Beschaffung von Beratungsdienstleistungen in Zertifizierungsverfahren für einen TSE Cloud Service

Freiwillige Ex-ante-Transparenzbekanntmachung

Dienstleistungen

Rechtsgrundlage:
Richtlinie 2014/24/EU

Abschnitt I: Öffentlicher Auftraggeber/Auftraggeber

I.1)Name und Adressen
Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Berlin
NUTS-Code: DE300 Berlin
Postleitzahl: 10969
Land: Deutschland
Kontaktstelle(n):[gelöscht]
E-Mail: [removed]
Fax: [removed]
Internet-Adresse(n):
Hauptadresse: www.bundesdruckerei.de
I.4)Art des öffentlichen Auftraggebers
Andere: GmbH
I.5)Haupttätigkeit(en)
Andere Tätigkeit: Anbieter von Produkten und Lösungen der Hochsicherheitstechnologie

Abschnitt II: Gegenstand

II.1)Umfang der Beschaffung
II.1.1)Bezeichnung des Auftrags:

Beschaffung von Beratungsdienstleistungen in Zertifizierungsverfahren für einen TSE Cloud Service

II.1.2)CPV-Code Hauptteil
79000000 Dienstleistungen für Unternehmen: Recht, Marketing, Consulting, Einstellungen, Druck und Sicherheit
II.1.3)Art des Auftrags
Dienstleistungen
II.1.4)Kurze Beschreibung:

Gegenstand des Beschaffungsvorhabens ist die Erbringung von Dienstleistungen zur Erlangung und Aufrechterhaltung der Zulassung vom Bundesamt in der Informationstechnik für eine cloudbasierte Technische Sicherheitseinrichtung (TSE), die nach definierten Standards Manipulationen an Registrierkassen verhindert.

II.1.6)Angaben zu den Losen
Aufteilung des Auftrags in Lose: nein
II.1.7)Gesamtwert der Beschaffung (ohne MwSt.)
Wert ohne MwSt.: [Betrag gelöscht] EUR
II.2)Beschreibung
II.2.3)Erfüllungsort
NUTS-Code: DE300 Berlin
Hauptort der Ausführung:

Leistungsort: 10969 Berlin

II.2.4)Beschreibung der Beschaffung:

Im Zuge der Digitalisierung von Geschäftsprozessen und dem verstärkten Einsatz elektronischer Aufzeichnungssysteme (wie elektronischer Kassensysteme und Registrierkassen) werden Geschäftsvorfälle heutzutage immer häufiger digital erfasst und aufgezeichnet. Die Kassensicherungsverordnung schreibt die Nutzung einer Technischen Sicherheitseinrichtung (im folgenden TSE genannt), die nach definierten Standards Manipulationen an Registrierkassen verhindert, verbindlich vor. Ab dem 31.3.2021 müssen in Deutschland Registrierkassen, deren Bauart es technisch zulässt, mit einer TSE ausgestattet sein. Die D-Trust bietet als derzeit einziger zugelassener Anbieter diese TSE als Cloud Lösung an.

Um die Zulassung vom Bundesamt in der Informationstechnik (im folgenden BSI genannt) initial sowie fortlaufend zu erhalten, muss die Entwicklung der dafür vorgesehenen Software die damit in Verbindung stehenden Standards erfüllen und die notwendigen Common Criteria- und TR-03153-Zertifizierungen vom BSI erhalten. Für jede Änderung ist ebenfalls ein BSI-Zertifizierungsverfahren notwendig, um die kontinuierliche Betriebszulassung zu gewährleisten.

