Rahmenvertrag über max. 8 Jahre mit einem Wirtschaftsteilnehmer.

Die vorliegende Leistungsbeschreibung beinhaltet die Anforderungen und Rahmenbedingungen an einen externen Dienstleister (Auftragnehmer), der einen geschäftstäglichen Abgleich von Kundendaten der Deutschen Bundesbank (Auftraggeber) gegen die Insolvenz- und Registermeldungen gewährleistet.

Die Deutsche Bundesbank benötigt für einen Kundenbestand von ca. 10.000-12.000 Kunden ein automatisiertes Register- und Insolvenzmonitoring. Dieses soll die Anwender über alle Änderungen (insbesondere zu Insolvenzen, Sitzverlegung, Löschungen o.ä.) in den veröffentlichungs-pflichtigen Registern und über Insolvenzbekanntmachungen, die einen Kundenstammsatz betreffen, benachrichtigen. Dabei soll ein geschäftstäglich automatisiert laufender Abgleich des gesamten Kundenbestands gegen aktuelle Änderungen für die vom Auftraggeber festgelegten Kunden zur Verfügung stehen. Da der Großteil der Kunden seinen Sitz in Deutschland hat, ist die Abdeckung der Veröffentlichungen der deutschen Register- und Insolvenzgerichte zwingend erforderlich.

Der Auftraggeber stellt geschäftstäglich zum Tagesende die abzugleichenden Kundendaten als xml-Datei in NExt, der e-Business Plattform der Deutschen Bundesbank, zur Verfügung. Der Auftragnehmer holt diese Datei dort ab und führt den Abgleich der aktuellen Register- und Insolvenzmeldungen gegen die Kundendatei aus. Die Änderungsmeldungen betroffener Kunden sollen unverzüglich nach der Durchführung des Abgleichs jedoch spätestens bis 8 Uhr des folgenden Geschäftstages im PDF-Format per E-Mail an eine funktionale E-Mail-Adresse des Auftraggebers gesendet werden. Nach erfolgtem Abgleich ist die Kundendatei vom Auftrag-nehmer in dessen System unverzüglich zu löschen.
1.2 Anforderungen
1.2.1 Inhalt
Der Auftraggeber erhält einmal geschäftstäglich automatisierte Benachrichtigungen über alle Bekanntmachungen (Register- sowie Insolvenzmeldungen), die einen Kunden betreffen. Dabei sind mindestens die Bekanntmachungen von Handelsregister A, Handelsregister B, Genossenschaftsregister, Partnerschaftsregister, Vereinsregister, Gesellschaftsregister und der Insolvenzgerichte abzudecken.
Die für den Abgleich genutzten Register- und Insolvenzdaten müssen stets aktuell sein, d. h. sie sollen den Stand des jeweils abgelaufenen Geschäftstags haben.
1.2.2 Abgleich und Identifizierung
Der Abgleich der Daten erfolgt gegen die vom Auftraggeber geschäftstäglich zur Verfügung gestellte aktuelle Kundendatei. In dieser Datei sind folgende Angaben zu den Kunden enthalten:
- interner Identifikator (z.B. Kundennummer)
- Kundenname
- Adressdate
- Registerart des Kunden
- Registernummer des Kunden
- Registergericht des Kunden
- Funktionale E-Mail-Adresse des Fachbereichs
Die Identifizierung der Kunden für den Abgleich erfolgt anhand der Registerangaben (Register-art, Registernummer und Registergericht). Dabei sollen auch Abweichungen der übermittelten Daten (z.B. Zahlendreher, Schreibfehler) erkannt werden und zu einem Treffer führen. Der Grad der Übereinstimmung soll dabei ersichtlich sein (siehe 1.2.5). Sollte eine Verarbeitung aufgrund von Abweichungen nicht möglich sein, muss das Problem detailliert beschrieben und im Verarbeitungsprotokoll dokumentiert werden.

