Aachen
Ahaus
Ahlen
Aldenhoven
Alfter
Alpen
Alsdorf
Altena
Altenbeken
Altenberge
Anröchte
Arnsberg
Ascheberg
Attendorn
Augustdorf
Bad Berleburg
Bad Driburg
Bad Honnef
Bad Laasphe
Bad Lippspringe
Bad Münstereifel
Bad Oeynhausen
Bad Salzuflen
Bad Sassendorf
Bad Wünnenberg
Baesweiler
Balve
Barntrup
Beckum
Bedburg
Bedburg-Hau
Beelen
Bergheim
Bergisch Gladbach
Bergkamen
Bergneustadt
Bestwig
Beverungen
Bielefeld
Billerbeck
Blankenheim (Ahr)
Blomberg
Bocholt
Bochum
Bönen
Bonn
Borchen
Borgentreich
Borgholzhausen
Borken
Bornheim
Bottrop
Brakel
Breckerfeld
Brilon
Brüggen
Brühl
Bünde
Burbach
Büren
Burscheid
Castrop-Rauxel
Coesfeld
Dahlem
Datteln
Delbrück
Detmold
Dinslaken
Dörentrup-Bega
Dormagen
Dorsten
Dortmund
Drensteinfurt
Drolshagen
Duisburg
Dülmen
Düren
Düsseldorf
Eitorf
Elsdorf
Emmerich am Rhein
Emsdetten
Engelskirchen
Enger
Ennepetal
Ennigerloh
Ense
Erftstadt
Erkelenz
Erkrath
Erndtebrück
Erwitte
Eschweiler
Eslohe
Espelkamp
Essen
Euskirchen
Everswinkel
Extertal
Finnentrop
Frechen
Freudenberg (Siegerland)
Fröndenberg
Gangelt
Geilenkirchen
Geldern
Gelsenkirchen
Gescher
Geseke
Gevelsberg
Gladbeck
Goch
Grefrath
Greven
Grevenbroich
Gronau
Gummersbach
Gütersloh
Haan
Hagen
Halle (Westf.)
Hallenberg
Haltern am See
Halver
Hamm
Hamminkeln
Harsewinkel
Hattingen
Havixbeck
Heiden
Heiligenhaus
Heinsberg
Hellenthal
Hemer
Hennef
Herdecke
Herford
Herne
Herscheid
Herten
Herzebrock-Clarholz
Herzogenrath
Hiddenhausen
Hilchenbach
Hilden
Hille
Holzwickede
Hopsten
Horn-Bad Meinberg
Hörstel
Horstmar
Hövelhof
Höxter
Hückelhoven
Hückeswagen
Hüllhorst
Hünxe
Hürtgenwald
Hürth
Ibbenbüren
Inden
Iserlohn
Isselburg
Issum
Jüchen
Jülich
Kaarst
Kalkar
Kall
Kalletal
Kamen
Kamp-Lintfort
Kempen
Kerken
Kerpen
Kevelaer
Kierspe
Kirchhundem
Kirchlengern
Kleve
Köln
Königswinter
Korschenbroich
Kranenburg
Krefeld
Kreutzal
Kreuzau
Kreuztal
Kürten
Ladbergen
Laer
Lage
Langenfeld
Langerwehe
Legden
Leichlingen
Lemgo
Lengerich
Lennestadt
Leopoldshöhe
Leverkusen
Lichtenau
Lienen
Lindlar
Linnich
Lippetal
Lippstadt
Lohmar
Löhne
Lotte
Lübbecke
Lüdenscheid
Lüdinghausen
Lügde
Lünen
Marienheide
Marl
Marsberg
Mechernich
Meckenheim
Medebach
Meerbusch
Meinerzhagen
Menden (Sauerland)
Merzenich
Meschede
Metelen
Mettingen
Mettmann
Minden
Moers
Möhnesee
Mönchengladbach
Monheim am Rhein
Monschau
Morsbach
Much
Mülheim an der Ruhr
Münster
Nachrodt-Wiblingwerde
Netphen
Nettersheim
Nettetal
Neuenkirchen (Kreis Steinfurt)
Neuenrade
Neukirchen-Vluyn
Neunkirchen
Neunkirchen-Seelscheid
Neuss
Nideggen
Niederkassel
Niederkrüchten
Niederzier
Nieheim
Nordkirchen
Nordwalde
Nörvenich
Nottuln
Nümbrecht
Oberhausen
Ochtrup
Odenthal
Oelde
Oer Erkenschwick
Oerlinghausen
Olfen
Olpe
Olsberg
Overath
Paderborn
Petershagen
Plettenberg
Porta Westfalica
Preußisch Oldendorf
Pulheim
Radevormwald
Raesfeld
Rahden
Ratingen
Recke
Recklinghausen
Rees
Reichshof
Remscheid
Rheda-Wiedenbrück
Rhede
Rheinbach
Rheinberg
Rheine
Rheurdt
Rietberg
Rödinghausen
Rommerskirchen
Rosendahl
Rösrath
Ruppichteroth
Rüthen
Saerbeck
Salzkotten
Sankt Augustin
Schalksmühle
Schermbeck
Schieder-Schwalenberg
Schlangen
Schleiden
Schloß Holte-Stukenbrock
Schmallenberg
Schöppingen
Schwalmtal
Schwelm
Schwerte
Selfkant
Selm
Senden
Sendenhorst
Siegburg
Siegen
Simmerath
Soest
Solingen
Sonsbeck
Spenge
Sprockhövel
Stadtlohn
Steinfurt
Steinhagen
Steinheim
Stemwede
Stolberg
Straelen
Südlohn
Sundern
Swisttal
Tecklenburg
Telgte
Titz
Tönisvorst
Troisdorf
Übach-Palenberg
Uedem
Unna
Velbert
Velen
Verl
Versmold
Vettweiß
Viersen
Vlotho
Voerde
Vreden
Wachtberg
Wachtendonk
Wadersloh
Waldbröl
Waltrop
Warburg
Warendorf
Warstein
Wassenberg
Weeze
Wegberg
Weilerswist
Welver
Wenden
Werdohl
Werl
Wermelskirchen
Werne
Werther (Westf.)
Wesel
Wesseling
Westerkappeln
Westheim
Wetter (Ruhr)
Wettringen
Wickede (Ruhr)
Wiehl
Willebadessen
Willich
Wilnsdorf
Windeck
Winterberg
Wipperfürth
Witten
Wülfrath
Wuppertal
Würselen
Xanten
Zülpich

