A: Zur Mindestanzahl der zur Angebotsabgabe aufzufordernden Bieter, verweist der Auftraggeber auf § 51 III 2 VgV.
B: Zusätzliche Informationen zu den Auftragsausführungsbedingungen:
I) Auftragsausführungsbedingungen Los 1
A_1: Der Auftragnehmer bzw. seine etwaigen wesentlichen Unterauftragnehmer* erbringen ihre auftragsgegenständlichen Leistungen an ihren Leistungsstandorten in der EU / dem EWR nach BSI C5 Typ 2.
Im Übrigen wird auf Ziff. 1.2 EVB-IT Cloud AGB verwiesen.
Nachweis:
Der Auftragnehmer bzw. seine etwaigen wesentlichen Unterauftragnehmer* (d.h. das oder die Unternehmen, die ganz oder teilweise die Leistung Cloud-Plattform erbringen) bestätigen das durch Vorlage der entsprechenden Testate (Kopien / Scans sind ausreichend).
A_2: Der Auftragnehmer ist bereit, eine DSGVO-konforme Auftragsverarbeitungsvereinbarung mit dem Auftraggeber zu schließen und seinen etwaigen Unterauftragnehmern, die personenbezogene Daten verarbeiten, die daraus resultierenden, datenschutzrechtlichen Pflichten ebenfalls aufzuerlegen.
Im Übrigen wird auf Ziff. 6.1.3 EVB-IT Cloud AGB verwiesen.
II) Auftragsausführungsbedingungen Los 2
A_1: Der Auftragnehmer bzw. seine etwaigen wesentlichen Unterauftragnehmer* erbringen ihre auftragsgegenständlichen Leistungen an ihren Leistungsstandorten in der EU nach BSI C5 Typ 2.
Im Übrigen wird auf Ziff. 1.2 EVB-IT Cloud AGB verwiesen.
Nachweis:
Der Auftragnehmer bzw. seine etwaigen wesentlichen Unterauftragnehmer* (d.h. das oder die Unternehmen, die ganz oder teilweise die Leistung Cloud-Plattform erbringen) bestätigen das durch Vorlage der entsprechenden Testate (Kopien / Scans sind ausreichend).
Sollte der Auftragnehmer bzw. seine etwaigen wesentlichen Unterauftragnehmer* bislang nur über eine BSI C5 Typ 1 Testierung verfügen und eine BSI C5 Typ 2 Testierung in Planung sein, muss die BSI C5 Typ 1 Testierung durch ein Testat (Kopien / Scans sind ausreichend) nachgewiesen werden und durch eine Eigenerklärung bestätigt werden, dass spätestens bis Ende 2027 eine BSI C5 Typ 2 Testierung vorgenommen wird.
A_2: Der Auftragnehmer ist bereit, eine DSGVO-konforme Auftragsverarbeitungsvereinbarung mit dem Auftraggeber zu schließen und seinen etwaigen Unterauftragnehmern die, personenbezogene Daten verarbeiten, die daraus resultierenden, datenschutzrechtlichen Pflichten ebenfalls aufzuerlegen.
Im Übrigen wird auf Ziff. 6.1.3 EVB-IT Cloud AGB verwiesen.
A_3: Der Auftragnehmer bemüht sich kontinuierlich, auf die Transparenz seiner Lieferketten auch über den unmittelbaren Lieferanten hinaus hinzuwirken und Regelungen zu Audits in die eigenen Lieferantenverträge aufzunehmen sowie seine Lieferanten anzuhalten, entsprechende Auditrechte wiederum in seine Verträge aufzunehmen. Dies umfasst unter anderem Regelungen zu
a) Social-Compliance-Audits zur Überprüfung von Arbeitsbedingungen und Sozialstandards (z. B. SA8000, SMETA, amfori BSCI oder vergleichbare Standards),
b) Audits von Produktions- und Lieferantenstrukturen,
c) Zertifizierungs- und Managementsystemaudits (z. B. DIN EN ISO 9001, DIN EN ISO 45001 oder vergleichbare Standards),
d) IT-, informationssicherheits- und datenschutzbezogene Audits von Lieferanten, sofern diese im Rahmen ihrer Leistungserbringung Zugriff auf IT Systeme, Daten oder sicherheitsrelevante Infrastruktur haben (z. B. DIN EN ISO/IEC 27001 oder vergleichbare Standards) sowie
e) anlassbezogenen, risikobasierten Audits bei Hinweisen auf Verstöße.
