Vergabeverfahren digitaler Impfnachweis AZ: Z15-04800-05/006 In der Sache stellt es sich beispielsweise wie folgt dar: Bei einem Angebot wird das Konzept 1: Lösungsskizze mit 4 Punkten (sehr gut) bewertet und das Konzept 2: Projektplan mit 3 Punkten (gut). Zwischenpunkte (bspw. 3,5 Punkte) werden hier nicht vergeben. Unter Anwendung der jeweiligen Gewichtung entsprechend der in der Bewertungsmatrix festgelegten Gewichtung innerhalb des Zuschlagskriteriums Qualität (Konzept 1: Lösungsskizze 60 % und Konzept 2: Projektplanung 40 %) werden die jeweils erreichten Punkte dann mit dem entsprechenden Faktor 0,6 bzw. 0,4 multipliziert. Im Ergebnis ergeben sich dann für das Unterkriterium Konzept 1: Lösungsskizze 2,4 gewichtete Punkte und für das Unterkriterium Konzept 2: Projektplan eine gewichtete Punktzahl von 1,2 Punkten. In die Endwertung geht dann im Hinblick auf das Zuschlagskriterium Qualität eine Gesamtpunktzahl von 3,6 Punkten ein. Das entsprechende Dokument Anlage 4 (nunmehr Im Vertragsdokument EVB-IT wird im Punkt 16.2 auf eine Anlage Anlage 7 - Vertragsstrafen bei Verstoß gegen 11 4 verwiesen, die den Unterlagen nicht beigefügt ist. Wir bitten Wiederherstellungszeiten) wird den Bietern zur diese nachzureichen. Verfügung gestellt. Um Ihnen ein qualitätsvolles und attraktives 12                                                                 Es wird auf die Antwort zu Frage 1 verwiesen. Angebot machen zu können, wären wir Ihnen aber dankbar, wenn S e i t e 8 | 19

Vergabeverfahren digitaler Impfnachweis AZ: Z15-04800-05/006 Ergänzend wird mitgeteilt, dass die Regelung des § 17 Abs. 8 VgV bei der vorliegenden Sie die                                            Dringlichkeitsvergabe im Sinne des § 14 Abs. 4 Nr. 3 Angebotsabgabefrist entsprechend der Regelung in § 17 Abs. 8     VgV keine Anwendung findet. Liegen äußerst VgV auf mindestens 10 Kalendertage, gerechnet ab dem Tag         dringliche, zwingende Gründe im Sinne des § 14 nach der Absonderung der Aufforderung zur Angebotsabgabe,        Abs. 4 Nr. 3 VgV vor, so kann von den gesetzlich anpassen.                                                        festgelegten Fristen, auch der in § 17 Abs. 8 VgV festgelegten Frist für die lediglich „hinreichend begründete Dringlichkeit“, abgewichen werden. Nein, Bieterfragen können nur bis 14 Uhr am 26.2. Gehen wir richtig in der Annahme, dass Bieterfragen auch am      gestellt werden. 13 Wochenende gestellt werden können und beantwortet werden? Bieterfrage zu Anlage 3(EVB-IT Systemvertrag), Nr. 4.5.7, 14                                                                  Die Rahmenbedingungen für die Open-Source- „Auffangregelung betreffend die Einräumung von Bereitstellung sind in der Leistungsbeschreibung zu Nutzungsrechten etc.“ : Nach Kap. 3.1.7 soll der AN den finden (insb. Ziff. 3.1.7 zur Veröffentlichung der vollständigen und dokumentierten Quellcode für Impfnachweis- Schnittstellen und des Quellcodes). App, Prüf-App und das Frontend des Impfzertifikatsservices in einem öffentlich zugänglichen Repository (z. B. github)          In der Sache muss die Open-Source-Lizenz primär veröffentlichen und seine Zustimmung zur kostenfreien Nutzung    gewährleisten, dass die eine kostenfreie Nutzung durch Dritte geben. Daraus mag man eine Präferenz für Open       durch Dritte erlaubt ist. Es muss sich zudem um Source sehen, die „Auffangregelung“ spricht aber deutlich        eine marktgängige und dem Gesamtprojekt gerecht dagegen – insbesondere mangels eindeutiger Bestimmungen in       werdende Open-Source-Lizenz handeln. Hier kommt der Leistungsbeschreibung – , so dass der Bieter darum bittet zu bspw. die Apache 2.0 Lizenz oder vergleichbare bestätigen, dass bei Erstellung unter Open Source Lizenz der     Lizenzbedingungen in Betracht. Die finale Auftraggeber die Rechte entsprechend den zugrundeliegenden       Festlegung der Open-Source-Lizenz kann erst im Open-Source Lizenzbestimmungen erhält.                           