Cloud-Ausschreibung bewerten Kriterien: Der ultimative Guide für IT-Dienstleister

(ex: Photo by Photo by NASA on Unsplash)

Cloud-Ausschreibung bewerten Kriterien: Der ultimative Guide für IT-Dienstleister

25. Sept. 2025
|
7 min
|
Alexander Kohler
Alexander KohlerCo-Founder & CEO von BidFix

Compliance-Lücken und versteckte Kosten werden oft erst nach der Angebotsabgabe erkannt – mit fatalen Folgen für die Marge. Erfahren Sie, wie Sie Cloud-Ausschreibungen anhand harter Kriterien wie BSI C5 und DSGVO-Konformität blitzschnell bewerten und fundierte Go/No-Go-Entscheidungen treffen.

Mehr erfahren

Das Wichtigste in Kürze

  • Compliance-Anforderungen wie BSI C5 und DSGVO sind im deutschen Markt oft die härtesten K.o.-Kriterien.
  • Versteckte Kosten wie Data Egress Fees müssen in der Kalkulation für Festpreis-Angebote zwingend berücksichtigt werden.
  • Ein klares Exit-Konzept zur Vermeidung von Vendor Lock-in ist heute Standardanforderung in öffentlichen Ausschreibungen.

Hand aufs Herz: Wie oft haben Sie schon Ressourcen in eine Cloud-Ausschreibung investiert, nur um kurz vor knapp festzustellen, dass eine spezifische Compliance-Anforderung nicht erfüllbar ist? Laut dem Bitkom Cloud Report 2024 nutzen mittlerweile 81 Prozent der deutschen Unternehmen Cloud-Computing, doch die Anforderungen an Sicherheit und Datenschutz steigen exponentiell. Für IT-Dienstleister und Systemhäuser bedeutet das: Die gründliche Bewertung der Ausschreibungskriterien ist kein bürokratischer Akt, sondern überlebenswichtig.Hier erfahren Sie, wie Sie Cloud-Ausschreibungen systematisch zerlegen. Wir analysieren die kritischen Kriterien - von BSI C5 bis zur technischen Interoperabilität - und geben Ihnen ein Framework an die Hand, mit dem Sie Ihre Gewinnchancen realistisch einschätzen.

Warum die Kriterien-Analyse über Ihren Gewinn entscheidet

Warum scheitern viele Angebote im öffentlichen Sektor? Viele IT-Dienstleister machen den Fehler, sich zuerst auf die technische Lösung zu stürzen. Wenn Sie jedoch im deutschen Markt - insbesondere im GovTech-Bereich - erfolgreich sein wollen, müssen Sie wissen: Schlachten werden oft auf dem Feld der Formalien geschlagen. Laut aktuellen Vergabestatistiken kann ein einziges übersehenes K.o.-Kriterium dazu führen, dass Ihr Angebot trotz bester technischer Lösung sofort ausgeschlossen wird.

Das Vergaberecht ist hier gnadenlos. Wie das Gesetz gegen Wettbewerbsbeschränkungen in § 123 GWB festlegt, führen zwingende Ausschlussgründe zum sofortigen Aus. Doch was sind die tückischsten Fallstricke? Oft sind es versteckte Anforderungen in den Leistungsbeschreibungen. Experten für IT-Sicherheit weisen darauf hin, dass implizite Forderungen nach einer "Souveränen Cloud" kritisch sind. Wenn Sie hier eine Standard-Hyperscaler-Lösung anbieten, die dem CLOUD Act unterliegt, ist Ihre Arbeit umsonst gewesen.

Hier ist der entscheidende Punkt: Eine präzise Bewertung der Kriterien spart Ihnen nicht nur Angebotskosten, sondern schützt auch Ihre Reputation. Wie Vergabeberater betonen, ist nichts peinlicher, als nach dem Zuschlag zurückrudern zu müssen. Warum sollten Sie riskieren, dass die versprochene Interoperabilität in der Praxis nicht lieferbar ist?

