Alle LeitfädenLeitfaden für Kommunen

OZG-2.0-Checkliste für DMS-Vergaben

Welche Anforderungen Sie 2026 bei einer DMS-Vergabe nach OZG-2.0-Standard formulieren müssen — und welche Software-Anbieter sie überhaupt erfüllen können.

12 Min. Lesezeit
Für: Verantwortliche für IT-Beschaffung in Kommunen, Stadtverwaltungen, Landratsämtern und kommunalen IT-Dienstleistern

OZG-2.0-Checkliste für DMS-Vergaben

Das Onlinezugangsgesetz 2.0 verpflichtet Kommunen ab 2026 nicht nur dazu, Verwaltungsleistungen digital anzubieten — sondern auch dafür, die zugehörigen Akten Ende-zu-Ende digital zu führen. Wer hier eine neue DMS-Lösung ausschreibt, muss eine ganze Reihe spezifischer Anforderungen in die Leistungsbeschreibung aufnehmen, die noch vor 5 Jahren nicht Pflicht waren.

Diese Checkliste fasst zusammen, was in einer OZG-2.0-konformen DMS-Ausschreibung 2026 nicht fehlen darf. Sie ersetzt keine vergaberechtliche Beratung, aber sie strukturiert das Anforderungs-Set so, dass Sie typische Fallstricke vermeiden.

1. Souveränität als K.O.-Kriterium

Hosting in Deutschland oder EU — Standard ist mittlerweile "ausschließlich in deutschen Rechenzentren". Verwenden Sie explizit den Begriff "ausschließlich" — sonst kommen Sie in Angebotsbewertungen mit Lösungen, die "auch" in der EU hosten (aber primär anderswo).

Vollständige Subdienstleister-Kette dokumentiert. Verlangen Sie die Auflistung ALLER Subprozessoren (nicht nur "Microsoft Azure", sondern auch deren CDN-Anbieter, Mail-Provider, Monitoring-Tools). Lösungen mit mehr als 5 Subprozessoren sind problematisch.

Kein CLOUD-Act-Risiko. Anbieter mit US-Muttergesellschaft (auch wenn deutsche GmbH) sind im CLOUD-Act-Konfliktfall verpflichtet, Daten herauszugeben. Wenn das für Sie ein Vergabe-Kriterium ist, schließen Sie US-Eigentum explizit aus.

EU-Datenstandort vertraglich UND technisch. Vertragsversprechen reichen nicht. Verlangen Sie technische Nachweise (Rechenzentrums-Adressen, Subdienstleister-Audits).

2. Technische Standards

E-Akte-Standards des Bundes. XAkte, XÖV-Standards für Behörden-Akten-Austausch. Mindestens XAkte 2.0 sollte unterstützt sein.

FIT-Connect-Anbindung. Für die Übertragung von Anliegen aus dem Bürgerportal in die richtige Fachakte. Ab 2026 in vielen Bundesländern Pflicht.

FIM-Stammdaten-Anbindung. Föderales Informationsmanagement, für vorausgefüllte Antragsdaten.

Aktenplan-Konformität. KGSt-Aktenplan, optional eigene oder kommunal-spezifische Aktenpläne. Aktenzeichen müssen automatisch nach definierten Regeln vergeben werden.

OpenDesk-Kompatibilität. Wer langfristig auf die Souveräne Arbeitsumgebung des Bundes setzen will: prüfen Sie, ob der DMS-Anbieter einen Konnektor zu OpenDesk hat (oder einen plant).

3. Datenschutz und IT-Sicherheit

BSI-IT-Grundschutz orientiert. Architektur und Betrieb sollten am BSI-Grundschutz-Profil für Kommunalverwaltung orientiert sein. Vollständige Zertifizierung des DMS-Produkts ist selten — wichtig ist die saubere Einbindung in Ihr ISMS.

Hosting ISO-27001-zertifiziert. Auch wenn das DMS selbst keine Zertifizierung hat, muss das Hosting-Setup ISO 27001 sein. Hetzner, STACKIT, plusserver und IONOS erfüllen das in ihren entsprechenden Tarifen.

Verschlüsselung in transit (TLS 1.3) und at rest (AES-256). Beides Pflicht, nicht optional.

Zwei-Faktor-Authentifizierung. Pflicht für alle administrativen Zugänge, dringend empfohlen für alle User mit Zugriff auf personenbezogene Daten.