Deutschland – Entwicklung von Datenbanksoftware – Interoperabler Ticket- und Tokenspeicher & SDK für Tokenisierung

228926-2026 - Wettbewerb
Deutschland – Entwicklung von Datenbanksoftware – Interoperabler Ticket- und Tokenspeicher & SDK für Tokenisierung
OJ S 65/2026 02/04/2026
Auftrags- oder Konzessionsbekanntmachung – Standardregelung
Dienstleistungen

1. Beschaffer

1.1.
Beschaffer
Offizielle Bezeichnung: VDV eTicket Service GmbH & Co. KG
Rechtsform des Erwerbers: Öffentliches Unternehmen
Tätigkeit des öffentlichen Auftraggebers: Wirtschaftliche Angelegenheiten

2. Verfahren

2.1.
Verfahren
Titel: Interoperabler Ticket- und Tokenspeicher & SDK für Tokenisierung
Beschreibung: VDV eTicket Service (VDV-ETS) ist für den deutschen ÖPV-Standard "(((eTicket Deutschland" verantwortlich. Dieser stellt die technische und organisatorische Plattform für den Betrieb von einem interoperablen elektronischen Ticketing im öffentlichen Personenverkehr in Deutschland dar. Neben der Erstellung und Herausgabe des technischen Standards, der Aufstellung von organisatorischen Regeln für Teilnehmer und der Prüfung von eingesetzten Komponenten betreibt VDV-ETS auch zentrale Infrastrukturen für die an (((eTicket-Deutschland teilnehmenden Verkehrsunternehmen und -verbünde. Teile der deutschen ÖPNV-Branche haben das Ziel, den bargeldlosen Verkauf in Fahrzeugen umzusetzen. Erste Umsetzungsprojekte sind bereits in Planung, bzw. Umsetzung. Für diese ABT/ID-Based Ticketing Lösungen und die eng verzahnten ÖV-Netze insbesondere in NRW ist ein interoperabler Ticket- und Tokenspeicher erforderlich, um überregionale Tickets kontrollieren zu können. Im Interesse des Landesverkehrsministeriums NRW und im Sinne einer langfristig effizienten Umsetzung, soll ein gemeinsam genutztes System entstehen, dass in der Lage ist, mittelfristig Ticketdaten und Tickets speichern zu können. Um die deutschen Verkehrsunternehmen zu unterstützen, bank- und kreditkartenbasierte Vertriebstechnologien zu nutzen, muss sichergestellt werden, dass für die Kontrolle relevante Komponenten für alle Beteiligten zugänglich sind. In dieser Prozesskette ist der interoperable Ticket- und Tokenspeicher das Schlüsselsystem, das den hergestellten Bezug in Form eines Pseudonyms (z.B. kryptographischer Hash) zwischen Bank- bzw. Kreditkarte und Tarifprodukt speichert und den angeschlossenen Verkehrsunternehmen auf Anfrage bereitstellt. Für einen öffentlichen Personenverkehr über Stadt- oder Verbundgrenzen hinaus muss dieser Speicher interoperabel, hochverfügbar, standardisiert und diskriminierungsfrei eingerichtet sein. Für eine langfristig effiziente branchenweite Anwendung wird das System im Zielzustand sowohl bei Kauf per Bank- oder Kreditkarte entstehende als auch andere standardisierte Ticketdaten speichern und für die Kontrolle zu Verfügung stellen.
Kennung des Verfahrens: 67303bfe-274a-4ef5-a4c4-c208019457cd
Vorherige Bekanntmachung: 90669-2026
Interne Kennung: 2601
Verfahrensart: Verhandlungsverfahren mit vorheriger Veröffentlichung eines Aufrufs zum Wettbewerb/Verhandlungsverfahren
Das Verfahren wird beschleunigt: nein
Zentrale Elemente des Verfahrens: Der Auftrag wird im Verhandlungsverfahren mit Teilnahmewettbewerb auf Grundlage des Vierten Teils des GWB sowie der Vergabeverordnung (VgV) vergeben. Das Vergabeverfahren ist mehrstufig. In einer ersten Stufe müssen die interessierten Unternehmen im sog. Teilnahmewettbewerb ihre Eignung darlegen. Diejenigen Unternehmen, die zu der zweiten Stufe eingeladen werden, haben die Möglichkeit, ein Angebot einzureichen, über das dann verhandelt werden kann, sog. "Angebotsverfahren" oder auch "Bieterwettbewerb". Der Auftraggeber hat die Möglichkeit, den Zuschlag bereits auf die Erstangebote zu erteilen oder über diese zu verhandeln; d.h. Erstangebote sind bereits verbindlich und als zuschlagsfähige Angebote auszugestalten.
2.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72212610 Entwicklung von Datenbanksoftware
2.1.2.
Erfüllungsort
Land, Gliederung (NUTS): Köln, Kreisfreie Stadt (DEA23)
Land: Deutschland
2.1.4.
Allgemeine Informationen
Zusätzliche Informationen: #Bekanntmachungs-ID: CXP4DZ0M0LW#
Rechtsgrundlage:
Richtlinie 2014/24/EU
vgv -
2.1.5.
Bedingungen für die Auftragsvergabe
Bedingungen für die Einreichung:
Höchstzahl der Lose, für die ein Bieter Angebote einreichen kann: 2
Auftragsbedingungen:
Höchstzahl der Lose, für die Aufträge an einen Bieter vergeben werden können: 2
2.1.6.
Ausschlussgründe
Quellen der Ausschlussgründe: Auftragsunterlagen