Der Compliance-Check: Das Minenfeld sicher navigieren

Was ist die größte Hürde bei Cloud-Projekten? Compliance ist in Deutschland nicht verhandelbar. In diesem Bereich scheitern die meisten Cloud-Projekte oder verzögern sich massiv. Wenn Sie eine Cloud-Ausschreibung bewerten, muss Ihr erster Blick immer auf die regulatorischen Anforderungen fallen. Hier trennt sich die Spreu vom Weizen.

Was ist der BSI C5 Kriterienkatalog? Das wichtigste Kriterium für öffentliche Auftraggeber ist oft dieser Standard. Nach Angaben des BSI definiert der Katalog Mindestanforderungen an die Informationssicherheit für Cloud-Dienste. Seit der Version C5:2020 sind diese Anforderungen noch strenger geworden. Hier ist ein wichtiger Tipp: Prüfen Sie in den Ausschreibungsunterlagen sofort: Wird ein C5-Testat Typ 2 gefordert? Wenn Ihr Cloud-Partner dies nicht vorweisen kann, ist das ein sofortiges No-Go.

Ein weiteres kritisches Thema ist die DSGVO und der Datentransfer in Drittländer. Wie wirkt sich das auf US-Hyperscaler aus? Seit dem "Schrems II"-Urteil des EuGH ist die Nutzung in der öffentlichen Verwaltung ein heißes Eisen. Rechtliche Analysen von CMS Law zeigen: Ein pauschaler Ausschluss von US-Anbietern ist zwar oft vom Tisch, doch die Anforderungen an "zusätzliche technische Maßnahmen" (wie Verschlüsselung mit kundenseitigem Key-Management) sind extrem hoch. Fragen Sie sich: Fordert die Ausschreibung explizit eine Datenhaltung und einen Support ausschließlich aus der EU? Viele "Follow-the-Sun"-Supportmodelle fallen hier durch das Raster.

Hier ist eine Checkliste, mit der Sie diese wichtigen Compliance-Kriterien scannen können:

  • Zertifizierungen: ISO 27001 (Basis), BSI C5 (Standard im Public Sector), TISAX (Automotive).
  • Datensouveränität: Wo liegen die Daten? Wer hat Zugriff? Ist ein Zugriff durch ausländische Behörden (z.B. via US CLOUD Act) technisch ausgeschlossen?
  • Auftragsverarbeitung (AVV): Sind die geforderten Vertragsklauseln mit den Standardverträgen Ihres Cloud-Providers kompatibel? Datenschutz-Experten warnen, dass gerade große Anbieter hier oft unflexibel sind.

Warum sollten Sie branchenspezifische Anforderungen beachten? Unterschätzen Sie nicht die Regeln im Gesundheitswesen (DiGA, KHZG) oder bei Sozialdaten (§ 203 StGB). Eine Cloud-Lösung, die für ein Industrieunternehmen perfekt ist, kann für eine Krankenkasse völlig ungeeignet sein. Wie der Bitkom Cloud Report 2025 berichtet, unterstreicht der Verband, dass für 99% der Unternehmen Sicherheit und Compliance die Top-Kriterien bei der Auswahl sind.

Das bedeutet für Sie: Ihr Ziel in dieser Phase ist es, "Showstopper" zu identifizieren. Wenn eine Anforderung (z.B. "Hosting ausschließlich in deutschen Rechenzentren eines deutschen Anbieters") nicht erfüllbar ist, brechen Sie die Bearbeitung ab. Es lohnt sich nicht, hier auf Lücke zu setzen.

Technische Kompatibilität und Interoperabilität

Nachdem die Compliance-Hürde genommen ist, geht es ans Eingemachte. Wie passt die geforderte Lösung technisch in die Landschaft des Kunden? Oft werden in Ausschreibungen eierlegende Wollmilchsäue gesucht - Systeme, die alles können sollen, aber nichts richtig. Berichte des Bitkom bestätigen immer wieder, dass überfrachtete Anforderungskataloge ein Hauptgrund für das Scheitern von IT-Projekten sind.

