Bereitstellung und Betrieb einer Private Cloud Infrastruktur | Kassenärztliche Bundesvereinigung K. d. ö. R. | Öffentliches Auftragswesen in Deutschland

Datum	Dokument
2023-09-01	Auftragsbekanntmachung

Kurze Beschreibung

Die immer weiter steigenden Anforderungen an einen sicheren IT-Betrieb, sich schnell ändernde Anforderungen und Umfeldbedingungen, sich verändernde Risikosituationen sowie wirtschaftliche Hintergründe haben die Auftraggeberin dazu veranlasst, als Teil ihrer gesamthaften IT-Strategie, eine IT-Sourcing Strategie auszuarbeiten. Um die Basis für die Umsetzung der IT-Sourcing Strategie zu schaffen, hat die Auftraggeberin ein Projekt mit dem Kurztitel MOVE etabliert. Ziel dieses Projekts ist, einen geeigneten IT-Serviceprovider für den technischen Betrieb der IT-Infrastruktur der Auftraggeberin auszuschreiben sowie die Zusammenarbeit mit dem Auftragnehmer aufzubauen.

Beschreibung der Beschaffung

Die Auftraggeberin betreibt zum aktuellen Zeitpunkt den Großteil ihrer IT-Infrastruktur und ihrer Anwendungen in einem eigenen Rechenzentrum. Zur Absicherung nutzt die Auftraggeberin parallel dazu ein Notfallrechenzentrum.
Zur Umsetzung wesentlicher Teile der IT-Sourcing-Strategie der Auftraggeberin soll die zukünftige IT-Infrastruktur für die Anwendungen der Auftraggeberin in einer skalierbaren Private Cloud Infrastruktur betrieben werden. Diese umfasst Housing-Leistungen für Hardwarekomponenten der Auftraggeberin, Compute und Storageservices auf IaaS-Ebene, die Bereitstellung einer Backupinfrastruktur sowie Netzwerk Services inkl. Netzwerk Switches, Firewalls, NTP-Service, DNS-Service sowie DDoS-Schutz auf Anwendungsebene. Ebenso sind Leistungen für die erforderliche Anbindung zwischen Auftragnehmer und Auftraggeberin und die Bereitstellung von Lizenzen für virtualisierte Netzwerk-Appliances vorgesehen. Daher sucht die Auftraggeberin einen IT-Serviceprovider, der als Partner die erforderlichen Bereitstellungs-, Betriebs- und Projektleistungen erbringt.
Die Themen Datenschutz sowie Informationssicherheit sind neben der Sicherstellung des Betriebs ihrer Anwendungen prioritär für die Auftraggeberin. Die Auftraggeberin betreibt daher ein Informationssicherheitsmanagementsystem (ISMS) und ist nach ISO 27001 zertifiziert. Wesentliche Aufgaben zum Betrieb der IT-Infrastruktur der Auftraggeberin übernimmt die DSSG mbH, die als Eigeneinrichtung der Auftraggeberin ebenfalls ein ISMS betreibt und nach ISO 27001 zertifiziert ist.
Die weiteren Details der zu erbringenden Leistungen sind der Zusammenfassung der Leistungsbeschreibung (Dokument 08) zu entnehmen. Die Leistungsbeschreibung inkl. Anhängen werden den Bietern mit Angebotsaufforderung zur Verfügung gestellt.

