Lieferung Authentifizierungslösung „fideAS® iam“ der Firma Applied Security GmbH
Freiwillige Ex-ante-Transparenzbekanntmachung
Lieferauftrag
Abschnitt I: Öffentlicher Auftraggeber/Auftraggeber
Postanschrift:[gelöscht]
Ort: Lehrte-Ahlten
NUTS-Code: DE929 Region Hannover
Postleitzahl: 31275
Land: Deutschland
E-Mail: [removed]
Telefon: [removed]
Internet-Adresse(n):
Hauptadresse: https://www.mobil-isc.de/
Abschnitt II: Gegenstand
Lieferung Authentifizierungslösung „fideAS® iam“ der Firma Applied Security GmbH
Kauf von Lizenzen „fideAS® iam“ der Firma Applied Security GmbH zur Umsetzung der gesetzlichen Anforderungen an Datenschutz und Datensicherheit.
Lehrte
Die Mobil ISC GmbH ist ein gemeinnütziges IT-Dienstleistungsunternehmen im Sinn der §§ 30, 85 SGB IV, dessen Aufgabe es ist, die Gesellschafter, die BKK Mobil Oil und die Viactiv Krankenkasse, mit IT-Leistungen so zu versorgen, dass diese in der Lage sind, ihre gesetzlichen Aufgaben nach dem fünften Teil des Sozialgesetzbuchs (SGB V) wahrzunehmen. Die Mobil ISC GmbH ist durch ihre Gesellschafter damit beauftragt, die IT-technischen Leistungen bereitzustellen, die die Gesellschafter benötigen, um die gesetzlichen Aufgaben erfüllen zu können. Die Viactiv Krankenkasse hat nun die Mobil ISC GmbH mit der technischen Umsetzung einer digitalen Lösung zur eindeutigen Identifizierung des Besitznachweises einer eGK bzw. einer PIN/PUK beauftragt. Für diese Umsetzung benötigt die Mobil ISC GmbH eine Softwareanwendung, die eine rechtssichere Identifizierung und damit Authentifizierung ermöglicht. Darüber hat die Mobil ISC GmbH zur Deckung des Bedarfs der Viactiv Krankenkasse eine europaweite Ausschreibung durchgeführt, die am 21. Mai 2021 mit einem Zuschlag an den wirtschaftlichsten Bieter, die IBM Deutschland GmbH endet (Ausschreibungsnummer: 2021/S 013-028074). Auch für die Nutzung der ausgeschriebenen Leistung ist eine Identifizierungslösung zwingend und ergeben sich aus der Verordnung über elektrische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (EIDAS-Verordnung) und dem nationalen Durchführungsgesetz. Das Angebot der IBM setzte ebenso wie aus dem Angebot der Mibewerber zwingend voraus, dass die Identifizierungsvorgänge innerhalb der Serviceprozesse der Mobil ISC GmbH mit der Softwarelösung der Firma nect GmbH (nect) abzuwickeln sind. Daraus folgt, dass sämtliche internen Geschäftsvorfälle der Mobil ISC GmbH ungeachtet der Nutzung der Plattform über nect abzuwickeln sind, da nur dann die internen Prozesse als Service in die Plattform integriert werden kann. Die Beschaffung der erforderlichen Lizenzen für die Abwicklung der internen Vorgänge sind naturgemäß nicht vom Ausschreibungsgegenstand umfasst, sondern obliegen der Mobil ISC GmbH.
Die durch nect angebotene Lösung stellt eine App dar, über die Authentifzierungslösungen abgewickelt werden können. Die Beschaffung der Lizenzen der Firma nect sind ein Bestandteil des aktuell bestehenden Bedarfs. Daneben benötigt die Mobil ISC GmbH ein Identitätsmanagementsystem, das über die bereitgestellte App (z. B. nect) die Authentifizierungen sicher und datenschutzkonform durchführt, auf den SAP oscare-Datenbestand zugreift und die Versicherteneigenschaft der Person prüft, die den Authentifizierungsvorgang durchführen möchte. Erfolgt dies erfolgreich, übermittelt die Authentifizierungslösung dem SAP oscare Bestandssystem, dass die Registrierung erfolgreich abgewickelt worden ist. Die ausgeschriebene und gegenüber der IBM beauftragte Authentifizierungslösung enthält eine Softwarelösung der Firma Applied Security GmbH (apsec). Die entsprechenden Lizenzrechte sind Bestandteil des beauftragten Angebotes. Die durch die IBM angebotene Digitalisierungsplattform wird durch die Mobil ISC GmbH betrieben. Somit ergibt sich aus der durchgeführten Ausschreibung, dass die Mobil iSC GmbH die Authentifizierungslösung derder apsec betreiben muss. Der Betrieb einer weiteren Authentifizierungslösung ist der Mobil ISC GmbH personell nicht möglich und würde gegen das in Art. 5 DSVGO enthaltene Gebot der Datensparsamkeit und sicheren Datenverarbeitung verstoßen. Daher sollen Lizenzen der Firmen nect und apsec gem. § 14 Abs. 4 Nr. 2 VgV direkt beschafft werden. Der Auftrag wird erst 10 Tage nach Veröffentlichung dieser Bekanntmachung geschlossen werden.
Der Auftrag wird erst 10 Kalendertage nach Veröffentlichung dieser Auftragskanntmachung erteilt.
