Entwicklung, Pflege und Weiterentwicklung einer mobilen Vokabeltrainer-App mit Backend-Anwendung

Kurze Beschreibung

Der Goethe-Institut e.V. plant die Erstellung einer Vokabeltrainer App für iOS und Android mit der zugehörigen Backendanwendung sowie deren Pflege und Weiterentwicklung. Eine detaillierte Beschreibung der geforderten Leistung ist der Anlage A "Leistungsbeschreibung" zu entnehmen

Beschreibung der Beschaffung

Allgemeine Anforderungen an die Entwicklung von Apps
Verschlüsselung von Daten: Alle sensiblen Daten, wie z.B. Passwörter und Kreditkarteninformationen, sind auf dem Gerät verschlüsselt zu speichern, um unbefugtem Zugriff vorzubeugen.
Netzwerkkommunikation: Alle Netzwerkkommunikation haben über eine sichere Verbindung (HTTPS) zu erfolgen, um Datenmissbrauch und Man-in-the-Middle-Angriffe zu verhindern.
Authentifizierung und Autorisierung: Jeder Zugriff auf geschützte Ressourcen ist durch Authentifizierung und Autorisierung zu schützen, um sicherzustellen, dass nur berechtigte Benutzer auf diese Ressourcen zugreifen können.
Schutz vor Reverse Engineering: Es sind, Schutzmaßnahmen zu implementieren, um Reverse Engineering zu verhindern, um sicherzustellen, dass die App-Codes und -Algorithmen nicht kopiert oder manipuliert werden können.
Einhaltung von Compliance und Regulierung: Für iOS-Apps ist sicherzustellen, dass sie alle geltenden Gesetze und Vorschriften einhalten, insbesondere im Hinblick auf Datenschutz und Sicherheit.
Sicherung des Zugriffs auf Geräte-Funktionen und Daten: Der Zugriff auf bestimmte Geräte-Funktionen und Daten, wie z.B. Kamera oder Mikrofon, ist richtig zu steuern und zu überwachen, um sicherzustellen, dass die App diese Funktionen und Daten nur dann verwendet, wenn es angemessen ist.
Sicherung von Updates und Patches: Es sind im Rahmen der Pflege der App Updates und Patches zu veröffentlichen, um bekannte Sicherheitslücken zu schließen und die Sicherheit der App zu gewährleisten.
Sandboxing: Die App ist in einer sicheren Umgebung (Sandbox) auszuführen, um sicherzustellen, dass sie keinen Zugriff auf sensible Daten anderer Apps hat und andere Apps keinen Zugriff auf die Daten der App haben.
Anforderungen zur IT-Sicherheit
Das Goethe-Institut betreibt ein Informations-Sicherheits-Management-System basierend auf der ISO 27001 und den BSI Standards. Der Auftraggeber erwartet vom Auftragnehmer einen entsprechenden aktiven Umgang mit IT- Sicherheit. Auf Grund der Compliance Anforderungen (z.B. Datenschutz) und Image Risiken für den Auftraggeber wird der Schutzbedarf als "hoch" eingestuft (BSI Standard 200-2).
Um dem Auftraggeber eine Einschätzung der IT-Sicherheit beim Auftragnehmer und seinen Partnern zu ermöglichen, stellt der Auftragnehmer zum Zeitpunkt der des Angebotes geeignete Informationen bereit:
1) Z.B. IT-Sicherheits-Richtlinien, Zertifizierungen, Sicherheitskonzept der Lösung/des Services, Prüfberichte von Eigenprüfungen und Audits durch Dritte
2) Dokumentation zur IT-Sicherheit notwendiger Verbindungen mit IT-Systemen des Goethe-Institutes (z.B. Backend-Komponenten für Vokabeltrainer App)
3) IT-Sicherheits- Anforderungen an den Auftraggeber für die Nutzung der Lösung/des Services (z.B. Rollen-/Rechte Modell, Überwachung von kritischen Vorgängen)
4) Maßnahmen zur sicheren Zusammenarbeit z.B. bei Changes oder Vorfällen mit IT-Sicherheits-Relevanz
5) Informationen (z.B. Reports) zur regelmäßigen Prüfung der IT-Sicherheit beim Auftragnehmer durch den Auftraggeber während der Vertragslaufzeit
Die IT-Sicherheitsrichtline Sicherheit in Webanwendungen liegt als Anlage 1a bei.
Im Rahmen der Implementierung wird ein ganzheitliches Sicherheitskonzept auf Basis von dem IT-Grundschutz-Kompendium von Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt. Der Auftragnehmer unterstützt die Erstellung und Umsetzung aktiv.
Zum Zeitpunkt des Vertragsschlusses sind Standards zur IT-Sicherheit bei Schutzbedarf hoch umzusetzen.
Die Vorgaben zur Auftragsdatenverarbeitung, zum Teleservice u.a. sind entsprechend der in den Unterlagen zur Angebotserstellung definierten Anforderungen umzusetzen.
Für die Sicherheit sind insbesondere folgende Punkte zu berücksichtigen:
Die Kommunikation zwischen den Anwendungen, und dem GUI - Schnittstelle muss über eine sichere Verbindung erfolgen.
Die Kommunikation zwischen Endgerät des/-r Anwenders*in und der Vokabeltrainer-App muss über eine sichere Verbindung erfolgen.
Die Kommunikation zwischen dem Rechner des/-r Anwender*in und einer Lernkarten-Backendanwendung muss über eine sichere Verbindung erfolgen.
Zugriffe auf webbasierte Dienste müssen über https oder, falls technologisch notwendig, über weitere Schutzmaßnahmen verschlüsselt erfolgen.
Das Hinzufügen von Dateien in das GUI muss gegen die Einbringung von Viren oder anderen Schadprogramme geschützt sein.
Backend-Komponenten in der Systemumgebung des Goethe-Instituts
Backendkomponenten der Vokabeltrainer-App sind in der Infrastruktur des Auftragnehmers zu hosten. Das Goethe-Institut setzt Azure RedHat Open-Shift (ARO) gegenwärtig in der Version 4.10 ein. Das Handbuch für Entwickler*innen liegt als Anlage 1b bei.
Setup, Konfiguration und Betrieb liegen in der Zuständigkeit des Entwicklungsdienstleisters. Der Auftragnehmer setzt in der Infrastruktur des Auftraggebers eine Test- und Deploymentpipeline auf. Die technische Lösung erfolgt in Absprache mit dem Auftraggeber. (Momentan vom Auftraggeber vorgeschlagen ist der Einsatz von Tekton). Tests der Anwendung sind zu automatisieren, dies gilt auch für Integrationstests.
Das Code Repository liegt am Goethe-Institut. Gegenwärtig kommt Bitbucket zum Einsatz.