Laufe der Leistungserbringung erfolgen, wenn alle Parameter der Software vorliegen. Hierbei ist vorgesehen, dass sich Auftraggeber und zukünftiger Auftragnehmer eng abstimmen und der Auftraggeber nach billigem Ermessen und unter S e i t e 9 | 19

Vergabeverfahren digitaler Impfnachweis AZ: Z15-04800-05/006 Berücksichtigung der Interessen des Auftragnehmers sowie des Zieles des Gesamtprojekts (auch der Belange der Nutzer) eine geeignete Open-Source-Lizenz festlegt. Die in der Frage angesprochene Regelung in Ziff. 4.5.7 des EVB IT-Systemvertrags stellt, wie bereits bei Frage 8 erläutert, eine Auffangregelung dar, welche sicherstellen soll, dass der Zweck des Vertrags sowie des Gesamtprojekts erfüllt werden. Insoweit möchte der Auftraggeber damit sicherstellen, dass das Projekt so wie geplant durchgeführt werden kann und nicht an etwaig fehlenden Nutzungsrechten etc. scheitert. Wichtig ist, dass die Open-Source-Bereitstellung gewährleistet ist; denkbar wäre bspw. die Vorgehensweise, dass er Auftraggeber die Nutzungsrechte umfangreich erwirbt und sodann selbst die Open-Source-Bedingungen festlegt. Den Bietern steht es frei, im Rahmen der Verhandlungsvorschläge die Open-Source- Lizenzbedingungen zu thematisieren. Hinweis: Verhandlungsvorschläge können ausschließlich in einer gesonderten Anlage eingereicht werden. Diese Verhandlungsvorschläge müssen insoweit in einem vom Erstangebot getrennten Dokument dargestellt und eindeutig als Verhandlungsvorschläge gekennzeichnet werden (s. Ziff. 2 der Aufforderung zur Abgabe eines Angebots). Ob der Auftraggeber in die Verhandlungen eintritt oder den Zuschlag auf S e i t e 10 | 19

Vergabeverfahren digitaler Impfnachweis AZ: Z15-04800-05/006 eines der Erstangebote erteilt, wird erst nach Auswertung der eingegangenen Erstangebote entschieden. Entscheidend für die Frage der zusätzlichen Vergütung ist nach der vertraglichen Festlegung ist, Bieterfrage zu Anlage 3(EVB-IT Systemvertrag), Nr. 1.2:            ob im Rahmen eines Change Requests zusätzliche Änderungen in der Ausführung können bei gleicher Funktionalität    Funktionalitäten abgefragt werden oder nicht. erhebliche Kostenauswirkungen haben. Ist unser Verständnis         Änderungen der in der Leistungsbeschreibung 15 richtig, dass die Regelung in Nr. 1.2 nur für Änderungen gilt, die beschriebenen vertraglichen Leistungen und des der Auftragnehmer autonom vornimmt und ansonsten das               Projektplans, die keine zusätzlichen Funktionalitäten Change-Verfahren Anwendung findet?                                 