Bild: Generiert mit Gemini Flash

ZenDiS-Kriterienkatalog: Souveränität als Prüfschema, nicht als Marketingbegriff

Das Zentrum für Digitale Souveränität der öffentlichen Verwaltung (ZenDiS) hat im März 2026 ein Diskussionspapier mit einem messbaren Kriterienkatalog vorgelegt. Der Katalog liegt als offene Konsultation auf openCode; jeder kann mitlesen und Vorschläge einbringen.

Inhalt dieses Beitrags
  1. Problem
  2. Kurze Antwort
  3. Tiefgang
  4. Was der Katalog leistet
  5. Die vier Dimensionen im Überblick
  6. Verhältnis zu C3A und EU CSF
  7. Konsultationsprozess
  8. Abgelehnte Alternativen
  9. Was Sie jetzt tun sollten
  10. Wie Dernium hier hilft
  11. Offene Punkte
  12. Häufige Fragen
  13. Was unterscheidet den ZenDiS-Katalog von einem Souveränitäts-Siegel?
  14. Was bedeuten die vier Dimensionen praktisch?
  15. Wie verhält sich der Katalog zu C3A und dem EU CSF?
  16. Kann ich den Katalog heute schon in einer Ausschreibung verwenden?

Problem

"Digital souverän" ist in den vergangenen Jahren zu einem Marketingbegriff geworden, der für sehr unterschiedliche Sachverhalte verwendet wird. Eine "EU-Region" auf einem Hyperscaler (einem der weltweit grössten Cloud-Konzerne) kann ebenso als souverän etikettiert sein wie eine vollständig in Deutschland betriebene Open-Source-Lösung. In Beschaffungs- und Architektur-Entscheidungen fehlte bisher ein Maßstab, an dem sich diese sehr unterschiedlichen Antworten messbar gegenüberstellen lassen.

Für wen ist das? Für Beschaffer und Architekten, die digitale Souveränität messbar bewerten wollen.

Kurze Antwort

Es gibt seit März 2026 einen offenen Kriterienkatalog, der "digitale Souveränität" in prüfbare Fragen zerlegt - statt sie als Etikett zu behandeln. Die Eckpunkte:

Tiefgang

Der ZenDiS-Katalog zerlegt digitale Souveränität in vier prüfbare Dimensionen statt in ein pauschales Etikett.
Der ZenDiS-Katalog zerlegt digitale Souveränität in vier prüfbare Dimensionen statt in ein pauschales Etikett.

Was der Katalog leistet

Der ZenDiS-Katalog ist bewusst nicht als Zertifizierungs-Standard angelegt, sondern als Bewertungs-Schema, das in eine Konsultationsphase (eine offene Abstimmungs- und Kommentierungsrunde) geht. Sein Wert liegt darin, dass die in der politischen Diskussion umlaufenden Souveränitäts-Begriffe in einzelne Prüf-Fragen zerlegt sind, die jeweils mit Belegen beantwortet werden müssen. Eine Antwort wie "souverän, weil EU-Vertragspartner" reicht nicht; verlangt wird zu jeder Dimension der Nachweis, an welchem Punkt die Lieferkette welcher Jurisdiktion unterliegt, welche Personen Zugriff haben, welche Komponenten austauschbar sind.

Die vier Dimensionen im Überblick

  1. Organisation und Fähigkeiten. Wer sind die operativ verantwortlichen Personen, wo sitzen sie, welche Verträge regeln den Zugriff. Welche internen Kompetenzen sind aufgebaut, wo besteht Abhängigkeit von externer Expertise.
  2. Digitale Anwendungen und Dienste. Sind die Anwendungen austauschbar (offene Schnittstellen, offene Datenformate), unterliegen sie freier Lizenzgebung, wer kontrolliert Updates und Sicherheits-Fixes.
  3. Daten. Welche Daten werden wo verarbeitet, wer kann unter welchem Recht auf sie zugreifen, welche Verschlüsselungs- und Schlüsselverwaltungs-Architektur ist in Kraft, wer hält Schlüssel.
  4. Betrieb und Infrastruktur. Wo stehen die Server, wer betreibt sie, welche Lieferketten für Hard- und Software liegen dahinter, welche Notfall- und Exit-Pfade existieren.

Die Kriterien sind so formuliert, dass sie sich in einer Vergabeunterlage (den Ausschreibungs-Dokumenten einer öffentlichen Beschaffung) als prüfbare Anforderungen wiederverwenden lassen.

Verhältnis zu C3A und EU CSF

Der ZenDiS-Katalog ergänzt die parallel laufenden Maßstäbe. C3A (ein Souveränitäts-Kriterienkatalog des BSI und der französischen ANSSI) ist ein Katalog für Cloud-Anbieter. Das EU CSF (EU Cybersecurity Certification Scheme for Cloud Services, das geplante EU-weite Zertifizierungsschema für Cloud-Dienste) setzt auf der EU-Ebene an. Der ZenDiS-Katalog adressiert die Nachfrage-Seite, also die Verwaltung selbst und ihre Beschaffungs-Prozesse. Wer eine Cloud-Ausschreibung formuliert, wird in der Praxis die Anforderungen aus dem ZenDiS-Katalog auf der Nachfrage-Seite ableiten und C3A-Konformität auf der Angebots-Seite verlangen.