Abschnitt IV: Verfahren
- Der Auftrag fällt nicht in den Anwendungsbereich der Richtlinie
Ein öffentlicher Auftraggeber kann einen Auftrag gemäß § 14 Abs. 4 Nr. 2 b) VgV direkt, d. h. ohne Teilnahmewettbewerb vergeben, wenn der Auftrag nur von einem bestimmten Unternehmen erbracht oder bereitgestellt werden kann, weil aus technischen Gründen kein Wettbewerb vorhanden ist. Dies gilt nach § 14 Abs. 6 VgV nur, wenn es keine vernünftige Alternative oder Ersatzlösung gibt und der mangelnde Wettbewerb nicht das Ergebnis einer künstlichen Einschränkung der Auftragsvergabeparameter ist. Als Ausnahmetatbestand ist diese Regelung eng auszulegen und anzuwenden (vgl. Völlink in Ziekow/Völlink Aufl. 4 § 14 Rn. 51). § 14 VgV ist auf die RL 2014/24/EU zurückzuführen. Erwägungsgrund 50 der RL 2014/24/EU verlangt zum Vorliegen technischer Gründe: „Ist die Ausschließlichkeitssituation auf technische Gründe zurückzuführen, so sollten diese im Einzelfall genau beschrieben und nachgewiesen werden. Als solche könnten beispielsweise angeführt werden, dass es für einen anderen Wirtschaftsteilnehmer technisch nahezu unmöglich ist, die geforderte Leistung zu erbringen, oder dass es nötig ist, spezielles Wissen, spezielle Werkzeuge oder Hilfsmittel zu verwenden, die nur einem einzigen Wirtschaftsteilnehmer zur Verfügung stehen.“
1. Beschaffung der nect-Lizenzen:
Die Nutzung der nect-Lösung ist in dem beauftragten Angebot der IBM zwingend vorausgesetzt, um die beauftragte Digitalisierungsplattform nutzen zu können. Die Vorgabe wurde in allen Angeboten der durchgeführten europaweiten Ausschreibung vorausgesetzt. Somit handelt es sich um eine im Wettbewerb getroffene Anforderung. Die Nutzung anderer Lösungen würde dazu führen, dass die beauftragte Digitalisierungsplattform, die zur Umsetzung der gesetzlichen Anforderungen des Online-Zugangsgesetzes beauftragt wurde, nicht nutzbar wäre und die Viactiv Krankenkasse die gesetzlichen Vorgaben nicht umsetzen kann. Die Vergabe des Auftrags direkt an nect ist daher gemäß § 14 Abs. 4 Nr. 2 b) VgV zulässig, da der Bedarf der Viactiv Krankenkasse gedeckt werden muss, um die Erfüllung der gesetzlichen Aufgaben sicher zu stellen.
2. Beschaffung der apsec-Lizenzen:
Die Vergabe des Auftrags direkt an apsec ist gemäß § 14 Abs. 4 Nr. 2 b) VgV zulässig, da die Mobil ISC GmbH nicht in der Lage ist, 2 Authentifizierungsverfahren zu betreiben und der Betrieb eines weiteren Authentifzierungsverfahren gegen das in Art. 5 DSGVO enthaltene Gebot der Datensparsamkeit und die Sicherheit der Datenverarbeitung verstoßen würde.
Ein weiteres Authentifizierungsverfahren würde den parallelen Zugriff auf den SAP oscare-Datenbestand erfordern, der aus hochsensiblen Sozialdaten im Sinn des § 67 SGB X bestehen. Die zweifache Zugriffsmöglichkeit ist datenschutzrechtlich nicht erforderlich und daher verboten. Auch besteht die Gefahr von Fehlern und Störungen durch den doppelten Zugriff und die doppelte Datenverarbeitung.
Abschnitt V: Auftragsvergabe/Konzessionsvergabe
Postanschrift:[gelöscht]
Ort: Großwallstadt
NUTS-Code: DE26 Unterfranken
Postleitzahl: 63868
Land: Deutschland
Abschnitt VI: Weitere Angaben
Der in dieser Bekanntmachung bezeichnete Tag der Auftragsvergabe bezeichnet den Tag der Vergabeentscheidung. Der Auftrag wird 10 Kalendertage nach Veröffentlichung dieser Bekanntmachung erteilt.
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail: [removed]
(1) Ein öffentlicher Auftrag ist von Anfang an unwirksam, wenn der öffentliche Auftraggeber:
1. Gegen § 134 verstoßen hat oder
2. Den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union vergeben hat, ohne dass dies aufgrund Gesetzes gestattet ist, und dieser Verstoß in einem Nachprüfungsverfahren festgestellt worden ist.
(2) Die Unwirksamkeit nach Absatz 1 kann nur festgestellt werden, wenn sie im Nachprüfungsverfahren innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch den öffentlichen Auftraggeber über den Abschluss des Vertrags, jedoch nicht später als 6 Monate nach Vertragsschluss geltend gemacht worden ist. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der Europäischen Union.
(3) Die Unwirksamkeit nach Absatz 1 Nummer 2 tritt nicht ein, wenn:
1. Der öffentliche Auftraggeber der Ansicht ist, dass die Auftragsvergabe ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zulässig ist,
2. Der öffentliche Auftraggeber eine Bekanntmachung im Amtsblatt der Europäischen Union veröffentlicht hat, mit der er die Absicht bekundet, den Vertrag abzuschließen, und
3. Der Vertrag nicht vor Ablauf einer Frist von mindestens 10 Kalendertagen, gerechnet ab dem Tag nach der Veröffentlichung dieser Bekanntmachung, abgeschlossen wurde.
Die Bekanntmachung nach Satz 1 Nummer 2 muss den Namen und die Kontaktdaten des öffentlichen Auftraggebers, die Beschreibung des Vertragsgegenstands, die Begründung der Entscheidung des Auftraggebers, den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zu vergeben, und den Namen und die Kontaktdaten des Unternehmens, das den Zuschlag erhalten soll, umfassen.
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland