Kommentar: Der Deutschland-Stack ist super – aber wirkt er auch?
Der Deutschland-Stack soll die Verwaltungs-IT revolutionieren. Doch ohne verbindliche Beschaffung bleiben die Standards wirkungslos, meint Moritz Förster
(Bild: bluefish_ds/Shutterstock.com/heise medien)
Der Deutschland-Stack des IT-Planungsrats ist das ambitionierteste Standardisierungspapier der deutschen Verwaltungs-IT seit Jahren. Über 50 Standards, Protokolle und Regelwerke, sieben Architekturschichten, von der Cloud bis zur künstlichen Intelligenz. Auf dem Papier sieht das beeindruckend aus. Aber Papier ist geduldig – und die deutsche Verwaltung ist es leider auch.
Die entscheidende Frage an den Deutschland-Stack lautet nicht, welche Standards er benennt. Sie lautet, ob diese Standards jemals in genügend Ausschreibungen auftauchen werden. Denn zwischen Beschluss und Beschaffung klafft in der deutschen Verwaltung ein Abgrund, der sich mit keinem Architekturdiagramm überbrücken lässt.
Verbindlich klingt gut – ist es aber kaum
Wer den Beschlusstext genau liest, stellt fest: Die Verbindlichkeit ist schwächer, als er zunächst vermuten lässt. Die Standards gelten als „verbindliche Grundlage der Lösungen des Deutschland-Stacks“. Das heißt: Wer eine Lösung innerhalb des Stacks entwickelt, muss sich an die Standards halten. Ob eine Behörde das fertige Produkt aber tatsächlich einsetzt, ist eine andere Frage. Hier formuliert der Beschluss lediglich, dass Bund, Länder und Kommunen die Nutzung bei Neu- und Weiterentwicklungen „anstreben“.
Anstreben. Nicht: umsetzen. Nicht: verpflichtend einfĂĽhren. Anstreben.
Der Beschluss selbst nennt keine Sanktionen, keine Audits, keine Berichtspflichten. Er zielt auf Neu- und Weiterentwicklungen – die große Masse der Bestandssysteme bleibt faktisch unangetastet. Und Kommunen, die einen Großteil der Verwaltungsleistungen erbringen, sind im IT-Planungsrat zwar institutionell eingebunden, aber nicht stimmberechtigte Vertragsparteien. Ein verbindlicher Standard ohne Durchsetzungsinstrument ist am Ende eine Empfehlung im Anzug.
ODF: Immer wieder beschlossen, kaum umgesetzt
Wie wirkungslos bleiben Standardbeschlüsse ohne Beschaffungskonsequenz? Das zeigt ein Format, das auch im Deutschland-Stack wieder prominent auftaucht: das Open Document Format. ODF steht seit Ewigkeiten auf den Wunschlisten der Verwaltungsdigitalisierung. Erst im März 2025 hat der IT-Planungsrat mit Beschluss 2025/06 festgelegt, dass ODF bis 2027 zum Standard für den Dokumentenaustausch werden soll. Jetzt steht ODF auch im Deutschland-Stack. Das ist gut.
Aber: Die Realität in den Behörden sieht anders aus. Bund und viele Länder setzen weiterhin stark auf Microsoft. Schleswig-Holstein treibt als eines der wenigen Länder die Umstellung auf LibreOffice und offene Formate tatsächlich voran – ein Prozess, der selbst dort langwierig und politisch umkämpft ist. Bayern will hingegen ganz dringend in die M365-Cloud. Das sind nicht die Rahmenbedingungen, in denen ein weiterer ODF-Beschluss plötzlich Wirkung entfaltet.
Man darf also die Frage stellen: ODF steht jetzt auch im Deutschland-Stack – wird sich deshalb 2028 irgendetwas daran geändert haben, dass sich Behörden DOCX-Dateien zuschicken? Leider muss die Befürchtung lauten: Nein.
Sovereign Cloud Stack: Standard ohne Förderung
Noch deutlicher wird der Widerspruch zwischen Anspruch und Realität beim Sovereign Cloud Stack. Der SCS, entwickelt von der Open Source Business Alliance, definiert einen vollständig offenen, interoperablen Cloud-Technologiestack für die Verwaltung. Der Deutschland-Stack führt ihn als verbindlichen Cloud-Standard neben OpenStack und den Standards der Deutschen Verwaltungscloud.
