Ausschreibungsdetails
Aus Gründen der Vertraulichkeit sind die Vergabeunterlagen nicht frei zugänglich.
Der nachfolgenden Bekanntmachung können Sie entnehmen, wie die vollständigen Unterlagen anzufordern sind.
Registrierte Nutzer der e-Vergabe können die Vergabeunterlagen im Bereich "Meine e-Vergabe" anfordern, sofern diese von der Vergabestelle über die e-Vergabe bereitgestellt wurden. Weitere Informationen finden Sie hier.
Registrierte Nutzer der e-Vergabe können die Vergabeunterlagen im Bereich "Meine e-Vergabe" anfordern, sofern diese von der Vergabestelle über die e-Vergabe bereitgestellt wurden. Weitere Informationen finden Sie hier.
Die technischen Parameter zur Einreichung von Teilnahmeanträgen, Angeboten und Interessensbestätigungen verwendeten elektronischen Mittel sind durch die Clients der e-Vergabe-Plattform und die elektronischen Werkzeuge der e-Vergabe-Plattform bestimmt. Verwendete Verschlüsselungs- und Zeiterfassungsverfahren sind Bestandteil der Clients der e-Vergabe-Plattform sowie der Plattform selber und der elektronischen Werkzeuge der e-Vergabe-Plattform.
Weitergehende Informationen stehen auf https://www.evergabe-online.info bereit.
(nicht des Konzerns) der letzten fünf Jahre und aussagefähiger Ansprechstellen des jeweiligen Auftraggebers vor? Die Referenzliste hat dabei einen weitgehend ähnlichen Inhalt gegenüber der hier ausgeschriebenen Leistung zu enthalten und muss die Leistungsfähigkeit des Bieters auf diesem Gebiet aufzeigen. Es muss sich dabei nicht unbedingt um Rahmenverträge oder Verträge mit der "öffentlichen Hand" handeln.
Handelt es sich um eine Bietergemeinschaft beziehen sich die vorzulegenden Referenzangaben auf die Bietergemeinschaft, nicht deren einzelne Mitglieder. Mindestens eine Referenz muss einen Auftragswert in Höhe von 5 Prozent der Obergrenze des Loses haben, für welches sich beworben wird.
Liegt eine Darstellung der räumlichen, strukturellen und personellen Organisation des Bieters bzw. der Bietergemeinschaft vor, die die Besteller bei der Lösung aufkommender Probleme unterstützen soll? Hierbei werden Darstellungen der vorgesehenen Serviceannahme mit telefonischer Hilfestellung bei Problemfällen und der Standardservices wie z.B.: Reaktionsketten, Servicestellen, Vor-Ort-Services usw. erwartet.
Darstellung der Organisation sowie der Verantwortlichkeiten des Bieters
Liegt eine Darstellung der Organisation und der Verantwortlichkeiten des Bieters bzw. der Bietergemeinschaft über die gesamte Vertragslaufzeit (inklusive optionaler Verlängerung) vor, welche Wege der Problemlösung beschritten werden sollen, wobei insbesondere darauf einzugehen ist, wie Anfragen bspw. zu Lieferungen, Rechnungen oder die Meldung von Transportschäden behandelt werden, sodass diese einer schnellstmöglichen Lösung zugeführt und welche Stationen bis zur Lösung durchlaufen werden? Dabei ist auch auf das vorgesehene Risiko- und Eskalationsmanagement inklusive der Eskalationsstufen einzugehen und welche Stellen in steigender Verantwortlichkeit an der Lösung von Störungen beteiligt sind.
Im Falle einer Bietergemeinschaft ist außerdem darzustellen, wie eine Entscheidungsfindung zwischen den Mitgliedern der Bietergemeinschaft erfolgt, um die schnellstmögliche Lösung vorhandener oder auftretender Probleme gegenüber dem Auftraggeber sicherzustellen.
Liegt das ausgefüllte, unterschriebene Merkblatt für die Behandlung von Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD-Merkblatt) vor? Bei dem Nachweis über die Verpflichtung ist mindestens eine Person zu benennen.
technisch-organisatorische Maßnahmen
Liegt eine Erklärung über geeignete technisch-organisatorische Maßnahmen vor, durch die die Verarbeitung der Daten im Einklang mit den gesetzlichen Anforderungen gewährleistet ist?