betreffen, werden im Rahmen des bestehenden Pauschalfestpreises vergütet, d.h. sind mit diesem abgegolten. Bieterfrage zu Anlage 3(EVB-IT Systemvertrag), Nr. 3: Weder „beizustellenden Systemkomponenten“ noch „Systemumgebung“ ergeben sich eindeutig aus Anlage Nr. 1. Da der Auftragnehmer ein Gesamtsystem zu erstellen und zu pflegen hat, das sich in die Die beizustellenden Systemkomponenten und die Systemumgebung einfügt und dessen Beistellungen Bestandteil 16                                                                    Systemumgebung sowie die Schnittstellen ergeben der Pflege sind, bitten wir um Präzisierung: Was beinhaltet die sich aus der Leistungsbeschreibung. Systemumgebung, was sind die Schnittstellen zu den Systemen der Systemumgebung, die zu bedienen sind? Was sind genau sind die Bestandteile der Beistellungen und deren Spezifikationen? Bieterfrage zu Anlage 3(EVB-IT Systemvertrag), Nr. 16.1: 17                                                                    Die Vertragsstrafen für die Meilensteine sind aus Abweichend von den EVB-IT System-AGB sollen Vertragsstrafen Sicht des Auftraggebers insbesondere vor dem auch bei Überschreitung der für die einzelnen Meilensteine im Hintergrund des engen Zeithorizonts notwendig. Termin- und Leistungsplan gelten. Wir verstehen, dass der Endtermin wichtig ist. Allerdings ist es bei einem agilen Vorgehen für eine konstruktive Zusammenarbeit schwierig, wenn man agil S e i t e 11 | 19

Vergabeverfahren digitaler Impfnachweis AZ: Z15-04800-05/006 Den Bietern steht es frei, im Rahmen der Verhandlungsvorschläge einzelne oder mehrere Vertragsklauseln zu thematisieren. Hinweis: vorgehen möchte, aber ein Dialog aus Sicht des    Verhandlungsvorschläge können ausschließlich in Auftragnehmers sich zur Vermeidung von Risiken eigentlich        einer gesonderten Anlage eingereicht werden. Diese verbieten müsste. Hinzu kommt, dass viele Abstimmungen           Verhandlungsvorschläge müssen insoweit in einem vorgesehen sind und es nicht steuerbare Abhängigkeiten (z.B.     vom Erstangebot getrennten Dokument dargestellt Mitwirkung Impflinge) gibt. Kann daher zum Standard              und eindeutig als Verhandlungsvorschläge zurückgekehrt werden und der Vertragserfüllungstermin belegt     gekennzeichnet werden (s. Ziff. 2 der Aufforderung werden?                                                          zur Abgabe eines Angebots). Ob der Auftraggeber in die Verhandlungen eintritt oder den Zuschlag auf eines der Erstangebote erteilt, wird erst nach Auswertung der eingegangenen Erstangebote entschieden. Bieterfrage zu Anlage 3(EVB-IT Systemvertrag), Nr. 15.4: Eine kommerzielle Nutzung der App ist nicht Abweichend vom Standard soll der Auftragnehmer für geplant. entgangenen Gewinn haften. Um unser Risiko einschätzen zu 18                                                                  Zur Klarstellung wird die Haftung für den können bitten wir um Auskunft: Welche kommerzielle Nutzung ist entgangenen Gewinn aus dem EVB-IT- vorgesehen? Systemvertrag Nr. 15.4 entfernt. Bieterfrage zu Anlage 2 (Leistungsbeschreibung), Kap. 1.1: Es    In der LB sind die bisher bekannten Vorgaben 19 gibt bislang keine Lösung auf EU-Ebene. Mit welcher Lösung muss  referenziert. Zukünftige europäische Vorgaben sind Interoperabilität herrschen?                                     Gegenstand des Change-Verfahrens. Bieterfrage zu Anlage 2 (Leistungsbeschreibung) , Kap. 3.1.4: 20                                                                  Der AN muss die entsprechende Apps im App-Store Hinsichtlich der „Verfügbarkeiten des Systems für Impfzentren zur Verfügung stellen. Die Verfügbarkeit des App- und Praxen“ ist nicht klar definiert, was das System umfasst und Stores und die Funktionalität des mobile Devices wo die Leistungsübergabepunkte sind. Kann die AG das bitte sind außerhalb des Verantwortungsbereiches des S e i t e 12 | 19