Kostenkriterium (Name)

Das wirtschaftlichste Angebot geeigneter Bieter wird gemäß UfAB 2018 (https://www.cio.bund.de/SharedDocs/Publikationen/DE/IT-Beschaffung/ufab_2018_download.pdf?__blob=publicationFile) nach der erweiterten Richtwertmethode ermittelt. Das Verhältnis von Preis und Leistung wird durch die Ermittlung eines Quotienten zu einer Kennzahl "Z" nach folgender Formel bestimmt: ?? = L (Leistung) / P (Preis) Schwankungsbereich = 8 Prozent Entscheidungskriterium = Preis Die Leistung ist die Summe der Leistungspunkte, die der Bieter für sein eingereichtes Grobkonzept erhält, gemäß der Bewertungsmatrix in Anlage E. Der Preis ist der Gesamtangebotspreis gemäß Anlage D. Die hier angegebene Zahl dienst als Platzhalter

Liste und kurze Beschreibung der Bedingungen

1) Basisinformation zum Unternehmen des Bieters (Name, Sitz, Rechtsform, Gründungsjahr, Kontaktdaten) bzw. zu den an der Bietergemeinschaft beteiligten Unternehmen (Name, Sitz, Rechtsform, Gründungsjahr, Kontaktdaten, Leistungsanteil) (soweit zutreffend) (Anlage B.2.)
2) Eigenerklärung (soweit erforderlich) der Bietergemeinschaftsmitglieder zur gesamtschuldnerischen Haftung und Benennung desjenigen, der die Bietergemeinschaft vertritt einschließlich Nachweis der Vertretungsmacht (Anlage B.3.).
3) Im Fall einer Eignungsleihe (soweit zutreffend): Eigenerklärung zur Eignungsleihe, einschließlich Verpflichtungserklärung des Unterauftragnehmers/sonstigen Dritten. Im Falle der Eignungsleihe (= Inanspruchnahme der Fachkunde oder Leistungsfähigkeit eines Unterauftragnehmers oder sonstigen Dritten) hat der Bieter eine verbindliche Verpflichtungserklärung des jeweiligen Unternehmens vorzulegen, dass ihm die Mittel zur Verfügung stehen werden bzw. dass der Dritte die Leistung ausführen wird (§ 47 Abs. 1 VgV) sowie eine Erklärung der gemeinsamen Haftung des Bieters und des anderen Unternehmens für die Auftragsausführung entsprechend dem Umfang der Eignungsleihe (Anlage B.4.).
Jedes Unternehmen, dessen Kapazitäten der Bieter für die Erfüllung eines oder mehrerer Eignungskriterien in Anspruch nehmen will, muss folgende Erklärungen vorlegen:
a) Erklärungen, dass die in §§ 123, 124 GWB bzw. die in § 21 AEntG, § 98c AEntG, § 98c AufenthG, § 19 MiLoG, § 21 SchwarzArbG und § 22 LkSG genannten Ausschlussgründe nicht vorliegen bzw. Eigenerklärung für ausländische Bieter, dass keine Ausschlussgründe vorliegen, die nach den Rechtsvorschriften des jeweiligen Landes mit §§ 123, 124 GWB bzw. § 21 AEntG, § 98c AufenthG, § 19 MiLoG, § 21 SchwarzArbG und § 22 LkSG vergleichbar sind (Anlage B.5.);
b) Nachweis der Eignung des Unternehmens, dessen Kapazitäten der Bieter oder Bieter für die Erfüllung eines oder mehrerer Eignungskriterien in Anspruch nehmen will, in Bezug auf die Eignungskriterien entsprechend dem Umfang der Eignungsleihe. (Verwendung des entsprechenden Formblatts (soweit vorhanden) je nachdem, welche Eignung in Anspruch genommen werden soll). Auf § 47 Abs. 1 Satz 3 VgV wird ausdrücklich hingewiesen. Erfüllt ein Unternehmen diejenigen Eignungskriterien nicht, dessen Kapazitäten der Bieter für die Erfüllung eines oder mehrerer Eignungskriterien in Anspruch nehmen will, kann der Auftraggeber vorschreiben, dass der Bieter das entsprechende Unternehmen ersetzen muss (§ 47 Abs. 2 VgV). Nimmt der Bieter die Kapazitäten eines anderen Unternehmens im Hinblick auf die wirtschaftliche oder finanzielle Leistungsfähigkeit in Anspruch, kann der Auftraggeber eine gemeinsame Haftung des Bieters und des (jeweils) anderen Unternehmens entsprechend dem Umfang der Eignungsleihe verlangen (§ 47 Abs. 3 VgV).
4) Eigenerklärung des Bieters, dass die in §§ 123, 124 GWB bzw. die in § 21 AEntG, § 98c AEntG, § 98c AufenthG, § 19 MiLoG, § 21 SchwarzArbG und § 22 LkSG genannten Ausschlussgründe nicht vorliegen bzw. Eigenerklärung für ausländische Bieter, dass keine Ausschlussgründe vorliegen, die nach den Rechtsvorschriften des jeweiligen Landes mit §§ 123, 124 GWB bzw. § 21 AEntG, § 98c AufenthG, § 19 MiLoG, § 21 SchwarzArbG und § 22 LkSG vergleichbar sind (Anlage B.5.).