Liste und kurze Beschreibung der Bedingungen

Zum Nachweis sind mit dem Teilnahmeantrag folgende Angaben, Erklärungen und Nachweise von dem Bewerber oder im Falle einer Bewerbergemeinschaft oder der Inanspruchnahme von Kapazitäten anderer Unternehmen („Eignungsleihe“ i. S. d. § 47 VgV) von jedem Mitglied der Bewerbergemeinschaft und/oder anderen Unternehmen zu machen bzw. einzureichen:
(1) Eigenerklärung (Vordruck im Teilnahmeantrag): Angaben zum Bewerber bzw. ggf. der Bewerbergemeinschaft, der Unterauftragnehmer oder sonstigen eignungsverschaffenden Unternehmen.
(2) Eigenerklärung (Vordruck im Teilnahmeantrag), dass die Ausschlussgründe nach §§ 123 und 124 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) nicht vorliegen. Der Bewerber hat zu erklären, dass keiner der Ausschlussgründe gemäß §§ 123, 124 GWB vorliegt. Soweit Tatbestände nach den vorgenannten Vorschriften bei dem Bewerber vorliegen, sind dazu nähere Angaben zu machen, um der Auftraggeberin die Prüfung der Ausnahmetatbestände des § 123 Abs. 5 GWB, § 124 sowie nach §§ 125 und 126 GWB zu ermöglichen. Die Auftraggeberin behält sich die weitere Aufklärung und das Verlangen weiterer Unterlagen für den Fall vor, dass Ausschlusstatbestände vorliegen.
(3) Eigenerklärung (Vordruck im Teilnahmeantrag), dass die Voraussetzungen für einen Ausschluss nach § 19 Abs. 1 Mindestlohngesetz (MiLoG) in Bezug nicht vorliegen. Die Auftraggeberin behält sich die weitere Aufklärung und das Verlangen weiterer Unterlagen für den Fall vor, dass Ausschlusstatbestände vorliegen.
(4) Eigenerklärung (Vordruck im Teilnahmeantrag), dass die Voraussetzungen für einen Ausschluss nach Artikel 5k Absatz 3 der Verordnung (EU) 2022/576 des Rates vom 8. April 2022 in Bezug auf unser Unternehmen nicht vorliegen. Die Auftraggeberin behält sich die weitere Aufklärung und das Verlangen weiterer Unterlagen vor.

Liste und kurze Beschreibung der Auswahlkriterien

Zum Nachweis sind mit dem Teilnahmeantrag folgende Angaben und Erklärungen von dem Bewerber oder im Falle einer Bewerbergemeinschaft oder der Inanspruchnahme von Kapazitäten anderer Unternehmen („Eignungsleihe“ i. S. d. § 47 VgV) von jedem Mitglied der Bewerbergemeinschaft und/oder anderen Unternehmen zu machen:
(1) Eigenerklärung (Vordruck im Teilnahmeantrag): Angaben zu dem erzielten Gesamtjahresumsatz sowie Jahresumsatz in dem Tätigkeitsbereich des ausgeschriebenen Auftrags in den letzten drei abgeschlossenen Geschäftsjahren.
(2) Eigenerklärung (Vordruck im Teilnahmeantrag): Angaben zu der Anzahl festangestellter Beschäftigter (ohne Sekretariat, Praktikanten, nicht fachliche Mitarbeiter) des Bewerbers.
(3) Eigenerklärung (eigenes Dokument des Bewerbers): Der Bewerber bzw. die Mitglieder einer Bewerbergemeinschaft müssen eine aussagekräftige aktuelle Bank- oder Wirtschaftsauskunft vorlegen.
(4) Eigenerklärung (Vordruck im Teilnahmeantrag): Der Bewerber/die Bewerbergemeinschaft hat eine Erklärung zu seinen Versicherungen abzugeben. Gefordert ist die Erklärung, dass der Bewerber über eine Betriebshaftpflichtversicherung
für Personen- und Sachschäden sowie für Vermögensschäden (inklusive Schäden bei IT-Leistungen)
verfügt oder eine Erklärung, dass der Bewerber eine solche Versicherung spätestens bis zur Auftragserteilung abgeschlossen haben wird.
Für den Fall von Bewerbergemeinschaften oder der Inanspruchnahme der Kapazitäten anderer Unternehmen im Hinblick auf die erforderliche wirtschaftliche und finanzielle Leistungsfähigkeit (sog. „Eignungsleihe“ i. S. d. § 47 VgV) sind die entsprechenden Angaben von den Mitgliedern der Bewerbergemeinschaft bzw. den anderen Unternehmen zu machen, soweit sich der Bewerber für die Erfüllung des Eignungskriteriums auf das Mitglied der Bewerbergemeinschaft oder das andere Unternehmen beruft.

