Software-Beschaffung Open Source zum Regelfall macht, verändert das das gesamte Ökosystem. Anbieter, Integratoren und IT-Dienstleister werden ihre Portfolios anpassen. Wer als Unternehmen heute in neue IT-Infrastruktur investiert, sollte diese Dynamik berücksichtigen.
Zweitens: Open Standards senken Lock-in-Risiken. Die neuen EVB-IT fordern explizit die Bereitstellung auf OpenCoDE und die Übergabe einer SBOM. Für Unternehmen, die ihre Abhängigkeit von proprietären Ökosystemen reduzieren wollen, ist das ein Vorbild: Wer bei eigenen Beschaffungen auf offene Standards, dokumentierte Schnittstellen und Exit-Fähigkeit achtet, gewinnt Flexibilität und reduziert Wechselkosten.
Drittens: Die Compliance-Anforderungen steigen. NIS2, DORA und branchenspezifische Regularien verlangen zunehmend Transparenz über eingesetzte Softwarekomponenten, Lieferketten und Zugriffsmöglichkeiten. Eine SBOM, wie sie die neuen EVB-IT vorsehen, ist hier kein Luxus, sondern wird in vielen regulierten Branchen zur Pflicht – oder zumindest zur Best Practice.
Ein wichtiges Detail: Die EVB-IT Cloud und die EVB-IT Überlassung Typ B wurden noch nicht überarbeitet. Das ist insofern relevant, als gerade Cloud-Dienste die kritischste Frage der digitalen Souveränität berühren: Wer kontrolliert Infrastruktur, Daten, Schlüssel und Betrieb?
Die Diskussion um souveräne Cloud-Angebote von AWS, Microsoft und Google hat in den vergangenen Monaten gezeigt, dass „gehostet in Europa" allein keine Souveränität garantiert. Der US CLOUD Act verpflichtet US-Anbieter zur Herausgabe von Daten, über die sie Kontrolle haben – unabhängig vom Speicherort. Und das BMI-Gutachten vom Dezember 2025 hat bestätigt, dass US-Behörden weitreichenden Zugriff auch auf in der EU gespeicherte Daten haben können.
Für Behörden, KRITIS und regulierte Unternehmen bleibt deshalb die Frage, wem die Cloud-Infrastruktur gehört und welchem Rechtsraum sie unterliegt, mindestens genauso wichtig wie die Frage, ob die darauf laufende Software quelloffen ist.
Der EVB-IT-Beschluss ist ein überfälliger und wichtiger Schritt. Er beendet Jahre der Rechtsunsicherheit, öffnet den Markt für OSS-Anbieter und verankert den Grundsatz „Public Money, Public Code" auf Vertragsebene. Für Behörden wird der OSS-Einkauf damit so einfach wie der Kauf proprietärer Software – und bei Neuentwicklungen sogar zum Regelfall.
Für Unternehmen mit sensiblen Daten ist die Botschaft klar: Der Trend zu offenen Standards, transparenten Lieferketten und unabhängiger Infrastruktur ist nicht mehr aufzuhalten. Wer Souveränität ernst nimmt, sollte jetzt prüfen, wo im eigenen Tech Stack Abhängigkeiten bestehen – und wie sich diese kontrolliert abbauen lassen.
Souveräne Cloud-Infrastruktur beginnt allerdings nicht bei der Software-Lizenz, sondern bei der Frage: Wer kontrolliert meine Daten, meine Schlüssel und meinen Betrieb? SecureCloud unterstützt Organisationen genau bei dieser Frage – mit einer Infrastruktur, die ausschließlich in Deutschland betrieben wird, BSI C5-testiert ist und keinem Drittstaatenzugriff unterliegt.