OZG 2.0 + AI-Act: Wie Verwaltungen ohne Vergabe-Fehler digitalisieren

OZG 1.0 ist vorbei, OZG 2.0 läuft, AI-Act tritt am 2. August 2026 in Kraft. In den meisten Mittelstadt-Verwaltungen kommt all das gleichzeitig auf den Tisch der Referatsleitung Digitalisierung — bei knappem Budget und vergaberechtlicher Dauerlast.

Was zuerst angefasst werden muss

Die Reihenfolge ist nicht beliebig:

1. AI-Act-Risikoeinstufung pro geplanter KI-Anwendung. Anhang III definiert Hochrisiko-Felder (Sozialleistungsbescheide, Migrationsentscheidungen, Bildungs-Zugang). Hochrisiko erfordert Konformitätsbewertung, Aufzeichnungspflichten und menschliche Aufsicht. Für nicht-hoheitliche Anwendungen (Bürger-FAQ-Bot ohne Bescheid-Wirkung) gilt nur die Transparenzpflicht.
2. Vergabe-Strategie festlegen. Über 25 k € braucht es ein öffentliches Verfahren nach VgV oder UVgO. Funktionale Leistungsbeschreibung, Eignungskriterien, Zuschlagskriterien — alles muss vor der Veröffentlichung stehen. EVB-IT-Cloud (BMI 2023) als Vertragsgrundlage spart Wochen.
3. Hosting-Souveränität prüfen. Bundes-Cloud (Telekom OSC), STACKIT (Schwarz-Group) und IONOS sind die drei Optionen für Verwaltungs-Hosting in DE. US-Hyperscaler scheiden für hoheitliche Daten aus — politisch und faktisch.

Wo die typischen Stolperfallen liegen

Aktenmäßigkeit nach § 29 VwVfG. Eine KI-Antwort, die nicht aktenrelevant protokolliert wird, hat im Verwaltungsverfahren keinen Beweiswert. Aktenzeichen, Sachbearbeiter:in, Zeitstempel, Modell-Identifikation, Quellen-Verwaltungsvorschrift — all das muss strukturiert ins DMS (DOMEA, VBS, d.3ecm, ELAK) zurückgeschrieben werden, automatisch.

§ 30 SGB X (Sozialgeheimnis). Sozialdaten brauchen Workspace-Isolation auf Vector-Index-Ebene. Cross-Workspace-Suche muss technisch ausgeschlossen sein — auch für Admins. Forensik-Aufzeichnungen 10 Jahre vorhalten.

Wirtschaftlichkeit nach § 88 BHO. Der Rechnungshof prüft, ob die Anschaffung wirtschaftlich war. Token-basierte Pay-as-you-go-Modelle sind hier riskanter als Pauschalpreis-Lizenzen — der Mehrjahres-TCO muss vorab verlässlich kalkulierbar sein.

Drei konkrete Use-Cases mit niedrigem Risiko

Was vor 8/2026 problemlos in Pilot gehen kann (kein Hochrisiko, klare Wirtschaftlichkeit):

• Bürger-FAQ-Bot (Standardanfragen Hochzeitsanmeldung, Sterbeurkunde, Ummeldung)
• Verwaltungsvorschriften-Recherche für Sachbearbeitung (Lookup statt Aktenplan-Blättern)
• Onboarding-Chat für neue Mitarbeiter:innen (interne Verwaltungsvorschriften, Aktenpläne, Arbeitsabläufe)

Alle drei sparen Sachbearbeitungs-Stunden, ohne Bescheid-Wirkung gegenüber Bürger:innen — also nicht-hoheitlich, nicht-Hochrisiko, nicht-aufzeichnungspflichtig nach AI-Act-Anhang III.

Förderprogramme bis Ende 2026

Aktuell finanzierbar (Stand Mai 2026):

• Digitalpakt Schule 2.0 (für Schulverwaltung)
• Modellkommune Digital (BMI, regelmäßige Ausschreibungen)
• Zukunftsstadt-Initiative (BMBF, Smart-City-Schwerpunkt)
• Land-Förderprogramme (NRW: „Digitale Modellregionen", Bayern: „Digitales Bayern", BW: „Digitale Verwaltung 2025")

Fazit

Die digitale Souveränität ist nicht verhandelbar. EVB-IT-Cloud-Verträge mit deutschen Hosting-Partnern sind der Goldstandard. Wer jetzt mit einem nicht-hoheitlichen Pilot-Use-Case (Bürger-FAQ, Vorschriften-Recherche) anfängt, hat bis 8/2026 ausreichend Lernkurve, um danach risikobasiert auch hoheitliche KI mit AI-Act-Konformität anzugehen.

Praxis-Tipp: Vor der Vergabe ein 60-minütiges Sondierungsgespräch mit einem EVB-IT-erfahrenen Anbieter führen. Spart Wochen bei der funktionalen Leistungsbeschreibung.