Zu (3): An den Inhalt der Auskunft werden folgende Mindestanforderungen gestellt:
- Art und Dauer der Geschäftsbeziehung beträgt mindestens 2 Jahre
- Stabiles Geschäfts- und Zahlungsverhalten mit pünktlicher Erfüllung der Verpflichtungen
- Aussagekräftige Einschätzung der finanziellen Verhältnisse (Bonität)
- Uneingeschränkte Empfehlung zum Eingehen einer Geschäftsbeziehung
Die Bankauskunft muss von einem in der Europäischen Union, in einem Staat der Vertragsparteien des Abkommens über den Europäischen Wirtschaftsraum oder in einem Staat der Vertragsparteien des WTO-Abkommens über das öffentliche Beschaffungswesen zugelassenen Kreditinstitut stammen und darf zum Zeitpunkt des Ablaufs der Teilnahmefrist nicht älter als sechs Monate sein.
Als gleichwertigen Nachweis kann der Bewerber bzw. die Mitglieder einer Bewerbergemeinschaft zur Beurteilung der wirtschaftlichen und finanziellen Leistungsfähigkeit mit dem Teilnahmeantrag den Nachweis seiner Bonität mit einer Wirtschaftsauskunft bzw. Bonitätsbeurteilung (z. B. der Creditreform AG) mit mindestens mittlerer Bonität erfüllen. Eine solche Wirtschaftsauskunft darf zum Zeitpunkt des Ablaufs der Teilnahmefrist nicht älter als sechs Monate sein.
Zu (4): Die Deckungssumme beträgt für Personen-, Sach- und Vermögensschäden je Schadensfall mindestens 10 Mio. EUR pro Kalenderjahr.
Gefordert ist weiterhin die Erklärung, dass der Bewerber über eine Cyber-Versicherung verfügt oder eine Erklärung, dass der Bewerber eine solche Versicherung spätestens bis zur Auftragserteilung abgeschlossen haben wird. Die Deckungssumme beträgt mindestens 10 Mio. EUR pro Kalenderjahr
Der Nachweis der Versicherung erfolgt über die Bereitstellung einer Kopie des Versicherungsscheins. Die Erklärung, dass der Bewerber eine solche Versicherung spätestens bis zur Auftragserteilung abschließen kann, muss von einem Versicherungsunternehmen bestätigt werden.

