gavel Gesetzlicher und organisatorischer Rahmen der Referenzarchitektur (REFA)feedback

Diese Seite beschreibt die rechtlichen Leitplanken und das organisatorische Rollenmodell, in dem sich die Referenzarchitekturen bewegen. Die föderale IT-Landschaft der Deutschen Verwaltung durchläuft aktuell eine Transformation und erhält ein umfangreiches Marktplatz-Ökosystem (Deutschland-Stack). Die architektonischen Vorgaben in diesem Portal leiten sich direkt aus diesen Rahmenbedingungen ab.

gavel 1. Gesetzliche Grundlagen (Compliance & Mandate)feedback

Die Referenzarchitektur muss die Umsetzung folgender zentraler Gesetze und Beschlüsse architektonisch sicherstellen:

• OZG 2.0 (Onlinezugangsgesetz-Änderungsgesetz): Verpflichtet zur durchgängig digitalen, nutzerzentrierten Abwicklung von Verwaltungsleistungen ("Digital Only") und etabliert die BundID als zentrales Bürgerkonto.
• Registermodernisierungsgesetz (RegMoG): Schafft die rechtliche Basis für die Umsetzung des Once-Only-Prinzips (OOP). Architektonisch erfordert dies die Anbindung an die Nationale Dateninfrastruktur, die Nutzung der Steuer-ID als übergreifendes Identifikationsmerkmal sowie den Einsatz von NOOTS (Nationales Once-Only Technical System) als technische Umsetzungsinfrastruktur für den behördenübergreifenden Datenabruf.
• IT-Netzgesetz: Regelt den Aufbau und Betrieb der Netze des Bundes (NdB) als sicheres Backbone für die regierungsinterne Kommunikation.
• Beschlüsse des IT-Planungsrats: Insbesondere die Beschlüsse zur verbindlichen Nutzung von XÖV-Standards (XML in der öffentlichen Verwaltung), zur Deutschen Verwaltungscloud-Strategie (DVC) und zum EfA-Prinzip (Einer für Alle). Mit dem Beschluss vom 17. März 2026 wurden die architektonischen Standards des D-Stacks für verbindlich über alle föderalen Ebenen erklärt: Die Nutzung zentraler Basiskomponenten für Identitätsmanagement, Datenaustausch und Kommunikation ist bei Neu- und Weiterentwicklungen verpflichtend.

account_tree 2. Organisatorisches Rollenmodell & IT-Governancefeedback

Die Governance der föderalen IT teilt sich entlang des Lebenszyklus (Strategie, Standardisierung, Entwicklung, Rollout, Betrieb) auf verschiedene Institutionen auf. Die REFA ordnet diese Akteure in ein klares Architektur-Schichtenmodell ein:

2.1 Strategie & Politische Steuerungfeedback

• BMDS (Bundesministerium für Digitales und Staatsmodernisierung): 2025 neu geschaffenes Bundesministerium als oberstes politisches Steuerungsorgan der staatlichen Digitalisierung. Das BMDS bündelt strategische Führung, Budgetverantwortung und politisches Mandat. Es verantwortet das D-Stack-Programm als technologisches Zielbild, gibt den Auftrag an ZenDiS für souveräne Open-Source-Bausteine und treibt gemeinsam mit govdigital den föderalen Rollout voran. Damit schließt das BMDS die bisherige Lücke zwischen politischen Beschlüssen und operativer Umsetzung.
• IT-Planungsrat: Das zentrale föderale Steuerungsgremium von Bund und Ländern. Erlässt verbindliche Beschlüsse zur Interoperabilität und IT-Sicherheit. BMDS ist als Mitglied im IT-Planungsrat direkt in die Beschlussfassung eingebunden, um sicherzustellen, dass die strategischen Ziele des D-Stacks und der Digitalisierungsagenda in den verbindlichen Vorgaben des IT-Planungsrats verankert werden. Die Beschlüsse des IT-Planungsrats bilden die Grundlage für die Standardisierung durch die FITKO und damit für alle nachfolgenden Architekturentscheidungen. Das IT-PLR hat jedoch kein eigenes Budget und keine operative Umsetzungskompetenz, weshalb die Rolle des BMDS als strategischer Auftraggeber und Budgethalter für die Umsetzung der IT-Planungsratsbeschlüsse im Kontext der REFA von zentraler Bedeutung ist. Mit dem Beschluss vom 17. März 2026 (Deutschland-Stack) hat der IT-PLR die D-Stack-Standards für verbindlich erklärt, ein direktes Mandat für alle Architekturentscheidungen in diesem Portal.

2.2 Standardisierung & Governancefeedback

• FITKO (Föderale IT-Kooperation): Der operative Arm des IT-Planungsrats. Sie entwickelt die föderale IT-Architektur (inkl. OZG-Rahmenarchitektur), koordiniert Standards und steuert das föderale IT-Budget. Die FITKO gibt die Regeln vor, entwickelt aber selbst nicht.

2.3 Software-Supply-Chain & Innovation (Build)feedback

• ZenDiS (Zentrum für Digitale Souveränität): Verantwortlich für die Reduzierung von Vendor-Lock-ins. Bündelt und pflegt Open-Source-Bausteine (z. B. openDesk, Sovereign Workplace) und stellt diese der Verwaltung zur Verfügung. Rechtliche Grundlage ist der IT-PLR-Beschluss 2021/09 „Strategie zur Stärkung der Digitalen Souveränität", der die Gründung des ZenDiS und die Entwicklung von openDesk mandatiert und die Architektur zur aktiven Reduzierung von Vendor-Lock-ins verpflichtet.
• GovTech Campus Deutschland & SPRIND: Der GovTech Campus ist eine gemeinnützige GmbH, die durch Bund und Länder getragen wird (primärer Bundespatron war bisher das BMI; die Zuständigkeit im Verhältnis zum BMDS ist noch in Klärung). Er dient als innovationspolitischer „Sandkasten" (Proof of Concept), um neue Architekturen vor der Skalierung im D-Stack zu erproben. SPRIND (Bundesagentur für Sprunginnovationen) ist formal dem BMBF zugeordnet und über dessen Haushalt finanziert; BMDS hat keinen direkten Budgetzugriff. SPRIND fördert ergänzend disruptive Innovationen und Start-up-Lösungen für den Markt der öffentlichen IT.

2.4 Orchestrierung, Rollout & Betrieb (Run)feedback

• govdigital eG: Die Genossenschaft der öffentlichen IT-Dienstleister agiert als Generalunternehmer für den Flächenrollout (insb. von EfA-Diensten). Sie überbrückt die Lücke zwischen isolierter Entwicklung und kommunalem Betrieb durch übergreifendes Programmmanagement.
• ITZBund: Der zentrale IT-Dienstleister des Bundes, verantwortlich für den Betrieb von Bundesinfrastrukturen (BundID, zentrale Registeranbindungen) und den Aufbau von souveränen Cloud-Angeboten.
• NOOTS (Nationales Once-Only Technical System): Die Plattform-Schicht des D-Stacks für behördenübergreifenden Datenaustausch nach dem Once-Only-Prinzip (RegMoG). NOOTS ermöglicht Behörden, Registerdaten mit Einwilligung des Bürgers direkt abzurufen, ohne erneute Eingabe. Technologisch könnte NOOTS auf das Dataspace-Protocol als standardisierte Protokollschicht für den souveränen, dezentralen Datenaustausch zwischen föderalen Registern. NOOTS ist als Platform-as-a-Service eng mit dem ITZBund als Betreiber der zentralen Registeranbindungen verzahnt.
• Bundesdruckerei GmbH: Bundeseigenes Unternehmen und hoheitlicher Vertrauensdiensteanbieter für staatliche Sicherheitsinfrastrukturen. Im D-Stack-Kontext erbringt die Bundesdruckerei drei EAM-relevante Leistungen:
  1. eID-Infrastruktur: als technischer Betreiber des elektronischen Personalausweises (nPA) und Herausgeber der AusweisApp liefert sie die primäre Authentifizierungskomponente für BundID und NOOTS
  2. D-Trust PKI/QES: Betrieb der qualifizierten Zertifizierungsinfrastruktur (PKI) und Ausstellung qualifizierter elektronischer Signaturen (QES) für Behörden, ITZBund und kommunale IT-Dienstleister
  3. EUDI Wallet: als behördlich notifizierter eIDAS-Anbieter bereitet die Bundesdruckerei die Ausgabe und den Betrieb der europäischen digitalen Brieftasche vor, die mittelfristig die BundID um europaweit anerkannte Identitätsnachweise ergänzt.
• Kommunale IT-Dienstleister (z.B. ekom21, AKDB, Dataport): Die tatsächlichen Umsetzer vor Ort. Sie betreiben die Fachverfahren für die Kommunen auf Basis der Vorgaben von govdigital und der DVC.

