Rahmenvereinbarung Pirobase-Betrieb und Hosting

Kurze Beschreibung

Gegenstand der Ausschreibung ist der Abschluss einer Rahmenvereinbarung mit einen Wirtschaftsteilnehmer für den Hosting- und Applikationsbetrieb der bestehenden Internetauftritte einiger Ministerien des Landes Baden-Württemberg auf Basis des CMS-Systems pirobase.

Hauptstandort oder Erfüllungsort

IT Baden-Württemberg Krailenshalden Str. 44 70469 Stuttgart Die Leistungen im Hosting- und Applikationsbetrieb müssen aufgrund der systemkritischer Bedeutung der Webaufritte ausschließlich in Deutschland erbracht werden.

Beschreibung der Beschaffung

Die Auftraggeberin benötigt einen Partner für den Hosting- und Applikationsbetrieb der bestehenden Internetauftritte einiger Ministerien des Landes Baden-Württemberg auf Basis des CMS-Systems pirobase. Diese Auftritte laufen als Multi-Mandanten-pirobase-CMS mit ca. 900 Auftritten, ca. 3000 registrierten Benutzern und bis zu 1,5 Millionen Aufrufen pro Tag.
Die geschätzten Abnahmemengen für folgende Leistungen während der Vertragslaufzeit werden wie folgt geschätzt:
- Applikation-Server (produktiv): 3 Stück
- Datenbank-Server (produktiv): 3 Stück
- Applikation-Server (Test): 1 Stück
- Datenbank-Server (Test): 1 Stück
- Storage pro GB: 1000
- Backup Storage pro GB: 800
- Betrieb Loadbalancer: 1
- erweiterte Security Leistungen z. B. zur Abwehr von DDoS Attacken (siehe Punkt 2 der Anlage 2 zum Vertrag -Leistungsbeschreibung): 1
- Leistungen / Change-Requests außerhalb des Regelbetriebs (Menge pro Monat): 40
- Verlängerung der Nutzungsrechts-Lizenzen des TLA um 1 Jahr nach 4 Jahren mit SW Wartung: 1 Stück
- geschätzter Aufwand des Auftragnehmers für die Übernahme des Systems vom bisherigen Provider gemäß Punkt 2.1 der Leistungsbeschreibung (geschätzter einmaliger Aufwand ca. 30 PT): Pauschal
Optionale:
- Applikation-Server (produktiv): 3 Stück
- Datenbank-Server (produktiv): 3 Stück
- Applikation-Server (Test): 1 Stück
- Datenbank-Server (Test): 1 Stück
- Storage pro GB: 1000
- Backup Storage pro GB: 800
- Betrieb Loadbalancer: 1
- erweiterte Security Leistungen z. B. zur Abwehr von DDoS Attacken (siehe Punkt 2 der Anlage 2 zum Vertrag -Leistungsbeschreibung): 1
- Leistungen / Change-Requests außerhalb des Regelbetriebs (Menge pro Monat): 40
Der Vertrag endet in jedem Fall mit dem Erreichen der maximalen Gesamtauftragsgrenze von 789.915,97 EUR netto; 940.000,00 EUR brutto (inkl. optionaler Leistungen).