1.2.3 Datenbereinigung
Um eine eindeutige Zuordnung der Registerveröffentlichungen zu den Kunden des Auftraggebers sicherzustellen, führt der Auftragnehmer zu Beginn des Verfahrens und in regelmäßigen Abständen auf Anforderung des Auftraggebers einen Abgleich der zu den Kunden gespeicherten Registerangaben durch. Eine Übersicht der gefundenen Abweichungen wird dem Auftrag-geber zur Verfügung gestellt. Damit ist gewährleistet, dass eventuelle fehlerhafte Angaben im Kundenbestand durch den Auftraggeber bereinigt werden können.

1.2.4 Dateiaustausch
Die Kundendatei wird am Ende jedes Geschäftstages vom Auftraggeber generiert und im xml-Format gemäß Anlage 1 erstellt. Üblicherweise wird die Datei gegen 20 Uhr auf der NExt-Plattform bereitgestellt.
Für die Anmeldung in NExt benötigt der Auftragnehmer eine GLN (Globale Lokationsnummer). Falls der Auftragnehmer über keine GLN verfügt, ist diese auf seine Kosten bei GS1 Germany zu beschaffen.

Weitere Informationen zu NExt, einschließlich Details zum Registrierungsprozess und den geltenden Allgemeinen Geschäftsbedingungen für NExt (AGB) sind auf der Website der Deutschen Bundesbank unter folgendem Link verfügbar: NExt | Deutsche Bundesbank (https://www.bundesbank.de/de/service/next-905624).

1.2.5 Rückmeldungen
Die Rückmeldung wird pro Bekanntmachung über eine verschlüsselte E-Mail (S/MIME) an die zuständige Stelle des Auftraggebers übermittelt. Dafür wird in der bereitgestellten Kundendatei pro Kunde eine entsprechende E Mail-Adresse angegeben.
Die E-Mail enthält die Änderungsmeldung im PDF-Format, die folgende Informationen um-fasst:
- Kundenname, interner Identifikator (z. B. Kundennummer) der Bundesbank, Registerangaben (Registergericht, Registerart, Registernummer) (Daten aus der Kundendatei)
- Kundenname, Registerangaben (Registergericht, Registerart, Registernummer) (Informationen aus dem Abgleich) und Grad der Übereinstimmung mit den Daten des Auftraggebers
- Datum der Veröffentlichung beim Bundesanzeiger und Eintragungsdatum beim Amtsgericht
- Veröffentlichungsvortext und Veröffentlichungstext bzw. sämtliche Insolvenzinformationen

Übermittelt werden sollen dabei nur Änderungen seit der letzten Abfrage.
Der Betreff der E-Mail enthält den internen Identifikator sowie den Kundennamen und den Grund der Bekanntmachung, um eine Vorselektion vornehmen zu können. Dabei sind im Be-treff mindestens folgende Kategorien zu unterscheiden und hervorzuheben:
- Namensänderungen (sowie Rechtsform)
- Insolvenzen
- Löschungen
- Adressänderungen (bzw. Sitzverlegungen)

Nach jedem Abgleich wird dem Auftraggeber ein Verarbeitungsprotokoll der verarbeiteten Datei zur Verfügung gestellt. Dieses soll folgende Angaben enthalten:
- Bankinterner Auftraggeber (payer laut xml-Datei)
- Bezug zur verarbeiteten Datei
- Anzahl der abzugleichenden Kunden
- Anzahl der Treffer bzgl. Insolvenzverfahren
- Anzahl der Treffer im Handelsregister
- Anzahl der Fehler (nicht verarbeitbare Datensätze) und Dokumentation