visibility 3. Zielbild: Der Deutschland-Stack (D-Stack)feedback

Der organisatorische Rahmen mündet in das technologische Zielbild des Deutschland-Stacks. Die REFA-Vorgaben stellen sicher, dass alle neu entwickelten Lösungen in diesen Stack integrierbar sind:

1. Infrastruktur-Schicht (SCS & DVC): Cloud-Infrastrukturen der Dienstleister müssen den Standards der Deutschen Verwaltungscloud-Strategie (DVC) entsprechen. Der Sovereign Cloud Stack (SCS) dient hierbei als föderierbare Open-Source-Referenzimplementierung für IaaS und CaaS (Kubernetes).
2. Plattform-Schicht (Sovereign Data Ecosystems): Das zentrale Element dieser Schicht ist NOOTS (Nationales Once-Only Technical System): Es ermöglicht den behördenübergreifenden Datenabruf nach dem Once-Only-Prinzip, ohne dass Bürgerinnen und Bürger Daten mehrfach einreichen müssen. Technologisch könnte NOOTS auf Dataspace-Standards umgesetzt werden insbesondere Eclipse Dataspace Components Referenz-Implementierung, die als offene Protokollschicht den souveränen, dezentralen Datenaustausch zwischen föderalen Registern ermöglichen, ohne zentrale Datentöpfe zu erfordern.
3. Applikations-Schicht (SaaS & EfA): Fachverfahren werden zunehmend als Software-as-a-Service (SaaS) aus der GovCloud bereitgestellt. Die govdigital orchestriert die Verteilung dieser mandantenfähigen Anwendungen über die kommunalen Rechenzentren.

rule 4. Implikationen für EAM-Entscheidungenfeedback

Aus diesem Rahmenwerk ergeben sich folgende zwingende Design-Prinzipien für alle Architektur-Entwürfe innerhalb dieser Referenzarchitektur:

• Cloud-Native by Default: Anwendungen müssen containerisiert und mandantenfähig auf Kubernetes-Clustern (DVC/SCS-konform) lauffähig sein.
• Open Source First: Bei Basiskomponenten ist der ZenDiS-Katalog (bzw. OpenCoDE) primär zu prüfen, bevor proprietäre Software beschafft wird.
• Föderiertes Identitätsmanagement: Die Nutzung zentraler Basisdienste wie BundID für Bürger und föderierter IAM-Systeme (z.B. auf Basis von Entra ID in souveränen Zonen) für Verwaltungsmitarbeiter ist obligatorisch.
• Souveräner Datenaustausch: Punkt-zu-Punkt-Schnittstellen sind abzulösen. Der Datenaustausch zwischen Bund, Ländern und Kommunen ist mittelfristig über vertrauenswürdige Datenräume (Dataspace-Protokolle) zu realisieren, um Datensouveränität ("My data, my rules") sicherzustellen.