Was die modernisierten EVB-IT für die öffentliche Beschaffung mit Open Source bedeuten
Ende März 2026 hat der Bund die wichtigsten Vertragsvorlagen für IT-Beschaffung grundlegend überarbeitet. Wer Software an die öffentliche Hand liefert – oder als Behörde beschafft – sollte die neuen Spielregeln kennen. Sie verschieben nicht nur Detailklauseln, sondern eine grundsätzliche Logik … wofür es auch an der Zeit war.
Worum es geht
Die sogenannten EVB-IT („Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen“) sind die standardisierten Vertragsmuster, mit denen Bund, Länder und Kommunen seit den 1990er-Jahren Software, Pflege und IT-Projekte einkaufen. Sie sind das Ergebnis dauerhafter Aushandlung zwischen der öffentlichen Hand und dem Digitalverband Bitkom und ersparen es jeder einzelnen Vergabestelle, das Rad neu zu erfinden. Für Anbieter sind sie faktisch der Marktstandard: Wer an die Verwaltung verkaufen will, verkauft auf Basis der EVB-IT.
Am 20. März 2026 hat das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) die bislang umfangreichste Überarbeitung dieser Muster veröffentlicht. Der Kern: Open Source Software (OSS) soll rechtssicher beschaffbar werden – als Beitrag zur vielzitierten „digitalen Souveränität“.
Der Paradigmenwechsel: Open Source als Ausgangspunkt
Die bisherigen EVB-IT waren auf proprietäre Software zugeschnitten – Lizenzlogik, Nutzungsrechte und Gewährleistung dachten Software stets als geschlossenes Produkt eines einzelnen Herstellers. Das benachteiligte Open-Source-Anbieter strukturell und machte OSS-Beschaffungen rechtlich umständlich.
Das kehrt sich nun um: Bei neuen Softwareentwicklungsprojekten wird die Entwicklung und Bereitstellung als Open Source künftig als Standard abgebildet. Proprietäre Software bleibt ausdrücklich möglich – die Flexibilität bei der Technologiewahl ist gewahrt. Aber die Richtung hat sich gedreht: Nicht mehr OSS ist die Ausnahme, die man rechtfertigt, sondern zunehmend die proprietäre Wahl.
Für das Management heißt das: Wer künftig eine proprietäre Lösung in einer öffentlichen Vergabe durchsetzen will, muss diese Entscheidung tragfähiger begründen können. Das hat unmittelbare Relevanz für die Angebotsstrategie und für die Risikobewertung möglicher Nachprüfungsverfahren.
Klare Leitplanken: definierte Lizenzen statt Grauzonen
Eine der größten praktischen Hürden bei OSS war stets die Lizenzvielfalt. Die neuen EVB-IT definieren den Begriff „Open Source Software“ erstmals eigenständig und verweisen auf eine geprüfte Übersicht zulässiger Lizenzen. Diese Liste wurde über die Plattform openCode – die zentrale Open-Source-Plattform der öffentlichen Verwaltung – kuratiert und umfasst rund zehn Seiten an Lizenzen, jeweils mit eindeutigem, maschinenlesbarem SPDX-Identifier.
Vertreten sind die üblichen Schwergewichte (MIT, Apache 2.0, die GPL- und LGPL-Familien, AGPL-3.0) – bis hin zur kuriosen „Beerware“-Lizenz. Der praktische Wert liegt in der Eindeutigkeit: Statt im Einzelfall über die Zulässigkeit einer Lizenz zu streiten, gibt es nun eine Positivliste. Das senkt Transaktionskosten und Rechtsunsicherheit auf beiden Seiten des Vertrags.
Vorsicht bleibt geboten: Die Positivliste löst nicht alle Fragen. Gerade Copyleft-Lizenzen wie die AGPL können bei der Kombination von Komponenten oder bei abgeleiteten Werken erhebliche Folgepflichten auslösen. Eine saubere Lizenz-Compliance-Prüfung bleibt unverzichtbar – die Liste ersetzt sie nicht, sie strukturiert sie nur.