5. Los

5.1.
Los: LOT-0001
Titel: Interoperabler Ticket- und Tokenspeicher
Beschreibung: Der interoperable Ticket- und Tokenspeicher speichert Tickets und pseudonymisierte Token, die von Customer Contract Partners (CCP) ausgegeben werden. Die verwendeten Tokens werden bei der Anlieferung nach einem gesondert spezifizieren Verfahren erstellt. Die pseudonymisierten Tokens werde für die Identifizierung der Tickets und in einem späteren Ausbau der Nutzermedien verwendet. Die Tickets werden über eine spezifizierte Schnittstelle angeliefert and können von Service Operators (SO) abgerufen werden. Im Ticket- und Tokenspeicher werden in definierten Intervallen Reports generiert und den anliefernden CCP zur Verfügung gestellt. Der Ticket- und Tokenspeicher enthält auch eine Nutzerverwaltung für die anliefernden CCP und abrufenden SO. Die Identifizierung und Authentifizierung erfolgt über die bestehenden Sicherheitsmechanismen des eTicket-Deutschland-Schemes. Das bedeutet, dass der Ticket- und Tokenspeicher eine Schlüsselverwaltung beinhalten muss. Dem Realisierer wird eine bereits spezifizierte Schnittstellenbeschreibung zur Verfügung gestellt, die entsprechend den Vorgaben umgesetzt werden muss. Beim interoperablen Ticket- und Tokenspeicher handelt es sich um eine hochverfügbare Datenbankanwendung, die so gestaltet werden muss, dass sie im späteren Betrieb, hochperformant und hochverfügbar umgesetzt werden muss. Des Weiteren muss im Ticket- und Tokenspeicher ein Reporting-, Auditing- und Monitoring-Funktionalität umgesetzt werden. Es ist eine umfangreiche Backup- und Archivierungsfunktionalität vorzusehen. Es muss ein Frontend für die Nutzerverwaltung, das Reporting, das Monitoring, das Auditing und die Verwaltung von Schüsseln vorgesehen werden. Das Hosting muss die Hochverfügbarkeit und Hochsicherheit entsprechend der SLAs garantieren und eine einfache Redundanz sicherstellen. Das redundante System muss in einem separaten Rechenzentrum gehostet und betrieben werden, um eine krisensichere Ausfallsicherheit zu gewährleisten. Außerdem muss genügend Speicher für Backups, Logging und Archivierung der Daten vorgehalten werden. Den Betreibern muss ein ständiger digitaler Kommunikations- und Administrationszugang zur Verfügung gestellt werden. Das Hosting muss aus Datenschutzgründen in Europa erfolgen und den Anforderungen der DSVGO genügen. Hoster mit nur einem Hop entfernt vom nächsten nationalen zentralen Zugangsknoten zum Internet können bevorzugt werden.
Interne Kennung: 1
5.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72212610 Entwicklung von Datenbanksoftware
Zusätzliche Einstufung (cpv): 72500000 Datenverarbeitungsdienste
5.1.2.
Erfüllungsort
Land, Gliederung (NUTS): Köln, Kreisfreie Stadt (DEA23)
Land: Deutschland
5.1.3.
Geschätzte Dauer
Laufzeit: 3 Jahre
5.1.6.
Allgemeine Informationen
Vorbehaltene Teilnahme:
Teilnahme ist nicht vorbehalten.
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: nein
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet: nein
Informationen über frühere Bekanntmachungen:
Kennung der vorherigen Bekanntmachung: 90669-2026
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.9.
Eignungskriterien
Quellen der Auswahlkriterien: Bekanntmachung