1.2.6 Test
1.2.6.1 Testinhalt
Vor der Inbetriebnahme ist ein verpflichtender Test auf der vom Auftraggeber bereitgestellten Testumgebung durchzuführen, um sicherzustellen, dass die Verarbeitung und der Abgleich der Daten den Anforderungen entsprechen. Der Test dient der Überprüfung der korrekten Funktionalität und der Einhaltung der technischen Vorgaben. Geprüft werden hierbei alle in dieser Aus-schreibung geforderten Punkte, wie bspw. die Verarbeitbarkeit bei Zahlendrehern und Rechtschreibfehlern sowie die Einhaltung der vorgegeben Spezifikationen und Anforderungen wie bspw. E-Mail-Betreff und abschließendes Verarbeitungsprotokoll. Der Test soll den regulären Ablauf vollumfänglich abdecken und realitätsgetreu darstellen.
Erst nach erfolgreichem Abschluss des Tests kann die Inbetriebnahme erfolgen.

1.2.6.2 Testablauf
Der Auftraggeber stellt dem Anbieter über das Portal "NExt" eine xml-Nachricht mit den relevanten Informationen der Kundenstammsätze, gemäß Anlage 1 "xml Format Kundendaten" zur Verfügung.
Um Zugang zur Testumgebung von NExt zu erhalten, ist ein Registrierungsprozess durch den Anbieter erforderlich. Nach erfolgreicher Registrierung obliegt es dem Anbieter, die bereitgestellte Datei eigenständig über das Portal abzurufen.
Die enthaltenen Informationen sind durch den Anbieter zu verarbeiten und mit den entsprechenden Registereinträgen abzugleichen.
Die Ergebnisse des Abgleichs sind dem Auftraggeber pro Bekanntmachung in Form einer verschlüsselten E-Mail an die vorgegebene E-Mail-Adresse zu übermitteln. Hierbei sind sämtliche Vorgaben dieser Ausschreibung einzuhalten.

1.2.7 Ansprechpartner
Der Auftragnehmer stellt nach Zuschlagserteilung spätestens vor Vertragsstart eine Ansprech-stelle (Telefon und E-Mail) für den fachlichen und den technischen Support zur Verfügung. Die Ansprechstelle soll grundsätzlich montags bis freitags von 8:00 bis 15:00 Uhr erreichbar sein. Der Auftragnehmer garantiert eine Rückmeldung innerhalb von 4 Stunden, spätestens jedoch zum nächsten Geschäftstag. Die Kommunikation mit der Ansprechstelle muss in deutscher Sprache (mind. Sprachlevel GER B2) erfolgen.

1.2.8 Customizing
Der Auftragnehmer muss sicherstellen, dass die bestehende Software bei Bedarf an spezifische Anforderungen und Geschäftsprozesse des Auftraggebers anpassbar ist.
Es handelt sich hierbei um eine optionale Leistung, deren tatsächliche Inanspruchnahme zum jetzigen Zeitpunkt nicht garantiert werden kann.

Ein Beispiel für eine mögliche Anpassung wäre die Änderung des Verfahrens und des Formats der Rückmeldung. Diese würde in diesem Fall nicht mehr per E-Mail an den Auftraggeber gesendet werden, sondern direkt im xml-Format auf der NExt-Plattform bereitgestellt werden.
Solche Anpassungen werden über die optionale Position "Customizing" (siehe Pos. 3.0, Preisangebot) abgerechnet.

1.2.9 IT-Sicherheitsanforderungen
Die IT-Lösung muss vor Produktivsetzung den sog. IT-Risikomanagementprozess (IT-RMP) des Auftraggebers durchlaufen. Der Auftragnehmer unterstützt diesen durch Lieferung der notwendigen Architekturdokumente und Konzepte. Ferner sichert der Auftragnehmer zu, den regelmäßig durchzuführenden IT-RMP aktiv zu begleiten. Hierzu werden beim Start des IT-RMPs Ansprechpersonen des Auftragnehmers benannt. Die Anzahl der Sicherheitsanforderungen hängt von der Lösung ab. Der Auftraggeber untersucht nach dem BSI IT-Grundschutz Kompendium.

