Kommunen in NRW starten mit neuem Vergaberecht ins Jahr 2026

Ab dem 1. Januar gelten in Nordrhein-Westfalen neue, flexiblere Regeln für die Beschaffung digitaler Dienstleistungen. Die Reform verspricht weniger Bürokratie, verlangt Kommunen aber mehr eigene Verantwortung für Datenschutz und IT-Sicherheit ab.

Mit nur drei Tagen bis zum Jahreswechsel steht den Kommunen in Nordrhein-Westfalen (NRW) ein grundlegender Wandel bevor. Die Einführung des neuen § 75a der Gemeindeordnung (GO NRW) zum 1. Januar 2026 ändert die Spielregeln für die öffentliche Beschaffung. Für Bürgermeister, IT-Leiter und Datenschutzbeauftragte bedeutet die Deregulierung eine Gratwanderung: Zwar können Softwarelösungen für digitale Bürgerdienste wie virtuelle Sprechstunden künftig schneller beschafft werden. Gleichzeitig lastet jedoch mehr Verantwortung auf den Kommunen, die DSGVO-Konformität ohne den bisherigen detaillierten Regelrahmen sicherzustellen.

Der Kern der Reform ist die Abschaffung der starren Unterschwellenvergabeordnung (UVgO) für Aufträge unterhalb der EU-Schwellenwerte. Stattdessen müssen sich die Vergabeentscheidungen der Kommunen ab Donnerstag nur noch an fünf Grundsätzen orientieren: Wirtschaftlichkeit, Sparsamkeit, Leistungsfähigkeit, Transparenz und Gleichbehandlung.

Viele Kommunen unterschätzen die Cyber‑Risiken, die mit einer beschleunigten Beschaffung digitaler Dienste einhergehen. Ein kostenloses E‑Book zur Cyber‑Security erklärt praxisnah, welche technischen und organisatorischen Maßnahmen sofort helfen — von Passwort‑ und Patch‑Hygiene über Ende‑zu‑Ende‑Verschlüsselung bis zur Auswahl EU‑gehosteter Server. Speziell für öffentliche Verwaltungen enthält der Leitfaden Checklisten und Handlungsschritte, um Holiday‑Phishing, Ransomware und unsichere Cloud‑Anbieter zu blocken. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

Rechtsexperten sehen darin eine Chance, bürokratische Hürden abzubauen, die die Digitalisierung oft ausbremsten. Bislang konnten aufwändige Ausschreibungsverfahren die Einführung einer sicheren Videokonferenzlösung um Monate verzögern. Künftig soll das Rathaus schneller einen Anbieter auswählen können, der am besten zu den eigenen technischen und datenschutzrechtlichen Anforderungen passt.

Doch diese neue Freiheit hat ihren Preis. Die Verantwortung für die Prüfung der Datenschutzstandards eines Anbieters liegt nun vollständig bei der Kommune. Juristische Kommentare weisen darauf hin, dass die örtlichen Rechnungsprüfungsämter genau hinschauen werden, ob die „vereinfachten“ Einkäufe tatsächlich den strengen Vorgaben der DSGVO genügen – insbesondere bei Datenübermittlungen in Drittländer.

Cybersicherheit in der Feiertagsruhe

Die Dringlichkeit einer robusten Compliance wird durch die aktuelle Bedrohungslage unterstrichen. Cybersicherheitsunternehmen haben während der Weihnachtszeit vor einer Zunahme von Angriffen auf Infrastrukturen der öffentlichen Verwaltung gewarnt. Die ruhigen Feiertage – oft mit reduzierter IT-Besetzung – sind ein bevorzugtes Zeitfenster für „Holiday-Phishing“ und Ransomware-Angriffe auf kommunale Netze.

Für virtuelle Sprechstunden ist diese Bedrohung akut. Die Dienste benötigen sichere Verbindungen zwischen Bürgern und sensiblen Verwaltungsnetzen. Ein kompromittierter Video-Link könnte nicht nur Bürgerdaten preisgeben, sondern auch als Einfallstor für Angreifer dienen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont, dass „Benutzerfreundlichkeit“ nicht über „Sicherheit“ stehen darf – ein Grundsatz, der durch die gelockerten Vergaberegeln noch wichtiger wird.

Die neuen NRW-Regeln erlauben zwar eine schnellere Softwarebeschaffung, befreien die Kommunen aber nicht von den technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO. Das vereinfachte Verfahren muss daher weiterhin eine strenge Sicherheitsprüfung beinhalten. Jede gewählte Lösung muss Ende-zu-Ende-Verschlüsselung und Server-Standorte in Deutschland oder der EU bieten.

Trend zur „digitalen Souveränität“

Vor diesem Hintergrund rückt das Thema digitale Souveränität in den Fokus. In Fachkreisen wächst die Präferenz für Open-Source- und bundesweit zertifizierte Lösungen gegenüber proprietären Plattformen von Anbietern außerhalb der EU. Initiativen wie die „Deutsche Verwaltungscloud“ gewinnen als sichere Häfen für Kommunen an Bedeutung.

Durch die neuen Möglichkeiten des § 75a GO NRW könnten Städte und Gemeinden ihre Migration zu diesen souveränen Plattformen beschleunigen. Sie sind nicht mehr gezwungen, sich aufgrund starrer Vergaberegeln für den billigsten Anbieter zu entscheiden. Lokale Behörden können nun argumentieren, dass ein etwas teurerer, BSI-zertifizierter europäischer Anbieter langfristig „wirtschaftlicher“ ist, weil er das Risiko von DSGVO-Bußgeldern und Datenlecks mindert.

Dieses Argument wird durch die anhaltende rechtliche Unsicherheit bei US-Cloud-Anbietern gestützt. Jüngste Gerichtsurteile und behördliche Leitlinien stellen die Zulässigkeit von Datenübermittlungen in die USA weiter infrage. Der „sichere Hafen“ für Compliance-Beauftragte bleibt damit der europäische Rechtsraum.

Professionalisierung der IT-Beschaffung erwartet

Das Zusammentreffen von Vergabereform und Digitalisierungsdruck schafft eine besondere Dynamik für 2026. Einerseits ist die „Bürokratie-Reduktion“ eine lang ersehnte Erleichterung für kommunale IT-Abteilungen. Andererseits entfällt die „Häkchen“-Compliance der Vergangenheit. Echte Expertise bei der Bewertung von Anbietersicherheit ist nun gefragt.

Marktbeobachter erwarten eine Professionalisierung der kommunalen IT-Beschaffung. „Die Zeit, in der man sich hinter starren Vergaberegeln verstecken konnte, ist vorbei“, heißt es in einer Branchenanalyse. „Jetzt müssen die Kommunen beweisen, dass sie eine kluge und sichere Wahl getroffen haben, nicht nur eine formal korrekte.“ Dieser Wandel dürfte spezialisierten deutschen und europäischen Softwareanbietern zugutekommen, die „Compliance-as-a-Service“ anbieten und damit die rechtliche Sicherheit liefern, die vorsichtige Verwaltungsmitarbeiter suchen.

Die ersten Monate unter dem neuen Recht werden eine Testphase sein. Juristische Auseinandersetzungen über „Transparenz“ und „Gleichbehandlung“ bei vereinfachten Vergaben sind möglich, wenn Konkurrenten die Grenzen des neuen Gesetzes ausloten. Für Datenschutzbeauftragte ist die Priorität klar: Sie müssen standardisierte Prüflisten etablieren, die die Auswahl sicherer, datenschutzfreundlicher Tools unter dem neuen „Wirtschaftlichkeits“-Kriterium rechtfertigen. Der Erfolg der digitalen Verwaltung in NRW im Jahr 2026 wird maßgeblich davon abhängen, wie gut die Kommunen ihre neue Freiheit mit ihrer dauerhaften Verantwortung für den Schutz von Bürgerdaten in Einklang bringen.

PS: Holiday‑Phishing und CEO‑Fraud treffen besonders verwundbare Verwaltungen in ruhigeren Dienstzeiten. Das Anti‑Phishing‑Paket liefert eine 4‑Schritte‑Anleitung, konkrete Präventionsmaßnahmen und Mitarbeiter‑Checklisten, damit Online‑Betrugsversuche früh erkannt und abgewehrt werden — ideal als sofort umsetzbare Ergänzung für Ihre Beschaffungs- und Sicherheitsprozesse. Anti‑Phishing‑Paket kostenlos anfordern