Souveräne Softwareentwicklung für Behörden: OZG, Gaia-X & digitale Unabhängigkeit

Behörden und öffentliche Einrichtungen stehen vor einer doppelten Herausforderung: Sie müssen ihre Verwaltungsprozesse digitalisieren – und dabei die Kontrolle über Daten, Software und IT-Infrastruktur behalten. Die Abhängigkeit von proprietären Lösungen und außereuropäischen Technologiekonzernen wird zunehmend als Risiko für die staatliche Handlungsfähigkeit bewertet. Dieser Leitfaden zeigt, wie souveräne Softwareentwicklung für den öffentlichen Sektor gelingt: OZG-konform, quelloffen, barrierefrei und interoperabel.

Ein jüngerer Mitarbeiter und eine erfahrene Kollegin arbeiten lächelnd zusammen an einem großen Touch-Monitor in einem hellen, modernen Verwaltungsbüro – eine Darstellung für benutzerfreundliche und souveräne Software für Behörden im Arbeitsalltag.

1. Warum Behörden souveräne Software brauchen
2. Anforderungen an souveräne Behördensoftware
3. Von der Vergabe bis zum Betrieb
4. Regulatorischer Rahmen
5. Weiterführende Informationen

Warum Behörden souveräne Software brauchen

Abhängigkeit als Risiko für die öffentliche Daseinsvorsorge

Öffentliche Einrichtungen tragen eine besondere Verantwortung: Sie verwalten Bürgerdaten, betreiben kritische Infrastrukturen und müssen ihre Handlungsfähigkeit auch in Krisensituationen aufrechterhalten. Die Abhängigkeit von proprietären Softwarelösungen und außereuropäischen Technologiekonzernen erzeugt Risiken, die über das hinausgehen, was im privatwirtschaftlichen Kontext akzeptabel wäre:

Datensouveränität: Bürgerdaten müssen unter europäischer Kontrolle bleiben. Der Zugriff durch außereuropäische Behörden (z. B. über den US CLOUD Act) muss ausgeschlossen werden.
Handlungsfähigkeit: Wenn ein Anbieter sein Produkt einstellt, Preise erhöht oder Lizenzbedingungen ändert, darf die Verwaltung nicht handlungsunfähig werden.
Transparenz: Öffentliche Institutionen müssen nachweisen können, wie Daten verarbeitet werden. Bei proprietärer Software ist das oft nicht möglich.
Demokratische Kontrolle: Die IT-Infrastruktur des Staates sollte demokratisch kontrollierbar sein – nicht von den Geschäftsentscheidungen einzelner Konzerne abhängen.

OZG und der Weg zur digitalen Verwaltung

Das Onlinezugangsgesetz (OZG) verpflichtet Bund, Länder und Kommunen, ihre Verwaltungsleistungen digital anzubieten. Dabei werden zentrale Anforderungen an die eingesetzte Software gestellt:

Offene Standards: Systeme müssen auf offenen, dokumentierten Standards basieren
Interoperabilität: Verschiedene Verwaltungssysteme müssen Daten austauschen können
Barrierefreiheit: Digitale Dienste müssen für alle Bürger zugänglich sein (BITV 2.0, EN 301 549)
Nachnutzbarkeit: Einmal entwickelte Lösungen sollen von anderen Verwaltungen nachgenutzt werden können

Abschied von proprietären Lösungen

Immer mehr Verwaltungen erkennen, dass proprietäre Lösungen die OZG-Ziele nicht optimal unterstützen. Der Trend geht klar zu:

Open-Source-Software, die transparent, prüfbar und anpassbar ist
Individuelle Softwareentwicklung, die genau auf die Verwaltungsprozesse zugeschnitten ist
Modulare Architekturen, die schrittweise eingeführt und erweitert werden können

Anforderungen an souveräne Behördensoftware

Deutsche Cloud-Infrastruktur

Für den Betrieb von Verwaltungssoftware kommen nur souveräne Cloud-Lösungen in Frage, die folgenden Kriterien genügen:

Rechenzentren in Deutschland unter deutscher/europäischer Jurisdiktion
Kein Zugriff durch außereuropäische Behörden (CLOUD Act-Immunität)
Operativer Betrieb durch sicherheitsüberprüftes Personal
Zertifizierung nach ISO 27001und BSI-IT-Grundschutz
Kompatibilität mit Gaia-X-Standards

Quelloffen und prüfbar

Open-Source-Software bietet für Behörden strukturelle Vorteile:

Vollständige Transparenz: Der Quellcode ist einsehbar und prüfbar – keine versteckte Telemetrie, keine undokumentierten Datenflüsse
Auditierbarkeit: Unabhängige Prüfstellen können den Code auf Sicherheit und Compliance untersuchen
Keine Lizenzabhängigkeit: Die Verwaltung ist nicht von Lizenzbedingungen eines einzelnen Anbieters abhängig
Nachnutzbarkeit: Andere Verwaltungen können die Software übernehmen und an ihre Anforderungen anpassen

Barrierefreiheit

Das Barrierefreiheitsstärkungsgesetz und die BITV 2.0 stellen Anforderungen an die Zugänglichkeit digitaler Verwaltungsdienste. Souveräne Behördensoftware muss von Anfang an barrierefrei konzipiert sein:

Konformität mit WCAG 2.1 Level AA
Tastaturnavigation und Screenreader-Kompatibilität
Einfache Sprache und verständliche Benutzerführung
Regelmäßige Barrierefreiheitstests

Interoperabilität

Verwaltungssysteme existieren nicht isoliert. Sie müssen mit anderen Behörden, Fachverfahren und zentralen Registern kommunizieren können:

Standardisierte Schnittstellen (XÖV-Standards, FIM, REST-APIs)
Offene Datenformate für den Datenaustausch
Unterstützung von Bürgerkonten und eID-Integration
Nachrichtenformate nach europäischen Standards

Wartbarkeit und Langfristigkeit

Verwaltungssoftware muss über viele Jahre betrieben werden. Die Architektur muss so gestaltet sein, dass:

Regelmäßige Sicherheitsupdates zeitnah eingespielt werden können
Die Software auch nach einem Wechsel des Dienstleisters weiterentwickelt werden kann (keine Vendor-Lock-in-Risiken)
Vollständige technische Dokumentation vorliegt und gepflegt wird
Die Technologie-Basis langfristig unterstützt wird (LTS-Versionen)

Von der Vergabe bis zum Betrieb

Ausschreibung und Vergabe

Bei der Vergabe von Softwareentwicklungsprojekten im öffentlichen Sektor sollten Souveränitätskriterien als Bewertungsfaktoren berücksichtigt werden:

Code-Eigentum: Der Quellcode gehört der Behörde
Open-Source-Pflicht: Die eingesetzten Technologien basieren auf Open Source
Dokumentationspflicht: Vollständige technische Dokumentation ist Lieferbestandteil
Exit-Regelungen: Vertragliche Absicherung für den Fall eines Dienstleisterwechsels
Referenzen: Erfahrung des Anbieters im öffentlichen Sektor und mit souveränen Technologien

Agile Entwicklung mit Verwaltungsbezug

Agile Softwareentwicklung hat sich auch im öffentlichen Sektor bewährt – mit Anpassungen:

Regelmäßige Demos und Feedbackschleifen mit den Fachabteilungen
Sprint-Reviews mit Beteiligung der Nutzer (Sachbearbeiter, Bürger-Vertreter)
Kontinuierliche Integration und automatisierte Tests
Dokumentation als fester Bestandteil jedes Sprints

Betrieb und Wartung

Nach der Entwicklung ist die langfristige Wartung entscheidend. Application Management für Behördensoftware umfasst:

Regelmäßige Sicherheitsupdates und Patches
Monitoring und Incident Response
Performance-Optimierung
Weiterentwicklung bei geänderten Anforderungen
Einhaltung der NIS-2-Anforderungen für den laufenden Betrieb

Regulatorischer Rahmen

NIS-2 für den öffentlichen Sektor

Die NIS-2-Richtlinie betrifft auch öffentliche Einrichtungen. Sie fordert unter anderem:

Risikomanagement für IT-Systeme und -Prozesse
Meldepflichten bei Sicherheitsvorfällen
Sicherheitsanforderungen an die Lieferkette (einschließlich IT-Dienstleister)
Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen

DSGVO und Bürgerdaten

Behörden verarbeiten große Mengen personenbezogener Daten. Die DSGVO setzt strenge Anforderungen an:

Zweckbindung und Datensparsamkeit
Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten
Recht auf Datenportabilität (Art. 20)
Transparenz über die Datenverarbeitung

BSI IT-Grundschutz

Der IT-Grundschutz des BSI bietet eine bewährte Methodik für die Absicherung von IT-Systemen in Behörden. Souveräne Softwareentwicklung berücksichtigt die Grundschutz-Anforderungen von der Architektur über die Entwicklung bis zum Betrieb.

Weiterführende Informationen

Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu regulatorischen Anforderungen empfehlen wir die Konsultation einer spezialisierten Rechtsberatung.