Liste und kurze Beschreibung der Bedingungen

- Aktueller Nachweis (nicht älter als 1 Jahr), dass der Bieter im Berufs- oder Handelsregister nach Maßgabe der Rechtsvorschriften des Landes der Gemeinschaft oder des Vertragsstaates des EWR-Abkommens eingetragen ist, in dem er ansässig ist. (A)
Unternehmen, die weder im Berufs- noch Handelsregister noch einem anderen Register geführt werden, legen eine Kopie der Gewerbeanmeldung der zuständigen Stelle des Landes, in dem sie ansässig sind (soweit erforderlich) oder einen anderen geeigneten Nachweis (z. B. bereinigter Steuerbescheid) vor, der Aufschluss über die Art der beruflichen Tätigkeit gibt.
- Eigenerklärung, dass keine rechtskräftigen Verurteilungen der in § 123 GWB aufgezählten Straftaten vorliegen. (A)
- Eigenerklärung, dass keine Verstöße der in § 124 GWB aufgezählten fakultativen Ausschlussgründe vorliegen. (A)
- Eigenerklärung, dass keine fakultativen Ausschlussgründe nach § 42 Abs. 1 VgV i.V.m. § 124 GWB vorliegen (A)
Wir erklären, dass es sich bei dem Bieter nicht um
a) russische Staatsangehörige oder in Russland niedergelassene natürliche oder juristische Personen, Organisationen oder Einrichtungen,
b) juristische Personen, Organisationen oder Einrichtungen, deren Anteile zu über 50 % unmittelbar oder mittelbar von einer der unter Buchstabe a genannten Organisationen gehalten werden, oder
c) natürliche oder juristische Personen, Organisationen oder Einrichtungen, die im Namen oder auf Anweisung einer der unter Buchstabe a oder b genannten Organisationen handelt.
Des Weiteren wird bestätigt, dass das Vorgenannte auch nicht auf Unterauftragnehmer/Nachunternehmer, Lieferanten oder Unternehmen deren Leistung zur Vertragserfüllung in Anspruch genommen wird, zutrifft. Dies gilt, soweit mehr als 10% des Auftragswertes auf betroffene Unterauftragnehmer/Nachunternehmer, Lieferanten oder Unternehmen deren Leistung zur Vertragserfüllung in Anspruch genommen wird, entfallen. (A)
- Angabe, von Name und Hauptsitz seines Unternehmens. (A)
- Angabe, ob der Bieter gemäß der KMU-Definition der Europäischen Kommission (EU-Empfehlung 2003/361) zur Gruppe der Kleinstunternehmen, kleinen oder mittleren Unternehmen (KMU) gehört. (A)
Bei (A) handelt es sich um Ausschlusskriterien, welche zwingend zu erfüllen sind. Eine Nichterfüllung, kann zum Ausschluss vom weiteren Verfahren führen.

Liste und kurze Beschreibung der Auswahlkriterien

- Nachweis einer im Rahmen und Umfang marktüblichen Haftpflichtversicherung oder eine vergleichbare Versicherung eines Versicherungsunternehmens aus einem Mitgliedstaat der EU. Entweder eine aktuelle Bestätigung der Versicherungsgesellschaft oder eine Kopie der Police. (A)
- Eigenerklärung, dass die Versicherung bei Angebotsabgabe nicht gekündigt ist und für den Leistungszeitraum ein Versicherungsschutz bestehen bleibt. (A)
- Eigenerklärung, ob beabsichtigt wird Unterauftragnehmer einzusetzen. (A)
- Eigenerklärung, dass über der Vermögen nicht das Insolvenzverfahren oder ein vergleichbares gesetzliches Verfahren eröffnet oder die Eröffnung beantragt oder dieser Antrag mangels Masse abgelehnt wurde. (A)
- Eigenerklärung, dass sich das Unternehmen nicht in Liquidation befindet. (A)
- Eigenerklärung, dass der Verpflichtung zur Zahlung von Steuern, Abgaben und Beiträgen zur gesetzlichen Sozialversicherung (u.a. auch zur Berufsgenossenschaft) ordnungsgemäß nachgekommen wird. (A)
- Eigenerklärung, dass keine Verstöße im Sinne des § 5 des Gesetzes zur Bekämpfung der Schwarzarbeit begangen hat, bzw. keine Eintragungen im Gewerbezentralregister wegen illegaler Beschäftigung bestehen. (A)
- Eigenerklärung, dass weder das Unternehmen, noch Mehrheitsanteilseigner oder Gesellschafter, noch eine Mutter- oder Tochtergesellschaft oder Mitglieder der Bietergemeinschaft auf einer der in den Anlagen zu den Verordnungen 881/2002 und 2580/2001 sowie der Anlage des Standpunktes des Rates 2001/931/GASP befindlichen Terrorlisten erscheint. (A)
- Eigenerklärung, dass der Bieter die Tariftreue- und Mindestentgeltbestimmungen nach dem Landestariftreue- und Mindestentgeltgesetz einhält. (A)
- Eigenerklärung, dass der Bieter die Anforderungen aus Anlage 2 zum Vertrag - Leistungsbeschreibung vollständig erbringen kann und für die erbrachten Dienstleistungen das Muster Leistungsnachweise verwenden wird. (A)
- Eigenerklärung, dass der Bieter bzw. die von ihm angebotenen Personen im Falle einer Zuschlagserteilung mit der Anlage 10 zum Vertrag - Einwilligung Zuverlässigkeitsüberprüfung einverstanden sind, die Anlage ausfüllen und zeitnah vor der Leistungserbringung der BITBW übergeben wird. (A)
- Weitere Anforderungen ergeben sich aus den Allgemeinen Angaben und dem Angebotsblatt Unternehmen. (A)
Bei (A) handelt es sich um Ausschlusskriterien, welche zwingend zu erfüllen sind. Eine Nichterfüllung, kann zum Ausschluss vom weiteren Verfahren führen.