Im Übrigen wird auf Ziff. 6.4. EVB-IT Cloud AGB verwiesen.
A_4:
- Der satzungsmäßige Sitz sowie der Verwaltungssitz des Auftragnehmers liegen während der gesamten Auftragsausführung aus-schließlich in der EU. Das gilt auch für etwaige wesentliche Unterauftragnehmer* des Auftragnehmers. Sollte der Auftragnehmer eine Bewerbergemeinschaft sein, gilt das für sämtliche Mitglieder der Bewerbergemeinschaft inkl. deren etwaiger wesentlicher Unterauftragnehmer*.
- Die Mitglieder der Geschäftsführung bzw. des Vorstands sowie der Aufsichts- und Kontrollorgane der Geschäftsführung bzw. des Vorstands des Auftragnehmers haben während der gesamten Auftragsausführung ihren gewöhnlichen Aufenthaltsort in der EU. Das gilt auch für etwaige wesentliche Unterauftragnehmer* des Auftragnehmers. Sollte der Auftragnehmer eine Bewerbergemeinschaft sein, gilt das für sämtliche Mitglieder der Bewerbergemeinschaft inkl. deren etwaiger wesentlicher Unterauftragnehmer*.
- Der Dienstort der Key Management Funktionen des Auftragnehmers ist während der gesamten Auftragsausführung in der EU. Unter Key-Management-Funktionen fallen die leitenden Funktionen des Auftragnehmers, die für die steuernde, überwachende oder freigebende Verantwortung in Bezug auf Informationssicherheit, Datenschutz, Compliance und unternehmensweites Risiko- und IT-Management zuständig sind (insbesondere CISO, CTO, Compliance, Datenschutz, Risikomanagement, SOC). Das gilt auch für etwaige wesentliche Unterauftragnehmer* des Auftragnehmers. Sollte der Auftragnehmer eine Bewerbergemeinschaft sein, gilt das für sämtliche Mitglieder der Bewerbergemeinschaft inkl. deren etwaiger wesentlicher Unterauftragnehmer*.
- Die Mitglieder der Stellen des Auftragnehmers, denen wesentliche Weisungs-, Kontroll- oder Vetorechte zukommen, haben ihren gewöhnlichen Aufenthaltsort während der gesamten Auftragsausführung innerhalb der EU. Unter wesentlichen Weisungs-, Kon-troll- oder Vetorechten im Sinne dieses Kriteriums werden sämtliche formellen oder faktischen Entscheidungsbefugnisse verstanden, die den inhaltlichen Ablauf, die Qualität, Sicherheit oder Verfügbarkeit der Leistung maßgeblich beeinflussen können, insbesondere Rechte zur verbindlichen Änderung oder Untersagung der Leistungserbringung. Das gilt auch für etwaige wesentliche Unterauftragnehmer* des Auftragnehmers. Sollte der Auftragnehmer eine Bewerbergemeinschaft sein, gilt das für sämtliche Mitglieder der Bewerbergemeinschaft inkl. deren etwaiger wesentlicher Unterauftragnehmer*.
- Im Übrigen wird auf Ziff. 9.4 des EVB-IT Cloudvertrags (Change of Control) verwiesen.
A_5: Die Strukturen des Auftragnehmers ermöglichen keinen extraterritorialen Zugriff außerhalb der EU. Das gilt auch für etwaige wesentliche Unterauftrag-nehmer* des Auftragnehmers. Sollte der Auftragnehmer eine Bewerbergemeinschaft sein, gilt das für sämtliche Mitglieder der Bewerbergemeinschaft inkl. deren etwaiger wesentlicher Unterauftragnehmer*. Unter einem extraterritorialen Zugriff außerhalb der EU werden in diesem Zusammenhang staatliche Zugriffs- und Durchsetzungsbefugnisse von Behörden oder Gerichten eines Drittstaates (nicht EU) verstanden, die sich auf die auftragsgegenständliche Leistung erstrecken können.
