Cyber-Versicherung Referenznummer der Bekanntmachung: 1003348
Bekanntmachung vergebener Aufträge
Ergebnisse des Vergabeverfahrens
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Ort: Hamburg
NUTS-Code: DE600 Hamburg
Postleitzahl: 20097
Land: Deutschland
E-Mail: [gelöscht]
Internet-Adresse(n):
Hauptadresse: www.dak.de
Abschnitt II: Gegenstand
Cyber-Versicherung
Gegenstand des Vertrages ist der Abschluss einer Cyber-Versicherung welche Haftpflichtansprüche, Eigenschäden, Verfahrensrechtsschutz, Cyber-Erpressung, Aufwendungen für Incident-Management-Experten
einschließlich Sofortreaktionen und Krisenprävention entsprechend den spezifischen Risikoverhältnissen einer Gesetzlichen Krankenversicherung (GKV) mit Ihren besonders sensiblen (z.B. Gesundheits-)Daten absichert.
Die DAK-Gesundheit beabsichtigt einen Cyber-Versicherungsvertrag abzuschließen. Es wurde ein Produkt der Allianz (AGCS ) betrachtet, welches vom GKV-Spitzenverband als Gruppenvertrag
abgeschlossen wurde. Das "Verbandsmodell" (AGCS) bietet für die DAK-Gesundheit im Hinblick auf GKV spezifische Besonderheiten
einen erheblichen Mehrwert gegenüber anderen Produkten. Es handelt sich insbesondere um folgende Regelungen:
1. Für Haftpflichtansprüche und behördliche Verfahren gilt das Anspruchserhebungsprinzip (claims made).
Maßgeblich ist, dass sie innerhalb der Versicherungsperiode oder in der vereinbarten Nachhaftungsfrist erstmalig geltend gemacht oder eingeleitet werden. Für Eigenschäden wird für Versicherungsfälle und/oder Schäden Versicherungsschutz geboten, die in der
versicherten Periode festgestellt werden (Feststellungsprinzip) oder wenn in dieser Zeit ein versicherter Sachschaden entstanden ist.
2. Versichert sind insbesondere folgende Haftpflichtansprüche:
a. Ansprüche gegen Versicherte (versicherte Person und/oder versicherte Gesellschaft) wegen einer
Informationssicherheitsverletzung (Datenschutz-, Vertraulichkeits- oder Netzwerksicherheitsverletzung wie z.B. die Infektion, Übermittlung von Schadstoffsoftware, DoS-Attacken) oder
rechtswidriger digitaler Kommunikation.
b. Versicherungsschutz besteht auch für die Freistellung von externen Dienstleistern, sofern ihnen der Versicherte zur Freistellung verpflichtet ist und für Vertragsstrafen wegen der Verletzung von PCI-Datensicherheitsstandards, die durch einen E-Payment-Service-Providergeltend gemacht werden.
Versichert sind insbesondere folgende Eigenschäden:
c. BU-Schäden aufgrund von Netzwerksicherheitsverletzungen (Eindringen in Computersystem und unberechtigte/r Nutzung/Zugang oder unautorisierte Veränderung, Zerstörung, Löschung, Übertragung, Kopierung von Daten oder Beanspruchung der Ressourcen des Computersystems), fehlerhafter Bedienung,
unvorhergesehener technischer Probleme, Verfügung einer Datenschutzbehörde oder der Erfüllung einer gesetzlichen Verpflichtung aufgrund einer Datenschutz- oder Vertraulichkeitsverletzung; zu den erstattungspflichtigen fortlaufenden Kosten gehören auch Fälle des Annahmeverzugs im Hinblick auf
bestehende Arbeitsverhältnisse (§ 615 BGB);
d. Wiederherstellungskosten für Informationssicherheitsverletzungen,
fehlerhafte Bedienung oder unvorhergesehene technische Probleme einschließlich interner Kosten der GKV (z.B. Arbeitskosten, Overheadkosten);
e. Sachschaden an der IT-Hardware infolge einer Netzwerksicherheitsverletzung;
f. Systemverbesserung nach Netzwerksicherheitsverletzung;
g. Vermögensschaden infolge einer Netzwerksicherheitsverletzung ohne Mitwirkung eines Versicherten durch rechtsgrundlose Geldüberweisung oder irrtümliche und rechtsgrundlose Bezahlung durch Versicherte.