Liste und kurze Beschreibung der Auswahlkriterien

- Eigenerklärung, dass der Auftraggeberin immer die aktuelle Ansprechperson für die Vertragsabwicklung bekanntgegeben wird. (A)
- Eigenerklärung, dass der Bieter Kenntnisse mit dem Hosting und Betrieb der pirobase Software besitzen. (A)
- Eigenerklärung, dass die Leistungen im Hosting- und Applikationsbetrieb aufgrund der systemkritischer Bedeutung der Webaufritte ausschließlich in Deutschland erbracht werden müssen. (A)
- Eigenerklärung, dass die Erreichbarkeit via Telefon und E-Mail gewährleistet werden kann. Der Kontakt muss in beiden Fällen in deutscher Sprache (mind. Niveau C1) erfolgen. (A)
- Nachweis von Projektreferenz über die bisherigen Webauftritte auf Basis von des Pirobase CMS, die bei Auftragnehmer betrieben/gehostet werden. Die Angabe muss in Art und Umfang mit der zu vergebenden Leistung vergleichbar sein. (A)
- Eigenerklärung, dass der Bieter die nachfolgend aufgelisteten Gesetze, Richtlinien und Standards im Rahmen der Leistungserbringung berücksichtigt: (A)
- Datenschutzgesetz des Bundes (BDSG), des Landes (LDSG BW)
und DS-GVO
- Eigenerklärung, dass der Bieter mit Zuschlag im Bedarfsfall die Vereinbarung zur Auftragsverarbeitung (vgl. Muster Auftragsverarbeitung DS-GVO) bezüglich im Auftrag verarbeiteter personenbezogener Daten mit der Auftraggeberin geschlossen wird. (A)
- Eigenerklärung, dass der Bieter (inklusive etwaiger Unterauftragsnehmer) keine personenbezogenen Daten (inkl. Diagnose- oder Telemetriedaten) für eigene Zwecke verarbeiten. (A)
- Wird eine Drittlandübermittlung von personenbezogenen Daten durch den Bieter nicht ausgeschlossen, sind die Anforderungen des Kapitels V der DS-GVO zu berücksichtigten und nachfolgendes mit Angebotsabgabe zur Verfügung zu stellen: (A)
- Angabe unter welchen Bedingungen des Kapitels V der DS-GVO die Drittlandübermittlung erfolgen soll. Falls sich der Bieter auf die neuen Standarddatenschutzklauseln* stützt, Übermittlung des Musters der Kommission, welches für den Abschluss verwendet werden soll, inklusive:
o Angabe, welche personenbezogenen Daten inkl. Diagnose-/Telemetrie-/Metadaten in welches Drittland übermittelt werden sollen (Kategorien personenbezogener Daten nebst Arten der personenbezogenen Daten, Zweck).
o Angabe der eingesetzten Unterauftragsverarbeiter nebst Sitz, Funktion und welche personenbezogene Daten diese verarbeiten.
o Angabe der vertraglichen, technischen und organisatorischen Maßnahmen, die ergriffen werden, um eine datenschutzkonforme Drittlandübermittlung und Verarbeitung zu gewährleisten (z. B. Pseudonymisierung, ausreichende Verschlüsselung).
o Die durch den Bieter durchgeführte Drittlandübermittlungs-Folgenabschätzung (Transfer Impact Assessment).
o Angabe, wie die Auftraggeberin bei Zugriffen oder Anträgen auf Offenlegung an den Auftragsverarbeiter (oder einen seiner Unterauftragsverarbeiter), durch Behörden eines Drittlandes auf personenbezogene Daten, unterrichtet wird (Informationskanal, z. B. per E-Mail). (A)
