Der Verbraucherzentrale Bundesverband (vzbv) bündelt als Dachverband die Expertise von 16 Verbraucherzentralen und mehr als 30 verbraucherpolitischen Verbänden - darunter über 2.000 Organisationen und sieben Millionen Einzelmitglieder - für einen starken Schutz der Verbraucher:innen in Deutschland.

Der Verbraucherzentrale Bundesverband (vzbv) nutzt für seine Kommunikation verschiedene Kanäle, darunter die Presse, Social Media (aktuell vor allem Instagram und LinkedIn), Newsletter, Webseiten, Veranstaltungen und ein Intranet. Angesichts der wachsenden Komplexität multimedialer Inhalte benötigt der Verband ein zentrales Werkzeug, um alle Kommunikationsmaßnahmen effizient zu planen, zu steuern und auszuwerten.
Ein Newsroom-Tool soll den gesamten Kommunikationsprozess in einem browserbasierten, deutschsprachigen System abbilden - von der Themenplanung über Produktion und Abstimmung bis hin zu Freigabe, Veröffentlichung und Analyse. Es ermöglicht die kanalübergreifende Organisation von Inhalten, die Zuordnung zu übergeordneten Themen und die transparente Nachverfolgung aller Arbeitsschritte. Ein gemeinsamer Redaktionskalender erleichtert die Zusammenarbeit zwischen Fachabteilungen.
Der Auftragnehmer stellt dem Auftraggeber ein Software-as-a-Service-Tool bereit, in dem alle Kommunikationsmaßnahmen - geplant, in Bearbeitung oder veröffentlicht - zentral verfügbar sind. Inhalte können strukturiert, gefiltert, kommentiert und mit nachvollziehbaren Freigaben versehen werden. So wird die gesamte Kommunikation in einem digitalen Newsroom gebündelt.

- Förmliche Erklärung gem. § 35 UVgO über das Nichtvorliegen von Ausschlussgründen. (Formular Anlage 5 ist beigefügt)

Berufliche Leistungsfähigkeit:
- Referenzliste: Angabe von drei Organisationen, die mit dem Tool des Auftragnehmers zur Unterstützung ihrer externen Kommunikation arbeiten und organisatorisch mit dem Auftraggeber vergleichbar sind. Die Angaben sollen für jede Organisation eine kurze Erläuterung enthalten, für welche Zwecke und in welchem Umfang die Organisationen das Tool nutzt.
Vergleichbar sind Organisationen,
- die über mehrere Monate zahlreiche Kommunikationsmaßnahmen zu thematischen Schwerpunkten und mit festgelegten Narrativen durchführen.
- in denen mehr als 90 Mitarbeitende das Tool aktiv nutzen.

5. Angaben zu zwei Arbeitnehmer:innen, die zur Durchführung des Auftrags zur Verfügung stehen, mit Angaben zu ihrer beruflichen Erfahrung:
- ein:e:r Arbeitnehmer:in, der/die für die Einrichtung des Tools in Zusammenarbeit mit dem AG zur Verfügung steht. Notwendig sind hierbei bestehende Erfahrungen mit der Einrichtung des angebotenen Tools für mindestens einen Kunden mit mindestens 90 Usern.
- ein:e Arbeitnehmer:in, der/die für die Schulungen der AG-Mitarbeitenden zur Verfügung steht. Notwendig sind hierbei bestehende Erfahrungen mit der Online-Schulung von mindestens 90 Mitarbeitenden in der Bedienung des angebotenen Tools.
Es ist auch möglich, dass beide Mitarbeitende beide Aufgaben übernehmen.

Technische Anforderungen:
- Unterzeichnete Bestätigung des Funktionsumfangs (Anlage 7 ist beigefügt).

Dashboard & grafische Aufbereitung
- Das Tool führt die Planungen und Veröffentlichungen sämtlicher Kommunikationsmaßnahmen in einem Online-Portal (Dashboard) zusammen.
- Für eine übersichtliche Darstellung der Kommunikationsmaßnahmen stellt der AN geeignete Grafikdarstellungen im Portal bereit.
- Kommunikationsmaßnahmen müssen mindestens nach Kanälen, Themen, Zuständigkeiten und Status aufbereitet werden können.
- Die Kalenderansicht wird regelmäßig, mindestens binnen Minuten, bei allen Nutzer:innen synchronisiert.

