Objektive Kriterien für die Auswahl der begrenzten Anzahl von Bewerbern
Für den Auftrag kommen nur Bewerber in Betracht, die für die Erfüllung der vertraglichen Verpflichtungen die erforderliche Leistungsfähigkeit und Erfahrung besitzen.
Die Bewertung des Teilnahmeantrags erfolgt anhand der aufgeführten Kriterien. Die Auftraggeberinnen nehmen im Rahmen der Punktevergabe eine vergleichende Bewertung der eingehenden Teilnahmeanträge vor. Falls nach diesen angegebenen Kriterien eine objektive Auswahl unter gleich qualifizierten Bewerbern nicht mehr nachvollziehbar durchgeführt werden kann, ist eine Auswahl durch Losentscheid möglich.
Die 3 Bewerber mit der Höchstpunktzahl werden aufgefordert, ein Angebot abzugeben. Die Auftraggeberinnen behalten sich vor, bei Punktegleichstand auf dem letzten Platz, den Bieterkreis zu erweitern und mehr als 3 Bewerber zur Angebotsabgabe aufzufordern.
1. Anforderungen an das Betriebsmodell aus Datenschutz / Informationssicherheitsaspekten:
Der Auftragnehmer muss für die Anforderungen des Auftrags ein Datenschutzkonzept inkl. Angaben zu den nachfolgenden Mindestanforderungen sowie näheren Angaben zu den in den Datenschutzbestimmungen (Anlage A2, inkl. Anhänge A-F) geforderten technisch-organisatorischen Maßnahmen vorlegen. Das Nichteinreichen des Datenschutzkonzeptes führt zum Ausschluss des Bewerbers.
Der Bewerber muss die Leistung als Software as a Service (SaaS) erbringen. D.h., dass die Software und die IT-Infrastruktur vom Bewerber betrieben und verantwortet wird, die Auftraggeberinnen nutzen eine Dienstleistung bzw. einen bereitgestellten Service.
Der Bewerber muss die Datenschutz- und Informationssicherheitsanforderungen der Auftraggeberinnen, wie in der Leistungsbeschreibung beschrieben sowie im Anforderungskatalog gefordert, erfüllen.
Hierbei sind folgende Mindestanforderungen an die Informationssicherheit definiert:
— Es müssen Vorgaben und Konzepte zur Informationssicherheit vorliegen, diese müssen umgesetzt sein und die Umsetzung ist nachzuweisen,
— Alle Informationssicherheitsanforderungen der Auftraggeberinnen müssen auf alle Unterauftragnehmer sowie deren Unterauftragnehmer (etc. pp., Subdienstleisterkette) wirken und den Auftraggeberinnen bei Verlangen nachgewiesen werden,
— Sicherheitsvorfälle, welche mittel- oder unmittelbar die Auftraggeberinnen betreffen, müssen unverzüglich mitgeteilt werden,
— Die zur Serviceerbringung eingesetzte Software sowie die eingesetzten Systeme, auch der Subdienstleisterkette, müssen auf dem Stand der Technik sein,
— Den Auftraggeberinnen muss es ermöglicht werden, bei Bedarf die Sicherheit der Software und der Systeme im Rahmen eines Pentests durch einen Dritten prüfen zu lassen,
— Findings aus einem solchen Pentest müssen, je nach Kritikalität, in definierten Zeiträumen behoben werden,
— Ein Re-Pentest muss das Schließen der Findings bestätigen und neue Findings ausschließen,
— Der Service muss Nutzer identifizieren, authentifizieren und autorisieren können,
— Neben der Wahrung von Vertraulichkeit und Integrität von Software, Systemen und Informationen, gilt dies gleichermaßen auch für Backups.
Es sind folgende Mindestanforderungen an den Datenschutz definiert:
— Der Bewerber muss die abgelegten Daten (data at rest) dem Stand der Technik entsprechend verschlüsseln,
— Die Systemplattform muss, dem Stand der Technik entsprechend, verschlüsselt sein (z. B. Festplattenverschlüsselung o. a. Hardware-Verschlüsselung),
— Die (Daten-)Transportwege (data in motion) müssen, dem Stand der Technik entsprechend, verschlüsselt sein,
— Die Verschlüsselungsschlüssel müssen beim Bewerber oder den Auftraggeberinnen bzw. ihren IT-Dienstleistern liegen,
— Zwischen den Auftraggeberinnen und dem Bewerber müssen Datenschutzbestimmungen als Anlage zum Hauptvertrag geschlossen werden,
— Alle Datenschutzanforderungen der Auftraggeberin müssen auf alle Unterauftragnehmer sowie deren Unterauftragnehmer (etc. pp., Subdienstleisterkette) wirken und der Auftraggeberin bei Verlangen nachgewiesen werden.
Folgende Mindestanforderungen gelten sowohl für die Informationssicherheit, als auch für den Datenschutz:
— Der Bewerber muss den Auftraggeberinnen ein Auditrecht (ggf. durch Dritte) einräumen,
— Mit Vertragsende müssen die bis dato angefallenen Daten (personenbezogene Daten, Schlüsselmaterial, Content, …) den Auftraggeberinnen in geeigneten Dateiformaten übermittelt werden,
— Haben die Auftraggeberinnen den Empfang quittiert, so müssen die Daten sicher gelöscht werden.
2. Referenzen
Die Bewertung erfolgt über das Auswahlkriterium Referenzen, in dem maximal 90 Punkte zu erreichen sind.
Mindestanforderung: Als Beleg der technischen und beruflichen Leistungsfähigkeit des Bewerbers sind mindestens 2 mit dem Auftragsgegenstand vergleichbare Referenzleistungen, die innerhalb der letzten 3 Jahre erbracht wurden und mit dem zu vergebenden Auftrag nach Art, Umfang und Schwierigkeitsgrad vergleichbar sind, einzureichen. Der Referenzzeitraum kann auch einen Beginn vor den letzten 3 Jahren gehabt haben. Vergleichbar ist eine Referenzleistung, wenn es sich um den Betrieb einer Software zur Themenplanung sowie Veröffentlichung von Inhalten in unterschiedlichen Kommunikationskanälen unter Berücksichtigung dessen Spezifika handelt.
Neben der Leistungsart und deren Umfang sollten auch die Leistungsdauer sowie die Größe des Referenzunternehmens vergleichbar sein.
Erfüllen die Referenzen nicht die genannten Mindestanforderungen, wird der Teilnahmeantrag ausgeschlossen.
Bei der Bewertung der Referenzen werden je eingereichter Referenz max. 45 Punkte nach dem im Folgenden dargestellten System vergeben. Werden mehr als 2 Referenzen eingereicht, fließen die besten 2 in die Wertung ein.
Es können damit max. 90 Punkte erreicht werden (je Referenz max. 45 Punkte). Für die einzelnen Unterkriterien werden abhängig von der Erfüllung der folgenden Voraussetzungen jeweils zwischen 3 und 15 Punkte vergeben. Ist ein Unterkriterium nicht erfüllt, wird es mit 0 Punkten bewertet.
(Fortsetzung in Ziffer II.2.14) Zus. Angb.)