Eine Kommunikation erfolgt ausschließlich elektronisch über das Portal des eVergabemanagementsystems.
Wenden Sie sich bei technischen Fragen zum Vergabeportal und zum Bietertool bitte an das
Support-Team der Firma COSINEX.
Montag bis Freitag 7:00 Uhr bis 17:00 Uhr
E-Mail: support@cosinex.de
Telefon: 0900 - 1 - 267463
Website: https://support.cosinex.de/unternehmen/
Erweiterte Vergabebegründung zur Festlegung zwingender Anforderungen an hybride Betriebsmodelle (SaaS und On-Premises) im offenen Verfahren:
1. Ausgangslage und Verfahrenswahl
Der Auftraggeber führt ein offenes Verfahren gemäß § 15 VgV durch, um einen möglichst breiten Wettbewerb zu gewährleisten. Eine weitergehende Einschränkung des Teilnehmerkreises erfolgt nicht.
Gegenstand der Beschaffung ist eine Softwarelösung im Anwendungsbereich des Sozialgesetzbuches Fünftes Buch (SGB V), die im Kontext kritischer Infrastrukturen (KRITIS) betrieben wird. Die Lösung muss sowohl als "Software as a Service (SaaS)" als auch als On-Premises-Installation betrieben werden können. Vertragliche Grundlage ist ein EVB-IT Cloud Vertrag, ergänzt um die verbindliche Option zur Nutzung einer On-Premises-Variante.
2. Kritikalität des Anwendungsbereichs (SGB V / KRITIS)
Die zu beschaffende Software verarbeitet Sozialdaten im Sinne des § 67 SGB X und ist funktional Bestandteil einer kritischen Infrastruktur gemäß BSI-Gesetz.
Hieraus ergeben sich erhöhte Anforderungen an:
- Verfügbarkeit und Ausfallsicherheit
- Integrität und Vertraulichkeit der Daten
- Revisionssicherheit und Nachvollziehbarkeit
- Steuerbarkeit der Betriebsumgebung durch den Auftraggeber
Diese Anforderungen sind dauerhaft und unabhängig vom gewählten Betriebsmodell sicherzustellen.
3. Zwingende Notwendigkeit der Betriebsmodellflexibilität
Die Verpflichtung zur Unterstützung beider Betriebsmodelle ist aus folgenden Gründen zwingend erforderlich:
3.1 Sozialdatenschutz und spezifische Anforderungen des SGB V
- Sozialdaten unterliegen besonders strengen Schutzanforderungen.
- Gesetzesänderungen oder Auslegungsvorgaben der Aufsicht (Bundesamt für Soziale Sicherung) können Einschränkungen für Cloud-Betriebsmodelle erforderlich machen.
- Eine kurzfristige Verlagerung in eine vollständig kontrollierte Betriebsumgebung (On-Premises) muss jederzeit möglich sein.
3.2 Aufsichtsrechtliche Anforderungen (insb. BAS)
- Das Bundesamt für Soziale Sicherung (BAS) kann im Rahmen seiner Aufsicht konkrete Anforderungen an die Datenverarbeitung und IT-Betriebsmodelle stellen.
- Diese können eine Änderung oder Einschränkung des Cloud-Betriebs notwendig machen.
- Der Auftraggeber muss in der Lage sein, solchen Vorgaben ohne Systemwechsel nachzukommen.
3.3 KRITIS- und IT-Sicherheitsanforderungen
- Als KRITIS-Betreiber unterliegt der Auftraggeber dynamischen regulatorischen Anforderungen (z. B. BSI-Gesetz, IT-Sicherheitskataloge).
- Sicherheitslagen können sich kurzfristig ändern (z. B. neue Angriffsszenarien, Schwachstellen, geopolitische Risiken).
- Eine Migration in eine isolierte, vollständig kontrollierte Infrastruktur kann erforderlich werden.
3.4 Geopolitische und datenhoheitsbezogene Risiken
- Internationale Konfliktlagen, Sanktionen oder Änderungen bei Drittstaatentransfers können die Nutzung bestimmter Cloud-Infrastrukturen einschränken oder unzulässig machen.
- Der Auftraggeber muss die Datenhoheit jederzeit vollständig sicherstellen können.
3.5 Sicherstellung der Betriebs- und Investitionskontinuität
- Vermeidung eines vendor lock-in bei ausschließlich cloudbasierten Lösungen.
- Vermeidung kostenintensiver Neuvergaben oder Systemwechsel bei regulatorischen Änderungen.
- Sicherstellung eines unterbrechungsfreien Betriebs über die gesamte Vertragslaufzeit.
3.6 Technische und organisatorische Integrationsanforderungen
- Integration in bestehende KRITIS-relevante Systemlandschaften kann On-Premises-Komponenten erfordern.
- Gleichzeitig kann SaaS insbesondere in Einführungs-, Skalierungs- oder Redundanzszenarien Vorteile bieten.
4. Vergaberechtliche Einordnung der Anforderung
Die Anforderung an beide Betriebsmodelle ist:
- Auftragsbezogen, da sie unmittelbar der sicheren und rechtskonformen Leistungserbringung dient
- Nicht-diskriminierend, da sie technologieoffen formuliert ist und keine spezifischen Anbieter bevorzugt
- Verhältnismäßig, da mildere Mittel (z. B. spätere Migration oder parallele Beschaffung) mit erheblichen Risiken und Mehrkosten verbunden wären
- Wettbewerbserhaltend, da bewusst ein offenes Verfahren gewählt wurde und somit alle geeigneten Anbieter Zugang zum Verfahren haben
5. Begründung der Kombination aus EVB-IT Cloud und On-Premises-Option
Die Wahl eines EVB-IT Cloud Vertrags mit integrierter On-Premises-Option stellt sicher, dass:
- der initiale Betrieb flexibel als SaaS erfolgen kann,
- gleichzeitig eine rechtssichere und vertraglich abgesicherte Exit- bzw. Migrationsstrategie besteht,
- keine erneute Ausschreibung im Falle eines notwendigen Modellwechsels erforderlich wird.
Dies dient insbesondere dem Grundsatz der Wirtschaftlichkeit (§ 97 Abs. 1 GWB) sowie der Sicherstellung eines kontinuierlichen und rechtskonformen Betriebs.
6. Verhältnismäßigkeit und bewusste Öffnung des Wettbewerbs
Der Auftraggeber hat sich bewusst gegen ein eingeschränktes Verfahren entschieden und ein offenes Verfahren gewählt, um den Wettbewerb nicht zusätzlich zu begrenzen.
Die verbleibende Einschränkung (Fähigkeit zu beiden Betriebsmodellen) ist sachlich zwingend und stellt die geringstmögliche Einschränkung dar, um die oben genannten Anforderungen zu erfüllen.
7. Ergebnis
Die Festlegung, dass nur solche Angebote berücksichtigt werden, die sowohl SaaS- als auch On-Premises-Betrieb ermöglichen, ist aufgrund der besonderen Anforderungen aus SGB V, KRITIS-Regulierung, Aufsichtspraxis sowie IT-Sicherheits- und geopolitischen Risiken vergaberechtlich gerechtfertigt.
Sie ist geeignet, erforderlich und angemessen und steht im Einklang mit den Grundsätzen des Wettbewerbs, der Gleichbehandlung und der Transparenz.