Kriterium: Referenzen zu bestimmten Dienstleistungen
Beschreibung des Auswahlkriteriums: Es sind geeignete Referenzen innerhalb der letzten drei Jahre (maßgeblich ist der Projektabschluss, Stichtag ist das Ende der Teilnahmefrist) unter Angabe des Auftragsgegenstandes, des Kunden, des Auftragsvolumens und des Zeitraums einzureichen, welche die untenstehenden Mindestanforderungen erfüllen. Eine Referenz kann auch mehrere der nachfolgenden Mindestanforderungen abdecken. Mindestanforderungen: Für Los 1: - Es sind mindestens zwei (2) geeignete Referenzprojekte einzureichen. Geeignete Referenzprojekte haben die Entwicklung von hochverfügbaren (d.h. Verfügbarkeit von mindestens 99,0%/Monat) Datenbankanwendungen zum Gegenstand und weisen eine erbrachte Laufzeit von mindestens 5 Jahren, sowie ein Auftragsvolumen von mindestens 200.000 EUR (netto) pro Jahr auf. - In mindestens einem geeigneten Referenzprojekt wurde die Datenbankanwendung vom Bieter gehostet. - In mindestens einem geeigneten Referenzprojekt wurde das Frontend für die Nutzerverwaltung, das Reporting, das Monitoring, das Auditing und die Verwaltung von Schüsseln programmiert. Für Los 2: - Es sind mindestens zwei (2) geeignete Referenzprojekte einzureichen. Geeignete Referenzprojekte haben die Entwicklung von Software Development Kits für Windows Server, Linux, Android oder IOS zum Gegenstand und weisen ein Auftragsvolumen von mindestens 300.000 EUR (netto) auf. - Mit mindestens einem geeigneten Referenzprojekt werden Erfahrungen in der Entwicklung von Anwendungen für die Finanzwirtschaft nachgewiesen - Mit mindestens einem geeigneten Referenzprojekt werden Erfahrungen in der Entwicklung von PCI-DSS zertifizierten Anwendungen nachgewiesen
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 10,00

Kriterium: Durchschnittliche jährliche Belegschaft
Beschreibung des Auswahlkriteriums: Erklärung, aus der die Beschäftigtenzahl des Unternehmens in den letzten drei Jahren insgesamt und in Bezug auf den Tätigkeitsbereich des Auftrags ersichtlich ist. Mindestanforderungen: Für Los 1: Die Anzahl der durchschnittlich im Unternehmen des Bieters beschäftigten Arbeitnehmer insgesamt muss in den letzten drei Jahren jeweils mindestens 25 Mitarbeiter betragen. Die Anzahl der durchschnittlich im Unternehmen des Bieters beschäftigten Arbeitnehmer in Bezug auf den Tätigkeitsbereich des Auftrags muss in den letzten drei Jahren jeweils mindestens 10 Mitarbeiter betragen. Für Los 2: Die Anzahl der durchschnittlich im Unternehmen des Bieters beschäftigten Arbeitnehmer insgesamt muss in den letzten drei Jahren jeweils mindestens 20 Mitarbeiter betragen. Die Anzahl der durchschnittlich im Unternehmen des Bieters beschäftigten Arbeitnehmer n Bezug auf den Tätigkeitsbereich des Auftrags muss in den letzten drei Jahren jeweils mindestens 10 Mitarbeiter betragen.

Kriterium: Informationssicherheit
Beschreibung des Auswahlkriteriums: Nachweis eines Informationssicherheitsmanagementsystems nach DIN ISO 27001 oder gleichwertig durch Vorlage einer gültigen Zertifizierung. Sollte die Zertifizierung eines gleichwertigen Informationssicherheitsmanagementsystems vorgelegt werden, hat der Bewerber dessen Gleichwertigkeit mit dem Teilnahmeantrag darzulegen.