Liste und kurze Beschreibung der Auswahlkriterien

5) Aktuelle positive Bankerklärung bzgl. der Bonität des Bieters (nicht älter als 3 Monate)
6) Nachweis einer Betriebshaftpflichtversicherung, die folgende Haftungssummen abdeckt:
- für Sachschäden bis zu 500 000 EUR je Schadensereignis,
- für Vermögensschäden bis zu 500 000 EUR je Schadensereignis,
- für Personenschäden bis zu 2 500 000 EUR je Schadensereignis.
Ein Nachweis der Versicherungsdeckung gem. § 45 Abs. 4 S. 1 Nr. 2 VgV bzw. eine schriftliche Erklärung des Versicherers zur Erhöhung der Betriebshaftpflichtversicherung im Auftragsfall muss den Angebotsunterlagen beiliegen.

Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten)

Darstellung von vergleichbaren Referenzaufträgen (vergleichbare Größenordnung und ähnliche Inhalte). Damit eine Referenz berücksichtigt werden kann, muss die Laufzeit insgesamt oder zu mindestens 12 Monaten im Zeitraum der letzten 3 Jahre gerechnet bis zum Tag der Veröffentlichung der Bekanntmachung liegen (Anlage B.7).
7.) Es ist mindestens eine Referenz beizulegen für die Entwicklung einer App die für iOS und Android entwickelt wurde
8.) Es ist mindestens eine Referenz beizulegen der Implementierung von InApp-Purchases für iOS und Android (kann identisch zu 1. sein)
9.) Es ist mindestens eine Referenz zu einer "cloud native"-Software-Entwicklung beizulegen

Bedingungen für die Vertragserfüllung

Öffentliche Aufträge und Konzessionen dürfen nach dem 9. April 2022 nicht an Personen oder Unternehmen vergeben werden, die einen Bezug zu Russland im Sinne von Artikel 5k der Verordnung (EU) Nr. 833/2014 aufweisen. Jeder Bieter muss daher die Erklärung zum Nichtvorliegen eines entsprechenden Russlandbezugs abgeben (Anlage B.9).Sollte es sich bei dem Bieter um eine Bietergemeinschaft handeln, so muss die Erklärung für jedes Mitglied der Bietergemeinschaft gesondert abgegeben werden.

Genaue Informationen über Fristen für Überprüfungsverfahren

Das Verfahren für Verstöße gegen diese Vergabe richtet sich nach den Vorschriften der §§ 155 ff. des Gesetzes gegen Wettbewerbsbeschränkungen (GWB). Zur Wahrung der Fristen wird auf die §§ 160 ff. GWB verwiesen. Ein Nachprüfungsantrag ist insbesondere unzulässig, soweit:
1) der Antragsteller den gerügten Verstoß gegen Vergabevorschriften im Vergabeverfahren erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat,
2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis Ablauf der in der Bekanntmachung benannten Frist zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens zum Ablauf der Frist zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.