Verfahrensangaben

Die Punkteverteilung beim Preis erfolgt folgendermaßen:

Das Angebot mit dem niedrigsten Preis erhält 4 Punkte, ein Angebot mit einem Preis, der beim (min-destens) 2,0-fachen des niedrigsten Preises liegt, erhält 0 Punkte. Ein Angebot mit einem Preis, der zwischen dem 1,0-fachen und 2,0-fachen des niedrigsten Preises liegt, erhält die Punktzahl, die sich aus der linearen Interpolation nach der nachfolgenden Formel mit bis zu drei Stellen nach dem Komma ergibt:

Punktzahl = Höchstpunktzahl x (2 - (angebotener Preis/niedrigster Preis))

Der Auftraggeber schließt den Vertrag mit dem Bieter, dessen Angebot die höchste gewichtete Gesamtpunktzahl (letzte Zeile der vorstehenden Tabelle) erhält.

Bewertet wird die über die Mindestanforderung hinausgehende einschlägige Berufserfahrung der für die Leistungserbringung vorgesehenen Ansprechperson in den Bereichen

- Softwarearchitektur und Systementwicklung,
- Entwicklung verteilter oder komplexer IT-Systeme,
- Informationssicherheit und Datenschutz,
- Integration heterogener Systeme.

Maßgeblich ist die durchschnittliche einschlägige Berufserfahrung der benannten Ansprechperson(en) über die als Mindestanforderung (siehe Leistungsbeschreibung) geforderten zwölf Monate hinaus.

Die Bewertung erfolgt wie folgt:

0 Punkte: keine über die Mindestanforderung hinausgehende Erfahrung nachgewiesen.
1 Punkt: mehr als 1 Jahr bis einschließlich 3 Jahre zusätzliche Erfahrung.
2 Punkte: mehr als 3 Jahre bis einschließlich 5 Jahre zusätzliche Erfahrung.
3 Punkte: mehr als 5 Jahre bis einschließlich 8 Jahre zusätzliche Erfahrung.
4 Punkte: mehr als 8 Jahre zusätzliche Erfahrung.

Die Wertung erfolgt auf Grundlage der eingereichten anonymisierten Lebensläufe. Berücksichtigt wird nur nachvollziehbar dargestellte Berufserfahrung, die einen Bezug zu den genannten Aufgabenbereichen aufweist.

Vorlage eines strukturierten Konzepts zum treuhänderischen Betrieb der Datenplattform.
Das Konzept muss insbesondere enthalten:

- organisatorische Trennung zwischen Plattformbetrieb und Datenhoheit,
- technische und organisatorische Maßnahmen zur Sicherstellung der Zweckbindung von Daten,
- Regelungen zu Zugriffskontrolle, Rollen- und Rechteverwaltung,
- Mechanismen zur Sicherstellung von Neutralität, Nachvollziehbarkeit und Auditierbarkeit.

Bewertungsmatrix:

4 Punkte - Sehr gut
Das Konzept beschreibt den treuhänderischen Betrieb der Datenplattform umfassend, schlüssig und nachvollziehbar. Die organisatorische Trennung zwischen Plattformbetrieb und Datenhoheit wird detailliert dargestellt und durch geeignete organisatorische sowie technische Maßnahmen abgesichert. Die Maßnahmen zur Sicherstellung der Zweckbindung von Daten sind konkret, belastbar und in den Betriebsprozessen verankert. Das Rollen- und Berechtigungskonzept ist differenziert, konsistent und berücksichtigt unterschiedliche Nutzergruppen und Anwendungsfälle. Die Mechanismen zur Gewährleistung von Neutralität, Nachvollziehbarkeit und Auditierbarkeit sind vollständig beschrieben und ermöglichen eine transparente Überprüfung sämtlicher relevanter Vorgänge. Das Konzept geht erkennbar über übliche Standardlösungen hinaus und lässt eine besonders zuverlässige und vertrauenswürdige Umsetzung erwarten.

3 Punkte - Gut
Das Konzept behandelt alle geforderten Themenbereiche vollständig und nachvollziehbar. Die organisatorische Trennung zwischen Plattformbetrieb und Datenhoheit sowie die Maßnahmen zur Sicherstellung der Zweckbindung von Daten werden schlüssig dargestellt. Das Rollen- und Berechtigungskonzept sowie die vorgesehenen Auditierungs- und Nachvollziehbarkeitsmechanismen sind geeignet, die Anforderungen zu erfüllen. Das Konzept weist lediglich kleinere Schwächen hinsichtlich Detaillierungsgrad oder Nachvollziehbarkeit einzelner Aspekte auf. Insgesamt ist eine qualitativ hochwertige Leistungserbringung zu erwarten.