Vergabeverfahren digitaler Impfnachweis AZ: Z15-04800-05/006 AN. klarstellen? Eine Verfügbarkeit der App – im App-   Im Übrigen gelten die Bestimmungen der LB für die Store? Verfügbarkeit des App-Stores? Funktionalität des mobile     unterstützten Betriebssysteme. Devices? – liegt außerhalb des Verantwortungsbereichs des Auftragnehmers und kann nicht zugesagt werden. Sofern das ein Kriterium sein soll, können Sie bitte einen messbaren              Bei den Impfzentren und Praxen sind die vom AN Anknüpfungspunkt nennen, der sich vollends in der                  bereitgestellten Systembestandteile in ihrer Verantwortung und Kontrolle des Auftraggebers befindet?            Verfügbarkeit zu gewährleisten. Hieraus ergeben sich auch die Leistungsübergabepunkte. Bieterfrage zu Anlage 2 (Leistungsbeschreibung) , Kap. 2.5 und 3.1.8.1: In diesem Abschnitt wird der MS1 auf spätestens zwei Wochen nach Projektstart datiert. In Kapitel 4.1 ist der MS1       Das ist ein redaktioneller Fehler. Der MS 1 beginnt 21 spätestens 1 Woche nach Projektbeginn gesetzt. Auf welchen         zwei Wochen nach Projektstart. Zeitraum kann sich der AN uns beziehen? Bieterfrage zu Anlage 2 (Leistungsbeschreibung), Kap. 2.2.2 Service & Support: Im Text steht Hauptzeit 8:00 – 17:00 für die Erreichbarkeit des Service. „Eingeschränkte Servicezeit Ein Support muss 24/7 bereitgestellt werden, um (Nebenzeit): alle anderen Zeiten - Reaktionszeit nach Eingang der 22                                                                    kritische Betriebsprobleme innerhalb der Support-Anfrage: 4 Stunden“. Die würde dann 7*24 Std für den vorgegebenen Fristen lösen zu können. Service & Support bedeuten (wenngleich auch mit geringerer Mannstärke als in der Hauptzeit)? Oder ist hier nur die Zusendung einer Bestätigungsmail gemeint? Bieterfrage zu Anlage 5 (Formblatt Erklärung zur Eignung), Ist das Das ist korrekt. Wichtig ist, dass aus dem genannten 23 Verständnis des Bieters richtig, dass Anlage 5 in Textform         Formblatt hervorgehen: unterzeichnet und auch im Übrigen die formalen Anforderungen an das Angebot durch die Textform gewahrt werden?                        der Name des Bieters, des bevollmächtigten Mitglieds der Bietergemeinschaft bzw. das eignungsverschaffenden Unternehmens   der vollständige Name der natürlichen S e i t e 13 | 19

Vergabeverfahren digitaler Impfnachweis AZ: Z15-04800-05/006 Person, die die Erklärung für den Bieter, das bevollmächtigte Mitglied der Bietergemeinschaft bzw. das eignungsverschaffenden Unternehmen abgibt Prüfungs-App: Sie fragen eine Lösung an, in der die Validierung / Prüfung mit einer eigenen App stattfinden muss – Der AN muss eine eigenständige Prüf-App zur 24 die sich der Prüfer erst noch runterladen muss. Wäre es nicht viel Verfügung stellen. einfacher, wenn die Prüfung ohne eine extra App stattfinden könnte? Vervielfältigung des QR-Codes: In der angefragten Lösung ist ja ein visueller QR-Code angefragt. Dieser kann ohne weiteres in Sekundenschnelle kopiert, vervielfältigt und verteilt werden. Ist aus Ihrer Sicht auch eine Lösung denkbar, die mit NFC- Es gelten die Anforderungen der 25 Technologie funktioniert und dadurch „nicht kopierbar“ ist. Wenn Leistungsbeschreibung. Sie eine eigene „Prüf-App“ wollen, könnte man von Handy zu Handy mit NCF-kommunizieren. - Use Cases: Wurden bereits Use Cases / Test-Fälle definiert, die durch das Konzept abgedeckt werden müssen?  