Ein zentraler Punkt ist die Schnittstellen-Offenheit. Warum ist das so wichtig? Öffentliche Auftraggeber fordern zunehmend offene Standards, um nicht in eine Sackgasse zu geraten. Wie Studien zur Verwaltungsdigitalisierung der AKDB zeigen, ist die Interoperabilität zwischen verschiedenen Fachverfahren der größte technische Flaschenhals. Wenn Sie sich die Details ansehen, prüfen Sie: Fordert die Ausschreibung proprietäre Schnittstellen oder offene Standards wie REST, OData oder spezifische Branchenstandards (z.B. XÖV im Behördenumfeld)?

Achten Sie auf diese technischen Warnsignale:

  • Legacy-Integration: Muss die Cloud-Lösung tief in 20 Jahre alte On-Premises-Systeme integriert werden? Nach Angaben von Gartner wird der Aufwand für die Integration in Altsysteme oft massiv unterschätzt.
  • Skalierbarkeits-Anforderungen: Werden Lastspitzen definiert, die Ihre Standard-Architektur sprengen würden?
  • SLA-Fallen: Werden Verfügbarkeiten von 99,999% gefordert, ohne dass Wartungsfenster ausgeschlossen sind? Das ist technisch oft nur mit extrem teuren Multi-Zone-Clustern machbar.

Mal ehrlich: Wenn Sie hier "kreativ" werden müssen, um die Anforderungen auf dem Papier zu erfüllen, ist das Projektrisiko meist schon zu hoch. Das ist ein klassisches Warnsignal, das Sie nicht ignorieren sollten.

Preismodell-Analyse: Wo verstecken sich die Kosten?

Warum ist der Preis so entscheidend? In den meisten Ausschreibungen ist er das Zuschlagskriterium Nummer eins. Laut einer Analyse des Bitkom liegt die Gewichtung oft bei 50 bis 70 %. Doch Cloud-Pricing ist komplex. Sie werden sehen, dass ein reiner Vergleich der VM-Stundenpreise zu kurz greift und Ihnen später das Genick brechen kann.

Was sind die größten Kostenfallen? Besonders tückisch sind Data Egress Fees (Kosten für ausgehenden Datenverkehr). In vielen Public-Cloud-Modellen ist der Dateneingang kostenlos, der Ausgang aber teuer. Wenn Sie datenintensive Szenarien beschreiben (z. B. Archivabrufe, Medien-Streaming), können diese Kosten Ihre Marge auffressen. Wie die Süddeutsche Zeitung berichtet, steigen Cloud-Kosten für öffentliche Unternehmen oft unerwartet, weil solche variablen Kosten nicht eingepreist wurden.

Wie können Sie richtig kalkulieren? Hier ist eine Übersicht der kritischen Faktoren. Nach Angaben von Flexera entsteht ein Großteil der unnötigen Cloud-Ausgaben durch mangelnde Planung, daher achten Sie auf diese Punkte:

  • Traffic-Kosten: Sind Egress-Kosten im Festpreis inkludiert oder separat abrechenbar? (Achtung: Öffentliche Auftraggeber lieben Festpreise!)
  • API-Calls: Werden Kosten pro Millionen Aufrufe fällig?
  • Storage-Klassen: Haben Sie die richtige Storage-Tier (Hot/Cool/Archive) für die geforderten Zugriffszeiten gewählt?

Denken Sie auch an die Währungssicherheit. Viele Cloud-Services werden in USD abgerechnet. Wann sollten Sie sich absichern? Sobald Sie dem Kunden einen Euro-Festpreis über 4 Jahre garantieren, tragen Sie das volle Währungsrisiko. Finanzexperten von Deloitte warnen regelmäßig vor der Volatilität in IT-Budgets. Sichern Sie sich hier ab oder kalkulieren Sie entsprechende Puffer ein.

Strategische Bewertung: Lock-in Risiken und Exit-Strategie

Das Thema "Vendor Lock-in" ist der Elefant im Raum. Warum ist das relevant? Niemand will darüber sprechen, aber jeder weiß, dass es existiert. Laut aktuellen BSI-Empfehlungen ist für öffentliche Auftraggeber die Vermeidung von Abhängigkeiten mittlerweile ein strategisches Ziel. Oft wird in den Vergabeunterlagen explizit ein "Exit-Konzept" gefordert. Können Sie das liefern?