Lückenloser Audit-Trail. Jeder Zugriff auf jede Akte muss protokolliert sein, mit User, Zeitstempel, Aktion. Export im für Behörden-Aufsichten lesbaren Format.

4. Vergabe-rechtliche Aspekte

Mittelstandsfreundliche Losbildung. Anstatt ein 5-Jahres-Vollvertrag mit einem Hyperscaler, lieber kleinere Lose: Lizenzen / Hosting / Beratung / Schulung getrennt. Erlaubt mehr Wettbewerb und reduziert Lock-in.

Datenexport-Klausel. Klare vertragliche Regelung, in welchem Format und in welcher Zeit ein Vollexport bei Vertragsende erfolgt. Idealerweise kostenfrei.

Recht auf Source-Code-Hinterlegung (Escrow). Bei Insolvenz des Anbieters müssen Sie den Code in Empfang nehmen können — wichtig für kritische Verwaltungs-Akten.

Höchstpreis-Steigerung pro Jahr fixieren. Z.B. "nicht mehr als Verbraucherpreisindex + 2 Prozent". Schützt vor opportunistischen Preiserhöhungen.

Mindestlaufzeit, danach monatlich kündbar. Standard: 12-36 Monate, dann monatlich. Längere Laufzeiten nur wenn finanziell deutlich besser.

5. Prüfung und Bewertung

Wenn Sie eine Souveränitätsmatrix als Bewertungsraster nutzen wollen (statt einfach Preis x Funktion), strukturieren Sie sie so:

  • Datenstandort (10-15 % Gewichtung)
  • Quellcode-Verfügbarkeit / Open Source (5-10 %)
  • Standardisierte Datenformate (5 %)
  • Schnittstellen-Standards (5-10 %)
  • Anbieter-Unabhängigkeit / Subdienstleister-Kette (10 %)
  • Mittelstand vs. Hyperscaler (5 % als Boost für mittelständische Anbieter)
  • Funktion (30-40 %)
  • Preis (15-20 %)
  • Implementierungs-/Support-Qualität (10 %)

Bei dieser Gewichtung schneiden mittelständische deutsche Anbieter wie Aktenplatz oder ELO regelmäßig vor Microsoft-/DocuWare-Setups ab — auch wenn der reine Funktionsumfang oft enger ist.

6. Was viele unterschätzen

Die Implementierungs-Dauer. Bei OZG-relevanten DMS-Setups ist 4-8 Wochen schnell, 6-12 Monate realistisch. Wer in 2026 ausschreibt, ist meist 2027 produktiv.

Den Schulungs-Aufwand. Sachbearbeiter brauchen 1-2 Tage Schulung, Power-User 3-5 Tage. Wenn das nicht im Vertrag drin ist, kommt es als Mehrkosten.

Den Migrations-Aufwand. Wenn Sie von einem Alt-DMS migrieren, ist das oft ein separates Projekt mit eigenem Budget. Klären Sie vorab Format-Kompatibilität.

Die laufenden Update-Kosten. Manche DMS-Anbieter haben "Lizenz" und "Wartung" getrennt — Wartung ist 18-22 % der Lizenzkosten pro Jahr. Das ist die wahre laufende Kostenbasis.

Fazit

Eine OZG-2.0-konforme DMS-Ausschreibung 2026 ist kein Standard-Beschaffungsvorgang. Die Anforderungen an Souveränität, Datenschutz und technische Standards sind so spezifisch, dass viele Standard-Ausschreibungen daran scheitern.

Diese Checkliste deckt die wichtigsten Punkte ab — sie ersetzt aber nicht die vergaberechtliche Begleitung durch einen erfahrenen Berater. Wenn Sie konkrete Fragen zu Ihrer Ausschreibung haben, sprechen Sie uns an. Wir beraten kostenfrei zur Leistungsbeschreibung, auch wenn Aktenplatz am Ende nicht zum Zug kommt.

Den Leitfaden als PDF per Email

Zum Speichern, Ausdrucken oder Weiterleiten an Kolleginnen und Kollegen. Kostenlos, ohne Newsletter-Verpflichtung.

Mit dem Absenden willigen Sie in die Verarbeitung Ihrer Daten zur Bearbeitung Ihrer Anfrage ein. Wir verwenden Ihre Email ausschließlich für diesen einen Versand und einen optionalen Follow-up nach 2 Wochen — keinen Newsletter, keine Drittweitergabe.