Gleichzeitig hat der Bund die Förderung für den SCS auslaufen lassen, stattdessen sprangen die Mitgliedsunternehmen der OSBA ein. Das Projekt, das die technische Grundlage für souveräne Cloud-Infrastrukturen liefern soll, muss sich ohne öffentliche Finanzierung weiterentwickeln – während AWS, Azure und Google mit bestens finanzierten US-Angeboten vor der Tür stehen.
In der Beschaffungsrealität bedeutet das: Wenn eine Vergabestelle zwischen einem schlüsselfertigen Hyperscaler-Angebot und einem SCS-konformen Angebot wählen muss, das auf einer so finanzierten Open-Source-Plattform basiert, dürfte in vielen Fällen das Erstere gewinnen. Nicht aus böser Absicht, sondern aus nachvollziehbarer Pragmatik. Man benennt also einen Standard, fördert ihn aber nicht. Und untergräbt so die Glaubwürdigkeit des gesamten Vorhabens.
Videos by heise
Die Vergabestelle entscheidet, nicht das Gremium
Das strukturelle Problem hinter all dem: In der Praxis entscheiden nicht Gremien ĂĽber die eingesetzte Technologie, sondern Vergabestellen. Und die folgen oft anderen Logiken als ein Architekturpapier.
Das Vergaberecht erlaubt durchaus qualitative und technische Zuschlagskriterien – digitale Souveränität ließe sich also vergaberechtlich abbilden. In der Praxis sind aber Wirtschaftlichkeit und Wettbewerb die Maxime. Der chronische Fachkräftemangel in Behörden verschärft das Problem: Selbst wenn eine Ausschreibung SCS-Konformität fordert – wer soll die Infrastruktur anschließend betreiben? In der Beschaffungspraxis gewinnt häufig die Lösung, die am schnellsten verfügbar und mit am wenigsten internem Aufwand zu betreiben ist. Und das sind in vielen Fällen die proprietären Platzhirsche.
Denen kann der Deutschland-Stack schlicht nicht das Heft aus der Hand nehmen. Er definiert bloß, welche Standards souverän sind. Er sagt wenig darüber aus, wie sie in Leistungsbeschreibungen, Eignungskriterien und Zuschlagsentscheidungen ankommen sollen.
Vom Katalog zum Vertrag
Dabei gäbe es Ansatzpunkte. Die EVB-IT – die Ergänzenden Vertragsbedingungen für IT-Beschaffungen – stehen bereits im Stack. Das ist ein richtiger Schritt. Aber sie müssten um konkrete Stack-Konformitätskriterien erweitert werden, sodass die Einhaltung der definierten Standards zum prüfbaren Bestandteil von Verträgen wird.
Ein Vorbild dafür existiert: Der C5-Katalog des BSI hat sich als zentrales Kriterium bei Cloud-Ausschreibungen der Verwaltung etabliert. Zwar ist ein C5-Testat formal nicht die einzige Möglichkeit, Sicherheitsanforderungen nachzuweisen – aber in der Praxis kommt kaum ein Cloud-Anbieter, der für die Verwaltung arbeiten will, daran vorbei. Dieses Prinzip ließe sich auf den Deutschland-Stack übertragen: Stack-Konformität als gewichtiges Eignungskriterium, nicht als unverbindliche Empfehlung.
Die Bewährungsprobe beginnt jetzt
Der Deutschland-Stack verdient Anerkennung. Zwar gab es mit SAGA und der Föderalen IT-Architekturrichtlinie bereits frühere Standardisierungsrahmen – aber in seiner konkreten Zuspitzung auf über 50 benannte Standards über sieben Architekturschichten hinweg geht der Deutschland-Stack deutlich weiter als seine Vorgänger. Wer die zähe Geschichte der Verwaltungsdigitalisierung in diesem Land kennt, weiß, dass allein das keine Selbstverständlichkeit ist.
Aber die Geschichte der deutschen Verwaltungsdigitalisierung ist eben auch eine Geschichte beschlossener Standards, die nie in Verträgen gelandet sind. Von Strategiepapieren, die in Schubladen verschwunden sind. Von Pilotprojekten, die nie skaliert wurden.
Die eigentliche Bewährungsprobe für den Deutschland-Stack ist nicht der IT-Planungsrat. Sie beginnt in der nächsten Ausschreibung eines Landesrechenzentrums. Im nächsten Vergabeverfahren für ein kommunales Fachverfahren. Im nächsten Rahmenvertrag für Cloud-Dienste.
Geplant haben wir unsere Souveränität jetzt genug. Packen wir sie endlich an!
(fo)