2 Punkte - Befriedigend
Das Konzept adressiert die geforderten Themenbereiche im Wesentlichen, bleibt jedoch in einzelnen Punkten allgemein oder wenig konkret. Die organisatorische Trennung zwischen Plattformbetrieb und Datenhoheit sowie die Maßnahmen zur Zweckbindung von Daten sind grundsätzlich nachvollziehbar dargestellt, lassen jedoch Detailfragen offen. Das Rollen- und Berechtigungskonzept sowie die beschriebenen Mechanismen zur Auditierung und Nachvollziehbarkeit erscheinen grundsätzlich geeignet, sind jedoch nur teilweise ausgearbeitet. Die Anforderungen werden insgesamt erfüllt, die Praxistauglichkeit einzelner Aspekte ist jedoch nur eingeschränkt belegt.

1 Punkt - Ausreichend
Das Konzept behandelt die geforderten Themen lediglich in Grundzügen. Wesentliche Aussagen bleiben allgemein oder unvollständig. Die organisatorische Trennung zwischen Plattformbetrieb und Datenhoheit, die Sicherstellung der Zweckbindung von Daten, die Zugriffskontrolle oder die Auditierbarkeit werden zwar angesprochen, jedoch nur oberflächlich beschrieben. Die Eignung der vorgeschlagenen Maßnahmen zur Erreichung der Projektziele ist nur eingeschränkt nachvollziehbar.

0 Punkte - Ungenügend
Das Konzept fehlt bzw. geht auf wesentliche Anforderungen nicht ein oder behandelt diese nur unzureichend. Die organisatorische Trennung zwischen Plattformbetrieb und Datenhoheit, die Sicherstellung der Zweckbindung von Daten, die Regelungen zur Zugriffskontrolle oder die Mechanismen zur Neutralität, Nachvollziehbarkeit und Auditierbarkeit fehlen ganz oder sind nicht nachvollziehbar beschrieben. Das Konzept lässt keine belastbare Beurteilung der Leistungsfähigkeit des Bieters zu.

Der Bieter muss über nachweisbare Erfahrungen in der Konzeption, Entwicklung und dem Betrieb von IT-Systemen unter Anwendung anerkannter Informationssicherheitsstandards verfügen.
Zum Nachweis hat der Bieter vorzulegen:

mindestens eine (1) Referenz über in den letzten fünf Jahren erfolgreich durchgeführte Projekte, die die Konzeption, Entwicklung oder den Betrieb von IT-Plattformen oder vergleichbaren IT-Systemen zum Gegenstand hatten und bei denen Informationssicherheitsstandards angewendet wurden;
und
mindestens einen der folgenden Nachweise:
- eine gültige Zertifizierung nach ISO/IEC 27001,
- eine gültige Zertifizierung nach BSI IT-Grundschutz,
oder einen gleichwertigen Nachweis über ein implementiertes Informationssicherheitsmanagementsystem (ISMS) einschließlich dokumentierter Sicherheits- und Auditierungsverfahren.

Die Referenz(en) muss/müssen jeweils mindestens folgende Angaben enthalten:
- Auftraggeber (soweit datenschutzrechtlich zulässig),
- Projektgegenstand,
- Leistungszeitraum,
- Rolle des Bieters,
Beschreibung der eingesetzten Informationssicherheitsmaßnahmen bzw. des angewandten Sicherheitsstandards.

Die Anforderung dient der Prüfung, ob der Bieter über die für einen sicheren und treuhänderischen Plattformbetrieb erforderliche technische und organisatorische Leistungsfähigkeit verfügt.

Der Bieter muss über nachweisbare Erfahrungen in der Konzeption, Entwicklung und Implementierung modularer, mehrmandantenfähiger digitaler Plattformen verfügen.
Zum Nachweis hat der Bieter mindestens ein (1) Referenzprojekt vorzulegen, das innerhalb der letzten fünf Jahre erfolgreich umgesetzt wurden und mit der ausgeschriebenen Leistung hinsichtlich Komplexität, Architektur und Nutzerstruktur vergleichbar sind.

Die Referenz(en) muss/müssen jeweils mindestens folgende Angaben enthalten:
- Auftraggeber (soweit datenschutzrechtlich zulässig),
- Projektbezeichnung und Projektgegenstand,
- Leistungszeitraum,
- Rolle und Leistungsanteil des Bieters,
- Skizzierung der technischen Architektur.

Von der eingereichten Referenz müssen insgesamt Erfahrungen in den folgenden Bereichen nachgewiesen werden:
- Konzeption oder Umsetzung von Plattform- bzw. Systemarchitekturen mit mehreren voneinander unabhängigen externen Akteuren (Multi-Stakeholder-Systeme),
- Implementierung von Mandantentrennung (Multi-Tenancy) oder vergleichbaren technischen Isolationstechniken,
- Entwicklung und Betrieb skalierbarer API- und Integrationsarchitekturen zur Anbindung externer Systeme,
- Konzeption und Umsetzung von Governance-, Berechtigungs- und Rollenmodellen für Plattformökosysteme.

Die Nachweise dienen der Beurteilung der Fähigkeit des Bieters, eine modulare, skalierbare und mehrmandantenfähige digitale Plattform mit unterschiedlichen Nutzergruppen und Organisationsstrukturen erfolgreich zu konzipieren und umzusetzen.