Was ist ein Vendor Lock-in? Ein Vendor Lock-in entsteht, wenn der Wechsel des Anbieters so teuer oder technisch aufwendig ist, dass er faktisch unmöglich wird. Untersuchungen von Gartner zeigen, dass dies oft passiert, wenn man sich zu tief in proprietäre Services verstrickt. Experten warnen eindringlich davor, spezifische Datenbanken oder KI-APIs eines Hyperscalers ohne Fallback zu nutzen. Wenn die Ausschreibung "Cloud-Native" fordert, aber eigentlich "AWS-Native" meint, müssen Sie vorsichtig sein.

Wie können Sie die Ausschreibung bewerten? Nutzen Sie diese strategischen Fragen:

  • Proprietäre vs. Offene Standards: Basiert die geforderte Lösung auf Kubernetes und Containern (portabel) oder auf proprietären Serverless-Funktionen?
  • Datenhoheit: Wem gehören die Daten und Metadaten? Können diese jederzeit in einem offenen Format (CSV, JSON, SQL-Dump) exportiert werden?
  • Wechselkosten: Öffentliche Unternehmen beklagen oft massive Wechselkosten. Hier ist das Problem: Wenn Sie eine Lösung anbieten, die den Kunden "fesselt", kann das im Bewertungsmatrix-Punkt "Strategische Unabhängigkeit" zu Abzügen führen.

Wie funktioniert das Go/No-Go Framework?

Um Ihre Entscheidung zu systematisieren, empfehlen wir eine einfache Matrix. Wenn Sie jede Ausschreibung nach einem Ampelsystem bewerten, sparen Sie wertvolle Zeit:

  1. ROT (Sofortiger Abbruch): Muss-Kriterien (K.o.-Kriterien) im Bereich Compliance (z.B. C5 Typ 2 fehlt) oder Recht (z.B. Vertragsstrafen in unbegrenzter Höhe) sind nicht erfüllbar.
  2. GELB (Risiko-Analyse notwendig): Technische Anforderungen sind nur mit "Workarounds" erfüllbar oder das Preismodell birgt Währungsrisiken. Hier müssen Sie prüfen: Können wir das Risiko einpreisen?
  3. GRÜN (Go): Standard-Lösung passt, Compliance ist "Out-of-the-Box" gegeben, Referenzen sind vorhanden.

Lassen Sie uns Tacheles reden: Der Mut zum "No-Go" ist oft profitabler als ein gewonnenes Projekt, das Sie jahrelang quersubventionieren müssen. Wie hilft Automatisierung dabei? Nutzen Sie KI-Tools, um diese Bewertung zu beschleunigen. Nach Angaben von McKinsey kann moderne Software hunderte Seiten Vergabeunterlagen in Minuten scannen und kritische Passagen markieren.

Ein böses Erwachen gibt es oft erst Jahre später, wenn der Vertrag ausläuft und der Kunde wechseln will. Sie werden feststellen, dass ohne ein sauberes Exit-Konzept nicht nur Reputationsschäden, sondern auch rechtliche Konsequenzen drohen. Planen Sie das Ende also schon am Anfang mit ein.

FAQ

Was ist der Unterschied zwischen Muss- und Kann-Kriterien?

Muss-Kriterien (K.o.-Kriterien) sind zwingende Anforderungen. Wenn Ihr Angebot diese nicht zu 100% erfüllt, werden Sie sofort vom Verfahren ausgeschlossen. Kann-Kriterien hingegen werden bewertet (z.B. mit Punkten). Je besser Sie diese erfüllen, desto höher Ihre Chance auf den Zuschlag. Investieren Sie Ihre Energie zuerst in die lückenlose Erfüllung aller Muss-Kriterien.

Wie gehe ich mit unklaren Anforderungen in der Ausschreibung um?

Nutzen Sie unbedingt die Bieterfragen-Phase! Stellen Sie präzise Fragen, um Unklarheiten zu beseitigen (z.B. "Ist mit 'Zertifizierung' zwingend ISO 27001 gemeint oder sind Äquivalente zugelassen?"). Interpretieren Sie niemals einfach drauf los – das Risiko einer Fehlkalkulation ist zu hoch. Dokumentieren Sie alle Antworten der Vergabestelle sorgfältig.