3. Versicherungsschutz für Verfahrensrechtsschutz besteht insbesondere für:
a. Abwehrkosten wegen eines behördlichen Verfahrens aufgrund einer Informationssicherheitsverletzung;
b. Abwehrkosten für eine interne Untersuchung wegen einer Datenschutz- oder Vertraulichkeitsverletzung, wenn diese von der Datenschutzbehörde verlangt wurde oder zur Vorbereitung oder im Anschluss einer Selbstanzeige geboten ist.
c. Hinterlegung von Geld in einem Consumer Regress Fund zur Entschädigung von Verbraucheransprüchen;
d. Geldbußen (Ordnungswidrigkeiten) wegen einer nicht vorsätzlichen Datenschutzverletzung soweit kein gesetzliches oder behördliches Versicherungsverbot besteht oder "ordre public" ihm entgegen steht.
4. Versicherungsschutz für Cyber-Erpressung
5. Versicherungsschutz für Aufwendung von Incident-Management-Experten.
6. Versicherungsschutz für Sofortreaktion und Cyber-Krisenprävention.
7. Kein Ausschluss von Versicherungsfällen und/oder Schäden aufgrund von oder im Zusammenhang mit
Terrorakten.
Abschnitt IV: Verfahren
- Die Bauleistungen/Lieferungen/Dienstleistungen können aus folgenden Gründen nur von einem bestimmten Wirtschaftsteilnehmer ausgeführt werden:
- nicht vorhandener Wettbewerb aus technischen Gründen
Die DAK-Gesundheit beabsichtigt sich dem Gruppenvertrag des GKV-SV ohne eine erneute Ausschreibung anzuschließen. Ein eigenes Ausschreibungsverfahren durchzuführen stellt sich für die DAK-Gesundheit weder als zweckmäßig noch als wirtschaftliche dar, weil Aufgrund des fehlenden Wettbewerbs in Verbindung mit den
spezifischen Anforderungen, kein besseres Ergebnis zu erwarten ist.
Die Voraussetzungen der Ex-ante Transparenzbekanntmachung i.S.d. § 135 Abs. 3 GWB liegen - ausgehend vom konkreten Beschaffungsbedarf der DAK-Gesundheit - vor. Sämtliche vertraglich definierten Leistungen dienen der Sicherstellung der gesetzlichen Aufgabenerfüllung der DAK-Gesundheit. Nachgefragt werden die
unter II. beschriebenen Dienstleistungen als einheitliche, funk-tionsfähige Gesamtlösung. Die an den Vertragspartner gestellten Anforderungen sind zudem in technischer und vertragsrechtlicher
Hinsicht so speziell und komplex (weil die Dienstleistungen der einzelnen Versicherungselemente aufeinander aufbauen bzw. ineinander verzahnt sind). Es handelt sich um einen speziellen "integrierten Versicherungsschutz "mit hohen Deckungssummen der speziell auf die GKV-Risiken zugeschnitten ist und in der dem den
Anforderungsprofil entsprechenden Umfang von keinem anderen Dienstleister angeboten wird.
Abschnitt V: Auftragsvergabe
Cyber-Versicherung
Postanschrift:[gelöscht]
Ort: München
NUTS-Code: DE Deutschland
Postleitzahl: 80802
Land: Deutschland
Abschnitt VI: Weitere Angaben
Bekanntmachungs-ID: CXP4YM5RKWD
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: http://www.bundeskartellamt.de