- Ein angemessenes und wirksames Informationssicherheitsmanagementsystem (ISMS) nach den Vorgaben des BSI IT-Grundschutz oder ISO/IEC 27001, dessen Geltungsbereich die zu erbringende Dienstleistung mit den dabei verarbeiteten Informationen und den hierzu eingesetzten Anwendungen und informationstechnischen Systemen vollumfänglich abdeckt, muss nachgewiesen und aufrechterhalten werden.
Der Bieter verpflichtet sich, dies durch ein Zertifikat des BSI oder einer akkreditierten Zertifizierungsstelle nachzuweisen. Das Zertifikat muss spätestens bei Beginn des Bezugs der Leistung nachgewiesen werden. (A)
- Eigenerklärung, dass der Bieter nach entsprechenden Aktualisierungen bzw. Re-Zertifizierungen unaufgefordert das jeweils aktuelle Zertifikat nach den oben genannten Standards für die zu erbringende Dienstleistung vorzulegen. (A)
- Eigenerklärung, dass der Bieter sicherheitsrelevante Vorfälle betreffend die zu erbringende Dienstleistung inkl. einer Risikobewertung sowie deren Behandlungstand unverzüglich meldet. (A)
- Eigenerklärung, dass der Bieter regelmäßig, mindestens jährlich, einen Statusbericht zur Informationssicherheit und zum Notfallmanagement mit den folgenden Mindestinhalten zur Verfügung stellt: (A)
- Sicherheitsvorfälle im Berichtszeitraum
- Verbesserungsmaßnahmen aus dem ISMS
- Erfolgte Auditierungen und wesentliche Erkenntnisse
- Notfallübungen und wesentliche Ergebnisse
- Eigenerklärung, dass der Bieter für die zu erbringende Dienstleistung über ein Testat nach dem Kriterienkatalog C5 des BSI in deutscher Sprache verfügt. Der Bieter verpflichtet sich, das Testat vorzulegen und dieses aufrecht zu erhalten. (A)
- Eigenerklärung, dass der Bieter zu sichert, nach entsprechenden Aktualisierungen das jeweils aktuelle Testat nach C5 unaufgefordert an die BITBW zu übermitteln. (A)
- Eigenerklärung, dass der Bieter für die Bereitstellung der zu erbringenden Dienstleistung für die BITBW Mehrmandantensysteme einsetzt, so setzt der Bieter für diese Systeme eine wirksame und nachweisbare logische Mandantentrennung um. (A)
- Eigenerklärung, dass der Bieter seine für die zu erbringende Dienstleistung betriebenen Systeme härtet und sich dabei an den Sicherheitsvorgaben der Hersteller sowie an gängigen Best-Practices orientiert. (A)
- Eigenerklärung, dass die für die zu erbringende Dienstleistung relevanten Unterauftragnehmer müssen im Hinblick auf die von ihnen erbrachten Services sämtliche relevanten Anforderungen und Sicherheitsanforderungen erfüllen wie der Bieter. Dies erstreckt sich auch auf die Einhaltung von Regelungen, sowie die Prüfrechte durch und Berichte an die BITBW.
Die entsprechenden vertraglichen Vereinbarungen sind vom Bieter mit den Unterauftragnehmern getroffen bzw. werden mit den Unterauftragnehmern getroffen. (A)