Die zur Erreichung der Zertifizierung erforderlichen Leistungen umfassen die:

— Koordination der Prüfstellen, die Durchführung der anstehenden Maintenance-Verfahren und Re-Zertifizierungen des TSE Cloud Service zu,

— BSI-CC-PP-0105-2019 (SMAERS) (EAL2),

— BSI-CC-PP-0104-2019 (CSP) (EAL4),

— BSI-CC-PP-0111-2019 (CSP light) (EAL2+),

— BSI TR-03153 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme Version 1.0.1,

— Koordination der Zertifizierungsstelle des BSI für TR-03153 und Common Criteria für einen TSE Cloud Service,

— Steuerung der Abweichungsbehandlung aus abgeschlossenen Zertifizierungen,

— Erstellung der Testkonzept- und Testplanung für die Durchführung der anstehenden Maintenance-Verfahren und Re-Zertifizierungen für einen TSE Cloud Service,

— Schulung von internen Mitarbeitern zur Übernahme des Zertifizierungsmanagements mit eigenen Ressourcen sowie

— die Erstellung etwaiger Fachkonzepte zur Erfüllung weiterer Anforderungen.

Für die Eignung als Dienstleister zur Leistungserbringung ist nachfolgendes Anforderungsprofil erforderlich:

— Kenntnisse der allgemeinen Methodik der Zertifizierung nach Common Criteria (CC) und Technischen Richtlinien,

— Erfahrung in der Anwendung der Methodik für einen TSE Cloud Service in folgendem Fachkontext:

— BSI-CC-PP-0105-2019 (SMAERS) (EAL2),

— BSI-CC-PP-0104-2019 (CSP) (EAL4),

— BSI-CC-PP-0111-2019 (CSP light) (EAL2+),

— BSI TR-03153 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme Version 1.0.1,

— Mindestanforderungen an die Sicherheitseigenschaften der TSE Tech-nischen Richtlinie BSI TR-03153 (TS),

— Anforderungen an den Schutz der Aufzeichnungen BSI TR-03151 (Secure Element Integration API),

— BSI TR-03116 Kryptographische Vorgaben,

— TR-03145-1 (Secure Certification Authority Operation).

Die vorgenannten Kenntnisse können ausschließlich im Rahmen eines gleichwertigen Projektes nach allen benannten Standards für einen TSE Cloud Service erworben worden sein. Da derzeit allerdings keine abgeschlossenen Projekte, mit welchen das erforderliche Wissen und die Erfahrungen vermittelt werden könnte, existieren, können die notwendigen Kenntnisse nur in Verbindung mit Beratungsdienstleistungen zum „D-TRUST Web-Dienst für TSE“ beim BSI geführt unter der Verfahrensnummer BSI-K-TR-0442-2021 (BSI — Bundesamt für Sicherheit in der Informationstechnik — BSI-K-TR-0442-2021) erworben worden sein. Aus diesem Grund kommt nach Kenntnis des Auftraggebers neben dem derzeitigen Dienstleister, der konfidas GmbH, in Europa kein weiteres Unternehmen für die Leistungserbringung in Betracht.

II.2.5)Zuschlagskriterien
Preis
II.2.11)Angaben zu Optionen
Optionen: nein
II.2.13)Angaben zu Mitteln der Europäischen Union
Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein
II.2.14)Zusätzliche Angaben

Abschnitt IV: Verfahren

IV.1)Beschreibung
IV.1.1)Verfahrensart
Verhandlungsverfahren ohne vorherige Bekanntmachung
  • Die Bauleistungen/Lieferungen/Dienstleistungen können aus folgenden Gründen nur von einem bestimmten Wirtschaftsteilnehmer ausgeführt werden:
    • nicht vorhandener Wettbewerb aus technischen Gründen
Erläuterung:

Vorliegend besteht der Ausnahmetatbestand des § 14 Abs. 4 Nr. 2 lit. b) VgV, da allein das zu beauftragende Unternehmen konfidas GmbH die zur Leistungserbringung erforderlichen Kenntnisse im Bereich der Zertifizierungsleistungen für TSE-Cloud-Services besitzt. Ein anderes Unternehmen ist daher mangels entsprechender Vorerfahrungen zur Leistungserbringung nicht in der Lage. Es besteht insofern aus technischer Hinsicht kein Wettbewerb.

Auch die Voraussetzungen des § 14 Abs. 6 VgV sind erfüllt. Laut Sachverhaltsangaben gibt es kein weiteres Unternehmen, welches die erforderlichen Kenntnisse zur Leistungserbringung aufweist. Der mangelnde Wettbewerb ist nicht das Ergebnis einer künstlichen Einschränkung der Auftragsvergabeparameter, da die aufgestellten Anforderungen an die Erfahrungen und Kenntnisse des Dienstleisters aufgrund des Leistungsgegenstands objektiv erforderlich sind.