IT-Sicherheit und Anforderungen an den Einsatz von SaaS
- Der Anbieter weist eine gültige ISO 27001- und ISO 27017-Zertifizierung nach. Der Geltungsbereich (Scope) der Zertifizierung ist eindeutig dokumentiert und umfasst die relevanten Systeme (insbesondere die SaaS-Applikation, nicht nur die Infrastruktur). Ein aktuelles Statement of Applicability (SoA) sowie Auditberichte sind auf Anfrage vorzulegen.
- Der Anbieter stellt sicher, dass sämtliche Daten ausschließlich innerhalb Deutschlands bzw. der EU gespeichert werden. Werden Subdienstleister außerhalb der EU/EWR eingesetzt, sind diese namentlich zu benennen. Für etwaige Datenübermittlungen in Drittstaaten sind geeignete Rechtsgrundlagen (z. B. Standardvertragsklauseln, Binding Corporate Rules) nachzuweisen.
- Das Abschließen eines DSGVO-konformen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist Voraussetzung für die Auftragserteilung. Der Vertrag enthält eine vollständige und aktuelle Liste sämtlicher Unterauftragnehmer (Subprozessoren). Die technischen und organisatorischen Maßnahmen (TOMs) des Anbieters sind detailliert dokumentiert und nachprüfbar.
- Das System unterstützt Multi-Faktor-Authentifizierung (MFA) sowie die Anbindung an Single Sign-On (SSO). Rollen- und Rechtevergaben sind granular und nachvollziehbar umsetzbar. Sämtliche Zugriffe werden revisionssicher protokolliert und stehen im Bedarfsfall für Auswer-tungen zur Verfügung.
- Sämtliche Datenübertragungen erfolgen verschlüsselt (mindestens TLS 1.3). Daten im Ruhezustand werden mit einem aktuellen Standard (z. B. AES-256) verschlüsselt. Der Anbieter setzt ein professionelles Schlüsselmanagement ein (z. B. KMS, HSM) und dokumentiert dieses.
- Verfahren zur Löschung personenbezogener Daten sind dokumentiert und revisionssicher. Löschprozesse umfassen auch Backups und Testsysteme. Klare Löschfristen nach Vertragsende sind definiert. Die Aufbewahrungsdauer von Backups sowie die darin implementierten Löschmechanismen sind nachzuweisen.
- Ein definiertes Verfahren für den Umgang mit Sicherheitsvorfällen liegt vor und entspricht den gesetzlichen Anforderungen (inkl. 72h-Meldepflicht nach DSGVO). Konzepte für Disaster Re-covery (DR) und Business Continuity (BC) sind dokumentiert. Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) sind spezifiziert.
- Der Kunde erhält vertraglich ein Recht auf Audit oder alternativ Einsicht in einschlägige Nach-weise (z. B. ISO-Zertifikate, SOC2-Berichte, Penetrationstests). Der Anbieter führt regelmäßig externe Sicherheitsprüfungen (z. B. Penetrationstests, Schwachstellenanalysen) durch und stellt deren Ergebnisse auf Anfrage zur Verfügung.

Weitere technische Anforderungen
- Es soll eine Plattform/Webseite als cloudbasiertes Software as a Service-Modell zur Verfügung gestellt werden (SaaS).
- Prozedere Anmeldung an der Plattform
- Das LogIn an der Anwendung soll als Single-Sign-On (SSO) über das Microsoft ENTRA ID der M365 Umgebung des vzbv erfolgen.
- Wenn SSO über Microsoft ENTRA ID nicht möglich ist, muss die Anwendung zumindest das LDAP-Protokoll unterstützen.
- Die Plattform muss responsiv auf allen Geräten und Browsern nutzbar sein.
- Es muss ein konfigurierbarer Upload-Filter vorhanden sein, um bestimmte Datei-Formate für den Upload auf die Plattform ausschließen zu können.
- Im Sinne der Datensparsamkeit muss das System die Möglichkeit einer Dateigrößenbeschränkung für den Upload von Dokumenten anbieten.
- Die Plattform muss eine Möglichkeit bieten, dass der AG versehentlich gelöschte Dokumente wiederherstellen kann.
- Wenn das System eine eigene KI enthält, soll diese deaktivierbar sein.
- Das System sollte eine eigene Workflowkomponente anbieten bzw. Schnittstellen an ein Workflowsystem (idealerweise an Power Automate) besitzen. Standardworkflows, sollen anpassbar sein.

- Erklärung, ob Voraussetzungen als Kleinstunternehmen oder KMU gemäß Definition in Empfehlung der Kommission 2003/361/EC vorliegen. (Anlage 2)

-Nachweis für ISO 27001- sowie für ISO 27017-Zertifizierung

-Nachweis einer Haftpflichtversicherung gem. Ziffer 21 EVB-IT Cloud-AGB