Und wenn ja: Können Sie diese Use Cases bereit stellen? Wurde die angefragte Lösung gegen diese definierten Use- Cases geprüft und daraus die vorliegenden Anforderungen Die Use Cases wurden in der Leistungsbeschreibung 26        abgeleitet? beschrieben.  Und wenn nein: Macht es aus Ihrer Sicht Sinn, vielleicht nocheinmal 2-3 Wochen in die Definition der Use Cases zu investieren, um nicht an dem Markt / den Anforderungen vorbei zu entwickeln? Offline Prüfung: Aus unserer Sicht gibt es zwei konfliktäre 27                                                                    Für die Offline-Prüfung ist es wahrscheinlich Anforderungen. Offline Prüfung und gleichzeitig Speicherung der S e i t e 14 | 19

Vergabeverfahren digitaler Impfnachweis AZ: Z15-04800-05/006 Daten nur im Zeitpunkt des Abgleichs. Wie gehen     notwendig, die erforderlichen öffentlichen Schlüssel Sie damit um?                                                      auch in der Prüfapp lokal vorzuhalten. Umfang Pilotierung: Unter Kapitel 3.2 definieren Sie den Umfang für die Pilotanwender mit 10 bzw. 6 geimpften Bürgern mit 5 bzw. 3 Prüfungen. Ich gehe davon aus, dass Sie hier 10.000 Es gelten die Anforderungen zur Pilotierung in der 28 bzw. 6.000 Bürger meinen, oder? Ich kann mir nicht vorstellen, Leistungsbeschreibung. dass Sie ein System, dass für potenziell 80 Mio. Menschen halten muss, mit 16 Anwendern testen wollen. Bieterfrage zu Anlage 2: 2.1 „Die Impfzentren müssen sich gegenüber dem Backend des Impfzertifikatsservice                   Es existieren ca. 410 Impfzentren in Deutschland. authentifizieren. Der AN stellt hierfür eine sichere, PKI-basierte Die Authentifizierung kann institutionsbezogen Lösung für alle Impfzentren bereit.“ Frage: An wie vielen Stellen  erfolgen. 29 (Kartenleser) sind wie viele Personen (Smartcards) zu              Hinweis: Hardware wie Kartenleser, mit Ausnahme authentifizieren und wie viele Impfzentren sollen mit dieser PKI   von Smartcards, falls diese die Zertifikate enthalten, ausgestattet werden (einige Impfzentren könnten bereits über       muss vom AN nicht in den Impfzentren bereit Infrastruktur verfügen)?“                                          gestellt werden. Gehen wir recht in der Annahme, dass der Meilenstein 1 (MS1- Planungsabschluss) spätestens nach 2 Wochen nach Projektstart erreicht werden muss und dass folglich Kapitel 4.1 zu den Phasen 30                                                                    Ja, wird korrigiert. und Meilensteinen mit "MS1: spätestens 1 Wochen nach Projektbeginn" korrigiert wird? Der Bieter beabsichtigt, für seine Lösung Unterauftragnehmer 31                                                                    Der Einsatz von Unterauftragnehmern ist zulässig einzusetzen. Gem. Ziff. 7.2 EVB-IT System-AGB ist hierfür die und stellt keine Änderung der Vergabeunterlagen Zustimmung des Auftraggebers erforderlich. Es ist im Rahmen dar. der Vergabedokumente allerdings nicht vorgesehen, wie Unterauftragnehmer bereits im Rahmen der Angebotsabgabe            Es wird auf Ziff. 6 der Aufforderung zur Abgabe eines Angebots verwiesen. Danach gilt: Im Hinblick S e i t e 15 | 19