- Eigenerklärung, dass sich der Bieter verpflichtet, der BITBW oder einem von ihr beauftragten Dritten, im Rahmen von Dienstleister-Audits Auskunft und Einsicht zu gewähren, um die Angemessenheit und Wirksamkeit der realisierten Sicherheitsmaßnahmen in Bezug auf das vertraglich vereinbarte Sicherheitsniveau zu überprüfen. (A)
- Eigenerklärung, dass der Bieter sich bereit erklärt nach entsprechender Abstimmung und Ankündigung die für die BITBW betriebenen Systeme sicherheitstechnisch durch die BITBW oder von ihr beauftrage Dritte überprüfen zu lassen. Hierzu gehören bspw. Schwachstellenscans und Penetrationstests. (A)
- Eigenerklärung, dass der Bieter sich verpflichtet , relevante interne und externe Prüfungen die in einem Bezug zur Leistungserbringung stehen, der BITBW zur Kenntnis zu bringen. (A)
- Eigenerklärung, dass der Bieter zusichert, dass die BITBW oder ein von ihr beauftragter Dritter in relevante Prüf- und Auditberichte Einsicht erhält, soweit dies rechtlich möglich ist. (A)
- Eigenerklärung, dass sich der Bieter verpflichtet ein Notfallmanagement nach einem national oder international anerkannten Standard in der jeweils aktuellen Fassung zu betreiben (bspw. BSI-Standard 200-4 oder ISO 22301). (A)
- Eigenerklärung, dass sich der Bieter verpflichtet, eine angemessene Aufbauorganisation für das Notfallmanagement zu etablieren und zu betreiben sowie die notwendigen Schnittstellen und erforderlichen Kontaktpersonen mit der BITBW zu vereinbaren. (A)
- Eigenerklärung, dass sich der Bieter verpflichtet gemeinsame Notfallübungen mit der BITBW durchzuführen. (A)
- Eigenerklärung, dass der Bieter sich verpflichtet, regelmäßige eigene Notfallübungen durchzuführen und relevante Ergebnisse der BITBW zur Kenntnis zu bringen. (A)
- Weitere Anforderungen ergeben sich aus dem Angebotsblatt Unternehmen. (A)
Bei (A) handelt es sich um Ausschlusskriterien, welche zwingend zu erfüllen sind. Eine Nichterfüllung, kann zum Ausschluss vom weiteren Verfahren führen.

Genaue Informationen über Fristen für Überprüfungsverfahren

Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:
1) Etwaige Vergabeverstöße muss der Bewerber/Bieter gemäß § 160 Abs. 3 Nr. 1 GWB innerhalb von 10 Kalendertagen nach Kenntnisnahme rügen.
2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, sind nach §160 Abs. 3 Nr. 2 GWB spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Abgabe der Bewerbung oder der Angebote gegenüber dem Auftraggeber zu rügen.
3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, sind nach § 160 Abs. 3 Nr. 3 GWB spätestens bis zum Ablauf der Frist zur Bewerbungs- oder Angebotsabgabe gegenüber dem Auftraggeber zu rügen.
4) Ein Vergabenachprüfungsantrag ist nach § 160 Abs. 3 Nr. 4 GWB innerhalb von 15 Kalendertagen nach der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, bei der Vergabekammer einzureichen.