Liste und kurze Beschreibung der Auswahlkriterien

Zum Nachweis sind mit dem Teilnahmeantrag folgende Angaben und Erklärungen von dem Bewerber oder im Falle einer Bewerbergemeinschaft oder der Inanspruchnahme von Kapazitäten anderer Unternehmen („Eignungsleihe“ i. S. d. § 47 VgV) von jedem Mitglied der Bewerbergemeinschaft und/oder anderen Unternehmen zu machen:
(1) Eigenerklärung (Vordruck im Teilnahmeantrag): Der Bewerber reicht mit seinem Teilnahmeantrag mindestens drei mit den hier ausgeschriebenen Leistungen vergleichbaren Referenzen aus den letzten fünf Jahren ein. Darüber hinaus ist eine vom Bewerber selbst zu erstellende kurze Beschreibung je Referenzleistung mit Aussagen zu bspw. Art, Umfang und Aufbau, Methodik, Größe, Budgets, ggf. Ergebnissen, Zahl der eingesetzten Projektmitglieder, Projektkosten und bildlicher Darstellungen, die zur Veranschaulichung des Referenzvorhabens geeignet sind (z. B. Fotos, Pläne, Skizzen) beizufügen.
(2) Eigenerklärung (eigenes Dokument) zu den Erfahrungen des Bewerbers im Bereich des Housing Enablements.
Es ist die Housing Enablement Methodik sowie ggf. vorhandene Blueprints und Templates darzustellen. Dabei ist auf das Vorgehen zum Aufbau, zum Umzug / Einzug, den Sicherheitsregeln beim Zugang durch eigene Mitarbeiter des Bewerbers, dem Zugang von Mitarbeitern der Auftraggeberin und von Dritten, wie Techniker eines eingesetzten Produktes einzugehen.
(3) Eigenerklärung (eigenes Dokument) zu den Erfahrungen des Bewerbers in der Bereitstellung einer Hypervisorumgebung.
Es sind das Design, die Methodik und die Werkzeuge, mit denen eine Hypervisorumgebung bereitgestellt und betrieben werden kann, darzustellen. Bitte berücksichtigen Sie hierzu auch Konzepte für eine Erweiterung der Umgebung sowie das Weiterführen bei Störungen. Gehen Sie dabei auf ihr Vorgehen zu Transitions- bzw. Migrationsmöglichkeiten ein, um möglichst reibungslos bereits virtualisierte Anwendungsserver auf eine neue Virtualisierungsumgebung umzuziehen. Bitte stellen Sie Ihre Erfahrung in diesem Kontext dar.
Gehen Sie dabei auch auf ihr Vorgehen zum Aufbau der Hypervisorumgebung sowie die Zusammenarbeit mit möglichen 3rd Parties, wie Techniker eines eingesetzten Produktes, ein.
(4) Angaben zum Informationssicherheitsmanagementsystem (ISMS) zur Erbringung der Leistungen gemäß der Zusammenfassung der geforderten Leistungen an den zur Leistungserbringung vorgesehenen Standorten nach der ISO 27001 oder ISO 27001 auf der Basis von IT-Grundschutz.
(5) Eigenerklärung (Anhang B.1 (Technisch-organisatorische Maßnahmen)): Der Bewerber reicht mit seinem Teilnahmeantrag das ausgefüllte Formblatt „Anhang B.1 (Technisch-organisatorische Maßnahmen)“ ein.
(6) Eigenerklärung (Vordruck – Anlage E (Eigenerklärung Datenschutz)), dass die datenschutzrechtlichen Anforderungen an die Verarbeitung von personenbezogenen Daten bei der Auftragserfüllung von allen daran beteiligten Mitgliedern eingehalten werden.
(7) Eigenerklärung (eigenes Dokument), dass die Anforderungen an die Verfügbarkeitsklasse 3 gemäß der DIN EN 50600 an allen für die Leistungserbringung vorgesehenen Rechenzentren erfüllt sind oder eine Erklärung, dass der Bewerber diese Anforderungen spätestens bis zur Auftragserteilung erfüllen wird. Dieser Nachweis ist durch eine geeignete Zertifizierung zu erbringen. Es ist dabei zu bestätigen, dass die Zertifizierung über den vorgesehenen Leistungszeitraum aufrechterhalten wird.
Hinweis: Ein Bewerber kann im Hinblick auf die geforderten Nachweise für die technische und berufliche Leistungsfähigkeit die Kapazitäten anderer Unternehmen nur dann in Anspruch nehmen, wenn diese die Leistung auch tatsächlich erbringen, für die diese Kapazitäten benötigt werden (§ 47 Abs. 1 Satz 3 VgV)

Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten)