A_6:
- Die Gesamtbeteiligung aller Nicht EU/EWR Investoren (kumuliert) am Auftragnehmer erreicht während der gesamten Auftragsausführung nicht die Schwelle von 25%. Das gilt auch für etwaige wesentliche Unterauftragnehmer* des Auftragnehmers. Sollte der Auftragnehmer eine Bewerbergemeinschaft sein, gilt das für sämtliche Mitglieder der Bewerbergemeinschaft inkl. deren etwaiger wesentlicher Unterauftragnehmer*.
- Sofern der Auftragnehmer von einer Muttergesellschaft beherrscht wird (bzw. diese wiederum von einer oder weiteren Muttergesellschaften), hat diese (bzw. jede weitere Muttergesellschaft bis hin zur obersten Konsolidierungsebene) ihren satzungsgemäßen Sitz und ihren Verwaltungssitz in einem EU/EWR-Mitgliedstaat. Eine Beherrschung (im Sinne von § 36 Abs. 2 GWB, § 17 AktG) liegt vor, wenn die Muttergesellschaft
(i) mehr als 50 % des Nennwerts des ausgegebenen Gesellschaftskapitals des Auftragnehmers direkt oder indirekt hält,
(ii) eine Mehrheit der Stimmrechte der Gesellschafter des Auftragnehmers hält oder
(iii) Entscheidungsbefugnisse am Auftragnehmer direkt oder indirekt hält, sei es de facto oder de jure und so unmittelbar oder mittelbar einen beherrschenden Einfluss ausüben kann.
Das gilt auch für etwaige wesentliche Unterauftragnehmer* des Auftragnehmers. Sollte der Auftragnehmer eine Bewerbergemeinschaft sein, gilt das für sämtliche Mitglieder der Bewerbergemeinschaft inkl. deren etwaiger wesentlicher Unterauftragnehmer*.
- Die Gesamtbeteiligung aller Nicht-EU/EWR-Investoren (kumuliert) erreicht auch auf Ebene der Muttergesellschaft des Auftragnehmers (und - sofern vorhanden - bis hin zur obersten Konsolidierungsebene) nicht die Schwelle von 25%. Das gilt auch für etwaige wesentliche Unterauftragnehmer* des Auftragnehmers. Sollte der Auftragnehmer eine Bewerbergemeinschaft sein, gilt das für sämtliche Mitglieder der Bewerbergemeinschaft inkl. deren etwaiger wesentlicher Unterauftragnehmer*.
- Im Übrigen wird auf Ziff. 9.4 des EVB-IT Cloudvertrags (Change of Control) verwiesen.
Nachweis:
Der Bewerber füllt die Anlage C14-II "Offenlegung der Beteiligungsverhältnisse" aus. Zudem stellt der Bewerber seine Gesamtkonzern- und Eigentümerstruktur inklusive verbundener Unternehmen* (bis hin zur obersten Konsolidierungsebene) zum aktuellen Zeitpunkt in einem vom Bewerber zu erstellenden Schaubild dar. In diesem Schaubild sollen die bestehenden Verbindungen des Bewerbers / Mitglieds einer Bewerbergemeinschaft / wesentlichen Unterauftragnehmers* zu seinen verbundenen Unternehmen* dargestellt werden.
Dieses Schaubild ist im Falle einer Bewerbergemeinschaft von allen Mitgliedern der Bewerbergemeinschaft einzureichen. Im Falle des Einsatzes eines wesentlichen Unterauftragnehmers* muss auch der wesentliche Unterauftragnehmer* ein solches Schaubild einreichen.
A_7: Der Auftragnehmer und seine etwaigen wesentlichen Unterauftragnehmer* stellen sicher, dass alle Kundendaten (einschließlich Backups, Protokolle, Abrechnungsdaten und Metadaten) sowie der gesamte Technologie-Stack und alle Control-/Management-/Data-Planes vollständig in der EU gespeichert und verarbeitet werden, ohne jeglichen Zugriff durch Akteure, die ihre Daten nicht vollständig in der EU speichern und verarbeiten.