Zur Orientierung müssen bspw. nachfolgende Anforderungen an die IT-Sicherheit erfüllt wer-den:
- Der BSI IT-Grundschutz mit seinen Mindeststandards ist die Grundlage der Vertragsbeziehung und muss mindestens organisatorisch, prozessual und technisch vom Auftrag-nehmer unabhängig von der technischen Lösung eingehalten werden. Der Auftragnehmer stellt dabei sicher, dass alle erforderliche Sicherheitsanforderungen durch geeignete und wirksame Sicherheitsmaßnahmen umgesetzt werden. Die Informationssicherheitsmaßnahmen sind seitens des Auftraggebers zu testen und zu dokumentieren. Folgende Themenbereiche werden dabei konkretisiert betrachtet:
o Verschlüsselung (insbesondere Bring your own key / Hold your own key)
o Rollenkonzepte (inkl. Authentifizierung, Autorisierung)
o Administrative Tätigkeiten
o Dokumentation und Protokollierung
o Software-Aktualität und Schwachstellen- und Patchmanagement
o Betriebsthemen (z.B. Richtlinie, Zuweisung von Zuständigkeiten)
o Infrastruktur, Architektur, Design (z.B. Segmentierung und Mandantentrennung, Zonenkonzepte, Schnittstellen)
o Datensicherung + Archivierung
- Im Falle einer SaaS-Lösung sollte zwingend eine Zertifizierung nach Marktstandard (z.B. ISO27001, BSI C5: 2020, SOC2 Typ2, EUCS) vorgelegt werden, da es sich um den Austausch von VBS-Daten handelt.
- Der Auftraggeber behält sich vor, im Zuge der Produktionsaufnahme einen sog. Penetrationstest gemeinsam mit dem Auftragnehmer und ggf. externen Partnern des Auftraggebers durchzuführen.

1. Eignung zur Berufsausübung: Eigenerklärung gemäß Nummer 4 Vordruck 11078 II (s. C3) über die Eintragung im Berufsregister mit Angabe der Registernummer und des zuständigen Amtsgerichtes

2. Keine schwere Verfehlung: Angaben gemäß Nummer 7 Vordruck 11078 II (s. C3) , dass nachweislich keine schwere Verfehlung begangen wurde, die die Zuverlässigkeit als Bewerber/Bieter in Frage stellt.

3. Zahlung von Steuern: Angaben gemäß Nummer 8 Vordruck 11078 II (s. C3) zur Zahlung von Steuern, Abgaben und Beiträgen zur gesetzlichen Sozialversicherung

4. Mitgliedschaft bei der Berufsgenossenschaft: Angaben gemäß Nummer 9 Vordruck 11078 II (s. C3) zur Mitgliedschaft bei der Berufsgenossenschaft

5. Verzeichnis NU-Leistungen: Eigenerklärung gemäß Vordruck 11029 a (s. C5): Im Falle des Einsatzes von Unterauftragnehmern ist die Teilleistung anzugeben, welche durch Unterauftragnehmer durchgeführt wird.

6. C6_Erklärung Sanktionen-VO

7. Bieter-/Arbeitsgemeinschaft: Im Falle einer Bieter-/Arbeitsgemeinschaft sind alle die Leistungen gesamtschuldnerisch ausführenden Mitglieder sowie der bevollmächtigte Vertreter der Arbeitsgemeinschaft zu benennen; hierzu kann der Vordruck 11031 (s. C7) bei der Vergabestelle angefordert werden.

8. D1_Verpflichtungserklärung: Im Falle des Einsatzes von Unterauftragnehmern ist die Teilleistung anzugeben, welche durch Unterauftragnehmer durchgeführt wird.

1. Umsatz des Unternehmens: Eigenerklärung gemäß Nummer 1 Vordruck 11078 II (s. C3) zum Umsatz des Unternehmens in den letzten drei abgeschlossenen Geschäftsjahren, soweit er Leistungen betrifft, die mit der zu vergebenden Leistung vergleichbar sind, unter Einschluss des Anteils der gemeinsam mit anderen Unternehmen ausgeführten Leistungen.