Es wird ein Verhandlungsverfahren ohne Teilnahmewettbewerb mit der konfidas GmbH durchgeführt.

IV.1.3)Angaben zur Rahmenvereinbarung
IV.1.8)Angaben zum Beschaffungsübereinkommen (GPA)
Der Auftrag fällt unter das Beschaffungsübereinkommen: ja
IV.2)Verwaltungsangaben

Abschnitt V: Auftragsvergabe/Konzessionsvergabe

V.2)Auftragsvergabe/Konzessionsvergabe
V.2.1)Tag der Zuschlagsentscheidung:
17/03/2021
V.2.2)Angaben zu den Angeboten
Der Auftrag wurde an einen Zusammenschluss aus Wirtschaftsteilnehmern vergeben: nein
V.2.3)Name und Anschrift des Auftragnehmers/Konzessionärs
Offizielle Bezeichnung:[gelöscht]
Ort: Dortmund
NUTS-Code: DEA52 Dortmund, Kreisfreie Stadt
Land: Deutschland
Der Auftragnehmer/Konzessionär wird ein KMU sein: ja
V.2.4)Angaben zum Wert des Auftrags/Loses/der Konzession (ohne MwSt.)
Gesamtwert des Auftrags/des Loses/der Konzession: [Betrag gelöscht] EUR
V.2.5)Angaben zur Vergabe von Unteraufträgen

Abschnitt VI: Weitere Angaben

VI.3)Zusätzliche Angaben:

Der Vertragsschluss ist nach Ablauf von 10 Kalendertagen gerechnet ab dem Tag nach der Veröffentlichung dieser Bekanntmachung im Amtsblatt der Europäischen Union vorgesehen.

VI.4)Rechtsbehelfsverfahren/Nachprüfungsverfahren
VI.4.1)Zuständige Stelle für Rechtsbehelfs-/Nachprüfungsverfahren
Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
Telefon: [removed]
Fax: [removed]
VI.4.3)Einlegung von Rechtsbehelfen
Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:

Der Auftraggeber weist ausdrücklich auf § 135 GWB hin.

Dort heißt es:

„(1) Ein öffentlicher Auftrag ist von Anfang an unwirksam, wenn der öffentliche Auftraggeber:

1) Gegen § 134 verstoßen hat oder

2) Den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union vergeben hat, ohne dass dies aufgrund Gesetzes gestattet ist, und dieser Verstoß in einem Nachprüfungsverfahren festgestellt worden ist;

(2) Die Unwirksamkeit nach Absatz 1 kann nur festgestellt werden, wenn sie im Nachprüfungsverfahren innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch den öffentlichen Auftraggeber über den Abschluss des Vertrags, jedoch nicht später als 6 Monate nach Vertragsschluss geltend gemacht worden ist. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der Europäischen Union;

(3) Die Unwirksamkeit nach Absatz 1 Nummer 2 tritt nicht ein, wenn:

1) Der öffentliche Auftraggeber der Ansicht ist, dass die Auftragsvergabe ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zulässig ist;

2) Der öffentliche Auftraggeber eine Bekanntmachung im Amtsblatt der Europäischen Union veröffentlicht hat, mit der er die Absicht bekundet, den Vertrag abzuschließen und

3) Der Vertrag nicht vor Ablauf einer Frist von mindestens 10 Kalendertagen, gerechnet ab dem Tag nach der Veröffentlichung dieser Bekanntmachung, abgeschlossen wurde.

Die Bekanntmachung nach Satz 1 Nummer 2 muss den Namen und die Kontaktdaten des öffentlichen Auftraggebers, die Beschreibung des Vertragsgegenstands, die Begründung der Entscheidung des Auftraggebers, den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zu vergeben, und den Namen und die Kontaktdaten des Unternehmens, das den Zuschlag erhalten soll, umfassen.“

VI.5)Tag der Absendung dieser Bekanntmachung:
18/03/2021