Im Einzelnen werden folgende Maßnahmen bestimmt, die der Umsetzung der Vorgaben des Art. 32 DSGVO dienen.
Zutrittskontrolle
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren.
Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Zugriffskontrolle
Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Weitergabekontrolle
Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist
Eingabekontrolle
Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Auftragskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können.
Verfügbarkeitskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Trennungskontrolle
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
In den Darstellungen ist zu den nachfolgenden Punkten Stellung zu beziehen.
1. Zutrittskontrolle (Gebäudesicherheit)
Ziel: Unbefugten physischen Zugang verhindern.
potenzielle Maßnahmen:
• Abschließbare Serverräume, Zugang nur für autorisiertes Personal
• Elektronische Zutrittskontrollen (z. B. mit Protokollierung)
• Sicherheitsschleusen, Wachpersonal
2. Zugangskontrolle (Systemzugänge)
Ziel: Unbefugte Nutzung von IT-Systemen verhindern.
potenzielle Maßnahmen:
• Starke Authentifizierung (2-Faktor oder Smartcard)
• Rollenbasierte Benutzerkonten mit minimalen Rechten
• Passwort-Policies gemäß VSA / BSI
3. Zugriffskontrolle (Rechtevergabe auf Datenebene)
Ziel: Nur autorisierte Personen dürfen Daten einsehen oder verarbeiten.
potenzielle Maßnahmen:
• Differenzierte Berechtigungen je nach VS-Zulassung
• Logging und regelmäßige Überprüfung von Zugriffsrechten
• Nutzung von verschlüsselten Netzlaufwerken / Containern
4. Weitergabekontrolle
Ziel: Verhinderung unbefugter Datenübertragungen.
potenzielle Maßnahmen:
• Verschlüsselung bei Übertragungen (z. B. S/MIME, TLS mit VS-Zulassung)
• Logging und Freigabeprozesse bei Datenweitergabe
• Verbot privater Speichermedien oder E-Mail-Weiterleitung
5. Eingabekontrolle
Ziel: Nachvollziehbarkeit von Änderungen und Zugriffen.
potenzielle Maßnahmen:
• Protokollierung aller Zugriffe auf VS-Daten
• Unveränderbare Audit-Logs
• Regelmäßige Kontrolle der Protokolle durch Sicherheitsbeauftragte
6. Auftragskontrolle (bei Auftragsverarbeitung)
Ziel: Sicherstellen, dass der Auftragsverarbeiter nur im Auftrag handelt.
potenzielle Maßnahmen:
• Vertrag nach § 11 VSA bzw. mit Sicherheitsanhang gemäß BSI-Anforderungen
• Benennung eines Sicherheitsbeauftragten beim Dienstleister
• Kontrolle der Einhaltung durch Audits
7. Verfügbarkeitskontrolle / Resilienz
Ziel: Schutz vor Datenverlust oder Ausfällen.
potenzielle Maßnahmen:
• Redundante Systeme, USV, Brandschutz
• Tägliche Backups mit VS-konformer Aufbewahrung
• Notfallpläne / Wiederanlaufverfahren
8. Trennungsgebot
Ziel: Verhinderung der Vermischung von VS-Daten mit anderen Daten.
potenzielle Maßnahmen:
• Separate IT-Systeme oder Virtualisierungen
• Netzsegmentierung (VS-Netze getrennt vom übrigen Betrieb)
• Keine Co-Location mit nicht-klassifizierten Daten
Kontrolle der Technisch-organisatorische Maßnahmen bei Auftragsverarbeitung
Interne Kontrolle:
• Sicherheitsbeauftragter prüft regelmäßig Maßnahmen.
• Interne Audits, auch unangekündigt.
• Schulungen und Sensibilisierung des Personals mit VS-Zulassung.
Externe Kontrolle:
• Auftraggeber hat ein gesetzliches Kontrollrecht (§ 11 VSA).
• Durchführung von Sicherheitsüberprüfungen und Vor-Ort-Kontrollen.
• Dokumentationspflicht: Maßnahmen müssen vollständig nachgewiesen werden können.
