Logo muenchen.de - the official city portal (To the homepage)
IT-Referat
Eine Seite der Landeshauptstadt München.

Digitale Souveränität jetzt messbar

Die Landeshauptstadt München und die Technische Universität München machen es möglich

09. Februar 2026

Der Souveränitätscheck: Digitale Souveränität messbar machen

Der Souveränitätscheck ist eine erstmals neu entwickelte Methodik des IT-Referats zur systematischen Prüfung Digitaler Souveränität von IT-Services. Die Methodik unseres Checks auf Digitale Souveränität ist an bestehende wissenschaftliche Arbeiten angelehnt und wurde wissenschaftlich durch die Technische Universität München (TUM) begleitet.
Mit dem Score zur Digitalen Souveränität (SDS) kann der Grad der Unabhängigkeit und Steuerbarkeit digitaler Dienste systematisch erfasst werden.
Die Nutzung und Bearbeitung sind unter Namensnennung frei möglich (Lizenz: CC BY-SA 4.0)

Untersucht werden unter anderem folgende Aspekte:

  • Hersteller- und Anbieterabhängigkeiten
  • Wechselmöglichkeiten, Open Source Lösungen und offene Standards
  • Einflussmöglichkeiten auf Betrieb, Weiterentwicklung und Daten
  • Sicherheits- und Rechtsaspekte

Die Bewertung erfolgt anhand eines strukturierten Fragenkatalogs und einer quantitativen Bewertung.

Der Score für Digitale Souveränität (SDS)

Aktuell existiert kein Kriterienkatalog von Bund, Ländern oder führenden Forschungsinstituten, der eine systematische und quantitative Bewertung der Digitalen Souveränität von IT-Services ermöglicht.
Unsere Ausarbeitung des Checks auf Digitale Souveränität basiert maßgeblich auf Quellen des Fraunhofer Instituts "Kompetenzzentrum öffentliche IT" und einem Fragebogen der "Digital Sovereignty-Platform". Auf Grundlage dieser Konzepte hat das IT-Referat einen kompakten Fragenkatalog und ein quantitatives Bewertungsverfahren entwickelt.

Bei der Prüfung von städtischen Anwendungsservices ordnet der Score für Digitale Souveränität (SDS) jeden IT-Service einer von fünf Kategorien zu. So wird auf einen Blick sichtbar, wie souverän ein Service betrieben werden kann und welche möglichen Risiken und Schwachstellen frühzeitig erkannt und verhindert werden können. Geprüft werden alle Softwareprodukte, die für den laufenden Betrieb kritisch sind.

Im September und Oktober 2025 wurden aus insgesamt 2.780 Anwendungsservices der Stadt München 194 besonders geschäftskritische Services ausgewählt und mit der neu entwickelten Methode bewertet. Die Auswahl für diese erste Analyse erfolgte nach dem Kriterium der Business-Kritikalität. Jeder dieser Services wurde auf Digitale Souveränität geprüft und einer der fünf SDS-Kategorien zugeordnet.

Score-Berechnung

Abbildung zur vereinfachten Darstellung der Berechnung des Scores. Der Startwert für die zu bewertende Software ist 5. Es wird in 6 einfachen Ja-Nein-Fragen geprüft. Die Einstiegsfrage ist „1. Hat die Software eine marktbeherrschende Stellung innerhalb ihrer Kategorie* UND ist derzeit alternativlos** für die Organisation?“: Nein. Weiter mit 2.-6.; Ja. Check beendet.; Jede Frage, die danach mit "Nein" beantwortet werden kann bringt eine Stufe bei der digitalen Souveränität. 2. Ist der Firmensitz des Anbieters in der EU***?: Nein: -1; 3. Handelt es sich um Open Source Software?: Nein: -1; 4. Besteht Support für Security Updates des Anbieters?****: Nein: -1; 5. Nutzt die Software ausschließlich standardisierte Schnittstellen.: Nein: -1; 6. Nutzt die Software ausschließlich standardisierte Dateiformate?: Nein: -1; Score der Digitalen Souveränität; * über 50% Marktanteil ** Es existiert derzeit keine Enterprise Software mit ähnlicher Funktionalität zu dem mit angemessenen Kosten und Aufwand gewechselt werden kann, bzw. eine Eigenentwicklung einer solchen Software ist nicht mit vertretbaren Kosten und Aufwand möglich. ***des Mutterkonzerns des Softwareherstellers bzw. Cloud Service- **** z.B. im Rahmen eines Lifecyclemanagements

Der Check auf Digitale Souveränität für Anwendungsservices orientiert sich an den im Bild gezeigten Fragestellungen.

Score-Ergebnisse

1: hochgradig souverän, 2: weitgehend souverän, 3: ausreichend souverän, 4: ungenügend souverän, 5: nicht souverän

Das Ergebnis wird in Form eines Scores zwischen 1 und 5 dargestellt. Dabei steht 1 für "hochgradig souverän" und 5 für "nicht souverän"

Eine schlechte SDS-Kategorie wie eine "5" bedeutet nicht automatisch, dass ein IT-Service unsicher oder ungeeignet ist. In vielen Fällen bestehen gesetzliche, fachliche oder strategische Gründe für den Einsatz solcher Lösungen.

Hier gibt's weitere Infos