SBOM: Transparenz wird vertraglich verankert
Im Gleichklang mit dem europäischen Cyber Resilience Act (CRA) sehen die neuen EVB-IT optional die Übergabe einer Software Bill of Materials (SBOM) vor – einer strukturierten „Stückliste“ aller Softwarekomponenten, Bibliotheken und Abhängigkeiten samt Versions- und Lizenzangaben.
Das ist mehr als Bürokratie. Eine SBOM macht nachvollziehbar, woraus eine Software tatsächlich besteht – die Voraussetzung dafür, im Ernstfall (Stichwort: Sicherheitslücken in Drittkomponenten) schnell zu erkennen, ob man betroffen ist. Bemerkenswert aus rechtlicher Sicht: Der CRA verpflichtet Hersteller nicht automatisch, ihre SBOM an Kunden herauszugeben – er behandelt sie primär als interne Dokumentation. Die neuen EVB-IT schließen diese Lücke: Über eine vertragliche Option wird die SBOM-Übergabe zur Lieferpflicht des Auftragnehmers.
Für das Management heißt das: Die SBOM-Klausel wird zum Verhandlungsgegenstand. Format, Detailtiefe und Aktualisierungspflichten sollten vor Vertragsschluss bewusst festgelegt werden – sonst entstehen entweder Lücken oder unnötiger Aufwand. Wer Software liefert, sollte zudem prüfen, ob die eigenen Entwicklungsprozesse SBOM-fähig sind. Die ersten CRA-Meldepflichten greifen bereits ab September 2026.
Vollständige Digitalisierung des Vertragsprozesses
Begleitend stehen erstmals sämtliche EVB-IT-Vertragsmuster im Tool EVB-IT digital zur Verfügung – zuvor war das nur beim Rahmenvertrag der Fall. Das Legal-Tech-Werkzeug führt Anwender per Frage-Antwort-Logik durch den Vertrag und erzeugt daraus ein passgenaues Dokument. Konsequent: Das Tool selbst ist als Open-Source-Software entwickelt und über openCode verfügbar.
Einordnung: der größere Zusammenhang
Die Reform ist kein isolierter Verwaltungsakt, sondern Teil einer politischen Linie. Der aktuelle Koalitionsvertrag formuliert das Ziel eines „digital souveränen Deutschland“ ausdrücklich – auch als Reaktion auf erkannte Abhängigkeiten von wenigen großen, überwiegend außereuropäischen Anbietern. Beim EU-eGovernment-Benchmark 2024 belegte Deutschland nur einen hinteren Rang. Die EVB-IT-Modernisierung ist ein konkreter Hebel, um diesen Rückstand anzugehen: Sie senkt die rechtliche Schwelle für quelloffene Lösungen genau dort, wo der Staat als Großeinkäufer Marktmacht entfaltet.
Was Sie konkret tun sollten
Für Anbieter lohnt der Blick auf drei Punkte: Passt das eigene Lizenzmodell zur openCode-Positivliste? Sind die Entwicklungsprozesse SBOM-fähig? Und ist die Vertriebsstrategie auf eine Welt vorbereitet, in der Open Source der Default ist? Für Beschaffer und Entscheider in der Verwaltung gilt: Die neuen Muster reduzieren Rechtsrisiken bei OSS erheblich – aber sie erfordern eine bewusste Auseinandersetzung mit Lizenz- und SBOM-Optionen. Wer die Standardeinstellungen unreflektiert übernimmt, verschenkt entweder Transparenzvorteile oder schafft sich unnötige Lieferpflichten. Die Vertragsmuster stehen kostenfrei zur Verfügung. Eine frühzeitige rechtliche Begleitung – insbesondere bei Lizenz-Compliance und SBOM-Gestaltung – zahlt sich gerade in der Übergangsphase aus, in der sich Marktpraxis und Auslegung erst herausbilden.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Deutschland bekommt ein KI-Gesetz: Bündelung der nationalen KI-Aufsicht bei der Bundesnetzagentur – 13. Juni 2026
- Recherche ohne Beweislast: Warum Presse auch unbegründete Werturteile fällen darf – 12. Juni 2026
- Wenn der eigene Mitarbeiter eine Sicherheitslücke findet: Rechtliche Risiken für Unternehmen – 12. Juni 2026