Kriterium: Zertifikate von unabhängigen Stellen über Qualitätssicherungsstandards
Beschreibung des Auswahlkriteriums: Nachweis eines Qualitätsmanagementsystems nach DIN ISO 9001 oder gleichwertig durch Vorlage einer gültigen Zertifizierung. Sollte die Zertifizierung eines gleichwertigen Qualitätsmanagementsystems vorgelegt werden, hat der Bewerber dessen Gleichwertigkeit mit dem Teilnahmeantrag darzulegen.

Kriterium: Eintragung in das Handelsregister
Beschreibung des Auswahlkriteriums: Nachweis der Eintragung in einem Berufs- oder Handelsregister oder vergleichbares Register (Auszug in Kopie beizufügen; nicht älter als 6 Monate bei Abgabe des Teilnahmeantrags).

Kriterium: Berufliche Risikohaftpflichtversicherung
Beschreibung des Auswahlkriteriums: Erklärung darüber, dass der Bewerber spätestens bei Beginn der Leistung über eine marktübliche Berufs-/Betriebshaftpflichtversicherung unter Angabe der Deckungssummen verfügt. Mindestanforderungen für beide Lose: Die Deckungssummen dieser Versicherung müssen je Schadensfall für Personen- und Sachschäden sowie Vermögensschäden mindestens betragen: 2.500.000 EUR.
Informationen über die zweite Phase eines zweiphasigen Verfahrens:
Mindestzahl der zur zweiten Phase des Verfahrens einzuladenden Bewerber: 5
Höchstzahl der zur zweiten Phase des Verfahrens einzuladenden Bewerber: 5
Das Verfahren wird in mehreren aufeinanderfolgenden Phasen durchgeführt. In jeder Phase können einige Teilnehmer ausgeschlossen werden
Der Erwerber behält sich das Recht vor, den Auftrag aufgrund der ursprünglichen Angebote ohne weitere Verhandlungen zu vergeben
5.1.10.
Zuschlagskriterien
Kriterium:
Art: Preis
Beschreibung: Wirtschaftlich günstigstes Angebot über einen bestimmten Zeitraum
Kategorie des Gewicht-Zuschlagskriteriums: Rangfolge
Zuschlagskriterium — Zahl: 1
5.1.11.
Auftragsunterlagen
Sprachen, in denen die Auftragsunterlagen offiziell verfügbar sind: Deutsch
Frist für die Anforderung zusätzlicher Informationen: 24/04/2026 23:59:59 (UTC+02:00) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Internetadresse der Auftragsunterlagen: https://www.dtvp.de/Satellite/notice/CXP4DZ0M0LW/documents
Ad-hoc-Kommunikationskanal:
5.1.12.
Bedingungen für die Auftragsvergabe
Verfahrensbedingungen:
Voraussichtliches Datum der Absendung der Aufforderungen zur Angebotseinreichung: 08/05/2026
Bedingungen für die Einreichung:
Elektronische Einreichung: Erforderlich
Adresse für die Einreichung: https://www.dtvp.de/Satellite/notice/CXP4DZ0M0LW
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch
Elektronischer Katalog: Nicht zulässig
Varianten: Nicht zulässig
Die Bieter können mehrere Angebote einreichen: Nicht zulässig
Frist für den Eingang der Teilnahmeanträge: 06/05/2026 12:00:00 (UTC+02:00) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können:
Nach Ermessen des Käufers können alle fehlenden Bieterunterlagen nach Fristablauf nachgereicht werden.
Zusätzliche Informationen: Nachforderungen gem. § 56 VgV
Auftragsbedingungen:
Die Auftragsausführung muss im Rahmen von Programmen für geschützte Beschäftigungsverhältnisse erfolgen: Nein
Elektronische Rechnungsstellung: Erforderlich
Aufträge werden elektronisch erteilt: nein
Zahlungen werden elektronisch geleistet: ja
5.1.15.
Techniken
Rahmenvereinbarung:
Keine Rahmenvereinbarung
Informationen über das dynamische Beschaffungssystem:
Kein dynamisches Beschaffungssystem
Elektronische Auktion: nein
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammer Rheinland
Informationen über die Überprüfungsfristen: Ein Nachprüfungsantrag ist unzulässig, soweit mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind (§ 160 Abs. 3 Satz 1 Nr. 4 GWB). Ein Nachprüfungsantrag ist zudem unzulässig, wenn der Zuschlag erfolgt ist, bevor die Vergabekammer der Auftraggeber über den Antrag auf Nachprüfung informiert hat (§§ 168 Abs. 2 Satz 1, 169 Abs. 1 GWB). Die Zuschlagserteilung erfolgt 10 Kalendertage nach Absendung der beabsichtigten Zuschlagserteilung an die unterlegenen Bieter gem. § 134 Abs. 2 GWB. Die Frist beginnt am Tag nach der Absendung der Information durch den Auftraggeber; auf den Tag des Zugangs beim betroffenen Bieter kommt es nicht an. Die Zulässigkeit eines Nachprüfungsantrags setzt ferner voraus, dass die geltend gemachten Vergabeverstöße 10 Kalendertage nach Kenntnis gegenüber dem Auftraggeber gerügt wurden (§ 160 Abs. 3 Satz 1 Nr. 1 GWB). Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, müssen spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden (§ 160 Abs. 3 Satz 1 Nr. 2 GWB). Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, müssen spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden (§ 160 Abs. 3 Satz 1 Nr. 3 GWB). Auf die prozessualen Vorschriften der §§ 160 ff. GWB wird außerdem hingewiesen. Die Unwirksamkeit eines Verstoßes gegen § 134 GWB kann gemäß § 135 Abs. 2 S. 1 GWB i.V.m. § 135 Abs. 1 Nr. 1 GWB nur festgestellt werden, wenn sie im Nachprüfungsverfahren innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch den Auftraggeber über den Abschluss des Vertrags, jedoch nicht später als 6 Monate nach Vertragsschluss geltend gemacht worden ist. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der Europäischen Union.
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: VDV eTicket Service GmbH & Co. KG
Organisation, die Teilnahmeanträge entgegennimmt: VDV eTicket Service GmbH & Co. KG
5.1.
Los: LOT-0002
Titel: Software Development Kit
Beschreibung: Das Software Development Kit (SDK) für die Tokenisierung von Kreditkarteninformationen (inkl. Wallets) muss nach dem vorgegebenen Verfahren von VDV-ETS umgesetzt werden. Mittels dieses SDKs werden auf der Basis von bestimmten Kreditkarteninformationen pseudonymisierte Token erzeugt. Das SDK stellt Funktionen für die Pseudonymisierung von bestimmten Kreditkarteninformationen und die gesicherte Übertragung der verarbeiteten Informationen mit einem aufrufenden Framework oder einer anderen Anwendung bereit. Die entsprechenden Algorithmen werden von VDV-ETS vorgegeben. Außerdem muss das SDK in der Lage sein, die öffentlichen Schlüssel von Kreditkarten einzulesen und entsprechend der Vorgaben aus der Norm ISO 24851 zu pseudonymisieren. Das jeweilige Verfahren muss über einen Parameter eingestellt werden können. Das SDK muss für die Betriebssysteme Windows Server, Linux, Android und IOS bereitgestellt werden.
Interne Kennung: 2
5.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72212730 Entwicklung von Sicherheitssoftware
5.1.2.
Erfüllungsort
Land, Gliederung (NUTS): Köln, Kreisfreie Stadt (DEA23)
Land: Deutschland
5.1.3.
Geschätzte Dauer
Laufzeit: 3 Jahre
5.1.6.
Allgemeine Informationen
Vorbehaltene Teilnahme:
Teilnahme ist nicht vorbehalten.
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: nein
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet: nein
Informationen über frühere Bekanntmachungen:
Kennung der vorherigen Bekanntmachung: 90669-2026
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.9.
Eignungskriterien
Quellen der Auswahlkriterien: Bekanntmachung
Kriterium: Referenzen zu bestimmten Dienstleistungen
Beschreibung des Auswahlkriteriums: Es sind geeignete Referenzen innerhalb der letzten drei Jahre (maßgeblich ist der Projektabschluss, Stichtag ist das Ende der Teilnahmefrist) unter Angabe des Auftragsgegenstandes, des Kunden, des Auftragsvolumens und des Zeitraums einzureichen, welche die untenstehenden Mindestanforderungen erfüllen. Eine Referenz kann auch mehrere der nachfolgenden Mindestanforderungen abdecken. Mindestanforderungen: Für Los 1: - Es sind mindestens zwei (2) geeignete Referenzprojekte einzureichen. Geeignete Referenzprojekte haben die Entwicklung von hochverfügbaren (d.h. Verfügbarkeit von mindestens 99,0%/Monat) Datenbankanwendungen zum Gegenstand und weisen eine erbrachte Laufzeit von mindestens 5 Jahren, sowie ein Auftragsvolumen von mindestens 200.000 EUR (netto) pro Jahr auf. - In mindestens einem geeigneten Referenzprojekt wurde die Datenbankanwendung vom Bieter gehostet. - In mindestens einem geeigneten Referenzprojekt wurde das Frontend für die Nutzerverwaltung, das Reporting, das Monitoring, das Auditing und die Verwaltung von Schüsseln programmiert. Für Los 2: - Es sind mindestens zwei (2) geeignete Referenzprojekte einzureichen. Geeignete Referenzprojekte haben die Entwicklung von Software Development Kits für Windows Server, Linux, Android oder IOS zum Gegenstand und weisen ein Auftragsvolumen von mindestens 300.000 EUR (netto) auf. - Mit mindestens einem geeigneten Referenzprojekt werden Erfahrungen in der Entwicklung von Anwendungen für die Finanzwirtschaft nachgewiesen - Mit mindestens einem geeigneten Referenzprojekt werden Erfahrungen in der Entwicklung von PCI-DSS zertifizierten Anwendungen nachgewiesen
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 10,00