Erfahrungen mit verteilten Datenplattformen, Datenräumen und föderierten Architekturen

Der Bieter muss über nachweisbare Erfahrungen in der Konzeption, Entwicklung, Implementierung und dem Betrieb verteilter Datenplattformen, Datenräume oder vergleichbarer föderierter IT-Ökosysteme verfügen.

Zum Nachweis hat der Bieter mindestens ein (1) Referenzprojekt vorzulegen, das innerhalb der letzten fünf Jahre erfolgreich umgesetzt oder betrieben wurden und hinsichtlich technischer Komplexität, Nutzerstruktur oder Anwendungsbereich mit dem ausgeschriebenen Vorhaben vergleichbar sind.

Die Referenz(en) muss/müssen jeweils mindestens folgende Angaben enthalten:

- Auftraggeber (soweit datenschutzrechtlich zulässig),
- Projektgegenstand und Projektumfang,
- Leistungszeitraum,
- Rolle und Leistungsanteil des Bieters,
- Beschreibung der technischen Architektur,
- Beschreibung der implementierten Sicherheits-, Zugriffs- und Integrationsmechanismen.

Von den eingereichten Referenzen müssen insgesamt Erfahrungen in den folgenden Bereichen nachgewiesen werden:

- Konzeption, Entwicklung oder Betrieb verteilter Datenplattformen, Datenräume oder vergleichbarer föderierter Architekturen,
- Umsetzung von Architekturen nach Gaia-X-, International-Data-Spaces-(IDS)- oder vergleichbaren Prinzipien,
- Konzeption und Umsetzung von Datenraumkonzepten mit kontrollierter, regelbasierter oder zweckgebundener Datenfreigabe zwischen mehreren unabhängigen Organisationen,
- Implementierung von Identitäts- und Zugriffsmanagementsystemen (IAM) einschließlich Rollen- und Berechtigungskonzepten,
- Umsetzung von Mechanismen zur Protokollierung, Auditierung und Nachvollziehbarkeit von Datenflüssen und Datennutzungen,
- Konzeption und Umsetzung von Interoperabilitäts- und Integrationsarchitekturen zur Anbindung heterogener Systeme, Anwendungen, Geräte oder Datenquellen,
- Entwicklung von Plattform- oder Systemarchitekturen mit mehreren voneinander unabhängigen Akteuren (Multi-Stakeholder-Systeme),
- Umsetzung von Mandantentrennung (Multi-Tenancy) oder vergleichbaren technischen Isolationstechniken,
- Entwicklung und Betrieb skalierbarer API- und Integrationsarchitekturen,
- Konzeption und Umsetzung von Governance-, Rollen- und Berechtigungsmodellen für Plattformökosysteme.

Die Nachweise dienen der Beurteilung der Fähigkeit des Bieters, eine sichere, interoperable, mehrmandantenfähige und föderiert organisierte Datenplattform bzw. einen Datenraum mit kontrollierter Datennutzung und nachvollziehbaren Datenflüssen zu konzipieren, umzusetzen und zu betreiben.

Digitale Prozess- und Systemmodellierung

Der Bieter muss über nachweisbare Erfahrungen in der digitalen Modellierung komplexer Geschäfts-, Forschungs-, Verwaltungs- oder Laborprozesse sowie deren Überführung in technische IT-Systeme verfügen.

Zum Nachweis hat der Bieter mindestens ein (1) Referenzprojekt vorzulegen, das innerhalb der letzten fünf Jahre erfolgreich umgesetzt wurden und hinsichtlich Komplexität, Umfang oder Anwendungsbereich mit dem ausgeschriebenen Vorhaben vergleichbar sind.

Die Referenz(en) muss/müssen jeweils mindestens folgende Angaben enthalten:

- Auftraggeber (soweit datenschutzrechtlich zulässig),
- Bezeichnung und Gegenstand des Projekts,
- Leistungszeitraum,
- Rolle und Leistungsanteil des Bieters,
- Beschreibung der modellierten Prozesse und der daraus abgeleiteten Systemlösung,
- Beschreibung der eingesetzten Methoden und Werkzeuge zur Prozess- und Systemmodellierung.

Von den eingereichten Referenzen müssen insgesamt Erfahrungen in den folgenden Bereichen nachgewiesen werden:

- Anwendung etablierter Methoden zur Prozessmodellierung, insbesondere BPMN oder vergleichbarer Modellierungsstandards,
- Analyse, Strukturierung und Digitalisierung komplexer fachlicher Prozesse,
- Überführung fachlicher Anforderungen in technische Lösungs- und Systemarchitekturen,
- Konzeption oder Umsetzung von IT-Systemen in regulierten, behördlichen, wissenschaftlichen oder vergleichbar anspruchsvollen Umfeldern,
- Gestaltung und Dokumentation von Schnittstellen zwischen fachlichen, technischen und organisatorischen Ebenen,
- Abstimmung und Anforderungsmanagement mit unterschiedlichen Stakeholdergruppen.

Die Nachweise dienen der Beurteilung der Fähigkeit des Bieters, komplexe Geschäfts- und Laborprozesse methodisch zu erfassen, digital abzubilden und in tragfähige technische Systemarchitekturen zu überführen.