Vergabeverfahren digitaler Impfnachweis AZ: Z15-04800-05/006 auf Bietergemeinschaften, Fälle der Eignungsleihe sowie den Nachunternehmereinsatz gelten die gesetzlichen Vorgaben. Es obliegt dem jeweiligen Bieter, die entsprechend erforderlichen Nachweise, Erklärungen und Dokumente vorzulegen. benannt werden können. Wir bitten daher um Bestätigung, dass (1) die Benennung von Unterauftragnehmern   Die Zustimmung zum Einsatz der im Angebot im Angebot keine unzulässige Veränderung der                  genannten Unterauftragnehmer kann nicht pauschal Vergabedokumente darstellt und nicht zum Ausschluss des       im Voraus gegeben werden. Es ist insoweit bereits Bieters aus dem Vergabeverfahren führt und (2) die Zustimmung aus vergaberechtlicher Sicht erforderlich, dass der des Auftraggebers zum Einsatz der im Angebot genannten        Auftraggeber den Einsatz des Unterauftragnehmers Unterauftragnehmer als erteilt gilt.                          prüft. Dies betrifft bspw. das Vorliegen von Ausschlussgründen (vgl. § 36 Abs. 5 VgV). Bieter sind aufgefordert, diejenigen Teilbereiche der Leistung, welche sie mit Unterauftragnehmern erbringen wollen, anzugeben. Die weitere Prüfung durch den Auftraggeber erfolgt auf Grundlage der vergaberechtlichen Vorschriften. Müssen RZ besondere Zertifizierungen haben? 32                                                               Für die alle RZ-Umgebungen, in denen für die Leistungserbringung relevanten Systeme enthalten sind, die internationale Norm ISO/IEC 27001 umsetzen und hierzu ein Zertifikat nach ISO/IEC 27001 vorlegen. Der AN muss die Gültigkeit des vorgelegten Zertifikats nach ISO/IEC 27001 während der gesamten verbleibenden Vertragslaufzeit aufrechterhalten. Die Anerkennung von gleich- oder höherwertigen Zertifikaten liegt im alleinigen Ermessen des AG. Der AN muss für alle RZ-Umgebungen, in denen für die Leistungserbringung relevante Systeme enthalten sind, zu allen gemäß der Erklärung der S e i t e 16 | 19

Vergabeverfahren digitaler Impfnachweis AZ: Z15-04800-05/006 Anwendbarkeit (engl. „Statement of Applicability“) anwendbaren Maßnahmen (engl. „controls“) der internationalen Norm ISO/IEC 27001 ergreifen und die dort angegebenen Ziele (engl. „objectives“) erreichen. Der AN soll für alle RZ-Umgebungen, in denen für die Leistungserbringung relevante Systeme enthalten sind, beim Ergreifen der Maßnahmen (engl. „controls“) aus der internationalen Norm ISO/IEC 27002 die dort angegebene „Anleitung zur Umsetzung“ (engl. „implementation guidance“) und die dort angegebenen „Weiteren Informationen“ (engl. „other information“) befolgen. Aufgrund der Dringlichkeit und Anforderungen bieten sich 33                                                                Eine Nutzung der Dienstleistungen von insbesondere die führenden Cloud-Lösungen als technologische Niederlassungen, die in der EU als Optionen als sichere Rechenzentren an. Vorausgesetzt die Daten Tochterunternehmen U.S.-amerikanischer und alle genutzten Services sind ausschließlich auf Servern in Mutterkonzerne                      tätig werden, Deutschland gehostet, können die Lösungen auf Amazon AWS, kommt bei Erfüllung bestimmter Voraussetzungen in Google Cloud und Microsoft Azure basieren? Betracht. Voraussetzung ist dafür etwa, dass die Datenverarbeitung ausschließlich auf dem Gebiet der EU stattfindet und der Datentransfer in die USA aufgrund vertraglicher Regelungen zwischen Bieter und IT-Dienstleister sowie geeigneter technischer Zugriffssicherungen unterbunden wird. Zugleich sind Sicherungen gegen für den Fall eines Zugriffsverlangens ausländischer Behörden vorzusehen. Anzumerken ist dabei, dass die Auswirkungen der Entscheidung des EuGH in der Rechtssache „Schrems II“ (EuGH, Urt. v. 16. Juli S e i t e 17 | 19