Welche Rolle spielt die 'Souveräne Cloud' in Deutschland?

Eine enorm wichtige. Öffentliche Auftraggeber fordern zunehmend 'digitale Souveränität'. Das bedeutet volle Kontrolle über Daten und Prozesse, Unabhängigkeit von außereuropäischen Rechtsräumen (Schutz vor US CLOUD Act) und Wechselmöglichkeiten. Angebote, die diese Souveränität glaubhaft zusichern (z.B. durch Treuhänder-Modelle oder Open Source), haben oft einen Wettbewerbsvorteil.

Lohnt sich die Teilnahme an jeder Ausschreibung?

Definitiv nein. Die Bearbeitung einer öffentlichen Ausschreibung kostet oft mehrere Personentage. Nutzen Sie ein striktes 'Bid/No-Bid'-Framework. Wenn Sie die Eignungskriterien nicht erfüllen, der Preiswettbewerb ruinös erscheint oder die Risiken (z.B. Haftung) unkalkulierbar sind, ist ein 'No-Bid' die wirtschaftlich vernünftigere Entscheidung.

Wie hilft KI bei der Bewertung von Ausschreibungen?

KI-gestützte Tools (wie BidFix) können hunderte Seiten Vergabeunterlagen in Sekunden scannen. Sie identifizieren automatisch kritische Keywords (z.B. 'Vertragsstrafe', 'Urheberrecht', 'C5'), gleichen Anforderungen mit Ihrem Portfolio ab und markieren Risiken. Das beschleunigt die Go/No-Go-Entscheidung massiv und verhindert Flüchtigkeitsfehler.

Was sind Egress-Kosten und warum sind sie gefährlich?

Egress-Kosten sind Gebühren, die Cloud-Provider für den Datentransfer aus der Cloud heraus (Download) berechnen. In Ausschreibungen werden diese oft vergessen, da der Upload meist kostenlos ist. Bei datenintensiven Anwendungen können diese variablen Kosten die Marge komplett zerstören, wenn sie nicht im Festpreis einkalkuliert wurden.

Quellen & Literatur

Sources

  1. Gesetz gegen Wettbewerbsbeschränkungen (GWB) § 123 | Gesetz | Gegen | Wettbewerbsbeschränkungen
  2. BSI Kriterienkatalog C5 | BSI | Kriterienkatalog | C5
  3. AKDB Studie Verwaltungsdigitalisierung | Akdb | Studie | Verwaltungsdigitalisierung

Newsletter abonnieren

Erhalten Sie hilfreiche Tipps und Tricks für erfolgreiche Ausschreibungen.

Weitere Artikel entdecken

IT-Ausschreibung bewerten lohnt sich: Der Weg zur profitablen Bid/No-Bid Entscheidung

IT-Ausschreibung bewerten lohnt sich: Der Weg zur profitablen Bid/No-Bid Entscheidung

Investieren Sie hunderte Stunden in IT-Ausschreibungen, die Sie am Ende nicht gewinnen? Viele IT-Dienstleister verbrennen wertvolle Ressourcen durch die Teilnahme an Verfahren ohne realistische Erfolgschancen. Erfahren Sie, wie Sie mit einer strukturierten Bewertungsmatrix und klaren Bid/No-Bid-Kriterien Ihre Gewinnquote steigern und unrentable Projekte frühzeitig aussortieren.

Weiterlesen
Die Bid/No-Bid Entscheidung: Wann sich eine Bewerbung auf Ausschreibungen lohnt

Die Bid/No-Bid Entscheidung: Wann sich eine Bewerbung auf Ausschreibungen lohnt

Investieren Sie wertvolle Ressourcen in Ausschreibungen, die Sie kaum gewinnen können? Viele IT-Dienstleister verlieren jährlich tausende Euro durch blinde Bewerbungen. Erfahren Sie, wie Sie mit einem datenbasierten Bid/No-Bid Framework Ihre Gewinnchancen maximieren und teure Fehlentscheidungen vermeiden.

Weiterlesen
Alle Artikel