Kriterium: Durchschnittliche jährliche Belegschaft
Beschreibung des Auswahlkriteriums: Erklärung, aus der die Beschäftigtenzahl des Unternehmens in den letzten drei Jahren insgesamt und in Bezug auf den Tätigkeitsbereich des Auftrags ersichtlich ist. Mindestanforderungen: Für Los 1: Die Anzahl der durchschnittlich im Unternehmen des Bieters beschäftigten Arbeitnehmer insgesamt muss in den letzten drei Jahren jeweils mindestens 25 Mitarbeiter betragen. Die Anzahl der durchschnittlich im Unternehmen des Bieters beschäftigten Arbeitnehmer in Bezug auf den Tätigkeitsbereich des Auftrags muss in den letzten drei Jahren jeweils mindestens 10 Mitarbeiter betragen. Für Los 2: Die Anzahl der durchschnittlich im Unternehmen des Bieters beschäftigten Arbeitnehmer insgesamt muss in den letzten drei Jahren jeweils mindestens 20 Mitarbeiter betragen. Die Anzahl der durchschnittlich im Unternehmen des Bieters beschäftigten Arbeitnehmer n Bezug auf den Tätigkeitsbereich des Auftrags muss in den letzten drei Jahren jeweils mindestens 10 Mitarbeiter betragen.

Kriterium: Informationssicherheit
Beschreibung des Auswahlkriteriums: Nachweis eines Informationssicherheitsmanagementsystems nach DIN ISO 27001 oder gleichwertig durch Vorlage einer gültigen Zertifizierung. Sollte die Zertifizierung eines gleichwertigen Informationssicherheitsmanagementsystems vorgelegt werden, hat der Bewerber dessen Gleichwertigkeit mit dem Teilnahmeantrag darzulegen.

Kriterium: Zertifikate von unabhängigen Stellen über Qualitätssicherungsstandards
Beschreibung des Auswahlkriteriums: Nachweis eines Qualitätsmanagementsystems nach DIN ISO 9001 oder gleichwertig durch Vorlage einer gültigen Zertifizierung. Sollte die Zertifizierung eines gleichwertigen Qualitätsmanagementsystems vorgelegt werden, hat der Bewerber dessen Gleichwertigkeit mit dem Teilnahmeantrag darzulegen.

Kriterium: Eintragung in das Handelsregister
Beschreibung des Auswahlkriteriums: Nachweis der Eintragung in einem Berufs- oder Handelsregister oder vergleichbares Register (Auszug in Kopie beizufügen; nicht älter als 6 Monate bei Abgabe des Teilnahmeantrags).

Kriterium: Berufliche Risikohaftpflichtversicherung
Beschreibung des Auswahlkriteriums: Erklärung darüber, dass der Bewerber spätestens bei Beginn der Leistung über eine marktübliche Berufs-/Betriebshaftpflichtversicherung unter Angabe der Deckungssummen verfügt. Mindestanforderungen für beide Lose: Die Deckungssummen dieser Versicherung müssen je Schadensfall für Personen- und Sachschäden sowie Vermögensschäden mindestens betragen: 2.500.000 EUR.
Informationen über die zweite Phase eines zweiphasigen Verfahrens:
Mindestzahl der zur zweiten Phase des Verfahrens einzuladenden Bewerber: 5
Höchstzahl der zur zweiten Phase des Verfahrens einzuladenden Bewerber: 5
Das Verfahren wird in mehreren aufeinanderfolgenden Phasen durchgeführt. In jeder Phase können einige Teilnehmer ausgeschlossen werden
Der Erwerber behält sich das Recht vor, den Auftrag aufgrund der ursprünglichen Angebote ohne weitere Verhandlungen zu vergeben
5.1.10.
Zuschlagskriterien
Kriterium:
Art: Preis
Beschreibung: Wirtschaftlich günstigstes Angebot über einen bestimmten Zeitraum
Kategorie des Gewicht-Zuschlagskriteriums: Rangfolge
Zuschlagskriterium — Zahl: 1
5.1.11.
Auftragsunterlagen
Sprachen, in denen die Auftragsunterlagen offiziell verfügbar sind: Deutsch
Frist für die Anforderung zusätzlicher Informationen: 24/04/2026 23:59:59 (UTC+02:00) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Internetadresse der Auftragsunterlagen: https://www.dtvp.de/Satellite/notice/CXP4DZ0M0LW/documents
Ad-hoc-Kommunikationskanal:
5.1.12.
Bedingungen für die Auftragsvergabe
Verfahrensbedingungen:
Voraussichtliches Datum der Absendung der Aufforderungen zur Angebotseinreichung: 08/05/2026
Bedingungen für die Einreichung:
Elektronische Einreichung: Erforderlich
Adresse für die Einreichung: https://www.dtvp.de/Satellite/notice/CXP4DZ0M0LW
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch
Elektronischer Katalog: Nicht zulässig
Varianten: Nicht zulässig
Die Bieter können mehrere Angebote einreichen: Nicht zulässig
Frist für den Eingang der Teilnahmeanträge: 06/05/2026 12:00:00 (UTC+02:00) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können:
Nach Ermessen des Käufers können alle fehlenden Bieterunterlagen nach Fristablauf nachgereicht werden.
Zusätzliche Informationen: Nachforderungen gem. § 56 VgV
Auftragsbedingungen:
Die Auftragsausführung muss im Rahmen von Programmen für geschützte Beschäftigungsverhältnisse erfolgen: Nein
Elektronische Rechnungsstellung: Erforderlich
Aufträge werden elektronisch erteilt: nein
Zahlungen werden elektronisch geleistet: ja
5.1.15.
Techniken
Rahmenvereinbarung:
Keine Rahmenvereinbarung
Informationen über das dynamische Beschaffungssystem:
Kein dynamisches Beschaffungssystem
Elektronische Auktion: nein
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammer Rheinland
Informationen über die Überprüfungsfristen: Ein Nachprüfungsantrag ist unzulässig, soweit mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind (§ 160 Abs. 3 Satz 1 Nr. 4 GWB). Ein Nachprüfungsantrag ist zudem unzulässig, wenn der Zuschlag erfolgt ist, bevor die Vergabekammer der Auftraggeber über den Antrag auf Nachprüfung informiert hat (§§ 168 Abs. 2 Satz 1, 169 Abs. 1 GWB). Die Zuschlagserteilung erfolgt 10 Kalendertage nach Absendung der beabsichtigten Zuschlagserteilung an die unterlegenen Bieter gem. § 134 Abs. 2 GWB. Die Frist beginnt am Tag nach der Absendung der Information durch den Auftraggeber; auf den Tag des Zugangs beim betroffenen Bieter kommt es nicht an. Die Zulässigkeit eines Nachprüfungsantrags setzt ferner voraus, dass die geltend gemachten Vergabeverstöße 10 Kalendertage nach Kenntnis gegenüber dem Auftraggeber gerügt wurden (§ 160 Abs. 3 Satz 1 Nr. 1 GWB). Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, müssen spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden (§ 160 Abs. 3 Satz 1 Nr. 2 GWB). Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, müssen spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden (§ 160 Abs. 3 Satz 1 Nr. 3 GWB). Auf die prozessualen Vorschriften der §§ 160 ff. GWB wird außerdem hingewiesen. Die Unwirksamkeit eines Verstoßes gegen § 134 GWB kann gemäß § 135 Abs. 2 S. 1 GWB i.V.m. § 135 Abs. 1 Nr. 1 GWB nur festgestellt werden, wenn sie im Nachprüfungsverfahren innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch den Auftraggeber über den Abschluss des Vertrags, jedoch nicht später als 6 Monate nach Vertragsschluss geltend gemacht worden ist. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der Europäischen Union.
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: VDV eTicket Service GmbH & Co. KG
Organisation, die Teilnahmeanträge entgegennimmt: VDV eTicket Service GmbH & Co. KG

8. Organisationen

8.1.
ORG-0001
Offizielle Bezeichnung: VDV eTicket Service GmbH & Co. KG
Registrierungsnummer: DE 241694352
Postanschrift: Im Mediapark 8a
Stadt: Köln
Postleitzahl: 50670
Land, Gliederung (NUTS): Köln, Kreisfreie Stadt (DEA23)
Land: Deutschland
Telefon: +49 221-716174138
Rollen dieser Organisation:
Beschaffer
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
Organisation, die Teilnahmeanträge entgegennimmt
8.1.
ORG-0003
Offizielle Bezeichnung: Vergabekammer Rheinland
Registrierungsnummer: 05315-03002-81
Postanschrift: Bezirksregierung Köln
Stadt: Köln
Postleitzahl: 50606
Land, Gliederung (NUTS): Köln, Kreisfreie Stadt (DEA23)
Land: Deutschland
Internetadresse: http://www.vergabe.nrw.de
Rollen dieser Organisation:
Überprüfungsstelle
8.1.
ORG-0004
Offizielle Bezeichnung: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)
Registrierungsnummer: 0204:994-DOEVD-83
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49228996100
Rollen dieser Organisation:
TED eSender

Informationen zur Bekanntmachung

Kennung/Fassung der Bekanntmachung: 3813bf81-47ce-4c30-bbe2-c13c707ad79b - 01
Formulartyp: Wettbewerb
Art der Bekanntmachung: Auftrags- oder Konzessionsbekanntmachung – Standardregelung
Unterart der Bekanntmachung: 16
Datum der Übermittlung der Bekanntmachung: 01/04/2026 12:16:26 (UTC+02:00) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
Veröffentlichungsnummer der Bekanntmachung: 228926-2026
ABl. S – Nummer der Ausgabe: 65/2026
Datum der Veröffentlichung: 02/04/2026