Konsultationsprozess

Das Repository auf openCode steht unter MIT-Lizenz; Issues und Merge-Requests (Fehler- bzw. Änderungsvorschläge) sind offen. Wer in einer Verwaltung oder als IT-Dienstleister konkrete Erfahrung mit Vergaben hat, kann dort einbringen, welche Kriterien in der Praxis prüfbar sind und welche zu unbestimmt bleiben. Die Konsultation ist explizit Teil des Katalogs und kein Marketing-Beiwerk.

Abgelehnte Alternativen

Bestehende Souveränitäts-Scoring-Modelle aus dem Industrie-Umfeld übernehmen. Diese Modelle sind oft an einzelnen Anbietern oder Allianzen entwickelt worden und reproduzieren Schwerpunkte, die zur jeweiligen Produktstrategie passen. Ein staatlich getragener und öffentlich konsultierter Katalog hat den Vorteil, dass die Schwerpunkte aus der Verwaltungsbedarfslage abgeleitet sind.

Was Sie jetzt tun sollten

  1. Nutzen Sie die vier Dimensionen als Gliederung, wenn Sie in einer Ausschreibung Souveränitäts-Anforderungen formulieren - statt eines pauschalen "muss souverän sein".
  2. Verlangen Sie von Anbietern zu jeder Dimension konkrete Belege (Sitz der verantwortlichen Personen, Jurisdiktion der Lieferkette, Schlüssel-Hoheit), nicht nur Selbstauskünfte.
  3. Trennen Sie Nachfrage- und Angebotsseite: Leiten Sie Ihre Anforderungen aus dem ZenDiS-Katalog ab und verlangen Sie ergänzend einen anbieterbezogenen Nachweis wie C3A.
  4. Probieren Sie das Online-Werkzeug souveränitätscheck.de, um die Kriterien an einem konkreten Dienst durchzuspielen.
  5. Wenn Sie Vergabe-Erfahrung haben, bringen Sie sich über das openCode-Repository in die laufende Konsultation ein.

Wie Dernium hier hilft

Dernium ist als Anbieter so aufgestellt, dass die vier Dimensionen mit konkreten Belegen beantwortet werden können: Gesellschaftssitz und Belegschaft in Deutschland, eigener Auth- und Betriebs-Stack, Open-Source-Anteile dokumentiert, Schlüssel-Custody beim Kunden (also Schlüssel-Hoheit beim Kunden statt beim Anbieter) bei Produkten wie Dernium Office und Dernium Note. Wer den ZenDiS-Katalog in einer eigenen Vergabe-Vorbereitung nutzt, findet die Dernium-Antworten direkt in den Architektur-Beschreibungen unserer TechTalks und auf den Produktseiten.

Offene Punkte

Der Katalog ist im Mai 2026 in der Konsultation. Einzelne Kriterien werden im Zuge der Beiträge präzisiert oder umstrukturiert. Wer ihn heute zitiert, sollte den Stand explizit benennen und mit einem Link auf das openCode-Repository (mit Commit-Stand, also dem genauen Bearbeitungsstand) absichern.

Häufige Fragen

Was unterscheidet den ZenDiS-Katalog von einem Souveränitäts-Siegel?

Der Katalog ist kein Zertifikat, das man bestehen oder verfehlen kann, sondern ein Bewertungs-Schema mit Prüf-Fragen. Statt eines Ja/Nein-Stempels verlangt er zu jeder der vier Dimensionen konkrete Belege - etwa wer Zugriff hat oder wessen Recht auf die Daten anwendbar ist. Außerdem steht er offen in Konsultation, kann sich also noch ändern.

Was bedeuten die vier Dimensionen praktisch?

Sie strukturieren die Frage "wie souverän ist eine Lösung?" in vier prüfbare Bereiche: die verantwortlichen Personen und Kompetenzen (Organisation), die Austauschbarkeit der Software (Anwendungen), den Datenzugriff und die Schlüssel-Hoheit (Daten) sowie den Serverstandort und die Lieferkette (Betrieb und Infrastruktur). Jeder Bereich wird einzeln mit Nachweisen beantwortet, statt alles in einem Pauschalurteil zu verschmelzen.

Wie verhält sich der Katalog zu C3A und dem EU CSF?

Die drei ergänzen sich. ZenDiS richtet sich an die Nachfrage-Seite, also Verwaltungen, die beschaffen. C3A bewertet die Anbieter-Seite, also Cloud-Dienstleister. Das EU CSF ist das übergeordnete EU-weite Zertifizierungsschema. In einer Ausschreibung leitet man die eigenen Anforderungen aus dem ZenDiS-Katalog ab und verlangt vom Anbieter zusätzlich einen Nachweis wie C3A-Konformität.

Kann ich den Katalog heute schon in einer Ausschreibung verwenden?

Ja, aber mit einem Hinweis auf den Stand. Der Katalog ist 2026 noch in Konsultation, einzelne Kriterien werden präzisiert oder umstrukturiert. Wer ihn zitiert, sollte deshalb den genauen Bearbeitungsstand benennen und auf das openCode-Repository mit Commit-Stand verlinken, damit die Anforderung später nachvollziehbar bleibt.