2. Der Auftragnehmer hat eine IT-Haftpflichtversicherung nachzuweisen, aus der sich ein Versicherungsschutz für Vermögensschäden aus der Tätigkeit als Web-, IT- oder Telekommunikationsdienstleister ergibt. Der Nachweis einer Betriebshaftpflichtversicherung mit Versicherungsschutz für Personen-/Sachschäden ist wie untenstehend aufgeführt, anzuzeigen.

Versichertes Risiko: Web-, IT- und Telekommunikationsdienstleistung (IT-Dienstleister, EDV-Dienstleister, IT Service Provider,//TK Service Provider, Internet Provider, Cloud Computing Spezialist, SaaS Spezialist, Datenverarbeitungsbetrieb, Internet-Dienstleister, Web-Dienstleister, Internet-Agentur, Online-Dienstleister, Webserver Administrator, Webhoster usw.)

Versicherungssumme: 500.000,00 EUR für Vermögensschäden
(2-fach maximiert je Versicherungsjahr)

Zusätzlich muss der Auftragnehmer über eine Betriebshaftpflichtversicherung mit folgenden Versicherungssummen verfügen:
Personenschäden: 3 Mio. EUR
Sachschäden: 3 Mio. EUR

Der Versicherungsschutz muss vor dem Inkrafttreten des Vertrages nachgewiesen werden. Der Auftragnehmer ist zur unverzüglichen schriftlichen Anzeige verpflichtet, wenn Deckung in der vereinbar-ten Höhe nicht mehr besteht.

Die Gesamtleistung für alle Versicherungsfälle eines Versicherungsjahres muss mindestens das Zweifache dieser Deckungssummen betragen. Der Auftragnehmer ist zur unverzüglichen schriftlichen Anzeige verpflichtet, wenn Deckung in der vereinbarten Höhe nicht mehr besteht.

3. Insolvenzverfahren und Liquidation: Angaben gemäß Nummer 5 Vordruck 11078 II (s. C3) zu Insolvenzverfahren und Liquidation.

1. Angaben zu Leistungen, die mit der zu vergebenden Leistung vergleichbar sind (Ziffer 2 C3)
Ich/wir fügen dem Angebot 3 Referenznachweise aus den letzten 3 Jahren bei. Die Referenznachweise enthalten mindestens folgende Angaben:
Ansprechpartner (ggf. unter Angabe von Telefonnummer und Adresse), Art der ausgeführten Leistung, Auftragssumme, Ausführungszeitraum, stichwortartige Benennung des mit eigenem Personal ausgeführten maßgeblichen Leistungsumfanges.
Bei einem Teilnahmewettbewerb sind die Referenznachweise bereits mit dem Teilnahmeantrag vorzulegen.

Zustimmung per Eigenerklärung zu den AGB des Portals "NExt"
Informationen zu NExt, einschließlich Details zum Registrierungsprozess und den geltenden Allgemeinen Geschäftsbedingungen für NExt (AGB) sind auf der Website der Deutschen Bundesbank unter folgendem Link verfügbar: NExt | Deutsche Bundesbank (https://www.bundesbank.de/de/service/next-905624).

Zahlungen erfolgen, vertragsgemäße Lieferung vorausgesetzt, 30 Tage nach Rechnungseingang ohne Abzug. Sollte die Leistungserbringung erst nach Rechnungseingang erfolgen/ abgeschlossen sein, verlängert sich das Zahlungsziel entsprechend.

Zahlungen, die vor Lieferung erfolgen sollen, müssen vom Auftragnehmer auf seine Kosten durch eine Bankbürgschaft (Anzahlungsbürgschaft) auf der Grundlage von § 18 VOL/B abgesichert werden.