Digitale Souveränität | muenchen.digital

Was bedeutet digitale Souveränität?

Die Landeshauptstadt München orientiert sich dabei an der Definition des Bundes. Digitale Souveränität beschreibt "die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können."

Die drei Kernaspekte:

Selbstständigkeit: Das Subjekt ist vollständig eigenständig handlungsfähig, wobei Abhängigkeiten von anderen Akteuren minimiert sind.
Selbstbestimmtheit: Entscheidungshoheit über den Wechsel von Produkten und Anbietern und Subjekt kann jederzeit die Richtung beeinflussen.
Sicherheit: Transparenz über Software, Herkunft, gesetzliche Vorgaben und Sicherheitsstandards.

Digitale Souveränität ist dabei kein Selbstzweck, sondern wird stets gemeinsam mit anderen Kriterien wie Datenschutz, Barrierefreiheit, Nutzbarkeit und Funktionalität abgewogen.

Warum ist digitale Souveränität so wichtig?

Eine stabil funktionierende Behörden-IT ist Teil der kritischen Infrastruktur. Internationale Abhängigkeiten, geopolitische Spannungen und rechtliche Unsicherheiten können Risiken für den Betrieb, den Datenschutz oder die Kostenkontrolle bedeuten.

Digitale Souveränität bedeutet nicht vollständige Unabhängigkeit von externen Anbietern. In einer multipel vernetzten Welt sind Abhängigkeiten unvermeidbar. Die Digitalisierung kann nur mit Arbeitsteilung und Partnerschaften vorankommen, und die implizieren zwangsläufig Abhängigkeiten.
Entscheidend ist, bewusst in jedem Einzelfall festzulegen, wo digitale Souveränität notwendig ist, um handlungsfähig zu bleiben und inwieweit die in diesen Abhängigkeiten bestehenden Risiken mitigiert oder akzeptiert werden können.

Genau daran arbeiten wir – mit dem Ziel, uns dort, wo es sinnvoll ist, möglichst digital souverän aufzustellen.

Der Souveränitätscheck: Digitale Souveränität messbar machen

Der Souveränitätscheck ist eine erstmals neu entwickelte Methodik des IT-Referats zur systematischen Prüfung digitaler Souveränität von IT-Services. Die Methodik unseres Checks auf digitale Souveränität ist an bestehende wissenschaftliche Arbeiten angelehnt und wurde wisschenschaftlich durch die Technische Universität München (TUM) begleitet.

Untersucht werden unter anderem:

Hersteller- und Anbieterabhängigkeiten
Wechselmöglichkeiten, Open Source Lösungen und offene Standards
Einflussmöglichkeiten auf Betrieb, Weiterentwicklung und Daten
Sicherheits- und Rechtsaspekte

Die Bewertung erfolgt anhand eines strukturierten Fragenkatalogs und einer quantitativen Bewertung.

Der Score für Digitale Souveränität (SDS)

Bei der Prüfung von städtischen Anwendungsservices ordnet der Score für Digitale Souveränität (SDS) jeden IT-Services einer von fünf Kategorien zu. So wird auf einen Blick sichtbar , wie souverän ein Service betrieben werden kann und welche mögliche Risiken und Schwachstellen frühzeitig erkannt und verhindert werden können.

Im September/Oktober 2025 wurden aus 2.780 Anwendungsservices der Stadt München 194 Anwendungsservices ausgewählt und mit der neu entwickelten Methode analysiert.

Die Auswahl für diese erste Analyse erfolgte nach dem Kriterium der Business-Kritikalität. Jeder der als besonders kritisch eingestuften Anwendungsservices wurde auf digitale Souveränität geprüft und auf eine der fünf SDS-Kategorien zugeordnet.

Score-Ergebnisse

Die Ergebnisse aus der Prüfung (absolute Zahlen in Klammern) weisen einen hohen Grad an digitaler Souveränität auf:

74 Prozent des analysierten IT-Serviceportfolios des IT-Referats (Kategorien 1, 2 und 3) sind digital souverän, da kein Vendor-Lock-in vorliegt und weitere Kriterien der digitalen Souveränität erfüllt sind.
Die Services in der nicht souveränen Kategorie 5 mit 21 Prozent setzen sich zusammen aus gesetzlich vorgeschriebenen Leistungen zur eVergabe, Anwendungsservices großer Anstalten des öffentlichen Rechts in Bayern und Hamburg, Software für die eAkte, deutsche auf die öffentliche Verwaltung spezialisierte Softwarehersteller unter anderem im Kontext von Wahlen, eine Reihe von Services für das Personalmanagementsystem eines deutschen Softwareherstellers und zwei Services eines Softwareherstellers in den USA.

Ein niedriger SDS-Wert bedeutet nicht, dass ein IT-Service unsicher oder ungeeignet ist. In vielen Fällen bestehen gesetzliche, fachliche oder strategische Gründe für den Einsatz solcher Lösungen.

Mit unserem Score wird digitale Souveränität zum ersten Mal messbar, denn nur was wir messen können, können wir auch gezielt verbessern. Digitale Souveränität sichert die Unabhängigkeit und Handlungsfähigkeit unserer öffentlichen Verwaltung, sie zu steigern ist unser klares Ziel. Darüber reden wir nicht nur, wir machen – und messen!

Dr. Laura Dornheim IT-Referentin und CDO der Stadt München

Was macht München mit diesen Ergebnissen?

Auf Basis der ermittelten Werte aus dem SDS:

werden Risiken systematisch dokumentiert
werden Umstiegsszenarien vorbereitet
werden offene Standards in Beschaffungen gestärkt
informiert das IT-Referat den Stadtrat jährlich über den Stand der digitalen Souveränität
werden Umstiege stets unter Berücksichtigung von Wirtschaftlichkeit, Fachlichkeit und Sicherheit abgewogen

Digitale Souveränität ist ein Prozess

Mit der Annahme der Beschlussvorlage Nr. 20-26 / V 18562 "Digitale Souveränität als strategisches Leitprinzip – Sichere Software für München" wurde das IT-Referat am 28. Januar beauftragt, die Methodik zur Prüfung auf digitale Souveränität weiterzuentwickeln und in bestehende IT-, Risiko- und Vergabeprozesse zu integrieren.

Digitale Souveränität entsteht nicht durch Einzelmaßnahmen, sondern durch transparente Bewertung, strategische Entscheidungen und langfristige Planung.