• Bei Verarbeitung von VS-NfD können VS-Einweisungen für bestimmte Rollen verpflichtend sein.
Geschäftsjahres bezüglich Los 1 mindestens EUR 2.000.000,00 und
bezüglich Los 2 mindestens EUR 20.000.000,00 beträgt?
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 GWB durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2 GWB. § 134 Absatz 1 Satz 2 GWB bleibt unberührt.
§ 134 GWB Informations- und Wartepflicht
https://www.gesetze-im-internet.de/gwb/__134.html
§ 135 Unwirksamkeit
https://www.gesetze-im-internet.de/gwb/__135.html
(nicht des Konzerns) der letzten fünf Jahre und aussagefähiger Ansprechstellen des jeweiligen Auftraggebers vor? Die Referenzliste hat dabei einen weitgehend ähnlichen Inhalt gegenüber der hier ausgeschriebenen Leistung zu enthalten und muss die Leistungsfähigkeit des Bieters auf diesem Gebiet aufzeigen. Es muss sich dabei nicht unbedingt um Rahmenverträge oder Verträge mit der "öffentlichen Hand" handeln.
Handelt es sich um eine Bietergemeinschaft beziehen sich die vorzulegenden Referenzangaben auf die Bietergemeinschaft, nicht deren einzelne Mitglieder. Mindestens eine Referenz muss einen Auftragswert in Höhe von 5 Prozent der Obergrenze des Loses haben, für welches sich beworben wird.
Liegt eine Darstellung der räumlichen, strukturellen und personellen Organisation des Bieters bzw. der Bietergemeinschaft vor, die die Besteller bei der Lösung aufkommender Probleme unterstützen soll? Hierbei werden Darstellungen der vorgesehenen Serviceannahme mit telefonischer Hilfestellung bei Problemfällen und der Standardservices wie z.B.: Reaktionsketten, Servicestellen, Vor-Ort-Services usw. erwartet.
Darstellung der Organisation sowie der Verantwortlichkeiten des Bieters
Liegt eine Darstellung der Organisation und der Verantwortlichkeiten des Bieters bzw. der Bietergemeinschaft über die gesamte Vertragslaufzeit (inklusive optionaler Verlängerung) vor, welche Wege der Problemlösung beschritten werden sollen, wobei insbesondere darauf einzugehen ist, wie Anfragen bspw. zu Lieferungen, Rechnungen oder die Meldung von Transportschäden behandelt werden, sodass diese einer schnellstmöglichen Lösung zugeführt und welche Stationen bis zur Lösung durchlaufen werden? Dabei ist auch auf das vorgesehene Risiko- und Eskalationsmanagement inklusive der Eskalationsstufen einzugehen und welche Stellen in steigender Verantwortlichkeit an der Lösung von Störungen beteiligt sind.
Im Falle einer Bietergemeinschaft ist außerdem darzustellen, wie eine Entscheidungsfindung zwischen den Mitgliedern der Bietergemeinschaft erfolgt, um die schnellstmögliche Lösung vorhandener oder auftretender Probleme gegenüber dem Auftraggeber sicherzustellen.
Liegt das ausgefüllte, unterschriebene Merkblatt für die Behandlung von Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD-Merkblatt) vor? Bei dem Nachweis über die Verpflichtung ist mindestens eine Person zu benennen.
technisch-organisatorische Maßnahmen
Liegt eine Erklärung über geeignete technisch-organisatorische Maßnahmen vor, durch die die Verarbeitung der Daten im Einklang mit den gesetzlichen Anforderungen gewährleistet ist?
Im Einzelnen werden folgende Maßnahmen bestimmt, die der Umsetzung der Vorgaben des Art. 32 DSGVO dienen.
Zutrittskontrolle
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren.
Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Zugriffskontrolle
Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Weitergabekontrolle
Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist
Eingabekontrolle
Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Auftragskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können.
Verfügbarkeitskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Trennungskontrolle
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
In den Darstellungen ist zu den nachfolgenden Punkten Stellung zu beziehen.