Zu (1): Der Bewerber reicht mit seinem Teilnahmeantrag mindestens drei mit den hier ausgeschriebenen Leistungen vergleichbaren Referenzen aus den letzten fünf Jahren ein. Zu den jeweiligen Referenzen sind folgende Angaben zu machen:
a) Auftraggeber/in mit Anschrift, Branche und Kontaktmöglichkeit
b) Umfang der erbrachten Leistungen und Zielstellung des Auftrags
c) Leistungszeitraum (Monat/Jahr – Monat/Jahr bzw. laufend)
d) Kurze Beschreibung des Referenzprojekts, zur Komplexität des Projekts und zur Vergleichbarkeit mit den zu vergebenden Leistungen, insb. zum Umfang der erbrachten Leistungen, Beschreibung des Leistungsschwerpunkts und der Zielstellung
e) Gesamtvolumen der Leistung (unter Benennung der Leistungsmengen und der genutzten Technologien)
f) Darstellung des Transitionsansatzes (Lift&Shift, Netzwerkerweiterung, Re-Design mit Transformation)
Die Vergleichbarkeit der Referenz ist gegeben, wenn die Erbringung von Housing- und Transitionsleistungen und/oder Hosting- und Transitionsleistungen und/oder Housing-, Hosting- und Transitionsleistungen für einen Kunden, in einem mit dem Ausschreibungsgegenstand in Art und Umfang vergleichbaren Vorhaben und Leistungsinhalt besteht und die Referenz einen Leistungszeitraum von mindestens 36 Monaten beinhaltet.
Darüber hinaus ist eine vom Bewerber selbst zu erstellende kurze Beschreibung je Referenzleistung beizufügen. Die zu erstellende schriftliche Beschreibung je Referenzleistung darf 2 Seiten DIN A4, einseitig bedruckt, nicht überschreiten.
Zu (4): · Nachweis (Kopie des Zertifikats) über die gültige DIN ISO/IEC 27001:2022, DIN EN ISO/IEC 27001:2017 bzw. ISO/IEC 27001:2013 bzw. ISO 27001 auf Basis von IT-Grundschutz als Unternehmenszertifizierung, oder für einen entsprechenden und zum Gesamtauftrag (siehe Leistungsbeschreibung) passenden Geschäftsbereich (Bitte entsprechende Erläuterung anfügen.)
· Benennung des Anwendungsbereichs des ISMS
· Aktuelle Erklärung zur Anwendbarkeit des ISMS (Statement of Applicability (SoA))
· Erklärung des Bewerbers, dass die Zertifizierung nach ISO 27001 über den vorgesehenen Leistungszeitraum aufrechterhalten wird.
Eine Zertifizierung im vorgenannten Sinne ist eine Mindestanforderung und muss über den gesamten Leistungszeitraum aufrechterhalten werden.
Zu (5): Um zu gewährleisten, dass geeignete technische und organisatorische Maßnahmen in Abhängigkeit des Schutzniveaus der zu verarbeitenden personenbezogenen Daten Anwendung finden, erfolgt eine Klassifizierung dieser nach Schutzbedarf in drei Stufen (A, B und C). Im beiliegenden Dokument „Anhang B.2 (Schutzstufenkonzept)“ sind diese Schutzstufen beschrieben.
Die benannten Mindestanforderungen der jeweiligen Schutzstufe an den Datenschutz sind vom Bewerber (später) Bieter zu erfüllen. Die in diesem Verfahren zu verarbeitenden personenbezogenen Daten sind der Schutzstufe C zugeordnet. Es sind somit die Mindestanforderungen der mit A, B und C gekennzeichneten Punkte zu erfüllen. Die Nichterfüllung einer dort benannten Mindestanforderung in Abhängigkeit zur Schutzstufe, hier C, kann zum Ausschluss aus diesem Vergabeverfahren führen, sofern keine anderen gleichwertig geeigneten Maßnahmen ersichtlich sind. Der Nachweis der Gleichwertigkeit der Maßnahmen obliegt dem Bewerber und ist im Teilnahmeantrag darzustellen.
Zu (7): Dieser Nachweis ist durch eine geeignete Zertifizierung zu erbringen. Es ist dabei zu bestätigen, dass die Zertifizierung über den vorgesehenen Leistungszeitraum aufrechterhalten wird.

Genaue Informationen über Fristen für Überprüfungsverfahren

Für die Einlegung von Rechtsbehelfen ist § 160 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) zu beachten.
§ 160 GWB lautet:
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.