1. Zutrittskontrolle (Gebäudesicherheit)
Ziel: Unbefugten physischen Zugang verhindern.
potenzielle Maßnahmen:
• Abschließbare Serverräume, Zugang nur für autorisiertes Personal
• Elektronische Zutrittskontrollen (z. B. mit Protokollierung)
• Sicherheitsschleusen, Wachpersonal
2. Zugangskontrolle (Systemzugänge)
Ziel: Unbefugte Nutzung von IT-Systemen verhindern.
potenzielle Maßnahmen:
• Starke Authentifizierung (2-Faktor oder Smartcard)
• Rollenbasierte Benutzerkonten mit minimalen Rechten
• Passwort-Policies gemäß VSA / BSI
3. Zugriffskontrolle (Rechtevergabe auf Datenebene)
Ziel: Nur autorisierte Personen dürfen Daten einsehen oder verarbeiten.
potenzielle Maßnahmen:
• Differenzierte Berechtigungen je nach VS-Zulassung
• Logging und regelmäßige Überprüfung von Zugriffsrechten
• Nutzung von verschlüsselten Netzlaufwerken / Containern
4. Weitergabekontrolle
Ziel: Verhinderung unbefugter Datenübertragungen.
potenzielle Maßnahmen:
• Verschlüsselung bei Übertragungen (z. B. S/MIME, TLS mit VS-Zulassung)
• Logging und Freigabeprozesse bei Datenweitergabe
• Verbot privater Speichermedien oder E-Mail-Weiterleitung
5. Eingabekontrolle
Ziel: Nachvollziehbarkeit von Änderungen und Zugriffen.
potenzielle Maßnahmen:
• Protokollierung aller Zugriffe auf VS-Daten
• Unveränderbare Audit-Logs
• Regelmäßige Kontrolle der Protokolle durch Sicherheitsbeauftragte
6. Auftragskontrolle (bei Auftragsverarbeitung)
Ziel: Sicherstellen, dass der Auftragsverarbeiter nur im Auftrag handelt.
potenzielle Maßnahmen:
• Vertrag nach § 11 VSA bzw. mit Sicherheitsanhang gemäß BSI-Anforderungen
• Benennung eines Sicherheitsbeauftragten beim Dienstleister
• Kontrolle der Einhaltung durch Audits
7. Verfügbarkeitskontrolle / Resilienz
Ziel: Schutz vor Datenverlust oder Ausfällen.
potenzielle Maßnahmen:
• Redundante Systeme, USV, Brandschutz
• Tägliche Backups mit VS-konformer Aufbewahrung
• Notfallpläne / Wiederanlaufverfahren
8. Trennungsgebot
Ziel: Verhinderung der Vermischung von VS-Daten mit anderen Daten.
potenzielle Maßnahmen:
• Separate IT-Systeme oder Virtualisierungen
• Netzsegmentierung (VS-Netze getrennt vom übrigen Betrieb)
• Keine Co-Location mit nicht-klassifizierten Daten
Kontrolle der Technisch-organisatorische Maßnahmen bei Auftragsverarbeitung
Interne Kontrolle:
• Sicherheitsbeauftragter prüft regelmäßig Maßnahmen.
• Interne Audits, auch unangekündigt.
• Schulungen und Sensibilisierung des Personals mit VS-Zulassung.
Externe Kontrolle:
• Auftraggeber hat ein gesetzliches Kontrollrecht (§ 11 VSA).
• Durchführung von Sicherheitsüberprüfungen und Vor-Ort-Kontrollen.
• Dokumentationspflicht: Maßnahmen müssen vollständig nachgewiesen werden können.
• Bei Verarbeitung von VS-NfD können VS-Einweisungen für bestimmte Rollen verpflichtend sein.
Geschäftsjahres bezüglich Los 1 mindestens EUR 2.000.000,00 und
bezüglich Los 2 mindestens EUR 20.000.000,00 beträgt?
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 GWB durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2 GWB. § 134 Absatz 1 Satz 2 GWB bleibt unberührt.
§ 134 GWB Informations- und Wartepflicht
https://www.gesetze-im-internet.de/gwb/__134.html
§ 135 Unwirksamkeit
https://www.gesetze-im-internet.de/gwb/__135.html
Berichtigungen
Untenstehend werden alle Berichtigungen des Verfahrens als F14 zum Download angeboten. Die Sortierung erfolgt absteigend.
a459c188-8694-42e8-9554-10d11ae4eada